Любителям No-Name оборудования, а также паролей 12345

[uafisher]

Вкратце суть такова- от умных лампочек и до камер видеонаблюдения есть море вещей, которые объединены одной проблемой. Проблема - дырявый софт, а также система позволяющая использовать простые пароли, или использование дефолтных значений (наподобие admin/12345, root/qaz123).

Дырявый софт, по моему мнению, включает в себя также открытый доступ по telnet, с известным всему миру (определённому) логином и паролем.

 

В чём опасность. Это блокировка со стороны интернет провайдера, возрастание трафика, "торможение" локальной сети и доступа в Интернет. Это помимо явного и очевидного , в т.ч. безопасность, приватность и т.п.

И чем дальше - тем больше будет попыток заражения не ПК, а совершенно различных гаджетов.

А ещё есть заражения, возникшие в результате получения "русификаторов", прошивок и т.п. не из официальных источников.

 

Вот несколько статей:

"Подростки, управлявшие крупнейшим сервисом по осуществлению заказных DDoS-атак, решили свести счеты с журналистом. Сайт известного журналиста Брайана Кребса, специализирующегося на сфере киберпреступлений, восстановил работу после мощнейшей за всю историю DDoS-атаки. Атака продолжалась две недели, и в пиковые моменты ее мощность достигала рекордных 620 Гб/с.

Мусорный трафик хлынул на сайт Кребса вскоре после публикации в начале сентября материала о деятельности крупнейшего в интернете сервиса по осуществлению заказных DDoS-атак vDOS, которым управляли два израильских подростка. Итай Хури и Ярден Бидани были арестованы предположительно за причастность к атакам на Пентагон, однако 9 сентября вышли под залог. В этот же день началась атака на сайт журналиста.

В первые часы атака не отличалась большой мощностью, но спустя 10 дней достигла 620 Гб/с. По словам Кребса, в какой-то момент мощность возросла до 665 Гб/с. Злоумышленники использовали SYN-, GET-, ACK-, POST- и GRE-флуд без применения техник отражения или усиления. Как сообщил журналист, атака была осуществлена с помощью ботнета из устройств «Интернета вещей».

Компания Akamai решила оказать Кребсу помощь и предложила ему бесплатный хостинг. До тех пор, пока мощность атаки не превышала 128 Гб/с, ей удавалось без проблем справляться с мусорным трафиком. Через два дня после пикового всплеска Akamai отразила атаку, однако у нее возникли технические проблемы, затронувшие платных клиентов, поэтому компании пришлось отказать Кребсу в предоставлении хостинга.

Журналист понимал, что его интернет-провайдеру не справиться с таким объемом трафика и добровольно отключил сайт. Ресурс оставался недоступным в течение трех дней, пока свою помощь не предложил Project Shield – инициатива Google по предоставлению бесплатной защиты от DDoS-атак. С момента запуска в феврале текущего года проект казался не более чем маркетинговым ходом, однако в случае с Кребсом он доказал свою состоятельность."

www.securitylab.ru/news/483933.php

 

Смена дефолтного пароля на IoT-устройстве перед его подключением к интернету не всегда является эффективной защитой от внешних атак.

Для инфицирования подключенных к интернету камер видеонаблюдения вредоносному ПО требуется всего полторы минуты, показал эксперимент, проведенный специалистом компании Errata Security Робом Гремом (Rob Graham).

В рамках эксперимента Грэм приобрел и установил недорогую камеру видеонаблюдения производства JideTech с поддержкой протокола UPnP, изолировав устройство от домашней сети. Спустя всего 98 секунд камера была инфицирована множественным вредоносным ПО, включая Mirai. Как пояснил исследователь, для инфицирования вредонос использует протокол Telnet. Оказавшись на устройстве, Mirai с высокой скоростью начинает отправлять SYN-пакеты с целью заражения других устройств. После отправки 150 SYN-пакетов вредоносное ПО в течение секунды ожидает ответ, а затем продолжает поиск жертв.

Смена установленного по умолчанию пароля на IoT-устройстве перед его подключением к интернету не всегда является эффективной мерой защиты от инфицирования вредоносным ПО. В таких случаях адекватной мерой станет использование межсетевого экрана, считает исследователь.

Напомним, в начале октября текущего года разработчики вредоносного ПО Mirai опубликовали в открытом доступе исходный код трояна, после чего количество ботнетов, состоящих из устройств «Интернета вещей» (IoT), начало резко возрастать. Согласно данным экспертов компании Level 3 Communications по состоянию на конец октября 2016 года, число инфицированных Mirai IoT-устройств достигло 493 тыс. Как полагают исследователи из компании FlashPoint, масштабная DDoS-атака на американского провайдера Dyn была осуществлена с помощью ботнета Mirai.

 

www.securitylab.ru/news/484509.php?R=1

[jia]

Прямо ужастики

 

Суть простая, не светите девайсы в нет

Не юзайте в интернете вещей софт разработчиков и их облака

Хотите дать инфу в другое место, гоните ее через VPN

 

Хотите управлять какой-то розеткой ксяоми, зайлдите домой по VPN с телефона и сделайте что нужно

[uafisher]

Прямо ужастики

 

Суть простая, не светите девайсы в нет

Не юзайте в интернете вещей софт разработчиков и их облака

Хотите дать инфу в другое место, гоните ее через VPN

Ужастики для рядового пользователя (коих 90% на шарике) - это практическая реализация то, что Вы указали).

[jia]

Ужастики для рядового пользователя (коих 90% на шарике) - это практическая реализация то, что Вы указали).

 

Так рядовой пользователь должен страдать!

Я вот регулярно вижу сколько миллионов зараженных комфов в Украине ещемоментно берет и атакует какой-то западный сайт.

И с этим же ничего нельзя сделать ибо компьютер - гаджет, для него образования не нужно

[uafisher]

Я вот регулярно вижу сколько миллионов зараженных комфов в Украине ещемоментно берет и атакует какой-то западный сайт.

Сколько? Назовите цифру. И сколько из них под управлением MacOS.

 

И с этим же ничего нельзя сделать ибо компьютер - гаджет, для него образования не нужно

Можно конечно). Ибо гаджет без лектричества хорош только в музее. Чтобы он стал полезным (или зловредным) его подкормить надо - насыпать лектричества, включить в сеть, дать немного интернета. Всё это может ему дать шпиЁн либо юзер.

А вот юзеру производитель самого гаджета вот возможность сделать бяку себе и не должен предоставить. По крайней мере без письменного на то согласия - прямо как в салоне Мерседеса - хотите снять ограничение максимальной скорости на своём S600- пожалуйста, но сначала подпишите бумагу..

 

Это я к чему. Производитель должен думать над безопасностью своих продуктов. Потребитель, к сожалению, тоже должен думать..

[jia]

Сколько? Назовите цифру. И сколько из них под управлением MacOS.

 

Без понятия какая ОС, сотни гигов на закордон ложатся в один миг

[AN12]

Производитель должен думать над безопасностью своих продуктов. .

 

"Канадська компанія Genetec, один з провідних світових виробників програмного забезпечення відеоспостереження, недавно оголосила, що вона більше не буде пропонувати технічну підтримку продуктів Hikvision та Huawei з приводу міркуваннь безпеки."

 

www.voanews.com/a/hikvision-surveillance-cameras-us-embassy-kabuk/3605715.html

[uafisher]

"Канадська компанія Genetec, один з провідних світових виробників програмного забезпечення відеоспостереження, недавно оголосила, що вона більше не буде пропонувати технічну підтримку продуктів Hikvision та Huawei з приводу міркуваннь безпеки."

 

www.voanews.com/a/hikvision-surveillance-cameras-us-embassy-kabuk/3605715.html

Вы сами статью прочитали?

 

Реально похоже на жульничество с этим заголовком - в тексте чётко сказано " Canadian-based Genetec, one of the world's leading video surveillance software companies, recently announced that it would no longer offer free technical support for products from either Hikvision or Huawei — a Shenzen-based multinational networking and telecommunications equipment and services company — citing ongoing "security considerations."

 

Переводя на русский - "больше не будет предлагать бесплатную техническую поддержку".)))

И какое отношение это имеет к взлому?)) И почему слово free выпало из перевода?))

 

В чём оказывается подоплёка.

IPVM (?) нашло материал, согласно которому Посольство США в Афганистане приняло решение закупить к уже имеющимся камерам Хик другие камеры этого же бренда, при чём, если правильно понимаю, даже не рассматривало варианты закупки других брендов.

Вообще в статье речь о том, что Хик контролируется правительством Китая. Оборудование устанавливается во многих правительственных организациях разных стран (интересно, IT специалисты этих разных организаций разных стран не изучали продукт, не обладают средствами мониторинга трафика - для обнаружения этих самых бэк доров?).

Приводиться мнение некоторых людей, что характерно- которые уже не занимают прежних должностей, говорящих о опасности этих продуктов. Есть мнение, что сейчас дыр нет, но такие дыры могут появиться после обновления ПО в перспективе... Т.е. сейчас всё хорошо, но кто знает, что будет завтра.

Но есть и противоположное - в частности того же IPVM:

Из этой же статьи:

"IPVM President John Honovich, however, strikes a less alarmist tone.

 

“So far, we haven’t found any evidence showing these cameras are sending information back to China, and there is no evidence of such back doors,”

"До сих пор мы не нашли никаких доказательств, что эти камеры посылают информацию обратно в Китай, и нет никаких доказательств чёрных дверей (скрытых лазеек")

 

Т.е. покупаем оборудование Хик в правительственные организации за бюджетные деньги, а выручка идёт правительству Китая, а они за нами не следят но возможно смогут за нами следить и мы не сможем им помешать - так давайте не будем у них закупать.

И как ко мне, жителю Киева, это относиться - за мной они тоже будут следить?)

Змінено 26 листопада 2016 користувачем uafisher

[AN12]

Но есть и противоположное - в частности того же IPVM:

 

Джон Honovich, керівник IPVM, сказав, що системи розроблені Hikvision дає китайському уряду "потужній засіб для контролю і придушення будь-якої опозиції". За його словами, в даний час Hikvision в значній мірі фінансується за рахунок державних банків Китаю, щоб надати йому світове панування, що дозволяє йому знищувати конкурентів і продавати системи за кордоном за відносно низькими цінами.

«Загальна стратегічна мета полягає в тому, щоб максимально збільшити частку ринку, навіть за рахунок втрат, додав він.

Г-н Honovich порадив місцевим і національним урядам не використовувати продукти Hikvision, стверджуючи: «Ризики використання продукції, виробленої китайським урядом просто занадто висока.

 

 

Read more: www.dailymail.co.uk/news/article-3817204/Inside-China-s-Big-Brother-HQ-cameras-monitor-millions-Britons-undercover-MoS-reporters-infiltrate-nerve-centre-CCTV-giant-spies-people-root-dissidents.html#ixzz4RI1GKAvX

 

Йде мову про безпеку систем. Канадська компанія чогось виключила Хік зі свого списку, але залишила десятки інших(китайських, наприклад, Дахуа). Це особиста думка канадської компанії.

 

Нижче думка користувача. Знову вона субєктивна.

aminux.wordpress.com/2015/11/12/hikvision-%D1%81%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F-%D0%B8-big-fucking-security-fail/comment-page-1/

 

УаФішер, що я хотів сказати, щоб не входити в дурну полеміку з Вами, різниця між Нонейм і Хік не дуже велика. І ця вартість вже за бренд. Хік потратив дуже дуже багато грошей, щоб стати брендом (певним) і не технологіями, захистом і надійністю, а маркетингом. Схоже на Самсунг, людей з телефонами якого в деякі авіакомпаніі не пускають на борт. Це треба "вміти". А для Хіка це перші "ласточки". Час покаже. Щось не бачив у світі якісне, надійне і функцінальне та дешеве. Може і є. Хто хоче платити більше?

[uafisher]

Видимо вам, как представителю бренда конкурента работа предписывает выкладывать подобные ссылки)

Но вот смотрим внимательно. Впрочем это я не вам - вам правда не интересна.

 

Джон Honovich, керівник IPVM, сказав, що системи розроблені Hikvision дає китайському уряду "потужній засіб для контролю і придушення будь-якої опозиції".

Если правительство Китая закупить камеры Бош, и установят на улицах своих городов, - они что после этого потеряют возможность "контроля"?

А камеры, установленные в любых городах, которые имеют достаточное качество для идентификации - они разве используются не для контроля?

А установка камер в Киеве в рамках концепции "Безопасный город" - они для украшения фонарей будут использоваться или для контроля со стороны правительства?

 

За його словами, в даний час Hikvision в значній мірі фінансується за рахунок державних банків Китаю, щоб надати йому світове панування, що дозволяє йому знищувати конкурентів і продавати системи за кордоном за відносно низькими цінами.

Там даже указано, что "критики утверждают, что продают ниже себестоимости".

Не знаю, откуда у этих критиков соответствующие статьи доходов и расходов для анализа, но даже если они близки к истине (хотя не думаю), - то мне всё равно.

Если сейчас Эпл начнёт продавать свои гаджеты с минимальной маржой для увеличения доли рынка- почему бы мне не приобрести их - они ведь не станту из-за этого хуже, или более опасными?

Мне, как потребителю, выгода конкуренция и борьба брендов.

А вот производителю - другой вопрос.

И кстати, раз вспомнил Эпл. У вас ведь Айфон? Спрошу иначе - вы понимаете, что Эпл имеет доступ к вашим личным данным и обладает прочими возможностями?) Включить дистанционно камеру, вести запись, шпионить за вами, считывать реквизиты, пароли..

Я знаком с очень серьёзным человеком, очень головатым банкиром - он всерьёз утверждает, что Майкрософт это проект правительства США.. Так можно далеко зайти..

 

Г-н Honovich порадив місцевим і національним урядам не використовувати продукти Hikvision, стверджуючи: «Ризики використання продукції, виробленої китайським урядом просто занадто висока.

Оригинал звучит так.

"to use Hikvision products at all".

Выделено мной. Он советует не использовать везде или для всех.Оценивайте риски это называется. Если вы глава посольства или Белого дома- тогда конечно, можно предположить, что в любую систему видеонаблюдения правительство Китая (США, Германии, и т.д.) может попробовать осуществить проникновение. Но думаю подавляющеее большинство читателей этого форума, как и 99,99% всего мира подобную возможность воспринимает как комплимент к своей персоне)). А вы в очередной раз исказили информацию. Изъяв слово ВСЕ, вы попытались придать другой оттенок статье. Не мошейничество? И если вы так себя ведёте, то все остальные ваши слова и уверения - для меня с большим знаком вопроса. Но главное даже другое.

 

Важно, что потом сказал цитируемый вами руководитель IPVM сказал потом - если обращать внимание на детали.

Итак, ваша ссылка на DM, где вы изъяли слово "везде" из его фразы, в которой он советует местным и государственным органам власти (а не рядовым гражданам и частным компаниям) "не устанавливать везде оборудование Хик", датирована 1.10.2016 г. - смотрите дату на вашей же ссылке под заголовком.

 

А через почти 2 месяца (над чем-то он размышлял это время, возможно исследования какие-то проводились), он говорит "До сих пор мы не нашли доказательств, что эти камеры отправляют информацию в Китай или имеют бектдоры" - “So far, we haven’t found any evidence showing these cameras are sending information back to China, and there is no evidence of such back doors,”

 

Опять же читаем вашу ссылку на Голос Америки- дата под заголовком 21.11.2016.

Итого - 1.10 советует правительствам не устанавливать везде, а 21.11 - говорит мы не нашли угроз, впрочем а вдруг они есть.

Вы не обратили внимание на хронологию? Или вам главное грязи налить на конкурента?

 

Резюме. Все эти разговоры ведутся вокруг правительственных инсталляций, причём стран большой 7-ки. Отмечается высокий уровень техники, в статье пишутся что камеры могут видеть и в темноте и в тумане, обладают функциями идентификации лиц и людей, существует возможности аналитики. Не пишут о том, что камеры фуфло - они будут виснуть, или нельзя будет что-либо рассмотреть.

Пишут, что Хиквижен продаёт камеры за дёшево, и в Великобритании они имеют 20% рынка.

Может из-за большой доли рынка Хика во всех странах, в т.ч. и Украине вы и беспокоитесь? Вопрос риторический - всем постоянным внимательным читателям ваша "объективность" давно известна.

Думаю именно поэтому вы и упоминали мобильные гаджеты, с которыми не пускают в самолёт).

 

Вы намекали на другого конкурента - Самсунг.

Ведь речь о одной конкретной модели Самсунга (а не весь спектр). А Samsung Techwin Hanwa в Украине сейчас активно продвигается в видеонаблюдении. Про них сложно сказать о подконтрольности китайскому правительству. Стоят они не так как "немецкий бренд". Качество хорошее - ещё один конкурент. Сказать что не конкурент - смешно. Значит надо формировать негативный образ бренда и вспомнить историю о ... взрывающемся аккумуляторе Самснуг Галакси Нот 7?)

 

И главное. Тема не о том, какое правительство за кем и как следит. Тема о бытовых вещах - аккуратности при использовании паролей, оборудовании сомнительных брендов, и т.п. Эти уязвимости в силах использовать (и используют) множество хакеров - и совем не только ради слежения, цели совершенно иные. ИМХО это актуально большинству, а не только правительственным организациям.