SECURINFO.hu | Rés a pajzson? Nemcsak a kínai de a német kamerák sem cyber biztonságosak?

Rés a pajzson? Nemcsak a kínai de a német kamerák sem cyber biztonságosak?

2017. 08. 15.
Hírek, Videotechnika

A Bitdefender nevű cyber-biztonsági és antivírus vállalat biztonsági rést talált két Shenzen Neo Electronics gyártmányú kínai kamerában. A két modell iDoorbell és NIP-22 esetében még a hitelesítési eljárás előtt, puffer túlcsordulással összefüggő sebezhetőséget találtak. Egy német cég amely ugyanezt a firmware-t alkalmazza, ugyanúgy sebezhetőnek találtatott.

Rés a pajzson ? Nemcsak a kínai de a német kamerák sem cyber biztonságosak ? Forrás https://www.veracode.com/security/buffer-overflow

Ez a típusú C vagy C++ programozásból eredő, véletlen vagy szándékos hiba, okozhatja a rendszer összeomlását, vagy rosszabb esetben egy belépési pontot jelenthet egy cyber támadás esetére. https://www.veracode.com/security/buffer-overflow

Exportált sebezhetőségek Kínából

A Bitdefender gyanítja, hogy az összes, említett cég által gyártott kamera ugyanazt a szoftvert használja, következésképpen ugyanúgy sebezhető . A cyber biztonság kérdése bizonyos kínai kameragyártók esetében gyakran témája a biztonságtechnikai szakértők vitájának. Tekintettel arra, hogy ezek a kamerák az alacsony árkategóriába esnek, sebezhetőségüket nagy számban exportálják szerte a világon.
Ami a Bitdefender felfedezését különösen érdekessé teszi az, hogy tapasztalatai szerint, az a firmware amelyet ezek a kamerák használnak megtalálható más gyártók termékeiben is, hasonló módon gyengítve azokat.

Ugyanaz a firmware más gyártóknál is

Alex Balan a Bitdefender Vezető Biztonságtechnikai Kutatója

elmondta, hogy egy német cég amely ugyanezt firmware-t alkalmazza, ugyanúgy sebezhetőnek találtatott :
„Az a tény hogy az említett kínai kamerákba ágyazott firmware-t más gyártók is beépítik, magyarázza a sikeres támadások nagy volumenét és a védelmi hiba hasonlóságát más gyártók esetében is. Így pl. azonosítottunk egy német céget, amelynek eltérő tervek, formai jegyek és különböző felhasználói interfész alapján gyártott kamerái ugyanazzal a firmware-rel és védelmi hibával rendelkeztek, mint kínai társaik” jelentette ki Balan.
Balan nem kívánta megnevezni az érintett német céget, ahol időközben a hibát már ki is javították, de rámutatott, hogy van még számos gyártó akik ugyanezt a firmwaret használják, szétterjesztve ezt a típusú biztonsági rést szerte a szakmában.
A két kamerában felfedezett védelmi hiba bizonyos feltételek mellett lehetővé teszi távoli kódok végrehajtását írja a riport. Gyaníthatóan nem véletlenül hasonló fajtájú hibák szintén megtalálhatók hálózati csomópontokban ( útválasztókban ) amelyek érzékelőket vagy alarm jelzéseket fogadnak illetve továbbítanak.

Több mint 150 ezer elért egyedi eszköz?

Mindkét kamera iDoorbell és NIP-22 a router nyitott UPnP portját használja így azok elérhetők a külső világ számára. A Bitdefender számításai szerint az elérhető egyedi eszközök valós száma valahol 175.000 körül jár.
Megkérdeztük volt-e valami különleges oka a Shenzen Neo Electronics termékek kiválasztásának, de Balan szerint a kínai cégre az IP sebezhetőség témájában véletlenszerűen esett a választás. Elmondta, hogy a világ összes tájékáról kapnak felkéréseket vizsgálatra és tapasztalataik alapján a kínai cégek termékei semmivel sem kevésbé biztonságosak, mint más országok technikái.

Céljuk az IoT eszközök biztonságának növelése

„A vizsgálatokat azért csináljuk, hogy megértsük azt, hogy az IoT eszközök hogyan veszélyeztethetők és megpróbáljuk számszerűsíteni a tömeges fertőződés folyamatát. Mi nem próbálunk egy bizonyos vállalatra koncentrálni, csak megérteni a fenyegetettséget és azokat a dolgokat, amelyek széles körben tudnak hatást gyakorolni” mondta Balan.
Bár Balan az IoT termék gyártóknak egy alapos kiértékelést javasol mielőtt megjelennek a piacon tudja, hogy a hibák hosszútávon elkerülhetetlenek . Amit egy eladó a maga részéről tenni tud, az egy robusztus update rendszer kiépítése. Ha van olyan rendszer, amely biztosítja, hogy amint a gyártó tudomást szerez a hibáról ki tud bocsátani egy a problémát lényegében megoldó frissítést, a félelmek bizonyos mértékig csökkenthetők.

Forrás: https://www.asmag.com/showpost/23412.aspx

Fordította: Ecsedi Ákos

Kapcsolódó cikkek:
Az IP árnyoldalai….A cyber biztonság fokozása a video megfigyelésnél
Cyber attack az Egyesült Királyságban

Kapcsolódó cikkek

A következő szint betöltve! — Techson MS6-os kamerák

A Techson legkedveltebb kameraszériája még több tudással, funkcióval és ellenállhatatlan intelligenciával hódít. Amire egy kamera csak képes lehet, azt az MS6-os tudja! Ismerd meg a széria lehengerlő funkcióit cikkünkből! Bővebben »

Digitális alvázvizsgálat – kristálytiszta kép, akár radioaktív anyagdetektálással

Az alvázvizsgálat elvégzésében manapság már olyan technikai támogatásra támaszkodhatunk, amely nagyban megkönnyíti, felgyorsítja és kiszélesíti a vizsgálatot. A ZNZ Biztonságtechnika által kínált legújabb megoldás holland fejlesztés és Hollandiában is készül. Bővebben »

Ismerd meg a Ksenia lares 4.0 előnyeit és jellemzőit!

Cikkünben megvizsgáljuk a Ksenia Security IoT platformjának, a lares 4.0-nak előnyeit és néhány olyan funkciót, amelyek egyedülálló megoldássá teszik a piacon. Bővebben »

Az Egyesült Államokban és az EU-ban a forgalomkezelést segítő videóelemzés várhatóan figyelemre méltó növekedésre számíthat

A Grand View Research Inc. legújabb jelentései szerint a videó alapú automatikus eseményészlelés piaca figyelemreméltó növekedést mutat, és a világ feltörekvő országai egyre inkább felismerik értéküket a közúti biztonság és a forgalomirányítás terén.

Hanwha Vision megszerezte az ISO 27001 tanúsítványt

A Hanwha Vision megszerezte az ISO 27001 (ISO/IEC 27001) tanúsítványt, amely az információbiztonság nemzetközi szabványa, megerősítve belső biztonságirányítási rendszereit (ISMS).

CyberSecured díjjal ismerték el az új i-PRO X-Series AI kamerasorozatot

A Security Today kihirdette 2023-as CyberSecured Awards díját, amelyet széleskörű szakmai konszenzust követően az új I-PRO X sorozatú mesterséges intelligencia kameracsalád nyert el a hálózati megfigyelő kamera kategóriában.

Új funkcióval erősíti az IoT biztonságát a Microsoft

A Microsoft egy olyan biztonsági funkciót jelentett be, amellyel az IoT-eszközök biztonsági problémáira lehet fényt deríteni – számol be róla híranyagába a biztonságportál.

Az MVM napelempark védelmi projektjéről adott hírt a Securitywordmarket portál

Az MVM-nek és biztonsági csapatának módot kellett találnia arra, hogy megvédje nagy értékű napelemparkjait a GDPR betartása mellett. A cég a Hanwha Visionhoz fordult hőtechnológiája miatt. Több mint 100 hőkamerát telepítettek, PTZ kamerákkal kiegészítve.

A Hanwha Techwin új útja: Hanwha Vision

A Hanwha Vision az AI és a felhő technológia integrálásával vezető szerepet kíván betölteni a videós megfigyelés, és az üzleti analitikai folyamatok monitorozása terén. Ezzel egyidejűleg nagyobb üzleti lehetőségeket és személyre szabott megoldásokat kínál az ügyfelek igényeinek kielégítésére.

XProtect Hospital Assist – Hogy a vigyázó kezek még tovább elérjenek

A Milestone XProtect 2023 R1 verziójával debütál a gyártó legújabb termék kiegészítője, az XProtect Hospital Assist, amely dedikált távoli betegmegfigyelési lehetőségeket kínál.