Портал по безопасности.
Проекты систем безопасности Типовые решения систем безопасности Чертежи и схемы подключений

Присоединяйтесь к нам в соц. сетях:

ГлавнаяНовостиНовости отрасли
Большая часть цифровых видеорегистраторов открыты для ...
Мобильная версия
Вход в личный кабинет
Регистрация, нас уже 5053
 - События которые нельзя пропустить
  • Вся информация в один клик

Большая часть цифровых видеорегистраторов открыты для удаленного управления (1632)

Опубликовано: 16.07.2012 в 23:52

Большая часть цифровых видеорегистраторов открыты для удаленного управления
Да, масштабы недавно вскрывшейся проблемы поражают. Пользуясь только лишь общедоступными сервисами сети, служащий Security News получил полный удаленный доступ к видеорегистратору, который стоит в магазине напротив редакции, в итоге, ему не составило никакого труда смотреть служебное видео, но, и при желании, он мог стереть весь архив записей видеонаблюдений или вообще отключить все камеры. К теме сетевой видео безопасности нас побудил любопытный пресс-релиз.
Лаборатория исследований Gotham Digital Science выпустила в свет новый модуль Metasploit Framework для своего программного пакета. приложение с таинственным названием cctv_dvr_login предназначается для практического подбора паролей к видеорегистраторам на цифровой основе от различных производителей: HIVISION, MicroDigital, CTRing; а также от значительного количества других изготовителей, продающих видеооборудование под собственными трендами. Этот инструмент аудита для сетевой безопасности создатели называют интеллектуальным брутфорсером. Этот термин переводится, как «грубая сила» (brute force) и используется как метод удаленного доступа с автоматическим перебором огромного числа паролей.

А зная, как должен выглядеть искомый результат и как формируется пакет запроса, можно легко создать брутфорсер..

На видеорегистраторы, о которых мы говорим, можно воздействовать через клиентское приложение Windows, а также мобильное приложение либо браузер использующий ActiveX-элемент. Именно через авторизацию элемента ActiveX происходит эмуляция от разработчика Gotham. В блоге исследовательской лаборатории подробно описан процесс работы обратного инженеринга: исследователи смогли "разобрать" пакеты, с помощью которых ActiveX-клиент обменивается с сервером регистратора, с помощью специальной утилиты Wireshark. Сначала аналитики заметили, что сервер отвечает по-разному при несовпадении пароля и отличается от тех данных, которые возвращаются, когда логина просто не существует. Вот и задачка упростилась. А зная, как должен выглядеть искомый результат и как формируется пакет запроса, можно легко создать брутфорсер.
Можно честно сказать, что видеорегистраторы оказались насквозь дырявыми, как решето. C видеокамерами компании TRENDNet ситуация была не много другой, там оказалась именно уязвимая "дыра" катастрофических масштабов. И здесь можно упрекнуть разработчиков лишь в том, что они не смогли предусмотреть защиту от быстрого подбора паролей. Другими словами, не сделали автоматическую блокировку от неправильных попыток входа после нескольких введенных комбинаций. Авторизация через элемент ActiveX используется не часто, видимо, исследователи выполняли аудит конкретного продукта. Обычно, логин и пароль вводится в специальную веб-форму, или в окне браузера, тогда активизация выполняется методом стандартных средств протокола HTTP. Брутфорсеры были созданы давно для HTTP. А подбор параметров активации методом перебора паролей уже стало довольно обыденной стороной информационных технологий.






Комментарии
- Комментариев нет -

Оставить свой комментарий

Другие новости
Поучительная статистика ограбления североамериканских банков в цифрах
Поучительная статистика ограбления североамериканских банков в цифрах
Количество ограблений банков в США в прошлом году составило 5014 случаев. В том числе 7 случаев вымогательства, 12 хищений и 60 краж со взломом. Их зафиксировало ФБР Америки, которое и обнародовало статистику по... Подробнее
64-разрядная версия MACROSCOP ML- новый «хит продаж»
64-разрядная версия MACROSCOP ML- новый «хит продаж»
Вышла новая 64-разрядная версия MACROSCOP ML. При установке MACROSCOP ML-64 система позволяет обрабатывать до 20 IP-камер любого разрешения на одном сервере. За счет вычислительной эффективности версия ML допускает... Подробнее
Softline, получившая наивысший статус Elite Partner Quest Software, признана вендором Партнером года на развивающихся рынках в регионе EMEA
На партнерской конференции Quest Kick-Off по результатам 2011 года компания Softline, признанная лучшим партнером Quest Software на развивающихся рынках в регионе Европа, Ближний Восток и Африка (EMEA), получила... Подробнее

Подписаться на публикацию новых новостей.
Читать последние Новости.

Дополнительно

Скачать последний проект
Система пожаротушения складов сахара на основе модульной ТРВ

Система пожаротушения строится на оборудовании НВП Болид. Входящая в систему пожарная сигнализации...
Скачать проект (5,81 Мб)
Последние статьи
Безопасность детей в сети
Поэтому в этой статье мы поговорим об основных правилах безопасности, которые необходимо знать...
Безопасность онлайн игр
В этой статье мы поговорим о правилах безопасности онлайн...
© 2006—2017   ООО «Гермион»

При использовании материалов с сайта,
активная ссылка на портал обязательна.
Выбрать кнопку для своего сайта.

тел. (960) 510-55-00