Veliki nedostatak kamere Hikvision iVMS-4200 je taj što softver omogućava svakom lokalnom korisniku da bez verifikacije i potvrde autentičnosti napravi kod na koji će Hikvision tim odgovoriti elektronskom poštom.
Nije isto provaliti šifru jednog Hikvision rekordera ili sistema u kome su povezani i svi drugi uređaji. Takođe, svi uređaji spojeni sa iVMS-4200 imaju pristup lozinki (svi rekorderi, kamere i svičeri). Pokušaćemo objasniti ovaj nedostatak i dati par saveta kako izbeći sigurnosne probleme. Ako imate dileme oko kompletiranja tehničkog rešenja video nadzora, oko poboljšanja postojećeg sistema kao i softverima za nadzor, posetite videonadzor.net.
Slaba tačka, ranjivost lVMS-4200 lozinke
Klijent iVMS-4200 ima u softveru aplikaciju za login opciju “zaboravljena lozinka” :
Klikom na taj taster vraća vas na “šifrirani niz “, koji se može poslati e-poštom. Hikvision podrška za oporavak lozinke šalje obaveštenje:
Iako stoji da se “obratite vašem distributeru”, podrška za Hikvision ipak šalje administratorske lozinke bez procedure provere autentičnosti i verifikacije. Za kratko vreme (30 minuta otprilike) Hikvision podrška e-poštom šalje lozinku administratoru sistema iVMS-4200 u obliku teksta, slovnih oznaka:
Koji su to sigurnosni rizci?
Postoji 5 ključnih sigurnosnih rizika:
– nema verifikacije niti potvrde
– korisnička lozinka ponovo je poslata e-poštom kao čitak, slovni tekst
– nema upozorenja ili obaveštenja
– lozinke se mogu ponovo koristiti
– povraćene lozinke se mogu hakovati
– ko god koristi softver iVMS-4200 i ima pristup računaru sa ovim softverom može bez problema pristupiti administratorskoj lozinki. Ne postoji verifikacija e-poštom, telefonom ili vi možete bilo kako drugačije da potvrdite da imate ovlašćenje da podnesete zahtev za povratak lozinke.
Lozinka sa tekstualnim karaktetima
Ako se šalje lozinka sa običnim tekstom to je kršenje osnovnih bezbednosnih postupaka jer se ta lozinka ne menja ili joj može isticati vreme važenja. Ko god ima pristup toj e-pošti sada ima administratorsku lozinku za ceo sistem video nadzora.
Nema upozorenja ili obaveštenja
Ponovno dobijanje lozinke iz Hikvisiona još je veći rizik nego resetovanje lozinke rekordera jer slobodno daje na uvid lozinku administratora neovlaštenoj osobi. Uz funkciju poništavanja lozinke, lozinka administratora dobija novi status i tako upozorava prethodno ulogovane korisnike da nešto može biti pogrešno kada njihove lozinke prestanu da važe.
Ponovno korištenje lozinki
Iako je ponovna upotreba lozinki na uređajima loša praksa, veoma je česta stvar. Ako je osoba koja je instalirala aplikaciju iVMS-4200 koristila istu lozinku i na drugim uređajima ili aplikacijama, haker sada zna lozinku administratora i može je koristiti za različite uređaje. Čak i ako je lozinka administratora iVMS-4200 jedinstvena, otkrivanjem tekstualne lozinke može se ući u sistem tj. način na koji korisnik bire lozinke, što još više olakšava dobijanje neovlašćenog pristupa drugim uređajima.
Vraćene lozinke mogu biti dešifrovane (“provaljene”)
Hikvisionov ‘šifrirani niz’ za lozinku može biti “provaljen”i hakovan. Jedan analitičar bezbednosti došao je do određenog zaključka i pojedinosti o tom procesu, tvrdeći da proces hakovanja šifre/lozinke traje nekoliko sati tako što se kodiraju određeni šifrirani nizovi i prati nedostatak entropije i ponašanja na različitim pristupnim šiframa. Haker zna da su određeni modovi AES i ECB osetljivi na napad kad su u pitanju tekstualne lozinke, jer on onda lako otkriva ključ za dešifrovanje teksta.
Ako je neka od planskih šifrovanih lozinki bila napadnuta od strane hakera, lozinke bi se mogle otkriti i bez obraćanja Hikvision podršci, što još više ugrožava sisteme iVMS-4200.
Rizik za preduzeća ili svesne pretnje po mere bezbednosti
U slučajevima gde više korisnika deli istu instalaciju PC / iVMS-4200 gotovo je nemoguće ispravno osigurati softver od korisnika sa nižih nivoa sistema nadzora (jer oni svakako imaju administratorsku lozinku ) i lako mogu “šifrirani niz” poslati na Hikvision podršku za preuzimanje povraćene, oporavljene administratorske lozinke. Firme i organizacije koji imaju pojedinačne korisničke naloge rizikuju da će zaposleni sami tražiti admin lozinke.
Hikvision još uvek nema odgovora
IPVM (vodeća svetska kompanije za pitanja obezbeđenja i video nadzora, daje rezultate ispitivanja o kontroli pristupa, alarmnim sistemima, kamerama itd.) je uputio pitanje Hikvision timu da li su lozinke i za ostale platforme / proizvode dizajnirane na sličan način, gde se lozinke za obične tekstove mogu povratiti, a da se korisnicima praktično onemogući povratak lozinke na iVMS-4200. Hikvision je dao do znanja da je primio pitanja i da problem postoji, ali nije ponudio odgovor niti kada bi eventualno mogli odgovoriti na postavljena pitanja.
Kako olakšati rizik izloženosti otkrivanju lozinki?
Budući da je tako lako neovlašćeno pristupiti softveru Hikvision i ući na iVMS-4200 administratorsku lozinku, korisnici aplikacije moraju sami sebe zaštititi od neovlašćenog pristupa aplikaciji.
Trebali bi se koristiri screen saver (skrin sejveri) sa kratkim trajanjem i zahtevom za otključavanje lozinke kako bi sprečilo neovlašćeno pokretanje aplikacija.
Nedovoljan i siromašan pristup bezbednosti informacija
Iako Hikvision tvrdi da “shvata važnost bezbednosti informacija ” u praksi je to drugačije. Ranjivost Hikvision mobilnih aplikacija, cloud usluga, na kamerama i rekorderima, na aplikacijama za računare je neosporna. Ove stalne nezgode, slabosti i mane pokazuju da firma ne ceni sigurnost podataka, ne smatra da je cyber sigurnost prioritet, nisu aktivni u pristupu upravljanja bezbednosnim informacijama. Verovatno da i drugi proizvodni uređaji (na primer uređaji za kontrolu pristupa ili interfon, interkom) imaju slične probleme koje su smetnja po bezbedno korišćenje. Korisnici hardvera ili softvera Hikvision kopmanije trebali bi dobro razmisliti o manama ovih proizvoda, o tome koje su im slabe tačke i koristiti odgovarajuću opremu i uređaje koje će ih zaštititi od spoljašnjih i unutrašnjih uznemiravanja i napada.
