On 27/11/2020 08:52, ToMasz wrote:
>> Po pierwsze dlatego, że działa dla 1 kamery.
> no... nie. jeden, dwa, albo nawet trzy porty każdą z kamer. jak masz
> nianie, albo dwie, to masz parę potrów

Ale nie masz detekcji bo nie działaja już na standardowych.

>> Po trzecie, kamery mają bugi. Czasami graniczące z absurdem. Mogą
>> być/są wektorem ataku na sieć.
> tak, zdaję sobie sprawę. ale jak sobie wyobrażasz taki atak na sieć?

Puszczasz skan. Znajdujesz otwarty port na którym pracuje http. Znając
zestaw podatności, po chwili znajdujesz wejście na roota. W efekcie tego
dostajesz dostęp do *wewnętrznej* sieci LAN właściciela. Przy odrobinie
wprawy możesz teraz wyszukać inne podatności wewnątrzm, włacznie z routerem.

> sensie - można podglądać kamery bez hasła - to oczywiste. ale czy kamera
> może dalej funkcjonując zacząć wykonywać jakieś inne szkodliwe działania?

Tak. Jak masz na niej roota (a masz, pokazane to na prezentacji) to
możesz wszystko. Od liczenia bitcoinów przez atak na inne urządzenia w LAN.

Do tego nie trzeba nawet białka. Są automaty realizujące takie ataki.

>> Nie wolno tak żałosnych kamer przekierowywać
> żałosnych?

Tak. Na prezenacji zobaczysz że poziom bezpieczeństwa nie sięga nawet
przedszkola. To jest wręcz poniżające dla reszty informatyki, jak
zabezpiecznone są urzadznia embedded, nie dotyczy to tylko kamer. Rynek
security w embedded tkwi mentalnie w latach 70tych. Fabryczne backdory,
popsute konfiguracje, magiczne cisteczka, co tylko sobie wymyslisz,
znajdziesz w kamerach, od tych najtańszych po najdroższe.

> więc mają te same "dziury". To nie jest problem kilku kamer; Kilka kamer
> jest wolnych od tego problemu. jeśli mógłbyś wskazać tanie kamery które
> nie mają problemu z bezpieczeństwem a oferują onvif i rtsp z dziwękiem -
> daj znać. tanie!

Najprościej ich *NIE* wystawiać. To uniwersalna zasadna. Właśnie po to
masz VPN. On jest bezpieczny bo *TY* kontrolujesz to bezpieczeństwo a
nie chińczyk który nie ogarnia podstaw security.

>> PiVNP. Kupujesz Raspberry pi w wersji Zero. Dodajesz kartę SD 2GB.
> (...)
> Serdecznie dziękuję za wyjaśnienia. jak nie ogarnę to doczytam.
> z tym że nie widzę sensu stosowania.

Widzisz sens wystawiania poputego firmware kamery do interentu a nie
widzisz używania bezpiecznego VPN? Ok, co zrobić.

> to trochę wyjaśnia, ale dalej nie wiem jaki to ma sens, albo przewagę
> nad rejestratorem, który może jeszcze rejestrować i wydaje się być
> tańszy.

Bezpieczeństwo. Jeśli wystawisz ten rejestrator do sieci to zakłądam że
ufasz jakosci oprogramowania na nim. Ufasz? Czy zakładasz że ktos się
tym zajmie?

Mam "tani rejestrator" w domu. Tydzień po zakupie zanalazłem na necie
exploita przez www. Bez znajomości hasła. Nie ma update. Wystarczył
przekierowany port. Witaj w realnym świecie. Kupiłem złom którego nie
mogę wykorzystać tak jak planowałem.

> jest po stronie odbierającej, czy trzeba mieć jakiś program do "bycia w
> tej samej sieci" w ktorej jest PiVPN?

Na urządzeniu docelowym masz klienta OpenVPN. Od tego jest to wszystko
jest skonfigurowane zależy odpowiedź na to pytanie. Z grubsza: w
domyślnej konfiguracji PiVPN dostaniesz inną sieć, ale z działajacym
routingiem do Twojego LAN. Wbrew pozorom to jest wystarczające dla ONViF
i w miarę bezpieczne dla osoby nie rozumiejącej detali na tym poziomie
sieci. Możesz to zmieniać, choć już wymaga rzeźby.

>> [1] https://www.youtube.com/watch?v=LaI0xjeefpg
> nie wiem czy wszystko zrozumiałem, ale przez 33 minuty gość tłumaczy ze
> na większość kamer można się dostać bez hasła. Pokazał że dzięki pozna
> hasła do banku czy nie?

Bo jak się dostaniesz do kamery i zrobisz w niej roota to od tego puktu
masz *NASTĘPNE* filmy pokazujące jak z poziomu dowolnego urządzenia w
sieci LAN kompromitować dalej. Szczególnie jak dalej jest 6-letni D-Link
w którym można podmienić www.mojbak.pl na coś innego.

Koleś pokazuje jak poniżająco dziadowskie jest oprogramowanie w kamerach
i jakie stanowi zagrożenie wystwianie tego złomu do internetu. W
momencie kiedy jest w stanie zdalnie wykonać update firmware na kamerze
powinieneś mieć pełne gacie kiedy myślisz o własnej sieci LAN. Bo to
będzie tylko początek.