Názory k článku Také vnitro chce zakazovat dodavatele do kritické infrastruktury. Dřímají v ní rizikové kamery z Číny

Upřímně taky nechápu proč se tyhle čínské kamery instalují na každém rohu, včetně mnoha veřejných zakázek. Ať si to dávají lidi na svůj soukromý majetek na své riziko, ale ve veřejných prostorech toto IMHO nemá co dělat.

Neměli by se tihle jedinci, kteří vymýšlí tyhle nápady preventivně odvážet na zkušenou do USA? Pro náš stát jsou až přiliš dobří a je jich škoda. Třeba toho vím opravdu málo, ale pořád mi nedochází, jak může kamera, která je v uzavřené síti představovat riziko.
Jo teď mi to vlastně už došlo, my musíme instalovat kamery, které od toho číňana napřed koupil ten správnej odborník. Už tomu rozumím. Přidá molekuly svobody a demokracie, ritualně přelepí vyrobeno v Číně a hned to bude košer.

To je snadne. Potrebuju 50 kamer, cenovy rozdil na kus 5000kc, to dela ctvrt milionu. Vsichni se musi chovat jako spravni hospodari a bez ohledu na kvalitu nebo bezpecnost brat to nejlevnejsi. Ale zrovna u kamer je tohle tema irelevantni, protoze kamera s vlan a firewallem je zcela neskodna.

když si neuvědomuješ rizika, neměl bys o tom rozhodovat. To, že si nedokážeš představit vektor útoku neznamená, že si ho nepředstavil někdo jiný, neposoudil, že riziko je velké a mitigace drahá a nedoporučil tedy X, Y nepoužívat.

Jak jsem psal v komentáři výše, existují pokusy lidí, kterým se povedlo kameru donutit, aby záměrně modifikovala snímaný obraz a vymazala z něho nějaké objekty. Co myslíš, může už tohle být i za tebe určitý problém?

Jsou tady pokusy programováním kamer přes QR kódy, speciální štítky (podobně jako se třeba dříve programovaly herní automaty děrnými kartičkami). Kamera může dostávat instrukce přes infračervený kanál, který se dnes filtruje často jen SW. Kamera samotná může být v síti sofistikovaný stroj, který může dělat ledacos vč. útočení, stačí instrukce z venku nebo spouštěcí událost.

Na našem trhu už se objevily kamery, které se odmítali bez internetu vůbec zprovoznit a které několikrát za hodinu snímek posílaly na svoje servery aniž bys měl možnost to vypnout. Těžko pak posoudit, jestli to byl záměr nebo prostě jen lajdáctví.

Amatéři se snaží nahradit profesionály. Vybavení ideologií a strachem.

Nechapu proc se resi zrovna kamery, kdyz to je jeden z prvku, ktere jde nejsnaze odstinit od zbytku site pomoci vlan, coz by melo byt samozrejme bez ohledu na vyrobce.

Zeby proto, ze ta kamera kameruje, dost casto lip, nez jakakoli jina, a jste je o rad levnejsi? Jako bonus typicky pouziva nejake zdokumentovane rozhrani/api, takze se to da napojit kamkoli a k cemukoli, narozdil od vsemoznych "zapadnich" vendorlocku.

A kdyz se bavime o tech rizicich, tak treba zabezpecovacku od Jablotronu si muze poridit leda blazen. To je uzasna zabezpecovacka kterou ti vyrobce nadalku vypne ze?

Vsechno se tam nedela. Samozrejme, pokud jdete jen po cene a chcete mit vsechno super-levny, tak u te Ciny skoncite. Ale jen z toho fakt nejde dovozovat, ze se tam dela vsechno.

A vy snad vite, co ten binarni blob (firmware) v te kamere za vsech okolnosti dela? :-) Ze standardniho chovani v bezne situaci to fakt nezjistite.

A ze vam kamera pri "spravnem posviceni do ni" zmeni chovani je klidne mozny. Analogii muzete hledat u "neviditelnych" znacek, co vyrabi nektere tiskarny. To neni az tak tezke obratit tak, ze proste kdyz snimac zaregistruje nejaky spravny specialni obrazec, tak se chovani kamery zmeni. A pokud kamera zvladne napr. detekovat pohyb.... proc by nezvladla detekovat navic bonusove neco navic? ;-)

"dobrý poměr cena/výkon"

Ano a ještě lepší poměr "cena/díra". Je na čase, abychom opustili dogma vlády "dolaru" (či jiné měny) a pochopili, že dobrý hospodář se pozná nejen podle zůstatku na účtu, ale především podle kvality práce, investic do budoucnosti, pečlivé správy majetku atd. Levné děravé šunty ideálně nefunkční bez čínského cloudu a proprietární aplikace v mobilu by vůbec neměly být na trhu. I když si to Klausova kouzelná ruka trhu žádá...

Nebude to tak jednoduché...

Předně si řekněme něco o vrstvení bezpečnosti, každá vrstva, kterou odebereme nám bezpečnost snižuje. Opravdu chcete mít kritickou infrastrukturu chráněnou pouze jednou vrstvou zabezpečení a spoléhat na to, že se za ni nikdo nedostane?

Druhý problém jsou aktualizace, protože pokud nainstaluji nějakou aktualizaci, která mi vyřadí ty kamery nebo jejich koncentrátor z provozu, může mi to způsobit značné problémy. V kritické infrastruktuře se ty kamery používají pro ostrahu, ale i monitorování bezpečnostních prvků, kontroly rizikových situací apod.

K tomu musím uvažovat o servisu, který mi mohou také zajišťovat různá individua dodavatele a tyto individua musím fyzicky pustit i do relativně dost chráněných perimetrů. Tam zpravidla pracovníci výrobce nejdou, ale může se stát leccos.

Netvrdím, že nezabezpečený kamerový systém je mega-problém, ale zdržel bych se takovýchto tvrzení, protože se to může situace od situace dost lišit! Nemluvě o tom, že ne vždy tam ten firewall je a ne vždy je ten firewall "OK". Tedy dobře nastavený, aktualizovaný a podporovaný výrobcem :)

V jedné dánské univerzitě proběhl experiment, jestli je možné, aby chytrá kamera byla schopná analyzovat obraz a záměrně z něho odstranit některé dopředu naprogramované věci, ano byla.

Vůbec nemusí být riziko, že se ti někdo na kameru napojí, to bývá to nejmenší, ale to že nevíš, jak se ta kamera v určitých situacích zachová a jestli je na ní spoleh je o dost důležitější.

Stejně tak kamera může mít v sobě určité útočné programy, které se budou střeba snažit napadnou infrastrukturu zevnitř, generované video může obsahovat záměrné chyba nebo využívat zranitelnosti zpracování obrazu k volání nějakého kódu.

Myslím, že útočníci, jsou dnes hodně chytří a mají obrovský kapitál.

IP kamera je už dávno plnohodnotné IoT zařízení s vlastním OS, tedy v případě, že se neaktualizuje firmware nebo nemáte pod kontrolou bezpečný vývoj, je potenciálně nebezpečná . Mnohým schází představivost co všechno se přes ní dá dělat. Oddělení síťové komunikace nic neřeší, protože mnohdy nemáte zmapováno, kde Vaše síť končí nebo se Vám tak rychle mění, že chvíli trvá než to zabezpečíte. Používání prvků, které mají nejvyšší standardy kyberbezpečnosti by mělo být ve státní správě povinností. Omezit ty výrobce, které to nevidí stejně např. Hikvision, Dahua je legitimní. Musíme se zeptat kolik západních výrobců kamer může dělat kritické kamerové systémy pro čínskou vládu. Odpověď asi znáte.....

Americká FCC už je zakázala certifikovat před rokem a půl (https://docs.fcc.gov/public/attachments/DOC-389524A1.pdf) a mění je za jiné. Řeší možné náhrady, financování, dotace... My jsme na to přišli až teď, kdy už jsou instalované "všude."
Až se jednou všechny tyto kamery spojí do botnetu, který zaútočí na blesk.cz :-), budou se zmínění "profesionálové" divit a "amatéři" říkat "my jsme vám to říkali". Odstínění VLANkou vzniku botnetu nezabrání, pokud jsou kamery připojené kamsi do cloudu výrobce v Číně.
A aplikace pro ovládání těchto kamer nainstalované (často i napřímo z webu výrobce kamery) v tisících mobilů se taky hodí, ne? Když jsem posledně instaloval známému starší kameru Hikvision, mobilní aplikace instalovaná před pár sekundami z GooglePlay hlásila, že je outdated a že si mám instalovat upgrade přímo z webu výrobce. Neječí vám u toho všechny bezpečnostní alarmy?

ptal jsi se v čem je problém, když ti to ukážu na příkladech, tak si z toho jen děláš srandu? Hm.

Přitom detekce změny konfigurace (SW nebo fyzické) je věc, která se v bezpečnostních kamerách řeší roky a dnes společnosti nabízí SW, který právě hlídá integritu obrazu a detekuje anomálie. Síťová bezpečnost trápí dnes asi jen domácnosti.

Útočníci se tomu přizpůsobili a umí měnit chování kamery pouze na určitou malou dobu, tak aby třeba skryli svoji přítomnost.

Ono ty kamery nemusi nutne jen stavkovat. Uvedomte si, ze ty kamery se krom jineho pouzivaji treba na zeleznici jako substitut dopravnich zamestnancu u dalkove rizenych trati. A ted si predstavte, ze vam takova kamera ukaze, ze trat je nekde volna... a v kombinaci treba s jinou poruchou na okolnim zabezpecovacim zarizeni... vam tam dirigujici vypravci posle vlak do stojici soupravy, kterou kamera "neukaze".

Ano, muzete v pripade te jine poruchy uplne zastavit provoz, ale to zas pak lidi budou nadavat, ze jim ten vlak nejede vubec, ze...? :-) Ono se u lidi moc nesetkate s pochopenim, kdyz kvuli "divnemu stavu" zabezpecovacky zpusobene treba kradezi sdelovacich kabelu ten vlak nejede vubec....

paranoidní? Vždyť existují již reálné útoky a několik let řeší jak zajistit integritu kamer, vznikají na to standardy a mluví se o otevřených FW.

Celá bezpečnost v IT je založena na řešení převážně teoretických problémů, protože když se problém stane reálným, už je pozdě, viz třeba rodina útoků spectre...

Protoze bohuzel nejlepsi pomer cena vykon. Hikvision je stejny problem jako huawei. Je bohuzel spicka.

17. 4. 2024, 14:11 editováno autorem komentáře

No jasně, nebo že ty kamery začnou číst propagandu a začnou stávkovat. Nebo se jim nebude líbit zdroj napájení a začnou ho zavrhovat s tím, že ho vrátí dvakrát víc do sítě. Taky si dovedu představit, že se promění v laserová děla a začnou útočit na kolemjdoucí. Dokonce jsem viděl kameru, která si se mnou chtěla povídat. Sice jsem byl pak 2 dny v rauši, ale určitě to byla ona.. Taky mě napadl zaklínač, který by mohl kameru vzdáleně ovládat mentální energií, nebo pomocí prstenu jako v arabele.. Je na čase, abyste se probudili a začali řešit reálné problémy a ne si vymýšlet pohádky!
Pokud se chystáte bojovat se zbytkem světa, tak si nic jiného stejně nezasloužíte, jenomže do tý doby už budete 3x v pravěku :)
Je to jen a pouze obchodní válka, kterou jsme začali, jak to končí vidíme na příkladu například RF, která evropu na dobro poslala kam patří.

Kamera musi byt uplne hloupa aby takove riziko nebylo.

Jinak dnesni lepsi kamery maji docela slusne rozpoznavani objektu. Jenomze kdyz do kodu clovek nevidi tak clovek netusi co muze kamera vygenerovat na zaklade nejakych podnetu. Ty nejdrazsi modely maji hromadu procesniho vykonu a pameti.
Takze by bylo dobre aby zarizeni bylo budto hloupe nebo plne auditovatelne.

18. 4. 2024, 07:54 editováno autorem komentáře

Jasne, ale tahle paranoia jde vysroubovat do nebes. Stejne tak je mozne, ze utocnik napadne vyrobce jakekoli kamery a skodlivy kod do ni nahraje pri vyrobe, podobne jako pri supply chain utoku na SolarWinds. Teorie, experimenty a vyzkumy snesou vsechno. Realita (i kdyz smutna) je ze cinske kamery v pomeru cena vykon nemaji zdaleka konkurenci a pri spravne konfiguraci (coz neni chyba kamer, pokud to nekdo podceni) je riziko minimalni na urovni teoretickych experimentu.

Jsou dve kategorie teoretickych bezpecnostnich problemu. Ty ktere zustavaji teoretickymi a dela si na nich nekdo karieru a ty ktere maji potencial byt realne zneuzitelne. No a my, na ktere to dopada ,musime ty kraviny jak popelka tridit a vybirat ty ktere maji realny potencial zneuziti. Zatracene draha popelka...

Nevim mufe jestli jsi ty hikace nekdy videl. Jsou to solidni vyrobky. Nahradni dily, podpora a mohou jet komplet lokalne na onvifu s jakkymkoliv rekorderem/kon­centratorem. Kvalita obrazu nedostizna. Nevim o moc kamerach ktere by mely i infra detekci anomalii.

Opírat traťovou bezpečnost o vizuální automatizovaný zdroj? Když bude déšť a mlha, půjdete tam šťourat slepeckou holí? To je samozřejmě blbost. Dnešní kamery se pro průmyslové použití používat sice mohou, ale je to přímou zodpovědnosti toho, který se o infromace z nich opírají. Tady se hraje úplně o něco jiného.. Tady se regulerně začíná počítat s faceID a pro to jsou určeny kamery s postprocesingem a odečtem biometrických údajů přímo na dané kameře, kdy se do databázového enginu odesílají hotové údaje. Tzn. Váš profil je už kompletně digitalizován na dané kameře a do databází už jdou jenom parametry se kterými se hledá shoda. Co si budeme nalhávat, čína je v tomto minimálně 10 let napřed a o co se tu jedná je fakt, že vývoj těchto prostředků se teprve v EU musí profinancovat, proto se budou volit konkrétní dodavatelé, kterým se nasype do čepice cukroví a oni znovu vynaleznou kolo.. Ono to spíš ale dopadne tak, že koupí od číňana hotovou věc a jenom na to daj nálepku protože faceID a budeme se vzájemně plácat po zádech, jak to pěkně funguje. Ten zásadní problém je v tom, že se jedná o zoufalou strategii přípravy na "nevyhnutelny" konflikt. Dle mého už toto je trestné.

Pokud zacnu uvazovat nad vsemi vektory utoku, nemohl bych si poridit prakticky nic co si sam nevyrobim.

U tech kamer aspon muzu udelat fallback k hloupym kameram AHD ci mene hloupym TVI a u IP zamknout pristup k updatum. Je mozne i overeni kamer vuci zbytku site.

To je zase panika. Vždyť v té číně se dělá všechno. To zakážete všechno?

Konkretne zrovna treba v Libni mate u kolejove brzdy kamerovy system, kterym se monitoruje pohyb vozidel pri posunu. Drazni predpisy zrizeni u slozitejsich zhlavi nevylucuji. Ono driv vam tohle resil signalista ci vypravci, co se z okna / po perone neprochazel jen proto, ze se potreboval nadychat cerstveho vzduchu. A samozrejme dlouhodobe je trend lidi nahrazovat technikou.

To "automatizovany" jste si tam vsunul nejak navic, ja o tom nikde nepsal :-) Mozna byste mel namisto kreativniho vkladani slov navic uvnitr te sve kebule pozorneji cist, co je skutecne napsano. A jinak samozrejme ano, pokud neni zbyti, tak na trat klidne vyrazi clovek, co vam na miste overi stav zarizeni... a treba i osadi prenosne zamky na vyhybky, kdyz je to nutne, aby se dalo alespon nejak omezene jezdit...

Nevšiml jsem si, že by jste mi tu ukázal relevantní vektor intruze. Spíš moc koukáte na pitomé filmy. Všechny popsané pokusy se týkaly kamer s pozměněným firmwarem a jediný, kdo tyhle intruze plánovitě připravuje, je na naší straně. Klasické h.265, HEVC kamery jsou úplně obyčejné konvertory, které obrazová data překládají do IP streamu a ten se potom post zpracovává na DVR nebo obrazových procesorech. QR a jiné kodování je součástí HW klíčů pro nastavování kamer naprosto běžně, ale jsou součástí nastavovacích rutin, které výrazně zatěžují řídící IO a nejsou určeny pro běžný provoz.
Problém je ale někde úplně jinde. Vycházíte sám z myšlení zločince, tedy že fungování takového technického celku je automaticky podrobeno nějakému integrovanému backdooru. resp. si nedovedete představit, že tomu tak není.
Jinými slovy: musíte automaticky předpokládat, že jakákoliv technologie je cinknutá a tomu přizpůsobit celý soubor opatření, samotný výběr kamery na to nemá vliv. I to nejhlubší přesvědčení, že to cinknuté není, protože jsem si to zaplatil většinou nese pouze formu přesvědčení, že tomu tak je. Naopak z pohledu projektového manažera a navrháře telco HW jsem si naprosto vědom, jak tyto mechanizmy fungují a v jakém stádiu se do HW Backdoor dostáva - tedy na projektové úrovní. Adsence backdooru je potom pohodlím pro kohokoliv, ne jenom toho, kdo o to požádal a proinvestoval změnu. Tyhle exploity byly již opakovaně popsány a potvrzeny. Ono úplně bohatě stačí, když ti konzultant doporučí použít jisté knihovny místo jiných a podobně a přesně tak se to dělá. Počítat s tím, že v čínské nebo západní kameře není nějaký backdoor je prostě ekvivalentní hloupost.

Pokud.... vetsina tehle systemu jeden komplet uvnitr vlastni infrastruktury. I ten nejmenovany hikvision a nekteri pribuzni paraziti na jeho jmenu.

Obvykle maji bezpecnejsi kamerove systemy oddelenou nebo castecne oddelenou infrastrukturu a i tam musite vedet kde vam zacina a kde konci na kazdem dratu. Bez navaznosti na vyrobce.

Nebo pokud se bojite superinteligentnich kamer tak taky muzete prejit TVI nebo AHD a inteligenci resit az na centralni casti. Jenomze to si podrazite vetev protoze nemuzete poradne primo od kamery sifrovat. Coz je nekdy vyzadovano.

Nikdo nepise ze se jedna jen o IP kamery.

Tak hlavne nemontovat dohromady kamery cmoudove a ty fungujici ciste jen v lokalni siti bez dalsi konektivity.
Presvedcit o jinych objektech muzete kazdou kameru. I tu analogovou. Staci kdyz narusite prenosovou trasu a pustite tam jiny signal.
A hops mate deepfake zaznam "osoby kterou nemate radi" jak krade v nejakem objektu na jejich NVR rekorderu.