Пароли от ip-камер видеонаблюдения популярных марок попали в открытый доступ

[Diver]

Информация о взломах компьютерных систем давно уже перестала считаться фантастикой. Переход на сетевое видеонаблюдение поставил безопасность IP-камер под закономерный вопрос: можно ли при желании обойти защиту, и есть ли она как таковая?

 

Парольная защита предусмотрена во всех без исключения моделях камер видеонаблюдения. Однако уровень её исполнения у разных производителей может оказаться разным. Не секрет, что во многих системах пароли по умолчанию остаются на долгие годы — по сути, до первого прецедента взлома.

 

Наиболее продвинутые производители IP-камер ставят пользователя в такие условия, когда оставить пароль по умолчанию становится невозможным либо затруднительным. Один из методов заставить юзера задать уникальный пароль — потребовать этого при первом доступе к камере. При этом система может оценивать сложность пароля, задавая минимальное количество символов и производя анализ содержания пароля. Последнее позволяет обеспечить в пароле одновременное присутствие цифр и букв в различных регистрах. Возможно, некоторые из пользователей будут ворчать на неудобства запоминания добытой в честной борьбе с камерой «абракадабры». Однако это позволит гарантировать, что к камере получат сетевой доступ только уполномоченные на это пользователи.

 

В новых сетевых камерах Samsung процедура задания пароля построена таким образом, чтобы вообще лишить пользователя возможности ввести пароль по умолчанию. В камерах Axis это решено несолько «мячге»: при первом запуске можно задать новый пароль, а можно и обойтись «дежурным» pass. С одной стороны, это позволяет управляющему софту находить камеры до момента первого доступа к ним пользователей, с другой — оставляет лазейку «для ленивых» не менять пароль по умолчанию вообще.

 

Наши внимательные коллеги обнаружили, что далеко не все изготовители IP-камер уделяют столь пристальное внимание защите своих продуктов от несанкционированного доступа. В большинстве моделей камер Dahua не только предусмотрена комбинация по умолчанию «admin/admin», но и присутствуют две пользовательских учётных записи, которые невозможно удалить: 666666/666666 и 888888/888888, причём последняя — с правами администратора. В большинстве IP-камер этой марки пароль этих записей может быть изменён. Однако как минимум в нескольких моделях DVR (включая и видеорегистраторы, рассчитанные на новый стандарт HDCVI) задания нового пароля не предусмотрено вовсе, сообщает издание Security News.

 

За редкими исключениями, в число которых входит и продукция Cisco, подавляющее большинство производителей IP-камер видеонаблюдения вовсе «не заморачиваются» тем, чтобы убедить пользователей в необходимости смены паролей по умолчанию. Возможно, они в чём-то и правы: имея дело с защитой объектов, не принимать меры по защите камер по меньшей мере нелогично. Поэтому будем считать, что лень и невнимательность — потенциальные союзники злоумышленников.

 

Чтобы хоть как-то заставить пользователей и админов защитить оборудование от хакеров, на сетевых ресурсах нередко публикуют перечни логинов/паролей по умолчанию для наиболее популярных марок оборудования. Наиболее полный список для сетевых камер видеонаблюдения на данный момент выглядит следующим образом (login/password):

ACTi: admin/123456 либо Admin/123456

American Dynamics: admin/admin либо admin/9999

Arecont Vision: отсутствует

Avigilon: admin/admin

Axis: обычно root/pass; в новых камерах при первом входе требуется задание пароля

Basler: admin/admin

Bosch: отсутствует

Brickcom: admin/admin

Canon: root/camera

Cisco: по умолчанию пароль отсутствует, но при первом входе требует задания

Dahua: admin/admin

Digital Watchdog: admin/admin

DRS: admin/1234

DVTel: Admin/1234

DynaColor: Admin/1234

FLIR: admin/fliradmin

Foscam: admin/<пробел>

GeoVision: admin/admin

Grandstream: admin/admin

Hikvision: admin/12345

Honeywell: admin/1234

IQinVision: root/system

IPX-DDK: root/admin либо root/Admin

JVC: admin/jvc

March Networks: admin/<пробел>

Mobotix: admin/meinsm

Panasonic: admin/12345

Pelco Sarix: admin/admin

Pixord: admin/admin

Samsung Electronics: root/root либо admin/4321

Samsung Techwin: admin/1111111 (старые модели), admin/4321 (новые модели)

Sanyo: admin/admin

Scallop: admin/password

Sentry360 (mini): admin/1234

Sentry360 (pro): отсутствует

Sony: admin/admin

Speco: admin/1234

Stardot: admin/admin

Starvedia: admin/<пробел>

Trendnet: admin/admin

Toshiba: root/ikwd

VideoIQ: supervisor/supervisor

Vivotek: root/<пробел>

Ubiquiti: ubnt/ubnt

Wodsee: admin/<пробел>

Надеемся, что публикация этого перечня приведёт к тому, что хотя бы часть пользователей IP-камер изменит, наконец, пароли по умолчанию на нечто менее очевидное. А производители камер, в свою очередь, воспользуются опытом Axis и Samsung, чтобы предоставить пользователям необходимые возможности для смены паролей. Рекомендуем отнестись к этому как к «защите от дурака»: если пользователь не сменил комбинацию по умолчанию, значит, ему следует настойчиво напоминать о том, что его система находится под угрозой.

[Новодел]

Лучше бы опубликовали логины и пароли на скрытые аккаунты, которые производители делают "на всяк случай", может после этого вендоры прекратили бы такую фигню пороть. Ну а пока что по этому признаку (наличие скрытого аккаунта) все производители делятся на 2 категории - на тех, кого уже поймали на этом, и тех, до кого еще не добрались

 

З.Ы. И поэтому у меня камерам доступ в инет закрыт ACL на роутере (впрочем, как и к камерам из инета). А чтоб не было вопросов к самому роутеру (хз что там вендор в прошивке натворил), он тоже прошит открытой прошивкой (OpenWRT или Tomato).

[uafisher]

Лучше бы опубликовали логины и пароли на скрытые аккаунты, которые производители делают "на всяк случай", может после этого вендоры прекратили бы такую фигню пороть.

Есть такие пароли.. Плохая штука..