Eno izmed ključnih vprašanj je, koliko so varni varnostni sistemi!

To je že tretji v vrsti blog-ov, ki opisujejo varnost sistemov, ki naj bi nas varovali. Proizvajalci prefinjeno zakrivajo svoje interese pod pretvezo boljše uporabniške izkušnje in zadovoljstva kupca. Konca ranljivosti in varnosti teh sistemov pa kar ni videti. Ali so se Američani lotili na pravi način? Glede na vsa dejstva DA, vsaj kratkoročno. Ker gre za varnost kritične infrastrukture, gospodarske in intelektualne lastnine kot tudi zasebne lastnine je v času poplave informacij in “lažnih” novic še kako pomembno razmišljati o spodaj napisanih varnostnih ranljivostih.

Spodaj podajam nekaj kratkih opisov podkrepljenih z linki. Videti pa je, da je to samo vrh ledene gore, zato je pomembno, da razmišljamo korak naprej in se zavarujemo na primeren način. Vsekakor se zahodni proizvajalci veliko bolj zavedajo, da je varnost na prvem mestu. Varnost pa zahteva svoj EUR. IT strokovnjaki se tega že leta dobro zavedajo in temu namenjajo velik poudarek.

ZDA je sprejela zakon o prepovedi nakupa in montaže opreme, ki je sporna za nacionalno varnost

Predsednik Biden je podpisal akt in zakon ki prepovedujeta nakup nove opreme kot na-primer: Dahua, Hikvision, Huawei, ZTE in Hytera najkasneje v roku enega leta.

Samo 4 predstavniki od 520 so volili proti in 0 senatorjev od 100 jih ni volilo proti. Zakon je bil trdno podprt.

Vpliv tega zakona bo imel še večji učinek kot prepoved, ki jo je dala pred časom NDAA in urad za zaščito človekovih pravic.

Zakon jasno govori, da je tudi uporaba v civilne in privatne namene nevarnost za nacionalno varnost, kar je bilo do sedaj nekoliko v sivi coni.

Ker ima Kitajska vlada kontrolo nad HIK Vision, je skrb še toliko večja.

HIK Vision priznal ranljivost

Dolgo je trajalo, da so s strani proizvajalca HIK Vision priznali in popravili ranljivost, ki je omogočala oddaljeno izvajanje kode brez avtorizacije. Predvideva se, da je bilo v tistem času na trgu preko 100 milijonov ranljivih kamer.

DAHUA priznala dve ranljivosti

Odkril jih je raziskovalec Bashis. Prikaz je tudi na tem video posnetku.

OEM

Pri uporabi OEM (OEM pomeni, da je proizvajalec skrit, kamera pa se prodaja pod drugo blagovno znamko) kamer gre še za dodatno varnostno tveganje, saj končni uporabnik ne pozna dejanskega proizvajalca in tako niti ne ve, da ranljivosti so, niti ne ve in ne more preveriti ali je nadgradnja – “firmware” na voljo. V preteklosti se je namreč že dogajalo, da teh popravkov sploh ni bilo.

ONVIF

Standard ONVIF se je končno po zelo dolgem času “prijel” med proizvajalci in tako dobiva pravo veljavo in implementacijo na trgu. Pravila ONVIF določajo, da če je proizvajalec na listah Ministrstva za trgovino in urada za industrijo in varnost, le ta nima dostopa do članstva in programske opreme na ONVIF portalu.

Izjavo katera podjetja so izključena iz ONVIF -a je podana tukaj.

EU

Tudi v evropskem parlamentu so npr. že odstranili Hikvision kamere, zunanji ministri EU pa so 22.3.2021 sprejeli resolucijo s sankcijami proti Kitajski zaradi kršenja pravic. 89,4% poslancev je volilo za odstranitev HIK Vision kamer zaradi varnosti.

EU s sankcijami proti Kitajski zaradi kršenja pravic Ujgurom

Zunanji ministri EU so 22.3.2021 sprejeli odločitev o uvedbi sankcij zaradi kršenja človekovih pravic v šestih državah tretjega sveta. Med njimi je tudi Kitajska zaradi kršenja človekovih pravic Ujgurom. Unija proti Kitajski zaradi človekovih pravic ukrepa prvič po odzivu na pokol na Trgu nebeškega miru leta 1989.

Vir: https://www.dnevnik.si/1042951668/svet/eu-s-sankcijami-proti-kitajski-zaradi-krsenja-pravic-ujgurom

80+ OEM blagovnih znamk, ki so v ozadju HIK Vision produkti, ki so ranljivi

Vir: https://ipvm.com/reports/hik-oem-vuln

Imenik HIK Vision OEM

IPVM Image

Vir: https://ipvm.com/reports/hik-oems-dir

Imenik Dahua OEM