Datenschutz Millionen von Kameras sind unsicher - davon mehr als 1,3 Millionen in Deutschland

[yosemite]

Unter Berufung auf diese Quelle stand der Artikel heute auch im Heise-Ticker.
Da der Hersteller auch diverse OEMs beliefert, dürfte der Verbreitungsgrad recht hoch sein. Jedenfalls wirft mir eine Suche beim großen Fluss in D auch sofort unzählige Treffer raus.

https://www.sec-consult.com/blog/2018/10/millionen-xiongmai-ueberwachungskameras-durch-cloud-feature-unsicher-xmeye-p2p-coud/

 

[blurrrr]

Nu pack doch nicht so olle Kamellen aus, da gab es schon beim Mirai-Botnet eine riesen Welle drum und da hat sich bis heute einfach NIX dran geändert... Deswegen nutzt man die Verbindung der Cams auch nur intern zur Surveillancestation (oder via VPN) und greift öffentlich nur via SurveillanceStation drauf zu (oder auch via VPN)

EDIT: Alternativ natürlich noch die Möglichkeit einer "vernünftigen" Firewall davor, wo nur die IP des SS-Hosts drauf zugreifen darf aus dem Internet und sonst nichts.

 

[yosemite]

Na ja, die olle Kamelle ist von heute und in dem Artikel wird ja auch auf das Mirat-Botnet hingewiesen. Mir war nicht bewusst, dass das hier schon "abgefrühstückt" wurde. Mir war das noch nicht bekannt, aber das mag auch daran liegen, dass ich mich erst seit wenigen Tagen mit dem Thema IP-Cam und SurveillanceStation beschäftige.

Falls von keinem allgemeinen Interesse bitte ich einen der Moderatoren den Thread zu löschen.

 

[blurrrr]

Najo, das hat ja nicht unbedingt was mit "hier" ("Synology"-Forum) zu tun, aber "löschen" würde ich es deswegen nicht unbedingt gleich... Ganz im Gegenteil.. Das Thema an sich ist ein schon sehr alter Hut, aber - so wie das immer ist mit den Säuen die durch's Dorf getrieben werden - geht natürlich auch irgendwann wieder unter und alles läuft weiter wie bisher... Von daher ist ein kleiner "push" zwischendurch sicherlich nicht verkehrt (grade für die Privatanwender), aber die reisserische Überschrift, dass Millionen von Cams unsicher sind... sorry, ist für mich schon fast vergleichbar mit dem Ozonloch...

 

[c0smo]

Da hol ich doch mal wieder einen Link aus der Versenkung.. Sind zwar keine Millionen..
https://www.insecam.org/en/bycountry/DE/

Gerade aus diesen und noch anderen Gründen bin ich weg von der SS. Kameras dürfen einfach nicht direkt aus dem WAN aufgerufen werden.

Edit:/
Und das man nicht irgendwelche dubiosen Relay/P2P Server verwendet, sollte eigentlich jedem klar sein, der sich länger als 1 Std mit dem Thema beschäftigt. Das ist nun leider oft nicht der Fall und Aldid&co verkaufen schön ihre China Cams weiter an den Mann. Vermutlich die Hersteller, die in dem Link aufgeführt werden.

 

[mavFG]

sorry, ist für mich schon fast vergleichbar mit dem Ozonloch...

na na na.. nix über die Klimaerwärmung und Ozonlöcher.. weniger Diskstation, ich sage mal pro Forumnutzer nur eine DS, und wir hätten nicht solche Wetterphänomene..

 

[c0smo]

...ich sage mal pro Forumnutzer nur eine DS, und wir hätten nicht solche Wetterphänomene..

Sprachs.. Und ich sah seine Signatur

 

[blurrrr]

Der neue Trend geht doch eh zu den "Cloud"-Cams, also... was soll's...

 

[c0smo]

Puh.. Den Trend verpenn ich gemeinsam mit Alexa, Facebooks Portal und was sich sonst noch im Wohnzimmer ausbreiten will.

 

[blurrrr]

Jepp, auf jeden Fall, sowas kommt mir auch nicht ins Haus

 

[whitbread]

Oh doch – meine Alexa liegt hier seit xmas noch ungeöffnet. Ich will einfach vermeiden, dass die auch so einen Unsinn anstellt wie Ihre Schwestern...

@Cosmo: Also ich benutze die SS gerade um die Cam eben nicht ins Internet lassen zu müssen, sprich Cams in einem eigenen WLAN im eigenen Subnetz ohne Zugriff nach draussen und die SS greift dann auf die Cams zu. So soll es doch sein, oder habe ich was falsch verstanden?

 

[c0smo]

Nein, alles gut. Meine Herangehensweise ist anders. Mein NVR hat 16 POE Ports, quasi ein eigenständiger und geschlossener Switch mit anderer Adressierung. Die Kameras sind deshalb von keinem Netz erreichbar, weder intern noch extern. Nur der NVR ist online.

 

[Matthieu]

Das ist das gleiche wie whitbread geschrieben hat. Prinzipiell sollte man überlegen iot Geräte in eigene Netze zu verbannen. In der ct war da Mal ein brauchbarer Artikel zu.

 

[c0smo]

Mein Aufbau unterscheidet sich von seiner Variante. Er verwendet ein zweites WLAN Netz, das u. U. genauso kompromittiert werden kann, wie das WLAN das online gehen darf.
Mein NVR bzw der poe Switch darin, ist ein geschlossenes System. Nur der NVR selber hat Zugriff auf die Kameras. Es ist Hardwarebedingt unmöglich direkt auf die Kamera (http, rtsp, onvif etc) zuzugreifen. Auch ich habe keinen Zugriff, ausser ich verbinde mich direkt mit einem LAN Kabel an den Switch (über WLAN ausgeschlossen). Und dann muss ja noch der IP Bereich bekannt sein, ein Port/IPscan ist erfolglos.

Für mich ist das der bestmögliche Schutz um ein Kamera System zu betreiben. Deshalb entschied ich mich auch für den poe NVR. Es hätte auch einen günstigeren "normalen" NVR gegeben. Da wäre dann wieder ein handelsüblicher poe Switch zum Einsatz gekommen, mit all den Nachteilen die man so kennt.

 

[Matthieu]

Ein richtig gemachts WLAN ist in meinen Augen nicht nennenswert sicherer oder unsicherer als ein LAN, egal wie viele Geräte dran hängen. Um in ein WLAN einzudringen, müsste ich nah an das Gebäude ran (oder sogar rein, je nach Reichweite und Begebenheiten). Bei LAN muss ich bis zur ersten Kamera. Dann Kabel ab und mein Gerät dran. Per Wireshark habe ich bisher jedes Gerät und Subnetz ausfindig machen können, weil kaum ein Gerät es lassen kann, regelmäßig Broadcasts für irgendwelche Dinge zu schicken. Und sei es, weil das Gerät gesucht wird, welches eigentlich dort hängen sollte. Im Wireshark steht dann bei ARP sehr schön "Who has XXXXX? Tell XXXXXX" (jeweils mit IP). Bingo.
In der Praxis ist das sehr unwahrscheinlich, aber das ist im WLAN genauso. Ein guter AP eines namhaften Herstellers sollte zu keiner Zeit (Updates vorausgesetzt) nennenswerte Angriffe ermöglichen.

MfG Matthieu

 

[c0smo]

Das stimmt, sehe ich auch so. Nur würdest du bei mir an dem Punkt scheitern, LAN Kabel ab und dein eigenes Gerät ran. Dein PC wird nichts finden, ausser die Kameras mit viel Glück. Der NVR sendet im Hintergrund bestimmt auch seine Päckchen irgendwo hin, nur wirst du darauf keinen Zugriff haben, auch nicht mit Wiresharke. Es ist unmöglich durch mein Kamera LAN Kabel in mein Heimnetz zu gelangen. Und andersrum ist es unmöglich über mein WLAN die Kameras zu finden. Einzig der NVR wird gefunden und der ist nur über 1 Port erreichbar, der aber nur in mit der Dahua Software funktioniert. Selbst die Weboberfläche ist im Heimnetz gesperrt. Zugriff nur über HDMI und dem Monitor daran.

 

[Matthieu]

Das habe ich auch nicht bezweifelt. Man kommt nicht hins Heimnetz, es sei denn man schafft es den NVR zu kapern.
Knackpunkt war, dass ein WLAN mit entsprechender VLAN-Zuordnung sich in puncto Sicherheit davon nicht unterscheidet. Auch hier ist ein Zugriff auf andere Netze nicht möglich. Andernfalls würde jedes Unternehmensnetz zusammenbrechen.

Zu Dahua: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6432 (bzw. übersichtlicher: https://nvd.nist.gov/vuln/detail/CVE-2017-6432)
Das Protokoll welches in den NVR verwendet wird ist proprietär und unverschlüsselt (und geknackt). In der Vergangenheit sind sie schon mehrfach negativ aufgefallen, u.a. mit hart hinterlegten Zugangsdaten: https://www.kb.cert.org/vuls/id/800094

MfG Matthieu

 

[Matthieu]

Sehr schön ist übrigens die Liste mit Marken, welcher der Meldung in Post #1 anhängt, bei krebsonsecurity gibt es sie auch im Text ohne Bilder:

9Trading
Abowone
AHWVSE
ANRAN
ASECAM
Autoeye
AZISHN
A-ZONE
BESDER/BESDERSEC
BESSKY
Bestmo
BFMore
BOAVISION
BULWARK
CANAVIS
CWH
DAGRO
datocctv
DEFEWAY
digoo
DiySecurityCameraWorld
DONPHIA
ENKLOV
ESAMACT
ESCAM
EVTEVISION
Fayele
FLOUREON
Funi
GADINAN
GARUNK
HAMROL
HAMROLTE
Highfly
Hiseeu
HISVISION
HMQC
IHOMEGUARD
ISSEUSEE
iTooner
JENNOV
Jooan
Jshida
JUESENWDM
JUFENG
JZTEK
KERUI
KKMOON
KONLEN
Kopda
Lenyes
LESHP
LEVCOECAM
LINGSEE
LOOSAFE
MIEBUL
MISECU
Nextrend
OEM
OLOEY
OUERTECH
QNTSQ
SACAM
SANNCE
SANSCO
SecTec
Shell film
Sifvision/sifsecurityvision
smar
SMTSEC
SSICON
SUNBA
Sunivision
Susikum
TECBOX
Techage
Techege
TianAnXun
TMEZON
TVPSii
Unique Vision
unitoptek
USAFEQLO
VOLDRELI
Westmile
Westshine
Wistino
Witrue
WNK Security Technology
WOFEA
WOSHIJIA
WUSONLUSAN
XIAO MA
XinAnX
xloongx
YiiSPO
YUCHENG
YUNSYE
zclever
zilnk
ZJUXIN
zmodo
ZRHUNTER

https://krebsonsecurity.com/2018/10/naming-shaming-web-polluters-xiongmai/#more-45290

Ich hab die Liste hier absichtlich rein kopiert, weil sie so über die Suche auftaucht. Von diesen Geräten sollte man folglich unbedingt Abstand halten!

MfG Matthieu

 

[Puppetmaster]

Es ging doch primär auch gar nicht darum, in das Heimnetz einzudringen, sondern den Stream der Kameras abzugreifen.

Kannst du mit deinem NVR ausschließen, dass ich über das Netz des NVR Zugang auf alle Kameras bekomme, wenn ich eine Kamera kapere?

 

[c0smo]

Das habe ich auch nicht bezweifelt. Man kommt nicht hins Heimnetz, es sei denn man schafft es den NVR zu kapern.

Wenn sich jemand diese Mühe machen sollte.. Glückwunsch und Chapeau! - derjenige bekommt den goldenen Schnatz von mir

Sicherlich ist Dahua, wie andere Kamerahersteller auch schon, mit negativen Schlagzeilen aufgefallen. Die angesprochene Lücke mit Hart hinterlegten Zugängen oder eine max PW Länge von 6 Zeichen, etc. existieren schon seit Ende 2016 nicht mehr.
Sicherheitslücken wird es immer geben. Wie darauf reagiert wird, ist das entscheidende. Einer der Gründe, die Finger von diesen Herstellern zu lassen. Da wird man lange auf Updates warten können.