Wann werden Überwachungskameras zum Risiko?

Wann werden Überwachungskameras zum Risiko?
Wann werden Überwachungskameras zum Risiko?
Veröffentlicht in Blog

Diese Überwachungskameras sind ein Risiko

Alle wollen mehr Sicherheit, aber kaum jemand will dafür Geld ausgeben. Gespart wird gerne bei Sicherheitskameras, Cloudlösungen und bei der Installation. Wo liegen die Risiken? Insights von einem Softwareentwickler und Integrator von Sicherheitssystemen.

Das sollten Integratoren und Kunden wissen

Es gibt einige Sicherheitslücken bei Überwachungskameras. Die Regierung von Litauen deckte im Mai 2020 über 61 Schwachstellen bei Kameras von Dahua und Hikvision auf. Unter anderem wurde Daten an russische Server gesendet. Hersteller oder Dritte konnten dank schwachen Passwörtern direkt auf die Kamerastreams zugreifen.

2019 berichtet Heise Online, dass Studenten der Hochschule Offenburg eine erhebliche Sicherheitslücke bei Dahua Kameras entdeckt haben. Die Lücke CVE-2019-9677 gilt als „kritisch“. Angreifer könnten an der Schwachstellen ansetzen, einen Speicherfehler (Buffer overflow) auslösen und letztlich Schadcode auf Kameras laden und ausführen.

Hacked Hickvision IP camera Map USA and europe

Im folgenden Fall geht es aber nicht um Dahua oder Hikvision, sondern um einen führenden OEM Produzenten für Videoüberwachung aus China.

1. Fehlerhafte OEM Cloudlösung betrifft Millionen von Kameras

Hangzhou Xiongmai Technology dürfte den wenigsten ein Begriff sein. Die chinesische Firma ist ein sogenannter OEM – Original Equipment Manufacturer – und produziert für über 100 Firmen Produkte für den Videoüberwachungsmarkt. Ende 2018 waren in Europa bereits mehr als 1,3 Mio. Geräte im Einsatz.

gravierende Sicherheitslücke in der Cloud App von Xiongmai

Der Sicherheitsforscher Stefan Viehböck hat im Aufrag von SEC Consult 2018 eine gravierende Sicherheitslücken bei der Cloud-Lösung von Xiongmai festgestellt.

Es geht um die Cloud App „XMeye“.

Die Funktion „XMeye P2P Cloud“ ist Teil der Cloud App, die bei Xiongmai-Geräten standardmässig aktiv ist. Diese nutzt ein Protokoll, mit der die User auf Ihre IP-Kamera und Netzwerkrekorder zugreifen können. Dadurch werden Millionen Xiongmai Überwachungskameras durch das Cloud-Feature unsicher.

  • Wenn die Datenübertragung nicht ausreichend verschlüsselt ist, was en casu leider der Fall war, kann jeder „Man-in-the-middle“ Angreifer alle übertragenen Daten von der Videokameras abgreifen.
  • Das Feature der „P2P Cloud“ ermöglicht es Firewalls zu umgehen und auf einfache Weise eine Verbindung zu privaten Netzwerken herzustellen.

Hier finden Sie wichtige Hinweise von SEC Consult, die Schwachstellen beim Standardpasswort, default user, Modifizierung der Firmware und deren möglichen Verbreitung über die XMEye-Cloud aufzeigen.

Wer ist betroffen?

Jedes Xiongmai-Gerät ist betroffen. Es gibt mehr als 100 Marken (sind am Ende des Artikels aufgeführt) für die Xiongmai produziert.

Xiongmai-Geräte können Sie über das Webinterface oder auf der Fehlerseite (unter IP/err.htm) identifizieren. Möglicherweise wird „XMEye“, GoodeyeiCSee Pro, oder JFeye in der Produktbeschreibung angegeben.

Interessant zu wissen ist, dass derselbe Hash-Algrithmus auch in Dahua Produkten verwendet wird. Vielleicht hat sich Xiongmai nur davon inspierieren lassen oder der Alogrithmus ist Teil der Huawei HiSilicon Soc SDK und wird bei beiden Herstellern eingesetzt?

2. US Regierung verbietet Produkte von Dahua, Hikvision und Zulieferern

Die USA gehen einen Schritt weiter und verbieten Produkte von Dahua, Hikvision und Huawei Hisilicon in Bundeseinrichtungen. Konkret verpflichtet die US-Regierung seine Zulieferer, Produkte von Dahua, Hikvision und Huawei (inkl. OEM) aus Einrichtungen von Bundesbehörden zu entfernen.

GSA, der staatliche Betreiber von kritischen Infrastruktren, hat seinen Vertragspartnern mitgeteilt, das auf der schwarzen Liste stehende Equipment bis spätestens dem 13.8.21 zu entfernen, bestehende Verträge mit Zulieferern würden ansonsten gekündigt.

Braucht es eine schwarze Liste in der Schweiz?

Das rigorose Vorgehen der US Regierung suggeriert auch einen Handlungsbedarf in der Schweiz. Gibt es weitere Gründe für das Überdenken einer Zusammenarbeit ?

Es könnte sein, dass die schwarze Liste mehr ein politisches Statement und Teil der Trump Strategie war, China als Handelspartner zu schwächen. Die festgestellten Sicherheitslücken sind dennoch ein Punkt um die Zusammenarbeit mit Chinesischen Produzenten von Sicherheitssystemen ernsthaft zu überdenken.

Gravierende Sicherheitslücken gibt oder gab es aber auch bei der schwedischen Axis oder dem US amerikanischen Unternehmen Flir.

Eines ist sicher. Das Thema sollte auch bei uns auf Bundesebene mehr Beachtung finden, gerade weil kritische Infrastrukturen möglicherweise mit leicht angreifbaren Produkten ausgerüstet sind.

3. Installation, default Users und Standard Passwörter

Mit der richtigen Bewertung und Auswahl von Produkten können das Sicherheitsrisiko minimiert werden. easypsim ist primär eine Softwarefirma, installiert auch selber Videoüberwachung, NVR Recorder und entwickelt selber VMS und PSIM Software, vornehmlich für Gefängnisse, Banken und kritische Infrastrukturen.

Wir sind uns bewusst, dass unsere Kunden höchste Ansprüche an die Sicherheit haben. Deshalb überprüfen wir regelmässig Meldungen zu Sicherheitsproblemen, exploits und ersetzen selbstverständlich alle default Passwörter vor der Installation.

Zusätzlich sind unsere Videostreams nach best practice und IT Security standards verschlüsselt. So minimieren wir das Risiko von Angreifern von aussen.

Massnahmen und Empfehlungen

Überwachungskameras können zu einem echten Sicherheitsproblem werden, wenn nicht grundlegende Aspekte beachtet werden. Mit den folgenden Hinweisen können Sie das Risiko von Angriffen auf Videokameras reduzieren.

Hardware

  • Wurde die Überwachungskamera von einem OEM (Original Equipment Manufacturer) hergestellt?
  • Falls ja, informieren Sie sich darüber wer die Hardware Komponenten herstellt und wo diese produziert wurde.
  • Wählen Sie einen Hersteller aus, der häufige und zeitnahe Updates anbietet.
  • Der Hersteller sollte keine Zugehörigkeit zu einer nationalen Agentur haben.

Software & Firmware

  • Erkundigen Sie sich, wer die Soft- oder Firmware entwickelt hat und wo diese produziert wurde.
  • Stellen Sie sicher, dass Updates regelmässig durchgeführt werden.
  • Informieren sie sich darüber, auf welchem Kanal Sicherheitslücken kommuniziert werden.

Netzwerkeinstellungen

  • Verwenden Sie https- oder rtsps-Streams (verschlüsselte Streams) zur Wiedergabe.
  • Deaktivieren Sie das anonyme Betrachten.
  • Aktivieren Sie die IP-Adressfilterung
  • Deaktivieren Sie alle nicht benötigten Ports und Dienste, z. B. ftp, ssh, dns, bonjour, etc.
  • Segmentieren Sie das Netzwerk und schränken Sie den Zugang zum Internet ein, falls erforderlich.

Passwörter

  • Deaktivieren Sie Standardkonten und verwenden Sie keine Standardpasswörter.
  • Passwörter sollten Sonderzeichen und mehr als 10 Zeichen enthalten

Scans

  • Führen Sie regelmässig Sicherheitsscans von Edge-Geräten durch.

Integratoren von Sicherheitssystemen

  • Arbeiten Sie mit Integratoren, die ein ausgeprägtes Bewusstsein für Sicherheitslücken bei Überwachungskameras ausweisen

Informieren sich selbst

  • Bleiben Sie am Ball und googeln Sie selbst nach Sicherheitslücken der verwendeten Produkten.
  • Folgen Sie den social media Profilen von Herstellern, IT Security Firmen und Experten wie Stefan Viehböck @sviehb.

Tipp: IPVM testet Überwachungskameras und ist eine zuverlässige Quelle für Sicherheitslücken wie der Hik-Vision IP Camera Map.

Dem untenstehende Untersuchungsbericht kann im letzten Abschnitt entnommen werden, dass die Behebung der Fehlerquellen bisher keine besondere Prioriät genossen hat.

Disclaimer: Der Artikel stützt sich auf die zitierten Berichte. Es bleibt zu hoffen, dass bis heute alle Sicherheitslücken behoben worden sind. Hoffnung deswegen, weil der Autor nicht abschliessend in Erfahrung bringen konnte, ob alle genannten Sicherheitslücken geschlossen worden sind oder ob die Verantwortlichen gerade dabei sind diese zu schliessen.

OEM Marken: 9Trading, Abowone, AHWVSE, ANRAN, ASECAM, Autoeye, AZISHN, A-ZONE, BESDER/BESDERSEC, BESSKY, Bestmo, BFMore, BOAVISION, BULWARK, CANAVIS, CWH, DAGRO, datocctv, DEFEWAY, digoo, DiySecurityCameraWorld, DONPHIA, ENKLOV, ESAMACT, ESCAM, EVTEVISION, Fayele, FLOUREON , Funi, GADINAN, GARUNK, HAMROL, HAMROLTE, Highfly, Hiseeu, HISVISION, HMQC, IHOMEGUARD, ISSEUSEE, iTooner, JENNOV, Jooan, Jshida, JUESENWDM, JUFENG, JZTEK, KERUI, KKMOON, KONLEN, Kopda, Lenyes, LESHP, LEVCOECAM, LINGSEE, LOOSAFE, MIEBUL, MISECU, Nextrend, OEM, OLOEY, OUERTECH, QNTSQ, SACAM, SANNCE, SANSCO, SecTec, Shell film, Sifvision / sifsecurityvision, smar, SMTSEC, SSICON, SUNBA, Sunivision, Susikum, TECBOX, Techage, Techege, TianAnXun, TMEZON, TVPSii, Unique Vision, unitoptek, USAFEQLO, VOLDRELI, Westmile, Westshine, Wistino, Witrue, WNK Security Technology, WOFEA, WOSHIJIA, WUSONLUSAN, XIAO MA, XinAnX, xloongx, YiiSPO, YUCHENG, YUNSYE, zclever, zilnk, ZJUXIN, zmodo, ZRHUNTER

Information from this article are mainly contributed by Stefan Viehböck (@sviehb) on behalf of SEC Consult Vulnerability Lab, Heise.de, IPVM.

Verwandte Artikel