8 (861) 204-77-01
г. Краснодар, ул.Северная 32
Пн-Пт: 9.00 - 18.00 / CБ: 9.00 - 16.00
Закрыть
Контакты
Меню

Уязвимости видеокамер Trassir

trassir камеры

Trassir видеокамеры хранят скрытую угрозу? Какие недоработки производителя могут сделать большую брешь в нашей системе видеонаблюдения? 

Сегодня поговорим о видеокамерах Trassir. Если вам лень читать статью, вы всегда на одном из наших каналов найдете видео, ведь там мы не просто расскажем, но и покажем как это происходит

  

 

О чем пойдет речь ?

 

 

Слаботочники инженеры и монтажники хорошо знают и любят DSSL, ведь эта компания производит однин из самых удобных при установке и настройке серверов системы видеонаблюдения Trassir. Однако камеры видеонаблюдения Trassir у нас, как у инсталяторов не вызвали ярких эмоций, лишь разочарование. Сегодня о камерах видеонаблюдения Trassir и поговорим.

Сразу отмечу, что все нижеизложенные наблюдения будут актуальны на конец 2023 года. Возможно, когда вы читаете эту статью ребята устранили эти недостатки. Что ж, мы будем только рады, возможно это произойдет из за того, что кто то услышал и нас  😊

 

Стандартный пароль

 

Слабый стандартный пароль – одна из базовых уязвимостей. В то время, когда у Hikvision, Dahua и других производителей специалист при настройке камеры видеонаблюдения должен ее активировать, придумать пароль после активации. У камер Trassir - это стандартное значение:

 

Логин: admin Пароль: admin

 

 

Почему так случилось? Толи максимально старая прошивка, в которой поменяны только логотипы на Trassir, то ли забота  о монтажниках и инженерах, которые настраивают камеры видеонаблюдения. Ведь все должно пройти быстро и гладко?

Но порой эта забота играет для системы безопасности и объекта в целом злую шутку, ведь специалист при настройке камер просто оставляет значение по дефолту. Да да друзья, это не шутки.

 

Почему же они так делают, что отвечают?

 

 

 

  • А кому эти камеры нужны, кто туда полезет? Стандартный ответ как и большинства пользователей
  • Камеры в сети безопасности, а значит они изолированы и всегда такими останутся и неважно какой там пароль ( как же сильно они заблуждаются 🤣 )

 

 

 

От себя скромно добавим, что видели немало объектов с стандартными паролями admin. Все просто, когда можно упростить, человек упрощает.  Ну а пароль admin продолжает входить в десятку самых любимых паролей хакеров при бруте 👏

 

Защита от брутфорса

 

Мы были сильно удивлены, когда узнали что у подопытной камеры Trassir ее просто нет !!!

Как проверяли что делали? Написали простой скрипт и пытались подключиться по rtsp с неверным паролем к учетке admin раз 100 так. После этого успешно зашли в учетку с правильным паролем. Аккаунт заблокирован не был, да и в WEB морде камеры видеонаблюдения Trassir мы не нашли заветной галочки: защиты от брутфорса. Однозначно есть уязвимость, которую надо устранять

 

защита от брута

 

 

Способ авторизации

 

Способ авторизации у трассира, как выяснилось в конце 2023 года может быть базовый, а пара логин и пароль передается с помощью кодировки BASE64 🤦‍♂️  Что это значит? Логин и пароль даже ломать не нужно, эту пару мы легко декодируем обратно. Таким образом криптостойкость системы видеонаблюдения на базе этих камер не стремится, а равна нулю и является огромной уязвимостью системы видеонаблюдения!!! А с учетом того, что нет возможности подкинуть даже самоподписный сертификат, приходится работать с HTTP, а чем это чревато мы все с вами понимаем.

 

базовый способ авторизации

 

Домашнее задание нашим читателям. Попробуйте самостоятельно узнать логин и пароль этой видеокамеры Trassir из  рисунка выше. Для этого можете использовать любой онлайн decoder в сети

 

Или команду в linux: echo -n “закодированное сообщение” |  base64 -d

 

 

Фильтрация входящих соединений

 

Ну уж слишком много косяков у этой подопытной камеры. Может все таки как то можно защититься? Ну давайте попробуем воспользоваться фильтром по IP, чтобы усложнить жизнь злоумышленникам.

Включаем при настройке камеры видеонаблюдения Trassir фильтрацию и пробуем подключиться. Ну что ты будешь делать, ну никак Trassir не хочет усложнять жизнь злоумышленникам. Камера сама сообщает нам, чтобы мы поменяли IP адрес. Это просто чудо 🤣

 

фильтрация по ip

 

 

Сборка камеры

 

Мы не будем глубоко лезть в железо, которое используется при сборке камеры и версию прошивки. Об этом чуть более подробно мы рассказали в наших видеообзорах.

 

версия камеры

 

Вывод:

 

Скажем одно: ребятам есть куда стремиться и я уверен они смогут дотянуть свои камеры видеонаблюдения до уровня серверов Trassir.

Пока, что в виду выше описанных подробностей испытуемая камера Trassir на конец 2023 года является дыркой, которую пробьет любой вектор атаки из сети. Именно поэтому мы после 2023 года отказались от установки и настройки видеокамер Trassir

 

Видеообзор по настройке, уязвимостям видеокамеры трассир вы можете посмотреть на наших каналах: Youtube  Rutube  VKVideo