Sicherheitslücke?

Mucki · 9. März 2017 um 17:44

Sehr geehrter Support,

bitte bestätigen Sie kurz, dass die Instar 6012 HD von dieser Sicherheitslücke nicht betroffen ist:
https://www.heise.de/newsticker/meldung/185-000-unsichere-Webcams-koennten-Hackern-private-Einblicke-gewaehren-3648458.html

Vielen Dank

suedharzer · 9. März 2017 um 18:08

Servus,

Zitat von der Foren-Homepage:

Es handelt sich hierbei hauptsächlich um ein Forum wo sich Kunden untereinander austauschen können.
Der INSTAR Support schaut auch ab und an einmal rein, hauptsächlich helfen / tauschen sich hier Kunden untereinander aus.

Da solltest Du Dich lieber gleich direkt an den Support wenden.
Kannst ja die Antwort dann hier verraten.

gruss

INSTAR · 10. März 2017 um 08:16

Gerne können wir bestätigen das die Kamera von diesem Problem in keinster Weise betroffen ist. Der Webserver der auf unseren Kameras läuft ist ein anderer und entsprechende Lücken würden auch direkt geschlossen werden sofern vorhanden.

INSTAR · 10. März 2017 um 09:00

Eine Aufschlüsselung der Sicherheitswarnung, auf die sich der heise.de Artikel bezieht -> https://pierrekim.github.io/blog/201…head-0day.html

1. Details - Backdoor account

-> Telnet ist auf INSTAR Kameras nicht aktiv

2. Details - RSA key and certificates

-> Wir speichern keine Apple Push Zertifikate auf der Kamera (warum auch ?!)

3. Details - Pre-Auth Info Leak (credentials) within the custom http server

-> system.ini oder auch andere .ini dateien lassen sich nicht auslesen über den Webserver, nicht mal mit gültigen Benutzerdaten

4. Details - Authenticated RCE as root + Pre-Auth RCE as root

-> setzt beides Punkt 1 bzw. 3 vorraus

5. Details – Misc - „Cloud“ (Aka Botnet)

-> unsere Kameras (HD) nutzen zwar P2P, aber es ist nicht möglich einen UDP Tunnel aufzubauen, der es erlaubt HTTP Anfragen an die Kamera zu senden

6. Details – Misc - Streaming without authentication

-> kein RTSP Stream auf port 10554 / Und RTSP Authentifizierung ist standardmäßig aktiv

INSTAR Support

Mucki · 10. März 2017 um 10:20

Vielen Dank für die Ausführungen!

Bisher hatte ich sowieso versucht, alle Zugriffsmöglichkeiten von außen zu verwehren. Also keinerlei Portfreigaben, kein P2P etc…

Auch wenn Instar nicht betroffen ist, ließ mich der heise Bericht nochmal aufhorchen.

Schließlich spielen die Instar Cams mit ihrer fehlenden Verschlüsselung ja sicherheitstechnisch in der alleruntersten Liga.

Daher werde ich jetzt nicht nur Ports etc nicht freigeben, sondern die einzelnen Netzwerkprotokolle exklusiv für die Instar Cams sperren.

Hat jemand Erfahrung damit, ob die Instars irgendwelche Probleme bereiten, wenn sich diese ausschließlich im internen LAN tummeln dürfen?

will · 10. März 2017 um 11:36

Ich habe mit meiner Cam keinerlei Probleme mit dem Einsperren im internen Netz (außer, dass ich eben auch nicht von extern zugreifen kann).
Die Uhrzeitsynchrosisation ist jedoch aktiv und ich hoffe, hier drüber wird kein Schindluder getrieben.

Instar: Wie sieht es denn generell mit P2P aus? Eine schon ältere, leider immer noch unbeantwortete Frage aus dem Forum:
https://forum.instar.com/forum/instar-kameras/in-5907-hd/2505-p2p-wie-funktioniert-das-ist-p2p-ein-sicherheitsrisiko

INSTAR · 10. März 2017 um 12:14

Eine kurze Übersicht über den P2P Dienst findet man hier:

https://forum.instar.com/forum/allgemeines-talkroom/allgemeines-talkroom-aa/3576-architektur-p2p?p=31470#post31470

Mucki · 10. März 2017 um 14:53

Externer Zugriff sollte ja via VPN kein Problem sein.
Wenn aber die Uhrzeitsynchronisation noch klappt, dann darf sie ja aber scheinbar immer noch in die große weite Welt hinaus.
Ich dachte an eine Totalsperre außer SMTP für Mails - hier findet ja eine Verschlüsselung statt. Hat damit schon jemand Erfahrung?

INSTAR · 10. März 2017 um 18:32

Man kann natürlich auch noch anstatt eines öffentlichen NTP (Zeitservers) einen internen Server verwenden. Manche Router bieten entsprechend die Möglichkeit bzw. gibt es auch NAS Stationen die das können. Aber auch eine solche Station oder Router muss die Zeit ja von irgendwo her bekommen
Mehr als die Zeit zu übergeben, macht ein Zeitserver ja nicht. Wer da noch Panik hat, sollte am besten garkein Computer verwenden… bereits beim einschalten verbindet sich dieser zu Microsoft und Co und sendet mehr als nur eine Uhrzeit

Die Emails wiederrum werden ja komplett verschlüsselt übertragen. Das ist das gleiche wie wenn Sie ein Mail Programm verwenden.

Mucki · 10. März 2017 um 18:47

Ich habe keine Panik und verwende selbstverständlich weiterhin Computer
Ehrlich gesagt benötige ich bei den Cams gar keinen Timestamp, daher ist mir diese Funktion ehrlich gesagt egal.

Wenn die Cam allerdings einen NTP Server erreichen kann, kann sie sicherlich auch andere Webdienste erreichen, oder liege ich da falsch?

Gegenfrage: Wenn Instar die Sicherheit am Herzen liegen würde, warum wird dann nicht einfach eine SSL Verschlüsselung implementiert?

taler · 10. März 2017 um 22:20

Die fehlende SSL Verschlüsselung wurde an anderer Stelle schon angesprochen.
Was ich in Erinnerung habe ist das derzeit hardwarmäßig nicht möglich, weil die Prozessoren der Kameras das nicht schaffen.
Wer (fast) perfekte Sicherheit sucht, finder bestimmt Lösungen, vermutlich aber aber weit jenseits von 300 Euro-Geräten.
Die Zeitsynchonisation und damit die Anwahl eine Servers läßt sich ja einfach abschalten, ebenso muss Email, FTP oder P2P nicht genutzt werden.
Damit sollte aller Datenverkehr im vorgesehenen Bereich bleiben. Ich kann das mangels technischem Wissen leider nicht prüfen, glaub aber einfach.
Es gibt aber wohl Programme, welche den Datenverkehr prüfen und bei Verdacht auf „Hinauswahl“ einen Hinweis ausgeben.
Solange ich aber beim Kindle, Fernseher oder Handy nicht mal Möglichkeit habe, irgendwas zu beeinflusssen ohne den Nutzen einzuschränken, weil es dazu keine Informationen gibt, ist der Kamerablick auf den Vorpatz das kleinste Sicherheitsproblem.

Natürlich wär es angenehmer, wenn da auch höhere Sicherheitsmöglichkeiten möglich wären, das ist aber eine Preisfrage.
Ich finde die Instargeräte trotz diverser Schwachstellen für meine Anwendung geeignet, vor allem wegen der Software und dem Firmensupport die für mich verständlich sind.
Ich hatte zuvor auch schon Foscam oder Sinocam probiert. Auflösungsmäßig sind die Geräte wirklich Klasse, softwaremäßig komme ich damit gar nicht klar und die Unterstützung vom chinesischen Support ist zwar freundlich aber nutzlos, es wurde bis jetzt immer! auf die Anleitung verwiesen- das war alles.

Gruß taler

INSTAR · 11. März 2017 um 04:56

Richtig, für SSL hat die Kamera nicht die Leistung.
Es zu integrieren wäre kein Problem. Aber die Kamera würde damit nicht klar kommen bzw. nicht stabil laufen.
Bei den neuen FullHD Kameramodellen wird SSL (HTTPS) direkt mit drinnen sein. So wird auch jede Kamera über die INSTAR DDNS mit einem entsprechenden Zertifikat geschützt sein so dass der Webbrowser die Kamera als Sicher anzeigt.

Ein Nachteil bei HTTPS ist jedoch, das wenn man lokal im Netzwerk über HTTPS zugreift, der Kunde immer eine Meldung bekommt das die Verbindung nicht sicher sei blablabla…

Problem ist, das die Webbrowser nicht prüfen ob es sich um eine lokale IP Adresse handelt oder eine externe. Man kann auf IP Adressen keine Zertifikate vergeben, nur auf Domains. Für den User kommt aber eine Sicherheitswarnung die weit gefährlicher aussieht als jeder HEISE Bericht. HTTPS ist zwar gut, aber ich sehe es jetzt schon kommen das 50% der Kunden verunsichert sind über die Meldung die im Webbrowser kommen wird beim Aufruf der lokalen IP über HTTPS…
Kann man nur hoffen das hier die Webbrowser irgendwann einmal lokale IP Adressen aus der Prüfung entfernen…

@Mucki, du siehst, wir sind dran und es wird bald kommen… nur leider ist ein leistungsstärkerer Prozessor notwendig…

seagull · 19. März 2017 um 18:06

Hallo Instar,
lässt sich das zeitlich und preislich schon eingrenzen?
Danke