Názory k článku NÚKIB varuje před čínskými technologiemi a chce je zakazovat. Sám měl jednu v budově
-
Tohle je (další) dobrá past... Pokud se rozhodnete nakoupit kamerový systém, poměrně rychle se může stát, že na to bude potřeba výběrko. Sepíšete podmínky, připravíte dokumentaci, a nezapomenete zdůraznit, že zařízení nesmí být od firmy ze sankčního seznamu.
Sejdou se nabídky několika firem, například (jako u nás) s kamerami od AXISu, Hikvision, plus jedna garážovka se systémem založeným na Raspberry (tenkrát ještě byly....). Vyloučíte garážovku pro technickou nezkušenost - a pak už rozhodujete podle ceny, protože jinak vám ostatní hodí na krk oblíbenoupéči dobrého hospodáře
.
To, že nějaká firma čelí sankcím v USA totiž nic neznamená - pokud na českém ani evropském blacklistu není.
Takže pokud si tu budovu NÚKIB nestavěl svépomocí, pravděpodobně bude plná podobných nejlevnějších řešení. A bude potřeba je najít a upravit. -
Pořádný informatik má být paranoidní.
Tak to odříznu od Internetu a je to. Dám do separátního VLANu, nebo, pokud jsem správně paranoidní na separátní switche. Specifikuji to do zakázky a mám to
Musím přece brát, že každé zařízení je napadnutelné... Ať už jde o Cisco a nebo nejlevnější šunt na Aliexpressu.Co takhle napsat do zakázky (neberte to prosím jako rýpání ale otázku):
1) datová komunikace musí probíhat po vlastních switchích
2) výrobce musí garantovat SW updaty firmwaru zařízení na dalších 5 leta bodem 2 automaticky odříznu všechny splácaniny, protože ty se nikdy neupdatují, když jsem se díval, z čeho je typická kamera, tak je tam defaultní board, na něm nějaký sensor (kterým se patřičně výrobce chlubí), na to je mrsklý defaultní SW a ten SW nejen komunikuje s uložištěm, ale má v sobě webserver, kdy je otevřený ven, a defaultními hesly se stačí přihlásit.
Schválně si projeďte někdy svoje Smart IP věci typu zásuvky z různých nákupáků, chytré žárovky taktéž, kamery, světla a budete se divit, co je otevřeno. Udělejte si pitomý scan vlastní sítě a jen zkoušejte IPčka a najednou zjistíte, kolik máte doma webowých serverů :D. A teď si je otevřete ven do Internetu :D. Jako žárovku Vám někdo maximálně rozsvítí v noci a vzbudí Vás, ale kameru bych na Internet nepřipojoval ani náhodou.
-
A ktery normalni dodavatel nedava 5let support?
Vsichni dodavatele serveru a switchu to maji jako default, nekteri uz davaji 7. V zakladni cene v podobe NBD, samozrejme vcetne toho ze pripadne vydaji nejakou tu aktualizaci firmware. Bez toho se to ani neda koupit.
Kdyz si koupite NB, tak tam byvaji 3 roky, ale rozsireni na 5 je tak za 500Kc. Pro koncaka, pro velkeho zakaznika to bude samozrejme v zakladni (a mnohem nizsi) cene.
-
Pochybuji, odkud máte daný argument?
Třeba moje NASy a Switche jsou podporované a upgradované i po více než 5ti letech a některé o hodně déle.
Ohledně kamer, hned první industrial, co jsem našel:
"
Cisco Video Surveillance 3000 Series IP Cameras
Series Release Date 30-NOV-2012
End-of-Sale Date 24-APR-2020
End-of-Support Date 30-APR-2025
"Takže podporují 13 let od začátku prodejů a 5 let od konce prodeje a pak to člověk vyhodí a koupí další.
Ono obecně jak jsem se díval ve firmách dělaly updaty až do konce životnosti a to opravdu ne kvůli funkčnosti ale kvůli bezpečnosti. A mnohdy, i když už byl produkt dávno nepodporovaný, ale nešlo přejít na nový, se platil rozšířený support i po konci normální podpory a prováděly se tak security upgrady i na věcech, co byly 10 let staré, jen aby to bylo bezpečné.
-
Mnohem lepsi jsou totiz "nedefaultni hesla" ... jako treba posledni modely hikvision, ktere vyzaduji aktivaci v cloudu. Bez toho se nedaji nakonfigurovat. A jako bonus se heslo neda do toho policka normalne skopirovat. Je treba na to pouzit narovnavak v podobe emulace stlacenych klaves ... (treba prostrednicvim keepassu).
Alternativne ... mikrotik. Ten to heslo vytiskne na krabici, ktera skonci v popelnici. Takze pak majitel resi, jak se k tomu prihlasit (pripadne ma kliku a popelnici jeste nevyvezli, takze si to tam musi jit vyhrabnout).
-
Zajimal by mne nejaky vycet pripadu, kdy bylo prokazatelne zjisteno, ze v dotycnem HW je neco spatne. A jak pak uvedu velmi dlouhy vycet, toho "americkeho", zacit muzeme kuprikladu firmou ... Cisco. Opakovane dolozitelne zadni vratka.
https://duckduckgo.com/?t=palemoon&q=cisco+backdoor+history&ia=web
-
Tady jde jen o dveřníky, s kamerami je ale úplně stejný, ne-li větší problém.
Nejlepší poměr cena/výkon dnes mají číňani. Bez výjimky. Samozřejmě existují západní výrobci (axis, wisenet, pelco, bosch...).
I když se do zadání dá technická specfikace "západní" kamery, číňani to splní s prstem v nose a za nižší cenu.
A bezpečnostní certifikáty zajímají investory jen do chvíle, kdy přijde řeč na prachy. Pak to najednou nikdo nepotřebuje.
-
Toto je dost složité téma.
Pokud stavba šla z veřejných peněz a z výběrového řízení, kde bylo stanoveno zadání, tak IP dveřník od Hikvisionu to na 90% splní,neboť je to čistá kopie systému od 2N. Ten je celkově o galaxii jinde než ten od Hiku. Bohužel taky cenou.
Zadanou základní funkci ale v pohodě splní, takže vo co de.
A jediné, jak to udělat, je, jak již bylo řečeno, separátní sítí...Paranoik tomu dá vlastní switch bez přístupu z venku.
Horší to je u budovy, která nejde obsloužit jedním switchem - tam už začíná pro paranoika legrace, která jde do peněz.
Fyzicky ten modul nikdo měnit nebude, stavba je předána a evidentně užívána.
Nicméně za mě dobrý článek, jen více takových. Třeba si na NUKIBu udělají bezpečnostní audit a aspoň od venku to oddělí.
