Vlákno názorů k článku Také vnitro chce zakazovat dodavatele do kritické infrastruktury. Dřímají v ní rizikové kamery z Číny od Danny - Konkretne zrovna treba v Libni mate u kolejove...

Konkretne zrovna treba v Libni mate u kolejove brzdy kamerovy system, kterym se monitoruje pohyb vozidel pri posunu. Drazni predpisy zrizeni u slozitejsich zhlavi nevylucuji. Ono driv vam tohle resil signalista ci vypravci, co se z okna / po perone neprochazel jen proto, ze se potreboval nadychat cerstveho vzduchu. A samozrejme dlouhodobe je trend lidi nahrazovat technikou.

To "automatizovany" jste si tam vsunul nejak navic, ja o tom nikde nepsal :-) Mozna byste mel namisto kreativniho vkladani slov navic uvnitr te sve kebule pozorneji cist, co je skutecne napsano. A jinak samozrejme ano, pokud neni zbyti, tak na trat klidne vyrazi clovek, co vam na miste overi stav zarizeni... a treba i osadi prenosne zamky na vyhybky, kdyz je to nutne, aby se dalo alespon nejak omezene jezdit...

Opírat traťovou bezpečnost o vizuální automatizovaný zdroj? Když bude déšť a mlha, půjdete tam šťourat slepeckou holí? To je samozřejmě blbost. Dnešní kamery se pro průmyslové použití používat sice mohou, ale je to přímou zodpovědnosti toho, který se o infromace z nich opírají. Tady se hraje úplně o něco jiného.. Tady se regulerně začíná počítat s faceID a pro to jsou určeny kamery s postprocesingem a odečtem biometrických údajů přímo na dané kameře, kdy se do databázového enginu odesílají hotové údaje. Tzn. Váš profil je už kompletně digitalizován na dané kameře a do databází už jdou jenom parametry se kterými se hledá shoda. Co si budeme nalhávat, čína je v tomto minimálně 10 let napřed a o co se tu jedná je fakt, že vývoj těchto prostředků se teprve v EU musí profinancovat, proto se budou volit konkrétní dodavatelé, kterým se nasype do čepice cukroví a oni znovu vynaleznou kolo.. Ono to spíš ale dopadne tak, že koupí od číňana hotovou věc a jenom na to daj nálepku protože faceID a budeme se vzájemně plácat po zádech, jak to pěkně funguje. Ten zásadní problém je v tom, že se jedná o zoufalou strategii přípravy na "nevyhnutelny" konflikt. Dle mého už toto je trestné.

Nevšiml jsem si, že by jste mi tu ukázal relevantní vektor intruze. Spíš moc koukáte na pitomé filmy. Všechny popsané pokusy se týkaly kamer s pozměněným firmwarem a jediný, kdo tyhle intruze plánovitě připravuje, je na naší straně. Klasické h.265, HEVC kamery jsou úplně obyčejné konvertory, které obrazová data překládají do IP streamu a ten se potom post zpracovává na DVR nebo obrazových procesorech. QR a jiné kodování je součástí HW klíčů pro nastavování kamer naprosto běžně, ale jsou součástí nastavovacích rutin, které výrazně zatěžují řídící IO a nejsou určeny pro běžný provoz.
Problém je ale někde úplně jinde. Vycházíte sám z myšlení zločince, tedy že fungování takového technického celku je automaticky podrobeno nějakému integrovanému backdooru. resp. si nedovedete představit, že tomu tak není.
Jinými slovy: musíte automaticky předpokládat, že jakákoliv technologie je cinknutá a tomu přizpůsobit celý soubor opatření, samotný výběr kamery na to nemá vliv. I to nejhlubší přesvědčení, že to cinknuté není, protože jsem si to zaplatil většinou nese pouze formu přesvědčení, že tomu tak je. Naopak z pohledu projektového manažera a navrháře telco HW jsem si naprosto vědom, jak tyto mechanizmy fungují a v jakém stádiu se do HW Backdoor dostáva - tedy na projektové úrovní. Adsence backdooru je potom pohodlím pro kohokoliv, ne jenom toho, kdo o to požádal a proinvestoval změnu. Tyhle exploity byly již opakovaně popsány a potvrzeny. Ono úplně bohatě stačí, když ti konzultant doporučí použít jisté knihovny místo jiných a podobně a přesně tak se to dělá. Počítat s tím, že v čínské nebo západní kameře není nějaký backdoor je prostě ekvivalentní hloupost.

Kamera musi byt uplne hloupa aby takove riziko nebylo.

Jinak dnesni lepsi kamery maji docela slusne rozpoznavani objektu. Jenomze kdyz do kodu clovek nevidi tak clovek netusi co muze kamera vygenerovat na zaklade nejakych podnetu. Ty nejdrazsi modely maji hromadu procesniho vykonu a pameti.
Takze by bylo dobre aby zarizeni bylo budto hloupe nebo plne auditovatelne.

18. 4. 2024, 07:54 editováno autorem komentáře

Ono ty kamery nemusi nutne jen stavkovat. Uvedomte si, ze ty kamery se krom jineho pouzivaji treba na zeleznici jako substitut dopravnich zamestnancu u dalkove rizenych trati. A ted si predstavte, ze vam takova kamera ukaze, ze trat je nekde volna... a v kombinaci treba s jinou poruchou na okolnim zabezpecovacim zarizeni... vam tam dirigujici vypravci posle vlak do stojici soupravy, kterou kamera "neukaze".

Ano, muzete v pripade te jine poruchy uplne zastavit provoz, ale to zas pak lidi budou nadavat, ze jim ten vlak nejede vubec, ze...? :-) Ono se u lidi moc nesetkate s pochopenim, kdyz kvuli "divnemu stavu" zabezpecovacky zpusobene treba kradezi sdelovacich kabelu ten vlak nejede vubec....

Pokud zacnu uvazovat nad vsemi vektory utoku, nemohl bych si poridit prakticky nic co si sam nevyrobim.

U tech kamer aspon muzu udelat fallback k hloupym kameram AHD ci mene hloupym TVI a u IP zamknout pristup k updatum. Je mozne i overeni kamer vuci zbytku site.

ptal jsi se v čem je problém, když ti to ukážu na příkladech, tak si z toho jen děláš srandu? Hm.

Přitom detekce změny konfigurace (SW nebo fyzické) je věc, která se v bezpečnostních kamerách řeší roky a dnes společnosti nabízí SW, který právě hlídá integritu obrazu a detekuje anomálie. Síťová bezpečnost trápí dnes asi jen domácnosti.

Útočníci se tomu přizpůsobili a umí měnit chování kamery pouze na určitou malou dobu, tak aby třeba skryli svoji přítomnost.

Tak hlavne nemontovat dohromady kamery cmoudove a ty fungujici ciste jen v lokalni siti bez dalsi konektivity.
Presvedcit o jinych objektech muzete kazdou kameru. I tu analogovou. Staci kdyz narusite prenosovou trasu a pustite tam jiny signal.
A hops mate deepfake zaznam "osoby kterou nemate radi" jak krade v nejakem objektu na jejich NVR rekorderu.

No jasně, nebo že ty kamery začnou číst propagandu a začnou stávkovat. Nebo se jim nebude líbit zdroj napájení a začnou ho zavrhovat s tím, že ho vrátí dvakrát víc do sítě. Taky si dovedu představit, že se promění v laserová děla a začnou útočit na kolemjdoucí. Dokonce jsem viděl kameru, která si se mnou chtěla povídat. Sice jsem byl pak 2 dny v rauši, ale určitě to byla ona.. Taky mě napadl zaklínač, který by mohl kameru vzdáleně ovládat mentální energií, nebo pomocí prstenu jako v arabele.. Je na čase, abyste se probudili a začali řešit reálné problémy a ne si vymýšlet pohádky!
Pokud se chystáte bojovat se zbytkem světa, tak si nic jiného stejně nezasloužíte, jenomže do tý doby už budete 3x v pravěku :)
Je to jen a pouze obchodní válka, kterou jsme začali, jak to končí vidíme na příkladu například RF, která evropu na dobro poslala kam patří.

když si neuvědomuješ rizika, neměl bys o tom rozhodovat. To, že si nedokážeš představit vektor útoku neznamená, že si ho nepředstavil někdo jiný, neposoudil, že riziko je velké a mitigace drahá a nedoporučil tedy X, Y nepoužívat.

Jak jsem psal v komentáři výše, existují pokusy lidí, kterým se povedlo kameru donutit, aby záměrně modifikovala snímaný obraz a vymazala z něho nějaké objekty. Co myslíš, může už tohle být i za tebe určitý problém?

Jsou tady pokusy programováním kamer přes QR kódy, speciální štítky (podobně jako se třeba dříve programovaly herní automaty děrnými kartičkami). Kamera může dostávat instrukce přes infračervený kanál, který se dnes filtruje často jen SW. Kamera samotná může být v síti sofistikovaný stroj, který může dělat ledacos vč. útočení, stačí instrukce z venku nebo spouštěcí událost.

Na našem trhu už se objevily kamery, které se odmítali bez internetu vůbec zprovoznit a které několikrát za hodinu snímek posílaly na svoje servery aniž bys měl možnost to vypnout. Těžko pak posoudit, jestli to byl záměr nebo prostě jen lajdáctví.

Neměli by se tihle jedinci, kteří vymýšlí tyhle nápady preventivně odvážet na zkušenou do USA? Pro náš stát jsou až přiliš dobří a je jich škoda. Třeba toho vím opravdu málo, ale pořád mi nedochází, jak může kamera, která je v uzavřené síti představovat riziko.
Jo teď mi to vlastně už došlo, my musíme instalovat kamery, které od toho číňana napřed koupil ten správnej odborník. Už tomu rozumím. Přidá molekuly svobody a demokracie, ritualně přelepí vyrobeno v Číně a hned to bude košer.