Hei kaikille!
Kehitän laiteohjelmistoa videovalvontakameroihin b2b- ja b2c-palveluille sekä liittovaltion videovalvontaprojekteihin osallistuville.
Kirjoitin siitä, kuinka aloitimme
Sittemmin paljon on muuttunut - aloimme tukea entistä enemmän piirisarjoja, kuten esimerkiksi mstar ja fullhan, tapasimme ja ystävystyimme useiden sekä ulkomaisten että kotimaisten IP-kameravalmistajien kanssa.
Yleensä kameran kehittäjät tulevat usein meille esittelemään uusia laitteita, keskustelemaan laiteohjelmiston tai tuotantoprosessin teknisistä näkökohdista.
Mutta kuten aina, joskus tulee outoja tyyppejä - he tuovat suoraan sanoen kohtuuttoman laadukkaita kiinalaisia tuotteita, joissa on reikiä täynnä oleva laiteohjelmisto ja hätäisesti peitetty kolmannen luokan tehtaan tunnus, mutta samalla väittävät kehittäneensä kaiken itse: molemmat. piirit ja laiteohjelmistot, ja ne osoittautuivat täysin venäläisiksi.
Tänään kerron sinulle joistakin näistä tyypeistä. Rehellisesti sanottuna en kannata huolimattomien "tuontikorvikkeiden" julkista ruoskimista - päätän yleensä, että emme ole kiinnostuneita suhteista tällaisiin yrityksiin, ja tässä vaiheessa eroamme heistä.
Mutta tänään, kun luin uutisia Facebookista ja juon aamukahviani, melkein vuodatin sen lukemisen jälkeen
Leikkauksen alla on yksityiskohtia siitä, kuinka testasimme niitä.
Kyllä, kyllä - nämä ovat samat kaverit, jotka toivat minulle suoraan sanottuna halvan ja huonon Kiinan oman kehitysnsä varjolla.
Joten, katsotaanpa faktoja: He toivat meille "VisorJet Smart Bullet" -kameran, kotimaisesta - siinä oli laatikko ja QC-hyväksyntälomake (:-D), sisällä oli tyypillinen kiinalainen modulaarinen kamera, joka perustui Hisilicon 3516 piirisarja.
Laiteohjelmistovedosten tekemisen jälkeen kävi nopeasti selväksi, että kameran ja laiteohjelmiston todellinen valmistaja oli tietty yritys "Brovotech", joka on erikoistunut räätälöityjen IP-kameroiden toimittamiseen. Erikseen olin raivoissani tämän toimiston toisesta nimestä "
Kaikki laiteohjelmistossa osoittautui vakioksi, vaatimattomaksi kiinaksi:
Laiteohjelmistossa olevat tiedostot
├── hälytys.pcm
├── bvipcam
├── cmdserv
├── daemonserv
├── havaitsee
├── fontti
├── lib
...
│ └── libsony_imx326.so
├── nollaa
├── start_ipcam.sh
├── sysconf
│ ├── 600106000-BV-H0600.conf
│ ├── 600106001-BV-H0601.conf
...
│ └── 600108014-BV-H0814.conf
├── system.conf -> /mnt/nand/system.conf
├── version.conf
└── www
...
├── logo
│ ├── elvis.jpg
│ └── qrcode.png
Kotimaiselta valmistajalta näemme tiedoston elvis.jpg - ei paha, mutta yrityksen nimessä on virhe - sivuston perusteella niitä kutsutaan "haltiaksi".
bvipcam vastaa kameran toiminnasta - pääsovellus, joka toimii A/V-virtojen kanssa ja on verkkopalvelin.
Nyt reikistä ja takaovista:
1. Bvipcamin takaovi on hyvin yksinkertainen: strcmp (salasana"20140808") && strcmp (käyttäjänimi "bvtech"). Sitä ei ole poistettu käytöstä, ja se toimii portissa 6000, jota ei ole poistettu käytöstä
2. Tiedostossa /etc/shadow on staattinen pääkäyttäjän salasana ja avoin telnet-portti. Ei tehokkain MacBook pakotti tämän salasanan raa'alla tavalla alle tunnissa.
3. Kamera voi lähettää kaikki tallennetut salasanat ohjausliitännän kautta selkeänä tekstinä. Toisin sanoen pääset kameraan takaoven lokipassin kautta (1), voit helposti selvittää kaikkien käyttäjien salasanat.
Tein kaikki nämä manipulaatiot henkilökohtaisesti - tuomio on ilmeinen. Kolmannen luokan kiinalainen laiteohjelmisto, jota ei voi käyttää edes vakavissa projekteissa.
Löysin sen muuten vähän myöhemmin
Tutkimuksen tulosten perusteella kirjoitimme ELVIS-NeoTekille johtopäätöksen, jossa oli kaikki havaitut tosiasiat. Vastauksena saimme ELVIS-NeoTekiltä loistavan vastauksen: "Kamerojemme laiteohjelmisto perustuu ohjainvalmistajan HiSiliconin Linux SDK:hon. Koska näitä ohjaimia käytetään kameroissamme. Samaan aikaan tämän SDK:n päälle on kehitetty oma ohjelmistomme, joka vastaa kameran vuorovaikutuksesta tiedonsiirtoprotokollien avulla. Testausasiantuntijoiden oli vaikea saada selville, koska emme antaneet pääkäyttäjän oikeuksia kameroihin.
Ja ulkopuolelta arvioituna voidaan muodostaa virheellinen mielipide. Tarvittaessa olemme valmiita esittelemään asiantuntijoillesi tuotannossamme olevien kameroiden koko tuotantoprosessia ja laiteohjelmistoa. Mukaan lukien joidenkin laiteohjelmiston lähdekoodien näyttäminen."
Luonnollisesti kukaan ei näyttänyt lähdekoodia.
Päätin, etten enää työskentele heidän kanssaan. Ja nyt, kaksi vuotta myöhemmin, Elvees-yrityksen suunnitelmat tuottaa halpoja kiinalaisia kameroita halvoilla kiinalaisilla laiteohjelmistoilla venäläisen kehityksen varjolla ovat löytäneet sovelluksensa.
Nyt menin heidän verkkosivustolleen ja huomasin, että he ovat päivittäneet kameravalikoimaansa, eikä se enää näytä Brovotechilta. Vau, ehkä kaverit ymmärsivät ja korjasivat itsensä - he tekivät kaiken itse, tällä kertaa rehellisesti, ilman vuotavaa laiteohjelmistoa.
Mutta valitettavasti yksinkertaisin vertailu
Joten tapaa alkuperäinen: kamerat tuntemattomalta toimittajalta.
Miten tämä kilometri on parempi kuin brovotech? Turvallisuuden kannalta todennäköisesti ei mitään - halpa ratkaisu ostaa.
Katsokaa vain ruutukaappausta mittarin ja ELVIS-NeoTek -kameroiden verkkokäyttöliittymästä - ei ole epäilystäkään: "venäläiset" VisorJet -kamerat ovat etäisyyskameroiden klooni. Verkkoliitäntöjen kuvien lisäksi myös oletus-IP 192.168.5.190 ja kameran piirustukset täsmäävät. Jopa oletussalasana on samanlainen: ms1234 vs en123456 kloonille.
Lopuksi voin sanoa, että olen isä, minulla on lapsia koulussa ja vastustan kiinalaisten kameroiden käyttöä, joissa on vuotava kiinalainen laiteohjelmisto, troijalaisia ja takaovia heidän koulutuksessaan.
Lähde: will.com