Sveiki visi!
Kuriu programinę-aparatinę įrangą vaizdo stebėjimo kameroms, skirtoms b2b ir b2c paslaugoms, taip pat dalyvaujantiems federaliniuose vaizdo stebėjimo projektuose.
Rašiau apie tai, kaip mes pradėjome .
Nuo to laiko daug kas pasikeitė – pradėjome palaikyti dar daugiau mikroschemų rinkinių, pavyzdžiui, tokių kaip mstar ir fullhan, susitikome ir susidraugavome su daugybe tiek užsienio, tiek vietinių IP kamerų gamintojų.
Apskritai kamerų kūrėjai dažnai ateina pas mus parodyti naujos įrangos, aptarti techninius programinės įrangos ar gamybos proceso aspektus.
Tačiau, kaip visada, kartais ateina keisti vaikinai – atveža atvirai kinietiškus nepriimtinos kokybės gaminius su pilna skylučių programine įranga ir paskubomis uždengta trečiarūšės gamyklos emblema, bet tuo pačiu tvirtina, kad viską sukūrė patys: abu grandinė ir programinė įranga, ir jie pasirodė visiškai rusiški.
Šiandien aš jums papasakosiu apie kai kuriuos iš šių vaikinų. Tiesą sakant, nesu viešo nerūpestingų „importo pakaitalų“ plakimo šalininkas – dažniausiai nusprendžiu, kad mūsų nedomina santykiai su tokiomis įmonėmis, ir šiuo metu su jomis išsiskiriame.
Tačiau šiandien, skaitydama naujienas feisbuke ir gerdama rytinę kavą, perskaičiusi vos neišsipyliau kad „Rusnano“ antrinė įmonė „ELVIS-NeoTek“ kartu su „Rostec“ mokykloms tieks dešimtis tūkstančių kamerų.
Po pjūviu pateikiama išsami informacija apie tai, kaip mes juos išbandėme.
Taip, taip – tai tie patys vaikinai, kurie, prisidengdami savo pačių tobulėjimu, atvežė man atvirai pigią ir blogą Kiniją.
Taigi, pažiūrėkime į faktus: mums atnešė „VisorJet Smart Bullet“ kamerą, iš buitinės - ji turėjo dėžutę ir QC priėmimo lapą (:-D), viduje buvo tipiška kiniška modulinė kamera, pagrįsta Hisilicon 3516 mikroschemų rinkinys.
Atlikus programinės įrangos sąvartyną, greitai paaiškėjo, kad tikrasis kameros ir programinės įrangos gamintojas yra tam tikra kompanija „Brovotech“, kuri specializuojasi tiekiant individualias IP kameras. Atskirai mane papiktino antrasis šios biuro pavadinimas “» yra gremėzdiškas kompanijos Ezviz, vieno iš pasaulio lyderių Hikvision dukters b2c dukters, vardo klastotė. Hmm, viskas pagal geriausias Abibas ir Nokla tradicijas.
Viskas programinėje įrangoje pasirodė standartinė, nepretenzinga kinų kalba:
Failai programinėje įrangoje
├── signalizacija.pcm
├── bvipcam
├── cmdserv
├── demonservas
├── aptinka n
├── šriftas
├── lib
...
│ └── libsony_imx326.so
├── atstatyti
├── start_ipcam.sh
├── sysconf
│ ├── 600106000-BV-H0600.conf
│ ├── 600106001-BV-H0601.conf
...
│ └── 600108014-BV-H0814.conf
├── system.conf -> /mnt/nand/system.conf
├── version.conf
└── www
...
├── logotipas
│ ├── elvis.jpg
│ └── qrcode.png
Iš vietinio gamintojo matome failą elvis.jpg - neblogai, bet su klaida įmonės pavadinime - sprendžiant iš svetainės, jie vadinami „elfais“.
bvipcam yra atsakinga už kameros veikimą – pagrindinė programa, kuri veikia su A/V srautais ir yra tinklo serveris.
Dabar apie skyles ir užpakalines duris:
1. „Bvipcam“ užpakalinės durys yra labai paprastos: strcmp (slaptažodis „20140808“) && strcmp (naudotojo vardas „bvtech“). Jis nėra išjungtas ir veikia neišjungtame 6000 prievade
2. /etc/shadow yra statinis root slaptažodis ir atviras Telnet prievadas. Ne pats galingiausias „MacBook“ žiauriai privertė šį slaptažodį greičiau nei per valandą.
3. Kamera gali siųsti visus išsaugotus slaptažodžius per valdymo sąsają aiškiu tekstu. Tai reiškia, kad prisijungę prie fotoaparato naudodami užpakalinių durų žurnalo leidimą iš (1), galite lengvai sužinoti visų vartotojų slaptažodžius.
Visas šias manipuliacijas dariau asmeniškai – nuosprendis akivaizdus. Trečios klasės kiniška programinė įranga, kurios net negalima naudoti rimtuose projektuose.
Beje, radau kiek vėliau - joje jie atliko nuodugnesnį darbą tirdami brovotech kamerų skyles. hmm.
Remdamiesi ekspertizės rezultatais, surašėme ELVIS-NeoTek išvadą su visais nustatytais faktais. Atsakydami gavome puikų atsakymą iš ELVIS-NeoTek: „Mūsų kamerų programinė įranga yra pagrįsta valdiklio gamintojo HiSilicon Linux SDK. Nes šie valdikliai naudojami mūsų fotoaparatuose. Tuo pačiu metu ant šio SDK buvo sukurta mūsų pačių programinė įranga, kuri yra atsakinga už kameros sąveiką naudojant duomenų mainų protokolus. Testavimo specialistams buvo sunku tai išsiaiškinti, nes nesuteikėme root prieigos prie kamerų.
O įvertinus iš šalies būtų galima susidaryti klaidingą nuomonę. Esant poreikiui, esame pasiruošę Jūsų specialistams pademonstruoti visą mūsų gamybos kamerų gamybos procesą ir programinę įrangą. Įskaitant dalies programinės įrangos šaltinio kodų rodymą.
Natūralu, kad šaltinio kodo niekas neparodė.
Nusprendžiau su jais daugiau nedirbti. Ir dabar, po dvejų metų, bendrovės „Elvees“ planai gaminti pigius kiniškus fotoaparatus su pigia kiniška programine įranga, prisidengiant Rusijos plėtra, rado savo pritaikymą.
Dabar nuėjau į jų svetainę ir sužinojau, kad jie atnaujino savo fotoaparatų liniją ir nebeatrodo kaip Brovotech. Oho, gal vaikinai suprato ir pasitaisė – viską padarė patys, šį kartą sąžiningai, be nesandarios programinės įrangos.
Bet, deja, paprasčiausias palyginimas "Rusiška" kamera davė rezultatų.
Taigi, susipažinkite su originalu: fotoaparatai iš nežinomo pardavėjo.
Kuo šis atstumas geresnis už brovotech? Saugumo požiūriu greičiausiai nieko – pigus sprendimas įsigyti.
Tiesiog pažiūrėkite į mylios ir ELVIS-NeoTek kamerų žiniatinklio sąsajos ekrano kopiją – nekils jokių abejonių: „rusiškos“ VisorJet kameros yra mylios kamerų klonas. Sutampa ne tik žiniatinklio sąsajų nuotraukos, bet ir numatytasis IP 192.168.5.190 bei fotoaparato brėžiniai. Netgi numatytasis slaptažodis yra panašus: ms1234 vs en123456 klonui.
Baigdamas galiu pasakyti, kad esu tėvas, turiu vaikų mokykloje ir esu prieš kiniškų fotoaparatų su nesandariomis Kinijos programine įranga, Trojos arklys ir užpakalinėmis durimis naudojimą.
Šaltinis: www.habr.com