Kā Rusnano meita, kas kopā ar Rostec skolām pārdeva tūkstošiem kameru, izgatavo "krievu" kameras ar noplūdušo ķīniešu programmaparatūru

Sveiki visiem!

Izstrādāju programmaparatūru videonovērošanas kamerām b2b un b2c pakalpojumiem, kā arī tiem, kas piedalās federālos videonovērošanas projektos.

Es rakstīju par to, kā mēs sākām raksts.

Kopš tā laika daudz kas ir mainījies – sākām atbalstīt vēl vairāk mikroshēmojumu, piemēram, tādus kā mstar un fullhan, satikāmies un sadraudzējāmies ar lielu skaitu gan ārvalstu, gan pašmāju IP kameru ražotājiem.

Kopumā kameru izstrādātāji bieži nāk pie mums, lai parādītu jaunu aprīkojumu, apspriestu programmaparatūras vai ražošanas procesa tehniskos aspektus.

Bet, kā vienmēr, dažreiz atbrauc dīvaini puiši - viņi atved atklāti sakot nepieņemamas kvalitātes ķīniešu izstrādājumus ar caurumu pilnu programmaparatūru un steidzīgi aizsegtu trešās klases rūpnīcas emblēmu, bet tajā pašā laikā apgalvojot, ka visu izstrādājuši paši: abi shēma un programmaparatūra, un tās izrādījās pilnīgi krieviskas.

Šodien es jums pastāstīšu par dažiem no šiem puišiem. Godīgi sakot, es neesmu vieglprātīgu “importa aizstājēju” publiskas pēršanas piekritējs - parasti nolemju, ka attiecības ar šādiem uzņēmumiem mūs neinteresē, un šajā brīdī no tiem šķiramies.

Bet tomēr šodien, lasot Facebook ziņas un dzerot rīta kafiju, pēc izlasīšanas gandrīz izlēju ziņas ka Rusnano meitas uzņēmums ELVIS-NeoTek kopā ar Rostec skolām piegādās desmitiem tūkstošu kameru.

Zem griezuma ir sniegta informācija par to, kā mēs tos pārbaudījām.

Jā, jā – tie ir tie paši puiši, kuri man, atklāti sakot, atveda lētu un slikto Ķīnu, savas attīstības aizsegā.

Tātad, paskatīsimies uz faktiem: viņi mums atveda "VisorJet Smart Bullet" kameru no mājas - tai bija kaste un kvalitātes kontroles pieņemšanas lapa (:-D), iekšpusē bija tipiska ķīniešu moduļu kamera, kuras pamatā bija Hisilicon. 3516 mikroshēmojums.

Pēc programmaparatūras izgāztuves veikšanas ātri kļuva skaidrs, ka īstais kameras un programmaparatūras ražotājs ir firma “Brovotech”, kas specializējas pielāgotu IP kameru piegādē. Atsevišķi es biju sašutis par šī biroja otro nosaukumu.ezvis.net» ir neveikls viltojums uzņēmuma Ezviz, viena no pasaules līderiem Hikvision meitas b2c meitai. Hmm, viss ir labākajās Ābibas un Noklas tradīcijās.

Viss programmaparatūrā izrādījās standarta, nepretenciozs ķīniešu valodā:

Faili programmaparatūrā
├── signalizācija.pcm
├── bvipcam
├── cmdserv
├── dēmonserv
├── nosaka ns
├── fonts
├── lib
...
│ └── libsony_imx326.so
├── atiestatīt
├── start_ipcam.sh
├── sysconf
│ ├── 600106000-BV-H0600.conf
│ ├── 600106001-BV-H0601.conf
...
│ └── 600108014-BV-H0814.conf
├── system.conf -> /mnt/nand/system.conf
├── version.conf
└── www
...
├── logotips
│ ├── elvis.jpg
│ └── qrcode.png

No vietējā ražotāja mēs redzam failu elvis.jpg - nav slikti, bet ar kļūdu uzņēmuma nosaukumā -, spriežot pēc vietnes, tos sauc par "elfiem".

bvipcam ir atbildīgs par kameras darbību – galvenā aplikācija, kas strādā ar A/V straumēm un ir tīkla serveris.

Tagad par caurumiem un aizmugures durvīm:

1. Bvipcam aizmugures durvis ir ļoti vienkāršas: strcmp (parole"20140808") && strcmp (lietotājvārds "bvtech"). Tas nav atspējots un darbojas ar portu 6000, kas nav atspējots

2. Mapē /etc/shadow ir statiska root parole un atvērts Telnet ports. Ne jau jaudīgākais MacBook rupji piespieda šo paroli mazāk nekā stundas laikā.

3. Kamera var nosūtīt visas saglabātās paroles caur vadības interfeisu skaidrā tekstā. Tas ir, piekļūstot kamerai, izmantojot aizmugures durvju žurnāla caurlaidi no (1), varat viegli uzzināt visu lietotāju paroles.

Visas šīs manipulācijas veicu personīgi – spriedums ir acīmredzams. Trešā līmeņa ķīniešu programmaparatūra, kuru pat nevar izmantot nopietnos projektos.

Starp citu, es to atradu nedaudz vēlāk raksts - tajā viņi veica padziļinātu darbu, pētot caurumus brovotech kamerās. hmm.

Pamatojoties uz ekspertīzes rezultātiem, uzrakstījām ELVIS-NeoTek slēdzienu ar visiem atklātajiem faktiem. Atbildot uz to, saņēmām lielisku atbildi no ELVIS-NeoTek: “Mūsu kameru programmaparatūra ir balstīta uz Linux SDK no kontrollera ražotāja HiSilicon. Jo šie kontrolieri tiek izmantoti mūsu kamerās. Tajā pašā laikā papildus šim SDK ir izstrādāta mūsu pašu programmatūra, kas ir atbildīga par kameras mijiedarbību, izmantojot datu apmaiņas protokolus. Testēšanas speciālistiem to bija grūti noskaidrot, jo mēs nenodrošinājām root piekļuvi kamerām.

Un, vērtējot no malas, varētu izveidoties kļūdains viedoklis. Nepieciešamības gadījumā esam gatavi Jūsu speciālistiem demonstrēt visu mūsu ražošanas kameru ražošanas procesu un programmaparatūru. Ietverot daļu no programmaparatūras avota kodu.

Protams, neviens neparādīja avota kodu.

Es nolēmu vairs ar viņiem nestrādāt. Un tagad, divus gadus vēlāk, uzņēmuma Elvees plāni Krievijas attīstības aizsegā ražot lētas ķīniešu kameras ar lētu ķīniešu programmaparatūru ir atraduši savu pielietojumu.

Tagad es devos uz viņu vietni un atklāju, ka viņi ir atjauninājuši savu kameru līniju, un tas vairs neizskatās pēc Brovotech. Oho, varbūt puiši saprata un izlaboja - visu izdarīja paši, šoreiz godīgi, bez noplūdes programmaparatūras.

Bet, diemžēl, vienkāršākais salīdzinājums Lietošanas instrukcijas "Krievu" kamera instrukcijas internetā deva rezultātus.

Tātad, iepazīstieties ar oriģinālu: kameras no nezināma pārdevēja.

Ar ko šis attālums ir labāks par brovotech? No drošības viedokļa, visticamāk, nekas - lēts risinājums iegādei.

Paskatieties uz jūdzes un ELVIS-NeoTek kameru tīmekļa saskarnes ekrānuzņēmumu - nebūs šaubu: “krievu” VisorJet kameras ir jūdzes kameru klons. Sakrīt ne tikai tīmekļa saskarņu attēli, bet arī noklusējuma IP 192.168.5.190 un kameras rasējumi. Pat noklusējuma parole ir līdzīga: ms1234 vs en123456 klonam.

Nobeigumā varu teikt, ka esmu tēvs, man ir bērni skolā un es esmu pret ķīniešu kameru izmantošanu ar noplūdušo ķīniešu programmaparatūru, ar Trojas zirgiem un aizmugures durvīm viņu izglītībā.

Avots: www.habr.com