Хорошо ли защищены от взлома IP-камеры видеонаблюдения?

арольная защита предусмотрена во всех без исключения моделях камер видеонаблюдения. Однако уровень её исполнения у разных производителей может оказаться разным. Не секрет, что во многих системах пароли по умолчанию остаются на долгие годы — по сути, до первого прецедента взлома.

Наиболее продвинутые производители IP-камер ставят пользователя в такие условия, когда оставить пароль по умолчанию становится невозможным либо затруднительным. Один из методов заставить юзера задать уникальный пароль — потребовать этого при первом доступе к камере. При этом система может оценивать сложность пароля, задавая минимальное количество символов и производя анализ содержания пароля. Последнее позволяет обеспечить в пароле одновременное присутствие цифр и букв в различных регистрах. Возможно, некоторые из пользователей будут ворчать на неудобства запоминания добытой в честной борьбе с камерой «абракадабры». Однако это позволит гарантировать, что к камере получат сетевой доступ только уполномоченные на это пользователи.

В новых сетевых камерах Samsung процедура задания пароля построена таким образом, чтобы вообще лишить пользователя возможности ввести пароль по умолчанию. В камерах Axis это решено несколько «мягче»: при первом запуске можно задать новый пароль, а можно и обойтись «дежурным» pass. С одной стороны, это позволяет управляющему софту находить камеры до момента первого доступа к ним пользователей, с другой — оставляет лазейку «для ленивых» не менять пароль по умолчанию вообще.

Наши внимательные коллеги обнаружили, что далеко не все изготовители IP-камер уделяют столь пристальное внимание защите своих продуктов от несанкционированного доступа. В большинстве моделей камер Dahua не только предусмотрена комбинация по умолчанию «admin/admin», но и присутствуют две пользовательских учётных записи, которые невозможно удалить: 666666/666666 и 888888/888888, причём последняя — с правами администратора. В большинстве IP-камер этой марки пароль этих записей может быть изменён. Однако как минимум в нескольких моделях DVR (включая и видеорегистраторы, рассчитанные на новый стандарт HDCVI) задания нового пароля не предусмотрено вовсе.

За редкими исключениями, в число которых входит и продукция Cisco, подавляющее большинство производителей IP-камер видеонаблюдения вовсе «не заморачиваются» тем, чтобы убедить пользователей в необходимости смены паролей по умолчанию. Возможно, они в чём-то и правы: имея дело с защитой объектов, не принимать меры по защите камер по меньшей мере нелогично. Поэтому будем считать, что лень и невнимательность — потенциальные союзники злоумышленников.

Чтобы хоть как-то заставить пользователей и админов защитить оборудование от хакеров, на сетевых ресурсах нередко публикуют перечни логинов/паролей по умолчанию для наиболее популярных марок оборудования. Наиболее полный список для сетевых камер видеонаблюдения на данный момент выглядит следующим образом (login/password):

• ACTi: admin/123456 либо Admin/123456

• American Dynamics: admin/admin либо admin/9999

• Arecont Vision: отсутствует

• Avigilon: admin/admin

• Axis: обычно root/pass; в новых камерах при первом входе требуется задание пароля

• Basler: admin/admin

• Bosch: отсутствует

• Brickcom: admin/admin

• Canon: root/camera

• Cisco: по умолчанию пароль отсутствует, но при первом входе требует задания

• Dahua: admin/admin

• Digital Watchdog: admin/admin

• DRS: admin/1234

• DVTel: Admin/1234

• DynaColor: Admin/1234

• FLIR: admin/fliradmin

• Foscam: admin/<пробел>

• GeoVision: admin/admin

• Grandstream: admin/admin

• Hikvision: admin/12345

• Honeywell: admin/1234

• IQinVision: root/system

• IPX-DDK: root/admin либо root/Admin

• JVC: admin/jvc

• March Networks: admin/<пробел>

• Mobotix: admin/meinsm

• Panasonic: admin/12345

• Pelco Sarix: admin/admin

• Pixord: admin/admin

• Samsung Electronics: root/root либо admin/4321

• Samsung Techwin: admin/1111111 (старые модели), admin/4321 (новые модели)

• Sanyo: admin/admin

• Scallop: admin/password

• Sentry360 (mini): admin/1234

• Sentry360 (pro): отсутствует

• Sony: admin/admin

• Speco: admin/1234

• Stardot: admin/admin

• Starvedia: admin/<пробел>

• Trendnet: admin/admin

• Toshiba: root/ikwd

• VideoIQ: supervisor/supervisor

• Vivotek: root/<пробел>

• Ubiquiti: ubnt/ubnt

• Wodsee: admin/<пробел>

Надеемся, что публикация этого перечня приведёт к тому, что хотя бы часть пользователей IP-камер изменит, наконец, пароли по умолчанию на нечто менее очевидное. Рекомендуем отнестись к этому как к «защите от дурака»: если пользователь не сменил комбинацию по умолчанию, значит, ему следует настойчиво напоминать о том, что его система находится под угрозой.