Firmware Foscam Annuncio integrazione del sistema di sicurezza

Annuncio importante sulla Sicurezza del Firmware Foscam

Nell'ultimo periodo si rincorrono molteplici notizie, che parlano della mancata sicurezza del sistema di protezione delle telecamere Foscam. Qui di seguito abbiamo fornito aggiornamenti sulla reale situazione del Firmware Foscam. In alcuni casi abbiamo rilasciato una nuova Versione del firmware, per migliorare il processo di sicurezza delle telecamere. Vogliamo rassicurare tutti i nostri clienti, che Foscam è molto sensibile sulla sicurezza dei propri clienti, per questo mettiamo Nero su Bianco i 18 punti messi in discussione da case produttrici di altri brand di telecamere di sicurezza.
Gli aggiornamenti riguardano problemi minori e per i quali non ci sono segnalazioni di violazioni di sicurezza con i prodotti Foscam.

Alcuni punti possono sembrare scontati, ma vengono date 18 risposte a 18 supposizioni date da casa produttrici di altri brand, concorrenti per la videosorveglianza. Potete quindi capire da subito il motivo di tutto ciò.

Veniamo al primo punto

1) Nella prima accensione se una telecamera Foscam non è mai stata utilizzata, il nome utente e la password predefiniti sono "admin" e "blank" (campo vuoto). Abbiamo constatato che le credenziali di default diventano obsolete se la telecamere non viene inizializzata, inserendo obbligatoriamente le nuove credenziali di accesso. Durante la configurazione (tramite l'applicazione oppure da PC), gli utenti devono sempre specificare un nuovo nome utente e password; Perché non è possibile utilizzare la IPCam senza modificare la password predefinita, non crea rischi. La documentazione di ogni pacchetto inoltre dirige l'utente attraverso questa procedura necessaria per consentire la funzionalità della telecamera.

2) In precedenza, con un account Vestigial FTP poteva essere accessibile in un numero limitato di modelli; Ma solo su una rete locale, mai una rete remota. Questo account ha pertanto presentato un rischio di sicurezza molto trascurabile, ma nell'ultimo Firmware Foscam abbiamo risolto un errore di programmazione che impediva che questo account venisse disattivato.

3) Precedentemente, è stata associata una password con codifica complessa con il suddetto account FTP (descritto in precedenza al punto 2). Poiché l'account FTP è stato disattivato, queste credenziali rigide sono state rimosse.

4) Per i clienti che acquistano più telecamere abbiamo implementato una funzione di esportazione di configurazione per aumentare la facilità di impostazione di ulteriori connessioni WiFi, impostazioni di allarme, ecc. Tutti i modelli di telecamere utilizzano lo stesso codice di codifica per crittografare il file di configurazione quando l'utente ha cambiato i dati per esportare le impostazioni di configurazione.
Questo potrebbe sembrare un problema di sicurezza ma in realtà non esiste alcun rischio di protezione: qualsiasi utente non autorizzato deve avere credenziali amministrative per ottenere questo file di configurazione e accedere alle telecamere. In sintesi, a meno che la persona non autorizzata è in grado di rompere una password complessa, non c'è modo per loro di ottenere il file.

5) Prima, l'interfaccia Web (UI Web) aveva delle credenziali nascoste utilizzate per i test del produttore. Anche se queste credenziali non sono in grado di fornire in alcun mezzo le informazioni o i contenuti del cliente (ad esempio nome utente, password, feed video, ecc.), Nell'ultimo Firmware Foscam è stata elimina questa interfaccia di test.

6) In precedenza, il codice sorgente per le telecamere conteneva funzionalità di telnet, che era disabilitata e quindi non utile per attività non autorizzate. Tuttavia, questo codice sorgente è stato eliminato nell'ultimo firmware.

7) Il Rischio per la sicurezza della telecamera associata al comando "Aggiungi Utente" è stata rafforzata nell'ultimo Firmware Foscam.

8) In passato, con i diritti da amministratore, un comando remoto poteva essere tentato in /mnt/mtd/boot.sh tramite productconfig.xml. Per qualsiasi dispositivo informatico, se si conoscono le credenziali, l'utente può controllare il dispositivo; comunque richiede l'accesso all'account amministratore. Tuttavia, abbiamo rafforzato la sicurezza sull'inserimento del productconfig.xml nell'ultimo Firmware Foscam.

9) Dall'esecuzione dei miglioramenti di sicurezza del firmware nel 2016, l'account Onvif anonimo (implementazione standard per i dispositivi che lavorano con NVR supportati dal protocollo Onvif) potrebbero recuperare informazioni limitate sulla IPCam, come le versioni firmware. Tuttavia, queste informazioni sulla camera possono essere recuperate solo tramite la rete locale (mai da remoto senza che l'utente abilita esplicitamente abilitato UPnP, disabilitato per default). Era ed è impossibile accedere a qualsiasi informazione o contenuto privato (ad esempio username / password utente, feed video, immagine ecc.). Inoltre, l'account anonimo non ha il privilegio di chiamare `devicemgmt 'o` SetDNS'.

[Tieni presente che, anche se questo Protocollo Onvif non ha pertanto un rischio di sicurezza sostanziale, il nostro nuovo firmware ha comunque disabilitato l'account anonimo Onvif con l'impostazione predefinita. Per gli utenti che desiderano utilizzare i dispositivi insieme a determinati NVR che richiedono l'abilitazione del protocollo Onvif, possono farlo quando si connettono tramite l'interffacia grafica della telecamera Foscam o con il software Foscam VMS. Abbiamo disabilitato l'account anonimo Onvif per la rassicurazione di qualsiasi preoccupazione di rischio sconosciuto, anche se nessun rischio è stato scoperto e l'implementazione di Onvif di Foscam è completamente sicuro da utilizzare con NVR anche quando l'account anonimo è abilitato.]

10) Precedentemente, si poteva subire un attacco all'assegnazione delle autorizzazioni di /mnt/mtd/boot.sh. Come spiegato negli articoli 7 e 8, è possibile effettuare l'accesso da qualsiasi dispositivo informatico, purché si abbiano le credenziali di accesso. Per questo motivo consigliamo di cambiare Username e Password ogni 1/3 mesi e di trascriverla su un foglio e non sul telefonino/email/ dispositivo elettronico. Tuttavia, abbiamo rafforzato la sicurezza delle autorizzazioni nell'ultimo Firmware Foscam.

11) Precedentemenre, con l'account di amministratore si poteva assegnare autorizzazioni di / mnt / mtd / app. Come sopra descritto nel punto 10 e per qualsiasi dispositivo informatico, se un utente dispone di un accesso amministrativo, l'utente può controllare il dispositivo; Ma ciò richiede la frattura della password associata all'account amministratore. Tale possibilità, di tale rischio associato a qualsiasi tentativo di questo metodo, è pertanto estremamente trascurabile; Tuttavia, abbiamo rafforzato la sicurezza di questa assegnazione delle autorizzazioni nell'ultimo Firmware Foscam.

12) A causa della confusione tra alcuni utenti riguardo ai privilegi del Protocollo Onvif (vedi punto 9), confermiamo che da quando i miglioramenti di sicurezza firmware sono stati implementati nel 2016, questo account non ha alcuna capacità di chiamare `media` e` GetStreamUri'.

13) A causa della confusione tra alcuni utenti in merito ai privilegi dell'account anonimo Onvif (vedi gli articoli 9 e 12 sopra), confermiamo che dai miglioramenti di sicurezza del Firmware Foscam implementati nel 2016, questo account non ha alcuna capacità di chiamare `devicemgmt ' e `SystemReboot '.

14) A causa della confusione tra alcuni utenti riguardo allo scopo e alle limitazioni del firewall della telecamera, confermiamo che il Firewall Foscam non è un firewall completo come quello implementato in un personal computer. È stato progettato per fornire le funzioni di filtro IP di base agli indirizzi ip inseriti nella lista delle eccezioni.

15) In precedenza, il nostro protocollo di accesso rifiuta l'accesso al dispositivo per 5 minuti dopo aver tentato 6 volte di entrare con credenziali errate entro 10 secondi. Questo sistema è stato progettato per prevenire tentativi di hacking molto insistenti. Con questa politica, ogni password a 6 cifre comprensibile da lettere e numeri casuali richiederebbe circa 3.600 anni di ricerca continua per essere trovata.

Questo è stato anche progettato per evitare di compromettere l'accesso a sistemi computerizzati, poiché la maggior parte delle persone non può completare 6 tentativi in 10 secondi manualmente. Tuttavia, per questa stessa ragione i nostri prodotti possiedono questo meccanismo di sicurezza essenziale. Pertanto abbiamo alzato il nostro livello di sicurezza per rifiutare i tentativi di accesso da hacker.

16) Prima, dell'attacco di Denial of Service (DoS) si poteva eseguire il feed video tramite protocollo RTSP. Questo non ha rappresentato rischi per la privacy per i clienti, ma in un tale attacco, l'utente non poteva accedere al diretta video e la telecamera richiedeva un riavvio per ristabilire il video. Abbiamo aggiornato il componente RTSP nell'ultimo firmware Foscam, per rafforzare ulteriormente la protezione contro gli attacchi DoS.

17) A causa della incomprensione tra alcuni utenti riguardo ai privilegi del conto anonimo Onvif (vedi gli articoli 9, 12 e 13 sopra), confermiamo che sin da quando i miglioramenti di sicurezza firmware implementati nel 2016, questo account non ha alcuna possibilità di chiamare `Stato 'e' Informazioni sul dispositivo '.

18) Dopo il rilascio del Firmware Foscam nel 2016 per migliorare la sicurezza, l'account anonimo Onvif (implementazioni standard per i dispositivi che lavorano con i NVR supportati da Onvif, ossia la maggior parte dei fornitori devono implementare questo per supportare Onvif) potrebbero recuperare solo informazioni limitate sulla IPCam (ad esempio le versioni firmware). Solo tramite la rete locale (ovvero mai da remoto senza che l'utente abilita esplicitamente uPnP, che è sempre disabilitato per impostazione predefinita). Non è possibile accedere a informazioni e contenuti privati (ad esempio nome utente / password utente, feed video, immagine ecc.). Inoltre, l'account anonimo non dispone del privilegio di chiamare `devicemgmt 'o` SetDNS'. Tuttavia, se la versione firmware di una Telecamere precedentemente aggiornata agli aggiornamenti del 2016 o se un utente non autorizzato aveva ottenuto diritti di amministratore, potrebbe essere eseguito un attacco di overflow di buffer che utilizza il metodo setDNS utilizzato da Onvif. E per qualsiasi dispositivo informatico, l'utente può controllare il dispositivo esclusivamente se è a conoscenza del Username e Password.

Si ricorda che dal 2016 le versioni del firmware non presentano alcun rischio di sicurezza sostanziale. Comunque, il nostro nuovo firmware disattivato l'account anonimo Onvif per impostazione predefinita. Per gli utenti che desiderano utilizzare i dispositivi insieme a determinati NVR che richiedono l'abilitazione, possono farlo tranquillamente tramite Foscam Web UI o Foscam VMS.

In conclusione, per iscritto, abbiamo cercato di dimostrare che Foscam mette sempre in primo piano la sicurezza e che facciamo uno sforzo continuo e sincero per stare al passo con gli standard del settore. Come abbiamo spiegato, tutte le 18 vulnerabilità sono state risolte (in molti casi, erano già stati risolti da più di un anno). Non sono mai state rilevate violazioni conosciute, anche prima di queste correzioni, e speriamo che questo chiarimento ristabilisca qualsiasi dichiarazione concorrente contraria dimostrando semplicemente i fatti.

Ringraziamo i nostri clienti per essersi fidati di noi. Cercheremo sempre di onorare la vostra fiducia e guardare alla tua sicurezza con la massima serietà, tempestività e diligenza.

Ultimo Firmware Foscam - Scaricalo subito

Clicca qui per scaricare il Firmware Versione 2.x.2.29 per i modelli: C1 Lite V3, C1 V3, FI9800E V2, FI9800P V3, FI9800W V2, FI9800XE V2, FI9803P V4, FI9816P V3, FI9821EP V2, FI9821P V3, FI9826P V3, FI9831P V3, FI9851P V3 e FI9853EP V2.

Clicca qui per scaricare il Firmware Versione 2.x.2.43 per i modelli: C1 ,C1 V2, C1-Lite, C1-Lite V2, FI9800E, FI9800P, FI9800P V2, FI9800W, FI9800XE, FI9803P V2, FI9803P V3, FI9815P, FI9815P V2, FI9816P, FI9816P V2 e FI9851P V2.