Forsvaret mørklægger kameraundersøgelse: Kommuner i vildrede

Den slags er der, i hvert fald mange steder.

Det kommer nok an på, hvad man mener med, mange steder. Jeg var til tallship-arrangementet forrige år, uden at se nogen. Der skal jo ikke være flere hundrede meter til en stige/trappe.

Så er der stadig spørgsmålet om det giver mening at sætte kameraer op i formodning om at redde en drukneulykke hvert 5. år. Uden at kende alle detaljer om Århus havn, så tror jeg at de, som mange andre havne, ville være bedre stillet ved at have stiger eller lejdere, så folk, der er faldet i vandet, faktisk har mulighed for at bjerge sig.

Under alle omstændigheder: Hvis der er andre muligheder så bør vigtige virksomheder eller myndigheder under ingen som helst putte devices på deres netværk de ikke stoler på.

Og så bør man i øvrigt opdele sit netværk i bitte små bidder og have god styr på hvad der flyder imellem.

Og en hel del mere. Igen: Stuxnet sagen viste hvad man kan hvis man har viljen. Hvis man først har et katalog af exploits så kan man sprede sig ret bredt.

Med mindre du frygter at den kinesiske regering har bedt Hikvision om at putte bagdøre ind. Det synes at være det den danske regering (og en række andre vestlige regeringer) er bekymret for.

Så by the end of the day, så stoler jeg mere på mig selv og på hvordan jeg skal håndtere sikkerhed - langt væk fra center for cyber Usikkerhed.

Så nu skal kineseren først lige finde ud af at hin eller denne router har et zero-day exploit, for dernæst at få fat i en intern switch som samtidig skulle have et zero-day exploit ...

Hvis du har rigtigt mange mennesker til at lede efter huller i udstyr. Hvis du har adgang til det meste af source koden i udstyr fordi du har folk ansat i de virksomheder der laver det. Så har du et helt katalog af exploits klar til brug. Hvis man læser Snowdons dump så gør amerikanerne sådan ... kineserne er ikke dumme de gør naturligvis det samme.

... for dernæst at få adgang til et kamera som han ikke ved er der!

Du går ud fra at der ikke er andre huller. Men i en stor virksomhed eller staten så vil der altid være huller.

Under alle omstændigheder: Hvis der er andre muligheder så bør vigtige virksomheder eller myndigheder under ingen som helst putte devices på deres netværk de ikke stoler på. Og så bør man i øvrigt opdele sit netværk i bitte små bidder og have god styr på hvad der flyder imellem. Og en hel del mere. Igen: Stuxnet sagen viste hvad man kan hvis man har viljen. Hvis man først har et katalog af exploits så kan man sprede sig ret bredt.

Hvis det først er de scenarier vi snakker om, er det jo lidt hip som hap, om det er axxis, samsung, hikvision etc.

Med mindre du frygter at den kinesiske regering har bedt Hikvision om at putte bagdøre ind. Det synes at være det den danske regering (og en række andre vestlige regeringer) er bekymret for.

Hikvision er store,

Siden hvornår har det været en sikkerhed for at der ikke er fejl og bevidste bagdøre i produkter?

/Henning

What a load of b... Så vidt jeg husker var der et enkelt zero-day exploit mod Windows. Resten var målrettet Siemens control software og Siemens PLC'er.

Der er under alle omstændigheder ikke nok at lukke for indgående trafik.

Og når angriberen har et zero-day exploit mod din switch eller router ...

Meget realistisk må man sige.

Men bortset fra det, nu vi taler om b.. - hvis der er nogen der står for b.., så er det så sandelig misfostret cfcUs, som ikke er til for samfundet, men for at lege skæg og blå briller bag mørkelygten, på skatteborgenes regning.

At man slet ikke ønsker devices på nettet som man ikke stoler på.

Synes det er lidt akademisk, at sætte dem på deres eget netværk uden internet adgang løser jo i praksis issuet, hvis der skulle være noget skidt i firmwaren, de 3 hikvision kameraer jeg har, har endnu ikke prøvet at kontakte noget de sidste 3-4 år, ud over de ikke kan.

Hikvision er store, de er oem/odm for rigtigt mange mærker, men der er jo ingen der siger de steder du nævner skal købe dem direkte ved peoducenten? Der findes mange resellers i danmark der har mange på lager, så ville de jo alle skulle være kompromiteret, hikvision ved jo ikke hvor de kamera ender henne.

Jeg ville nok være mere bekymret for udstyr leveret direkte fra producenten, tænk cisco og NSA og TAO, men fra en random dansk virksomhed der sælger meget andet med egne lagre i dk?

Hvis det først er de scenarier vi snakker om, er det jo lidt hip som hap, om det er axxis, samsung, hikvision etc.

Som jeg skrev først så er der nok ikke nogen der gider bruge mange ressourcer på Århus havn.

Nej, og derfor kommer man langt med netværksmæssigt at isolere dem. Så kræver det trods alt en indsats at tilgå kameraerne.

Hvis man bare sætter dem på netværket sammen med alle andre enheder, så kan de tilgås, uden at "bruge mange resourcer". Det skal man selvfølgelig aldrig gøre.

Derfor kunne det alligevel give god mening at dele information om enheder, hvor der bevidst er skabt huller/sladremuligheder, så man kan undgå dem, eller have særlig skærpet opmærksomhed på opsætningen.

Så er der stadig spørgsmålet om det giver mening at sætte kameraer op i formodning om at redde en drukneulykke hvert 5. år. Uden at kende alle detaljer om Århus havn, så tror jeg at de, som mange andre havne, ville være bedre stillet ved at have stiger eller lejdere, så folk, der er faldet i vandet, faktisk har mulighed for at bjerge sig. Men det er selvfølgeligt ikke så sjovt, som at lege med kameraer.

Problemet med Stuxnet var i vanlig stil bundet op på den ukritiske tilbedelse af usikker monokultur fra Redmond.

What a load of b... Så vidt jeg husker var der et enkelt zero-day exploit mod Windows. Resten var målrettet Siemens control software og Siemens PLC'er. Kom og fortæl mig at der ikke er nogen huller i de andre platforme. Med de her resourcer kunne man i dag nemt hoppe til mobiltelefoner, netværkskameraer, etc. Man kan skyde meget på Microsoft og der bør man også gøre, men når det bliver useriøs namecalling så er det for latterligt.

Herudover hvad er det for nogen servere der skal hoppes fra og til - jeg taler om at man skal sørge for der ikke er ekstern tilgang til dimserne fra internettet!

Well disse kameraer står og snakker med noglere servere. Fx. kunne kameraet udnytte en kendt fejl i server og på den måde få serveren til at ringe hjem til kameraets reelle ejermand. Der er under alle omstændigheder ikke nok at lukke for indgående trafik.

Som jeg skrev først så er der nok ikke nogen der gider bruge mange ressourcer på Århus havn. Men kameraer i statsministeriet, nationalbanken, forsvarskommandoen, etc.

Og sæt gerne et punkt mere på - de kablede kameraer isoleres på et layer 2 VLAN.

Og når angriberen har et zero-day exploit mod din switch eller router ...

Ja selvfølgeligt. Men malware kan hoppe fra server til server. Læs historien om Stuxnet.

Herudover hvad er det for nogen servere der skal hoppes fra og til - jeg taler om at man skal sørge for der ikke er ekstern tilgang til dimserne fra internettet!

Det betyder bl.a. at være paranoid. At man slet ikke ønsker devices på nettet som man ikke stoler på.

Og sæt gerne et punkt mere på - de kablede kameraer isoleres på et layer 2 VLAN.

Husk nu på at det her ikke handler om at beskytte sig mod nogle få teenagere. Det her handler om en cyberfjende der har rigtigt mange ressourcer - både økonomisk og mandskabsmæssigt. Jeg kan anbefale at læse historien om Stuxnet. Det er den slags angreb vi skal beskytte os mod når vi snakker efterretningstjenester.

</p>
<ol><li>Brug kun kablede kameraer (er du paranoid, åbn det og check der ikke er wifi i det).

Hvordan vil du se om der er wifi? Jeg har en microcontroller med 2.4GHz wireless hvor der ikke er indikationer på printet af at den har en antenne. Men det har wireless. Hvis kommunikationskanalen kun skal bruges til command & control (sådan at kameraet selv finder vej til internettet i det omfang det er muligt), så er LoRa bandwidth godt nok. Jeg er ikke antennemand, men jeg ved nok til at vide at antenner kommer i mange former og nogen af dem ligner slet ikke antenner.

2. Sæt kameraet op med fast IP i eget segment og ingen DNS oplysninger.
3. Bloker al udgående trafik fra den pågældende IP adresse.

Ja selvfølgeligt. Men malware kan hoppe fra server til server. Læs historien om Stuxnet. Det er den slags ressourcer og vilje vi er oppe imod. Når man har med efterretningstjenester så er følgende fornuftigt:

Det er jo tilladt at bruge den indvendige side af hovedet selv.

Det betyder bl.a. at være paranoid. At man slet ikke ønsker devices på nettet som man ikke stoler på.

Hvordan ved du at sådan et kamera ikke har en "phone home" feature? Nogle af disse kameraer har wifi features ..

1. Brug kun kablede kameraer (er du paranoid, åbn det og check der ikke er wifi i det).
2. Sæt kameraet op med fast IP i eget segment og ingen DNS oplysninger.
3. Bloker al udgående trafik fra den pågældende IP adresse.

Hvordan ved du at sådan et kamera ikke har en "phone home" feature?

Det er jo lige netop det som sikres ved at sætte dem på isolerede netværk uden udgåend adgang.

Nogle af disse kameraer har wifi features ... det kan bruges til at springe over et airgap. Eller når disse kameraer sidder på offentlige steder, så kunne man sende en mand ud

Ja. Og det virker fint. Jeg har der selv siddende som nød-adgang til nogle af de ting jeg har adgang til rundt omkring ;-)

Men det kræver stadigvæk at jeg rent fysisk kommer ud i nærheden af enheden. Det kan ikke gøres hjemmefra, hvilket besværliggør det en hel del.

der "koblede sig på kablet" til et af kameraerne og på den måde komme ind.

Og er grunde til at enheden skal isoleres så meget som overhovedet muligt.

camera1 og camera2 skal udelukkende have adgang til den server/router/what-ever som bruges til adgangen til kameraerne.

camera1 og camera2 skal ikke kunne se hinanden, eller noget som helst andet for den sags skyld.

/Henning

Nogle af disse kameraer har wifi features ... det kan bruges til at springe over et airgap. Eller når disse kameraer sidder på offentlige steder, så kunne man sende en mand ud der "koblede sig på kablet" til et af kameraerne og på den måde komme ind. Alt sammen meget James Bond men det er også det vi taler om når det handler om sikkerhedspolitik.

Så er vi vist ovre i angreb, hvor det er temmelig ligegyldigt hvem der har produceret kameraet!

Lovforslaget udspringer, ligesom sagen om Hikvision, også af den globale handelskrig mellem Kina og USA og handler konkret om bekymring for, at Huaweis produkter i de vestlige telenet kan bruges til at spionere for den kinesiske regering eller i værste fald slukke for telenettet eller dele af det.

Det har intet med handelskrig at gøre. Det her handler om sikkerhedspolitik og det er noget ganske andet end handelskrig.

Til alle dem der snakker NSA bagdøre etc. I snakker nonsens. Der er ingen der siger at man skal købe amerikansk. Fx. ligger der et firma (Axis) lige på den anden side af Øresund der producerer security kameraer. Jeg skal ikke udtale mig om kvaliteten (i gamle dage var den god), men prisen er selvfølge noget højere end i Kina. Det kan ikke undre.

Den kan ikke undre at CFCS ikke vil fortælle om detaljer i rapporten. Dels vil det fortælle kineserne hvad vi ved, dels kan noget af informationen være indhentet vha. af spionage i Kina eller andre steder.

Som regeringen skriver:

De løbende opdateringer, omfanget af softwaren samt teknologiens kompleksitet medfører, at det er meget svært løbende at verificere, at sikkerheden eller integriteten af Danmarks kritiske teleinfrastruktur ikke undergraves eller kompromitteres,

Derfor nytter det ikke noget at sætte sig ned og kigge på den version af hardware og software man har lige nu. For om en uge er der en hardware revision sådan at nye kameraer er anderledes. Og om to uger er den en software opdatering.

Og som den gode professor også skriver:

»... Men det er tæt på umuligt at bevise, at der ikke er indlagt bagdøre, fordi de ikke nødvendigvis er aktive og dermed sporbare,« siger Jens Myrup Pedersen, professor i cybersikkerhed ved Aalborg Universitet.

Derfor er køb af den slags dimser et tillidsspørgsmål. Man må vælge en leverandør man har tillid til i det omfang det er muligt. For når nu kameraet er sat op, så skal man have en netværksinfrastruktur som tillader at relevante personer kan tilgå kameraet. Så skal man have en netværksleverandør man har tillid til. etc. etc.

Hvad er problemet? Overvågningskameraer bør da hverken have adgang til eller kunne tilgåes direkte fra internettet.

Hvordan ved du at sådan et kamera ikke har en "phone home" feature? Nogle af disse kameraer har wifi features ... det kan bruges til at springe over et airgap. Eller når disse kameraer sidder på offentlige steder, så kunne man sende en mand ud der "koblede sig på kablet" til et af kameraerne og på den måde komme ind. Alt sammen meget James Bond men det er også det vi taler om når det handler om sikkerhedspolitik.

Hvor interesseret ville de kinesiske efterretningstjenester være i at se hvad der sker i havnebassiet i Århus? Nok ikke særligt meget. Men hvis kameraerne sidder på samme kamera-netværk som dem der overvåger mere kritisk infrastruktur, så kunne de være en vej ind. Man skal tænke sig om.

Approved by NSA.</p>
<p>Det er måske det der er cfcUs agenda.

Måske har nogen brug for adgang til kameraerne til andre formål, nogen i Danmark? Og så vil det være for kompliceret at logge på et lukket net? [/sølvpapirshat]

Approved by NSA.

Det er måske det der er cfcUs agenda.

Bare pga. de har en feature til at streame til nettet, betyder det jo ikke man skal bruge det, de virker uden problemer offline til en NVR.

Måske har nogen brug for adgang til kameraerne til andre formål, nogen i Danmark? Og så vil det være for kompliceret at logge på et lukket net? [/sølvpapirshat]

Ja man undrer sig, der var også sagen med HikVision på Århus havn, hvor de valgte at pille det hele ned igen?!?

Fatter ikke de ikke bare kan smide det på et lukket netværk/vlan der ikke har internet adgang heller, kører selv med HikVision herhjemme, man får meget for pengene, og har intet at udsætte på det, og de fungere fint på deres eget vlan uden internet adgang.

Bare pga. de har en feature til at streame til nettet, betyder det jo ikke man skal bruge det, de virker uden problemer offline til en NVR.

Hvorfor ikke en godkendt liste i stedet? Den model bruger vi allerede i forhold til lægemidler og hospitalsudstyr.

Et problem kan være omkostninger til godkendelse, som typisk pålægges producenten. Det ses feks. i forbindelse med bekæmpelsesmidler til gartnerier. Visse midler gider producenterne ikke få godkendt i Danmark.

Det ser jeg ikke noget problem i, så længe at alle der ikke står på listen dermed er sortlistet.

For nu at blive ved lægemiddel analogien, så er idéen med en liste over godkendte virksomheder implicit at de andre ikke er godkendt.

Meget enig, Christian Nobel. Artiklen i Version2 illusterer meget godt problemet med at det er CFCS der arbitrært og efter forgodtbefindende bestemme over hvad og hvilke produkter, der må benyttes. Og så vil de ikke engang dele den smule viden de mener at ligge inde med. Problemet er nok snarere at de ikke ved noget som helst og skjuler sig bag et fortrolighedsskjold, der umuliggør at efterprøve og afsløre at de er skrædderne i "Kejserns nye klæder". Det kan i øvrigt kun være et meget usikkertog subjektivt grundlag at CFCS foretager en vurdering, som de slet ikke er kompetente eller har teknisk indsigt nok til at gennemføre. Danmark burde, ligesom i andre lande, oprette et uvildigt screenings- og certificeringsinstans, der professionelt og teknisk kan afdække, hvorvidt der er problemer med at benytte dette eller hint software eller tekniske udstyr. At overlade det til CFCS er ikke hensigtsmæssigt grænsende til det kriminelle.

Der er stadigvæk en ting som under mig.

Hvorfor f..... skal alting have en fri og ubegrænset internet adgang?

Mine netværkskameraer sidder på et isoleret netværk, hvor der ikke er forbindelse ud. Dvs de kan ikke lave call-home. Optimalt skulle de sidde på hver deres isolerede netværk, men det var trods alt for stort et arbejde at sætte op.

Når kameraerne skal gemme billeder, har de adgang til en server hvor de kan aflevere deres data.

Når jeg har brug for at streame video kan jeg fra min eget netværk (LAN eller VPN) få agdang til enhederne.

Jeg kan ikke se nogen som helst grund til at de skal have adgang ud.

Nej. De kan ikke lave automatiske opdateringer. Men kan vi i det hele taget være sikre på at de opdateringer medfører forbedring af sikkerheden i dem?

Nej jeg har ingen garanti for at et kamera ikke kan tilgåes udefra via en eller anden form for radio-forbindelse, men det kræver trods alt at man er relativt tæt på enheden.

/Henning

Hvad er problemet? Overvågningskameraer bør da hverken have adgang til eller kunne tilgåes direkte fra internettet.

Hvorfor ikke en godkendt liste i stedet? Den model bruger vi allerede i forhold til lægemidler og hospitalsudstyr.

Det ser jeg ikke noget problem i, så længe at alle der ikke står på listen dermed er sortlistet.

Nej, få nu udarbejderet en blackliste, fx alle Kinesiske og Amerikanske virksomheder.

Hvorfor ikke en godkendt liste i stedet? Den model bruger vi allerede i forhold til lægemidler og hospitalsudstyr.

.. at den samfundsbelastende konstruktion center for cyberUsikkerhed er fuldstændigt fejlplaceret under krigsministeriet.

Kan vi ikke snart få et sikkerhedsorgan som arbejder for samfund og borgere, ikke imod, og hellere i går end i dag!

cfsUs er en skandale, og alt for mange milliarder af samfundets midler i kloakken.

En kommune sender et udkast til en købsordre til CFCS. De får ikke noget svar tilbage, men hvis der efterfølgende er to kridftstreger på soklen, som Holberg sidder på, så er købet i orden.

Igen understreges det at CFCS er fejlplaceret.

Når det offentlige bruger penge på at undersøge og afdække et område, som dette, ville det være rigtigt rart, hvis private firmaer og privatpersoner kunne drage nytte af konklusionerne, så man kan mitigere på passende niveau med lukkede netværk, alternativt valg etc.

Det er netop ikke en målestok, som vore tilfældige ministre skal siddde og luske med. Ved fx investeringer kan man udvælge sig en international valideringsmekanik, der afgrænser hvad en "ansvarlig investering" så er, fx i forhold til miljø.

Tilsvarende kunne Danmark så abonnere på fx det meget ansete The Economist's Democracy Index, som målestok. Den har en metodik, der sorterer full democracies fra flawed democracies. Hermed udelukkes Kina, hvilket jo harmonerer fint med regeringens lyster. Og da også USA siden Obama faldt ud af den gode del af skalaen, slipper vi dermed også fri for Safe Harbour-problemer med vore data.

...at Center for Cybersikkerhed skal kunne udelukke bestemte leverandører, hvis de holder til i lande, som Danmark ikke har sikkerhedsaftaler med, hvis leverandøren kan pålægges at spionere mod Danmark eller er ejet af statslige organer.

Skal kunne???? så vi skal have lidt smagsdommeri ind i det? Nej, få nu udarbejderet en blackliste, fx alle Kinesiske og Amerikanske virksomheder. Det skal gøres transparent, at der er nogen som er sortlistet.