7 фатальных проблем HikVision - производителя видеонаблюдения №1 в мире

Второй год подряд, HikVision становится производителем видеонаблюдения №1. Когда вы слышите производитель видеонаблюдения №1, вы ждете продукции идеального качества, взвешенного подхода к ценообразованию, хорошей техподдержки. А что из этого вы получите? Самый полный разбор в нашей статье.

Оглавление

1. Проблемы с кибербезопасностью
2. HikVision принадлежит китайскому правительству
3. HikVision не номер №1
4. Покупая HikVision вы переплачиваете
5. Факап с программным обеспечением iVMS 5200
6. Львиная доля продаж HikVision приходится на Китай
7. Плохое качество бюджетных брендов

Проблемы с кибер безопасностью

Это самый полный и самый фатальный факап. HikVision имеет богатейший букет уязвимостей, сообщения о которых начали поступать еще в далеком 2013 году.

Итак, приступим:
2013 год. первое сообщение о множественных проблемах с безопасностью прошивок IP камер

2014 год.Wired пишет о проблемах с видеорегистраторами, хакеры ипользуют видеорегистраторы для майнинга Биткоинов

2014 год. Множественные уязвимости в видеорегистраторах 

2015 год. По иронии судьбы множественные сообщения о взломе оборудования поступили из Центра компьютерной безопасности провинции Цзянсу (Китай)
В пресс-релизе, опубликованном только на китайской версии сайта Hikvision ( см. Перевод Google ), Hikvision признает, что их продукты были взломаны, но утверждает, что это связано с использованием слабых паролей или паролей по умолчанию. Действительно в центре компьютерной безопасности вряд ли могли догадываться о важности смены паролей по умолчанию, а уж об использовании сложных паролей, даже речь не шла.

2015 год. Приложение Hikvision iVMS 4500 для iPhone и iPad было взломано и заражало устройства на которые было установлено, вредоносной программой. 

2016 год. Исследователь безопасности Iraklis Mathiopoulos обнаружил критическую уязвимость в глобальных облачных серверах HikVision. 
Исследователь описал, что злоумышленники, скорее всего, использовали эту уязвимость для доступа к данным клиента, хранящихся на сервере, или получения полного доступа к серверу. Затем это можно было бы превратить в атаку на камеры клиента, доступ к живому видео или даже превращение камер в ботнет.

Демонстрация

Вот, далеко не полный список обнаруженных уязвимостей в продукции HikVision, теперь задание для самых пытливых, попробуйте на сайте HikVision найти сообщения о этих проблемах и рекомендации для своих клиентов как с этими проблемами бороться.
Правильно, там почти нет этих рекомендаций, старый добрый метод игнорирования проблем давал отличные результаты, оборот растет, прибыль растет, а значит как говорил кумир моего детства Арнольд Шварценеггер со свойственной только ему выразительностью и лаконичностью: - не чините то, что не сломано.

На всякий случай небольшая визуализация, 5000 взломанных камер на территории США

Интерактивную карту можно посмотреть здесь, там же читайте про методологию исследования.

Хотя конечно кое какие действия HikVision были предприняты и нечестным будет о них не упомянуть. В 2016 году HikVision дополнили свои руководства полным отказом от ответственности:

HikVision не несет ответственности за ненормальную работу оборудования, потерю информации и другие последствия, вызванные кибер атаками, вирусами или другими интернет рисками

Да, Да, Да. Я знаю что вы скажете на это:
- У меня не банк, кто будет меня ломать, и вообще на другое оборудование у меня денег нет.
Давайте разберем вопрос подробнее: Кто вас будет ломать?

Конечно вы правильно делаете, что не льстите себе, чтобы стать целенаправленным объектом хакерской атаки нужно, что то выдающееся. Например быть звездой шоу бизнеса, обнаженные фото которых, регулярно попадают в интернет, из взломанных iCloud.

Взлом камеры в доме Гарика Мартиросяна

Поэтому большинство всех атак производятся с использованием средств автоматизации.
Хакеры используют средства автоматизации своей деятельности. Используют различные Telnet-сканеры и распространяют свои зловреды через эксплуатацию различных уязвимостей в частности видеокамер и видеорегистраторов.

И вероятность что все устройства вашей системы видеонаблюдения станут часть ботнета типа Mirai очень высока.

К слову создатели ботнета, нехило пашатавшего интернет, обычные ребята, недавно их судили. В ходе процесса много чего интересного было, на Wired отличный лонгрид про это. Самое прикольное, что ребята не хотели захватить мир, не были какими-нибудь нибудь злостными хакерами. Они просто играли в Майнкрафт и хотели немного считерить.

Как бы злоумышленник не использовал ваши камеры и видеорегистраторы, это может быть как маининг биткоинов так и ддос атаки. Одно понятно он будет их использовать для противоправных действий. Противоправных действий с вашего оборудования, а значит если что “придут к вам”. И конечно со временем выяснится что, причинно следственной связи между преступлением и вами нет, но пока это выясняется есть вероятность что вы будете находится не дома, или наоборот только в доме.

И это не считая того что свою прямую задачу, ваша система либо вообще не будет выполнять, либо будет выполнять плохо.

Пранкеры

С одной стороны это действительно смешно, но попробуйте представить что на видеозаписи вы, или ваш ребенок или вы. Как то резко становится не смешно.

И еще немного, некоторые нюансы, youtube не дает увидеть улов пранкеров во всем его многообразии из за условий использования запрещающих публикацию контента эротического содержания. Так что может испуганный ребенок и не самое страшное.

В сети можно найти массу сообществ которые продают доступ к камерам установленным в местах где люди часто оказываются обнаженными.

Теперь представьте что это увидели все ваши родственники, друзья и коллеги в соцсетях. Становится совсем не смешно.

Конкуренты и Недоброжелатели

Если вы не младенец, вы уже точно знаете что и те и другие у вас точно есть. Причем не обязательно открыто заявляющие о своем негативном отношении к вам.

Зная где территориально находится ваша компания или вы проживаете, можно найти все ваши сетевые устройства имеющие доступ в глобальную сеть интернет, в том числе видеорегистраторы и видеокамеры. Для поиска я использовал бесплатную версию великого и ужасного поисковика Shodan по оборудованию подключенному к интернету. Единоразовая плата в размере 49 долларов откроет доступ ко всем возможностям.

На скрине видны результаты по запросу DVR выведенные на карту

Ну, а теперь, имея список устройств можно приступить к их взлому, многие из устройств под силу взломать любому школьнику, с помощью google.

Вымогатели

Отдельный класс, злоумышленников, специализирующихся на простой схеме: Получить о вас компрометирующую вас информацию, и требовать деньги за сохранение этой информации в анонимности. Если вы откажетесь то информация разлетается по по всем вашим друзьям во всех соцсетях.

Надеюсь после краткого перечисления, малого количества проблем которые могут у вас возникнуть вы перестанете относится наплевательски к кибербезопасности.

HikVision принадлежит китайскому правительству

Правительство любой страны владеет компаниями, оперирующими только стратегическими для страны ресурсами.

Почему коммунистическое правительство Китая, считает стратегическим ресурсом производителя оборудования для видеонаблюдения, который продает миллионы камер по всему миру? Вопрос риторический. Я не сторонник теории заговора, но в данном случае даже мне начинает казаться, что HikVision не продает оборудование, а завоевывает мир.

Ну и пара фактов, вам на обдумывание.

Правительство США, после шумихи поднятой в СМИ, не только ограничивает закупки HikVision, но демонтирует уже установленное.

Министерство обороны РФ наоборот крупнейший покупатель оборудования HikVision, правда делает это спец. заказами напрямую из Китая, закупая оборудование без логотипа. Нет логотипа нет проблемы.

Хотя после видеозаписи под названием “наша авиация работает в Сирии” которую Путин показал Оливеру Стоуну, и которая на самом деле оказалась снятой американскими войсками в Афганистане, я уже ничему не удивляюсь.

Ну, в общем, я вас предупредил, решать и интерпретировать, как и всегда, только вам.

HikVision не номер №1

Вторая вещь, которой знаменита HikVision, своим агрессивным маркетингом. Возглавив рейтинг медиа портала ASmag, который составляется по размеру выручки HikVision на каждом заборе пишет что они №1, на рынке систем видеонаблюдения, наверно и я бы так делал, но…

HikVision скромно умалчивает, откуда поступает выручка, а для рейтинга где мы сравниваем разные компании это принципиально важно. Нюанс заключается в том, что приличная часть выручки HikVision приходится на государственные проекты, Которые HikVision щедро получает от своего крупнейшего акционера - коммунистического правительства Китая.

Вот например 800 млн. долларов на организацию системы безопасный для города Чунцин.

Или кредиты которые правительство Китая, выдает на развертывание систем безопасности другим странам. Естественно на китайском оборудовании.

Вот 240 млн. долларов Эквадору на развертывание системы безопасности, а вот более 100 млн. долларов уже для Боливии.

Так же HikVision предлагает гибридные решения, аналоговые, HD-TVI, или SSD диски например, всего этого добра у Axis например просто нет, и не планируется.

Самое важное в рейтинге не рейтинг, а методология подсчета. В данном случае берется просто выручка, а что компания производит вопрос десятый.

Покупая HikVision вы переплачиваете

Пришла беда откуда не ждали. Как можно переплатить за оборудование которое по сравнению с Axis стоит в 2-3 раза дороже? Элементарно.

• Размер чистой прибыли Axis - 10%
• Размер чистой прибыли HikVision - 20%

Факап с программным обеспечением iVMS 5200

Когда в начале 2017 года HikVision начала предлагать полноценное клиент-серверное программное обеспечение почти бесплатно и это казалось сказкой. Как и все сказки, длилась она недолго.

Скрин с сайта HikVision

Софт не только перестали продавать, но и в принципе сняли с технической поддержки. По версии техподдержки из множественных багов.

Представьте как рады этому факту, все те кто выбрал оборудование HikVision, для его использования в связке с iVMS-5200, заплатил за него, а потом ему говорят: "Извини тех. поддержка не предоставляется".

Почему компания с оборотом 3,5 млрд. долларов, и 10 000 инженеров не может разобраться с багами в программном обеспечении? Очередной риторический вопрос.

Львиная доля продаж HikVision приходится на Китай

Если быть точным, то 73,7% выручки в 2015 году пришлось на внутренний рынок Китая продаж пришлось на внутренний рынок Китая. Не получается у HikVision конкурировать на развитых рынках.

Переводя на общеупотребимый язык - там где потребители привыкли к высокому качеству оборудования, у HikVision конкурировать получается с трудом, и это несмотря на постоянно снижающиеся цены.

К какому качеству привыкли вы? Вопрос не риторический.

Плохое качество бюджетных брендов

Понятие стоимости и репутации бренда, хорошо известный факт в том числе и в Китае. Поэтому понижать качество основного бренда, не вариант, особенно с учетом того что на развитых рынках, и текущее качество основного бренда потребителей не устраивает.
Гениальное и простое решение, давайте сделаем бюджетный бренд, понизим качество комплектующих, и гарантию соответственно. И уже абсолютно спокойно и с чистой совестью будем продавать ведрами полный непотреб. Так и появился HiWatch.


Особая пикантность ситуации еще и в том, что бюджетными брендами HikVision убивает своих же OEM заказчиков, ну тех которых не добил своим основным брендом. Т.е. практически всех производителей которые именуют себя русскими. 
Вопрос куда смотрит российское правительство риторический.

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.