Categorías

  • Hikvision no se pronuncia sobre el informe de seguridad cibernética "Malas prácticas arquitectónicas"


    VDOO describió 8 'malas prácticas arquitectónicas' en su informe, recomendando cambios, que incluyen:

    • El "uso de appweb 3 de Hikvision, específicamente una versión antigua del mismo, que no se ha mantenido durante mucho tiempo ... se denomina" end-of-life", lo que significa que no tendrá parches de seguridad".
    • El archivo de firmware de Hikvision se cifra mediante un cifrado simétrico. Eso permite que un atacante abra el firmware para investigación.
    • El "archivo de firmware de Hikvision no está firmado digitalmente. Esto permite que un atacante vuelva a empaquetar un firmware malicioso".
    • El "uso de funciones no seguras de Hikvision ... La mejor práctica es no usar ninguna de las versiones no seguras de las funciones, incluso si en un caso específico es seguro, ya que usarlas regularmente puede llevar a usarlas de manera insegura por error"
    • "Casi toda la lógica del dispositivo está contenida en un binario. Cuando todo está en un binario, hay menos separación de privilegios y aumenta la superficie de ataque".
     

    No se pronuncia sobre el informe de seguridad cibernética

    Hikvision USA envió un correo electrónico a los distribuidores reiterando que habían corregido la vulnerabilidad, pero ignoraron por completo las recomendaciones de VDOO.

    Hikvision respondió a IPVM, rechazando cualquier comentario sobre las malas prácticas arquitectónicas, citando el aviso de vulnerabilidad anterior que no aborda las recomendaciones de VDOO.

    Compromiso de transparencia

    Frente a las consecuencias de la puerta trasera de 2017 y la prohibición del gobierno de EE. UU. De 2018, Hikvision ha enfatizado que serán transparentes sobre la ciberseguridad para demostrar que se puede confiar en ellos. Por ejemplo, su página del Centro de Ciberseguridad declara:

    Hikvision asume los siguientes compromisos: ... continuaremos mejorando y utilizando métodos abiertos y transparentes para que los usuarios puedan evaluar las capacidades de ciberseguridad de Hikvision. [énfasis añadido]

    De hecho, tras el paso de la prohibición, el presidente de Hikvision de Norteamérica, Jeffrey, declaró:

    Queremos ser claros: la seguridad y la transparencia son nuestras principales prioridades y parte de nuestro compromiso permanente con usted [énfasis agregado]

    Oportunidad perdida

    Si bien Hikvision se ha concentrado en publicaciones de ciberseguridad genéricas, como videos explicativos y consejos de ciberseguridad genéricos, no profundizarán en temas reales.

    Hikvision tuvo la gran oportunidad de demostrar su transparencia en un informe técnico concreto de un especialista en ciberseguridad, pero se negó.

    18/02/2019 18:00:25