Jun 20 2018

Ya disponibles en catálogo todos los productos HDTVI e IP de Hikvision HiWatch

Ya tenemos a la venta toda la nueva gama de productos HiWatch del fabricante Hikvision.

HiWatch es la gama “low cost” de Hikvision orientada al usuario final y al instalador DIY (de hacérselo uno mismo) diseñada alrededor de la misma tecnología de imagen y analítica que las gamas de Hikvision, pero con el precio como factor principal. Se usan materiales más sencillos en las carcasas, se reducen especificaciones en algunos de los productos, y se eliminan también opciones avanzadas de analítica en la propia cámara.

De este modo HiWatch puede ofrecer un producto de una muy alta calidad, con la misma usabilidad para el usuario final que cualquier producto Hikvision al usar los mismos firmwares, interfaz de usuario y programas, pero con unos costes bastante inferiores.

En HDTVI ya hay disponibles grabadores HDTVI HiWatch de hasta 8MP (4K) y cámaras 4en1 HiWatch de 2MP y 4MP, cuya funcionalidad ha sido verificada tanto en HDTVI con equipos Hikvision, como en HDCVI y AHD con equipos de otros fabricantes (Dahua).

En IP disponemos de NVRs HiWatch de hasta 32 canales con o sin POE integrado, y cámaras IP HiWatch de 2MP y 4MP, en distintos formatos (domo/turret/bullet/cube/PTZ) con óptica fija, varifocal, y varifocal motorizada.

 

May 22 2018

Ya disponibles en catálogo los sistemas de videoportero de Hikvision

Ya hemos añadido a nuestro catálogo los nuevos videoporteros Hikvision para viviendas y edificios, por ahora solo los productos más básicos, aunque ya tenemos disponible toda la gama nueva de productos de control de accesos.


Hikvision lleva ya unos años desarrollando producto para el mercado de control de accesos, y por fin sus productos han salido del local market (China) al global market. Esta nueva gama de producto permite la plena integración con la plataforma iVMS-4200, y ofrece también la capacidad de control remoto de las instalaciones a través de la aplicación móvil Hik-connect.

 

 

May 08 2018

Vulnerabilidad remota en los equipos TBK DVR4xxx (y otros)

El argentino Ezequiel Fernández (conocido también como Capitan Alfa) ha encontrado una vulnerabilidad (CVE-2018-9995, ampliada posteriormente en CVE-2018-10676) que permite obtener el listado de usuarios y passwords de los grabadores TBK DVR4100 y DVR4200 con solo disponer de acceso remoto al interfaz web.

Estos grabadores son equipos OEM que se comercializan a nivel mundial bajo distintas marcas (TBK, QSee, Night Owl, Cenova entre otras). Al usar el mismo firmware con un simple cambio de logo, todos comparten la misma vulnerabilidad.

Existe código completo para verificar la vulnerabilidad y xploit disponible y sencillo de ejecutar, lo que teniendo en cuenta que los equipos vulnerables son fácilmente localizables a través de Google o Shodan, hace que por ahora el único remedio para evitar el acceso de terceros a estos equipos vulnerables sea limitar su acceso web por internet. En la actualidad mediante Shodan es posible encontrar más de 50 mil equipos vulnerables y accesibles a cualquiera.

$> curl "http://<dvr_host>:<port>/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"

Más información: Link

Actualización 11/May/18:

Hommax, distribuidor de los equipos TBK, ha contactado con nosotros para avisarnos que hoy mismo han publicado un articulo técnico en su blog con firmwares actualizados para solucionar la vulnerabilidad de la que se habla en este articulo. Se pueden descargar directamente desde su página web aquí, y es imprescindible que todos aquellos con equipos afectados apliquen estas actualizaciones.

Abr 27 2018

CCTV fail (Abr/2018) #cctvfail

A menudo vemos instalaciones realmente chapuzas en videovigilancia. Mala instalación, instaladores chapuzas, despistes, mal mantenimiento, y problemas de todo tipo. Trabajos realizados por “profesionales” poco profesionales, o quizás por un particular que ha preferido hacerse el trabajo él mismo en vez de contratar a alguien. Las consecuencias de realizar una instalación mal hecha, es simplemente #cctvfail.

Esta vista picada puede que si visualice lo que quien la instaló quería visualizar; pero el daño estético que produce realmente podría haber sido evitado realizando el montaje de alguna otra manera.

En este otro caso, el daño estético que se pudiera producir al edificio claramente no era algo que preocupara.

Montajes caseros? Porqué no! A ver lo que tarda alguien en quejarse por estar grabando directamente la vía pública.

Los kits auto instalables pueden instalarse con más o menos gracia, pero hoy en día es algo que cualquiera que sea capaz de pasar cables puede hacer. Para muestra, esta instalación.

Algún valiente ha pensado que era buena idea poner un detector de interior de Securitas en el exterior. Quizás sea simplemente a modo disuasorio…?

Es una pena cuando ves una instalación con material de calidad, pero realizada con el mínimo esfuerzo. Como esta Dahua varifocal motorizada de 2MP usando cable prefabricado, y con los conectores a la intemperie.

Que un conserje de un edificio pueda controlar el edificio con un monitor en su garita parece una buena idea. Que cualquiera que pase por la calle pueda hacerlo también, quizás ya no lo sea tanto. Sin entrar ya en el tema de que la mitad de las cámaras de la instalación no funcionaban…

Y por una vez, al igual que podemos destacar las chapuzas de turno; quiero destacar un trabajo bien hecho. En este restaurante habían pintado con mucho mimo todas las cámaras para que quedaran perfectamente integradas en el color negro del techo. Mi enhorabuena a quien haya sido el autor de este montaje! #cctvwin!

 

Abr 25 2018

Hikvision soluciona una vulnerabilidad en Hik-connect

Hikvision ha parcheado una vulnerabilidad en su servicio Hik-connect que permitía a cualquier usuario poder conectarse a cuentas de terceros con solo conocer su email, teléfono, o nombre de usuario que hubieran usado a la hora de registrarse.

El problema radicaba en que Hik-connect utiliza una cookie local para saber con que usuario se está conectado al servicio, y modificando manualmente esa cookie era posible conectarnos con la cuenta de ese otro usuario. Si bien esa cookie era un valor codificado, era posible descubrir ese valor al agregar a cualquier usuario como amigo, lo cual puede hacerse si se conoce su email, teléfono, o usuario que se usó a la hora de registrarse.

Una vez conectados con esa cuenta, era posible modificar el email, teléfono y contraseña del usuario, dejando al usuario por completo bloqueado fuera de su cuenta. Así mismo, si se trataba de un dispositivo en que no estuviera configurada la clave de encriptación, sería posible visualizar los equipos, modificar la configuración, y en el peor de los casos realizar una actualización remota del equipo con un firmware malicioso o corrupto, con lo que podría llegar a brickearse un dispositivo.

Nos gustaría destacar por una vez la velocidad en responder por parte de Hikvision; dicha vulnerabilidad fue notificada el pasado 20 de abril, y a día 24 ya estaba solucionado el problema.

Datos completos de la vulnerabilidad: Link

Abr 16 2018

Como crear una cuenta de Hik-connect/Ezviz desde ordenador

Hik-connect es el nombre del sistema de P2P del fabricante Hikvision, y es el sistema cuyo uso recomienda Hikvision en la actualidad para acceder a nuestros dispositivos Hikvision de forma remota

Usando Hik-connect no será necesario disponer de IP fija en nuestro equipo Hikvision o en nuestra conexión a internet; no será necesario abrir puertos en el router; podremos dar (o quitar) acceso a nuestros equipos a terceras personas de forma sencilla; podremos recibir notificaciones cuando se produzcan una serie de alertas o eventos; y en general es un sistema cómodo pensado en el usuario final, a quien le preocupa más la simplicidad que los detalles complejos que pueda haber detrás de un sistema.

Crear una cuenta en Hik-connect es sencillo y se puede hacer directamente desde cualquier navegador web.

Los datos básicos que necesitamos para crear una cuenta son un nombre de usuario, una contraseña (de como mínimo 6 carácteres), una dirección de email (que podamos leer al momento) y opcionalmente un número de móvil (en el que podamos recibir un SMS). Continuar leyendo »