Axis: 90% Of Hacks Are NOT The Manufacturer's Fault

The lead item in Axis monthly newsletter is an Axis post on cybersecurity. In it, they declare:

Cyber Security experts state that over 90% of all successfulbreaches and intrusions are due to failures caused by people and poorly configured systems, together with a lack of maintenance [their emphasis, not ours]

This certainly gets to a contentious matter, about who is responsible - the user, the integrator or the manufacturer.

However, as our cyber security comparison report shows, Axis:

  • Does not require strong passwords (using 'pass' or '1234' is just fine)
  • Does not support auto lockout for failed login attempts (so their devices can be brute force or dictionary attacked)

Combine these two together, Axis makes it easy for weak passwords to be hacked.

Remember the hack IP camera video that went around the industry a few months ago? The guy used just that technique (dictionary attack against a camera that did not require strong passwords) to get access to the camera in less than a minute. He did not use an Axis camera but the same method works against Axis because it has the same design. The hack portion starts at the 4:30 mark:

So should Axis take responsibility for this or is this the user's fault? Vote:

Login to read this IPVM discussion.
Why do I need to log in?
IPVM conducts unique testing and research funded by member's payments enabling us to offer the most independent, accurate and in-depth information.

*'* ********* ****** ** ** **********, *** * ***** ** takes *** ***** (********, ************ *** **********) ** **** ******* to ****** ***** *******. *** *** ** **** ** ********* say "*** **!" ** **** **** **** *** **** *** bode **** *** ****** ************ **** ***** ****** *****.

**** *** **** **** **** **** **** **** **** ** is *** ***** ******* **** ** ** ******* ****'* *****. Way ** *********** **** ******* ****. ***'** ****** **** ****.

*'** **** ** ** **** ** ** ******* ************ **** the ***** ***** ** ********* ** **** ** **** ****** come **** ***** ******** *** ************. ** *** ***, ************* need ** ** ********** ** ** ** ***** ******* *** they **** * *** **** ** ****. ******** **** **** the **** ***** *** *** ****** ** ****** ********* *** sell ********* ****.

******, **'* *** **** *** ****** ** ********** **** ***** in **** *********. *'** ******* ** ********** ****** ** *******/********** to ***** ******* *********.*****'* **** ** ******* *** ** ****** awareness ** **** ** ******* **** *** ******.

**'* *** **** *** ****** ** ********** **** ***** ** this *********

** ********, **** ** ********* ******* ** **** **% ** the *****...

*'** **** ** ** **** ** ** ******* ************ **** the ***** *****

****'* *** ***** ***** *** ****** **** ******* ** * partner. *******:***** **** **** *** ****** ****** '*******'

** ****'* *******, **** ****** ** ** ******* "***** ******** experts", *** **** ***** ** ******* ** ******** ******* ** a ***** **** ** *** ** ******** *** *** *** more ****** **** ** *** ***** ********.

**** * ******* ** ***********, *'* **** **** ******* *** indeed * ****** ** ************* ******** *** ********. *** **** ability ** ****** *** ******* *** *******. *** ***** ***'* have **** ******, ** *****/********** *** *** ******** ** *** in *** **** **** *** *********. ** ***** **** **** wise ** ******* ***** *** ******* *** **** ********* ** secure ***** ******* *** **** ** **** **** ********** ***** firmware ******* ********* ** ***** ******** ******** ************** ********* (***** by *******, ****** ******** *******, ***** ***** ********** ***).

** ****'* *******, **** ****** ** ** ******* "***** ******** experts"

** ** ******** *** * *****. ** ** * ********** device ** ******* **************. ***** ** ** **** *** *** 'quote' *** ***** ** ** ******** *** *** '*****'.

******, **** **** ******** ***** ** ***** **** **** ** Axis ********:

* ********* **** **** ****** ***** *** ****** **** *** easiest *** ***** ********* *****, ****** *** *****, *** **** attack *** ***** ****** ** * ***** *****.

*** *** ***** ** ****** ****** **** ***** '****' ** '1234' ** ***** ******** *** *** **** ** *** ** community *** **** ******* **** ******** **** **** ********* *** brute/dictionary ******* ** *** ************** ** *** ************. *** ****.

* ***** *** ********** ** *** ****** *********** *** ******** the ******. ** *** ********** **** * ***** ******** *** opens ** ** ** *** *******, **** ***** ** **** at **** *****. * ***'* ****** ** **** ** ** responsible ******* * ****** "*********" ** ** ****** ********. *** first ******* ** *** ******** ********* ** ***********. ** ***** has ** ******** ******* ******** *********, **** * ****** "********* fair" *** ******* ***** ******* **** ** *** ******** ***** latest ****.

*** ** ** ** ** ******* ******** ************* **** ** integrator *** ** ****** ** ***, **** *** ************ ** at *****. ** ** *** ******** ******* ** **** ***** network ** *** ******** **** ** ** ***** *****.

*** ***** ***** ***** *** ***** "*********" ** ** **** password. **** ******* ******* *********. **** ** ** ** ** years ***, **** ******* ******* *** *** **** ** **** PIN.

** ** *** ************'* *** ** ******* **** ******* ***** of ********, **** **** **** ****** ******* ** ******* **** passwords....

***** ************* ****** ****** **** **** ******** ** ******** ** each *******, *** ** ** **** ** ***** **** ** the ************** ** ****** ******* ***************

************* ****** **** ** ********* **** ********* *** ********* *** changed ****** ***** *** ***** *****. **** **** ***** ***** based ************ *** ***** ***** ** ***** ** *** ********. They *.*. ***** * ******* **** *** ******* **** **** be ******* **** **** ********.

**** ** **** ********** *** ******** *** ********. **** *** story **** *** **** *****. * ***** **** **** *******.

*** *** ***** **** *** ** **** * **** *** firmware *** ******** * ***** ***** **** * ************* **** ISO ***** ****** ** **********. ********** ***** *** ***** ******* become **** ** ********** *** *** ********* ** *** ******** (IOT).

* **** ** **** ************* ****** ** ***** **** *** compliant ** **** * **** **** ** **********. **** ***** make *** ************ **** *** **** ********* *** ********** ******** when ******** *** *** ******** *** ******** *******.

******* **** ** **** ****** *** ****** ** ****** ********* with *** ***** (**** ** **********, *********** *** ********** ***-*****).

** *******....

** ** *** ************** ** ********* ** ***** ********** *** product **** *** ****** *** ********** *** ** **** *** understand *** ***** ***** ** *** **** ** ********.

** ** *** ************** ** *** ************ ** ********, ******, fabricate *** ********** ***** ******* **** *** ******* ******* *** communicate ***** ************** *** *********** **** **** ****** *** ********* to ****** '*********** *** ***' ** ***** **************. ** ** also ***** ************** ** ******* ** ******* ** * ****** manner **** *** ****** ****** *****.

*** ***** *** ***** ********** *** ***** ** ** **** thing ** '**** ******' *************.

* ** ** ***-**** *** ******* ******** / ***********.

*** *** *********'* *** ******** ** ********* *** *** ** all ** **** ** ****** ** *****. *** ** ********* in **** ****?

*****'* ***** **** ****** **** *** ************* *** *********. *** issue ** ******* ****** ********* *** **** ***** *** **** years, *** ***** *** **** **** ****. * **** ***** Mirai ******* *********, ** ****** *** **** **** ****-****** ********* in *** **. *** **** * **** *** ****, *** other **** * *******, *** ***** ****-*****, *****. **** ********** to *****. **** *********, ******* **** ***** **** **** **********. That's **** ***** **** **** ****'* ******* ** **** *****.

* **** ***** ***** ******* *********, ** ****** *** **** from ****-****** ********* ** *** **. *** **** * **** big ****, *** ***** **** * *******, *** ***** ****-*****, brand. **** ********** ** *****.

**** **** ************************ *** ******* ******** *******?

~** ** *** ** ******* * **** ****** ** ********** to ***** *** * ********* *** ** *********** *** *** system ******** ** *** ***. *** ***'* ****** *** ****** credentials, ** ***'* *** *****.

**** ** *****. ** * ************ *** ******** ******** ******** in **** ******** *** ** *****, ** ****** ******* ** that ** ** *** ************** ** ******* ******* **** ******* the ******** *** *** **********. ********* ****** ************* ***** ******** changes ** ******* ** ******* ***** ******* ********* ***** **** rolling ******** ******* *** ******* ** ******* **** ********* ** just * *** ********.

* ** *** **** * *****, * **** **** ** cameras *** *** ** ******* ********* ** * ** **, I ***** ************* **** ******* ****** *** ******** ****. ** far ** *** ************ ***** ***********, * ** *** **** I ***** **** **** ******. * *** *** ** ******* lines ******* ** ***** *********** ** ****** ******, *** ****** passwords *** ****** **** ******* ***** ***** ** *********. ** professional ******* *****, * ***'* *** *** ****. ***** ** up ** *** ******** ** ********* ** ** ****. ** use * ******** **** ***** ** ******* ** ******* ** a ********** ******, *** * ** *** ** *** ******* as *** ******* ** ****** **** *** ****** ******* **** be ****** *** *** ****** ** *** ** *** ********. Now * *** *** *** **** **, ** *** *** up ****** * **** ** ** ******* ********, *** * have ***** ******* *** ********'* *****. ** *** ******* **** after ****** ***** ********, **** *** ** ****, ** **** too **** ***** **** **** ** *** ** ***** ** the ****** *****, *** ** ***** ** * ********* ******* with ****. *** ** *** *** * ******* *** ****, I ***** ** ** *** ************ ************** ** ** "*** in ***" ****** **** *** ** ****** ** *** ********, let *** ******** ****** **** ******** ** **** ** "************" lines, ** ************ *** ******** ****** **** * ****** ** employees *** **** **** ******** ** **** ** **** *** system ******.

***: ** *** * ****** **** ****** ****** ** ** from ** ****** ****** ******, ** *** ** *** *** or ******* *** ****** *******, ** **** ** ***** *** upgrade ** **. **** ****** **.*% **** *** *** ** products, *** * **** *** **** *** *** ********.

#*, ****** *** ** ********* ***** ******* *** ******* ** IPVM!

*** ****:

** ************ ******* *****, * ***'* *** *** ****

****'* * ****** ***. **** ******* *** ********* ************ ******* but ******* **** *** ****** ** ***** ****** ** **** them (*** ***-****, ******, ****, ***.), **** **** ******* **** ** ********* by ********* ** ***. ** **** **** ***** ***** ********** 'undefended'?

*** *** ******** ****** **** ******** ** **** ** "************" lines, ** ************ *** ******** ****** **** * ****** ** employees *** **** **** ******** ** **** ** **** *** system ******.

** ** ************ ****, **** ********* ***** *****. *** ********* I *** ** **** ***** *** * **** ****** ** 'professional' ********** / ******* / *** *****, **** ** * minority, **** **** **** ***** ********.

*'** ******** ********* * ****** ** ** ******* *** ********, including * ****** ** **** *******.

**** *** **** ******** ****'* *** ********* *****, **** *** amongst *** **** ****** ** ** *******. *** **** ***** give *** **** **** ****** **** ** **** ******** **** - *** ***** ** *******, **** ******** ******, ** ***** force **********.

********* *** ****** ****** ** ** ******* ** *** ********.

*** ***** ** *******

* ** *** ******* *** **** ** ****** ** ***** by *******. * ******* **** **** '****' ** **** / many ** *** ***** **** ******* ** ******* / ******* HTTPS.

**,****** ** ******* ******* ** *****?

********* **** ****** **** ** **********.

****, *****, ****, ********* *** *******/***** ******* *** **** ** standard.

***** **** ** ***** **** ******* ********* ** ********** *************:

*** **** **** *** **** ******** **** *** ***** ** speeds ****** **** ****** - **** ***** ** ***** ** quite *********.... **** ** *** '****' *** ** ***** ****** them?

* ***** *** **** ** ** *** **** ** *** the ****** ** * **** ****** - *** ** **** hire * ************ ** *******/********* ***** *******, **** **** ************** falls ******** ** ***** '*******'.

*** **** **** *** **** ******** **** *** ***** ** speeds ****** **** ****** - **** ***** ** ***** ** quite *********.... **** ** *** '****' *** ** ***** ****** them?

*** ** **** *** ****** ** *** - *** *****'* my **** **** ** ********* ****** ** ***** ** *** in ** ** *******? *** *****'* ****** **** *** ********* number ** ***** ** *** ** ** *****?

*** ****** ** ****** - ********* ***** ******* '*****'. ******* such ******, ** ********* ***** ** ******** ** ********* ** login ******** ** ****. *** *** ***** **** **** ***-**** hacks ** **** ******** *** ***** ********, ***.

**** **** ** ******** '***********' **** *** **** ** ** not ** ****** **** ******* ******* ***** ******** ****** ******** is * **** *****?

**********, * ** *** ******** **** ******* *** *** ******* after * ****** ** ****** ***-** ******** ** * **** thing ** **** *****-** ** ** ** ******. ****, ***** and * ******** ******** ****** ***** ********* **************** ********* *** ***** *********.

**** ** *****, **** **** *** ***** ** * ****** of ***** ******** ******** ****** '*** ***** ** *************' - with **** ***-*******:

"**** ******* ******* ** *** ********** ** ******** * **** and ****** ****** ** **** ******* ** ** *** *****’ network . *** * *** ** ** **** *********** ** maximizing *** ***** ** **** ******** **** *** *** **** Hardening *****. ***'** **** **** ******* **** ************* ** * process, *** * *******. ** **** ** ** ** *** share **** ******** ********* **** **** *********."

* ******** **** ******* *** ***** *** ****** ******* *** session * *********....

*** ***** ******** *** "*** ** *** ***** ************* ** *** ****?"

*** ****** ******** *** "** *** *** ********* *** '* ****** ** ********' (***** *** *** ***** ** **** *******, ** **** with ***** *****-******** **** ********* *****) -*** ** *** **** ******* ** ************** ** ********?"

*** ********** ****** ******** ** ***** ******** ******** ** *** chat ******* "** *** ** **** *** ** *** *****" - ***** * ******** ****. **'* *** *****, ******.

*** **** ** *** ******* ******** ** ****** ******** ** the ****** ********, *******:

"That ** *** *** *** ********** ******** **** **** *******".

* ***** **** *** ********* ** *** ****** **** ** you *** **********.

*** **** ** *** ******* ******** ** ****** ******** ** the ****** ********, *******:

"That ** *** *** *** ********** ******** **** **** *******".

* ******* ****. * **** ***** **** *** *********.

**** **** ** * ********* ** ******** ********.

*** *******, ** *********** ****** ********* *** **** ******* ***** 5 ********. ****** ********* *** ****** **** ******** *** ****. The **** ******* *** ****** ***** * ** ****.

** * ** ****** ** *** ***'* ******* ****** *********, at ***** ******* **** *******. ** ** *** *********** ** the *** **** ** ********** ********* ***** **** *********, ******* any ***** *****, *** ********** ********** ** ******.

*** ****** **** ** **** ***'* ******* ******* ** **** they *** **** ***** ** ****** **** (*.*. *** ***-** dialog **** ** *** ****** ** **** *****) ****** **** full ******* ********.

**** ** *** ****** **** ******* ******* **** **** ***** this ************** *********, ***** ** ***** ******.

*** ****** **** ** **** ***'* ******* ******* ** **** they *** **** ***** ** ****** ****...

**** ** **** *** *** ************** ****?

**** ***** ** ****** ****? *'* ********.

**'* *** *****...

* **** ****** ********* *** ***** ******.

*******, ** ****** ** ***** **** **** *** *** *** decided ** **** ***, ********** ** ** ****** ** ****** storage ***** *** **** ** * ****.

** ***** ** *****, ** ***** **'** *** *********...

*******************************************

** **** ** ** ***... :)

* ******* **** **** *** '****' ***** **** *** ***** *********** ** *** ****/**** *******(*****) becoming ******* *****.

*****, ***** ************* ** ****** * **** ********* ** ******, Charles *** ****'* **** **** * ****** **, **** ******* and ************ *** *** ****** ** ***** *****.

* ** ******' ***** *****!

********* ****** **** *****-******** ******, **** *** *** *** *** **** ********* *** ***** - **** **** ** *** ****** ** *********.

*** *** ****** *** *** **** **** ** *** ***** of ***** ******* - *******.

**'* *** *****, ******.

******** **** *** **** ****** ***** **** *** ** *** seemingly ************

**** ** *****, **** **** *** ***** ** * ****** of ************* ******** ****** '*** ***** ** *************' - *** of ****** *** *** *****...

:)

* **** **** *********** ******

*** **** **** *********** **********

**'* * ****** ******** ** *** ****.

**** **** ** ** *** ** *** **** ** ********* secure *********, *'* *** **** **** ********* **** ** ******* achieves.

******* ** *******...

** *** * ****. ***** ***** (** ***** ** ******* of **) ** **** ** ***, * *********.

* **** * ********* ** *** ** ** ******** ******** (which *** * **** ** ***** ****; ******** * *** not *** *****.... ******** * ***) *** ******* ******.

* ***'* ****** **** *** ****.

**, ***** ******* **** **** **** **************, *** **** ******* out ***** *** ****** ************** ** ******* ***** **** ********* from ****** ******* *** *******?

* **** **** ****** **** ** ****** (**** ***** ********) of *) *****, *) ****** *) ****** ** *****. *** problem **** ****** *, ***** *** ***** *******, *** *** client ***** ****** ***** **** **** ****'* ******* ****** *** be ***** ***** **************, ******** *** ******* ** ********** ** attacker **** ****** ***** **** *********. **** ****** **** **** had ******* * & *. **** * *** *******, *** if ****** *** *** ***** ***********, **** ** **** ** A...

****** ** ***** ****** **** ** ***** ***** *************.


**** ***** ** ****** ******* ****** ******* ********.

** ** ******.

* ***** **** *** ** ***** **** * ****** ** use * ****** ******** *********, **** ****** ******* ** *** it ** ***, **** ** *** ****.

********** ** **** *** ***** ** **************:

** ******* ** ***** *** *** ************'* ***** !! **** is ******* ************.

*****.

** **** *** ** **** ******** *** ********** ** ******** due ** *************/****** *********** *******, ** **** ** ******** *** percentage ** ****** *********** ********, ***?

*** ******* ***** *** ************'* ***** ********** **** ** * more ********** *****?