近日,美国最大互联网DNS服务商Dyn遭遇了一场创历史记录的DDoS攻击,致使包括Twitter、亚马逊、Paypal等多家美国知名网站全面宕机。Dyn公司称此次攻击事件的IP数量达到了千万量级,而其中很大部分用于攻击的IP来自路由器、网络摄像头、DVR等物联网设备,其中摄像头的安防状况成为了关注重点。
据研究报告显示,我国市场上近八成摄像头存在用户信息泄露、数据传输未加密、APP不防护、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。摄像头隐藏着安全大隐患,亟待研究防范。
摄像头带来安全大隐患
“包括传统摄像头和智能摄像头在内的视频监控系统可以称作是‘物联网之眼’。”现就职于某互联网中心、主要负责研究网络信息和物联网安全的王晖博士对《中国电子报》记者介绍说,“不论是交通、工厂、公安等公用物联网范畴,还是个人电脑、手机这类的民用领域,都离不开摄像头设备。”
据了解,自2005年以来公安部和有关机构在全国范围内开始推行“平安城市”、“天网工程”等重大安防项目,视频监控正是其中核心推进的内容。“我区仅属于公安系统的摄像头在2012年启用时就达到了2800个。”北京市某区公安系统负责人对《中国电子报》记者介绍到。据不完全统计,截至2009年年底,北京市监控摄像头总量达到39万余个,按照北京2000万人口算,平均每千人约有20台监控摄像头。
“摄像头大范围使用的同时也带来了安全问题。”王晖表示目前不论是公用还是民用的摄像头安全状况均不乐观。《中国电子报》记者从国家互联网应急中心(CNCERT)了解到,目前仅公用领域的安防摄像头就存在着安全漏洞多、更新补丁响应速度慢以及个人防范意识薄弱的问题。
据悉,360公司在今年5月上海亚洲电子展(CES Asia2016)上发布的《国内智能家庭摄像头安全状况评估报告》指出,国内市场上近八成摄像头存在用户信息泄露、数据传输未加密、APP不防护、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。
“而民用领域的摄像头安全状况也不容乐观。”奇虎360公司网络安全中心的负责人对《中国电子报》记者表示:“这些安全缺陷的存在让接入网络的智能摄像头可轻易被黑客控制,并随时获取摄像头的图像和语音信息,对用户进行监控甚至网上直播。”
据悉,国外著名网络漏洞搜索平台Shodan在2016年1月开放了关于IoT漏洞的搜索,在IoT漏洞中搜索最多的就是智能摄像头和工业安防摄像头的漏洞。
黑客可以轻易找到漏洞
“视频监控系统大致可分为物理层、网络层、系统层、应用层和管理层五个层次。”北京紫荆视通科技有限公司产品总监于泽向《中国电子报》记者介绍说,“从终端到传输再到管理设备的每一个环节均面临严峻的安全风险。”
由于摄像头一般都暴露在外,复杂多变的环境和缺乏专人实时监管,这一层面面临着诸多安全不确定性。“而在网络层主要则面临如DDoS攻击、IP地址仿冒、非授权访问或入侵等。这些安全威胁一方面会造成网络瘫痪,致使视频监控系统无法工作,另一方面也可能会造成视频监控内容被恶意篡改、丢失或公开。”王晖说。
而个人安全防范意识薄弱也为不法分子带来了可乘之机。“使用缺省密钥、弱密钥和克隆密钥等用户习惯极易会让不法之徒抓住机会。”同方泰德副总工程师赵林向《中国电子报》记者介绍说。
黑客通过简单的一个后门程序便可以轻易篡改视频内容、中断监控、窃取机密信息甚至是作为“跳板”对其他核心设备进行攻击。据了解,在国外安全厂商Incapsula10月份的一份报告中提到其监测到一次DDoS攻击,该攻击利用了900个CCTV录像头,就发起了峰值达到每秒20000次http GET请求,而攻击者之所以能够轻易利用这些摄像头,其原因就是这些摄像头都采用了默认的登录凭证,可远程登录并控制。
由于安防设备厂家良莠不齐,而业内又缺乏统一的行业标准,使得黑客可以轻易找到漏洞,要用户防不胜防。同时,物联网设备厂商也缺乏足够的安全响应能力,补丁更新缓慢也成为了视频安防设备显得“很脆弱”的一大原因。
摄像头后期更新和维护很重要
一般来说,安全等级和防护级别是成正相关的,诸如网络广播电视或是涉密单位的安防系统,一般都是自己建网。通过自行搭建局域网的方式,使包括摄像头在内的物联网设备完全隔离在互联网之外,这样便杜绝了从互联网发起的黑客攻击。
但是这并不意味着就可以高枕无忧了。通过走访发现,正是由于自认为和互联网隔绝很安全,因此太多的设备使用方忽略了安防设备的后期更新和维护。
据了解,2015年年初,政府机关和公共行业广泛使用的某型号监控设备被曝存在高危漏洞,并已被利用植入恶意代码,导致部分设备被远程控制并可对外发动网络攻击。CNCERT核查发现,我国主要厂商生产的同类型设备,普遍存在类似安全问题,亟须进行大范围整改升级。
相反,对于家用摄像头来说,由于连接了互联网,使之可以及时获得更新补丁,提升了安全防护层级。但这对制造智能硬件设备厂家的响应速度和更新频率带来了更高的要求。
而对于如何能够保障自己的智能摄像头的隐私不会被泄露,北京紫荆视通科技有限公司的运行维护工程师马海波给出了一些建议:“首先在购买的时候对所选品牌的智能摄像头要进行一些调查,要选择一个口碑不错、价格合适的摄像头;其次在使用的时候要设置一定强度的密码并养成经常修改密码的习惯;之后要经常登录摄像头查看画面角度是否发生过变化;同时还要及时关注智能摄像头安全方面的消息,如果设备出现漏洞就需要等待厂家更新,以保证所使用的智能家庭摄像头是最新版本的。“
市场研究机构Gartner发布的数据显示,2015年北美地区信息安全支出达339.38亿美元,而中国为32.15亿美元,仅为美国的9%。这个投入并不仅仅是在安防硬件设备上。
“由于目前高清摄像头需求提升,4K、8K甚至是H.265编码标准的设备大量被使用,这就对网络带宽提出了更高的要求,因此信息通信基础设施的升级换代也是促进安全等级提高的重要一环。”王林说。
本文转自d1net(转载)
