陈根:网络摄像头背后,网络安全威胁正盛
文/陈根
得益于物联网技术的发展,人类社会正在拥抱一个前所未有的互联世界。其中,随着物联网进程加快,作为传统摄像机与网络视频技术相结合的智能网络摄像头正不断向各个行业渗透。
显然,移动互联网的时代里,远程办公、在线教育、线上娱乐等多种场景都需要网络摄像头参与,交通监管、智慧安防也离不开网络摄像头辅助,智能手机、智能家居等设备的普及应用,更使得网络摄像头逐渐成为生活“标配”。
日前,IDC发布数据显示,2020年第四季度,中国家庭安全/监控设备销售额接近6亿美元,出货量为817万台,同比增长24.9%。然而,在只能网络摄像头发展的背后,犯罪也在滋生。比如,不法分子破解大量私人住宅和公共场所摄像头,售卖拍摄内容,再比如,不法分子利用监视内容行使威胁和诈骗。
网络摄像头为什么成为 了“法外之眼”,如何避免网络摄像头成为“法外之眼”?
网络摄像头的“法外之眼”
当前,摄像头对公网开放的安全问题已是全世界共同面临的重要挑战。随着“互联网+”模式的兴起,物联网已呈现出爆发式增长和普遍化发展的趋势。如果说在互联网时代,硬件和系统漏洞带来的危害尚局限于用户,那么,在万物互联时代,由其衍生的危害将延伸至人们的人身安全。
根据北京华顺信安科技有限公司白帽汇安全研究院曾发布的《网络空间测绘系列——2018年摄像头安全报告》,摄像头已经无所不在。全球228个国家和地区,8063个城市,2635万个摄像头暴露在公网。越来越多摄像头的暴露,也让DDoS攻击、机构安全风险、个人隐私泄露等事件层出不穷,黑产猖獗。
比如,2016年造成美国互联网大面积瘫痪的Dyn事件,就是主要由摄像头组成的僵尸网络发起的DDoS攻击所造成。2016年10月21号,DNS服务商Dyn受到攻击。Dyn公司称此次DDoS攻击行为来自一千万个IP来源,其中重要的攻击来源于物联网设备。这些设备遭受一种称为Mirai病毒的入侵攻击,大量设备形成了引发DDOS攻击的僵尸网络。
其中,受Mirai病毒入侵的物联网设备就包括大量网络摄像头,Mirai病毒攻击这些物联网设备的主要手段是通过出厂时的登录用户名和并不复杂的口令猜测。事后,一些网络摄像头厂商及时更新了登陆口令,但有些厂商的设备使用了固定用户名和口令的登录方式,没有提供口令修改功能,以至于面对Mirai病毒的肆虐依旧无能为力。
当前,智能网络摄像头几乎已经全面进入人们的生产和生活。不论是户外的城市管理,还是餐饮领域的餐厅酒店。除了公共区域,对于不少人来说,摄像头还已经进入了家里。安装摄像头可以防盗,可以监控到家里的宠物和小孩的一举一动,但是想要做到实时监控就不可以避免的需要接入网络。
然而,一旦进入到网络世界之中后,个人隐私却无法得到安全的保障。一些核心功能是监控的智能摄像头,因为简易低廉,最容易成为黑客攻击的对象,再加上许多生产智能摄像头的厂商其实在技术实力上并不过关,云计算、AI背景下的安全审计流程,产品缺乏远程更新机制、存在可以控制系统的设计缺陷等等。
而黑客就能够凭借着这些漏洞缺陷,直接通过暴力手段来破解智能摄像头,直接在IP端进行拦截,对用户的登陆秘钥、影像内容等敏感信息一览无余。并且,通过售卖隐私视频、劫持摄像头“挖矿”等方式来攫取利益。
比如,就有不法分子利用部分产品的技术漏洞破解大量摄像头IP地址,高价售卖破解软件与“偷窥套餐”;也有违法商家未经用户允许远程操纵摄像头“直播”,公然监视他人生活,给公民隐私带来巨大威胁。
显然,以摄像头网络为代表的物联网系统,已经成为一个智能数据聚合的生态系统,与个人、机构的信息财产安全直接关联,这意味着,系统被攻破的风险成本更高。
如果黑客攻破的是私人汽车上的智能摄像头,引发的很可能就是车联网系统的连锁反应及公共安全危害;伪造人脸欺骗公司的门禁系统,造成重要资料外泄;智慧城市的公共摄像头网络被入侵,那交出的则是所有市民、管理系统的重要数据。安全已成为当前网络摄像头行业迫切需要回应的关键问题。
提供安全并非易事
网络摄像头的安全隐患,无论是对于工业互联网,还是企业安全和公共安全,以及家庭的个人隐私都是极大的威胁。考虑到未来可能成百亿的摄像头设备仍将互联,社会必须要网络摄像头的安全给予足够的重视,但想要有效治理网络摄像头行业,消除安全隐患却并非易事。
首先,作为分布广而且24小时在线的网络摄像头,摄像头产品质量瑕疵、云端安全防护脆弱、应用端使用弱口令等都可能导致网络摄像头泄露隐私。智能摄像头的市场庞大,厂商生产出来的产品质量也是参差不齐。遍布在城市中的一些价格低廉,安全防护技术不过关的智能摄像头就成了黑客眼中的“香饽饽”。
目前公开的摄像头漏洞中,中国的福斯康姆(Foscam)摄像头漏洞数量最多,达65条以上,占历年摄像头漏洞总量的18%;法国施耐德旗下派尔高(pelco)摄像头漏洞数量位列第二,达37条以上,占历年摄像头漏洞总量的10%;日本艾威数据(I-O DATA)摄像头位列第三,达32条以上。从摄像头品牌的漏洞数量对比来看,市场占有量大的厂商安全性反而较高。
其次,网络摄像头破解技术日趋隐蔽化、专业化。随着网络技术在各个行业的应用,网络的重要性越来越高的同时,网络黑客的技术手段也越来越高。网络黑客从早期的个人恶作剧行为,到后来的有组织行为,再到后来的有地下产业链,直到今天的网络战争,黑客已经不仅仅是地下组织,还包括国家团体。因此,黑客的攻击手段,可能也远超过人们的想象。
最后,网络摄像头隐私泄露犯罪组织逐渐产业化、链条化。这也是新型网络隐私犯罪的源头,不法分子往往会利用更新迭代的技术开发破解工具,攻破厂商设置的安全防线,对侦查工作提出挑战。而犯罪行为的产业化和链条化不仅扩大了犯罪主体和地域范围,还扩展了犯罪场景,大大提高了监管难度。
在这样的背景下,想要从根本上解决摄像头安全问题,就需安全管理和安全技术的相结合,即加强安全管理措施,同时辅以技术手段提高效率。
管理方面,要建立摄像头的相关安全标准,把摄像头纳入网络资产,进行统一化的安全管理。当前,尽管我国已经发布的针对公共视频监控系统联网的应用技术标准、合格评定、管理规范体系,但这些标准主要还是对公共视频监控领域摄像头设备的要求,并未有效的约束消费市场智能摄像头产品的质量要求。
保证用户隐私和网络资源不被滥用的基础,依然是摄像头厂商能充分考虑黑客的攻击场景,并规避潜在的产品配置和代码缺陷。此外,对于企业级的摄像头产品用户,在部署较多摄像头相关设备,并连接公网的情况下,可以进一步考虑使用具有摄像头漏洞攻击防护能力的专业网络安全设备,进一步保障网络安全,杜绝摄像头计算资源被僵尸网络等恶意软件或攻击者攻击的隐患。
技术方面,制造商则需要加强安全意识、建立安全开发流程,并对产品进行检查和跟踪等。安全厂商则要从防护、检测、网络、通讯、硬软件等多个维度为用户提供合适的安全解决方案。
尽管相比许多网络设备,网络摄像头只是个低价值设备,但是,一旦数量规模很大时,作为这类设备的整体,将对网络安全产生重要的影响。安全防护并非看上去的轻易,没有专业团队的设计研发,将有可能导致事倍功半的结果。
随着物联网、大数据、人工智能等技术的进步,网络摄像头等智能设备的应用前景会更加广阔。但在科技发展的同时,坚守安全的规则底线,则是数字时代走向便捷生活的应有之义。