cookieOptions = {...}; .5 個與 IP 安控攝影機有關的網路安全課程 - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

2020年8月3日 星期一

誰攪黃了習近平的中國夢?北京政策6大敗筆;唐娟成為加大訪問學者
幕後操作人是他……




全球最大的威脅情報研究組織之一 Cisco Talos,最近發現了 Google 的 Nest Cam IQ 室內攝影機中的許多漏洞。思科 Talos 發現 IP 安全攝影機,存在多個可利用的問題。這些漏洞與 Weave 關聯,Nest 依賴於該協議,以使用戶能夠配置和建立設備的初始通信。

該漏洞可能使攻擊者能夠進行一系列攻擊,包括拒絕服務,代碼執行或資訊洩露。對手還可以控制受影響的設備。

乍看之下,很難確定該新聞對 IP 攝影機的當前安全狀態的含義。而且看似矛盾的資訊十分猖.。在此,我們提供有關 IP 攝影機安全性當前狀態的一些基本結論。


IP 攝影機仍然容易受到攻擊
與網路連接的攝影機應特別注意使用的規律性,它們以用戶可能無法預料的方式使用。 IP 攝影機在 2016 年 Mirai 殭屍網路中扮演了主角,這是一種 DDoS 攻擊,它關閉了大部分網路。由於無法在產品開發中優先考慮網路安全,因此這類設備的某些製造商應承擔部分責任,但另一個因素是用戶對默認用戶名和密碼的依賴。

特別是 Mirai 殭屍網路,已成為許多網路攝影機、DVR、路由器和其他設備使用默認密碼的趨勢。考慮到他們傾向於使用和重用不安全的密碼,此類設備的許多用戶,都會對此問題做出貢獻。此類設備的製造商可以在首次使用後,強制用戶更改此類密碼。

但是,另一個考慮因素是,安控攝影機和其他物聯網設備,可能使用未向用戶公開的默認用戶名和密碼,Verimatrix 首席戰略官 Asaf Ashkenazi 認為。此登錄資訊可能使攻擊者能夠打開遠端外殼。 「在某些情況下,OEM 似乎有意為所有設備使用相同的默認密碼,因為它降低了製造成本,並可能減少了客戶支持電話,」 Ashkenazi 解釋說。

「如果看一下物聯網中的供應商,他們有兩件事很成問題,」 Ashkenazi 說。 「他們承受著縮短上市時間的壓力。他們需要擊敗競爭對手,或者至少要在解決方案同時出局。」他們也有成本約束。

「如果您查看所連接的不同「事物」,無論是燈泡還是烤麵包機,那麼消費者都會期望這些產品的價格,」 Ashkenazi 說。 Cnet 最近宣佈,許多連接設備的價格持續下降,「 200美元安全控攝影機的時代已經過去。這種 20 美元的替代方案令人印象深刻。」可能是這種情況,但廉價安全攝影機的製造商提供的安全保護措施卻很少。

Ashkenazi 說,儘管消費者在閱讀到一台安全攝影機受損後會感到不安,但購買公眾卻很少將安全視為購買因素。 「我們當然會查看價格,有時還會查看性能和產品評論。」消費者的優先考慮,最終決定了 IP 攝影機製造商的優先考慮。

儘管如此,Ashkenazi 還是承認,消費者通常很難確定一種產品是否比另一種產品更安全。 「我希望將來,領先的消費類雜誌發布的產品評論,不僅會關注性能和用戶體驗,還會評估他們所評論產品的安全性,」 Ashkenazi 說。


媒體傾向於愛被盜的攝影機故事
有關被駭客入侵的攝影機的文章,通常引人注目。為了證明這一點,請看一下今年以來的故事,這些故事描述了透過 Nest 安控攝影機揚聲器或《福布斯》(Forbes)文章宣告的數百萬台中國攝影機「可能被駭客監視用戶」而發生的核攻擊騙局。

有關被盜攝影機的故事會激起原始情緒。 「但我認為 IP 攝影機與其他智慧設備沒有根本的區別,」 Ashkenazi 說。為此,具有連接的烤麵包機的消費者,或列印機可能會避免此類設備的風險。

「但這並不總是關於(設備本身),」 Ashkenazi 說。但是,無論使用哪種類型的設備,使用未打補丁的網路設備的消費者(以及企業)都面臨風險。

「假設您沒有更新列印機。沒有人記得要更新列印機。」如果您的固件存在已知漏洞,例如基於 openSSL 的 Heartbleed,則攻擊者可以輕鬆地利用這種情況,來利用本地網路中的其他設備。

「在某些情況下,他們可以做到這一點,而無需破解您的 Wi-Fi 密碼,」 Ashkenazi 說。攻擊者可能無需克服最新的 Mac OS 或 Windows 安全保護,即可訪問本地網路可見的文件。 「他們只能使用受損的列印機來訪問,連接到您內部網路的其他設備,」 Ashkenazi 說。


誰在(不是)透過您的 IP 攝影機查看?
當您使用連接網路的攝影機,或帶有整合攝影機的電腦或智慧手機時,可能會有其他人在窺視。該人不一定是「駭客」。據《衛報》報導,諸如 WhatsApp、Facebook、Snapchat、Instagram、Twitter、LinkedIn 和 Viber 等流行的智慧手機應用 App. 要求用戶授予對其攝影機和麥克風的訪問權限。這樣一來,該應用就可以訪問手機的兩個攝影機。

網路攝影機的安全性,絕不限於駭客攻擊。在物聯網搜索引擎 shodan.io 上花費足夠的時間,尋找流行的網路攝影機名稱,例如「 webcamXP」,您會發現提取隨機影像源非常容易。您可以單擊鏈接,並查看城市中心、零售店、划船碼頭和家庭環境的錄影。先前的一些媒體報導描述了對 IP 攝影機的駭客攻擊,這些攻擊者突出強調了使用不安全憑據(通常是默認用戶名和密碼)的受害者

例如,如果您安裝了流行的 Ring 攝影機,您可能還沒有完全意識到使用該設備會授予 Ring,並透過擴展將 Amazon 及其任何被許可方授予「無限」、「不可撤銷」、「永久」和「全球授權」重用、分發、儲存、刪除、翻譯、複製、修改、顯示、銷售您的影像素材。

該公司的服務條款還賦予 Ring 權力,可以「以任何目的,以任何媒體格式,在任何媒體管道中使用您的鏡頭」創建衍生作品,而無需向您賠償。

Nest 的服務條款和最近發布的隱私政策,目的在舒解消費者的隱私問題。該公司誓言將不使用其產品(包括 Nest IP 攝影機)中的視訊或音訊記錄進行廣告個性化。它確實確認計劃在醒話之後,使用基於文本的智慧揚聲器查詢(例如,「嘿,谷歌,您的預測是什麼?」)進行定向廣告。但是,用戶可以選擇退出這種形式的定向廣告。


Nest 的影像錄影政策,似乎比 Ring 的政策要窄:「只有當您或您家中的某人明確打開了攝影機,或啟用了需要它的功能時,您的攝影機才會向 Google 發送影像錄影。」

今年早些時候,Nest 面臨反彈,此前該公司承認未能披露其 Nest Secure 家庭安全設備包含麥克風。該公司的一份聲明說,內置的麥克風「從來沒有打算成為秘密,應該在技術規格中列出來」。

Nest 服務條款描述了用戶同意將 Nest 產品,與第三方產品和服務接口的可能性,並且州用戶必須同意,讓其設備自動安裝更新。最近的一項更新取消了用戶關閉 Nest 攝影機錄製時點亮的 LED 狀態燈的功能。它還指出,公司可以訪問內容,包括公司用來「提供、維護和改善服務」的錄影帶。

雖然 Ring 的服務條款,幾乎涵蓋了所有用途,但少數用例已成為公眾知識。首先,Ring 向烏克蘭的開發人員提供了其在雲端託管的未加密影像的訪問權限,從而使開發人員能夠對其進行研究,以幫助訓練其電腦視覺算法。

Ring 還透過名為「 Neighbors」的一項計劃,與美國 400 多名警察共享錄影,這是一種類似於鄰里觀看的服務。環區首席執行官 Jamie Siminoff 在博客中寫道:「鄰居和當地執法部門透過 Neighbors 應用 App 的合作,取得了驚人的成績,從被盜槍支上街,到幫助家庭保護孩子安全,甚至恢復被盜糖尿病兒童的醫療用品。」

另一方面,電子前沿基金會則持相反的觀點。 EFF 政策分析師 Matthew Guariglia 在博客中寫道:「每當攝影機檢測到運動,或有人敲門鈴時,透過發送照片和警報,應用 App 就會給被包圍的家庭帶來錯覺。」

「這將看起來非常安全的社區,變成了焦慮和恐懼的源頭。這就提出了一個問題:您是否真的需要 Ring,還是讓 Amazon 和警察誤導您以為您會這樣做?」

僅僅因為駭客可以透過 IP 攝影機,進行間諜活動,並不意味著他們可以。

從膠帶、便利貼、貼紙和其他貼在筆記型電腦上的設備的數量來看,公眾已經對網路攝影機,產生了一定程度的偏執。惠普的一項調查發現,在美國有 79% 的受訪者,意識到陌生人透過網路攝影機瀏覽他們的風險。十分之六的受訪者說,不用時,他們用膠帶或類似物品遮蓋了網路攝影機。


負責任的公開是件好事
最近披露的與 Nest 安全模式有關的一系列漏洞,突出顯示了負責任的披露如何工作。思科與 Nest and Weave 合作,以確保在 Cisco Talos 宣佈漏洞之前解決該問題。 Nest 表示,受影響的具有網路連接的攝影機將自動更新,以解決最近發現的漏洞。

0 意見: