Cybersecurity Certified within IP Surveillance IP 監控中的網路安全認證
《3S MARKET》影像監控系統被駭,每次最後只有更新韌體一途嗎?台灣很多資安專家都宣稱,他們有能力把影像監控系統,做到如銅牆鐵壁般的堅固,可是另一方面又說,對影像監控廠商完全不熟?
在台灣的國家政府不斷高喊「資安即國安」的政策,這篇很完整的影像監控資安偵測、防禦、解決的分析探討,應該已很具體的把嘴巴專家及現行推動做法,現出了原形;而或是繼續麻木,將裝懂假裝成很懂……
精彩文章,推薦閱讀!
摘要:在過去的十年中,影像監控系統已成為物聯網(IoT)的一部分。 這些 IP 監視系統現在可以保護工業設施、鐵路、加油站,甚至是自己的房屋。
不過,像其他物聯網系統一樣,存在固有的安全風險,可能導致嚴重侵犯使用者隱私的行為。在這篇綜述中,我們探索了現代監視系統的攻擊面,並透過實際例子,列舉了可以加以妥協的各種方式。
我們還將辨識間諜威脅,它們的攻擊目標\攻擊媒介,以及成功攻擊的後果。 最後,我們介紹了當前的對策和最佳做法,並討論了威脅範圍。
這篇綜述的目的,是使研究人員和工程師,對現代監視系統的安全性,有更好的了解,以強化現有系統,並開發改進的安全性解決方案。
關鍵字:IP 攝影機;影像監控;物聯網的網路安全;實體安全
1. 簡介
如今,影像監控系統隨處可見。他們在大街上、火車站、工作場所、工廠甚至在家中。智慧應用使大型監視網路,可以實際管理和利用。例如,用於臉部辨識、威脅辨識,事件檢測、跟踪對象,和快速調查事件的技術,可以擴展到大地理區域上的數千個攝影機。
在過去的幾十年中,監視技術已經從類比系統,發展到分組交換系統(透過 IPv4 和 IPv6 網路)。類比系統的使用,是將類比訊號(通常透過同軸電纜),傳輸到錄影設備的攝影機。對這些系統的攻擊,要嘛是透過切斷電線來拒絕服務,要嘛是透過截取電纜,來進行影像注入,然後是透過與錄影設備,進行實體交互來進行篡改記錄。
相比之下,IP 的系統具有多種拓撲和技術,這使其變得更加複雜,並導致更大的攻擊面(例如,VPN、Gateway、多個伺服器、WiFi門禁控制系統等)。此外,這些系統通常會暴露在 Internet 上,從而使攻擊者能夠在每天發現新漏洞的同時,不斷地攻擊它們。
無論如何,IP 的影像監視系統由於流行,且普及的物聯網(IoT)而變得負擔得起。結果,在過去的幾年中,聯網家庭中,安全設備的市場成長了 17 倍。由於它們的說服力、實用性和可負擔性,影像監控系統已在我們的日常生活中無處不在。
但是,正如預期的那樣,這些系統及其週邊組件,已成為眾多網路攻擊的目標。例如,它們已成為分佈式拒絕服務(DDoS)攻擊的目標,被利用來入侵使用者的隱私,甚至挖掘塞浦路斯貨幣。這些系統也被招募到殭屍網路中以執行邪惡的任務。例如,在 2014 年,臭名昭著的 Mira 殭屍網路針對監視系統,並感染了全球超過 600,000 台設備。
透過對知名製造商的 shodan.io 和 censys.io 的查詢,我們發現有超過 100 萬個監視攝影機和超過 125,000 個暴露於 Internet 的監視伺服器。在這些設備中,有 90% 沒有安全的登錄門戶(使用 HTTP 而非 HTTPS)。
此外,大約 8% 的人具有開放的 SSH 和 Telnet 端口,3% 的人暴露了 MySQL 數據庫,並且這些設備中至少有 1.7% 仍然容易受到 2012 年發現的 HeartBleed SSL 漏洞的影響。
甚至大型影像監控製造商,也都暴露了產品。例如,三星的 CCTV 伺服器至少有 83,035 台暴露了設備的弱點,其中 86% 使用 HTTP 登錄門戶,而 1604 則開放了 SSH 端口。
此外,最大市場佔有率為 24.7% 的監視製造商 HikVision,擁有至少 260,415 台暴露設備的弱點,其中只有 53 台啟用了 HTTPS,但是具有自簽名證書。在一項研究中,發現使用默認密碼,可以訪問 256 個國家中的,大約 73,000 個安全攝影機。
這些統計數據強調了,IP 監視系統的安全性較差。而且,這些系統具有很高的針對性。在過去的發生案例中,作者展示了他們的監視系統,在連接到網路兩分鐘後,如何被駭客入侵。
在本文中,我們將回顧現代監視系統的網路安全。我們將從詳細介紹,現代影像監視系統的組成和拓撲開始。接下來,我們將透過討論攻擊者的目標,對系統的機密性、完整性和可用性的影響,來理解它們的目標。
之後,我們將探索攻擊者,是如何透過涉及不同間諜威脅,和惡意行為的多個攻擊步驟,來實現其目標。我們將以當前事件,和已發布的常見漏洞披露(CVE)為例,說明這些攻擊。最後,我們將回顧可用於解決,這些網路威脅的最佳做法,和已知的安全解決方案。
為了捕獲攻擊面,我們進行了如下審查:(1)我們使用實際佈署確定了相關要素(資產和參與者),(2)搜索了有關攻擊和對策的相關學術論文和技術報告。(3)我們搜索了 Shodan,以辨識相關威脅,(4)我們執行了現有的 IP 攝影機攻擊(例如影像注入),以枚舉並了解系統的侷限性,以及(5)滲透測試人員,以在海港、機場、鐵路和其他商業區域中,使用的真實商業監視系統中,搜索攻擊媒介和新穎的漏洞。有關測試平台配置的詳細資訊,請參見第 2.5 節的報導。
我們注意到,許多其他工作對物聯網安全性,進行了全面的評估。儘管 IP 的監視系統,使用通用網路元素,並與其他 IoT 系統共享技術,但其攻擊面與網路安全觀點不同。
這是因為它們支持,並加強了我們的人身安全,一旦受到損害,就會威脅到我們的人身安全和隱私(無論是在家中、工作中,還是在民族意義上)。結果,技術、威脅參與者和攻擊動機,以及整體攻擊面,不同於其他網路和物聯網。我們區分這些差異如下:
威脅角色(誰),有一組攻擊者想要專門利用監視系統的功能。例如,國家角色或是小偷,在一個地理區域內進行偵察,而罪犯則計劃用錄影片段勒索受害者。
資產(什麼)如果遭到破壞,這些系統可以向攻擊者提供私人圖像,從而直接導致顯式侵犯隱私權。這些系統對於殭屍網路所有者,也是有利可圖的資產,因為它們通常具有高頻寬(用於 DDoS 攻擊)和不錯的計算能力(用於加密挖掘)。
監視系統的功能,改變了攻擊者目標的加權,以及防御者在防禦中的優先級。例如,與其他系統相比,監視系統對反 DoS 和 MitM 攻擊的重視程度更高。總體而言,與其他物聯網的數據相比,暴露數據的隱私侵犯,具有更強的含義。
拓撲(何處)與其他物聯網不同,監視系統通常是連接到單個伺服器的集中式系統。它們通常還連接到 Internet ,和內部專用網路(如 Intranet),從而暴露了潛在的滲透媒介。
監視系統通常也可以將實體伺服器放置在現場,而不是放在雲端中。這些方面透過鼓勵攻擊者,找到其他危害系統的方式(例如,透過本地攻擊)來改變攻擊面。
動機(為什麼)除了成為另一個網路的墊腳石之外,監視系統還引發了金錢動機,例如勒索、加密貨幣挖礦,和出於軍事或政治原因的間諜活動。
此外,如果將系統作為 DoS 攻擊的目標,則攻擊者可以從實體上獲得優勢。例如,在攻擊/盜竊之前,或作為網路恐怖主義行為,在某些地理區域中,停止影像傳送。要考慮的另一個方面是,對通用物聯網設備,或資訊系統的 DoS 攻擊,是令人討厭的,而在監視系統上,這意味著攻擊者可以隨意遠端禁用影像源。例如,可以將遠端監控系統中的 VPN 路由器作為目標,從而導致所有攝影機的訊號丟失。
攻擊媒介(如何)監視系統由於其功能,而具有獨特的安全漏洞和攻擊。一些案例包括:
(1)接受自簽名證書(可能會導致中間人攻擊)的伺服器,以使其與各種供應商的相容許多不同攝影機型號;
(2)它們對旁側通道攻擊的獨特敏感性,歸因於影像壓縮算法的性質,對加密的流量進行處理;
(3)影像注入攻擊,其中鏡頭片段循環播放以掩蓋犯罪,以及
(4)透過攝影機的紅外線夜視感測器執行數據洩露。此外,現代系統依靠機器學習算法,來辨識和跟踪對象和人員。與其他物聯網上的 AI 不同,這些 AI 模式,由於其可訪問性和缺陷,而很容易逃避/利用。
儘管從技術角度來看,IP 的監視系統的許多組件,與其他 IoT 的組件相似(例如,攝影機和智慧冰箱可能都具有易受攻擊的 Telnet 門戶),但確定攻擊者的動機(目標資產)更為重要。和策略(例如,如何滲透和隱蔽)以設計安全的體系結構,和有效的防禦措施。
因此,攻擊面不是各個軟體和硬體漏洞的最終結果,而是攻擊者的意圖和動機,這些動機和動機,驅動著攻擊目標和策略。了解目標和策略,是開發安全系統和設計有效對策的關鍵。
我們還注意到,這是對 CCTV 和影像監視系統的良好安全性審查。然而,在研究個案中,有些人專注於視覺攻擊,例如數據洩露、秘密通道和隱寫術。這篇文章的目的,是使讀者對 IP 的監視系統的攻擊面有更深入的了解,以便他或她可以更好地了解,攻擊者在這些系統的目標和技術。
這篇報導的結構如下。在第 2 節中,我們介紹了系統概述,以及針對安全的分類法,各種目標(資產)的描述,以及常見的佈署拓撲。在第 3 節中,我們以安全違規的形式,詳細介紹了攻擊者的可能動機。
在第 4.2 節中,我們確定針對這些系統的攻擊媒介的元素(間諜威脅、行動和後果),然後是由這些元素構成的一些案例攻擊媒介。我們還將所有這些攻擊和漏洞,都置於現實案例中。在第 5 節中,我們將討論針對 IP 監視系統,免受各種攻擊,所採取的對策和最佳做法。最後,在第 6 節中,我們對威脅的範圍進行了討論,提出了今後的工作建議,並總結了本次審查。
2. 系統概述
在討論安全性方面之前,我們必須描述什麼是監視系統。在本節中,我們首先介紹 IP 影像監視系統的一般概述。之後,我們列出了系統的一些關鍵資產,和常見的佈署方案。
2.1. 總覽
為了更好地理解 IP 影像監視系統,在圖 1 中,我們對它們的概念式進行了分類。 通常,可以從系統的目的、實現、拓撲和保護方面,對其進行描述。現在,我們將詳細介紹這些方面。為了創建它,我們從基本分類法開始,該分類法基於公知知識,和我們在網路安全方面的經驗。
然後,我們根據監視系統工程師、安全專家的意見,以及我們審閱的論文,漏洞披露和報告,對分類法進行了改進。我們驗證了該資訊,可以映射到我們的分類法,如果沒有,我們將對其進行更新。
圖1.影像監視系統概述。
目的 影像監視系統的目的,取決於使用者的需求。
強制執行 使用者可能想派安全部隊或警察,到發生某些違反法律或協議的區域。這在政府、運輸服務、商店,甚至工作場所都很常見。
監視 使用者可能希望在某些位置上,實現某種預期目的,以達到某種通用目的,或者俱有安全感,例如家庭、嬰兒和寵物監視。
取證 使用者可能希望能夠提供證據M或追踪個人。操作使用者可能希望透過概述正在發生的事情,來改善操作上。例如,可以更有效地指導或管理員工。
威懾作用 使用者可能希望在視覺上,看到該系統,以簡單地避開潛在的違法者或侵入者。在某些情況下,使用者甚至無法觀看影像錄影。
實施 可以透過多種方式設置系統的硬體/軟體,以收集和解釋影像錄影。我們將系統的實施分為兩類:
監視 此概念表明,使用者可以看到影像串流,以及如何解釋內容。可視化可以直接提供給使用者,例如在閉路監控站中,直接提供給使用者,或透過具有遠端訪問權限的數位錄影機(DVR),或在雲端中間接提供給使用者。內容的解釋,可以由使用者手動查看內容來完成,也可以透過運動檢測自動完成,也可以透過高階應用(例如對象追踪、圖像辨識、臉部檢測和事件檢測)自動完成。
通信 這是指系統傳輸影像源的方法。使用類比方法時,影像將作為類比訊號,發送到 DVR(隨後將其連接到 Internet)。使用數位方法,可以對影像進行處理、壓縮,然後將其作為數據包,影像串流透過 IPv4 和 IPv6 網路協議,發送到 DVR。一種常見的方法,是使用 H.264 編解碼器壓縮串流,然後使用即時協議(如 UDP 上的 UDP)在網路上將其發送。
拓撲 IP 的監視系統的拓撲,可以透過其分佈,包含和基礎結構來描述。分佈是指攝影機位於世界任何地方,還是實際位於一個區域。
遏制 是指系統是閉路(未連接到 Internet)還是開放,並且依靠授權存取控制,來拒絕沒有適當憑據的使用者。最後,基礎架構是指系統的各個元素,如何連接在一起:無線(例如 Wi-Fi),有線(例如透過 CAT6 電纜的乙太網)或兩者皆使用。
保護 監視系統的保護,是指使用者如何對系統資產和服務的保護,包括實體和虛擬存取。沒有實體保護,攻擊者就可以篡改/損壞攝影機,或在網路上安裝自己的設備。虛擬保護可以在網路主機或網路本身上使用:
主機 攝影機、DVR 和其他設備,可以透過使用適當的授權存取控制機制來保護。但是,就像任何電腦一樣,這些設備容易受到軟體、硬體中,未知/未知漏洞的利用,或者僅僅是由於使用者配置錯誤(例如,默認憑據)。保護主機免受攻擊,可能涉及防病毒軟體,或其他技術。
網路取決於拓撲,可以透過 DVR、Internet Gateway 或直接透過 Internet 存取進入系統設備。使用者可以透過加密、防火牆,和端到端虛擬專用網路連接(VPN)保護網路,從而保護整個設備和系統。
2.2. 資產
資產是攻擊者,可能瞄準有價值的東西。在我們的案例中,資產是數據、設備、軟體和基礎架構:
DVR — 媒體伺服器、數位錄影機,或其他媒體伺服器,負責接收、儲存、管理和查看,已記錄/存檔的影像源。DVR 通常是在使用者伺服器上,運行的應用,或者是自定義硬體 Linux 盒。DVR 也可以是雲端的伺服器。在小型系統中,可能有不支援 DVR 的攝影機,並且要求使用者直接(例如,透過 Web 介面)連接到攝影機。
攝影機捕獲影像素材的設備。IP 攝影機的類型、品牌和型號很多,每種都有自己的功能、性能和漏洞。為了進行配置,某些 IP 攝影機提供了 Web 的介面(HTTP、Telnet 等),而其他 IP 攝影機則連接到雲端中的伺服器。大多數攝影機充當 Web 伺服器,向授權的客戶端提供影像內容(例如,DVR 將作為客戶端連接到攝影機)。
查看終端用於連接到 DVR 或攝影機,以查看和管理影像內容的設備/應用。例如,在智慧手機上運行的 Android 應用 app 或 DVR 本身。
網路基礎結構,將攝影機連接到 DVR,將 DVR 連接到使用者的查看終端的元素,例如路由器、交換機、電纜等。基礎結構還包括虛擬專用網(VPN)設備和鏈接。
VPN 是在 Gateway 和使用者設備之間,透過 Internet 隧道傳輸第 2 層(乙太網)流量的 LAN,使用加密。場域間的 VPN,可以透過 Internet 橋接監視網路的兩個部分。遠端場域的連接,將流量直接從使用者終端,引導到監視網路。
影像內容正在錄製,或已存檔,以供以後查看的影像源。
使用者憑據用於存取進入 DVR,攝影機和路由器的使用者名稱、密碼、cookie 和身份驗證令牌。憑據用於驗證使用者,並確定影像內容、設備配置和其他資產的存取進入權限。
網路流量 — 運動中的數據,透過網路基礎結構傳輸數據。這可以是憑證,影像內容、系統控制數據(例如,平移、傾斜或縮放),以及其他網路協議(ARP、DNS、HTTP、SSL、TCP、UDP 等)。
2.3. 佈署
有多種方法可以佈署 IP 的監視系統。網路拓撲可以是集中式的(所有攝影機都連接到 DVR),也可以是分佈式的(使用者連接到每個攝影機)。在可存取性方面,可以透過 Internet 直接進入系統,也可以根本不進入系統。在這方面,我們確定了可存取性的三類(如圖 2 所示):
實體開路(POC)系統中的網路主機(攝影機、DVR 等)具有公用 IP 位址。這意味著來自 Internet 的任何人,都可以將數據包發送到設備。
實體閉路(PCC)當系統中的網路主機,具有專用 IP 位址,並且沒有將網路連接到 Internet 的基礎結構時。這意味著來自 Internet 的任何人,都不能直接將數據包發送到設備。這些系統也稱為氣隙網路。
虛擬閉路(VCC)當系統中的網路主機,具有專用 IP 位址,並且網路使用 VPN 透過 Internet 連接時。這意味著網路上的任何人,都不能直接向設備發送數據包,除非它們透過 VPN 發送數據包。
圖2.用於佈署影像監視系統的輔助功能模式。
2.4. 監控系統與物聯網
IP 監視系統中的許多設備,與其他 IoT 系統中的設備相同,但是存在一些技術方面,這些技術方面是攻擊者可以利用的,監視系統所獨有的。但是,更重要的是要在攻擊者的眼中,了解目標系統,以設計安全的系統,並制訂有效的對策。因此,在監視系統中,對不同組件的安全重點和防禦策略,有所不同。
2.4.1. 技術視角
從安全角度來看,有兩個主要方面,將監視系統與其他 IoT 系統區分開:體系結構和人工智慧功能的使用。
建築. 體系結構:在安全性方面,我們必須考慮組件之間的拓撲結構和關係,而不僅僅是單個設備。一些元素僅由於與其他元素的關係,而變得脆弱。就物聯網而言,這些設備通常遵循相同的雲端的模式,而監視系統具有多種架構和拓撲,如果不加以考慮,則可能導致嚴重的漏洞。
例如,攝影機可能透過 VPN 發送流量,因此可以免受遠端攻擊,但是由於其 Web 可存取問性,DVR 可能會暴露在外。另一個例子是,攝影機(有線或無線)的通信通道經常暴露在外,並跨越公共可存取進入區域,與物聯網相比,攻擊者有更多機會滲透網路。
在本次調查中,我們舉例說明了與 IoT 雲端模式相比,監控系統獨有的體系結構,以及攻擊者可能用來利用它們的策略。
人工智慧:就物聯網而言,出於數據挖掘的目的,通常在後端執行機器學習。就監視系統而言,存在獨特的攻擊(例如,所有基於圖像的攻擊),這些攻擊僅使與監視系統相關的攻擊(逃避、虛假證據、DoS)成為可能,這可能導致嚴重違反安全性、隱私權和公正性的規定其他物聯網。
例如,攻擊者可以在衣服上,使用對抗性標記,以逃避偵查,延遲調查(植入虛假觸發器)並辨識為合法人員。最近的研究人員展示了攻擊者如何製作圖像,這些圖像在模式上,產生了可觀的開銷,從而導致設備在有效的 DoS 攻擊中變慢。
這些攻擊獨特地影響監視系統,因為 AI 功能為攻擊者,提供了實現目標並,破壞系統目的的新載體。
2.4.2. 攻擊面視角
這項調查的主要目的,是透過確定攻擊者,將其作為目標的方式,地點和原因,為研究人員和工程師,提供清晰的監視系統攻擊面的視圖。在網路安全中,這些方面非常重要,因為所有電腦系統都存在漏洞,因此防御者必須相應地優先考慮其工作。具體而言,如果要以與典型的物聯網系統相同的方式,處理 IP 監視系統的安全性,則該系統的關鍵資產將暴露在外,從而造成重大損失。
為了更好地了解我們的系統,與其他物聯網之間的區別,我們來看一些對比示例:
怎麼樣.考慮一個 DoS 攻擊。攻擊者在 IoT 上進行這種攻擊的經典方法,是使設備超載流量。這樣做會提醒當地政府,注意攝影機所在的區域,因為進紙會中斷。但是,這裡的攻擊者顯然是出於隱秘的目的,以不提醒當局注意他或她的存在。因此,DoS 可能採取以下形式:(1)循環播放影像內容,(2)凍結當前幀,(3)以 DVR 為目標來操縱內容,因為 DVR 可能會透過其 Web 入口更加公開,或者( 4)使用對抗 機器學習攻擊,以逃避檢測(例如,透過使用對抗性標籤,隱藏場景中有人的事實)。
另一個考慮因素是,與其他物聯網相比,IP 攝影機會產生大量的網路流量。這樣就很容易檢測到來自攻擊的中斷,這使攻擊者面臨著,以其他方式破壞設備的挑戰(例如,比獲得根設備更喜歡獲得憑據)。
哪裡.考慮數據盜竊攻擊。進行此攻擊的經典方法,是透過遠端社交工程攻擊(例如網路釣魚)來訪問憑據,或直接在 IoT 設備本身中,利用漏洞來獲得特權訪問。
但是,在完全 VPN 的監視系統中,無法遠端定位設備,並且社交工程攻擊,可能無法提供訪問權限(例如,在時間的旋轉密鑰的情況下)。相反,攻擊者更有可能執行實體社會工程攻擊(例如,植入 USB 驅動器)或實體篡改網路基礎結構,以在中間設備中植入人員。區分差異非常重要,因為區別不僅會指出必須在安全設計中強調的位置,而且還會確定應在何處放置對策(例如,透過攝影機放置 NIDS,而不僅僅是在 Web 入口或 DVR 上)和強調(例如,即使在建築物內的「私人」走廊中,也可以埋入並鎖定電纜)。
為什麼.考慮如何利用該系統。物聯網設備可能針對其包含的資訊或資源。但是,攝影機的功能(觀察影像鏡頭)受到損害,或在更大規模的攻擊中,充當墊腳石的風險更大。對於後一種情況,請考慮數據洩露:由於攝影機始終即時發送大量數據,因此可以使用攝影機,通過高級防火牆來洩露數據。
在這裡,攻擊者可以利用這種未被發現的電流(在本底噪聲以下),與其他物聯網相比,在這種情況下,流量通常比較稀疏,並且更易於建模。另一個需要考慮的情況,是 IP 攝影機產生的流量(頻寬)比其他物聯網要多得多,因此可能會以製造大規模 DDoS 攻擊為目標。
我們注意到,對 IP 監控系統進行攻擊的風險,高於其他種類的 IoT,因為(1)它們廣泛傳播,(2)為攻擊者提供高收益(為攻擊者提供比其他 IoT 強大的處理器)比特幣挖礦等,以及直接訪問機密資訊),以及(3)直接影響使用者的安全、隱私和完整性(例如,植入虛假證據)。
因此,了解攻擊的「原因」,使防御者可以知道,應該在哪裡花費時間和資源,來加強體系結構,並防止拓撲和存取控制中的設計,選擇不當。
總而言之,知道攻擊者將首先瞄準的位置,將提供早期警告,並使防御者能夠在造成重大損害之前,將攻擊者從系統中清除。這只透過從攻擊動機的角度,完全了解攻擊面來實現。因此,我們相信這項調查,將為閱讀該調查的研究人員和工程師,做出巨大貢獻。
潛在攻擊的方式、位置和原因,與其他物聯網不同,因此非常重要的是,本調查重點關注這些方面的敘述。
2.5. 監控系統測試台
為了辨識所有資產和攻擊媒介,我們實施了兩次商業監視系統佈署,並使用兩名熟練的滲透測試儀,對其進行了攻擊。與供應商合作設置了佈署,該供應商還協助分析了攻擊向量。圖 3 預設了這兩個佈署。
為了了解系統的局限性和漏洞,我們驗證了,與完整攻擊媒介的不同步驟,有關的九種攻擊:偵察、中間人、拒絕服務(DoS)和殭屍網路、惡意軟體的傳播。表1 詳細列出了成功執行的九種攻擊中的,每一種以及它們的攻擊向量入口點(如圖 3 所示)。
我們的觀察結果,用於完成以下各節,這些節列舉並確定了適用於 POC、PCC 和 VCC 監視系統佈署的漏洞,攻擊媒介和對策。
圖3. 這兩個佈署完成了我們研究期間,用於滲透測試的商業監視系統。
表1. 在商業監視系統測試平台上,進行的攻擊。
3. 安全違規
安全違規可以描述,為對系統的機密性、完整性和可用性的攻擊(稱為 CIA 三元組)。違反保密性是指未經授權訪問資訊;違反完整性是指故意操縱和更改資訊。最後,對可用性的侵犯,是指在需要時阻止,授權使用者訪問服務,或資源的行為。
攻擊者在攻擊系統時,可能具有的目標可以用 CIA 三合一來描述:
1. 違反機密性 - 未經授權訪問影像內容,使用者憑據和網路流量。在這種情況下,攻擊者打算出於自己的邪惡目的,觀察影像錄影。結果,該目標使場所的隱私,和實體安全受到威脅。
2. 違反完整性 - 影像內容的操縱,或系統中安全頻道的主動干擾(例如 POODLE SSL 降級攻擊)。在這種情況下,攻擊者打算更改影像內容(靜止或傳輸中)。更改可能包括凍結幀,循環播放已存檔的剪輯,或插入其他內容。該錯誤資訊,可能導致人身傷害或盜竊。
攻擊者可能出於與影像內容,不直接相關的目標,而侵犯了系統的完整性。例如,攻擊者可能想利用系統的漏洞,來橫向移動到外部資產。該系統可用作進入以下外部資產的墊腳石:
(a)內部網路 - 出於管理目的,監視系統(特別是閉路系統)可以連接到組織的內部網路。攻擊者可能利用此鏈接,來訪問組織的內部資產。
(b)使用者 - 攻擊者可能將系統的使用者,作為攻擊目標。例如,攻擊者可能希望在查看終端上安裝勒索軟體,或劫持使用者的個人帳戶。
(c)招募殭屍網路 -「機器人」是在受感染電腦上運行的自動化流程,該電腦透過命令和控制(C 和 C),接收來自駭客的命令。
伺服器.一系列殭屍程式,被當作殭屍網路使用,通常用於發起 DDoS 攻擊、挖掘加密貨幣、操縱網路服務,以及執行其他惡意活動。感染了受影響的 IP 攝影機和 DVR 的殭屍網路案例,是 Mirai 惡意軟體殭屍網路。
2016 年,Mirai 殭屍網路,對網路 Web 主機和服務提供商,產生了 1.1 Tbps 的 DDoS 攻擊。另一個案例,是名為 Linux.Darlloz 的蠕蟲,它針對易受攻擊的設備,並透過 PHP 漏洞(CVE-2012-1823)對其進行利用。
3. 違反可用性 - 拒絕存取進入,已儲存或即時影像的提要。在這種情況下,攻擊者的目標是(1)禁用一個或多個攝影機源(隱藏活動),(2)刪除儲存的影像內容(刪除證據)或(3)發起勒索軟體攻擊(賺錢),例如,即 2017 年對華盛頓特區監視系統的攻擊。
4. 攻擊
有許多不同種類的攻擊。有些情況涉及一個步驟(例如,DDoS VPN 鏈接),而另一些情況涉及多個步驟(例如,透過發送網路釣魚電子郵件來竊取憑據,然後安裝惡意軟體,等等)。一系列攻擊步驟,通常被稱為攻擊向量。引導程序中的每個步驟,都使攻擊者可以使用某些資產,引導程序中的最後一步,可以實現攻擊者的目標。
舉例來說,圖4 說明了達到相同目標,兩個不同攻擊媒介的流程。在這裡,動作 1 和動作 2 均使攻擊者,可以訪問監視系統。但是,與直接實現目標的操作 2 相反,操作 1 需要額外的攻擊,才能實現攻擊目標。
例如,如果目標是禁用監視系統中的所有攝影機,則操作 1 可能是「暴力攝影機憑據」,從而導致結果「攝影機損壞」,從而使攻擊者可以控制資產「攝影機」。但是,要禁用所有攝影機,攻擊者必須攻擊 DVR(動作 3 或 DoS 攻擊其他攝影機(動作4)。另一方面,攻擊者可以透過對 DVR 發起 DDoS 攻擊,從一開始就實現其目標。(操作2)如果攻擊者擁有一個殭屍網路。
總之,攻擊媒介是攻擊者獲得其目標的一種可能途徑。 但是,考慮到攻擊者的資源(例如工具,實體/遠端訪問等),經驗以及對目標監視網路的瞭解,並非每條路線都是可行的。
要瞭解攻擊媒介,需要研究以下方面:
威脅代理/角色. 人員、設備或代碼
它代表攻擊者執行攻擊步驟。
威脅行動. 惡意活動
代理可以在每個步驟(訪問、濫用、修改等)上執行的操作
威脅後果/結果。攻擊者在成功完成攻擊步驟後會獲得什麼。
攻擊目標. 最終結果
攻擊者試圖達到的目標(在攻擊向量的末尾)。
現在,我們將討論有關監視系統的所有這些方面。
圖4.達到相同目標的兩個攻擊媒介的案例。
4.1. 威脅間諜
我們確定以下相關威脅因素/行為者:
1. 駭客(Hacker) - 具有豐富的電腦漏洞利用有經驗的個人,其未經授權的活動,會破壞系統的安全策略。駭客可以位於遠端位置(即 Internet),也可以位於實體網路附近。
2. 網路主機 - 連接到系統網路的,正在執行惡意代碼的電腦。該電腦可以是 IP 攝影機、DVR 或網電腦中的任何可程式設備。網路主機可以透過本地利用(惡意/無意注入惡意軟體 - 社會工程和內部人員),遠端利用(例如利用 Web 伺服器漏洞或開放式 Telnet 伺服器)或供應鏈攻擊而成為威脅者。
3. 內部人員 - 攻擊者或與攻擊者串通的系統授權使用者。內部人員可能是常規使用者(例如安全員)、IT支持成員,甚至是系統管理員。內部人員可以直接執行整個攻擊,或者透過安裝惡意軟體,更改訪問權限等來啟用部分攻擊媒介。
4.2. 威脅行動
我們確定威脅代理,可以在系統上執行以下的攻擊。
4.2.1. 執行代碼注入
代碼注入是對輸入的不正確解析的一種利用,導致輸入被執行為代碼。威脅代理可以執行代碼注入,以洩露敏感資訊或安裝某些惡意軟體。一個案例是跨場域請求偽造(CSRF)漏洞,可用於在某些攝影機,上添加輔助管理員帳戶(例如 CVE-2018-7524、,CVE-2018-7512)。
另一個案例是 SQL 注入攻擊,該攻擊已影響 Geutebruck G-Cam / EFD-2250 攝影機(CVE-2018-7528)。最後,基於棧的緩衝區溢出漏洞已被利用,並已在 IP攝影機和 DVR 中發現(CVE-2017-16725)。
一些攝影機運行本地 HTTP Web xserver,以讓為使用者提供方便的配置介面。但是,這些伺服器可能已過時,且容易受到攻擊,例如臭名昭著的 OpenSSL 中的 Heartbleed 漏洞。
另一個案例是 Sony 監控攝影機 IPELA 系列,其中可以利用解析漏洞,透過簡單的 HTTP 發布消息(CVE-2018-3937 / 8)來執行緩衝區溢出攻擊。IP 攝影機上對 Web 伺服器的其他攻擊,包括目錄遍歷和 cgi-bin 腳本公開。發送到伺服器的特製 URL,可能會導致遍歷目錄,從而可能顯示管理員和 Wi-Fi 憑據(CVE-2013-2560)。將各種輸入發送到公開的 cgi-bin 腳本 URL,可以啟用即時影像提要,並啟用 Telnet 通信。
即使對流量進行加密,該軟體也可能正在使用舊協議,或者可能容易遭受降級攻擊。例如,Poodle 和 Beast 是攔截初始握手,並誘使伺服器將加密降級到易受攻擊,或已過時的可利用版本的攻擊。
4.2.2. 操縱/觀察流量
威脅代理可以操縱,重新路由或觀察網路流量。例如,代理可以(1)在本地網路中進行中間人(MitM)攻擊,然後(2)凍結影像圖像或將其註入即時供稿。對於 MitM 攻擊,攻擊者可以透過 ARP 中毒,DHCP / DNS 欺騙重新路由通過他的流量。對於注入,可以使用工具 VideoJak 使用 RTSP 或 RTP 協議,來利用未加密的影像串流。這些協議通常用於影像監視系統,如果在 PCC 佈署中發現,則可以不加密。
在流量觀察的情況下,代理可能能夠觀察影像內容。在 2015 年第 25 屆 ICCCN 中,一些專家透過嗅探網路流量,成功提取了 NetCam IP 攝影機生成的 JPEG 圖像。此外,即使對影像流進行加密,也可以透過觀察流的頻寬模式,來推斷影像素材。這是由於影像編解碼器(例如 H.264)如何壓縮幀之間的運動,以及客戶端如何緩衝內容。
此外,觀察流量還可以從透用即插即用(UPnP)流量中,揭示網路拓撲資訊,並且憑據可以在 HTTP 流量中以純文本形式顯示(例如 CVE-2017-15290 中的DVR)。
在 DEFCON'17 上,VIPER Lab 展示了(https://youtu.be/XLsoEZzHqjE)一種稱為 VideoJak(UCSniff 的一部分)的 IP 影像監視安全評估工具。該工具可用於攔截即時傳輸協議(RTP)影像串流,並執行各種攻擊,例如影像注入、影像循環,以及其他幾種攻擊。它是透過(1)在中間攻擊中執行一次操作(ARP中毒),(2)從 RTP 提要中剝離內容,以及(3)在更新 CRC 時替換內容來實現此目的的。
4.2.3. 竊取資訊
可以利用攝影機為攻擊者竊取資訊。例如,鑑於連接到 Internet 的攝影機,隔離網路中包含的惡意軟體,可能會使 LED 燈閃爍。透過調製閃爍模式,攻擊者可以將一些被盜資訊(例如,使用者憑據)洩露到遠端位置。硬碟驅動器、顯示器和網路設備,已經證明了這一點。
4.2.4. 洪水與破壞
威脅代理可以透過向網路中填充數據包,或將精心設計的流量發送到網路應用程式,來阻止對服務或數據的訪問。典型的 DoS 攻擊,是將 DVR 或攝影機淹沒,直到伺服器資源耗盡,並且所有新的(有時是現有的)會話都被阻止(例如 CVE-2019-6973)。
例如,使用 hping3 工具,TCP SYN 泛洪可以禁用 Web 伺服器(例如 CVE-2018-9158),而 UDP 泛洪可以使網路接口過載。對於 VPN 通道,攻擊者可以透過泛洪 VPN Gateway(對 Internet 可見),來斷開所有攝影機的連接。
透過使用 ISKAMP 協議,發送大量密鑰交換請求,我們在 Cisco VPN 路由器上驗證了這種攻擊,從而導致與所有攝影機的連接中斷。此外,SSDP 放大攻擊可用於使 DVR 超載。在這種攻擊中,代理透過使用 DVR 的 IP 地址發送請求,使攝影機向 DVR 發送大量 UPnP 元數據的垃圾郵件。
IP 攝影機通常容易受到這些攻擊,因為它們通常是資源受限的設備。例如,某些攝影機最多只能支持 80 個,並發 HTTP 連接,這些連接很容易被消耗。
另一個案例是 SSL 再生攻擊,其中代理反覆請求密鑰重新協商,這會使設備的 CPU 過載。這種攻擊是成功的,因為伺服器處理消息,比攻擊者生成消息要難得多。
其他 DoS 攻擊,可以透過利用錯誤和漏洞來完成。例如,透過發送大型 HTTP POST 請求(CVE-2018-6479)可能使攝影機崩潰,並且由於製作的數據包(CVE-2014-0674 和 CVE-2016-6466),VPN 路由器可能被迫丟棄所有連接。
4.2.5. 掃描與偵察
威脅代理可以執行網路掃描,以瞭解拓撲、資產、開放的網路端口,和可用於潛在利用的服務。現成的工具(例如 NMAP)可用於映射網路,並顯示有關其主機的資訊。代理還可以從 Web 服務中,獲取響應以顯示版本資訊,並對暴露的 Web 介面執行模糊攻擊,以發現潛在的漏洞。由於易於檢測,因此通常在異地執行模糊測試。
4.2.6. 利用錯誤配置
威脅代理可能利用錯誤的配置,來安裝惡意軟體,或訪問敏感數據。錯誤的配置案例,包括保留默認憑據、公開的服務(例如Telnet)和不正確的訪問控制規則。系統使用者甚至製造商,都可能導致配置錯誤。例如,製造商經常在其最終版本中,保留開發人員憑證,並打開網路端口。我們發現在使用高端索尼監控攝影監控測試台中,這是正確的。
4.2.7. 進行蠻力攻擊
蠻力攻擊是透過嘗試許多可能的選項,來猜測正確輸入的嘗試。蠻力攻擊可用於洩露使用者憑據,例如使用者名稱和密碼。可以透過限制每分鐘允許的失敗登錄次數,來解決這些攻擊。但是,在某些情況下,攝影機製造商無法實現此安全功能。為了快速找到解決方案,可以將常用密碼的詞典用作猜測池。例如,Mirai 惡意軟體透過使用 62 支攝影機、DVR 和 IoT 等常用憑證的字典,透過 Telnet 連接傳播到其他設備。
另一個例子是 Remaiten 和 Aidra 惡意軟體,它使用類似的方法,破壞了攝影機和其他 IoT 設備。另外,由於中國的 FOSCAM 攝影機,沒有針對暴力破解的保護措施,而密碼僅限於 12 個字符,因此也遭到了相同的攻擊。
4.2.8. 社會工程學
社會工程(SE)是指對某人的心理操縱,使他/她代表攻擊者執行某項操作。常見的 SE 攻擊包括網路釣魚電子郵件和誘餌。在網路釣魚中,威脅代理發送偽裝成可信賴來源的消息(電子郵件、SMS等),以試圖使接收者安裝某些惡意軟體,或最終洩露使用者憑據。
在誘餌中,威脅代理會植入裝有惡意軟體的多媒體設備(例如 USB 驅動器或 micro SD卡)。然後,受害者會不經意間,將其插入感染其的電腦。可以使用 http://www.jmest.org/wp-content/uploads/JMESTN42352270.pdf
等免費工具,以及與 Kali Linux 捆綁在一起的工具來實現。
4.2.9. 實體存取訪問
實體存取訪問是威脅代理進行攻擊的地方,需要直接與系統進行實體接觸。例如,安裝竊聽、後門設備、訪問伺服器機房中的終端,刷新攝影機的韌體,遮擋攝影機的視線或僅剪斷電線。
4.2.10. 供應鏈
供應鏈攻擊是威脅代理透過在製造過程中,安裝 Rootkit 或基於硬體的間諜軟體,來修改設備(例如攝影機或路由器)的方法。儘管很難完成,但是成功的供應鏈攻擊,可以為攻擊者提供對設備的完全控制,以及對本地網路的訪問。
4.2.11. 逆向工程
威脅代理可以透過使用逆向工程(RE),來瞭解目標設備的憑據或漏洞。逆向工程通常是,使用受害者所使用的相同硬體/軟體在異地執行的。RE 是分析編譯後的代碼或硬體,以辨識系統組件,及其相互關係的過程。在此過程中,可能會發現漏洞,甚至是硬編碼的憑據。
一種方法,是分析製造商提供的預編譯韌體。在 Black Hat 的演講中,作者研究了針對 Internet 的 IP 攝影機,並透過攝影機供應商提供的韌體映像,對其進行了分析。利用現有工具,發現了 D-Link Corp.、Cisco Systems、Linksys、TRENDnet 等多家公司的數位監控設備中的零日漏洞。
分析發現嚴重的安全漏洞,例如管理密碼、遠端代碼執行漏洞等。索尼的 IPELA 監控攝影機系列中,發現了另一起案件。透過對韌體執行 RE、Sec Consult 的研究人員,透過兩個硬編碼的根級別憑據,找到了後門。在其他攝影機和 DVR 中,也發現了這些後門(在 CVE-2018-5723 和 CVE-2017-6432 中)。憑證的硬編碼,可能有意或無意地發生(例如,開發人員在測試後忘記刪除憑證)。
RE 的另一種方法,是透過其通用異步接收器/發送器(UART)端口與該設備介面。這些端口通常位於設備外殼內,供製造商用於調試目的。UART 端口可用於暴露易硫化物、訪問韌體、運行外部應用程式、提取敏感資訊,或上傳自定義韌體,以進行進一步分析。
在 Proceedings of the International Conference 中,參與者分析了幾種 IoT 設備,包括 IP 攝影機、嬰兒監視器恆溫器和門鈴,是否存在漏洞。參與者提出了一個通用的工作流程,以獲取對 IoT 設備軟體的訪問權限,運行外部應用程式,以及使用 UART 端口提取秘密資訊(即憑證)。參與者發現,許多 DVR 容易受到未經身份驗證的登錄資訊洩露,和經由 UART 的未經身份驗證的命令注入的攻擊。
研究人員連接到 UART,並用代碼更新了韌體,以發現攝影機運行的是易受攻擊的 OpenSSL 版本(即令人心碎的),並發現了導致遠端執行代碼的其他漏洞。
4.2.12. 對抗機器學習
影像監視需要以手動或自動方式,查看事件的影像內容,例如,檢測即時入侵或查找可疑對象。因此,影像分析的領域,已被應用以最小化此任務中的人工工作。如果是大規模佈署,例如中國的國家監控系統,則需要採用自動化方法。一些自動化技術包括臉部辨識、事件檢測,和對象跟蹤。
但是,由於這些技術大多數依賴於機器學習,因此容易受到對抗性攻擊。對抗性攻擊是指,濫用機器學習的模式,其中一種是(1)在訓練期間中毒該模式,以使該模式按照攻擊者的意願行事;(2)製作將產生意外輸出的輸入,或者(3)透過觀察輸入輸出關係,來學習訓練數據或模式本身。對這些技術的對抗性攻擊意味著,攻擊者可以透過提高技術的誤報率透來逃避檢測,篡改物體的辨識,甚至引發 DoS 攻擊。
在監視系統上進行對抗攻擊的一個很好的例子,是在 Proceedings of the 2016 ACM SIGSAC Conference 中所做的工作。這些參與者在那裡,生成了色彩鮮豔的眼鏡框,當戴上眼鏡框時,可以從監視圖像的深度學習分類器的角度,改變個人的身份。這種攻擊不僅可以用來逃避檢測,還可以冒充個人。對這些系統的另一種攻擊是 DoS 攻擊,攻擊者利用誤報向圖像發送垃圾郵件,例如,穿上精心製作的車牌圖像,使交通攝影機超載。
另一個很好的例子是,攻擊者製作的對抗圖像,被設計為消耗大量資源。攻擊者可以透過將這些「海綿」樣本,放在攝影機的視線範圍內,以(1)放慢設備處理器的速度,直到其無反應為止,或(2)耗盡遠端攝影機的電池,從而引發 DoS 攻擊。
另一個例子是,基於 AI 的監視系統,設置以測量流量可能被愚弄,以報告流量阻塞或無流量。這將使攻擊者有能力根據自己的需要調整流量,造成嚴重破壞,或阻止其作為恐怖主義行為,前往醫院的緊急路線。
我們建議攻擊者可能試圖用數百萬個錯誤警報,向系統發送垃圾郵件,並從響應小組的角度,掩埋重要的警報和通知。這可以透過製作,包含數千個觸發對象檢測器的對抗圖像來實現。例如,一張包含大量難以察覺的武器,或面孔圖案的圖片。
4.3. 威脅後果
攻擊步驟中攻擊的成功,為攻擊者提供了新功能,例如,訪問新資產、運行代碼的能力,以及執行新攻擊的能力。我們確定以下是主要威脅後果:
4.3.1. 特權提升
攻擊者可能以提供,對以前受限制的資產的訪問方式,接收新的憑據或執行代碼。這種升級可用於收集資訊,卸載/安裝軟體,啟用/禁用保護機制等。
例如,不受保護的針對 Web 的 CGI 方法,可使未經身份驗證的使用者,繞過螢幕登錄並訪問網路攝影機內容,包括:即時影像串流、帶有所有密碼的配置文件、系統資訊等等(CVE-2017-17101)。另一個案例是 CVE-2017-6432,其中可以透過 MitM 攻擊將新使用者,注入 DVR 管理流量。
4.3.2. 觀看錄像
攻擊者可能能夠觀看/下載,即時或預先錄製的影像錄影。與破壞其他物聯網設備相比,這會嚴重侵犯隱私。攻擊者可以使用這些內容來跟蹤人員,觀察人員的行為,查找貴重物品的儲存位置,進行網上沖浪以竊取憑據,確定何時實施犯罪或勒索個人。另一個擔心是,攻擊者會更改內容,以植入虛假證據(例如預先錄製的影像循環),或使用深度學習,來插入從事某項活動的個人(又名 Deepfake ),掩蓋正在進行的犯罪,或永久刪除素材。
在某些情況下,攻擊者可能會透過旁側通道攻擊,來隱式訪問影像內容。例如,諸如 H264 之類的影像壓縮算法,僅在幀的區域發生變化時,才可以發送數據。結果,通道的頻寬會隨著攝影機視場中的運動而波動。ICIOT 的作者,使用加密網路流量的數據速率,使用 CUMSUM 算法在監控攝影機上,演示了這一概念。 CUSUM 是一種非參數算法,可以檢測時間序列數據中的異常。
4.3.3. 任意代碼執行(Ace)
一種嚴重的安全威脅,使攻擊者能夠在目標電腦上,或目標進度內執行任何命令。結果,攻擊者可以執行特權升級、安裝惡意軟體、竊取數據,以及執行其他惡意任務。在 IP 攝影機、DVR 和 VPN 路由器上,發現了 ACE 的漏洞(例如:CVE-2018-6414、CVE-2018-9156、CVE-2018-9157、CVE-2018-7532、CVE-2018-7512、CVE- 2015-8039、CVE-2018-0125、CVE-2017-3882)。
4.3.4. 安裝惡意軟體
攻擊者可能在目標設備上,安裝並執行自己的進度。該軟體被稱為惡意軟體:目的在透過惡意破壞電腦的惡意代碼。惡意軟體的類型包括蠕蟲、特洛伊木馬、病毒、間諜軟體、恐嚇軟體、啟動器、勒索軟體、廣告軟體和 Rootkit。惡意軟體可用於竊取敏感數據,加密或刪除用戶數據,損壞設備,挖掘加密貨幣,將設備添加到殭屍網路中,或充當透過受害者網路,進行橫向移動的樞紐點。
4.3.5. 橫向運動
攻擊者可能會在監視系統中,獲得更強大的立足點,並具有到達以前無法訪問的資產的能力。攻擊者還可能能夠到達其他系統,並感染連接到該系統的使用者設備。
4.3.6. 中間人(MiTM)
攻擊者可能能夠秘密觀察和操縱,兩個或多個端點之間的流量。 MitM 可能會損害系統的機密性、完整性和可用性(CIA三合一)。例如,MitM 可以竊聽、操縱、製作或丟棄網路流量。
4.3.7. 拒絕服務(DoS)
攻擊者可能能夠影響服務、數據或資源的可用性。如果攻擊者破壞了攝影機或 DVR,則攻擊者可以使攝影機停止傳輸影像內容,刪除歷史內容,阻止對 DVR 的訪問,或導致 VPN 鏈接失敗(例如 CVE-2017-3882 和 CVE -2016-6466)。
結果,犯罪可能在沒有數位證據的情況下,在該場所內完成。攻擊者也可能,能夠在不引發 DVR 警報的情況下逃避檢測。這可以透過影像注入攻擊,或對抗性機器學習攻擊來實現。
關於 DDoS 攻擊:攻擊者可以使用遠端殭屍網路,將監視網路作為攻擊目標。在這種情況下,不對流量進行過濾的結果,就是對系統的 DoS。
我們還注意到,在系統本身被殭屍網路感染,然後用於發起遠端 DDoS 攻擊的情況下,後果可能仍然是對本地系統的 DoS,因為這將導致塞車,並且 ISP 可能會阻塞通過網路的訪問系統。2016 年以來的 Mirai 殭屍網路,就是用來發動毀滅性 DDoS 攻擊監視系統的一個例子。
4.3.8. 訪問隔離網路
在某些情況下,DVR 連接到 Internet(POC或VCC),並且還連接到據說與 Internet 隔離的網路(例如,機場、醫院、工廠等的 Intranet)。透過破壞 DVR 或其中一台攝影機,攻擊者可以橫向移動到隔離的網路中。例如,兩名研究人員入侵了 Google 辦公大樓的空調系統門戶,然後訪問了內部網路。
4.3.9. 秘密滲透通道
為了安全起見,某些監視系統存在空白(未連接到任何其他網路)。通常,這些系統連接到其他空隙網路(例如,軍事設施和機場)。攻擊者用惡意軟體感染了空隙網路,攻擊者可以利用監視攝影機來秘密(1)從網路中竊取密碼和文檔之類的數據,以及(2)從攻擊者接收諸如「開始」之類的命令,「攻擊」和「自我毀滅」。
一個例子,研究者在那裡展示了攻擊者,如何使用紅外線(IR)夜視發射器,和監視攝影機的接收器,透過空隙發送和接收光學消息。該惡意軟體透過監視 MitM 攻擊中的夜視影像源,來接收數據,並透過本地網路,利用攝影機的 IR 照明 API 發送數據。在此,該通道是隱蔽的,因為 IR 不在人類可見光譜範圍內。
4.4. 攻擊向量的案例
在本節中,我們提供了針對不同場景的案例攻擊媒介。儘管存在許多可能的攻擊媒介,但我們將說明用於攻擊 IP 的監視系統,一小部分的常見媒介。對於這些插圖,我們使用圖4 中顯示的模組。
4.4.1. 未經授權的影像監控
考慮一個想要透過加密流量,查看 POC 佈署的影像片段的攻擊者。在圖5a 中,示出了一些潛在的攻擊向量。狀態參與者可能會執行 BGP MitM 路由攻擊,並導致所有影像監視流量,首先通過它們。
這將使他能夠訪問攝影機的流量,從而可以竊聽攝影機與伺服器之間的通信。接下來,攻擊者可能利用 Heartbleed 漏洞獲取 SSL 加密密鑰,然後解密影像流量。
一種更簡單的方法,可能是透過執行暴力登錄攻擊,來獲取攝影機或 DVR 的登錄憑據,或者向系統使用者發送網路釣魚電子郵件,以使他們不經意間洩露其憑據。一旦獲得憑據,攻擊者就可以訪問攝影機,並觀察即時影像。
圖5. 帶有POC、PCC 和 VCC 拓撲的 IP 監視攝影機系統上,攻擊的媒介案例。
4.4.2. 偷走存檔的錄影
另一種情況是,攻擊者想要透過獲取敏感的鏡頭影像,來勒索個人。在圖5d 中,我們說明了一種可能的攻擊媒介,其中代理透過對一台攝影機的 Telnet 伺服器,執行字典暴力登錄攻擊,來獲得對 DVR 終端的訪問權限。攻擊者可以使用攝影機的終端提示,將使用者添加到系統中,從而賦予自己更高的特權(例如,使用 RTSP 重放命令)向 DVR 查詢存檔的錄影。
4.4.3. 訪問氣密系統
在佈署 PCC 的情況下,無法從 Internet 直接訪問。但是,這並不意味著網路不會滲透。在圖5c 中,我們說明了攻擊者,如何在使用者的設備之一上,安裝惡意軟體,例如查看終端(平板電腦、控制台等)。這可以透過將受感染的 USB 驅動器,秘密地放置在該區域中,或者透過募集內部人士來實現。
威脅代理安裝惡意軟體後,惡意軟體將掃描監視網路,以辨識所有資產。此時,惡意軟體可能會執行攻擊者設計的自動操作(例如,在特定時間禁用攝影機),或者可能會透過橋接軟體,透過漏洞直接與攻擊者通信。
4.4.4. 禁用影像源
攻擊者可以多種方式禁用影像源。假設目標系統具有 VCC 佈署,那麼訪問是實體訪問,還是透過 VPN Gateway 訪問。在圖5b 中,我們顯示了在這種情況下,攻擊者如何禁用一個、全部或部分攝影機。
首先,攻擊者可能會植入設備後門,以獲取遠端進入權限。例如,攻擊者可能以修理工的名義到達,然後秘密地將 Raspberry Pi 連接到網路,然後從停車場遠端連接到 Pi 的 Wi-Fi 接入點。接下來,攻擊者將讓 Pi 掃描網路,以顯示攝影機和 DVR 的 IP 地址。
最後,可以透過 TCP SYN 泛洪攻擊,禁用單個攝影機,或者可以透過利用 DVR 中潛在 SSP 的泛洪漏洞,來禁用所有攝影機。另外,攻擊者可以透過在網路的場域到場域 VPN Gateway 上,執行泛洪攻擊(例如 ISAKMP 泛洪),來進行遠端攻擊,而不是本地佈署設備後門。結果,VPN 通道一側的攝影機組,將與通道另一側的 DVR 斷開連接。
5. 對策和最佳實踐
在以下部分中,我們將介紹可用於保護現代監視系統,現有對策和最佳的做法。
5.1. 入侵檢測與防禦系統
每個電腦網路,都應考慮基本的網路防禦。例如,為了檢測和防止惡意軟體感染,應在使用者終端和 DVR 上,安裝防病毒軟體。在非分佈式 POC 拓撲中,應佈署嚴格的防火牆,以傳遞使用系統所需的最小網路流量(例如,阻止 Telnet、ICMP「 ping」數據包等)。
萬一對手逃避了防火牆,可以使用網路入侵檢測系統(NIDS)來檢測惡意流量模式。在這種情況下,可以使用基於免費規則的 NIDS(例如 Snort 和 Suricata)或商業軟體。
有專家提出了,自動編碼器神經網路整合的輕量級 NIDS,並在影像監控系統上,進行了評估。Kitsune 使用增量統計資訊,來跟蹤數百萬個網路通道,然後異常檢測模式(KitNET),在現場進行即時訓練。該模式使用自動編碼器,以檢測異常。
這是透過訓練自動編碼器,來重建良性流量的特徵向量,然後標記重建誤差,在統計上較高的數據包來實現。KitNET 由一組小型自動編碼器組成,其中每個自動編碼器,都覆蓋一個不同的相關子空間(一組功能),以及一個自動編碼器,該自動編碼器監視整合體的重構錯誤,以覆蓋跨子空間異常。在 IP 的商業監視系統上,對 Kitsune 進行了評估,並成功檢測到兩種偵察攻擊,三種中間人攻擊和三種 DoS 攻擊。
另外有使用與 Kitsune 類似的模式,除了使用局部離群因子度量(LOF)來檢測異常。為了評估他們的模式,使用了許多監視攝影機和其他物聯網,然後用殭屍網路惡意軟體(例如 Mirai)感染了網路。
5.1.1. 配置和加密
應該仔細檢查攝影機、路由器、終端和 DVR 的配置。例如,應更改弱密碼或默認密碼,並在可能的情況下,在不同設備之間使用不同的密碼。此外,如果不需要,則應禁用 API 和其他類似功能。還應該定期檢查所有設備的軟體/韌體,是否為最新的新 CVE。
同樣重要的是,盡可能地實現安全通信,而不僅僅是影像串流本身。這是因為攻擊者仍然能夠劫持影像串流(例如,在 RTSP 串流中,重定向或暫停影像),或透過洩漏的憑據,破壞DVR。我們還注意到,一些 DVR 軟體供應商,使用自簽名 SSL 證書(常見的默認設置)。這是一個重大風險,應予以糾正,因為它使攻擊者能夠在中間重定向攻擊中,執行 SSL man 。
為了確保影像內容的完整性,可以使用數位浮水印(DW)。 DW 是隱藏在圖像(像素)中的微妙信號,如果圖像被篡改,DW 將被破壞。這樣,觀看者可以驗證每個幀都是合法的。使用 DW 的優點,是它們不需要更改影像或網路協議。但是,它們可能會增加圖像的噪點,並在影像壓縮的情況下損壞。
5.1.2. 限制實體訪問
最基本的外圍防禦措施,是限制對系統資產的實體訪問。如果可能,佈線不應穿過公共區域,所有網路設備(交換機、路由器等)均應使用鎖匙保護,並且應管理,記錄和監視對系統的訪問。
5.1.3. 抵禦 DoS 攻擊
有許多協議和漏洞,可被濫用以執行 DoS 攻擊。結果,可以佈署許多不同的防禦機制。好的保護包括以下步驟:(1)檢測攻擊的發起,(2)選擇惡意/有害數據包,(3)過濾/記錄檢測到的數據包。對於攻擊檢測,可以使用機器學習和統計方法,例如輕量級的異常檢測等等。
5.1.4. 防禦 MitM 攻擊
應該使用適當的加密,來防止由於 MitM 攻擊,而導致的竊聽和數據包處理(例如,注入影像)。但是,有時會在加密協議中發現漏洞,並且系統可能配置錯誤。因此,作為另一道防線,可以佈署其他方法。
要檢測篡改(影像注入),可以根據陰影位置來參考時間。但是,此方法僅在有限的情況下有效。另一種選擇是在室內位置,測量電網頻率(ENF)訊號,作為自然時間戳。如上所述,一種更常見的驗證圖像完整性的方法是浮水印。
減輕數據篡改的另一種方法,是執行數據出處(證明數據源)。例如,已經證明每個攝影機的成像感測器,都有一個獨特的噪聲模式,可透過其指紋來辨識源設備。這可用於辨識端點上註入的影像片段。
使用深度卷積神經網路,從目標影像中提取取證片,然後使用相似性網路評估圖像,是否來自同一設備。儘管過去已經在圖像上對這些指紋進行了採樣,但是這項工作是在影像上進行的,這些影像通常被高度壓縮,因此證據很少。
文獻提出了數據來源的另一個例子。在文獻中,提供了一種使用區塊鏈分佈式分類帳,端對端跟蹤基於 IP 的 CCTV 系統數據中,監視攝影機源的方法。為了防止監視網路中的數據注入攻擊,專家提出了一種透過添加可信節點,來提高系統健壯性的方法。專家表式,在受信任節點的數量(成本),和系統對攻擊的抵禦能力之間,存在實際的權衡。
另一種方法是主動搜索,具有操縱流量能力的竊聽者。有專家透過從網路中,主機反彈突發的數據包,來執行回波分析,以檢測沿途的其他實體。這種方法類似於蝙蝠鳴叫,並聆聽衝動響應,以瞭解物體在環境中的位置的方式。
5.1.5. 對抗對抗性機器學習攻擊
有許多工作提供了,針對對抗樣本強化 AI 的方法。但是,有一些專門針對監視系統,這些監視系統利用錄影的時間方面,來檢測篡改。
有專家建議使用 LSTM 深度神經網路,來預測監視畫面中的下一幀。當預測的下一幀與實際的下一幀不吻合時,將發出警報。這種方式評估了他們針對各種攻擊的方法,例如操縱攝影機的角度、焦點和場景變化。
另外,也有一種檢測,是對抗人群計數的對抗攻擊方法。他們的方法是使用一個不僅可以預測人群密度,而且可以預測場景深度的網路。這樣,攻擊者會無意中影響場景深度,並在該輸出上檢測到異常。
另外也有專家提出了 AdvIT,這是一種透過測量影像的時間一致性,來檢測對抗幀的神經網路。這是透過(1)使用前一幀的光流預測當前幀,(2)使用神經網路對預測的和實際的,當前幀進行分割,以及(3)測量一致性(與 Hadamard 乘積的交叉熵),來實現的在兩個分割圖之間。
還有專家提出了,針對監視網路實體系統圖像分類器的對抗性攻擊對策。他們的方法是在乾淨的數據集上使用 PCA,以獲得通過擾動軸,來檢查新實例的基礎。
5.1.6. 教育
高級持續威脅(APT)是對組織的組織良好的攻擊,它跨越多個攻擊步驟,直到實現攻擊目標為止。在 APT 中,最初的入侵,通常以社會工程攻擊的形式出現,其中誘騙員工提供憑據或安裝惡意軟體。減輕這些初始入侵的最有效方法是:(1)向系統使用者宣傳潛在的攻擊媒介,以及(2)警告使用者注意,以假藉口提出,未經請求的消息和請求。
6. 未來的工作和結論
我們已經發現了,對 IP 影像監視系統的兩個主要新興威脅。首先是對抗性機器學習(第4.2.12節)。正在研究和整合,主要基於深度學習的高級機器學習技術,並將其整合到當今的影像監視系統中,以自動執行各種任務,包括:武器檢測、火警檢測、店內購物、臉部辨識和異常檢測。
同時,對抗性機器學習的研究也在增加,這意味著這些系統容易受到攻擊。第二個新出現的威脅,是如何感染這些系統,並將其招募到殭屍網路中,從而導致對內部網路(例如,數據洩露、監視或使用監視系統進行橫向移動)或其他外部網路(例如, DDoS、垃圾郵件)。
新的攻擊不斷出現。結果,在我們的評論中指出,最近的研究趨勢是確保監視系統的安全,這是使用高級異常檢測的結果。透過異常檢測,研究人員能夠辨識中間人攻擊、影像注入、操作系統指紋辨識、模糊測試和 ARP 中毒攻擊,以及 DDoS 攻擊。儘管異常檢測很容易受到對抗性機器學習的影響,但該領域的先前工作,主要集中在攻擊分類器上。
分類器與異常檢測器之間的主要區別在於,分類器具有內置在模型中的決策邊界(封閉世界),而異常檢測模型僅捕獲正常行為(開放世界)。因此,需要進行更多的研究,來理解攻擊者如何潛在地製作被檢測為正常的樣本,同時仍然實現其異常目標。
由於製造商將重點放在其下一個產品上,並且在許多情況下,不具備執行遠端修補的能力,因此更新此類系統的軟體,也是一項艱鉅的任務。因此,我們認為未來的研究,應該集中在提供外部連續保護上,可以使用新發現的攻擊資訊,輕鬆地對其進行更新。收集有關監視系統新興威脅情報的一種方法,是使用高級加密系統。此外,透過辨識新興漏洞,管理員可以在系統受到感染之前對其進行保護。
最後,儘管在大多數情況下,高級影像監控系統的通信是經過加密的,但是可以使用側信道攻擊,來破壞實體的機密性。加密影像串流的一個弱點是,壓縮算法(影像編解碼器)在運動時會生成更多數據。
有研究人員展示了,如何透過學習/關聯網路頻寬模式,來從這些加密串流中推斷出內容。有專家展示瞭如何透過(1)監視加密的 WiFi 影像串流,(2)觸發視覺刺激(如閃光燈)和(3)檢測相關頻寬,來檢測無人機無線信號波動的監視攝影機在看什麼。因此,我們建議未來的研究,應解決這些副通道的檢測和消除。
結論
在本文中,我們回顧了現代影像監視系統的安全性。首先,我們介紹了這些系統及其組件和佈署的安全概述。利用這些資訊,我們確定了系統的攻擊面,包括其攻擊代理、漏洞、操作和後果。然後,我們使用此資訊,來舉例說明幾種攻擊媒介。描述了攻擊者的能力之後,我們接下來討論了對策和最佳實踐的最新研究,這些研究可用於更好地保護 IP 監視系統。最後,我們以對威脅的展望進行了討論,從而結束了本綜述,並提出了該領域的未來工作。
總之,本文為讀者提供了對攻擊面,以及攻擊者和防禦者在最近十年中,取得的最新進展的更深入的瞭解。我們希望這些資訊,將有助於研究人員和工程師,保護當今和未來的監視系統。 (本篇英文原文版本,請透過 Google 搜尋「security of ip video surveillance system」取得)
0 comments:
張貼留言