Nest Camera Hacker Threatens To Kidnap Baby, Scares Parents
leiphone 作者:张栋
上週,一則關於「家中攝影機突然說話」的新聞,持續霸榜在對岸中國的微博上被熱搜(這則新聞,應該是幾個月前在美國發生的)。
據《全球時報》報導,美國一對夫婦的 Nest 智慧家庭攝影機,突然與他們說話,無論是重啓電源,還是修改密碼都無所功用,最後聯繫營運商修改了網路 ID,才得以恢復平靜。
這並非網路攝影機,存在安全隱憂的首次消息曝光。
據 Hackread 消息,截至今年九月,研究人員在全球範圍內,發現了 15000 個私人網路攝影機,存在安全漏洞。
為 Wizcase 工作的白帽駭客 Avishai Efrat 找到了來自多家製造商的外露設備,包括 AXIS 網路攝影機、Cisco Linksys 網路攝影機、IP Camera Logo 伺服器、百萬像素網路攝影機 MOBOTIX、WebCamXP 5 和 Yawcam。
這些攝影機已經被歐洲、美洲和亞洲多個國家的家庭使用者,和企業安裝使用,在某些情況下,駭客可以對攝影機進行管理員訪問、獲取使用者資訊和獲得位置定位。
Wizcase 網路安全專家 Chase Williams 解釋說,網路攝影機製造商大量採用先進技術佔領市場,但這同時也會導致開放端口缺少認證機制。
目前,家庭攝影機對公網開放安全,導致的安全漏洞,已是全世界共同面臨的重要挑戰:
常見的攝影機漏洞,包括遠端命令執行漏洞、任意文件讀取漏洞、使用者密碼重置漏洞、未授權訪問漏洞、登錄繞過漏洞、存在隱藏後門等漏洞。
這些漏洞中的任何一個,都能給使用者帶來極大的安全風險,導致隱私資訊洩漏。比如駭客可以透過漏洞,直接獲取使用者密碼配置和截圖,甚至在不登錄的情況下,查看監控截圖。
物聯網設備安全問題需重視
一次又一次網路設備安全問題的曝光,需要引起業界的足夠重視。
以往,每個人既可以主動加入網路,也可以選擇切斷網路;但在萬物互聯時代,每一個人都無法與網路無縫分割。
未來,在 AI 等技術的助力下,物聯網將具有更加強勁的發展空間,更為寬廣的應用領域,這也意味著,物聯網將會面臨更多的網路威脅和攻擊。
目前針對物聯網的攻擊事件,主要有以下特點:
1)攻擊的影響力越來越大,如發生在 2016 年的「美國斷網」事件、「德國斷網」事件,開啓了物聯網設備,被大規模利用攻擊網路的先例;2)被攻擊的範圍越來越寬泛,小到攻擊攝影機、心臟起搏器等,大到攻擊國家電網、核電站等,這些都成為了駭客攻擊的目標;3)攻擊的手段越來越智慧和多樣,如 2017 年 10 月發現的大規模僵屍網路 IoTroop,該病毒已經可以智慧辨識設備的類型,並綜合利用設備的未修復漏洞,和弱口令等安全問題。
此前,較多安全研究人員,在評價物聯網設備安全問題為「三無」:無安全、無加固和無人值守。
今天,還需要加上一條:無意識。
所謂無意識,則是設備的製造方、使用方、安裝方等均無安全意識,近些年由於安全事件的驅動,大型設備製造商的安全意識提高迅速,但是其他相關方的安全意識還有待提升。
此外,當前仍然還有很多無安全產品在市場上泛濫。譬如,去年對岸中國質檢總局,透過央視曝出來 80% 的智慧攝影機存在安全缺陷,這些不合格產品中,大部分是一些資質不全的小廠商生產的產品。
導致物聯網存在安全風險的原因較多,概括起來有如下原因:
對於整個物聯網產業來說,設備的製造商、整合/安裝商、使用者、管理機構等,在物聯網安全方面所做得工作都有所欠缺,導致目前看到的物聯網中的安全問題較多。
這些安全問題概括起來主要有:
1)弱口令,這也是當前物聯網面臨的最大安全問題;2)缺乏有效的設備升級機制,當設備發現存在漏洞時,無法做到快速有效的全面升級;3)安全機制的設計上存在各種問題,如此前被詬病最多的物聯網設備的密碼恢復機制;4)設備由於開發、設計等原因造成的存在安全漏洞。
面對以上問題,傳統做安全的研究人員可能認為,業界早有針對相關問題的最佳安全實踐,比如弱口令問題,就使用一機一密的強口令;如果設備不升級,那麼就讓設備自動強行升級;而對密碼恢復問題,使用者忘記密碼,只需設計一個 Reset 鍵。
其實這些做法,在之前傳統的網路系統李,確實是行之有效的實踐方法,但是這些做法到了物聯網裡面,它就可能不再適用了。
在實際落地中,大多物聯網設備都是布放在海底、高寒/高溫、核輻射等環境中,如果這些設備遺忘了密碼,如此設計一定是不合理的。
另外單一物聯網管理員,往往需要管理成千上萬的設備,如果要求這些設備每個密碼,都是不同的強密碼,這對於管理員來說絕無可能。
總結來說,整個物聯網設備數量巨大、分布十分廣泛,而且設備形態多種多樣。其實每個不同類型的設備,都應該針對不同的業務場景,做不同的安全設計,以達到最佳業務實踐。
物聯網的安全問題,與傳統網路中的安全問題的解決方法,並不能做到完全一致,有些做法甚至會有較大的差別,而不論怎麼做,其目的都是要在保證業務運轉正常的前提下,實現安全,安全必須跟業務進行緊耦合。
另外,安全是一個系統工程,要想從技術角度保護用戶隱私不被洩漏,應該遵照當前業界的最佳安全實踐、各國的法律法規等,對整個物聯網系統,進行縱深防禦設計與開發,安全覆蓋物聯網系統的設計、開發、測試、實施、使用、管理等各個環節,任何一個環節安全的缺失或不足,都會導致使用者隱私被洩漏。
AKD 寰楚專業級全系列監控設備 |
沒有留言:
張貼留言