本报记者 陈光勋报道
如今,物联网摄像头的应用已经遍及城市交通、企业内部、医院、银行、家庭等生产生活的各个场景。但你知道吗?在如此多摄像头的背后,可能还有成百上千双陌生的眼睛正窥视着你。
传统领域与互联网最初结合之地,大多是穿着皇帝的新衣,网络摄像头就属于这一类。随着“互联网+”模式的兴起,物联网呈现出爆发式增长和普遍化发展的趋势。如果说在互联网时代,硬件和系统漏洞带来的危害尚局限于用户,那么在万物互联时代,由其衍生的危害将拓展至我们每个人的人身、财产安全。
北京华顺信安科技有限公司(以下简称华顺信安)安全总监吴明介绍,根据高盛等市场研究公司日前发布的数据显示,截止到2017年,世界上的摄像头总数约为14万亿个;到2022年,全球摄像头总量将增至44万亿个。随着摄像头使用量的不断增加和应用场景的不断拓展,摄像头安全之于社会生活、生产的重要性日趋显著。但值得注意的是,摄像头应用已形成一条集黑客破解、买卖、偷窥于一体的视频摄像头网络黑产链。
近两年来诸多摄像头严重漏洞曝出事件频发。2018年6月,Axis摄像头被ADOO安全公司发现其设备的7个安全漏洞,攻击者可以利用这些漏洞以root权限执行任意命令。同年8月,Swann摄像头被发现存在访问控制缺陷,该漏洞可以将一个摄像头的视频流切换到另一个摄像头上,攻击者可以利用该漏洞访问任意摄像头。
2018年12月27日,华顺信安与白帽汇安全研究院联合发布《网络空间测绘系列--2018年摄像头安全报告》(以下简称“摄像头安全报告”)。该报告显示,摄像头对公网开放的安全问题已是全世界共同面临的新挑战。
华顺信安CEO赵武表示,摄像头危害较大的原因之一是源于设备数量众多,安全性被使用者忽视。廉价的摄像头、监视器等物联网应用产品大量出现,但这些产品往往没有采取任何安全措施,黑客能够轻易地控制它们;另外,随着物联网设备的增多,硬件难以更新。未来僵尸网络的规模会越来越大,攻击能力越来越强。
不得不让人联想到,我们平常使用的移动电话都有摄像头,但它是安全的。假设全球每人都使用两台,全球手机数目也不过150亿台左右。“这一数量等级的差距,决定了摄像头的监管和使用很难做到面面俱到,也不可能像手机一样做到一对一监管。”赵武告诉记者。
事实上,随着智能电器的快速发展,摄像头数量快速增长的同时,漏洞也快速升级。《摄像头安全报告》显示,自2017年起摄像头漏洞呈现爆发式增长以来,截至2018年11月,摄像头漏洞有221条,较2017全年的186条相比,增长高达19%。
具体来看,摄像头设备存在的漏洞类型包括权限绕过、拒绝服务、信息泄漏、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷等。其中,权限绕过、信息泄露、代码执行等类型漏洞数量占比最高,分别占所有漏洞类型总数的23%、15%和10%。
吴明说,代码执行漏洞的危害与影响最大,恶意攻击者可以通过该漏洞执行植入僵尸程序,达到完整控制该程序的目的。此外,摄像头设备授权验证将直接导致用户隐私数据随时可能外泄。“值得关注的是,硬编码、默认密码、隐藏后门等占比6%,此类漏洞可能是厂商或厂商被攻击者入侵而在设备中制造的后门。”
赵武表示,在目前摄像头安全风险较大的背景下,华顺信安希望通过网络空间测绘技术,从暴露情况、漏洞、隐患等多方面对摄像头应用现存的安全威胁和相关黑色产业攻击行为进行深度剖析,并可以利用网络空间测绘技术对摄像头进行安全排查,搭建安全防护体系,从根源上促使摄像头使用生态实现相对安全。
赵武认为,摄像头设备应用的特点,决定摄像头的安全问题,应将国家、企业和个人都纳入在内;应从标准制定、资产排查、风险监测、漏洞修复等多个方面提高摄像头的安全性,网络空间测绘系统将成为此过程中的重要技术力量和推动摄像头安全发展的技术突破口。
记者了解到,华顺信安目前已与国家信息技术安全研究中心、国家互联网应急中心、公安部第一研究所、中国信息安全测评中心等国家网络安全机构,以及阿里巴巴、华为等国际知名企业达成深度的合作,专注于安全大数据、网络空间测绘的互联网安全。
据悉,工业领域已成为网络攻击“重灾区”;特别在工业控制系统领域,安全漏洞层出不穷,高危漏洞占比近六成,且大量集中于装备制造、交通、能源、智能楼宇等重要领域,严重威胁国家信息基础设施安全。
“没有网络安全,就没有国家安全。”习主席曾这样提出。而从我国来看,目前我国各企事业单位联网资产统计多为人工、半自动化,极易造成疏漏缺失,同时还有效率低下等问题;台账内容多为硬件、操作系统,难以对具体操作状况、业务等多方面予以监管。此外,例如摄像头、随身WIFI等低价值网络设备也未纳入统计范围,由于没有统一的防护,相关资产安全系数差别较大,这也是网络安全事件频发的主要原因。
