網(wǎng)絡(luò)安全創(chuàng)新企業(yè)華順信安�����,近日發(fā)布《網(wǎng)絡(luò)空間測(cè)繪系列—2018年攝像頭安全報(bào)告》����。這是首個(gè)基于國內(nèi)網(wǎng)絡(luò)空間測(cè)繪技術(shù)的攝像頭安全報(bào)告。
互聯(lián)網(wǎng)攝像頭暴露情況
報(bào)告顯示����,攝像頭已經(jīng)無所不在����,全球228個(gè)國家和地區(qū)��,8063個(gè)城市��,2635萬個(gè)攝像頭暴露在公網(wǎng)���。DDoS攻擊、機(jī)構(gòu)安全風(fēng)險(xiǎn)�、個(gè)人隱私泄露等事件層出不窮,黑產(chǎn)猖獗����。比如,2016年造成美國互聯(lián)網(wǎng)大面積癱瘓的Dyn事件��,就是主要由攝像頭組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊所造成�。
![]()
全球國家攝像頭暴露情況
攝像頭的特點(diǎn)是,分布廣而且24小時(shí)在線�。安全問題主要有弱口令、缺乏安全防護(hù)和安全意識(shí)��,為了節(jié)省成本使用相同固件,但卻沒有自動(dòng)更新機(jī)制等����。這些安全隱患,無論是對(duì)于工業(yè)互聯(lián)網(wǎng)�����,還是企業(yè)安全和公共安全����,以及家庭的個(gè)人隱私都帶來了巨大威脅?����?紤]到未來可能成百億的攝像頭設(shè)備都會(huì)上網(wǎng)�,我們必須給予足夠的重視。
![]()
中國大陸攝像頭暴露十大省份
聯(lián)網(wǎng)攝像頭存在的安全風(fēng)險(xiǎn)
可以從三種領(lǐng)域觀察聯(lián)網(wǎng)攝像頭的安全風(fēng)險(xiǎn):
1. 工業(yè)攝像頭
2014年��,俄羅斯和格魯吉亞戰(zhàn)爭(zhēng)爆發(fā)前夕��,一條由里海通向地中海的長1099英里的輸油管由于內(nèi)壓太大發(fā)生爆炸��,雖然這條管道安裝了大量的探測(cè)器和監(jiān)控?cái)z像頭�,但均無警示����。經(jīng)專業(yè)人員調(diào)查發(fā)現(xiàn)�,這些監(jiān)控?cái)z像缺少了爆炸前的60個(gè)小時(shí)錄像。之后�����,此事件被定性為某國家的滲透行為����,并且疑似早在2008年就開始布局����。
2. 公共攝像頭
公共攝像頭性能高、覆蓋面廣�����,一旦被黑客成功控制將對(duì)公共安全造成巨大威脅�。通過這類攝像頭,黑客不僅可以進(jìn)行挖礦和Dos攻擊�����,還有可能大范圍、多角度地監(jiān)視他人���。此外����,不少公共攝像頭在連接執(zhí)法機(jī)構(gòu)遠(yuǎn)程控制端的過程中�����,都需要經(jīng)過多個(gè)中轉(zhuǎn)點(diǎn)����。這期間,如若有一個(gè)中轉(zhuǎn)點(diǎn)被黑客攻破�����,就會(huì)對(duì)整個(gè)系統(tǒng)造成巨大的安全危害�����。近幾年���,電影��、電視等文學(xué)作品有大量的控制攝像頭的例子���。比如����,好萊塢電影中“黑客隨意控制全城攝像頭紅綠燈”的場(chǎng)景�。
3. 家庭攝像頭
家庭攝像頭主要是個(gè)人隱私泄露問題和被攻擊者控制的問題。后者可被黑客利用進(jìn)行挖礦和DoS攻擊等非法獲利行為�,也可對(duì)家庭進(jìn)行長期監(jiān)控,進(jìn)一步威脅家庭人身財(cái)產(chǎn)安全�����。
攝像頭漏洞
聯(lián)網(wǎng)攝像頭主流的通訊協(xié)議為http(s)和RTSP常用端口為80���、443、554等��。存在的漏洞類型包括命令注入�����、授權(quán)、信息泄露�����、緩沖區(qū)溢出�����、弱口令�、文件操作、XSS�、拒絕服務(wù)、目錄遍歷�、固件漏洞等。
![]()
2018年漏洞類型統(tǒng)計(jì)
目前公開的攝像頭漏洞中���,中國的福斯康姆(Foscam)攝像頭漏洞數(shù)量最多��,達(dá)65條以上�����,占?xì)v年攝像頭漏洞總量的25%;法國施耐德旗下派爾高(pelco)攝像頭漏洞數(shù)量位列第二�,達(dá)37條以上���,占?xì)v年攝像頭漏洞總量的14%;日本艾威數(shù)據(jù)(I-O
DATA)攝像頭位列第三���,達(dá)32條以上;韓國三星(Samsung)�����、中國安訊士(D-Link)攝像頭廠商分別位列第四和第五;浙江大華和中國?��?低?hikvision)攝像頭分別位列第六和第七,漏洞數(shù)量達(dá)17條以上��。
從攝像頭品牌的漏洞數(shù)量對(duì)比來看����,市場(chǎng)占有量大的廠商安全性反而較高,主要是因?yàn)榻鼉赡曛髁鲝S商越來越重視安全問題����,并加大了對(duì)安全的投入。
![]()
13年-18年攝像頭廠商漏洞數(shù)量前10
如何保護(hù)攝像頭安全
報(bào)告認(rèn)為����,若要從根本上解決攝像頭安全問題�����,需以安全管理和安全技術(shù)相結(jié)合。加強(qiáng)安全管理措施�,同時(shí)輔以技術(shù)手段提高效率。
管理方面����,要建立攝像頭的相關(guān)安全標(biāo)準(zhǔn),把攝像頭納入網(wǎng)絡(luò)資產(chǎn)���,進(jìn)行統(tǒng)一化的安全管理�。
技術(shù)方面���,制造商需要加強(qiáng)安全意識(shí)��、建立那倒安全開發(fā)流程��,并對(duì)產(chǎn)品進(jìn)行檢查和跟蹤等���。安全廠商則要從防護(hù)、檢測(cè)����、網(wǎng)絡(luò)�、通訊����、硬軟件等多個(gè)維度為用戶提供合適的安全解決方案。例如���,本報(bào)告的主要支撐技術(shù):網(wǎng)絡(luò)空間測(cè)繪����。
結(jié)語
隨著智慧城市����、物聯(lián)網(wǎng)的到來,攝像頭這一重要的智能設(shè)備組件呈爆發(fā)性增長態(tài)勢(shì)����。在這龐大的市場(chǎng)身后,是日益突出的視頻安全問題�,是國內(nèi)的安全廠商應(yīng)當(dāng)研究與思考的方向,而網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)不失為一項(xiàng)重要����、方便的安全技術(shù)手段和安全切入點(diǎn)。
