| 
12月27日上午,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》。《戰(zhàn)略》指出,網(wǎng)絡(luò)滲透危害政治安全。大規(guī)模網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)竊密等活動(dòng)嚴(yán)重危害國(guó)家政治安全和用戶信息安全。
視頻監(jiān)控網(wǎng)絡(luò)安全的問題再次被提及并引起重視。自安防行業(yè)進(jìn)入聯(lián)網(wǎng)時(shí)代以來(lái),攝像頭被攻擊,導(dǎo)致監(jiān)控遭直播的事件屢屢發(fā)生。如2014年,深圳19個(gè)視頻監(jiān)控遭全球直播;2015年,“3?15”晚會(huì)上揭露了智能攝像頭存在的泄露隱私等安全隱患;2016年12月,全球被“破解”的攝像頭在Insecam網(wǎng)站上直播,Insecam顯示中國(guó)有164個(gè)攝像頭被直播監(jiān)控畫面。
根據(jù)NTI綠盟威脅情報(bào)中心提供的數(shù)據(jù)顯示,中國(guó)境內(nèi)存在安全問題的視頻監(jiān)控系統(tǒng),主要分布在臺(tái)灣(16.1%)和廣東(15.8%),其次是江蘇(7.9%)、福建(6.0%)、浙江(5.7%)等省份。
監(jiān)控安全
而無(wú)論是家庭安保設(shè)備還是商用領(lǐng)域監(jiān)控系統(tǒng),所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會(huì)面臨黑客攻擊的風(fēng)險(xiǎn)。黑客利用病毒破解設(shè)備的用戶名和密碼,植入腳本文件,將設(shè)備挾持為病毒源,掃描攻擊其它網(wǎng)絡(luò)設(shè)備。
視頻監(jiān)控系統(tǒng)主要存在的漏洞
1.弱口令
大量網(wǎng)絡(luò)視頻監(jiān)控設(shè)備的登錄密碼使用默認(rèn)密碼,這些默認(rèn)密碼大部分是簡(jiǎn)單的弱口令,甚至一些設(shè)備就沒有設(shè)置缺省密碼,登錄不需要任何的驗(yàn)證,就可直接看到監(jiān)控視頻。比如,用戶名admin,密碼為空(設(shè)個(gè)1234567890也比這個(gè)強(qiáng))。
另外,大量設(shè)備生產(chǎn)商使用通用固件,導(dǎo)致這些初始密碼在不同品牌或者同品牌不同類型設(shè)備上是共用的,互聯(lián)網(wǎng)上很容易查到這些設(shè)備的初始密碼(據(jù)說(shuō)網(wǎng)上有一張易用密碼表…)。
安防監(jiān)控
2.系統(tǒng)后門
有一些設(shè)備存在后門,可以直接獲取系統(tǒng)的shell權(quán)限,執(zhí)行shell命令,新世界朝你打開。
就在11月,12月,有國(guó)內(nèi)外知名廠商都相繼被爆出了攝像頭存在后門的問題,引行業(yè)惶恐。而是否真的存在“后門”,以及廠商會(huì)不會(huì)設(shè)置“后門”成為用戶最關(guān)心的問題。
安防監(jiān)控
3.遠(yuǎn)程代碼可執(zhí)行漏洞
一些廠家都使用了同一個(gè)監(jiān)控廠商的產(chǎn)品進(jìn)行貼牌生產(chǎn),這些廠家出于節(jié)約成本的考慮,未做任何安全加固,導(dǎo)致不同品牌的設(shè)備使用默認(rèn)的密碼,或者包含相同的漏洞,這就導(dǎo)致一旦漏洞被爆出,其影響范圍甚廣。這些設(shè)備的HTTP頭部Server帶均有“CrossWebServer”特征。利用該漏洞,可獲大量含有此漏洞設(shè)備的shell權(quán)限。
用戶的應(yīng)對(duì)措施
而之所以監(jiān)控設(shè)備會(huì)爆出安全漏洞,除了與廠商節(jié)約成本、技術(shù)受限等原因外,與用戶的使用情況也有關(guān)系。用戶普遍缺乏安全意識(shí),有些設(shè)置很簡(jiǎn)單的密碼,如1234,admin等,有些甚至使用空密碼或者系統(tǒng)默認(rèn)密碼,這樣就給黑客提供了很大的便利,使他們很輕松就能獲得這些系統(tǒng)控制權(quán)限,并進(jìn)一步利用其為之謀利。
盡量避免將網(wǎng)絡(luò)視頻監(jiān)控設(shè)備部署在互聯(lián)網(wǎng)上,可以部署在私網(wǎng)內(nèi),或者通過VPN連接訪問;
用戶要使用強(qiáng)密碼,密碼要使用數(shù)字、特殊符號(hào)和大小寫字母組合;
向云端傳輸數(shù)據(jù)的時(shí)候,使用安全的網(wǎng)絡(luò)連接,不要在手機(jī)等控制設(shè)備上存儲(chǔ)賬號(hào)密碼等敏感數(shù)據(jù),以免手機(jī)被惡意入侵后導(dǎo)致風(fēng)險(xiǎn);
及時(shí)更新最新補(bǔ)丁及固件。
感到欣慰的是,不少?gòu)S商已經(jīng)將監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全納入重要甚至是頭等技術(shù)問題。接下來(lái),我們將邀請(qǐng)知名的安防廠商談?wù)勊麄儗?duì)網(wǎng)絡(luò)安全的看法,以及他們?cè)谔嵘曨l監(jiān)控網(wǎng)絡(luò)安全上做了哪些努力。 |
