0
昨天,一则关于“家中摄像头突然说话”的新闻持续霸榜微博热搜。
据《全球时报》报道,美国一对夫妇的Nest智能家居摄像头突然与他们说话,无论是重启电源还是修改密码都无所功用,最后联系运营商修改了网络ID才得以恢复平静。
这并非网络摄像头存在安全隐患的首次信息曝光。
据Hackread消息,截至今年九月,研究人员在全球范围内发现了15000个私人网络摄像头存在安全漏洞。
为Wizcase工作的白帽黑客Avishai Efrat找到了来自多家制造商的外露设备,包括AXIS网络摄像头、Cisco Linksys网络摄像头、IP Camera Logo服务器、百万像素网络摄像机MOBOTIX、WebCamXP 5和Yawcam。
这些摄像头已经被欧洲、美洲和亚洲多个国家的家庭用户和企业安装使用,在某些情况下,黑客可以对摄像头进行管理员访问、获取用户信息和获得位置定位。
Wizcase网络安全专家Chase Williams解释说,网络摄像头制造商大量采用先进技术占领市场,但这同时也会导致开放端口缺少认证机制。
目前,家居摄像头对公网开放安全导致的安全漏洞已是全世界共同面临的重要挑战:
常见的摄像头漏洞包括远程命令执行漏洞、任意文件读取漏洞、用户密码重置漏洞、未授权访问漏洞、登录绕过漏洞、存在隐藏后门等漏洞。
这些漏洞中的任何一个都能给用户带来极大的安全风险,导致隐私信息泄漏。比如黑客可以通过漏洞直接获取用户密码配置和截图,甚至在不登录的情况下查看监控截图。
一次又一次网络设备安全问题的曝光,需要引起业界的足够重视。
以往,每个人既可以主动加入网络,也可以选择切断网络;但在万物互联时代,每一个人都无法与网络无缝分割。
未来,在AI等技术的助力下,物联网将具有更加强劲的发展空间,更为宽广的应用领域,这也意味着物联网将会面临更多的网络威胁和攻击。
目前针对物联网的攻击事件主要有以下特点:
1)攻击的影响力越来越大,如发生在2016年的“美国断网”事件、“德国断网”事件,开启了物联网设备被大规模利用攻击网络的先例;
2)被攻击的范围越来越宽泛,小到攻击摄像头、心脏起搏器等,大到攻击国家电网、核电站等,这些都成为了黑客攻击的目标;
3)攻击的手段越来越智能和多样,如2017年10月发现的大规模僵尸网络IoTroop,该病毒已经可以智能识别设备的类型,并综合利用设备的未修复漏洞和弱口令等安全问题。
此前,较多安全研究人员在评价物联网设备安全问题为“三无”:无安全、无加固和无人值守。
今天,还需要加上一条:无意识。
所谓无意识,则是设备的制造方、使用方、安装方等均无安全意识,近些年由于安全事件的驱动,大型设备制造商的安全意识提高迅速,但是其他相关方的安全意识还有待提升。
此外,当前仍然还有很多无安全产品在市场上泛滥。譬如,去年质检总局通过央视曝出来80%的智能摄像头存在安全缺陷,这些不合格产品中大部分是一些资质不全的小厂商生产的产品。
导致物联网存在安全风险的原因较多,概括起来有如下原因:
对于整个物联网产业来说,设备的制造商、集成/安装商、用户、管理机构等,在物联网安全方面所做得工作都有所欠缺,导致目前看到的物联网中的安全问题较多。
这些安全问题概括起来主要有:
1)弱口令,这也是当前物联网面临的最大安全问题;
2)缺乏有效的设备升级机制,当设备发现存在漏洞时,无法做到快速有效的全面升级;
3)安全机制的设计上存在各种问题,如此前被诟病最多的物联网设备的密码恢复机制;
4)设备由于开发、设计等原因造成的存在安全漏洞。
面对以上问题,传统做安全的研究人员可能认为业界早有针对相关问题的最佳安全实践,比如弱口令问题就使用一机一密的强口令;如果设备不升级那么就让设备自动强行升级;而对密码恢复问题,用户忘记密码,只需设计一个reset键。
其实这些做法在之前传统的网络系统里确实是行之有效的实践方法,但是这些做法到了物联网里面,它就可能不再适用了。
在实际落地中,大多物联网设备都是布放在海底、高寒/高温、核辐射等环境中,如果这些设备遗忘了密码,如此设计一定是不合理的。
另外单一物联网管理员往往需要管理成千上万的设备,如果要求这些设备每个密码都是不同的强密码,这对于管理员来说绝无可能。
总结来说,整个物联网设备数量巨大、分布十分广泛,而且设备形态多种多样。其实每个不同类型的设备,都应该针对不同的业务场景做不同的安全设计,以达到最佳业务实践。
物联网的安全问题与传统网络中的安全问题的解决方法并不能做到完全一致,有些做法甚至会有较大的差别,而不论怎么做,其目的都是要在保证业务运转正常的前提下实现安全,安全必须跟业务进行紧耦合。
另外,安全是一个系统工程,要想从技术角度保护用户隐私不被泄漏,应该遵照当前业界的最佳安全实践、各国的法律法规等对整个物联网系统进行纵深防御设计与开发,安全覆盖物联网系统的设计、开发、测试、实施、使用、管理等各个环节,任何一个环节安全的缺失或不足都会导致用户隐私被泄漏。雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。