家中攝像頭突然說話“智能”與“安全”如何共舞?
昨天,一則關於“家中攝像頭突然說話”的新聞持續霸榜微博熱搜。據《全球時報》報導,美國一對夫婦的Nest智能家居攝像頭突然與他們說話,無論是重啟電源還是修改密碼都無所功用,最後聯繫運營商修改了網絡ID才得以恢復平靜。
這並非網絡攝像頭存在安全隱患的首次信息曝光。
據Hackread消息,截至今年九月,研究人員在全球範圍內發現了15000個私人網絡攝像頭存在安全漏洞。
為Wizcase工作的白帽黑客Avishai Efrat找到了來自多家製造商的外露設備,包括AXIS網絡攝像頭、Cisco Linksys網絡攝像頭、IP Camera Logo 服務器、百萬像素網絡攝像機MOBOTIX、WebCamXP 5和Yawcam。
這些攝像頭已經被歐洲、美洲和亞洲多個國家的家庭用戶和企業安裝使用,在某些情況下,黑客可以對攝像頭進行管理員訪問、獲取用戶信息和獲得位置定位。
Wizcase網絡安全專家Chase Williams解釋說,網絡攝像頭製造商大量採用先進技術佔領市場,但這同時也會導致開放端口缺少認證機制。
目前,家居攝像頭對公網開放安全導致的安全漏洞已是全世界共同面臨的重要挑戰:
常見的攝像頭漏洞包括遠程命令執行漏洞、任意文件讀取漏洞、用戶密碼重置漏洞、未授權訪問漏洞、登錄繞過漏洞、存在隱藏後門等漏洞。
這些漏洞中的任何一個都能給用戶帶來極大的安全風險,導致隱私信息洩漏。比如黑客可以通過漏洞直接獲取用戶密碼配置和截圖,甚至在不登錄的情況下查看監控截圖。
物聯網設備安全問題需重視
一次又一次網絡設備安全問題的曝光,需要引起業界的足夠重視。
以往,每個人既可以主動加入網絡,也可以選擇切斷網絡;但在萬物互聯時代,每一個人都無法與網絡無縫分割。
未來,在AI等技術的助力下,物聯網將具有更加強勁的發展空間,更為寬廣的應用領域,這也意味著物聯網將會面臨更多的網絡威脅和攻擊。
目前針對物聯網的攻擊事件主要有以下特點:
1)攻擊的影響力越來越大,如發生在2016年的“美國斷網”事件、“德國斷網”事件,開啟了物聯網設備被大規模利用攻擊網絡的先例;
2)被攻擊的範圍越來越寬泛,小到攻擊攝像頭、心臟起搏器等,大到攻擊國家電網、核電站等,這些都成為了黑客攻擊的目標;
3)攻擊的手段越來越智能和多樣,如2017年10月發現的大規模殭屍網絡IoTroop,該病毒已經可以智能識別設備的類型,並綜合利用設備的未修復漏洞和弱口令等安全問題。
此前,較多安全研究人員在評價物聯網設備安全問題為“三無”:無安全、無加固和無人值守。
今天,還需要加上一條:無意識。
所謂無意識,則是設備的製造方、使用方、安裝方等均無安全意識,近些年由於安全事件的驅動,大型設備製造商的安全意識提高迅速,但是其他相關方的安全意識還有待提升。
此外,當前仍然還有很多無安全產品在市場上氾濫。譬如,去年質檢總局通過央視曝出來80%的智能攝像頭存在安全缺陷,這些不合格產品中大部分是一些資質不全的小廠商生產的產品。
導致物聯網存在安全風險的原因較多,概括起來有如下原因:
對於整個物聯網產業來說,設備的製造商、集成/安裝商、用戶、管理機構等,在物聯網安全方面所做得工作都有所欠缺,導致目前看到的物聯網中的安全問題較多。
這些安全問題概括起來主要有:
1)弱口令,這也是當前物聯網面臨的最大安全問題;
2)缺乏有效的設備升級機制,當設備發現存在漏洞時,無法做到快速有效的全面升級;
3)安全機制的設計上存在各種問題,如此前被詬病最多的物聯網設備的密碼恢復機制;
4)設備由於開發、設計等原因造成的存在安全漏洞。
面對以上問題,傳統做安全的研究人員可能認為業界早有針對相關問題的最佳安全實踐,比如弱口令問題就使用一機一密的強口令;如果設備不升級那麼就讓設備自動強行升級;而對密碼恢復問題,用戶忘記密碼,只需設計一個reset鍵。
其實這些做法在之前傳統的網絡系統裡確實是行之有效的實踐方法,但是這些做法到了物聯網裡面,它就可能不再適用了。
在實際落地中,大多物聯網設備都是布放在海底、高寒/高溫、核輻射等環境中,如果這些設備遺忘了密碼,如此設計一定是不合理的。
另外單一物聯網管理員往往需要管理成千上萬的設備,如果要求這些設備每個密碼都是不同的強密碼,這對於管理員來說絕無可能。
總結來說,整個物聯網設備數量巨大、分佈十分廣泛,而且設備形態多種多樣。其實每個不同類型的設備,都應該針對不同的業務場景做不同的安全設計,以達到最佳業務實踐。
物聯網的安全問題與傳統網絡中的安全問題的解決方法並不能做到完全一致,有些做法甚至會有較大的差別,而不論怎麼做,其目的都是要在保證業務運轉正常的前提下實現安全,安全必須跟業務進行緊耦合。
另外,安全是一個系統工程,要想從技術角度保護用戶隱私不被洩漏,應該遵照當前業界的最佳安全實踐、各國的法律法規等對整個物聯網系統進行縱深防禦設計與開發,安全覆蓋物聯網系統的設計、開發、測試、實施、使用、管理等各個環節,任何一個環節安全的缺失或不足都會導致用戶隱私被洩漏。