澳门葡京赌场官网_欢迎您!

物联网安全系列之一: 隐藏在摄像头下的罪恶

本站来源: 本文作者: 发布时间:2018-03-14 点击量:

摄像头使用广泛,围绕摄像头所引起的安全事件不在少数。一方面,大量摄像头组成的网络被黑客入侵;另一方面;摄像头采集视频,被攻击者控制后,容易发生隐私泄漏的事件。本文即从这两方面着手,回顾安全事件,管中窥豹,总结出物联网安全需求。

 

 

 

一、摄像头使用广泛

 
 

2017年12月,BBC记者约翰·苏德沃斯在贵阳挑战中国的“天网工程”。手机拍下记者的面部照片后,苏德沃斯“潜逃”,七分钟就被中国警方抓获。

 

\

 

摄像头的广泛使用,有助于提高城市监控无死角能力,减少犯罪违法行为。幼儿园里安装视频监控,家长们可以远程看到小朋友在幼儿园里的活动;家用IP摄像头让人们随时可以看到家里的情况。

 

虽然摄像头对于治安环境改善贡献显著,但也存在着争议。

 

 

二、摄像头引起的安全事件回顾

 
 

Mirai 开启了潘多拉盒子

2016年底,数十万摄像头组成的僵尸网络Mirai,以当时最大(620G)DDoS流量,攻击美国域名服务商Dyn,导致多家知名网站无法访问。Mirai僵尸网络屡被提起,成了物联网安全标志性事件。一年后,Mirai的始作俑者认罪伏法。

\

上图是Mirai作者之一,年仅21岁的Paras Jha,他的同伙是20岁的Josiah White。原本有着编程天分的青年,没用到正路,伏法认罪,只能饮下5年铁窗生涯的苦酒。

Mirai源代码作者被捕入狱,看起来事件已尘埃落定。然而,作者Jha将Mirai的代码发布到黑客论坛,从此,打开了潘多拉的盒子。Mirai之后,一波波改造后的类Mirai的蠕虫蔓延,相继感染路由器,机顶盒,摄像头等,组织成新的僵尸网络,继续肆虐。

\

 

摄像头引起的隐私问题

摄像头引起的隐私泄漏也不可忽视。攻击者获得远程控制权限,摄像头采集的视频隐私随之泄漏。 

 

2017年8月,央视新闻频道播出一则新闻,浙江某地警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件。查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份。

\

新闻视频中,犯罪嫌疑人面对记者采访,交代破解家庭摄像头和偷窥视频的犯罪事实。看图片上的文字,其行径实在猥琐。

 

 

三、摄像头安全事件屡发的技术原因

 
 

缺省密码

安全博客krebsonsecurity一篇文章做了调查,列出了大步部分网络暴露网络摄像头的密码。从Mirai及其后继者的代码中,也能看出,蠕虫就是通过缺省密码,利用远程登录协议Telnet或SSH,感染物联网设备,并形成大规模僵尸网络。

\

 

摄像头固件漏洞 

2018年2月27日,施耐德发布摄像头安全公告,提醒客户升级固件。特别的,施耐德致谢绿盟科技,感谢公司物联网安全研究员发现了12个安全漏洞,为其产品的安全性提升做出贡献。

\

 

互联网暴露

摄像头存在缺省密码和安全漏洞,而这些设备暴露在互联网上,这是蠕虫网络形成和视频隐私泄漏的最后一根稻草。下图是来自绿盟科技威胁情报中心的统计数据,暴露在网络上的摄像头品牌和数量,其中不乏缺省密码的设备。

\

 

 

三、从摄像头安全事件看物联网安全需求

 
 

小小摄像头,隐藏着巨大安全风险。不管是成为僵尸网络的一个节点,还是被人偷窥隐私,都是不可接受的事情。设备的安全性和隐私,是摄像头这种常见的物理网终端设备最为基本的安全需求。摄像头组成的视频专网,还有后台平台,应用终端的安全需求。按照木桶原理,哪一个环节出现问题,整个视频专网都有风险。

 

物联网的安全需求,包括传统信息安全的CIA(保密性、完整性、可用性) 三要素,还要加上物联网特有的安全需求,隐私保护,人身安全和可靠性。

\

信息的保密性,就是一定保密程度的信息只能让有权限的人读取到或更改。不过,这里提到的保密信息,有比较广泛的外延:可以是国家机密,是企业或研究机构的核心知识产权,是一个银行个人账号的用户信息。因此,信息保密的问题是每一个上网的人都要面对的。
 
信息的完整性,是指在存储或传输信息的过程中,原始的信息不能允许被随意更改。这种更改有可能是无意的错误,如输入错误,软件瑕疵,以及人为的故意的更改和破坏。

 

信息的可用性,是指对于信息的合法拥有和使用者,在他们需要这些信息的任何时候,都应该保障他们能够及时得到所需要的信息。比如,对重要的数据或服务器在不同地点作多处备份,一旦A处有故障或灾难发生,B处的备用服务器能够马上上线,保证信息服务没有中断。

 

隐私保护,是指物联网感知设备,对于人的隐私的采集、传输、处理等环节,不被泄漏。隐私包括人的信息,家庭住址,联系方式,财产信息,位置信息等等。

 

人身安全,物联网设备应用到人体健康和环境领域,应用不能对人身造成伤害,不能破坏物理环境。

 

可靠性,物联网采集的感知数据,应该是准确的,在允许的误差之内。比如智能远程抄表,如果感知设备的读数有误,就会影响后面的缴费。

 

本文以摄像头为例,探讨了与之相关的两大类安全事件及其发生的原因,并扩展到物联网的安全需求。我们看到,物联网感知设备,其安全弱点与传统终端是类似的,即不恰当的安全配置和安全漏洞。物联网应用的安全需求,涵盖了原来的CIA三个基本需求,还由于物联网万物互联的广泛性,引入了隐私保护、人身安全和可靠性三个新需求。

 

 

四、绿盟科技物联网安全解决方案

 
 

 

 

 

 

 

[版权所有] 澳门葡京赌场官网   技术支持:【信息管理中心】
[地址] 河北省石家庄市栾城区兴安大街109号 [邮编] 051430
招生办公室:0311-85100688、85100699 校办电话:0311-68017001
冀ICP备11024535号-1 冀公网安备 13011102000865号
站点导航人才招聘学院信箱网络课程