<tt id="sqc4s"></tt>

  • <rp id="sqc4s"><meter id="sqc4s"></meter></rp>
      <s id="sqc4s"></s>
  • <rp id="sqc4s"><optgroup id="sqc4s"></optgroup></rp>
  • <strong id="sqc4s"></strong>
    1. <rt id="sqc4s"></rt>
      <rt id="sqc4s"></rt>

      物聯網安全系列之一: 隱藏在攝像頭下的罪惡


      攝像頭使用廣泛,圍繞攝像頭所引起的安全事件不在少數。一方面,大量攝像頭組成的網絡被黑客入侵;另一方面;攝像頭采集視頻,被攻擊者控制后,容易發生隱私泄漏的事件。本文即從這兩方面著手,回顧安全事件,管中窺豹,總結出物聯網安全需求。

       

       

       

      一、攝像頭使用廣泛

       
       

      2017年12月,BBC記者約翰·蘇德沃斯在貴陽挑戰中國的“天網工程”。手機拍下記者的面部照片后,蘇德沃斯“潛逃”,七分鐘就被中國警方抓獲。

       

      \

       

      攝像頭的廣泛使用,有助于提高城市監控無死角能力,減少犯罪違法行為。幼兒園里安裝視頻監控,家長們可以遠程看到小朋友在幼兒園里的活動;家用IP攝像頭讓人們隨時可以看到家里的情況。

       

      雖然攝像頭對于治安環境改善貢獻顯著,但也存在著爭議。

       

       

      二、攝像頭引起的安全事件回顧

       
       

      Mirai 開啟了潘多拉盒子

      2016年底,數十萬攝像頭組成的僵尸網絡Mirai,以當時最大(620G)DDoS流量,攻擊美國域名服務商Dyn,導致多家知名網站無法訪問。Mirai僵尸網絡屢被提起,成了物聯網安全標志性事件。一年后,Mirai的始作俑者認罪伏法。

      \

      上圖是Mirai作者之一,年僅21歲的Paras Jha,他的同伙是20歲的Josiah White。原本有著編程天分的青年,沒用到正路,伏法認罪,只能飲下5年鐵窗生涯的苦酒。

      Mirai源代碼作者被捕入獄,看起來事件已塵埃落定。然而,作者Jha將Mirai的代碼發布到黑客論壇,從此,打開了潘多拉的盒子。Mirai之后,一波波改造后的類Mirai的蠕蟲蔓延,相繼感染路由器,機頂盒,攝像頭等,組織成新的僵尸網絡,繼續肆虐。

      \

       

      攝像頭引起的隱私問題

      攝像頭引起的隱私泄漏也不可忽視。攻擊者獲得遠程控制權限,攝像頭采集的視頻隱私隨之泄漏。 

       

      2017年8月,央視新聞頻道播出一則新聞,浙江某地警方破獲一個犯罪團伙,在網上制作和傳播家庭攝像頭破解入侵軟件。查獲被破解入侵家庭攝像頭IP近萬個,涉及浙江、云南、江西等多個省份。

      \

      新聞視頻中,犯罪嫌疑人面對記者采訪,交代破解家庭攝像頭和偷窺視頻的犯罪事實??磮D片上的文字,其行徑實在猥瑣。

       

       

      三、攝像頭安全事件屢發的技術原因

       
       

      缺省密碼

      安全博客krebsonsecurity一篇文章做了調查,列出了大步部分網絡暴露網絡攝像頭的密碼。從Mirai及其后繼者的代碼中,也能看出,蠕蟲就是通過缺省密碼,利用遠程登錄協議Telnet或SSH,感染物聯網設備,并形成大規模僵尸網絡。

      \

       

      攝像頭固件漏洞 

      2018年2月27日,施耐德發布攝像頭安全公告,提醒客戶升級固件。特別的,施耐德致謝綠盟科技,感謝公司物聯網安全研究員發現了12個安全漏洞,為其產品的安全性提升做出貢獻。

      \

       

      互聯網暴露

      攝像頭存在缺省密碼和安全漏洞,而這些設備暴露在互聯網上,這是蠕蟲網絡形成和視頻隱私泄漏的最后一根稻草。下圖是來自綠盟科技威脅情報中心的統計數據,暴露在網絡上的攝像頭品牌和數量,其中不乏缺省密碼的設備。

      \

       

       

      三、從攝像頭安全事件看物聯網安全需求

       
       

      小小攝像頭,隱藏著巨大安全風險。不管是成為僵尸網絡的一個節點,還是被人偷窺隱私,都是不可接受的事情。設備的安全性和隱私,是攝像頭這種常見的物理網終端設備最為基本的安全需求。攝像頭組成的視頻專網,還有后臺平臺,應用終端的安全需求。按照木桶原理,哪一個環節出現問題,整個視頻專網都有風險。

       

      物聯網的安全需求,包括傳統信息安全的CIA(保密性、完整性、可用性) 三要素,還要加上物聯網特有的安全需求,隱私保護,人身安全和可靠性。

      \

      信息的保密性,就是一定保密程度的信息只能讓有權限的人讀取到或更改。不過,這里提到的保密信息,有比較廣泛的外延:可以是國家機密,是企業或研究機構的核心知識產權,是一個銀行個人賬號的用戶信息。因此,信息保密的問題是每一個上網的人都要面對的。
       
      信息的完整性,是指在存儲或傳輸信息的過程中,原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤,如輸入錯誤,軟件瑕疵,以及人為的故意的更改和破壞。

       

      信息的可用性,是指對于信息的合法擁有和使用者,在他們需要這些信息的任何時候,都應該保障他們能夠及時得到所需要的信息。比如,對重要的數據或服務器在不同地點作多處備份,一旦A處有故障或災難發生,B處的備用服務器能夠馬上上線,保證信息服務沒有中斷。

       

      隱私保護,是指物聯網感知設備,對于人的隱私的采集、傳輸、處理等環節,不被泄漏。隱私包括人的信息,家庭住址,聯系方式,財產信息,位置信息等等。

       

      人身安全,物聯網設備應用到人體健康和環境領域,應用不能對人身造成傷害,不能破壞物理環境。

       

      可靠性,物聯網采集的感知數據,應該是準確的,在允許的誤差之內。比如智能遠程抄表,如果感知設備的讀數有誤,就會影響后面的繳費。

       

      本文以攝像頭為例,探討了與之相關的兩大類安全事件及其發生的原因,并擴展到物聯網的安全需求。我們看到,物聯網感知設備,其安全弱點與傳統終端是類似的,即不恰當的安全配置和安全漏洞。物聯網應用的安全需求,涵蓋了原來的CIA三個基本需求,還由于物聯網萬物互聯的廣泛性,引入了隱私保護、人身安全和可靠性三個新需求。

       

       

      四、綠盟科技物聯網安全解決方案

       
       

       

       

       

       

       

      供稿: 作者: 發布時間:2018-03-14

      更多 ?影像河傳

      最新更新

      尊龙人生就是博一下下