物联网网络安全问题及视频监控系统安全隐患
2018-09-05 中国安防行业网

一、物联网规模化发展,引发网络安全问题

从2015年到2020年间,全球总共将有6万亿美元投资于物联网解决方案,在中国,根据工信部的权威数据,2015年中国物联网产业规模已经达到7500亿元,同比增长29.3%,媒体预测到2020年,中国物联网的整体规模将超过1.8万亿元,物联网将成为下一个万亿元级别的信息产业业务。但在物联网设备普及带来便利之余,物联网潜藏巨大的安全隐患已浮出水面:今年7月,CopyCat病毒感染全球1400多万台Android设备;同年9月,亚马逊AWSS3致50多万台汽车跟踪设备的登录凭证泄露等,设备安全受到极大威胁,影响用户的正常使用、侵犯用户的隐私安全。

据《2017物联网安全研究报告》指出,物联网设备普遍存在暴露在互联网的情况,这些设备存在被攻击、被利用的风险。同时,网络空间搜索引擎的数据显示,互联网上暴露的各类物联网设备中,路由器和视频监控设备暴露的数量最多,其中,国内路由器的暴露数量达到1092万台,视频监控设备的暴露数量达到168万台,打印机的暴露数量为6万台。智能家居作为物联网的重要组成部分,已成为网络黑产的帮凶。

随着物联网时代的到来,物联网设备已经渗透到我们的生活、消费各个领域,现在乃至未来很长一段时间里,将面临三大最突出问题:一是智能设备增多,网络无处不在,游戏沉迷、色情网站等防不胜防,儿童网络保护安全问题;二是家庭网络设备暴露在互联网端,个人隐私信息泄露、财产安全受到威胁,甚至威胁到人身安全问题;三是物联网智能设备平台多样化和复杂化,解决方案难以提供,智能家居成为网络黑产帮凶问题。面对日益多样化和复杂化的物联网安全问题,我们推出了可实现对物联网网络环境全方位保护的解决方案——小V智能家庭安全网关。

韩国产业研究院也认为,2020年因物联网信息安全问题导致的经济损失将达到17兆8千亿韩元(约合180亿美元)。现今的黑客行为主要发生在互联网(虚拟空间),表现为网上个人信息泄露或者金融账户上的犯罪;但进入物联网时代,其受害领域不仅包括网络虚拟空间,也将涉及现实生活当。这意味着除了个人隐私泄露、经济损失以外,个人的生命安全以及国家基础设施也都将受到威胁。

据估计,2020年将会有500亿台设备与互联网连接,但目前的联网设备仅仅为预测值的1%。即便如此,就已经在家庭、工业、交通、广播、医疗等各个领域发生了多次信息漏洞导致的安全事故。

智能摄像头虽然是一种普及率颇高而且发展很快的家庭智能设备,但由于设计生产和推广的相关企业繁杂,品牌众多,其中很多产品缺乏完善的安全相关设计,很容易被黑客控制。

二、视频监控网络安全存在的主要隐患

视频监控系统摄像头广泛分布在路边、楼顶、场站等室外场所,很难进行高强度的物理防护;同时视频监控设备类型相对较少,软硬件相似度高,安全缺陷高度一致,一点被攻破,立即会引发连锁反应;视频监控系统普遍运行在专用封闭网络,物理范围分布广,复杂分散,导致升级维护困难;将数据通信网络的安全防护全部照搬到视频专网代价过高,而且不完全适用,也很难维持一支规模庞大、经验丰富的专门安全团队。

视频监控系统的摄像头等前端设备易被非法接入和破坏;前端设备类型少,高度同质化,一点被控制会导致处处被控制,整个监控网络被控制和瘫痪;NVR、视频管理系统不仅存在视频设备特有漏洞而且大量存在操作系统常见漏洞,容易被攻击和控制,导致视频数据被盗取和破坏;视频监控终端缺乏持续安全维护手段,常成为黑客和病毒攻击目标;视频监控系统维护管理人员、外包服务人员等,都可能因管理不善而对视频专网造成威胁。

目前很多监控摄像机都采用网络连接,从理论上说,只要连上网就可以传输数据,由于有些用户十分大意,不修改密码或采用简单的密码登陆都容易造成不安全的隐患。黑客也有可能将攻击摄像头当做一个跳板,而将整个家庭网络、办公网络整垮造成严重的后果。

网络监控系统被攻击的原因各式各样,有些是监控设备本身存在的漏洞,有些则是连接互联网后引发的危害。有技术人员称,一些监控厂商本身自己也留了后门,或者自己的固件上存在一些缺陷,黑客可以直接利用这些漏洞控制摄像头。

不仅如此,黑客还可以通过欺骗手段,让用户在远程查看自己家里的监控器画面时是一个静止的画面,而非真实的现场环境。可以想象,当家庭监控系统被坏人所利用,将对家庭人身财产安全造成很大的威胁。可怕的是,存在安全隐患的监控系统并不仅仅光是家用网络监控系统,应用于其他公共场所、银行、办公室、监狱等处的网络监控系统同样存在隐私泄露的风险。

这些网络监控安全隐患问题无疑为发展火热的监控厂商敲了警钟。如何为用户营造安全的监控应用环境,如何保障公共场合监控视频不被泄露,成为安防厂商应当关注的问题。而网络摄像机想要落地发展,解决相关瓶颈问题成为当务之急。

对于当前网络监控系统普遍存在的隐私泄露安全隐患,央视曾指出,相关部门、厂商应当及时介入以修复漏洞、控制风险。安防厂商应定期升级产品固件、修复漏洞等,为用户提供高效、专业的服务,为家庭监控数据安全护航。

(一)弱口令

大量网络视频监控设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证,就可直接看到监控视频。比如,用户名admin,密码为空(设个1234567890也比这个强)。

另外,大量设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备上是共用的,互联网上很容易查到这些设备的初始密码(据说网上有一张易用密码表…)。

(二)系统后门

有一些设备存在后门,可以直接获取系统的shell权限,执行shell命令,新世界朝你打开。

就在11月,12月,有国内外知名厂商都相继被爆出了摄像头存在后门的问题,引行业惶恐。而是否真的存在“后门”,以及厂商会不会设置“后门”成为用户最关心的问题。

(三)远程代码可执行漏洞

一些厂家都使用了同一个监控厂商的产品进行贴牌生产,这些厂家出于节约成本的考虑,未做任何安全加固,导致不同品牌的设备使用默认的密码,或者包含相同的漏洞,这就导致一旦漏洞被爆出,其影响范围甚广。这些设备的HTTP头部Server带均有“CrossWebServer”特征。利用该漏洞,可获大量含有此漏洞设备的shell权限。