信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
加微信群或QQ群可免费索取:学习教程
教程列表见微信公众号底部菜单
现实版的《楚门的世界》在上演,如果恰巧安装带有安全隐患的智能摄像头,你的家庭生活有可能也在网络中被挂牌叫卖。
谁是窥视者
2018年1月1日晚21时41分,一对年轻夫妇身着内衣靠在床上玩手机。蓝色的印花床单上散落着几个儿童玩具,一个穿着浅蓝色衣服的婴儿背靠父母在床脚睡着。
这时,安装在天花板上的智能摄像头突然开始转动,年轻夫妇并未察觉这一异动。他们更不知道的是,摄像头的另一端,有五个陌生人正在通过手机观看他们的生活。这对年轻夫妇的姓名、地址不详,但他们的私生活正被摄像头同步直播。
事实上,有大量这种当事人并不知情的监控直播在互联网上传播,背后则是一条集黑客破解、买卖、偷窥于一体的网络黑产链。
行业调查公司IHS Markit2017年最新数据显示,中国在公共和私人领域(包括机场、火车站和街道)共装有1.76亿个监控摄像头。这些摄像头理论上都有被入侵的风险。那么,是谁在入侵?又是谁在窥视?
楚门的世界
“需要小台吗?实时直播,操作简单。”2017年12月17日,记者随机搜索并加入带有“摄像头”、“资源”关键词的QQ群,立刻有卖家发来私聊。
小台,是指被攻破的智能摄像头资源,用卖家提供的账号和密码,在手机端下载相应软件后,输入ID和密码,便可入侵观看对应实时监控画面。收到10元转账后,卖家林晓(化名)发来一个账号密码,是一个智能监控平台软件的账户信息。
当晚22时10分,用手机打开该APP,按照指示输入买来的账号密码,一间卧室的实时监控画面随即弹出。
从画面推断,摄像头应安装于房间角落处天花板上,对着床。房间已关灯,但利用摄像头的夜视功能,可见床上一对情侣睡卧,床被花色清晰。
22时35分,画面左上角的“当前观看人数”从2变为3。几分钟后,有观看人通过手机操纵摄像头调整角度,声筒里传出摄像头云台(底座)旋转发出的轻微机械声,画面开始晃动。屏幕中央用于操控摄像头角度的指针几经摆动,最终停留在最左边,女子的脸随之完全暴露在画面中,其轻微咳嗽声也清楚可闻。
进入另一个被卖家称为精品IP的“小台”,画面显示来自于一家按摩院。一张紫色按摩床上,趴着的女性正半露上身接受按摩师服务,双方谈话议价声清晰。画面左上角数字提示,共有5人在线观看这场按摩。
另一个监控平台APP里,按照购买的账户密码登录,则可控制一户家庭客厅的摄像头,摄像头对着红色的沙发床和电视柜。从视角推断,这个摄像头被放在客厅东南角的一张桌子上。连续观察几日可发现,每天接近傍晚,会有一个10多岁的小女孩进入房间,趴在沙发床上用平板电脑看视频,一个身材微胖的中年男子,则喜欢靠在毯子上看电视。
一些监控平台软件截图
这些陌生人的生活被同样陌生的人窥视、存储、记录,目前无法统计有多少人的隐私如此被侵害,但仅一起公安机关破获的案例中,一名卖家手中便被查出握有1万多个账户密码信息。这意味着,起码有1万多个摄像头覆盖下的场景毫无隐私可言。而这仅是一名卖家案发后被查出的数据。
如一名黑客所言,理论上,每个运行中的智能摄像头都有被侵入的可能。“这是一场秀,每个人都在看着你。”电影《楚门的世界》中,无处不在的摄像头包围了男主角楚门的世界,他的生活被24小时直播。
现实版的《楚门的世界》也在上演,如果恰巧安装带有安全隐患的智能摄像头,你的家庭生活有可能也在网络中被挂牌叫卖。
窥视者、卖家和黑客
冰山一角
王冀归案时虽被查获破解摄像头ID 1万余个,然而警方尚无法通过画面和地址确定受害人,这成为该案侦办最大难点之一。而对于DDoS攻击或破解入侵平台等犯罪来说,由于成本高昂、耗时长,警方更难追溯到上游黑客。
一家旗下平台有大量智能摄像头账号流入黑产的厂家市场人士告诉记者,已发布通知愿意配合受害者维权,但截至目前未接到任何用户维权求助。
当下,仍有大量摄像头账号和密码在网络上贩卖。受“水滴直播”事件影响后,林晓等卖家对记者称并不担心警方关注,“只抓酒店偷装摄像头的和做软件的,肯定不抓我们这些卖的。”
不过,进入2017年12月后,随着网络安全公司360因对公共场合提供摄像头直播功能引发隐私失控焦虑,摄像头黑产问题也进入执法者视野。多个QQ群都闻风而动,含有“摄像头”、“影视”等相关字眼的群或解散、或改名。“最近风声紧,摄像头被盯上了,过段时间再说。”林晓说。
多位受访者认为,利益驱动之下网络黑产将长期存在,而刑法打击则具有滞后性,侦破难度大、用户维权难的现状将长期困扰执法者。
这一现状之下,被称为安防业红海的市场如何破局安全短板,是厂商、用户、监管部门需要共同面临的难点。
攻防持久战
一位世界排名前五的智能摄像头生产厂商安全总监坦言,尽管其所在企业在安防方面投入巨大,但随着全球针对物联网设备的攻击趋势愈发严峻,他们在智能摄像头市场受到的黑客攻击和安防压力并不小。
2016年国家信息安全漏洞共享平台(CNVD)公开收录的1117个物联网设备漏洞影响设备的类型中,网络摄像头、路由器、手机设备漏洞数量,分别占公开收录漏洞总数的10.1%、9.4%、4.7%,网络摄像头漏洞数排名第一。
漏洞从何而来
当前,监控摄像头安全隐患主要有三类:生产端的粗放生产、云端和集中管理平台的网络安全防护脆弱、应用端弱口令问题。
公安部第三研究所检测中心常务副主任鲍逸明告诉记者,目前被黑客攻击最多、最易导致黑产泛滥的原因,是弱口令问题。弱口令,指摄像头出厂设置时各端口所用账号密码为默认设置或无密码。
黑客使用密码字典批量破解扫描账号口令十分简单,国家互联网应急中心高级工程师高胜表示,这是一种极为低级的入侵方式。
极光大数据显示,搭配智能摄像头使用的头部应用中,萤石云视频(海康威视旗下)、云视通、有看头(Yoosee)和360智能摄像机安装量分别为858万、263万、229万和211万。
记者在多个黑产群中发现,有不少贩卖“云视通”和“有看头”两款应用上的摄像头卖家,甚至有专门针对这两款应用的黑产群。卖家发来的账户密码多为“123”等简单密码。“有看头”运营商深圳技威时代科技有限公司(下称“技威时代”)市场经理杨卫回应记者称,2017年6月以来确已发现这一现象并进行自查,流入黑产原因是用户未更改设备默认密码“123”,被破解利用。
杨卫表示,技威时代主营业务为APP平台开发和技术支持服务,并不从事摄像机成品生产和销售,因此遭黑产利用的不是其旗下产品,已对技威体系内的所有厂家客户下发整改通知,督促各自代理商、渠道商更改密码,并在后续产品上采取强密码。但就存量市场而言,弱密码现象依然存在,尚无法根除。
在高胜看来,诸多安全隐患中弱口令问题最易解决,只需厂家编写强密码设置要求,用户及时更改密码便可避免。但为何当下许多智能摄像头产品仍存在这一问题?
一位安防企业安全总监给出的解释是:“很多厂商眼里,C端摄像头的竞争还处在市场初期规模扩张阶段,用户体验的竞争还处在使用便捷、价格便宜的维度上,尚未把安全当作重要竞争纬度,用户本身也并不重视。一些厂商便放纵了弱口令等安全隐患的存在。”
许多智能摄像头厂商为方便用户或厂商自行管理,有统一网络监控管理平台,这意味着,若管理平台防护能力低,被黑客攻破便可查看所有使用这个管理平台的摄像机画面。
404实验室在过去几年发现过大量监控摄像头的安全漏洞,几乎涉及所有摄像头领域的知名厂商。在2017年一年,至少监测到5家厂商爆出的严重安全漏洞,涉及的摄像头数量从几万到几十万不等。最为严重的情况是,他们监测到一家安防企业的几十个监控视频集中管理平台曾被黑客拿下,而每个管理平台都涉及海量摄像头的监控画面。
上述安防企业安全总监则对记者称,“这很常见”,他给出的解决方案是,使用加密信息传输,即便黑客攻破平台也无法读取数据。
据国家互联网应急中心观测到的数据,政府、高校及行业单位正陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台,这些智能监控平台漏洞占比达到1.9%。这一占比较低,不过一旦被黑客攻击,遭到泄露的敏感监控视频就可能包括国防安全信息、金融交易信息、商业办公机密等。
摄像头安全漏洞的第三类来源则是源于生产端的粗放生产。据公安部第三研究所调研,摄像头端网络安全防护能力最弱,存在大量由于嵌入式系统裁剪不当、各类通信端口开放过多带来的风险;而且设备安全态势不可知,造成安全漏洞修补不及时的问题。
404实验室所监测到的攻击行为中,有很大一部分便属于对这类“生产型漏洞”的攻击,只需要找到一处固件漏洞,便可进行大范围攻击,而无关监控摄像头的品牌,因为他们所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智能摄像头型号后门账号漏洞被发现。其部分摄像头原固件中包含两个经过硬编码且永久开启的账号,可用来开启远程登录访问并完全操控。该漏洞被CNVD评级为“高危”,影响Sony公司近80款摄像头产品。
C端市场混战
安全隐患现状不仅是技术问题,也是市场低水平竞争的恶果。
过去十年,中国是监控摄像头数量增长最快的国家。根据现有安装规划,中国摄像头数量将在未来三年攀升至6.26亿个。美国平均每千人配备约96个监控摄像头,英国为75个,而中国摄像头密度较高的城市,目前每千人配备的摄像头数量不到40个。
但事实上,中国监控摄像头领域存在着两个格局迥异的市场,一个以B端客户为主,另一个市场以家庭、小商户等C端客户为主。两个市场成熟阶段不同、参与主体不同,其对待安全问题的姿态也差异明显。
B端市场得益于天网工程、智慧交通等工程,以及各行业对摄像头的需求,历经十年发展,处于相对成熟阶段。目前形成海康威视、大华股份、宇视科技三家龙头企业主导的市场格局,三家占据50%左右的市场份额,在全球视频监控厂商排名中也位列第一、第二和第七。
随着市场集中度的提高,近两年,B端市场上的安防龙头厂商纷纷组建安全团队,在安全措施上投入大量成本。原因在于,一是B端市场客户本身就对于产品安全性的诉求强烈;二是B端市场进入相对成熟的阶段,安防龙头企业做大后,一旦出现安全问题容易演化成黑天鹅事件;三是近年来中国安防龙头企业纷纷开始海外业务扩张,海外市场对于安全问题的重视倒逼企业提高安全标准。
B端市场得益于天网工程、智慧交通等工程,以及各行业对摄像头的需求,历经十年发展,处于相对成熟阶段。
C端市场则是另一幅景象。C端市场随着智能家居等新概念于2015年前后兴起,产品主要用于家庭看护,以高性价比、科技感为特点。这一市场正处于发展初期,数千家企业参与其中混战,近年来在低价摄像头市场上的竞争激烈,导致部分品牌在安全成本方面的投入存在压力,加剧安全隐患。
一名行业人士介绍,C端市场需求巨大,其公司旗下的一款智能摄像头曾出现上线3秒售罄的情形。各方仍在争夺新增市场份额,市场规模每年以50%以上速度增长,市场竞争维度主要是功能、性价比和产品颜值。
需求巨大、缺乏行业准入门槛的C端摄像头市场吸引大量厂商参与其中,按其背景可分为三类势力:传统安防厂商的C端产品、互联网企业的智能硬件设备,以及数量众多的贴牌山寨厂商。
前瞻产业研究院在一份行业报告中认为,视频安防低端的设备技术含量较低,进入门槛也较低,从事这类硬件生产的企业因为规模小、技术含量低,在技术升级和价格战压力下生存不易。
“B端客户的安全敏感性非常高,在招标选择厂商时会对安全标准有着很高的要求。但C端客户是价格敏感性客户,更在乎产品的性价比。”上述传统安防厂商安全总监告诉记者。
但一家生产智能摄像头的互联网企业则表示,其实他们在摄像头的安全保障方面比传统厂商更有优势。
传统安防厂商的安全能力长板在于生产端的供应链管理,互联网企业的安全能力长板在于网络安全维护能力,问题在于智能摄像头的安全问题要补短板,而非拼长板,因为漏洞既发生于软件,也可能潜藏在硬件中。
监控摄像头市场存在两种生产模式,一是海康威视、大华股份等巨头厂商通过自有供应链体系生产,二是大多数互联网企业和中小厂商选择通过代工厂生产。两种生产模式有不同的安全短板,自有供应链体系往往在生产环节安全系数较高,网络安全防护能力较弱;而互联网企业的优势在于网络安全防护能力较强,通过代工厂生产却缺乏对于生产环节安全问题的把控。
至于山寨贴牌厂商,则在生产端和网络端均存在安全短板。
360 ADLAB(攻防实验室)曾发布《国内智能家庭摄像头安全状况评估报告》,认为许多智能摄像头存在用户隐私泄露、未加密数据传输等九大风险。国内市场价格竞争激烈,安全成本的增加会直接削弱其价格竞争优势,一些山寨厂商对安全性甚至完全不加考虑,这些都是国内智能设备在安全方面出现如此乱象的主要原因。
安全攻防战
“我们一款摄像头产品,代码多达上百万行,没有任何漏洞,怎么可能?”一名杭州的安防从业者认为,安全隐患和漏洞不可避免,企业也无奈。
“安全漏洞会永远不断出现,与黑产的较量是永久性博弈。”在上述网络安全从业人士看来,摄像头安全现状的破局,取决于厂商、用户、监管部门等各方的重视和投入程度,以及各方能否形成一套协同应急机制。
杨卫告诉记者,技威时代发现旗下应用被黑产利用后,立刻对所有端口和数据进行排查,并对应用更新迭代,告别已被破解的传统“ID+密码”管理设备的模式。此外,已成立安全项目小组,负责网络、账号、数据等方面的安全防护。
在B端市场上能够得到的另一个启发是,2015年2月27日,江苏省公安厅曾发出特急通知,称江苏省各级公安机关使用的海康威视监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。海康威视事后澄清,是由于用户使用弱口令所致。此事曾引发安防行业震动,几家龙头厂商在事发后都加强对安全问题的重视和投入,包括组建网络安全团队、强制取消弱口令使用、建立安全事故紧急应对体系等措施。
对于用户安全意识的提高,高胜建议,用户应定期修改摄像头关联的应用账号密码,尽量不要将摄像头直接联网或置于私密区域。不使用时,要遮挡镜头或关闭电源,非必要时禁用录音功能。
这一行业目前还缺乏市场准入和安全标准。
就市场准入而言,按照公安部和质检总局发布的《安全技术防范产品管理办法》,对安防产品有三种市场管理方式,即工业许可证制度、强制安全认证制度以及生产登记制度。其中,监控摄像头管理适用生产登记制度,厂家进行销售和安装业务需向当地公安机关申请办理。企业需持营业执照,法定检验机构出具的检验报告和鉴定证明等,获得相应登记证书。违反这一制定于2000年的规范,将受到不超过3万元的罚款。
但这一标准多针对传统安防产品,消费类智能摄像机的检测和认证标准尚未出台,即便企业想要办理,亦苦于没有适用的相关标准和机构。一位从事智能摄像头供应的安防厂家经理告诉记者,他曾向检测中心咨询,得到“没有这方面业务”的回复。
据了解,行业标准已在路上。鲍逸明表示,公安部第三研究所制定的《智能联网产品信息安全技术规范》和《网络摄像机产品信息安全技术规范》已于2017年10月份完成向国家认证认可监督管理委员会的备案工作,开始受理相关认证工作,正在进行海康、大华等厂商的智能摄像头网络安全认证。
此外,《网络摄像机安全技术要求》、《物联网感知层接入信息网络的安全要求》、《联网智能终端口令安全技术规范》等多个标准亦正在制定过程中,为机构开展检测、认证工作提供判定依据,旨在引导企业达到最基本安全要求。
打击黑产和建立行业标准提高基本安防水平都需时间,面对已经形成乱象的存量市场,还需提高产品安防能力,以及建立安全响应机制。刚生效半年的《网络安全法》要求,网络产品、服务应符合相关国家标准的强制性要求,采取数据加密、分类等措施,并在存在安全缺陷和漏洞等风险时,立即采取补救措施和安全相应机制。
隋刚举例,对许多未提供远程更新功能的智能摄像头来说,发现安全漏洞的唯一解决方案是关闭处理。但许多中小厂家既无能力更新产品,也无动力召回产品或提示用户关闭,只能“放任漏洞存在”。因此他建议,厂商应为智能摄像头提供远程更新功能,以便发现安全隐患及时消除。
随着物联网设备的普及,智能摄像头所面临的黑产和黑客攻击风险不断增强,安全攻防战也将长久持续。
可以预见,对中小厂家来说,达到市场准入门槛、完成安全认证并建立安全响应机制,将意味着沉重的负担。上述杭州安防从业者告诉记者,不久前他们购置一套安全标准检测工具,耗资上百万美元,对于许多小厂商和创业公司而言,安全投入成本难以承受。
不过,随着企业加大投入,形势可能得到好转。有两支黑客团队向记者表示,近两年来安全问题呈好转的趋势,这受益于中国安防龙头企业的市场扩大和海外业务增加,倒逼企业提高安全水准。隋刚也表示,有几家大厂商已经在组建自己的安全团队。
但随着5G和IPv6的推行,云端控制的需求会跟隐私意识冲突,监控摄像头安全前景仍会充满不确定性。
来源:财经杂志