得益于物聯(lián)網(wǎng)技術(shù)的發(fā)展,人類社會正在擁抱一個前所未有的互聯(lián)世界。其中,隨著物聯(lián)網(wǎng)進程加快,作為傳統(tǒng)攝像機與網(wǎng)絡(luò)視頻技術(shù)相結(jié)合的智能網(wǎng)絡(luò)攝像頭正不斷向各個行業(yè)滲透。
顯然,移動互聯(lián)網(wǎng)的時代里,遠(yuǎn)程辦公、在線教育、線上娛樂等多種場景都需要網(wǎng)絡(luò)攝像頭參與,交通監(jiān)管、智慧安防也離不開網(wǎng)絡(luò)攝像頭輔助,智能手機、智能家居等設(shè)備的普及應(yīng)用,更使得網(wǎng)絡(luò)攝像頭逐漸成為生活“標(biāo)配”。
日前,IDC發(fā)布數(shù)據(jù)顯示,2020年第四季度,中國家庭安全/監(jiān)控設(shè)備銷售額接近6億美元,出貨量為817萬臺,同比增長24.9%。然而,在只能網(wǎng)絡(luò)攝像頭發(fā)展的背后,犯罪也在滋生。比如,不法分子破解大量私人住宅和公共場所攝像頭,售賣拍攝內(nèi)容,再比如,不法分子利用監(jiān)視內(nèi)容行使威脅和詐騙。
網(wǎng)絡(luò)攝像頭為什么成為了“法外之眼”,如何避免網(wǎng)絡(luò)攝像頭成為“法外之眼”?
網(wǎng)絡(luò)攝像頭的“法外之眼”
當(dāng)前,攝像頭對公網(wǎng)開放的安全問題已是全世界共同面臨的重要挑戰(zhàn)。隨著“互聯(lián)網(wǎng)+”模式的興起,物聯(lián)網(wǎng)已呈現(xiàn)出爆發(fā)式增長和普遍化發(fā)展的趨勢。如果說在互聯(lián)網(wǎng)時代,硬件和系統(tǒng)漏洞帶來的危害尚局限于用戶,那么,在萬物互聯(lián)時代,由其衍生的危害將延伸至人們的人身安全。
根據(jù)北京華順信安科技有限公司白帽匯安全研究院曾發(fā)布的《網(wǎng)絡(luò)空間測繪系列——2018年攝像頭安全報告》,攝像頭已經(jīng)無所不在。全球228個國家和地區(qū),8063個城市,2635萬個攝像頭暴露在公網(wǎng)。越來越多攝像頭的暴露,也讓DDoS攻擊、機構(gòu)安全風(fēng)險、個人隱私泄露等事件層出不窮,黑產(chǎn)猖獗。
比如,2016年造成美國互聯(lián)網(wǎng)大面積癱瘓的Dyn事件,就是主要由攝像頭組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊所造成。2016年10月21號,DNS服務(wù)商Dyn受到攻擊。Dyn公司稱此次DDoS攻擊行為來自一千萬個IP來源,其中重要的攻擊來源于物聯(lián)網(wǎng)設(shè)備。這些設(shè)備遭受一種稱為Mirai病毒的入侵攻擊,大量設(shè)備形成了引發(fā)DDOS攻擊的僵尸網(wǎng)絡(luò)。
其中,受Mirai病毒入侵的物聯(lián)網(wǎng)設(shè)備就包括大量網(wǎng)絡(luò)攝像頭,Mirai病毒攻擊這些物聯(lián)網(wǎng)設(shè)備的主要手段是通過出廠時的登錄用戶名和并不復(fù)雜的口令猜測。事后,一些網(wǎng)絡(luò)攝像頭廠商及時更新了登陸口令,但有些廠商的設(shè)備使用了固定用戶名和口令的登錄方式,沒有提供口令修改功能,以至于面對Mirai病毒的肆虐依舊無能為力。
當(dāng)前,智能網(wǎng)絡(luò)攝像頭幾乎已經(jīng)全面進入人們的生產(chǎn)和生活。不論是戶外的城市管理,還是餐飲領(lǐng)域的餐廳酒店。除了公共區(qū)域,對于不少人來說,攝像頭還已經(jīng)進入了家里。安裝攝像頭可以防盜,可以監(jiān)控到家里的寵物和小孩的一舉一動,但是想要做到實時監(jiān)控就不可以避免的需要接入網(wǎng)絡(luò)。
然而,一旦進入到網(wǎng)絡(luò)世界之中后,個人隱私卻無法得到安全的保障。一些核心功能是監(jiān)控的智能攝像頭,因為簡易低廉,最容易成為黑客攻擊的對象,再加上許多生產(chǎn)智能攝像頭的廠商其實在技術(shù)實力上并不過關(guān),云計算、AI背景下的安全審計流程,產(chǎn)品缺乏遠(yuǎn)程更新機制、存在可以控制系統(tǒng)的設(shè)計缺陷等等。
而黑客就能夠憑借著這些漏洞缺陷,直接通過暴力手段來破解智能攝像頭,直接在IP端進行攔截,對用戶的登陸秘鑰、影像內(nèi)容等敏感信息一覽無余。并且,通過售賣隱私視頻、劫持?jǐn)z像頭“挖礦”等方式來攫取利益。
比如,就有不法分子利用部分產(chǎn)品的技術(shù)漏洞破解大量攝像頭IP地址,高價售賣破解軟件與“偷窺套餐”;也有違法商家未經(jīng)用戶允許遠(yuǎn)程操縱攝像頭“直播”,公然監(jiān)視他人生活,給公民隱私帶來巨大威脅。
顯然,以攝像頭網(wǎng)絡(luò)為代表的物聯(lián)網(wǎng)系統(tǒng),已經(jīng)成為一個智能數(shù)據(jù)聚合的生態(tài)系統(tǒng),與個人、機構(gòu)的信息財產(chǎn)安全直接關(guān)聯(lián),這意味著,系統(tǒng)被攻破的風(fēng)險成本更高。
如果黑客攻破的是私人汽車上的智能攝像頭,引發(fā)的很可能就是車聯(lián)網(wǎng)系統(tǒng)的連鎖反應(yīng)及公共安全危害;偽造人臉欺騙公司的門禁系統(tǒng),造成重要資料外泄;智慧城市的公共攝像頭網(wǎng)絡(luò)被入侵,那交出的則是所有市民、管理系統(tǒng)的重要數(shù)據(jù)。安全已成為當(dāng)前網(wǎng)絡(luò)攝像頭行業(yè)迫切需要回應(yīng)的關(guān)鍵問題。
提供安全并非易事
網(wǎng)絡(luò)攝像頭的安全隱患,無論是對于工業(yè)互聯(lián)網(wǎng),還是企業(yè)安全和公共安全,以及家庭的個人隱私都是極大的威脅??紤]到未來可能成百億的攝像頭設(shè)備仍將互聯(lián),社會必須要網(wǎng)絡(luò)攝像頭的安全給予足夠的重視,但想要有效治理網(wǎng)絡(luò)攝像頭行業(yè),消除安全隱患卻并非易事。
首先,作為分布廣而且24小時在線的網(wǎng)絡(luò)攝像頭,攝像頭產(chǎn)品質(zhì)量瑕疵、云端安全防護脆弱、應(yīng)用端使用弱口令等都可能導(dǎo)致網(wǎng)絡(luò)攝像頭泄露隱私。智能攝像頭的市場龐大,廠商生產(chǎn)出來的產(chǎn)品質(zhì)量也是參差不齊。遍布在城市中的一些價格低廉,安全防護技術(shù)不過關(guān)的智能攝像頭就成了黑客眼中的“香餑餑”。
目前公開的攝像頭漏洞中,中國的福斯康姆(Foscam)攝像頭漏洞數(shù)量最多,達65條以上,占?xì)v年攝像頭漏洞總量的18%;法國施耐德旗下派爾高(pelco)攝像頭漏洞數(shù)量位列第二,達37條以上,占?xì)v年攝像頭漏洞總量的10%;日本艾威數(shù)據(jù)(I-O DATA)攝像頭位列第三,達32條以上。從攝像頭品牌的漏洞數(shù)量對比來看,市場占有量大的廠商安全性反而較高。
其次,網(wǎng)絡(luò)攝像頭破解技術(shù)日趨隱蔽化、專業(yè)化。隨著網(wǎng)絡(luò)技術(shù)在各個行業(yè)的應(yīng)用,網(wǎng)絡(luò)的重要性越來越高的同時,網(wǎng)絡(luò)黑客的技術(shù)手段也越來越高。網(wǎng)絡(luò)黑客從早期的個人惡作劇行為,到后來的有組織行為,再到后來的有地下產(chǎn)業(yè)鏈,直到今天的網(wǎng)絡(luò)戰(zhàn)爭,黑客已經(jīng)不僅僅是地下組織,還包括國家團體。因此,黑客的攻擊手段,可能也遠(yuǎn)超過人們的想象。
最后,網(wǎng)絡(luò)攝像頭隱私泄露犯罪組織逐漸產(chǎn)業(yè)化、鏈條化。這也是新型網(wǎng)絡(luò)隱私犯罪的源頭,不法分子往往會利用更新迭代的技術(shù)開發(fā)破解工具,攻破廠商設(shè)置的安全防線,對偵查工作提出挑戰(zhàn)。而犯罪行為的產(chǎn)業(yè)化和鏈條化不僅擴大了犯罪主體和地域范圍,還擴展了犯罪場景,大大提高了監(jiān)管難度。
在這樣的背景下,想要從根本上解決攝像頭安全問題,就需安全管理和安全技術(shù)的相結(jié)合,即加強安全管理措施,同時輔以技術(shù)手段提高效率。
管理方面,要建立攝像頭的相關(guān)安全標(biāo)準(zhǔn),把攝像頭納入網(wǎng)絡(luò)資產(chǎn),進行統(tǒng)一化的安全管理。當(dāng)前,盡管我國已經(jīng)發(fā)布的針對公共視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的應(yīng)用技術(shù)標(biāo)準(zhǔn)、合格評定、管理規(guī)范體系,但這些標(biāo)準(zhǔn)主要還是對公共視頻監(jiān)控領(lǐng)域攝像頭設(shè)備的要求,并未有效的約束消費市場智能攝像頭產(chǎn)品的質(zhì)量要求。
保證用戶隱私和網(wǎng)絡(luò)資源不被濫用的基礎(chǔ),依然是攝像頭廠商能充分考慮黑客的攻擊場景,并規(guī)避潛在的產(chǎn)品配置和代碼缺陷。此外,對于企業(yè)級的攝像頭產(chǎn)品用戶,在部署較多攝像頭相關(guān)設(shè)備,并連接公網(wǎng)的情況下,可以進一步考慮使用具有攝像頭漏洞攻擊防護能力的專業(yè)網(wǎng)絡(luò)安全設(shè)備,進一步保障網(wǎng)絡(luò)安全,杜絕攝像頭計算資源被僵尸網(wǎng)絡(luò)等惡意軟件或攻擊者攻擊的隱患。
技術(shù)方面,制造商則需要加強安全意識、建立安全開發(fā)流程,并對產(chǎn)品進行檢查和跟蹤等。安全廠商則要從防護、檢測、網(wǎng)絡(luò)、通訊、硬軟件等多個維度為用戶提供合適的安全解決方案。
盡管相比許多網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)攝像頭只是個低價值設(shè)備,但是,一旦數(shù)量規(guī)模很大時,作為這類設(shè)備的整體,將對網(wǎng)絡(luò)安全產(chǎn)生重要的影響。安全防護并非看上去的輕易,沒有專業(yè)團隊的設(shè)計研發(fā),將有可能導(dǎo)致事倍功半的結(jié)果。
隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的進步,網(wǎng)絡(luò)攝像頭等智能設(shè)備的應(yīng)用前景會更加廣闊。但在科技發(fā)展的同時,堅守安全的規(guī)則底線,則是數(shù)字時代走向便捷生活的應(yīng)有之義。