摘要:視頻監(jiān)控網(wǎng)絡安全的問題再次被提及并引起重視。自安防行業(yè)進入聯(lián)網(wǎng)時代以來吊骤,攝像頭被攻擊缎岗,導致監(jiān)控遭直播的事件屢屢發(fā)生。如2014年白粉,深圳19個視頻監(jiān)控遭全球直播;2015年传泊,“3?15”晚會上揭露了智能攝像頭存在的泄露隱私等安全隱患;2016年12月, 全球被“破解”的攝像頭在Insecam網(wǎng)站上直播鸭巴, Insecam顯示中國有164個攝像頭被直播監(jiān)控畫面眷细。 12月27日上午鹃祖,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡空間安全戰(zhàn)略》溪椎。《戰(zhàn)略》指出恬口,網(wǎng)絡滲透危害政治安全校读。大規(guī)模網(wǎng)絡監(jiān)控、網(wǎng)絡竊密等活動嚴重危害國家政治安全和用戶信息安全裂蝉。
視頻監(jiān)控網(wǎng)絡安全的問題再次被提及并引起重視捻尉。自安防行業(yè)進入聯(lián)網(wǎng)時代以來,攝像頭被攻擊努示,導致監(jiān)控遭直播的事件屢屢發(fā)生候钟。如2014年,深圳19個視頻監(jiān)控遭全球直播;2015年盾峭,“3?15”晚會上揭露了智能攝像頭存在的泄露隱私等安全隱患;2016年12月滤萝, 全球被“破解”的攝像頭在Insecam網(wǎng)站上直播稿纺, Insecam顯示中國有164個攝像頭被直播監(jiān)控畫面。
小編在27日登陸網(wǎng)站查看時碗履,顯示有166個攝像頭被直播監(jiān)控畫面...
根據(jù)NTI綠盟威脅情報中心提供的數(shù)據(jù)顯示谭驮,中國境內(nèi)存在安全問題的視頻監(jiān)控系統(tǒng),主要分布在臺灣(16.1%)和廣東(15.8%)勾萌,其次是江蘇(7.9%)齐秕、福建(6.0%)、浙江(5.7%)等省份仙蛉。
而無論是家庭安保設備還是商用領域監(jiān)控系統(tǒng)笋敞,所有暴露在互聯(lián)網(wǎng)環(huán)境下的設備都會面臨黑客攻擊的風險。黑客利用病毒破解設備的用戶名和密碼荠瘪,植入腳本文件夯巷,將設備挾持為病毒源,掃描攻擊其它網(wǎng)絡設備哀墓。
視頻監(jiān)控系統(tǒng)主要存在的漏洞
1.弱口令
大量網(wǎng)絡視頻監(jiān)控設備的登錄密碼使用默認密碼趁餐,這些默認密碼大部分是簡單的弱口令,甚至一些設備就沒有設置缺省密碼篮绰,登錄不需要任何的驗證, 就可直接看到監(jiān)控視頻后雷。比如,用戶名 admin吠各,密碼為空(設個1234567890也比這個強)臀突。
另外,大量設備生產(chǎn)商使用通用固件走孽,導致這些初始密碼在不同品牌或者同品牌不同類型設備 上是共用的惧辈,互聯(lián)網(wǎng)上很容易查到這些設備的初始密碼(據(jù)說網(wǎng)上有一張易用密碼表…)。
2. 系統(tǒng)后門
有一些設備存在后門伶葵,可以直接獲取系統(tǒng)的shell 權(quán)限承蠕,執(zhí)行 shell 命令,新世界朝你打開蕴续。
就在11月扳啃,12月,有國內(nèi)外知名廠商都相繼被爆出了攝像頭存在后門的問題贰宰,引行業(yè)惶恐危婚。而是否真的存在“后門”,以及廠商會不會設置“后門”成為用戶最關(guān)心的問題芍迫。
3. 遠程代碼可執(zhí)行漏洞
一些廠家都使用了同一個監(jiān)控廠商的產(chǎn)品進行貼牌生產(chǎn)峦仲,這些廠家出于節(jié)約成本的考慮,未做任何安全加固哪趟,導致不同品牌的設備使用默認的密碼质瘸,或者包含相同的漏洞女饺,這就導致一旦漏洞被爆出,其影響范圍甚廣磨爪。這些設備的 HTTP 頭部 Server 帶均有“Cross Web Server ”特征儒恋。利用該漏洞,可獲大量含有此漏洞設備的 shell 權(quán)限黔漂。
用戶的應對措施
而之所以監(jiān)控設備會爆出安全漏洞诫尽,除了與廠商節(jié)約成本、技術(shù)受限等原因外炬守,與用戶的使用情況也有關(guān)系牧嫉。用戶普遍缺乏安全意識,有些設置很簡單的密碼劳较,如1234驹止,admin等浩聋,有些甚至使用空密碼或者系統(tǒng)默認密碼观蜗,這樣就給黑客提供了很大的便利,使他們很輕松就能獲得這些系統(tǒng)控制權(quán)限衣洁,并進一步利用其為之謀利墓捻。
盡量避免將網(wǎng)絡視頻監(jiān)控設備部署在互聯(lián)網(wǎng)上,可以部署在私網(wǎng)內(nèi)坊夫,或者通過 VPN連接訪問;
用戶要使用強密碼砖第,密碼要使用數(shù)字、特殊符號和大小寫字母組合;
向云端傳輸數(shù)據(jù)的時候蛾藐,使用安全的網(wǎng)絡連接瘤希,不要在手機等控制設備上存儲賬號密碼等敏感數(shù)據(jù),以免手機被惡意入侵后導致風險;
及時更新最新補丁及固件保懈。
感到欣慰的是答艘,不少廠商已經(jīng)將監(jiān)控系統(tǒng)網(wǎng)絡安全納入重要甚至是頭等技術(shù)問題。接下來锉辫,我們將邀請知名的安防廠商談談他們對網(wǎng)絡安全的看法息体,以及他們在提升視頻監(jiān)控網(wǎng)絡安全上做了哪些努力。
18221259202