近日,多家媒体报道了关于安防产品的“安全门”事件,引起了业内的广泛关注,很多用户及合作伙伴希望了解科达相关产品是否存在同样的安全问题。为此,我们用了近一周的时间,全面排查了公司已售及在售的所有视频监控与视频会议产品,现将排查结果公布如下:
科达所有已售及在售的视频监控与视频会议产品均不存在此次媒体报道中提及的RTSP缓冲区溢出漏洞。
关于RTSP缓冲区溢出漏洞
2014年11月,知名专业安全网站SecurityStreetRapid公布了3个RTSP安全漏洞,编号分别为:CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。这三个漏洞均为监控设备对RTSP请求处理不当导致的缓冲区溢出漏洞。通过该漏洞,攻击者只要知道设备的IP地址,即可采用电脑对设备进行拒绝服务攻击,从而导致设备瘫痪或被攻击者接管。
科达支持RTSP协议的设备在处理相关协议时采用了安全的处理方式,不存在此次媒体报道中提及的缓冲区溢出漏洞。
关于弱口令
除了上述RTSP缓冲区溢出漏洞,此次“安全门“事件还涉及另外一个安全问题:弱口令。弱口令是指容易被攻击者猜测到或被破解工具破解的口令。此次媒体报道中提及的弱口令问题主要是由于未修改设备初始密码或设备密码过于简单导致的安全问题。
弱口令问题普遍存在,主要的解决方式是建立严格、规范化的口令管理流程和管理机制。在此,我们提出以下声明和建议:
第一,在交付环节,我们将一如既往的严格遵循安全交付的原则。在设备安装完成并递交用户使用前,我们将按照交付流程提醒并引导用户采用合理的方式修改所有设备的初始密码,同时帮助用户建立完善的安全管理制度。
第二,对于口令的设置,我们建议用户遵循以下8条通用的口令设置原则:1)不使用空口令或系统缺省的口令;2)口令长度不小于8个字符;3)口令不应该为连续的某个字符或规律性重复的字符组合;4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符,每类字符至少包含一个;5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等与本人有关的信息;6)口令不应该为用数字或符号代替某些字母的单词;7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入;8)至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
以上为科达针对此次“安全门“事情的简要声明及建议。科达在网络及视频通信领域拥有多年积累,在如何保障通信安全方面有着丰富的实施经验,我们将一如既往的将这些积累和经验融入到公司产品中,并不遗余力的向用户普及安全知识、帮助用户建立有效的安全管理机制。
网络和通信没有绝对的安全,我们希望与业界同仁共同努力,持续提升设备及系统的安全性能,为用户构建无后顾之忧的信息化应用环境。
微信扫描二维码,关注公众号。