3月中旬曝光15万摄像头被黑,知名汽车厂商内部监控摄像头中枪;"3·15"晚会再次曝光多家知名企业和单位利用监控设备以"无感、非配合"方式对顾客进行人脸信息采集,并在多家连锁店进行数据共享及分析……。其实从2014年标志性事件开始,涉及安防领域的网络安全事件呈现爆发式,尤其是随着安防进入网络化时代,迈入人工智能时期,以物联网设备的泛链接,人工智能时代的个人隐私保护等等为代表的安防领域信息安全时刻警醒着行业发展。
今年三月份围绕视频监控系统的网络安全话题屡受关注。
3月中旬曝光15万摄像头被黑,知名汽车厂商内部监控摄像头中枪;"3·15"晚会再次曝光多家知名企业和单位利用监控设备以"无感、非配合"方式对顾客进行人脸信息采集,并在多家连锁店进行数据共享及分析……
其实从2014年标志性事件开始,涉及安防领域的网络安全事件呈现爆发式,尤其是随着安防进入网络化时代,迈入人工智能时期,以物联网设备的泛链接,人工智能时代的个人隐私保护等等为代表的安防领域信息安全时刻警醒着行业发展。
行业发展历史因素导致问题多
安防产业直接从原来的模拟进入IP数字化,在这个切换的过程中整个行业并未过多地考虑安全问题,这就导致了原来在模拟时代是优势、强项的易用性设计,到了数字时代可能就会与信息安全的最佳实践存在偏差。安防厂商一般为了方便用户实现-键集成多个厂商设备,把所有支持的协议都默认开启,服务器端支持哪种协议就自动匹配连接,但是这样的设计虽然极大方便了客户,却与信息安全的最佳实践相违背。也正是由于安防产业的这种发展历程,导致了安防产业近年来出现了一些信息安全问题。
在安防IT化的大背景下,视频监控的网络安全形势变得相当严峻起来。视频监控网络安全威胁正呈现出攻击来源更加多样,攻击手法更加复杂,攻击方式更加隐蔽。另外,传统互联网威胁也在向安防系统扩散,监控数据窃取事件高发,可以说,当前视频监控网络安全问题正在侵入个人隐私,甚至威胁国家安全及权益。
从信息安全角度审视,绝大多数安防监控设备几乎是裸露在外的。有别于PC、服务器等IT产品,监控设备在设计之初主要应用在专网、或者不联网的领域,并没有将互联网作为应用场景。比如摄像机,最初都是通过硬盘来存储数据,其产品特性也主要考虑编解码、清晰度等特性。但随着摄像机数量增多,越来越多设备需要远程控制能力,也因此开始连接互联网,缺少安全防护的问题大规模暴露。
进入网络时代安全风险凸显
随着数字经济来临,目前大多数的视频监控系统都是基于TCP/IP网进行远程监控、传输、存储、管理的,所以网络安全漏洞不局限在前端,而是整个监控网络体系都面临一系列的安全风险,具体来看包含用户接入安全,例如:客户端接入协议安全、用户权限控制等;前端摄像头接入安全,例如:前端接入协议安全、前端接入认证等;数据传输安全,例如:网络设备管理安全、传输通道安全等;服务器自身安全,例如:服务器操作系统安全、数据库安全、应用程序安全等等。
而值得一提的是,网络监控平台弱口令漏洞是个世界性的问题。"口令"相当于门钥匙,"弱口令"意味着把钥匙放在了外人很容易找到的地方。前面提及的某公安系统所称的"安全隐患",便是该系统没有修改设备的初始密码。而据安防业内人士称,"通过12345、1234、password"等简单密码,可以控制10%以上的监控设备。
无论是家庭安保设备还是商用领域监控系统,所有暴露在互联网环境下的设备都会面临黑客攻击的风险。黑客利用病毒破解设备的用户名和密码,植入脚本文件,将设备挟持为病毒源,扫描攻击其它网络设备。
目前行业中存在的网络安全问题,一是弱口令问题,大量网络视频监控设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证,就可直接看到监控视频。比如,用户名admin,密码为空等等。另外,大量设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备上是共用的,互联网上很容易查到这些设备的初始密码。
系统后门有一些设备存在后门,可以直接获取系统的shell权限,执行shell命令,新世界朝你打开,有国内外知名厂商都相继被爆出了摄像头存在后门的问题,引行业惶恐。而是否真的存在"后门",以及厂商会不会设置"后门"成为用户最关心的问题。
三是远程代码可执行漏洞,一些厂家都使用了同一个监控厂商的产品进行贴牌生产,这些厂家出于节约成本的考虑,未做任何安全加固,导致不同品牌的设备使用默认的密码,或者包含相同的漏洞,这就导致一旦漏洞被爆出,其影响范围甚广。这些设备的HTTP头部Server带均有"CrossWebServer"特征。利用该漏洞,可获大量含有此漏洞设备的shell权限。
AI加剧视频监控新问题
对公安机关来说,一旦视频监控系统被侵入,极有可能导致视频数据泄漏。更为严重的是,如果视频被人进行修饰、篡改、删除等操作,交通管理、线索追踪、治安管理、人口管理等各项涉及视频数据的公安业务都可能受到影响,公安机关的执法透明度与公信力也可能遭受非议。
而从另一个角度来看,视频技术已经发展到可以利用人工智能技术合成"真实"视频,视频中人的动作、表情、嘴型都能以假乱真,即使采用专业技术也难辨真假。试想,这项技术如果被不法分子利用,他可以伪造出任意场景,这样危害非常大,比如说目前流行的刷脸支付、语音支付,都有可能被不法分子利用。
小结
当下数字经济时代,视频监控的广泛应用逐渐暴露出视频监控网络安全薄弱的问题,使其成为整个网络的安全洼地,近两年也引起了国家及相关部门的重视,公安、金融等行业陆续下发了一系列关于加强视频监控网络安全的指导文件和技术要求,同时国内企业也在加大研发投入与产品推出,视频监控应用的安全已经引起重视并得到整改提升。