从摄像头到视频专网,物联网安全如何“达标”?
作者:星期五, 三月 16, 20180

近日,《315通信业务质量报告》在京发布,报告中指出,面临快速到来的万物互联时代,物联网设备的安全问题日益凸显。以摄像头为例,作为日常生活中广泛应用的物联网终端设备,摄像头对于治安环境的改善贡献显著,但其安全隐患也频频引发热议。2018年2月,绿盟科技就曾助力工控厂商施耐德挖出派尔高网络摄像头产品12个安全漏洞,其中不乏多个高危漏洞。

目前,摄像头存在的安全隐患主要集中在两个方面:一方面,大量摄像头组成的网络被黑客入侵;另一方面,摄像头采集视频,被攻击者控制后,易发生隐私泄漏。本文将从这两方面着手,回顾安全事件,梳理归纳物联网的安全需求。

物联网终端设备安全的多米诺骨牌正在被推倒

2016年底,数十万摄像头组成的僵尸网络Mirai,以当时最大(620G)DDoS流量,攻击美国域名服务商Dyn,导致多家知名网站无法访问。Mirai僵尸网络屡被提起,成了物联网安全标志性事件。一年后,Mirai的始作俑者认罪伏法。

看起来,Mirai事件已尘埃落定。然而,作者Jha将Mirai的代码发布到黑客论坛,从此,打开了潘多拉的盒子。Mirai之后,一波波改造后的类Mirai的蠕虫蔓延,继续感染摄像头,并扩展到智能路由器,机顶盒等,组织成新的僵尸网络,继续肆虐。

2017年8月,浙江某地警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件。查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份。由物联网终端设备引发的安全事件不胜枚举。这些事件为我们敲响警钟,物联网终端设备安全不可忽视。一旦攻击者获得远程控制权限,即便是小小的摄像头也能够成为泄漏用户隐私的元凶。

物联网终端设备安全事件为何频发?

在万物互联的今天,物联网终端设备安全如何达标值得深思。归纳起来,造成物联网终端设备安全事件频发的主要原因有三点:

  • 缺省密码

安全博客Krebs on Security的一篇文章中指出,网络摄像头的缺省密码比较简单,没有更改直接暴露在互联网上。从Mirai及其后继者的代码中也能看出,蠕虫就是通过缺省密码,利用远程登录协议(Telnet或SSH),感染物联网设备,并形成大规模僵尸网络。

  • 摄像头固件漏洞 

2018年2月27日,施耐德发布摄像头安全公告,提醒客户升级固件。同时,施耐德致谢绿盟科技,感谢公司物联网安全研究员发现了12个安全漏洞,提升了产品的安全性。

  • 互联网暴露

摄像头存在缺省密码和安全漏洞,而这些设备暴露在互联网上,就是造成蠕虫网络形成和视频隐私泄漏的直接诱因。下图是来自绿盟科技威胁情报中心的数据,统计了在网络上暴露的摄像头品牌和数量,其中就有缺省密码的设备。

抛砖引玉,物联网安全的六点需求

小小摄像头,隐藏着巨大的安全风险。设备的安全性和隐私,是摄像头这种常见的物联网终端设备最基本的安全需求。摄像头组成的视频专网,还有后台平台,应用终端,哪一个环节出现问题,整个视频专网都有安全风险。

物联网的安全需求,包括传统信息安全的CIA(保密性、完整性、可用性) 三要素,还要加上物联网特有的安全需求,隐私保护、人身安全和可靠性。

信息的保密性,就是一定保密程度的信息只能让有权限的人读取到或更改。不过,这里提到的保密信息,有比较广泛的外延:可以是国家机密,是企业或研究机构的核心知识产权,是一个银行个人账号的用户信息。物联网所采集、传输和处理的信息,也有保密性的需求。
信息的完整性,是指在存储或传输信息的过程中,原始的信息不能允许被随意更改。这种更改有可能是无意的错误,如输入错误,软件瑕疵,以及人为的故意更改和破坏。

信息的可用性,是指对于信息的合法拥有和使用者,在他们需要这些信息的任何时候,都应该保障他们能够及时得到所需要的信息。信息可用,物联网应用才能正常运转。
隐私保护,是指物联网感知设备,对于人的隐私的采集、传输、处理等环节,不被泄漏。隐私包括人的信息、家庭住址、联系方式、财产信息、位置信息等等。

人身安全,是指物联网设备应用到人体健康和环境领域,应用不能对人身造成伤害,不能破坏物理环境。

可靠性,指物联网采集的感知数据,应该是准确的,在允许的误差之内。比如智能远程抄表,如果感知设备的读数有误,就会影响后面的缴费。

结语

本文以摄像头为例,探讨了与之相关的两大类安全事件及其发生的原因,并扩展到物联网的安全需求。我们看到,物联网感知设备,其安全弱点与传统终端是类似的,即不恰当的安全配置和安全漏洞。物联网应用的安全需求,涵盖了原来的CIA三个基本需求,还由于物联网万物互联的广泛性,引入了隐私保护、人身安全和可靠性三个新需求。

 

分享:

相关文章

写一条评论

 

 

0条评论