近日,《315通信業(yè)務(wù)質(zhì)量報告》在京發(fā)布�����,報告中指出����,面臨快速到來的萬物互聯(lián)時代�����,物聯(lián)網(wǎng)設(shè)備的安全問題日益凸顯�����。以攝像頭為例,作為日常生活中廣泛應(yīng)用的物聯(lián)網(wǎng)終端設(shè)備�,攝像頭對于治安環(huán)境的改善貢獻顯著�����,但其安全隱患也頻頻引發(fā)熱議��。2018年2月,綠盟科技就曾助力工控廠商施耐德挖出派爾高網(wǎng)絡(luò)攝像頭產(chǎn)品12個安全漏洞����,其中不乏多個高危漏洞。
目前���,攝像頭存在的安全隱患主要集中在兩個方面:一方面��,大量攝像頭組成的網(wǎng)絡(luò)被黑客入侵;另一方面���,攝像頭采集視頻��,被攻擊者控制后�,易發(fā)生隱私泄漏����。本文將從這兩方面著手�����,回顧安全事件,梳理歸納物聯(lián)網(wǎng)的安全需求�。
物聯(lián)網(wǎng)終端設(shè)備安全的多米諾骨牌正在被推倒
2016年底,數(shù)十萬攝像頭組成的僵尸網(wǎng)絡(luò)Mirai,以當時最大(620G)DDoS流量���,攻擊美國域名服務(wù)商Dyn�����,導(dǎo)致多家知名網(wǎng)站無法訪問�。Mirai僵尸網(wǎng)絡(luò)屢被提起,成了物聯(lián)網(wǎng)安全標志性事件��。一年后���,Mirai的始作俑者認罪伏法�。
看起來,Mirai事件已塵埃落定。然而���,作者Jha將Mirai的代碼發(fā)布到黑客論壇,從此���,打開了潘多拉的盒子����。Mirai之后,一波波改造后的類Mirai的蠕蟲蔓延����,繼續(xù)感染攝像頭���,并擴展到智能路由器���,機頂盒等��,組織成新的僵尸網(wǎng)絡(luò)����,繼續(xù)肆虐�����。
2017年8月����,浙江某地警方破獲一個犯罪團伙,在網(wǎng)上制作和傳播家庭攝像頭破解入侵軟件����。查獲被破解入侵家庭攝像頭IP近萬個����,涉及浙江���、云南����、江西等多個省份����。由物聯(lián)網(wǎng)終端設(shè)備引發(fā)的安全事件不勝枚舉。這些事件為我們敲響警鐘�����,物聯(lián)網(wǎng)終端設(shè)備安全不可忽視�����。一旦攻擊者獲得遠程控制權(quán)限���,即便是小小的攝像頭也能夠成為泄漏用戶隱私的元兇����。
物聯(lián)網(wǎng)終端設(shè)備安全事件為何頻發(fā)?
在萬物互聯(lián)的今天,物聯(lián)網(wǎng)終端設(shè)備安全如何達標值得深思�。歸納起來����,造成物聯(lián)網(wǎng)終端設(shè)備安全事件頻發(fā)的主要原因有三點:
缺省密碼
安全博客Krebs on Security的一篇文章中指出�����,網(wǎng)絡(luò)攝像頭的缺省密碼比較簡單�,沒有更改直接暴露在互聯(lián)網(wǎng)上����。從Mirai及其后繼者的代碼中也能看出,蠕蟲就是通過缺省密碼,利用遠程登錄協(xié)議(Telnet或SSH)�����,感染物聯(lián)網(wǎng)設(shè)備��,并形成大規(guī)模僵尸網(wǎng)絡(luò)���。
攝像頭固件漏洞
2018年2月27日,施耐德發(fā)布攝像頭安全公告���,提醒客戶升級固件。同時��,施耐德致謝綠盟科技���,感謝公司物聯(lián)網(wǎng)安全研究員發(fā)現(xiàn)了12個安全漏洞��,提升了產(chǎn)品的安全性��。
互聯(lián)網(wǎng)暴露
攝像頭存在缺省密碼和安全漏洞,而這些設(shè)備暴露在互聯(lián)網(wǎng)上��,就是造成蠕蟲網(wǎng)絡(luò)形成和視頻隱私泄漏的直接誘因����。下圖是來自綠盟科技威脅情報中心的數(shù)據(jù)����,統(tǒng)計了在網(wǎng)絡(luò)上暴露的攝像頭品牌和數(shù)量����,其中就有缺省密碼的設(shè)備。
拋磚引玉����,物聯(lián)網(wǎng)安全的六點需求
小小攝像頭����,隱藏著巨大的安全風(fēng)險。設(shè)備的安全性和隱私�,是攝像頭這種常見的物聯(lián)網(wǎng)終端設(shè)備最基本的安全需求����。攝像頭組成的視頻專網(wǎng)����,還有后臺平臺�,應(yīng)用終端��,哪一個環(huán)節(jié)出現(xiàn)問題����,整個視頻專網(wǎng)都有安全風(fēng)險�����。
物聯(lián)網(wǎng)的安全需求����,包括傳統(tǒng)信息安全的CIA(保密性����、完整性、可用性) 三要素�����,還要加上物聯(lián)網(wǎng)特有的安全需求,隱私保護��、人身安全和可靠性。
信息的保密性����,就是一定保密程度的信息只能讓有權(quán)限的人讀取到或更改。不過�����,這里提到的保密信息��,有比較廣泛的外延:可以是國家機密,是企業(yè)或研究機構(gòu)的核心知識產(chǎn)權(quán)�,是一個銀行個人賬號的用戶信息。物聯(lián)網(wǎng)所采集�、傳輸和處理的信息�����,也有保密性的需求���。
信息的完整性�����,是指在存儲或傳輸信息的過程中�����,原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤�,如輸入錯誤�,軟件瑕疵�����,以及人為的故意更改和破壞����。
信息的可用性�����,是指對于信息的合法擁有和使用者����,在他們需要這些信息的任何時候,都應(yīng)該保障他們能夠及時得到所需要的信息��。信息可用,物聯(lián)網(wǎng)應(yīng)用才能正常運轉(zhuǎn)��。
隱私保護�,是指物聯(lián)網(wǎng)感知設(shè)備�����,對于人的隱私的采集����、傳輸���、處理等環(huán)節(jié),不被泄漏�����。隱私包括人的信息�����、家庭住址、聯(lián)系方式��、財產(chǎn)信息�����、位置信息等等����。
人身安全,是指物聯(lián)網(wǎng)設(shè)備應(yīng)用到人體健康和環(huán)境領(lǐng)域�,應(yīng)用不能對人身造成傷害����,不能破壞物理環(huán)境��。
可靠性�,指物聯(lián)網(wǎng)采集的感知數(shù)據(jù),應(yīng)該是準確的���,在允許的誤差之內(nèi)��。比如智能遠程抄表�,如果感知設(shè)備的讀數(shù)有誤,就會影響后面的繳費�。
結(jié)語:
本文以攝像頭為例,探討了與之相關(guān)的兩大類安全事件及其發(fā)生的原因���,并擴展到物聯(lián)網(wǎng)的安全需求。我們看到,物聯(lián)網(wǎng)感知設(shè)備��,其安全弱點與傳統(tǒng)終端是類似的����,即不恰當?shù)陌踩渲煤桶踩┒�����。物�?lián)網(wǎng)應(yīng)用的安全需求,涵蓋了原來的CIA三個基本需求�,還由于物聯(lián)網(wǎng)萬物互聯(lián)的廣泛性���,引入了隱私保護����、人身安全和可靠性三個新需求。
鄂公網(wǎng)安備 42112402000149號