360 的“水滴直播”事件, 讓人們逐漸發現原來日常用作安保用途的攝像頭, 已經在很大程度上入侵到了日常生活當中。 護航安全的衛士, 成了侵犯隱私的罪魁。 甚至, 攝像頭下的私生活, 已經成為了一門黑產, 正在某個角落裡暗自生長。
誰是窺視者
2018年1月1日晚21時41分, 一對年輕夫婦身著內衣靠在床上玩手機。 藍色的印花床單上散落著幾個兒童玩具, 一個穿著淺藍色衣服的嬰兒背靠父母在床腳睡著。
這時, 安裝在天花板上的智慧攝像頭突然開始轉動, 年輕夫婦並未察覺這一異動。 他們更不知道的是, 攝像頭的另一端, 有五個陌生人正在通過手機觀看他們的生活。 這對年輕夫婦的姓名、地址不詳, 但他們的私生活正被攝像頭同步直播。
事實上, 有大量這種當事人並不知情的監控直播在互聯網上傳播, 背後則是一條集駭客破解、買賣、偷窺於一體的網路黑產鏈。
行業調查公司IHS Markit2017年最新資料顯示, 中國在公共和私人領域(包括機場、火車站和街道)共裝有1.76億個監控攝像頭。 這些攝像頭理論上都有被入侵的風險。 那麼, 是誰在入侵?又是誰在窺視?
楚門的世界
“需要小台嗎?即時直播, 操作簡單。 ”2017年12月17日, 記者隨機搜索並加入帶有“攝像頭”、“資源”關鍵字的QQ群, 立刻有賣家發來私聊。
小台, 是指被攻破的智慧攝像頭資源, 用賣家提供的帳號和密碼, 在手機端下載相應軟體後, 輸入ID和密碼, 便可入侵觀看對應即時監控畫面。 收到10元轉帳後, 賣家林曉(化名)發來一個帳號密碼, 是一個智慧監控平臺軟體的帳戶資訊。
當晚22時10分, 用手機打開該APP, 按照指示輸入買來的帳號密碼, 一間臥室的即時監控畫面隨即彈出。
從畫面推斷, 攝像頭應安裝於房間角落處天花板上, 對著床。 房間已關燈, 但利用攝像頭的夜視功能, 可見床上一對情侶睡臥, 床被花色清晰。
22時35分, 畫面左上角的“當前觀看人數”從2變為3。 幾分鐘後, 有觀看人通過手機操縱攝像頭調整角度, 聲筒裡傳出攝像頭雲台(底座)旋轉發出的輕微機械聲, 畫面開始晃動。 螢幕中央用於操控攝像頭角度的指針幾經擺動, 最終停留在最左邊, 女子的臉隨之完全暴露在畫面中, 其輕微咳嗽聲也清楚可聞。
進入另一個被賣家稱為精品IP的“小台”, 畫面顯示來自於一家按摩院。 一張紫色按摩床上, 趴著的女性正半露上身接受按摩師服務, 雙方談話議價聲清晰。 畫面左上角數位提示,
這些陌生人的生活被同樣陌生的人窺視、存儲、記錄, 目前無法統計有多少人的隱私如此被侵害, 但僅一起公安機關破獲的案例中, 一名賣家手中便被查出握有1萬多個帳戶密碼資訊。 這意味著, 起碼有1萬多個攝像頭覆蓋下的場景毫無隱私可言。 而這僅是一名賣家案發後被查出的數據。
如一名駭客所言, 理論上, 每個運行中的智慧攝像頭都有被侵入的可能。 “這是一場秀, 每個人都在看著你。 ”電影《楚門的世界》中, 無處不在的攝像頭包圍了男主角楚門的世界, 他的生活被24小時直播。
現實版的《楚門的世界》也在上演, 如果恰巧安裝帶有安全隱患的智慧攝像頭, 你的家庭生活有可能也在網路中被掛牌叫賣。
窺視者、賣家和駭客
對於買家而言, 攝像頭帳戶的價格因場景而分級。
普通小台指被安放在家庭客廳、餐廳、辦公室等的攝像頭, 價格為5元~10元;被稱為“精品”的資源, 則瞄準臥室的床、浴室、按摩院等私密場所, 價格從10元到50元不等。
買家更青睞那些有年輕女性居住的家庭攝像頭帳號。 一個臥室小台裡, 大多數時間都無人線上, 但到晚上主人回屋睡覺時, 線上觀看人數就會多起來。 被偷窺者們往往毫無察覺, 除非偷窺者頻繁旋轉攝像頭, 這類行為通常遭到偷窺群友的譴責, 因為可能引來主人懷疑, 攝像頭被關閉或更改密碼。
2017年6月17日早上6時, 浙江杭州一個民居中, 女主人突然發現安裝在家中客廳的攝像頭開始異常轉動, 她手機登錄監控APP後發現,除自己之外,還有另一個陌生帳戶線上。隨後,女主人前往派出所報案。
不過,更多被偷窺者並不敏感。1月19日下午,一個被賣家稱為“客廳單女”的小台裡,偷窺者操縱攝像頭轉動想看清客廳中女子的臉,女子似乎有所察覺,轉頭和攝像頭對視一會後,回頭繼續玩起手機遊戲,並未關閉攝像頭。
通過手機窺看他人生活的,通常是為滿足好奇心和窺私欲,一些人還會邊看邊在同好群裡交流心得。許多偷窺者經常發佈自己錄製的視頻,與其他人交流。一張發在QQ群裡的截圖顯示,一個身著短褲坐在客廳沙發上玩手機的女子,正通過攝像頭被11個人線上觀看。“這也有這麼多人看?”賣家表示不解。
需要特別指出的是,與傳統需與電腦連接或硬碟存儲錄影的攝像頭不同,當下市場流行的智慧攝像頭,是直接使用Wi-Fi聯網,配有移動應用遠端查看。用戶安裝好智慧監控後,只需下載專用的用戶端,即可實現遠端操控監控。
除即時監控及遠端操控角度外,許多與智慧攝像頭搭配使用的監控軟體還有錄影、錄音等功能。
但這升級後的功能恰恰給駭客留下操作空間。
像其他網路賣家一樣,林曉同時販賣攝像頭暴力破解軟體,這些名為“刺客”、“千里眼”、“守望者”等軟體,下載後經過簡單操作,可以掃描到數十個帳號密碼,輸入相應播放軟體,即時監控畫面隨即彈出。
賣家散佈在互聯網中,隱藏在各網名背後的真實身份各不相同,但入行的門檻普遍不高。
2017年4月,浙江省麗水市景寧縣網警偵查一起涉及8000余萬條個人資訊來源的案件,一個攝像頭資源賣家引起警方注意。經過三個月偵查,一名擅長變換上網地址的駭客落網。
王冀(化名),32歲,初中文化,河北邢臺人。他通過流覽駭客網站的軟體,自學破解攝像頭方法,並將破解後的帳號賣出。王冀落網後,警方發現,1萬餘個包含攝像頭品牌、型號、IP位址、帳戶名和密碼的資訊,被他以word形式存儲在電腦裡。此外,王冀的電腦中至少有11款破解和入侵攝像頭駭客軟體,有手機、電腦等不同版本,出售價格從88元到300元的套餐不等。
景寧縣公安局網警大隊副隊長陳勇濤告訴記者,文檔裡包含絕大多數國內知名攝像頭廠家的品牌,IP地址多位於廣東、浙江等地。
但是,監控黑產鏈遠比暴露在視野中的長,分銷商和工具黨之上、位於金字塔頂端的是一些掌握頂尖技術的駭客,他們能迅速發現、攻破安全性漏洞,編寫滿足不同需求的破解軟體。
“不要問我怎麼破解監控攝像頭,因為實在太簡單。”一名駭客說。
一些駭客利用程式工具攻擊,一秒鐘便可攻破大量攝像頭。網路安全公司知道創宇404安全實驗室(下稱“404實驗室”)曾向記者類比測試一次攻破攝像頭的過程,利用網路安全性漏洞,通過簡單的攻擊指令便可迅速獲取攝像頭的帳戶密碼,進而控制攝像頭、獲得即時影像。
早在2013年底的黑帽安全技術大會上,有人披露一些國外知名廠商生產的監控攝像頭的安全性漏洞,聲稱可以像好萊塢電影一樣操控網路監控攝像機,並進行演示。
另外一支駭客團隊告訴記者,他們曾在2017年3月、7月和11月分別發現國內幾家知名廠商所生產的攝像頭存在嚴重安全性漏洞洩露,但資訊在披露前被“公關”掉了。
冰山一角
在家中安裝智慧攝像頭的目的,大多是為了安防。家住北京市朝陽區的劉米在臥室安裝了一款可360度旋轉的高清智能攝像頭,離家上班時,她會打開監控畫面,觀察自己寵物狗的生活狀況。但安防產品隨著系列駭客活動,卻成為安全性漏洞。
通過簡單破解,家庭生活被直播、錄製,甚至可能流入色情產業。404實驗室總監隋剛告訴記者,監控黑產既通過銷售獲利,也會向博彩、色情等地下產業導流盈利。
如果只在黑產中私下流傳,傷害尚小,但一旦發生隱私洩露並被公開,將對受害者造成不可預估的傷害。2016年9月3日,河北邯鄲市公安局通報稱,2015年7月,河北省館陶縣一對男女在轎車內親熱時被巡邏輔警王某某等發現,王某某擅自使用手機錄影,後該視頻外泄並傳播。一年後,當事女子在館陶縣巡特警大隊門口服農藥、經搶救無效身亡。
除導向偷窺、色情產業鏈外,另一類黑產訴求意在感染攝像頭後發起DDoS攻擊,這種攻擊是指駭客將多個設備聯合起來作為平臺,同時向某一物件發動攻擊使其服務停止。
在多位駭客和安全工程師看來,這類現象更為普遍而難以被察覺。2016年10月21日,美國東海岸網路遭遇三名駭客DDoS攻擊,超過半數美國人無法上網,包括Twitter、亞馬遜、Airbnb等知名網站宕機,其惡意程式碼感染物件就是智慧攝像頭、路由器等設備。
另一種擔憂在於個人資訊黑產與攝像頭入侵黑產兩個鏈條的結合。2017年6月,央視曾演示一種攝像頭控制方法,安全工程師精准攻破受測攝像頭後使得畫面靜止,而真實房間內的被拍攝物品已被拿走。家居智慧攝像頭畫面被劫持,使得證據無法固定,或受害者被矇騙、監控等,這在“技術上是完全可能的”,隋剛擔憂地說。
智慧攝像頭,是最受駭客青睞的物聯網類設備種類之一。極光大資料截至2017年10月的資料顯示,搭配智慧攝像頭使用的四款頭部應用,安裝總量超過1500萬。2017年6月18日,國家質檢總局在官網發佈智慧攝像頭品質安全風險警示,稱產品品質監督司採集38個品牌共40批次的樣品進行抽檢,結果顯示,存在安全性漏洞的多達32批次,占比高達80%。受測品牌涵蓋360、小米、中興、三星、海康威視等排在市場關注度前五位元的產品。
作為公安部領導下的國家級網路安全和安全防範協力廠商機構,公安部第三研究所亦曾對主流視頻監控類產品進行安全檢測。其檢測中心常務副主任鮑逸明告訴記者,結果與質檢總局檢測結果基本吻合。
國家通用電子元器件及產品質檢中心工程師李樂言此前曾向央視表示,目前正在投入使用的攝像頭存在相當大的資訊安全隱患,未來將被生產出來的攝像頭風險將長期存在。
北京、浙江兩起浮出水面的攝像頭入侵黑產案件中,賣家和駭客均因涉嫌違反《刑法》第285條被批捕,該條共計三項罪名“非法侵入電腦資訊系統罪”“非法獲取電腦資訊系統資料、非法控制電腦資訊系統資料”“提供侵入、非法控制電腦資訊系統的程式、工具罪”,最高刑期七年。
此外,《刑法》第283條規定,非法生產、銷售專用間諜器材或竊聽、竊照專用器材的,據情節嚴重程度處七年以下有期徒刑。
對於公民隱私被侵犯的民事法律救濟管道,依據《侵權責任法》,受害者可提起隱私權侵權民事訴訟,要求入侵駭客和買家停止侵害、刪除被錄製的視頻圖片等,並要求相應賠償。如果攝像頭軟體運營者和網路服務提供商未及時採取補救措施,亦可能承擔連帶責任或損失擴大的賠償責任。如果產品本身有嚴重缺陷導致此類問題,還可按照《侵權責任法》《產品品質法》《消費者權益保護法》直接追究生產者責任。
不過,一些企業不願承認風險的存在。一家致力於C端攝像頭市場的公司告訴記者,他們不認為市場上的攝像頭安全問題有多嚴重,輿論熱議是因為與其他智慧硬體相比,攝像頭出現安全風險更吸引眼球。他們通過客服回饋管道顯示,並未發現其攝像頭產品出現嚴重安全事故。
事實可能是,受害者未必知道自己的隱私正被直播和販賣。記者檢索,尚未發現因隱私被監控洩露而提起侵權訴訟的案例。
被侵權人往往並不知情,即便發現隱私被侵犯後報案動力亦不足,因而監控黑產暴露在執法者視野中的只是冰山一角。
王冀歸案時雖被查獲破解攝像頭ID 1萬餘個,然而警方尚無法通過畫面和位址確定受害人,這成為該案偵辦最大難點之一。而對於DDoS攻擊或破解入侵平臺等犯罪來說,由於成本高昂、耗時長,警方更難追溯到上游駭客。
一家旗下平臺有大量智慧攝像頭帳號流入黑產的廠家市場人士告訴記者,已發佈通知願意配合受害者維權,但截至目前未接到任何用戶維權求助。
當下,仍有大量攝像頭帳號和密碼在網路上販賣。受“水滴直播”事件影響後,林曉等賣家對記者稱並不擔心警方關注,“只抓酒店偷裝攝像頭的和做軟體的,肯定不抓我們這些賣的。”
不過,進入2017年12月後,隨著網路安全公司360因對公共場合提供攝像頭直播功能引發隱私失控焦慮,攝像頭黑產問題也進入執法者視野。多個QQ群都聞風而動,含有“攝像頭”、“影視”等相關字眼的群或解散、或改名。“最近風聲緊,攝像頭被盯上了,過段時間再說。”林曉說。
多位受訪者認為,利益驅動之下網路黑產將長期存在,而刑法打擊則具有滯後性,偵破難度大、用戶維權難的現狀將長期困擾執法者。
這一現狀之下,被稱為安防業紅海的市場如何破局安全短板,是廠商、使用者、監管部門需要共同面臨的難點。
攻防持久戰
一位世界排名前五的智慧攝像頭生產廠商安全總監坦言,儘管其所在企業在安防方面投入巨大,但隨著全球針對物聯網設備的攻擊趨勢愈發嚴峻,他們在智慧攝像頭市場受到的駭客攻擊和安防壓力並不小。
2016年國家資訊安全性漏洞共用平臺(CNVD)公開收錄的1117個物聯網設備漏洞影響設備的類型中,網路攝像頭、路由器、手機設備漏洞數量,分別占公開收錄漏洞總數的10.1%、9.4%、4.7%,網路攝像頭漏洞數排名第一。
漏洞從何而來
當前,監控攝像頭安全隱患主要有三類:生產端的粗放生產、雲端和集中管理平臺的網路安全防護脆弱、應用端弱口令問題。
公安部第三研究所檢測中心常務副主任鮑逸明告訴記者,目前被駭客攻擊最多、最易導致黑產氾濫的原因,是弱口令問題。弱口令,指攝像頭出廠設置時各埠所用帳號密碼為預設設置或無密碼。
駭客使用密碼字典批量破解掃描帳號口令十分簡單,國家互聯網應急中心高級工程師高勝表示,這是一種極為低級的入侵方式。
極光大資料顯示,搭配智慧攝像頭使用的頭部應用中,螢石雲視頻(海康威視旗下)、雲視通、有看頭(Yoosee)和360智慧攝像機安裝量分別為858萬、263萬、229萬和211萬。
記者在多個黑產群中發現,有不少販賣“雲視通”和“有看頭”兩款應用上的攝像頭賣家,甚至有專門針對這兩款應用的黑產群。賣家發來的帳戶密碼多為“123”等簡單密碼。“有看頭”運營商深圳技威時代科技有限公司(下稱“技威時代”)市場經理楊衛回應記者稱,2017年6月以來確已發現這一現象並進行自查,流入黑產原因是使用者未更改設備預設密碼“123”,被破解利用。
楊衛表示,技威時代主營業務為APP平臺開發和技術支援服務,並不從事攝像機成品生產和銷售,因此遭黑產利用的不是其旗下產品,已對技威體系內的所有廠家客戶下發整改通知,督促各自代理商、管道商更改密碼,並在後續產品上採取強式密碼。但就存量市場而言,弱密碼現象依然存在,尚無法根除。
在高勝看來,諸多安全隱患中弱口令問題最易解決,只需廠家編寫強式密碼設置要求,使用者及時更改密碼便可避免。但為何當下許多智慧攝像頭產品仍存在這一問題?
一位安防企業安全總監給出的解釋是:“很多廠商眼裡,C端攝像頭的競爭還處在市場初期規模擴張階段,使用者體驗的競爭還處在使用便捷、價格便宜的維度上,尚未把安全當作重要競爭緯度,用戶本身也並不重視。一些廠商便放縱了弱口令等安全隱患的存在。”
許多智慧攝像頭廠商為方便用戶或廠商自行管理,有統一網路監控管理平臺,這意味著,若管理平臺防護能力低,被駭客攻破便可查看所有使用這個管理平臺的攝像機畫面。
404實驗室在過去幾年發現過大量監控攝像頭的安全性漏洞,幾乎涉及所有攝像頭領域的知名廠商。在2017年一年,至少監測到5家廠商爆出的嚴重安全性漏洞,涉及的攝像頭數量從幾萬到幾十萬不等。最為嚴重的情況是,他們監測到一家安防企業的幾十個監控視頻集中管理平臺曾被駭客拿下,而每個管理平臺都涉及海量攝像頭的監控畫面。
上述安防企業安全總監則對記者稱,“這很常見”,他給出的解決方案是,使用加密資訊傳輸,即便駭客攻破平臺也無法讀取資料。
據國家互聯網應急中心觀測到的資料,政府、高校及行業單位正陸續建立一些與交通、環境、能源、校園管理相關的智慧監控平臺,這些智慧監控平臺漏洞占比達到1.9%。這一占比較低,不過一旦被駭客攻擊,遭到洩露的敏感監控視頻就可能包括國防安全資訊、金融交易資訊、商業辦公機密等。
攝像頭安全性漏洞的第三類來源則是源於生產端的粗放生產。據公安部第三研究所調研,攝像頭端網路安全防護能力最弱,存在大量由於嵌入式系統裁剪不當、各類通訊連接埠開放過多帶來的風險;而且設備安全態勢不可知,造成安全性漏洞修補不及時的問題。
404實驗室所監測到的攻擊行為中,有很大一部分便屬於對這類“生產型漏洞”的攻擊,只需要找到一處固件漏洞,便可進行大範圍攻擊,而無關監控攝像頭的品牌,因為他們所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智慧攝像頭型號後門帳號漏洞被發現。其部分攝像頭原固件中包含兩個經過硬編碼且永久開啟的帳號,可用來開啟遠端登入訪問並完全操控。該漏洞被CNVD評級為“高危”,影響Sony公司近80款攝像頭產品。
C端市場混戰
安全隱患現狀不僅是技術問題,也是市場低水準競爭的惡果。
過去十年,中國是監控攝像頭數量增長最快的國家。根據現有安裝規劃,中國攝像頭數量將在未來三年攀升至6.26億個。美國平均每千人配備約96個監控攝像頭,英國為75個,而中國攝像頭密度較高的城市,目前每千人配備的攝像頭數量不到40個。
但事實上,中國監控攝像頭領域存在著兩個格局迥異的市場,一個以B端客戶為主,另一個市場以家庭、小商戶等C端客戶為主。兩個市場成熟階段不同、參與主體不同,其對待安全問題的姿態也差異明顯。
B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。目前形成海康威視、大華股份、宇視科技三家龍頭企業主導的市場格局,三家佔據50%左右的市場份額,在全球視頻監控廠商排名中也位列第一、第二和第七。
隨著市場集中度的提高,近兩年,B端市場上的安防龍頭廠商紛紛組建安全團隊,在安全措施上投入大量成本。原因在於,一是B端市場客戶本身就對於產品安全性的訴求強烈;二是B端市場進入相對成熟的階段,安防龍頭企業做大後,一旦出現安全問題容易演化成黑天鵝事件;三是近年來中國安防龍頭企業紛紛開始海外業務擴張,海外市場對於安全問題的重視倒逼企業提高安全標準。
C端市場則是另一幅景象。C端市場隨著智慧家居等新概念於2015年前後興起,產品主要用於家庭看護,以高性價比、科技感為特點。這一市場正處於發展初期,數千家企業參與其中混戰,近年來在低價攝像頭市場上的競爭激烈,導致部分品牌在安全成本方面的投入存在壓力,加劇安全隱患。
一名行業人士介紹,C端市場需求巨大,其公司旗下的一款智慧攝像頭曾出現上線3秒售罄的情形。各方仍在爭奪新增市場份額,市場規模每年以50%以上速度增長,市場競爭維度主要是功能、性價比和產品顏值。
需求巨大、缺乏行業准入門檻的C端攝像頭市場吸引大量廠商參與其中,按其背景可分為三類勢力:傳統安防廠商的C端產品、互聯網企業的智慧硬體設備,以及數量眾多的貼牌山寨廠商。
前瞻產業研究院在一份行業報告中認為,視頻安防低端的設備技術含量較低,進入門檻也較低,從事這類硬體生產的企業因為規模小、技術含量低,在技術升級和價格戰壓力下生存不易。
“B端客戶的安全敏感性非常高,在招標選擇廠商時會對安全標準有著很高的要求。但C端客戶是價格敏感性客戶,更在乎產品的性價比。”上述傳統安防廠商安全總監告訴記者。
但一家生產智慧攝像頭的互聯網企業則表示,其實他們在攝像頭的安全保障方面比傳統廠商更有優勢。
傳統安防廠商的安全能力長板在於生產端的供應鏈管理,互聯網企業的安全能力長板在於網路安全維護能力,問題在於智慧攝像頭的安全問題要補短板,而非拼長板,因為漏洞既發生於軟體,也可能潛藏在硬體中。
監控攝像頭市場存在兩種生產模式,一是海康威視、大華股份等巨頭廠商通過自有供應鏈體系生產,二是大多數互聯網企業和中小廠商選擇通過代工廠生產。兩種生產模式有不同的安全短板,自有供應鏈體系往往在生產環節安全係數較高,網路安全防護能力較弱;而互聯網企業的優勢在於網路安全防護能力較強,通過代工廠生產卻缺乏對於生產環節安全問題的把控。
至於山寨貼牌廠商,則在生產端和網路端均存在安全短板。
360 ADLAB(攻防實驗室)曾發佈《國內智慧家庭攝像頭安全狀況評估報告》,認為許多智慧攝像頭存在用戶隱私洩露、未加密資料傳輸等九大風險。國內市場價格競爭激烈,安全成本的增加會直接削弱其價格競爭優勢,一些山寨廠商對安全性甚至完全不加考慮,這些都是國內智慧設備在安全方面出現如此亂象的主要原因。
安全攻防戰
“我們一款攝像頭產品,代碼多達上百萬行,沒有任何漏洞,怎麼可能?”一名杭州的安防從業者認為,安全隱患和漏洞不可避免,企業也無奈。
“安全性漏洞會永遠不斷出現,與黑產的較量是永久性博弈。”在上述網路安全從業人士看來,攝像頭安全現狀的破局,取決於廠商、用戶、監管部門等各方的重視和投入程度,以及各方能否形成一套協同應急機制。
楊衛告訴記者,技威時代發現旗下應用被黑產利用後,立刻對所有埠和資料進行排查,並對應用更新反覆運算,告別已被破解的傳統“ID+密碼”管理設備的模式。此外,已成立安全專案小組,負責網路、帳號、資料等方面的安全防護。
在B端市場上能夠得到的另一個啟發是,2015年2月27日,江蘇省公安廳曾發出特急通知,稱江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已經被境外IP位址控制。海康威視事後澄清,是由於用戶使用弱口令所致。此事曾引發安防行業震動,幾家龍頭廠商在事發後都加強對安全問題的重視和投入,包括組建網路安全團隊、強制取消弱口令使用、建立安全事故緊急應對體系等措施。
對於用戶安全意識的提高,高勝建議,用戶應定期修改攝像頭關聯的應用帳號密碼,儘量不要將攝像頭直接聯網或置於私密區域。不使用時,要遮擋鏡頭或關閉電源,非必要時禁用錄音功能。
這一行業目前還缺乏市場准入和安全標準。
就市場准入而言,按照公安部和質檢總局發佈的《安全技術防範產品管理辦法》,對安防產品有三種市場管理方式,即工業許可證制度、強制安全認證制度以及生產登記制度。其中,監控攝像頭管理適用生產登記制度,廠家進行銷售和安裝業務需向當地公安機關申請辦理。企業需持營業執照,法定檢驗機構出具的檢驗報告和鑒定證明等,獲得相應登記證書。違反這一制定於2000年的規範,將受到不超過3萬元的罰款。
但這一標準多針對傳統安防產品,消費類智慧攝像機的檢測和認證標準尚未出臺,即便企業想要辦理,亦苦於沒有適用的相關標準和機構。一位從事智慧攝像頭供應的安防廠家經理告訴記者,他曾向檢測中心諮詢,得到“沒有這方面業務”的回復。
據瞭解,行業標準已在路上。鮑逸明表示,公安部第三研究所制定的《智慧聯網產品資訊安全技術規範》和《網路攝像機產品資訊安全技術規範》已於2017年10月份完成向國家認證認可監督管理委員會的備案工作,開始受理相關認證工作,正在進行海康、大華等廠商的智慧攝像頭網路安全認證。
此外,《網路攝像機安全技術要求》、《物聯網感知層接入資訊網路的安全要求》、《聯網智慧終端機口令安全技術規範》等多個標準亦正在制定過程中,為機構 開展檢測、認證工作提供判定依據,旨在引導企業達到最基本安全要求。
打擊黑產和建立行業標準提高基本安防水平都需時間,面對已經形成亂象的存量市場,還需提高產品安防能力,以及建立安全回應機制。剛生效半年的《網路安全法》要求,網路產品、服務應符合相關國家標準的強制性要求,採取資料加密、分類等措施,並在存在安全缺陷和漏洞等風險時,立即採取補救措施和安全相應機制。
隋剛舉例,對許多未提供遠端更新功能的智慧攝像頭來說,發現安全性漏洞的唯一解決方案是關閉處理。但許多中小廠家既無能力更新產品,也無動力召回產品或提示使用者關閉,只能“放任漏洞存在”。因此他建議,廠商應為智慧攝像頭提供遠端更新功能,以便發現安全隱患及時消除。
隨著物聯網設備的普及,智慧攝像頭所面臨的黑產和駭客攻擊風險不斷增強,安全攻防戰也將長久持續。
可以預見,對中小廠家來說,達到市場准入門檻、完成安全認證並建立安全回應機制,將意味著沉重的負擔。上述杭州安防從業者告訴記者,不久前他們購置一套安全標準檢測工具,耗資上百萬美元,對於許多小廠商和創業公司而言,安全投入成本難以承受。
不過,隨著企業加大投入,形勢可能得到好轉。有兩支駭客團隊向記者表示,近兩年來安全問題呈好轉的趨勢,這受益于中國安防龍頭企業的市場擴大和海外業務增加,倒逼企業提高安全水準。隋剛也表示,有幾家大廠商已經在組建自己的安全團隊。
但隨著5G和IPv6的推行,雲端控制的需求會跟隱私意識衝突,監控攝像頭安全前景仍會充滿不確定性。
她手機登錄監控APP後發現,除自己之外,還有另一個陌生帳戶線上。隨後,女主人前往派出所報案。不過,更多被偷窺者並不敏感。1月19日下午,一個被賣家稱為“客廳單女”的小台裡,偷窺者操縱攝像頭轉動想看清客廳中女子的臉,女子似乎有所察覺,轉頭和攝像頭對視一會後,回頭繼續玩起手機遊戲,並未關閉攝像頭。
通過手機窺看他人生活的,通常是為滿足好奇心和窺私欲,一些人還會邊看邊在同好群裡交流心得。許多偷窺者經常發佈自己錄製的視頻,與其他人交流。一張發在QQ群裡的截圖顯示,一個身著短褲坐在客廳沙發上玩手機的女子,正通過攝像頭被11個人線上觀看。“這也有這麼多人看?”賣家表示不解。
需要特別指出的是,與傳統需與電腦連接或硬碟存儲錄影的攝像頭不同,當下市場流行的智慧攝像頭,是直接使用Wi-Fi聯網,配有移動應用遠端查看。用戶安裝好智慧監控後,只需下載專用的用戶端,即可實現遠端操控監控。
除即時監控及遠端操控角度外,許多與智慧攝像頭搭配使用的監控軟體還有錄影、錄音等功能。
但這升級後的功能恰恰給駭客留下操作空間。
像其他網路賣家一樣,林曉同時販賣攝像頭暴力破解軟體,這些名為“刺客”、“千里眼”、“守望者”等軟體,下載後經過簡單操作,可以掃描到數十個帳號密碼,輸入相應播放軟體,即時監控畫面隨即彈出。
賣家散佈在互聯網中,隱藏在各網名背後的真實身份各不相同,但入行的門檻普遍不高。
2017年4月,浙江省麗水市景寧縣網警偵查一起涉及8000余萬條個人資訊來源的案件,一個攝像頭資源賣家引起警方注意。經過三個月偵查,一名擅長變換上網地址的駭客落網。
王冀(化名),32歲,初中文化,河北邢臺人。他通過流覽駭客網站的軟體,自學破解攝像頭方法,並將破解後的帳號賣出。王冀落網後,警方發現,1萬餘個包含攝像頭品牌、型號、IP位址、帳戶名和密碼的資訊,被他以word形式存儲在電腦裡。此外,王冀的電腦中至少有11款破解和入侵攝像頭駭客軟體,有手機、電腦等不同版本,出售價格從88元到300元的套餐不等。
景寧縣公安局網警大隊副隊長陳勇濤告訴記者,文檔裡包含絕大多數國內知名攝像頭廠家的品牌,IP地址多位於廣東、浙江等地。
但是,監控黑產鏈遠比暴露在視野中的長,分銷商和工具黨之上、位於金字塔頂端的是一些掌握頂尖技術的駭客,他們能迅速發現、攻破安全性漏洞,編寫滿足不同需求的破解軟體。
“不要問我怎麼破解監控攝像頭,因為實在太簡單。”一名駭客說。
一些駭客利用程式工具攻擊,一秒鐘便可攻破大量攝像頭。網路安全公司知道創宇404安全實驗室(下稱“404實驗室”)曾向記者類比測試一次攻破攝像頭的過程,利用網路安全性漏洞,通過簡單的攻擊指令便可迅速獲取攝像頭的帳戶密碼,進而控制攝像頭、獲得即時影像。
早在2013年底的黑帽安全技術大會上,有人披露一些國外知名廠商生產的監控攝像頭的安全性漏洞,聲稱可以像好萊塢電影一樣操控網路監控攝像機,並進行演示。
另外一支駭客團隊告訴記者,他們曾在2017年3月、7月和11月分別發現國內幾家知名廠商所生產的攝像頭存在嚴重安全性漏洞洩露,但資訊在披露前被“公關”掉了。
冰山一角
在家中安裝智慧攝像頭的目的,大多是為了安防。家住北京市朝陽區的劉米在臥室安裝了一款可360度旋轉的高清智能攝像頭,離家上班時,她會打開監控畫面,觀察自己寵物狗的生活狀況。但安防產品隨著系列駭客活動,卻成為安全性漏洞。
通過簡單破解,家庭生活被直播、錄製,甚至可能流入色情產業。404實驗室總監隋剛告訴記者,監控黑產既通過銷售獲利,也會向博彩、色情等地下產業導流盈利。
如果只在黑產中私下流傳,傷害尚小,但一旦發生隱私洩露並被公開,將對受害者造成不可預估的傷害。2016年9月3日,河北邯鄲市公安局通報稱,2015年7月,河北省館陶縣一對男女在轎車內親熱時被巡邏輔警王某某等發現,王某某擅自使用手機錄影,後該視頻外泄並傳播。一年後,當事女子在館陶縣巡特警大隊門口服農藥、經搶救無效身亡。
除導向偷窺、色情產業鏈外,另一類黑產訴求意在感染攝像頭後發起DDoS攻擊,這種攻擊是指駭客將多個設備聯合起來作為平臺,同時向某一物件發動攻擊使其服務停止。
在多位駭客和安全工程師看來,這類現象更為普遍而難以被察覺。2016年10月21日,美國東海岸網路遭遇三名駭客DDoS攻擊,超過半數美國人無法上網,包括Twitter、亞馬遜、Airbnb等知名網站宕機,其惡意程式碼感染物件就是智慧攝像頭、路由器等設備。
另一種擔憂在於個人資訊黑產與攝像頭入侵黑產兩個鏈條的結合。2017年6月,央視曾演示一種攝像頭控制方法,安全工程師精准攻破受測攝像頭後使得畫面靜止,而真實房間內的被拍攝物品已被拿走。家居智慧攝像頭畫面被劫持,使得證據無法固定,或受害者被矇騙、監控等,這在“技術上是完全可能的”,隋剛擔憂地說。
智慧攝像頭,是最受駭客青睞的物聯網類設備種類之一。極光大資料截至2017年10月的資料顯示,搭配智慧攝像頭使用的四款頭部應用,安裝總量超過1500萬。2017年6月18日,國家質檢總局在官網發佈智慧攝像頭品質安全風險警示,稱產品品質監督司採集38個品牌共40批次的樣品進行抽檢,結果顯示,存在安全性漏洞的多達32批次,占比高達80%。受測品牌涵蓋360、小米、中興、三星、海康威視等排在市場關注度前五位元的產品。
作為公安部領導下的國家級網路安全和安全防範協力廠商機構,公安部第三研究所亦曾對主流視頻監控類產品進行安全檢測。其檢測中心常務副主任鮑逸明告訴記者,結果與質檢總局檢測結果基本吻合。
國家通用電子元器件及產品質檢中心工程師李樂言此前曾向央視表示,目前正在投入使用的攝像頭存在相當大的資訊安全隱患,未來將被生產出來的攝像頭風險將長期存在。
北京、浙江兩起浮出水面的攝像頭入侵黑產案件中,賣家和駭客均因涉嫌違反《刑法》第285條被批捕,該條共計三項罪名“非法侵入電腦資訊系統罪”“非法獲取電腦資訊系統資料、非法控制電腦資訊系統資料”“提供侵入、非法控制電腦資訊系統的程式、工具罪”,最高刑期七年。
此外,《刑法》第283條規定,非法生產、銷售專用間諜器材或竊聽、竊照專用器材的,據情節嚴重程度處七年以下有期徒刑。
對於公民隱私被侵犯的民事法律救濟管道,依據《侵權責任法》,受害者可提起隱私權侵權民事訴訟,要求入侵駭客和買家停止侵害、刪除被錄製的視頻圖片等,並要求相應賠償。如果攝像頭軟體運營者和網路服務提供商未及時採取補救措施,亦可能承擔連帶責任或損失擴大的賠償責任。如果產品本身有嚴重缺陷導致此類問題,還可按照《侵權責任法》《產品品質法》《消費者權益保護法》直接追究生產者責任。
不過,一些企業不願承認風險的存在。一家致力於C端攝像頭市場的公司告訴記者,他們不認為市場上的攝像頭安全問題有多嚴重,輿論熱議是因為與其他智慧硬體相比,攝像頭出現安全風險更吸引眼球。他們通過客服回饋管道顯示,並未發現其攝像頭產品出現嚴重安全事故。
事實可能是,受害者未必知道自己的隱私正被直播和販賣。記者檢索,尚未發現因隱私被監控洩露而提起侵權訴訟的案例。
被侵權人往往並不知情,即便發現隱私被侵犯後報案動力亦不足,因而監控黑產暴露在執法者視野中的只是冰山一角。
王冀歸案時雖被查獲破解攝像頭ID 1萬餘個,然而警方尚無法通過畫面和位址確定受害人,這成為該案偵辦最大難點之一。而對於DDoS攻擊或破解入侵平臺等犯罪來說,由於成本高昂、耗時長,警方更難追溯到上游駭客。
一家旗下平臺有大量智慧攝像頭帳號流入黑產的廠家市場人士告訴記者,已發佈通知願意配合受害者維權,但截至目前未接到任何用戶維權求助。
當下,仍有大量攝像頭帳號和密碼在網路上販賣。受“水滴直播”事件影響後,林曉等賣家對記者稱並不擔心警方關注,“只抓酒店偷裝攝像頭的和做軟體的,肯定不抓我們這些賣的。”
不過,進入2017年12月後,隨著網路安全公司360因對公共場合提供攝像頭直播功能引發隱私失控焦慮,攝像頭黑產問題也進入執法者視野。多個QQ群都聞風而動,含有“攝像頭”、“影視”等相關字眼的群或解散、或改名。“最近風聲緊,攝像頭被盯上了,過段時間再說。”林曉說。
多位受訪者認為,利益驅動之下網路黑產將長期存在,而刑法打擊則具有滯後性,偵破難度大、用戶維權難的現狀將長期困擾執法者。
這一現狀之下,被稱為安防業紅海的市場如何破局安全短板,是廠商、使用者、監管部門需要共同面臨的難點。
攻防持久戰
一位世界排名前五的智慧攝像頭生產廠商安全總監坦言,儘管其所在企業在安防方面投入巨大,但隨著全球針對物聯網設備的攻擊趨勢愈發嚴峻,他們在智慧攝像頭市場受到的駭客攻擊和安防壓力並不小。
2016年國家資訊安全性漏洞共用平臺(CNVD)公開收錄的1117個物聯網設備漏洞影響設備的類型中,網路攝像頭、路由器、手機設備漏洞數量,分別占公開收錄漏洞總數的10.1%、9.4%、4.7%,網路攝像頭漏洞數排名第一。
漏洞從何而來
當前,監控攝像頭安全隱患主要有三類:生產端的粗放生產、雲端和集中管理平臺的網路安全防護脆弱、應用端弱口令問題。
公安部第三研究所檢測中心常務副主任鮑逸明告訴記者,目前被駭客攻擊最多、最易導致黑產氾濫的原因,是弱口令問題。弱口令,指攝像頭出廠設置時各埠所用帳號密碼為預設設置或無密碼。
駭客使用密碼字典批量破解掃描帳號口令十分簡單,國家互聯網應急中心高級工程師高勝表示,這是一種極為低級的入侵方式。
極光大資料顯示,搭配智慧攝像頭使用的頭部應用中,螢石雲視頻(海康威視旗下)、雲視通、有看頭(Yoosee)和360智慧攝像機安裝量分別為858萬、263萬、229萬和211萬。
記者在多個黑產群中發現,有不少販賣“雲視通”和“有看頭”兩款應用上的攝像頭賣家,甚至有專門針對這兩款應用的黑產群。賣家發來的帳戶密碼多為“123”等簡單密碼。“有看頭”運營商深圳技威時代科技有限公司(下稱“技威時代”)市場經理楊衛回應記者稱,2017年6月以來確已發現這一現象並進行自查,流入黑產原因是使用者未更改設備預設密碼“123”,被破解利用。
楊衛表示,技威時代主營業務為APP平臺開發和技術支援服務,並不從事攝像機成品生產和銷售,因此遭黑產利用的不是其旗下產品,已對技威體系內的所有廠家客戶下發整改通知,督促各自代理商、管道商更改密碼,並在後續產品上採取強式密碼。但就存量市場而言,弱密碼現象依然存在,尚無法根除。
在高勝看來,諸多安全隱患中弱口令問題最易解決,只需廠家編寫強式密碼設置要求,使用者及時更改密碼便可避免。但為何當下許多智慧攝像頭產品仍存在這一問題?
一位安防企業安全總監給出的解釋是:“很多廠商眼裡,C端攝像頭的競爭還處在市場初期規模擴張階段,使用者體驗的競爭還處在使用便捷、價格便宜的維度上,尚未把安全當作重要競爭緯度,用戶本身也並不重視。一些廠商便放縱了弱口令等安全隱患的存在。”
許多智慧攝像頭廠商為方便用戶或廠商自行管理,有統一網路監控管理平臺,這意味著,若管理平臺防護能力低,被駭客攻破便可查看所有使用這個管理平臺的攝像機畫面。
404實驗室在過去幾年發現過大量監控攝像頭的安全性漏洞,幾乎涉及所有攝像頭領域的知名廠商。在2017年一年,至少監測到5家廠商爆出的嚴重安全性漏洞,涉及的攝像頭數量從幾萬到幾十萬不等。最為嚴重的情況是,他們監測到一家安防企業的幾十個監控視頻集中管理平臺曾被駭客拿下,而每個管理平臺都涉及海量攝像頭的監控畫面。
上述安防企業安全總監則對記者稱,“這很常見”,他給出的解決方案是,使用加密資訊傳輸,即便駭客攻破平臺也無法讀取資料。
據國家互聯網應急中心觀測到的資料,政府、高校及行業單位正陸續建立一些與交通、環境、能源、校園管理相關的智慧監控平臺,這些智慧監控平臺漏洞占比達到1.9%。這一占比較低,不過一旦被駭客攻擊,遭到洩露的敏感監控視頻就可能包括國防安全資訊、金融交易資訊、商業辦公機密等。
攝像頭安全性漏洞的第三類來源則是源於生產端的粗放生產。據公安部第三研究所調研,攝像頭端網路安全防護能力最弱,存在大量由於嵌入式系統裁剪不當、各類通訊連接埠開放過多帶來的風險;而且設備安全態勢不可知,造成安全性漏洞修補不及時的問題。
404實驗室所監測到的攻擊行為中,有很大一部分便屬於對這類“生產型漏洞”的攻擊,只需要找到一處固件漏洞,便可進行大範圍攻擊,而無關監控攝像頭的品牌,因為他們所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智慧攝像頭型號後門帳號漏洞被發現。其部分攝像頭原固件中包含兩個經過硬編碼且永久開啟的帳號,可用來開啟遠端登入訪問並完全操控。該漏洞被CNVD評級為“高危”,影響Sony公司近80款攝像頭產品。
C端市場混戰
安全隱患現狀不僅是技術問題,也是市場低水準競爭的惡果。
過去十年,中國是監控攝像頭數量增長最快的國家。根據現有安裝規劃,中國攝像頭數量將在未來三年攀升至6.26億個。美國平均每千人配備約96個監控攝像頭,英國為75個,而中國攝像頭密度較高的城市,目前每千人配備的攝像頭數量不到40個。
但事實上,中國監控攝像頭領域存在著兩個格局迥異的市場,一個以B端客戶為主,另一個市場以家庭、小商戶等C端客戶為主。兩個市場成熟階段不同、參與主體不同,其對待安全問題的姿態也差異明顯。
B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。目前形成海康威視、大華股份、宇視科技三家龍頭企業主導的市場格局,三家佔據50%左右的市場份額,在全球視頻監控廠商排名中也位列第一、第二和第七。
隨著市場集中度的提高,近兩年,B端市場上的安防龍頭廠商紛紛組建安全團隊,在安全措施上投入大量成本。原因在於,一是B端市場客戶本身就對於產品安全性的訴求強烈;二是B端市場進入相對成熟的階段,安防龍頭企業做大後,一旦出現安全問題容易演化成黑天鵝事件;三是近年來中國安防龍頭企業紛紛開始海外業務擴張,海外市場對於安全問題的重視倒逼企業提高安全標準。
C端市場則是另一幅景象。C端市場隨著智慧家居等新概念於2015年前後興起,產品主要用於家庭看護,以高性價比、科技感為特點。這一市場正處於發展初期,數千家企業參與其中混戰,近年來在低價攝像頭市場上的競爭激烈,導致部分品牌在安全成本方面的投入存在壓力,加劇安全隱患。
一名行業人士介紹,C端市場需求巨大,其公司旗下的一款智慧攝像頭曾出現上線3秒售罄的情形。各方仍在爭奪新增市場份額,市場規模每年以50%以上速度增長,市場競爭維度主要是功能、性價比和產品顏值。
需求巨大、缺乏行業准入門檻的C端攝像頭市場吸引大量廠商參與其中,按其背景可分為三類勢力:傳統安防廠商的C端產品、互聯網企業的智慧硬體設備,以及數量眾多的貼牌山寨廠商。
前瞻產業研究院在一份行業報告中認為,視頻安防低端的設備技術含量較低,進入門檻也較低,從事這類硬體生產的企業因為規模小、技術含量低,在技術升級和價格戰壓力下生存不易。
“B端客戶的安全敏感性非常高,在招標選擇廠商時會對安全標準有著很高的要求。但C端客戶是價格敏感性客戶,更在乎產品的性價比。”上述傳統安防廠商安全總監告訴記者。
但一家生產智慧攝像頭的互聯網企業則表示,其實他們在攝像頭的安全保障方面比傳統廠商更有優勢。
傳統安防廠商的安全能力長板在於生產端的供應鏈管理,互聯網企業的安全能力長板在於網路安全維護能力,問題在於智慧攝像頭的安全問題要補短板,而非拼長板,因為漏洞既發生於軟體,也可能潛藏在硬體中。
監控攝像頭市場存在兩種生產模式,一是海康威視、大華股份等巨頭廠商通過自有供應鏈體系生產,二是大多數互聯網企業和中小廠商選擇通過代工廠生產。兩種生產模式有不同的安全短板,自有供應鏈體系往往在生產環節安全係數較高,網路安全防護能力較弱;而互聯網企業的優勢在於網路安全防護能力較強,通過代工廠生產卻缺乏對於生產環節安全問題的把控。
至於山寨貼牌廠商,則在生產端和網路端均存在安全短板。
360 ADLAB(攻防實驗室)曾發佈《國內智慧家庭攝像頭安全狀況評估報告》,認為許多智慧攝像頭存在用戶隱私洩露、未加密資料傳輸等九大風險。國內市場價格競爭激烈,安全成本的增加會直接削弱其價格競爭優勢,一些山寨廠商對安全性甚至完全不加考慮,這些都是國內智慧設備在安全方面出現如此亂象的主要原因。
安全攻防戰
“我們一款攝像頭產品,代碼多達上百萬行,沒有任何漏洞,怎麼可能?”一名杭州的安防從業者認為,安全隱患和漏洞不可避免,企業也無奈。
“安全性漏洞會永遠不斷出現,與黑產的較量是永久性博弈。”在上述網路安全從業人士看來,攝像頭安全現狀的破局,取決於廠商、用戶、監管部門等各方的重視和投入程度,以及各方能否形成一套協同應急機制。
楊衛告訴記者,技威時代發現旗下應用被黑產利用後,立刻對所有埠和資料進行排查,並對應用更新反覆運算,告別已被破解的傳統“ID+密碼”管理設備的模式。此外,已成立安全專案小組,負責網路、帳號、資料等方面的安全防護。
在B端市場上能夠得到的另一個啟發是,2015年2月27日,江蘇省公安廳曾發出特急通知,稱江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已經被境外IP位址控制。海康威視事後澄清,是由於用戶使用弱口令所致。此事曾引發安防行業震動,幾家龍頭廠商在事發後都加強對安全問題的重視和投入,包括組建網路安全團隊、強制取消弱口令使用、建立安全事故緊急應對體系等措施。
對於用戶安全意識的提高,高勝建議,用戶應定期修改攝像頭關聯的應用帳號密碼,儘量不要將攝像頭直接聯網或置於私密區域。不使用時,要遮擋鏡頭或關閉電源,非必要時禁用錄音功能。
這一行業目前還缺乏市場准入和安全標準。
就市場准入而言,按照公安部和質檢總局發佈的《安全技術防範產品管理辦法》,對安防產品有三種市場管理方式,即工業許可證制度、強制安全認證制度以及生產登記制度。其中,監控攝像頭管理適用生產登記制度,廠家進行銷售和安裝業務需向當地公安機關申請辦理。企業需持營業執照,法定檢驗機構出具的檢驗報告和鑒定證明等,獲得相應登記證書。違反這一制定於2000年的規範,將受到不超過3萬元的罰款。
但這一標準多針對傳統安防產品,消費類智慧攝像機的檢測和認證標準尚未出臺,即便企業想要辦理,亦苦於沒有適用的相關標準和機構。一位從事智慧攝像頭供應的安防廠家經理告訴記者,他曾向檢測中心諮詢,得到“沒有這方面業務”的回復。
據瞭解,行業標準已在路上。鮑逸明表示,公安部第三研究所制定的《智慧聯網產品資訊安全技術規範》和《網路攝像機產品資訊安全技術規範》已於2017年10月份完成向國家認證認可監督管理委員會的備案工作,開始受理相關認證工作,正在進行海康、大華等廠商的智慧攝像頭網路安全認證。
此外,《網路攝像機安全技術要求》、《物聯網感知層接入資訊網路的安全要求》、《聯網智慧終端機口令安全技術規範》等多個標準亦正在制定過程中,為機構 開展檢測、認證工作提供判定依據,旨在引導企業達到最基本安全要求。
打擊黑產和建立行業標準提高基本安防水平都需時間,面對已經形成亂象的存量市場,還需提高產品安防能力,以及建立安全回應機制。剛生效半年的《網路安全法》要求,網路產品、服務應符合相關國家標準的強制性要求,採取資料加密、分類等措施,並在存在安全缺陷和漏洞等風險時,立即採取補救措施和安全相應機制。
隋剛舉例,對許多未提供遠端更新功能的智慧攝像頭來說,發現安全性漏洞的唯一解決方案是關閉處理。但許多中小廠家既無能力更新產品,也無動力召回產品或提示使用者關閉,只能“放任漏洞存在”。因此他建議,廠商應為智慧攝像頭提供遠端更新功能,以便發現安全隱患及時消除。
隨著物聯網設備的普及,智慧攝像頭所面臨的黑產和駭客攻擊風險不斷增強,安全攻防戰也將長久持續。
可以預見,對中小廠家來說,達到市場准入門檻、完成安全認證並建立安全回應機制,將意味著沉重的負擔。上述杭州安防從業者告訴記者,不久前他們購置一套安全標準檢測工具,耗資上百萬美元,對於許多小廠商和創業公司而言,安全投入成本難以承受。
不過,隨著企業加大投入,形勢可能得到好轉。有兩支駭客團隊向記者表示,近兩年來安全問題呈好轉的趨勢,這受益于中國安防龍頭企業的市場擴大和海外業務增加,倒逼企業提高安全水準。隋剛也表示,有幾家大廠商已經在組建自己的安全團隊。
但隨著5G和IPv6的推行,雲端控制的需求會跟隱私意識衝突,監控攝像頭安全前景仍會充滿不確定性。