現實版的《楚門的世界》在上演, 如果恰巧安裝帶有安全隱患的智慧攝像頭, 你的家庭生活有可能也在網路中被掛牌叫賣。
《財經》記者 張瑤 李瀟雄/文 李恩樹/編輯
上篇:誰是窺視者
2018年1月1日晚21時41分, 一對年輕夫婦身著內衣靠在床上玩手機。 藍色的印花床單上散落著幾個兒童玩具, 一個穿著淺藍色衣服的嬰兒背靠父母在床腳睡著。
這時, 安裝在天花板上的智慧攝像頭突然開始轉動, 年輕夫婦並未察覺這一異動。 他們更不知道的是, 攝像頭的另一端, 有五個陌生人正在通過手機觀看他們的生活。 這對年輕夫婦的姓名、地址不詳, 但他們的私生活正被攝像頭同步直播。
事實上, 有大量這種當事人並不知情的監控直播在互聯網上傳播, 背後則是一條集駭客破解、買賣、偷窺於一體的網路黑產鏈。
行業調查公司IHS Markit2017年最新資料顯示, 中國在公共和私人領域(包括機場、火車站和街道)共裝有1.76億個監控攝像頭。
發來一個帳號密碼, 是一個智慧監控平臺軟體的帳戶資訊。
當晚22時10分, 用手機打開該APP, 按照指示輸入買來的帳號密碼, 一間臥室的即時監控畫面隨即彈出。
從畫面推斷, 攝像頭應安裝於房間角落處天花板上, 對著床。 房間已關燈, 但利用攝像頭的夜視功能, 可見床上一對情侶睡臥, 床被花色清晰。
但是, 監控黑產鏈遠比暴露在視野中的長, 分銷商和工具黨之上、位於金字塔頂端的是一些掌握頂尖技術的駭客, 他們能迅速發現、攻破安全性漏洞, 編寫滿足不同需求的破解軟體。
“不要問我怎麼破解監控攝像頭, 因為實在太簡單。 ”一名駭客說。
一些駭客利用程式工具攻擊, 一秒鐘便可攻破大量攝像頭。 網路安全公司知道創宇404安全實驗室公開收錄的1117個物聯網設備漏洞影響設備的類型中, 網路攝像頭、路由器、手機設備漏洞數量, 分別占公開收錄漏洞總數的10.1%、9.4%、4.7%,
漏洞從何而來
當前, 監控攝像頭安全隱患主要有三類:生產端的粗放生產、雲端和集中管理平臺的網路安全防護脆弱、應用端弱口令問題。
公安部第三研究所檢測中心常務副主任鮑逸明告訴《財經》記者, 目前被駭客攻擊最多、最易導致黑產氾濫的原因, 是弱口令問題。 弱口令, 指攝像頭出廠設置時各埠所用帳號密碼為預設設置或無密碼。
駭客使用密碼字典批量破解掃描帳號口令十分簡單, 國家互聯網應急中心高級工程師高勝表示, 這是一種極為低級的入侵方式。
極光大資料顯示, 搭配智慧攝像頭使用的頭部應用中, 螢石雲視頻市場經理楊衛回應《財經》記者稱, 2017年6月以來確已發現這一現象並進行自查,
楊衛表示, 技威時代主營業務為APP平臺開發和技術支援服務, 並不從事攝像機成品生產和銷售, 因此遭黑產利用的不是其旗下產品, 已對技威體系內的所有廠家客戶下發整改通知, 督促各自代理商、管道商更改密碼, 並在後續產品上採取強式密碼。 但就存量市場而言, 弱密碼現象依然存在, 尚無法根除。
在高勝看來, 諸多安全隱患中弱口令問題最易解決, 只需廠家編寫強式密碼設置要求, 使用者及時更改密碼便可避免。 但為何當下許多智慧攝像頭產品仍存在這一問題?
一位安防企業安全總監給出的解釋是:“很多廠商眼裡, C端攝像頭的競爭還處在市場初期規模擴張階段,使用者體驗的競爭還處在使用便捷、價格便宜的維度上,尚未把安全當作重要競爭緯度,用戶本身也並不重視。一些廠商便放縱了弱口令等安全隱患的存在。”
許多智慧攝像頭廠商為方便用戶或廠商自行管理,有統一網路監控管理平臺,這意味著,若管理平臺防護能力低,被駭客攻破便可查看所有使用這個管理平臺的攝像機畫面。
404實驗室在過去幾年發現過大量監控攝像頭的安全性漏洞,幾乎涉及所有攝像頭領域的知名廠商。在2017年一年,至少監測到5家廠商爆出的嚴重安全性漏洞,涉及的攝像頭數量從幾萬到幾十萬不等。最為嚴重的情況是,他們監測到一家安防企業的幾十個監控視頻集中管理平臺曾被駭客拿下,而每個管理平臺都涉及海量攝像頭的監控畫面。
上述安防企業安全總監則對《財經》記者稱,“這很常見”,他給出的解決方案是,使用加密資訊傳輸,即便駭客攻破平臺也無法讀取資料。
據國家互聯網應急中心觀測到的資料,政府、高校及行業單位正陸續建立一些與交通、環境、能源、校園管理相關的智慧監控平臺,這些智慧監控平臺漏洞占比達到1.9%。這一占比較低,不過一旦被駭客攻擊,遭到洩露的敏感監控視頻就可能包括國防安全資訊、金融交易資訊、商業辦公機密等。
攝像頭安全性漏洞的第三類來源則是源於生產端的粗放生產。據公安部第三研究所調研,攝像頭端網路安全防護能力最弱,存在大量由於嵌入式系統裁剪不當、各類通訊連接埠開放過多帶來的風險;而且設備安全態勢不可知,造成安全性漏洞修補不及時的問題。
404實驗室所監測到的攻擊行為中,有很大一部分便屬於對這類“生產型漏洞”的攻擊,只需要找到一處固件漏洞,便可進行大範圍攻擊,而無關監控攝像頭的品牌,因為他們所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智慧攝像頭型號後門帳號漏洞被發現。其部分攝像頭原固件中包含兩個經過硬編碼且永久開啟的帳號,可用來開啟遠端登入訪問並完全操控。該漏洞被CNVD評級為“高危”,影響Sony公司近80款攝像頭產品。
C端市場混戰
安全隱患現狀不僅是技術問題,也是市場低水準競爭的惡果。
過去十年,中國是監控攝像頭數量增長最快的國家。根據現有安裝規劃,中國攝像頭數量將在未來三年攀升至6.26億個。美國平均每千人配備約96個監控攝像頭,英國為75個,而中國攝像頭密度較高的城市,目前每千人配備的攝像頭數量不到40個。
但事實上,中國監控攝像頭領域存在著兩個格局迥異的市場,一個以B端客戶為主,另一個市場以家庭、小商戶等C端客戶為主。兩個市場成熟階段不同、參與主體不同,其對待安全問題的姿態也差異明顯。
B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。目前形成海康威視、大華股份、宇視科技三家龍頭企業主導的市場格局,三家佔據50%左右的市場份額,在全球視頻監控廠商排名中也位列第一、第二和第七。
隨著市場集中度的提高,近兩年,B端市場上的安防龍頭廠商紛紛組建安全團隊,在安全措施上投入大量成本。原因在於,一是B端市場客戶本身就對於產品安全性的訴求強烈;二是B端市場進入相對成熟的階段,安防龍頭企業做大後,一旦出現安全問題容易演化成黑天鵝事件;三是近年來中國安防龍頭企業紛紛開始海外業務擴張,海外市場對於安全問題的重視倒逼企業提高安全標準。
曾發佈《國內智慧家庭攝像頭安全狀況評估報告》,認為許多智慧攝像頭存在用戶隱私洩露、未加密資料傳輸等九大風險。國內市場價格競爭激烈,安全成本的增加會直接削弱其價格競爭優勢,一些山寨廠商對安全性甚至完全不加考慮,這些都是國內智慧設備在安全方面出現如此亂象的主要原因。
安全攻防戰
“我們一款攝像頭產品,代碼多達上百萬行,沒有任何漏洞,怎麼可能?”一名杭州的安防從業者認為,安全隱患和漏洞不可避免,企業也無奈。
“安全性漏洞會永遠不斷出現,與黑產的較量是永久性博弈。”在上述網路安全從業人士看來,攝像頭安全現狀的破局,取決於廠商、用戶、監管部門等各方的重視和投入程度,以及各方能否形成一套協同應急機制。
楊衛告訴《財經》記者,技威時代發現旗下應用被黑產利用後,立刻對所有埠和資料進行排查,並對應用更新反覆運算,告別已被破解的傳統“ID+密碼”管理設備的模式。此外,已成立安全專案小組,負責網路、帳號、資料等方面的安全防護。
在B端市場上能夠得到的另一個啟發是,2015年2月27日,江蘇省公安廳曾發出特急通知,稱江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已經被境外IP位址控制。海康威視事後澄清,是由於用戶使用弱口令所致。此事曾引發安防行業震動,幾家龍頭廠商在事發後都加強對安全問題的重視和投入,包括組建網路安全團隊、強制取消弱口令使用、建立安全事故緊急應對體系等措施。
對於用戶安全意識的提高,高勝建議,用戶應定期修改攝像頭關聯的應用帳號密碼,儘量不要將攝像頭直接聯網或置於私密區域。不使用時,要遮擋鏡頭或關閉電源,非必要時禁用錄音功能。
這一行業目前還缺乏市場准入和安全標準。
就市場准入而言,按照公安部和質檢總局發佈的《安全技術防範產品管理辦法》,對安防產品有三種市場管理方式,即工業許可證制度、強制安全認證制度以及生產登記制度。其中,監控攝像頭管理適用生產登記制度,廠家進行銷售和安裝業務需向當地公安機關申請辦理。企業需持營業執照,法定檢驗機構出具的檢驗報告和鑒定證明等,獲得相應登記證書。違反這一制定於2000年的規範,將受到不超過3萬元的罰款。
但這一標準多針對傳統安防產品,消費類智慧攝像機的檢測和認證標準尚未出臺,即便企業想要辦理,亦苦於沒有適用的相關標準和機構。一位從事智慧攝像頭供應的安防廠家經理告訴《財經》記者,他曾向檢測中心諮詢,得到“沒有這方面業務”的回復。
據瞭解,行業標準已在路上。鮑逸明表示,公安部第三研究所制定的《智慧聯網產品資訊安全技術規範》和《網路攝像機產品資訊安全技術規範》已於2017年10月份完成向國家認證認可監督管理委員會的備案工作,開始受理相關認證工作,正在進行海康、大華等廠商的智慧攝像頭網路安全認證。
此外,《網路攝像機安全技術要求》、《物聯網感知層接入資訊網路的安全要求》、《聯網智慧終端機口令安全技術規範》等多個標準亦正在制定過程中,為機構開展檢測、認證工作提供判定依據,旨在引導企業達到最基本安全要求。
打擊黑產和建立行業標準提高基本安防水平都需時間,面對已經形成亂象的存量市場,還需提高產品安防能力,以及建立安全回應機制。剛生效半年的《網路安全法》要求,網路產品、服務應符合相關國家標準的強制性要求,採取資料加密、分類等措施,並在存在安全缺陷和漏洞等風險時,立即採取補救措施和安全相應機制。
隋剛舉例,對許多未提供遠端更新功能的智慧攝像頭來說,發現安全性漏洞的唯一解決方案是關閉處理。但許多中小廠家既無能力更新產品,也無動力召回產品或提示使用者關閉,只能“放任漏洞存在”。因此他建議,廠商應為智慧攝像頭提供遠端更新功能,以便發現安全隱患及時消除。
隨著物聯網設備的普及,智慧攝像頭所面臨的黑產和駭客攻擊風險不斷增強,安全攻防戰也將長久持續。
可以預見,對中小廠家來說,達到市場准入門檻、完成安全認證並建立安全回應機制,將意味著沉重的負擔。上述杭州安防從業者告訴《財經》記者,不久前他們購置一套安全標準檢測工具,耗資上百萬美元,對於許多小廠商和創業公司而言,安全投入成本難以承受。
不過,隨著企業加大投入,形勢可能得到好轉。有兩支駭客團隊向《財經》記者表示,近兩年來安全問題呈好轉的趨勢,這受益于中國安防龍頭企業的市場擴大和海外業務增加,倒逼企業提高安全水準。隋剛也表示,有幾家大廠商已經在組建自己的安全團隊。
但隨著5G和IPv6的推行,雲端控制的需求會跟隱私意識衝突,監控攝像頭安全前景仍會充滿不確定性。
(本文首刊於2018年1月22日出版的《財經》雜誌)
C端攝像頭的競爭還處在市場初期規模擴張階段,使用者體驗的競爭還處在使用便捷、價格便宜的維度上,尚未把安全當作重要競爭緯度,用戶本身也並不重視。一些廠商便放縱了弱口令等安全隱患的存在。”許多智慧攝像頭廠商為方便用戶或廠商自行管理,有統一網路監控管理平臺,這意味著,若管理平臺防護能力低,被駭客攻破便可查看所有使用這個管理平臺的攝像機畫面。
404實驗室在過去幾年發現過大量監控攝像頭的安全性漏洞,幾乎涉及所有攝像頭領域的知名廠商。在2017年一年,至少監測到5家廠商爆出的嚴重安全性漏洞,涉及的攝像頭數量從幾萬到幾十萬不等。最為嚴重的情況是,他們監測到一家安防企業的幾十個監控視頻集中管理平臺曾被駭客拿下,而每個管理平臺都涉及海量攝像頭的監控畫面。
上述安防企業安全總監則對《財經》記者稱,“這很常見”,他給出的解決方案是,使用加密資訊傳輸,即便駭客攻破平臺也無法讀取資料。
據國家互聯網應急中心觀測到的資料,政府、高校及行業單位正陸續建立一些與交通、環境、能源、校園管理相關的智慧監控平臺,這些智慧監控平臺漏洞占比達到1.9%。這一占比較低,不過一旦被駭客攻擊,遭到洩露的敏感監控視頻就可能包括國防安全資訊、金融交易資訊、商業辦公機密等。
攝像頭安全性漏洞的第三類來源則是源於生產端的粗放生產。據公安部第三研究所調研,攝像頭端網路安全防護能力最弱,存在大量由於嵌入式系統裁剪不當、各類通訊連接埠開放過多帶來的風險;而且設備安全態勢不可知,造成安全性漏洞修補不及時的問題。
404實驗室所監測到的攻擊行為中,有很大一部分便屬於對這類“生產型漏洞”的攻擊,只需要找到一處固件漏洞,便可進行大範圍攻擊,而無關監控攝像頭的品牌,因為他們所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智慧攝像頭型號後門帳號漏洞被發現。其部分攝像頭原固件中包含兩個經過硬編碼且永久開啟的帳號,可用來開啟遠端登入訪問並完全操控。該漏洞被CNVD評級為“高危”,影響Sony公司近80款攝像頭產品。
C端市場混戰
安全隱患現狀不僅是技術問題,也是市場低水準競爭的惡果。
過去十年,中國是監控攝像頭數量增長最快的國家。根據現有安裝規劃,中國攝像頭數量將在未來三年攀升至6.26億個。美國平均每千人配備約96個監控攝像頭,英國為75個,而中國攝像頭密度較高的城市,目前每千人配備的攝像頭數量不到40個。
但事實上,中國監控攝像頭領域存在著兩個格局迥異的市場,一個以B端客戶為主,另一個市場以家庭、小商戶等C端客戶為主。兩個市場成熟階段不同、參與主體不同,其對待安全問題的姿態也差異明顯。
B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。目前形成海康威視、大華股份、宇視科技三家龍頭企業主導的市場格局,三家佔據50%左右的市場份額,在全球視頻監控廠商排名中也位列第一、第二和第七。
隨著市場集中度的提高,近兩年,B端市場上的安防龍頭廠商紛紛組建安全團隊,在安全措施上投入大量成本。原因在於,一是B端市場客戶本身就對於產品安全性的訴求強烈;二是B端市場進入相對成熟的階段,安防龍頭企業做大後,一旦出現安全問題容易演化成黑天鵝事件;三是近年來中國安防龍頭企業紛紛開始海外業務擴張,海外市場對於安全問題的重視倒逼企業提高安全標準。
曾發佈《國內智慧家庭攝像頭安全狀況評估報告》,認為許多智慧攝像頭存在用戶隱私洩露、未加密資料傳輸等九大風險。國內市場價格競爭激烈,安全成本的增加會直接削弱其價格競爭優勢,一些山寨廠商對安全性甚至完全不加考慮,這些都是國內智慧設備在安全方面出現如此亂象的主要原因。
安全攻防戰
“我們一款攝像頭產品,代碼多達上百萬行,沒有任何漏洞,怎麼可能?”一名杭州的安防從業者認為,安全隱患和漏洞不可避免,企業也無奈。
“安全性漏洞會永遠不斷出現,與黑產的較量是永久性博弈。”在上述網路安全從業人士看來,攝像頭安全現狀的破局,取決於廠商、用戶、監管部門等各方的重視和投入程度,以及各方能否形成一套協同應急機制。
楊衛告訴《財經》記者,技威時代發現旗下應用被黑產利用後,立刻對所有埠和資料進行排查,並對應用更新反覆運算,告別已被破解的傳統“ID+密碼”管理設備的模式。此外,已成立安全專案小組,負責網路、帳號、資料等方面的安全防護。
在B端市場上能夠得到的另一個啟發是,2015年2月27日,江蘇省公安廳曾發出特急通知,稱江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已經被境外IP位址控制。海康威視事後澄清,是由於用戶使用弱口令所致。此事曾引發安防行業震動,幾家龍頭廠商在事發後都加強對安全問題的重視和投入,包括組建網路安全團隊、強制取消弱口令使用、建立安全事故緊急應對體系等措施。
對於用戶安全意識的提高,高勝建議,用戶應定期修改攝像頭關聯的應用帳號密碼,儘量不要將攝像頭直接聯網或置於私密區域。不使用時,要遮擋鏡頭或關閉電源,非必要時禁用錄音功能。
這一行業目前還缺乏市場准入和安全標準。
就市場准入而言,按照公安部和質檢總局發佈的《安全技術防範產品管理辦法》,對安防產品有三種市場管理方式,即工業許可證制度、強制安全認證制度以及生產登記制度。其中,監控攝像頭管理適用生產登記制度,廠家進行銷售和安裝業務需向當地公安機關申請辦理。企業需持營業執照,法定檢驗機構出具的檢驗報告和鑒定證明等,獲得相應登記證書。違反這一制定於2000年的規範,將受到不超過3萬元的罰款。
但這一標準多針對傳統安防產品,消費類智慧攝像機的檢測和認證標準尚未出臺,即便企業想要辦理,亦苦於沒有適用的相關標準和機構。一位從事智慧攝像頭供應的安防廠家經理告訴《財經》記者,他曾向檢測中心諮詢,得到“沒有這方面業務”的回復。
據瞭解,行業標準已在路上。鮑逸明表示,公安部第三研究所制定的《智慧聯網產品資訊安全技術規範》和《網路攝像機產品資訊安全技術規範》已於2017年10月份完成向國家認證認可監督管理委員會的備案工作,開始受理相關認證工作,正在進行海康、大華等廠商的智慧攝像頭網路安全認證。
此外,《網路攝像機安全技術要求》、《物聯網感知層接入資訊網路的安全要求》、《聯網智慧終端機口令安全技術規範》等多個標準亦正在制定過程中,為機構開展檢測、認證工作提供判定依據,旨在引導企業達到最基本安全要求。
打擊黑產和建立行業標準提高基本安防水平都需時間,面對已經形成亂象的存量市場,還需提高產品安防能力,以及建立安全回應機制。剛生效半年的《網路安全法》要求,網路產品、服務應符合相關國家標準的強制性要求,採取資料加密、分類等措施,並在存在安全缺陷和漏洞等風險時,立即採取補救措施和安全相應機制。
隋剛舉例,對許多未提供遠端更新功能的智慧攝像頭來說,發現安全性漏洞的唯一解決方案是關閉處理。但許多中小廠家既無能力更新產品,也無動力召回產品或提示使用者關閉,只能“放任漏洞存在”。因此他建議,廠商應為智慧攝像頭提供遠端更新功能,以便發現安全隱患及時消除。
隨著物聯網設備的普及,智慧攝像頭所面臨的黑產和駭客攻擊風險不斷增強,安全攻防戰也將長久持續。
可以預見,對中小廠家來說,達到市場准入門檻、完成安全認證並建立安全回應機制,將意味著沉重的負擔。上述杭州安防從業者告訴《財經》記者,不久前他們購置一套安全標準檢測工具,耗資上百萬美元,對於許多小廠商和創業公司而言,安全投入成本難以承受。
不過,隨著企業加大投入,形勢可能得到好轉。有兩支駭客團隊向《財經》記者表示,近兩年來安全問題呈好轉的趨勢,這受益于中國安防龍頭企業的市場擴大和海外業務增加,倒逼企業提高安全水準。隋剛也表示,有幾家大廠商已經在組建自己的安全團隊。
但隨著5G和IPv6的推行,雲端控制的需求會跟隱私意識衝突,監控攝像頭安全前景仍會充滿不確定性。
(本文首刊於2018年1月22日出版的《財經》雜誌)