近日��,《315通信業(yè)務(wù)質(zhì)量報(bào)告》在京發(fā)布����,報(bào)告中指出�����,面臨快速到來的萬物互聯(lián)時(shí)代�����,物聯(lián)網(wǎng)設(shè)備的安全問題日益凸顯����。以攝像頭為例�����,作為日常生活中廣泛應(yīng)用的物聯(lián)網(wǎng)終端設(shè)備,攝像頭對(duì)于治安環(huán)境的改善貢獻(xiàn)顯著�,但其安全隱患也頻頻引發(fā)熱議。2018年2月��,綠盟科技就曾助力工控廠商施耐德挖出派爾高網(wǎng)絡(luò)攝像頭產(chǎn)品12個(gè)安全漏洞����,其中不乏多個(gè)高危漏洞。
目前����,攝像頭存在的安全隱患主要集中在兩個(gè)方面:一方面,大量攝像頭組成的網(wǎng)絡(luò)被黑客入侵;另一方面��,攝像頭采集視頻��,被攻擊者控制后�,易發(fā)生隱私泄漏。本文將從這兩方面著手����,回顧安全事件,梳理歸納物聯(lián)網(wǎng)的安全需求����。
物聯(lián)網(wǎng)終端設(shè)備安全的多米諾骨牌正在被推倒
2016年底���,數(shù)十萬攝像頭組成的僵尸網(wǎng)絡(luò)Mirai,以當(dāng)時(shí)最大(620G)DDoS流量�,攻擊美國域名服務(wù)商Dyn,導(dǎo)致多家知名網(wǎng)站無法訪問��。Mirai僵尸網(wǎng)絡(luò)屢被提起�����,成了物聯(lián)網(wǎng)安全標(biāo)志性事件����。一年后,Mirai的始作俑者認(rèn)罪伏法���。
看起來����,Mirai事件已塵埃落定���。然而,作者Jha將Mirai的代碼發(fā)布到黑客論壇,從此���,打開了潘多拉的盒子��。Mirai之后���,一波波改造后的類Mirai的蠕蟲蔓延,繼續(xù)感染攝像頭��,并擴(kuò)展到智能路由器���,機(jī)頂盒等���,組織成新的僵尸網(wǎng)絡(luò),繼續(xù)肆虐����。
2017年8月,浙江某地警方破獲一個(gè)犯罪團(tuán)伙����,在網(wǎng)上制作和傳播家庭攝像頭破解入侵軟件。查獲被破解入侵家庭攝像頭IP近萬個(gè)�,涉及浙江、云南、江西等多個(gè)省份���。由物聯(lián)網(wǎng)終端設(shè)備引發(fā)的安全事件不勝枚舉��。這些事件為我們敲響警鐘�����,物聯(lián)網(wǎng)終端設(shè)備安全不可忽視��。一旦攻擊者獲得遠(yuǎn)程控制權(quán)限�����,即便是小小的攝像頭也能夠成為泄漏用戶隱私的元兇����。
物聯(lián)網(wǎng)終端設(shè)備安全事件為何頻發(fā)?
在萬物互聯(lián)的今天����,物聯(lián)網(wǎng)終端設(shè)備安全如何達(dá)標(biāo)值得深思。歸納起來���,造成物聯(lián)網(wǎng)終端設(shè)備安全事件頻發(fā)的主要原因有三點(diǎn):
缺省密碼
安全博客Krebs on Security的一篇文章中指出���,網(wǎng)絡(luò)攝像頭的缺省密碼比較簡(jiǎn)單,沒有更改直接暴露在互聯(lián)網(wǎng)上��。從Mirai及其后繼者的代碼中也能看出�����,蠕蟲就是通過缺省密碼�����,利用遠(yuǎn)程登錄協(xié)議(Telnet或SSH)��,感染物聯(lián)網(wǎng)設(shè)備��,并形成大規(guī)模僵尸網(wǎng)絡(luò)�����。
攝像頭固件漏洞
2018年2月27日����,施耐德發(fā)布攝像頭安全公告,提醒客戶升級(jí)固件��。同時(shí),施耐德致謝綠盟科技����,感謝公司物聯(lián)網(wǎng)安全研究員發(fā)現(xiàn)了12個(gè)安全漏洞,提升了產(chǎn)品的安全性���。
互聯(lián)網(wǎng)暴露
攝像頭存在缺省密碼和安全漏洞���,而這些設(shè)備暴露在互聯(lián)網(wǎng)上,就是造成蠕蟲網(wǎng)絡(luò)形成和視頻隱私泄漏的直接誘因����。下圖是來自綠盟科技威脅情報(bào)中心的數(shù)據(jù),統(tǒng)計(jì)了在網(wǎng)絡(luò)上暴露的攝像頭品牌和數(shù)量�����,其中就有缺省密碼的設(shè)備��。
拋磚引玉���,物聯(lián)網(wǎng)安全的六點(diǎn)需求
小小攝像頭�,隱藏著巨大的安全風(fēng)險(xiǎn)����。設(shè)備的安全性和隱私����,是攝像頭這種常見的物聯(lián)網(wǎng)終端設(shè)備最基本的安全需求��。攝像頭組成的視頻專網(wǎng)�����,還有后臺(tái)平臺(tái)����,應(yīng)用終端�,哪一個(gè)環(huán)節(jié)出現(xiàn)問題,整個(gè)視頻專網(wǎng)都有安全風(fēng)險(xiǎn)�。
物聯(lián)網(wǎng)的安全需求,包括傳統(tǒng)信息安全的CIA(保密性����、完整性、可用性) 三要素��,還要加上物聯(lián)網(wǎng)特有的安全需求�����,隱私保護(hù)、人身安全和可靠性�。
信息的保密性,就是一定保密程度的信息只能讓有權(quán)限的人讀取到或更改�����。不過���,這里提到的保密信息���,有比較廣泛的外延:可以是國家機(jī)密,是企業(yè)或研究機(jī)構(gòu)的核心知識(shí)產(chǎn)權(quán)���,是一個(gè)銀行個(gè)人賬號(hào)的用戶信息���。物聯(lián)網(wǎng)所采集、傳輸和處理的信息�����,也有保密性的需求�。
信息的完整性����,是指在存儲(chǔ)或傳輸信息的過程中��,原始的信息不能允許被隨意更改���。這種更改有可能是無意的錯(cuò)誤�����,如輸入錯(cuò)誤,軟件瑕疵���,以及人為的故意更改和破壞�����。
信息的可用性��,是指對(duì)于信息的合法擁有和使用者�,在他們需要這些信息的任何時(shí)候��,都應(yīng)該保障他們能夠及時(shí)得到所需要的信息�����。信息可用,物聯(lián)網(wǎng)應(yīng)用才能正常運(yùn)轉(zhuǎn)����。
隱私保護(hù),是指物聯(lián)網(wǎng)感知設(shè)備���,對(duì)于人的隱私的采集�、傳輸���、處理等環(huán)節(jié)��,不被泄漏����。隱私包括人的信息�����、家庭住址��、聯(lián)系方式、財(cái)產(chǎn)信息�、位置信息等等。
人身安全���,是指物聯(lián)網(wǎng)設(shè)備應(yīng)用到人體健康和環(huán)境領(lǐng)域���,應(yīng)用不能對(duì)人身造成傷害,不能破壞物理環(huán)境���。
可靠性���,指物聯(lián)網(wǎng)采集的感知數(shù)據(jù),應(yīng)該是準(zhǔn)確的�,在允許的誤差之內(nèi)���。比如智能遠(yuǎn)程抄表��,如果感知設(shè)備的讀數(shù)有誤�,就會(huì)影響后面的繳費(fèi)��。
結(jié)語:
本文以攝像頭為例���,探討了與之相關(guān)的兩大類安全事件及其發(fā)生的原因�����,并擴(kuò)展到物聯(lián)網(wǎng)的安全需求����。我們看到,物聯(lián)網(wǎng)感知設(shè)備�,其安全弱點(diǎn)與傳統(tǒng)終端是類似的,即不恰當(dāng)?shù)陌踩渲煤桶踩┒���。物�?lián)網(wǎng)應(yīng)用的安全需求����,涵蓋了原來的CIA三個(gè)基本需求,還由于物聯(lián)網(wǎng)萬物互聯(lián)的廣泛性���,引入了隱私保護(hù)���、人身安全和可靠性三個(gè)新需求。
鄂公網(wǎng)安備 42112402000149號(hào)