从摄像头到视频专网,物联网安全如何“达标”?

时间:2019-02-28 11:20:01166网络整理admin

近日,《315通信业务质量报告》在京发布,报告中指出,面临快速到来的万物互联时代,物联网设备的安全问题日益凸显以摄像头为例,作为日常生活中广泛应用的物联网终端设备,摄像头对于治安环境的改善贡献显著,但其安全隐患也频频引发热议2018年2月,绿盟科技就曾助力工控厂商施耐德挖出派尔高网络摄像头产品12个安全漏洞,其中不乏多个高危漏洞 目前,摄像头存在的安全隐患主要集中在两个方面:一方面,大量摄像头组成的网络被黑客入侵;另一方面,摄像头采集视频,被攻击者控制后,易发生隐私泄漏本文将从这两方面着手,回顾安全事件,梳理归纳物联网的安全需求 2016年底,数十万摄像头组成的僵尸网络Mirai,以当时最大(620G)DDoS流量,攻击美国域名服务商Dyn,导致多家知名网站无法访问Mirai僵尸网络屡被提起,成了物联网安全标志性事件一年后,Mirai的始作俑者认罪伏法 看起来,Mirai事件已尘埃落定然而,作者Jha将Mirai的代码发布到黑客论坛,从此,打开了潘多拉的盒子Mirai之后,一波波改造后的类Mirai的蠕虫蔓延,继续感染摄像头,并扩展到智能路由器,机顶盒等,组织成新的僵尸网络,继续肆虐 2017年8月,浙江某地警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份由物联网终端设备引发的安全事件不胜枚举这些事件为我们敲响警钟,物联网终端设备安全不可忽视一旦攻击者获得远程控制权限,即便是小小的摄像头也能够成为泄漏用户隐私的元凶 物联网终端设备安全事件为何频发? 在万物互联的今天,物联网终端设备安全如何达标值得深思归纳起来,造成物联网终端设备安全事件频发的主要原因有三点: 缺省密码 安全博客Krebs on Security的一篇文章中指出,网络摄像头的缺省密码比较简单,没有更改直接暴露在互联网上从Mirai及其后继者的代码中也能看出,蠕虫就是通过缺省密码,利用远程登录协议(Telnet或SSH),感染物联网设备,并形成大规模僵尸网络 摄像头固件漏洞 2018年2月27日,施耐德发布摄像头安全公告,提醒客户升级固件同时,施耐德致谢绿盟科技,感谢公司物联网安全研究员发现了12个安全漏洞,提升了产品的安全性 互联网暴露 摄像头存在缺省密码和安全漏洞,而这些设备暴露在互联网上,就是造成蠕虫网络形成和视频隐私泄漏的直接诱因下图是来自绿盟科技威胁情报中心的数据,统计了在网络上暴露的摄像头品牌和数量,其中就有缺省密码的设备 抛砖引玉,物联网安全的六点需求 小小摄像头,隐藏着巨大的安全风险设备的安全性和隐私,是摄像头这种常见的物联网终端设备最基本的安全需求摄像头组成的视频专网,还有后台平台,应用终端,哪一个环节出现问题,整个视频专网都有安全风险 物联网的安全需求,包括传统信息安全的CIA(保密性、完整性、可用性) 三要素,还要加上物联网特有的安全需求,隐私保护、人身安全和可靠性 信息的保密性,就是一定保密程度的信息只能让有权限的人读取到或更改不过,这里提到的保密信息,有比较广泛的外延:可以是国家机密,是企业或研究机构的核心知识产权,是一个银行个人账号的用户信息物联网所采集、传输和处理的信息,也有保密性的需求 信息的完整性,是指在存储或传输信息的过程中,原始的信息不能允许被随意更改这种更改有可能是无意的错误,如输入错误,软件瑕疵,以及人为的故意更改和破坏 信息的可用性,是指对于信息的合法拥有和使用者,在他们需要这些信息的任何时候,都应该保障他们能够及时得到所需要的信息信息可用,物联网应用才能正常运转 人身安全,是指物联网设备应用到人体健康和环境领域,应用不能对人身造成伤害,不能破坏物理环境 可靠性,指物联网采集的感知数据,应该是准确的,在允许的误差之内比如智能远程抄表,如果感知设备的读数有误,就会影响后面的缴费 结语: 本文以摄像头为例,探讨了与之相关的两大类安全事件及其发生的原因,并扩展到物联网的安全需求我们看到,物联网感知设备,其安全弱点与传统终端是类似的,即不恰当的安全配置和安全漏洞物联网应用的安全需求,涵盖了原来的CIA三个基本需求,还由于物联网万物互联的广泛性,引入了隐私保护、人身安全和可靠性三个新需求 责任编辑: