国家互联网应急中心 CNCERT/CC
哈尔滨工业大学软件工程股份有限公司
北京信联科汇科技有限公司
郑州埃文计算机科技有限公司
北京天融信科技有限公司
中国科学院信息工程研究所
二〇一八年三月
目录
一、网络视频监控系统分布情况
1.1 地域分布
1.2 品牌分布
二、重点单位网络视频监控系统情况
2.1 国内网络视频监控系统在不同IP应用场景下的分布情况
2.2 重点国家机关单位网络视频监控系统按单位类型分布
2.3 重点国家机关单位网络视频监控系统按地域分布
三、安全风险分析
3.1 监控视频泄露
3.2 视频安防监控功能失效
3.3 成为攻击跳板
3.4 明文传输
3.5 产品功能缺陷
3.6 摄像头僵尸网络
3.6 常见漏洞
四、国家互联网应急中心监测结果
五、风险防范和安全应对
5.1 终端用户
5.2 企业生产者
5.3 行业监督和指导
前言
近年来,随着物联网(IoT,Internet of Things)技术和视频监控技术的发展,网络视频监控系统在社会逐渐推广开来。网络视频监控系统利用联网摄像头实时采集音视频信号,通过网络传输到后台监控中心,以实现对现场的实时监控,广泛应用于交通、安防、医疗、智能家居等众多领域。网络视频监控系统因具有设备数量多、24小时在线、接入带宽高和联网摄像头安全防护差等特点,使其成为不法分子的目标,通过利用弱口令及其它系统漏洞,来实施威胁国家、社会、企业和家庭安全的不法行为。
2015年6月,美国安全公司Sucuri在对一家普通的珠宝在线销售网站的黑客DDoS攻击进行调查时发现,攻击者是利用了由25000个联网摄像头组成的僵尸网络发起的攻击,这成为已知最大的CCTV(闭路电视摄像头)僵尸网络。2016年9月开始,Mirai病毒爆发,著名的安全研究机构KrebsonSecurity和法国主机服务供应商OVH遭受恶意攻击,攻击流量峰值分别达到了665G和1TB,导致Twitter、Github、Intercom等众多网站的访问受到影响,经分析,攻击者主要通过猜测设备的默认用户名和口令控制了数十万的IoT设备(主要为联网摄像头),将其纳入到Botnet中,控制设备发起DDoS攻击,对互联网造成巨大的威胁。
我国的网络视频监控系统的安全问题也不容乐观。2015年至今,CNVD已通报了多款联网摄像头存在被远程控制高危风险漏洞的安全事件。2015 年初,政府机关和公共行业广泛使用的某型号联网摄像头被曝存在高危漏洞,并已被利用植入恶意代码,导致部分设备被远程控制并可对外发动网络攻击。2017年6月,国家质检总局对市场上的智能联网摄像头进行了监测,在40批样品中,32批存在安全隐患,28批数据传输没有加密,20批初始密码是“弱口令”。此后在国家互联网应急中心的调查中,随机挑选的两个摄像头品牌就存在十几万个弱口令漏洞,极易受攻击。此外,央视曝光了一起家用摄像头遭破解的案例,用户家庭隐私被公开贩卖,用户真实生活被“直播”。
类似攻击以及信息泄露事件表明,网络视频监控系统的安全问题不容乐观,安全状况如不加以控制,其衍生产生的僵尸网络将快速扩张,对全球的网络安全带来严峻挑战。本报告主要从地域分布、品牌分布、威胁分布等多个角度阐述国内网络视频监控系统的安全态势情况,并针对近年来发生的网络视频监控系统安全事件起因提出了相应的风险防范和安全应对方案,给相关政府部门、组织和研究机构提供参考和借鉴。
一、网络视频监控系统分布情况
本部分从地域、主流品牌两个角度对网络视频监控系统(含前端视频监控设备、后端监控中心系统)的分布状况进行系统的概括和描述。
1.1 地域分布
1.1.1 全球分布情况
据统计,截止目前已发现全球范围的网络视频监控系统设备数量为1,154万,这些设备在世界各国的分布情况如图1-1所示。从图中可以看出东亚、北美、南亚、澳洲、西欧等地区发现的数量较多,而非洲、西亚、中东、拉美等地区发现的数量较少。
图1-1网络视频监控设备全球分布情况
图1-2展示了发现网络视频监控系统设备数量最多的前十个国家的发现数量在全部发现数量的比例情况。可以看出中国、美国、越南、印度、巴西、英国、意大利、法国、德国、墨西哥等十个国家拥有的视频监控系统设备总数为796万,占发现总数的69%。与非洲、西亚、中东、拉美等地区国家相比差距明显。
图1-2 网络视频监控设备数量Top10国家占有率排名
1.1.2 国内分布情况
截止到报告发布时国内已累计发现网络视频监控系统设备数量为2,606,815。据图1-3所示,华东、华南、港澳台地区设备占有量较高,主要集中在江苏、浙江、湖南、广东、台湾、香港地区,其中台湾和广东地区的设备数目较多;东北地区辽宁省和吉林省的发现数量较多;西北大部分地区、西南的西藏地区设备占有量较少;华北地区中山西省所发现的设备数量较多。
图1-3 国内各省区市网络视频监控设备分布情况
表1-1展示了全国34省、自治区或直辖市网络视频监控系统设备数量,结合图1-4中的国内网络视频监控系统设备省份Top10排行数据,可以看出国内各省市中,排行前三的省份(辽宁、广东和台湾)的设备数量合计977,026,占国内发现总量的37.4%,超过了排名第4到第10的各省发现数量的总和853,661;排行前10的省市设备数量占全国的比例达到了70.23%,而海南和西部的甘肃、青海、宁夏等省的设备数量远远少于国内其他省份,这4个省份总的设备数量为22,303个,在全国省市中的占比仅为0.86%,与东南部、北部各省区市相比,差别很明显。由于调查的网络视频监控系统大多应用在工业生产和企业的安防方面,这种数据分布在一定程度上反映了我国人口密度和工业生产分布状况。
表1-1 各省区市网络视频监控设备数量情况
序号 | 省份 | 数量 | 序号 | 省份 | 数量 |
1 | 辽宁 | 381,002 | 18 | 陕西 | 41,572 |
2 | 广东 | 335,942 | 19 | 上海 | 41,469 |
3 | 台湾 | 260,082 | 20 | 云南 | 38,980 |
4 | 江苏 | 161,278 | 21 | 四川 | 31,882 |
5 | 浙江 | 131,370 | 22 | 重庆 | 31,496 |
6 | 吉林 | 129,835 | 23 | 安徽 | 28,367 |
7 | 山西 | 128,545 | 24 | 江西 | 20,642 |
8 | 山东 | 104,345 | 25 | 湖北 | 18,250 |
9 | 福建 | 101,061 | 26 | 西藏 | 16,132 |
10 | 香港 | 97,227 | 27 | 澳门 | 15,594 |
11 | 河北 | 76,955 | 28 | 广西 | 15,569 |
12 | 湖南 | 74,725 | 29 | 天津 | 14,904 |
13 | 北京 | 62,648 | 30 | 新疆 | 13,215 |
14 | 贵州 | 61,494 | 31 | 海南 | 9,014 |
15 | 内蒙古 | 51,535 | 32 | 甘肃 | 8,111 |
16 | 河南 | 50,553 | 33 | 青海 | 3,386 |
17 | 黑龙江 | 47,843 | 34 | 宁夏 | 1,792 |
图1-4 国内Top10省区市网络视频监控设备数量排名情况
1.2 品牌分布
1.2.1 全球范围已发现网络视频监控系统按品牌分布情况
经分析目前获取的数据,在全球范围内,海康威视、大华、D-Link、雄迈、浩云安防、GeoVision、宝利通、福斯康姆、升泰科技、Cross等十个品牌的设备数量排名靠前。通过地域分布分析,得到图1-5所示的全球范围已发现网络视频监控系统设备数量按品牌分布情况,图中呈现的趋势与图1-1所描述的分布基本一致,以东亚、北美、南亚、澳洲、西欧等地区数量较多,而非洲、西亚、中东、拉美等地区的数量较少。
图1-5 Top10品牌网络视频监控设备全球数量分布情况
图1-6是针对上述10个品牌已发现网络视频监控系统数量的统计,从饼图中可以看到,海康威视以47.06%的比例,远远超过其他品牌;大华(Dahua)和D-Link紧随其后,分别以18.91%和10.51%的比例占据第二和第三位;雄迈和浩云安防分别以6.25%和5.18%紧随其后;其余品牌的占有率均未超过1%。
图1-6 全球分布网络视频监控设备Top10品牌排名情况
1.2.2 国内已发现网络视频监控系统按品牌分布情况
经分析在我国范围内,海康威视、大华、D-Link、雄迈、Cross、银河伟业、天地伟业、Netwave、汉邦、浩云安防等十个品牌发现的设备数量排名靠前。对上述品牌的设备分布进行简要分析,如下图1-7所示,在国内各省份的分布状况基本上与图1-3所描述的各省市分布一致,以东南沿海和东北地区较为集中,中西部地区数量较少。
图1-7 Top10品牌网络视频监控设备国内省区市分布情况
图1-8是针对上述10个品牌已发现网络视频监控系统数量的统计,由图可得,海康威视以71.2%的比例遥遥领先,居于首位;大华以12.9%的占有率处于较明显的领先地位; D-Link、雄迈、Cross以2.8%、2.72%、2.49%的比例紧随其后;其余的品牌,除银河伟业之外,都未超过1%。
图1-8国内网络视频监控设备Top10品牌排名情况
二、重点单位网络视频监控系统情况
经分析,发现国内分布在政府机构、事业单位及公检法机关等重点国家机关单位的网络视频监控系统(含前端视频监控设备、后端监控中心系统)有75,271个。本部分针对重点国家机关单位的网络视频监控系统设备,按单位类型分布和地域分布进行分析和描述。
2.1 国内网络视频监控系统在不同IP应用场景下的分布情况
2.1.1 国内网络视频监控系统的IP应用场景分布情况
截止到报告发布时,国内已累计发现网络视频监控系统设备IP数量为2,606,815个。表2-1展示了住宅用户、企业专线、数据中心、学校单位、组织机构、专用出口和其他等7类IP应用场景中监控设备的IP数量。
结合图2-1可以看出,网络视频监控系统设备数量排名前三的IP应用场景分别是住宅用户、企业专线和数据中心,其设备数量合计为2,492,132,占国内网络视频监控系统设备总量的95.6%。
表2-1 七种IP应用场景中网络视频监控设备数量情况
序号 | 应用场景 | 数量 | 序号 | 省份 | 数量 |
1 | 住宅用户 | 1,901,936 | 4 | 学校单位 | 5,599 |
2 | 企业专线 | 560,119 | 5 | 组织机构 | 1,409 |
3 | 数据中心 | 30,077 | 6 | 专用出口 | 60 |
7 | 其他 | 107,615 | - | - | - |
图2-1国内网络视频监控设备IP应用场景分布
2.1.2 国内重点国家机关单位的网络视频监控系统分布情况
网络视频监控系统面临严峻的安全风险,易被控制或利用造成危害,尤其在重点国家机关单位中的网络视频监控系统安全性更值得关注。重点国家机关单位中的视频监控设备使用企业专线、组织机构和专用出口这三种应用场景的IP。经分析发现国内网络视频监控系统设备中有75,271个分布在政府机构、事业单位及公检法机关等重点国家机关单位。
2.2 重点国家机关单位网络视频监控系统按单位类型分布
2.2.1 重点单位网络视频监控系统按一级分类分布情况
重点国家机关单位在国内可分为:“政府机关”、“社会团体”、“公检法机构”、“政府及社会团体相关”、“工商税务机构”、“交通车辆管理”、“外国机构”和“民主党派”共8种一级分类和39种二级分类,如表2-2所示。
网络视频监控系统在国内重点单位按一级分类,数量排名前三的单位类型为“政府机关”、“社会团体”和“公检法机构”,如表2-2及图2-2所示。其中“政府机关”类型排名首位共计34,463个,占比45.79%;“社会团体”类型排名第二,共计14,493个,占比19.25%;“公检法机构”类型排名第三,共计11,760个,占比15.62%。
表2-2 重点单位一、二级分类表及各类别下网络视频监控设备数量
图2-2 国内网络视频监控设备按单位类型一级分类的排名情况
2.2.2 重点单位网络视频监控系统按二级分类分布情况
重点国家机关单位排名前三的一级分类中,“政府机关”下的二级分类“乡镇以下级政府及事业单位”数量最多,共计8,976个,“区县级政府及事业单位”紧随其后,共计8,847个;“社会团体”下的二级分类“社会团体相关”数量最多,共计7,669个,“行业协会”排名第二,共计4,834个;“公检法机构”下的二级分类“公安警察”数量最多,共计5,097个,“公证鉴定机构”排名第二,共计2,057个。
重点单位的二级分类中,“政府及社会团体相关”、“乡镇以下级政府及事业单位”、“区县级政府及事业单位”、“政府机关相关”、“社会团体相关”、“公安警察”、“行业协会”、“乡镇级政府及事业单位”、“地市级政府及事业单位”和“公证鉴定机构”单位类型发现的网络视频监控系统设备数量排名前十,这里对上述单位类型的分布进行简要分析。
图2-3是针对上述十种单位类型所占比例的统计,结合表2-2,可以了解到,“政府及社会团体相关”以11.94%的比例居于首位;“乡镇以下级政府及事业单位”、“区县级政府及事业单位”与“政府机关相关和社会团体相关”等4个类型的单位也分别以11.92%、11.75%、11.18%和10.19%的比例紧随其后;“公安警察”、“行业协会”和“乡镇级政府及事业单位”等三种单位类型分别以6.75%、6.42%和5.92%的比例排名第六至第八;排名前十中其余的单位类型所占比例均已超过3%。
图2-3国内网络视频监控设备按单位类型二级分类排名前十占比情况
2.3 重点国家机关单位网络视频监控系统按地域分布
对重点国家机关单位已累计发现的75,271个网络视频监控系统设备,按地域进行分析。据图2-4所示,国内各省区市中,有22个省的网络视频监控系统设备数量都超过1,000,尤其在广东省,数量达到15,713,占总量的20.88%。华北地区中辽宁、吉林和山西3个省所发现的设备数量较多;华东和华南地区设备占有较高,主要集中在江苏、浙江、广东、福建,其中广东和福建地区的设备数目较多,均超过5,000台。港澳台地区中,香港数量最多,达到4,155台。
图2-4重点国家机关单位网络视频监控设备国内省区市分布情况
表2-3展示了全国34个省、自治区、直辖市重点单位网络视频监控系统设备数量。结合图2-5中的国内各省份Top10排名数据,可以看出国内各省区市中,排名前三的省份(广东、福建和辽宁)的设备数量合计25,769,占国内发现总量的34.2%,超过了排名第4到第10的各省发现数量的总和25,826;排名前10的省市设备数量占全国的比例达到了68.55%,而西部的西藏,甘肃,青海和宁夏等省区的设备数量远远少于国内其他省份,这4个省份总的设备数量为1,233个,在全国省市中的占比仅为1.64%,与东南部、北部各省区市相比,差别很明显。
与1.2.2章节的国内网络视频监控系统地域分布情况对比发现,除台湾省外,其他省区市重点国家机关单位的网络视频监控系统地域分布情况与国内网络视频监控系统地域分布情况一致。
表2-3 各省区市重点国家机关单位中网络视频监控设备数量情况
序号 | 省份 | 数量 | 序号 | 省份 | 数量 |
1 | 广东 | 15,713 | 18 | 黑龙江 | 1,396 |
2 | 福建 | 5,085 | 19 | 安徽 | 1,229 |
3 | 辽宁 | 4,971 | 20 | 湖北 | 1,201 |
4 | 江苏 | 4,400 | 21 | 北京 | 1,134 |
5 | 香港 | 4,155 | 22 | 内蒙古 | 1,008 |
6 | 浙江 | 3,951 | 23 | 四川 | 940 |
7 | 湖南 | 3,736 | 24 | 江西 | 868 |
8 | 山西 | 3,488 | 25 | 天津 | 764 |
9 | 吉林 | 3,278 | 26 | 广西 | 673 |
10 | 山东 | 2,818 | 27 | 新疆 | 601 |
11 | 河北 | 2,214 | 28 | 西藏 | 492 |
12 | 上海 | 2,161 | 29 | 甘肃 | 423 |
13 | 陕西 | 1,790 | 30 | 海南 | 217 |
14 | 云南 | 1,762 | 31 | 青海 | 203 |
15 | 重庆 | 1,568 | 32 | 宁夏 | 115 |
16 | 河南 | 1,503 | 33 | 澳门 | 12 |
17 | 贵州 | 1,399 | 34 | 台湾 | 3 |
图2-5 国内Top10省市网络视频监控设备数量排名情况
三、安全风险分析
研究发现,目前市场上的网络视频监控系统普遍存在安全隐患,如弱口令、明文信息传输、产品功能缺陷以及高危漏洞等。由于这类设备的管理特殊性,大部分缺乏安全防护,直接暴露于互联网中,而且针对这些设备或系统的网络恶意程序越来越多,传播手段也在不断更新,因此处于完全开放或半开放状态的视频监控设备,面临严峻的安全风险,易被控制或利用造成危害。
3.1 监控视频泄露
利用联网摄像头自身存在的漏洞,攻击者可查看实时监控视频或录像数据,如图3-1所示,如果党政机关及军工单位等涉密单位的视频监控信息泄露,将导致单位内部办公和会议等活动的信息泄露,甚至可能导致机要文件通过监控视频泄密,最严重可能会泄漏重要领导人行踪和随行人员等重要信息。
图3-1 重要部位监控画面
3.2 视频安防监控功能失效
视频安防监控系统起到发现非法活动、应急处置和事后取证等重要安保作用。一旦监控视频被非法关闭和删除,将导致非法活动不能被及时发现和追溯。攻击者甚至可以替换监控视频,达到掩饰非法活动的目的。
3.3 成为攻击跳板
攻击者远程获得视频安防监控设备的root权限之后,可渗透与该设备连接的其他内部信息系统。另外,由于视频监控设备数量巨大,可远程控制视频安防监控设备,组建大型僵尸网络对互联网上的其他系统发起DDoS攻击。
3.4 明文传输
研究发现某些品牌的部分产品,在认证过程和视频数据中存在明文传输、简单加密处理等问题,一旦设备流量被截获,劫持者经过简单的数据处理就可以提取设备的认证口令,甚至还原出视频图像数据。明文传输网络传输过程中协议行为在数据层面的表示,下面主要从协议中认证字段、数据明文信息以及密码复杂度三个角度举例说明。
1)明文身份认证:图3-2为针对某款联网摄像头产品web管理页面登录认证行为捕获的报文详情,可以看出,产品认证设计采取明文口令传输,且协议中直接以显著的字段来标识用户和密码信息,从中可以轻易提取登录用户名username和密码字段password,这样的设备一旦被攻击者盯上,将不具备任何防御能力。
图3-2 身份认证明文传输
2)数据明文口令:图3-3为某联网摄像头图像数据通信所采用的RTSP协议报文片段,从请求行信息来看,图像数据通信也存在明文口令信息的情况,这样的风险一旦被攻击者利用,用户的隐私也就完全暴露。
图3-3 数据明文传输
3)简单加密:除了明文口令,部分设备存在口令简单加密的问题,如采用简单的字符串编码、字符串异或、大小写转换、字符替换等极易被破解的加密方式。图3-4列举了一种使用较为频繁的数据加解密方式Base64, 此编码方式一般被用来用作数据传输,但是许多产品直接用其对口令密码加密。由于该加密算法完全公开,这就意味着只要有一定的数学基础均可以破解口令,安全性相对明文虽有少许增强,但脆弱的防御本质并没有太大区别。
图3-4 简单加密
3.5 产品功能缺陷
部分品牌的早期设备由于技术、成本控制等原因,在功能上存在不少缺陷,根据调研结果,问题主要集中在三个方面:人机识别、外部访问控制和在线更新机制。
1)人机识别机制:人机识别主要是为了提高用户对设备操作的验证强度,常用于登录认证页面和敏感操作确认,较为人们所熟知的人机识别主要验证码和风控系统两类。由于绝大部分僵尸网络的攻击都是自动化的机器行为,而人机识别的介入,可以在一定程度上防止暴力破解、重放攻击给设备安全带来威胁。目前发现的问题均为利用不存在的人机识别机制,或者人机识别结果本地存放,导致病毒可以轻易的侵入设备中取得设备控制权,造成危害。
2)访问控制:攻击者在通过扫描试探、网络活动分析、协议逆向等手段确定针对特定设备的攻击方法后,通常会根据设备标识和固定协议格式编写自动化脚本和攻击程序,主动对设备发起认证、控制等操作。如果设备后台没有针对外部访问的判断和控制机制,例如参数防重放、越权以及控制绑定关系等,一方面很容易被攻击者突破,另一方面面临被其他已感染设备攻击的风险。
针对联网摄像头产品,在访问控制方面问题突出表现为以下3个方面:(1)部分产品没有对同一发起者的认证次数做出合理限制,使得病毒程序可以构造不同的口令进行试探,直到成功登录夺得设备控制权;(2)缺乏绑定关系,没有明确指定管理者标识、地址,使得外部任何访问都变得合法,增加设备被攻击的风险;(3)越权主要体现在攻击者利用设备代码逻辑缺陷,绕过敏感操作确认的过程。
3)更新机制:调研已曝光的、存在安全隐患的联网摄像头产品,发现基本上都不具备主动更新功能(部分产品提供固件更新提醒,但也需要用户主动下载更新),一旦设备出现漏洞,没有办法快速修复,那么所有的风险均由用户承担。
3.6 摄像头僵尸网络
1)Mirai:以物联网设备(IoT)为感染目标的僵尸程序,通过感染那些存在漏洞或内置有默认密码的IoT设备,像“寄生虫”一样存在设备中,操控它们,针对目标网络系统发起定向攻击。网络监控摄像头、DVRS、路由器等其它家用网络设备都可能成为Mirai僵尸网络的“猎物”。
2)http81:2017年3月,韩国安全研究人员Pierre Kim发布了一个关于GoAhead 以及其他OEM摄像头的脆弱性分析报告,涉及多家厂商超过1,250个不同型号的设备,估算全球潜在涉及的联网摄像头设备超过18万个。http81僵尸网络的幕后操控者远程入侵了大量没有及时修复漏洞的联网摄像头设备,在这些摄像头中植入恶意代码,只要发出指令就可以随时向任何目标实施DDoS攻击。由于联网摄像头属于长期在线的设备,普遍拥有比较高的带宽,相比由电脑组成的僵尸网络具备更强的杀伤力。
3)Persirai:趋势科技在2017年3月份发现的一种新型物联网(IoT)僵尸网络,该僵尸网络利用恶意软件 ELF_PERSIRAI.A进行不断传播感染。多家原始设备制造商(OEM)的1000多种型号网络摄像头产品受此恶意网络感染,攻击者通过弱口令密码组合进行大规模的自动化入侵登录,进入网络摄像头的Web管理接口,之后通过注入恶意命令,远程下载恶意病毒并控制实施网络攻击活动。
4)LizardStresser:最初是Lizard Squad黑客组织的成员用C语言编写,运行于 Linux 操作系统上的 DDoS 攻击程序。自2015年LizardStresser 程序被公开发布后,其他黑客组织开始对原始恶意程序进行修改,用于建造自己的僵尸网络。随着LizardStresser 的变种不断增加,基于 LizardStresser 的僵尸网络规模也在不断扩张。据美国LEVEL 3通信公司的统计,有超过一百万的 IoT 设备已经被感染成为被控肉鸡,这些 IoT 设备中有 95% 都是网络视频监控系统。
5)DvrHelper:由 Mirai 进化而来的一个新型变种。经过改进之后,DvrHelper对专门用来阻止Mirai的安全协议有了更好的免疫力。DvrHelper新增了8个DDOS攻击模块,同时采用anti-bot技术和Google reCAPTCHA令牌共享技术,使得其可以绕过CDN网络的DDoS防御发动攻击。
3.6 常见漏洞
据统计,CNVD、CVE和CNNVD共发布涉及海康威视、雄迈、大华、汉邦、天地伟业、宇视、Avtech、GeoVison、NetWave品牌漏洞数据56条。其中,高危漏洞35条,中危漏洞19条,低危漏洞2条。漏洞数量按威胁等级统计如图3-5所示。
图3-5 网络视频监控系统漏洞威胁等级统计
漏洞涉及的厂商主要包括海康威视(16条)、大华(16条)、Avtech(15条)、GeoVison(5条)、雄迈(3条)和NetWave(1条),厂商漏洞数量分布如图3-6所示。漏洞涉及产品主要包括海康威视摄像头、车载远程监控系统、视频联网监控系统,大华摄像头、报警运营管理平台、gDSS APP,Avtech的DVR设备、GeoVision的摄像头设备、NetWave的摄像头设备以及雄迈的IPC产品等。
图3-6 网络视频监控系统漏洞品牌分布
联网摄像头设备已发布的漏洞安全隐患主要集中在以下几个方面:
1)弱口令:大量联网摄像头设备在出厂时,使用的默认登录密码为弱口令或者缺省密码,用户在使用时并未重置密码,这就导致攻击者能够很容易登录设备,观看监控视频数据,并且获取这类设备的控制权。
2)远程可执行命令:部分品牌的设备存在后门或设计缺陷,导致攻击者通过构造特定URL内容可远程执行命令,获得shell权限。
3)拒绝服务攻击:部分设备存在缓冲区溢出漏洞,攻击者通过构造精心设计的请求,可导致设备服务中断。
四、国家互联网应急中心监测结果
国家互联网应急中心于2017年4月至9月持续监测我国网络视频监控系统网络安全风险。图4-1展示了国内各省市网络视频监控系统设备受到的威胁(扫描)分布情况,可以看出,辽宁、广东和台湾地区遭受到的威胁较为严重,设备数目超过了10万台;东北部的吉林省、华北地区的山西以及东南沿海省市(江苏、福建、浙江等)也遭受不同程度的威胁,受威胁的设备均达到了数万台;而西北部地区由于本身设备占有较低,所受威胁的设备数目相对较少。
图4-1 我国网络视频监控系统网络安全威胁分布
通过对扫描流量的数据分析,我们对国内网络视频监控系统设备所受威胁来源分布状况进行了统计,图4-2展示了全球范围内针对我国网络视频监控系统设备的扫描分布情况。从威胁统计结果来看,北美地区的美国以1,748,866个累计扫描源数位列排行榜的首位;亚洲地区威胁主要以日本为主,扫描源达到697,079个,紧随美国之后排行第二;亚洲其他地区的威胁源主要位于东亚、东南亚的韩国、越南、泰国、马来西亚以及南亚的印度等国;南美洲的巴西以443,517的数量位列第三;在欧洲地区中,丹麦、白俄罗斯、芬兰、挪威等少数几个国家威胁源数目较少,而以俄罗斯、英国、法国、德国、波兰为主的欧盟大国对我国网络视频监控系统的探测和扫描源数目均在10万个以上,其中俄罗斯最多,达到了335,074个,威胁排行第四;大洋洲地区,澳大利亚共有323,335个威胁源,威胁排行第五;非洲地区由于互联网技术发展缓慢,对国内的威胁较少。
图4-2 威胁来源分布
五、风险防范和安全应对
由于网络视频监控系统存在的一系列漏洞和缺陷,攻击者可以轻松获取大量网络视频监控设备的控制权,之后利用僵尸工具上传恶意代码、保留后门等技术手段组建自己的僵尸网络,进而引发大规模的网络攻击活动,或肆意窥探或暴露用户的隐私,甚至用于挑战政府权威。
网络视频监控行业的安全现状,很大程度上是受行业发展规律、科技水平等客观因素的影响,但作为生产、使用或监管主体,网络监控设备厂商、终端用户和政府应充分意识到当前面临的严峻形势,评估潜在的安全风险,制定有效的应对策略,并逐步实施。下面从用户、企业和行业三个角度,分别给出一些针对性的意见和措施。
5.1 终端用户
对于网络视频监控系统的使用者,不管是企业集团用户还是家庭个体用户,关键是确保自己的财产不受到损失、隐私不会泄漏,要实现这两个目标,可采取以下几方面措施:
1)采购设备时,从成本、功能、安全性等多个角度综合比较各类产品,尽量选用知名品牌厂商生产、性价比适合自身的设备;
2)对设备设置强密码,尤其对于联网设备,修改默认的管理端口。企业用户可以在网络出入口设置防火墙等网络安全设备,杜绝非法端口扫描和恶意流量入侵;
3)避免摄像头方位指向私人空间,最大限度保护用户隐私;
4)定期查看产品官网或国家权威机构发布的漏洞公告,及时升级固件修补漏洞;
5)家庭用户提高日常的安全意识,企业用户规范管理制度,提升设备管理员的安全技能水平。
5.2 企业生产者
大部分的网络视频监控系统设备生产厂商,普遍认为安全因素并不是主导消费者购买其产品的决定因素,所以并没有下力气在安全上加大研发,从而忽略了设备的安全问题对其品牌信誉和长远发展的影响。相关部门应呼吁各大生产商重视自身产品的安全问题,建议可以采取以下安全措施:
1)对已发布产品进行跟踪和维护,及时发布新固件和漏洞修补程序,贴牌厂商及时联系原厂商进行修复;
2)做好用户管理,对不支持自动更新的设备群体,确保设备漏洞和威胁信息及时推送给用户;
3)对设备密码设置复杂度要求,强制用户首次登录修改默认密码,增加人机验证(登录验证码、短信验证码等);
4)构建设备自动更新机制,提供用户自动升级/手动升级的选项开关;
5)出厂设备关闭不必要的端口,禁用远程调试、匿名用户,最大程度减少被入侵风险;
6)做好技术监管、代码审查,避免人为因素导致的设备漏洞;
7)完善生产、质量监督和管理流程,提高技术人员的安全技能。
5.3 行业监督和指导
对于网络视频监控系统的整体行业,有关部门需建立一套针对智能摄像头的信息安全标准,从摄像头全生命周期角度来规范设备的网络安全性;建设权威的、统一的信息收集和发布平台,针对外部威胁事件及时预警和响应,指导各厂商及时发现处理,同时通知用户自查。
声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
