從中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(中央網(wǎng)信辦)獲悉,中國(guó)首屆國(guó)家網(wǎng)絡(luò)安全宣傳周于24日正式啟動(dòng)。
首屆國(guó)家網(wǎng)絡(luò)安全宣傳周是我國(guó)第一次舉辦全國(guó)范圍的網(wǎng)絡(luò)安全主題宣傳活動(dòng),不僅國(guó)家有關(guān)職能部門(mén)共同參與主辦,各省、自治區(qū)、直轄市也將同期舉辦相關(guān)主題活動(dòng),在全國(guó)掀起網(wǎng)絡(luò)安全宣傳的高潮。
宣傳周以“共建網(wǎng)絡(luò)安全,共享網(wǎng)絡(luò)文明”為主題,將圍繞金融、電信、電子政務(wù)、電子商務(wù)等重點(diǎn)領(lǐng)域和行業(yè)網(wǎng)絡(luò)安全問(wèn)題,針對(duì)社會(huì)公眾關(guān)注的熱點(diǎn)問(wèn)題,舉辦網(wǎng)絡(luò)安全體驗(yàn)展等系列主題宣傳活動(dòng),營(yíng)造網(wǎng)絡(luò)安全人人有責(zé)、人人參與的良好氛圍。
為此,筆者將帶領(lǐng)大家來(lái)探討一下安防領(lǐng)域的網(wǎng)絡(luò)安全。本文將從安防領(lǐng)域的子系統(tǒng)——“視頻監(jiān)控系統(tǒng)”入手。
早在今年3月份,中央電視臺(tái)就報(bào)道了家庭監(jiān)控器存在較高安全隱患的問(wèn)題,黑客利用漏洞攻破網(wǎng)絡(luò)監(jiān)視系統(tǒng),竊取用戶(hù)隱私。不僅家庭網(wǎng)絡(luò)監(jiān)視系統(tǒng),公共場(chǎng)所、銀行、辦公室、監(jiān)獄等的網(wǎng)絡(luò)監(jiān)控系統(tǒng)同樣存在隱私泄露的風(fēng)險(xiǎn)。伴隨技術(shù)的發(fā)展,網(wǎng)絡(luò)監(jiān)控逐漸取代模擬監(jiān)控越來(lái)越多應(yīng)用到各個(gè)領(lǐng)域。
筆者在網(wǎng)絡(luò)安全領(lǐng)域權(quán)威的漏洞信息庫(kù)WooYun烏云網(wǎng)、綠盟科技以及國(guó)家信息安全漏洞共享平臺(tái)了解到,有關(guān)安防系統(tǒng)的“監(jiān)控?cái)z像頭”的漏洞信息就達(dá)180條之多,而這僅僅是安防系統(tǒng)中存在被入侵或者泄露漏洞的冰山一角。在這些漏洞信息庫(kù)里可以看到,不乏??怠⒑?、漢邦高科等主流廠(chǎng)商的漏洞信息。
在這些漏洞中,有弱口令、繞過(guò)認(rèn)證、明文傳輸、注入漏洞、跨站攻擊、拒絕服務(wù)攻擊、linux平臺(tái)自身缺陷等。
為證實(shí)這些描述,筆者將從弱口令和系統(tǒng)平臺(tái)兩個(gè)方面做一個(gè)淺析。
1、弱口令
目前,大多數(shù)的廠(chǎng)商設(shè)置的后臺(tái)默認(rèn)密碼都是admin、888888等,用戶(hù)或者監(jiān)控管理方為了便捷管理,不修改默認(rèn)密碼,也有修改成簡(jiǎn)單密碼方便記憶的。一旦監(jiān)控后臺(tái)管理系統(tǒng)接入如網(wǎng)絡(luò),黑客便可以通過(guò)默認(rèn)密碼以非授權(quán)方式進(jìn)入后臺(tái)查看監(jiān)控畫(huà)面,甚至下載,刪除監(jiān)控記錄。而這些對(duì)于整個(gè)安防系統(tǒng)和個(gè)人隱私都是一種潛在的威脅。
如下筆者以漢邦高科的的默認(rèn)密碼做測(cè)試(注:此處僅作測(cè)試,隱私部門(mén)已做模糊處理)
從搜索引擎中可以搜索到,漢邦高科的管理后臺(tái)多大69000個(gè)。隨機(jī)挑選20個(gè)后臺(tái)測(cè)試,直接用默認(rèn)口令登陸成功的可達(dá)70%以上。
同樣,在烏云網(wǎng)中的描述,??低暠O(jiān)控后臺(tái)99%存在弱口令(WooYun-2013-25026)。
2、平臺(tái)漏洞
早期,視頻監(jiān)控系統(tǒng)中所有的監(jiān)控都會(huì)接入到一個(gè)終端機(jī)里面。以前的古老錄像機(jī)是不帶網(wǎng)絡(luò)接口的,只能本地查看?,F(xiàn)在的錄像機(jī)都帶網(wǎng)絡(luò)接口,里面運(yùn)行的是一個(gè)mini的linux系統(tǒng)。同時(shí)對(duì)應(yīng)的管理平臺(tái)通常都會(huì)使用struts2等框架。在網(wǎng)絡(luò)安全界,Linux系統(tǒng)、struts2都爆出了眾所周知的漏洞。
在安防界,除了一流廠(chǎng)商能自主研發(fā)系統(tǒng)平臺(tái)外,大多數(shù)企業(yè)都在這些平臺(tái)上進(jìn)行微創(chuàng)新或直接抄襲。這就導(dǎo)致了一個(gè)問(wèn)題:當(dāng)主流平臺(tái)方案出來(lái)產(chǎn)生了漏洞,業(yè)界的監(jiān)控系統(tǒng)就基本成全是漏洞了。所以,在多數(shù)情況下,這些監(jiān)控設(shè)備一旦接入網(wǎng)絡(luò),就給黑客入侵提供了機(jī)會(huì)。
在首屆網(wǎng)絡(luò)安全宣傳周來(lái)臨之際,筆者給出幾點(diǎn)防范方案。
廠(chǎng)商方面:及時(shí)介入以修復(fù)漏洞、控制風(fēng)險(xiǎn)。安防廠(chǎng)商應(yīng)定期升級(jí)產(chǎn)品固件、修復(fù)漏洞等,為用戶(hù)提供高效、專(zhuān)業(yè)的服務(wù),為監(jiān)控?cái)?shù)據(jù)安全護(hù)航。
監(jiān)控管理方:培養(yǎng)操作人員的安全管理意識(shí),設(shè)定復(fù)雜密碼策略,盡量避免接入互聯(lián)網(wǎng)。一定要開(kāi)啟遠(yuǎn)程訪(fǎng)問(wèn)時(shí),建議更改訪(fǎng)問(wèn)的網(wǎng)址,防止黑客在獲取相同品牌監(jiān)控設(shè)備的技術(shù)要點(diǎn)之后,可以攻破使用該設(shè)備的所有用戶(hù),減少風(fēng)險(xiǎn)存在的可能。
網(wǎng)絡(luò)化已經(jīng)成為安防行業(yè)發(fā)展的趨勢(shì),如何解決網(wǎng)絡(luò)監(jiān)控隱患問(wèn)題,安防廠(chǎng)商作為源頭必將要加強(qiáng)相關(guān)技術(shù)研發(fā)和管理,切實(shí)將用戶(hù)利益放在首位。監(jiān)控系統(tǒng)管理方也應(yīng)該樹(shù)立安全意識(shí),力保監(jiān)控系統(tǒng),乃至整個(gè)安防系統(tǒng)的穩(wěn)定運(yùn)行。
而針對(duì)網(wǎng)絡(luò)監(jiān)控的技術(shù)人才缺乏,企業(yè)單打獨(dú)斗,管理理念等問(wèn)題,需要行業(yè)各個(gè)環(huán)節(jié)共同努力。無(wú)論政府部門(mén),協(xié)會(huì),還是安防企業(yè),作為行業(yè)的細(xì)胞,都應(yīng)該為推動(dòng)網(wǎng)絡(luò)監(jiān)控的發(fā)展共同努力。