安防系統(tǒng)臨安全大考 信息安全無(wú)法回避

責(zé)任編輯:editor006

2014-12-05 17:17:06

摘自:智慧安防

從中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(中央網(wǎng)信辦)獲悉,中國(guó)首屆國(guó)家網(wǎng)絡(luò)安全宣傳周于24日正式啟動(dòng)。同樣,在烏云網(wǎng)中的描述,??低暠O(jiān)控后臺(tái)99%存在弱口令(WooYun-2013-25026)。

從中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(中央網(wǎng)信辦)獲悉,中國(guó)首屆國(guó)家網(wǎng)絡(luò)安全宣傳周于24日正式啟動(dòng)。

首屆國(guó)家網(wǎng)絡(luò)安全宣傳周是我國(guó)第一次舉辦全國(guó)范圍的網(wǎng)絡(luò)安全主題宣傳活動(dòng),不僅國(guó)家有關(guān)職能部門(mén)共同參與主辦,各省、自治區(qū)、直轄市也將同期舉辦相關(guān)主題活動(dòng),在全國(guó)掀起網(wǎng)絡(luò)安全宣傳的高潮。

宣傳周以“共建網(wǎng)絡(luò)安全,共享網(wǎng)絡(luò)文明”為主題,將圍繞金融、電信、電子政務(wù)、電子商務(wù)等重點(diǎn)領(lǐng)域和行業(yè)網(wǎng)絡(luò)安全問(wèn)題,針對(duì)社會(huì)公眾關(guān)注的熱點(diǎn)問(wèn)題,舉辦網(wǎng)絡(luò)安全體驗(yàn)展等系列主題宣傳活動(dòng),營(yíng)造網(wǎng)絡(luò)安全人人有責(zé)、人人參與的良好氛圍。

1

為此,筆者將帶領(lǐng)大家來(lái)探討一下安防領(lǐng)域的網(wǎng)絡(luò)安全。本文將從安防領(lǐng)域的子系統(tǒng)——“視頻監(jiān)控系統(tǒng)”入手。

早在今年3月份,中央電視臺(tái)就報(bào)道了家庭監(jiān)控器存在較高安全隱患的問(wèn)題,黑客利用漏洞攻破網(wǎng)絡(luò)監(jiān)視系統(tǒng),竊取用戶(hù)隱私。不僅家庭網(wǎng)絡(luò)監(jiān)視系統(tǒng),公共場(chǎng)所、銀行、辦公室、監(jiān)獄等的網(wǎng)絡(luò)監(jiān)控系統(tǒng)同樣存在隱私泄露的風(fēng)險(xiǎn)。伴隨技術(shù)的發(fā)展,網(wǎng)絡(luò)監(jiān)控逐漸取代模擬監(jiān)控越來(lái)越多應(yīng)用到各個(gè)領(lǐng)域。

筆者在網(wǎng)絡(luò)安全領(lǐng)域權(quán)威的漏洞信息庫(kù)WooYun烏云網(wǎng)、綠盟科技以及國(guó)家信息安全漏洞共享平臺(tái)了解到,有關(guān)安防系統(tǒng)的“監(jiān)控?cái)z像頭”的漏洞信息就達(dá)180條之多,而這僅僅是安防系統(tǒng)中存在被入侵或者泄露漏洞的冰山一角。在這些漏洞信息庫(kù)里可以看到,不乏??怠⒑?、漢邦高科等主流廠(chǎng)商的漏洞信息。

1

1

1

在這些漏洞中,有弱口令、繞過(guò)認(rèn)證、明文傳輸、注入漏洞、跨站攻擊、拒絕服務(wù)攻擊、linux平臺(tái)自身缺陷等。

為證實(shí)這些描述,筆者將從弱口令和系統(tǒng)平臺(tái)兩個(gè)方面做一個(gè)淺析。

1、弱口令

目前,大多數(shù)的廠(chǎng)商設(shè)置的后臺(tái)默認(rèn)密碼都是admin、888888等,用戶(hù)或者監(jiān)控管理方為了便捷管理,不修改默認(rèn)密碼,也有修改成簡(jiǎn)單密碼方便記憶的。一旦監(jiān)控后臺(tái)管理系統(tǒng)接入如網(wǎng)絡(luò),黑客便可以通過(guò)默認(rèn)密碼以非授權(quán)方式進(jìn)入后臺(tái)查看監(jiān)控畫(huà)面,甚至下載,刪除監(jiān)控記錄。而這些對(duì)于整個(gè)安防系統(tǒng)和個(gè)人隱私都是一種潛在的威脅。

如下筆者以漢邦高科的的默認(rèn)密碼做測(cè)試(注:此處僅作測(cè)試,隱私部門(mén)已做模糊處理)

1

從搜索引擎中可以搜索到,漢邦高科的管理后臺(tái)多大69000個(gè)。隨機(jī)挑選20個(gè)后臺(tái)測(cè)試,直接用默認(rèn)口令登陸成功的可達(dá)70%以上。1

同樣,在烏云網(wǎng)中的描述,??低暠O(jiān)控后臺(tái)99%存在弱口令(WooYun-2013-25026)。

2、平臺(tái)漏洞

早期,視頻監(jiān)控系統(tǒng)中所有的監(jiān)控都會(huì)接入到一個(gè)終端機(jī)里面。以前的古老錄像機(jī)是不帶網(wǎng)絡(luò)接口的,只能本地查看?,F(xiàn)在的錄像機(jī)都帶網(wǎng)絡(luò)接口,里面運(yùn)行的是一個(gè)mini的linux系統(tǒng)。同時(shí)對(duì)應(yīng)的管理平臺(tái)通常都會(huì)使用struts2等框架。在網(wǎng)絡(luò)安全界,Linux系統(tǒng)、struts2都爆出了眾所周知的漏洞。

在安防界,除了一流廠(chǎng)商能自主研發(fā)系統(tǒng)平臺(tái)外,大多數(shù)企業(yè)都在這些平臺(tái)上進(jìn)行微創(chuàng)新或直接抄襲。這就導(dǎo)致了一個(gè)問(wèn)題:當(dāng)主流平臺(tái)方案出來(lái)產(chǎn)生了漏洞,業(yè)界的監(jiān)控系統(tǒng)就基本成全是漏洞了。所以,在多數(shù)情況下,這些監(jiān)控設(shè)備一旦接入網(wǎng)絡(luò),就給黑客入侵提供了機(jī)會(huì)。

在首屆網(wǎng)絡(luò)安全宣傳周來(lái)臨之際,筆者給出幾點(diǎn)防范方案。

廠(chǎng)商方面:及時(shí)介入以修復(fù)漏洞、控制風(fēng)險(xiǎn)。安防廠(chǎng)商應(yīng)定期升級(jí)產(chǎn)品固件、修復(fù)漏洞等,為用戶(hù)提供高效、專(zhuān)業(yè)的服務(wù),為監(jiān)控?cái)?shù)據(jù)安全護(hù)航。

監(jiān)控管理方:培養(yǎng)操作人員的安全管理意識(shí),設(shè)定復(fù)雜密碼策略,盡量避免接入互聯(lián)網(wǎng)。一定要開(kāi)啟遠(yuǎn)程訪(fǎng)問(wèn)時(shí),建議更改訪(fǎng)問(wèn)的網(wǎng)址,防止黑客在獲取相同品牌監(jiān)控設(shè)備的技術(shù)要點(diǎn)之后,可以攻破使用該設(shè)備的所有用戶(hù),減少風(fēng)險(xiǎn)存在的可能。

網(wǎng)絡(luò)化已經(jīng)成為安防行業(yè)發(fā)展的趨勢(shì),如何解決網(wǎng)絡(luò)監(jiān)控隱患問(wèn)題,安防廠(chǎng)商作為源頭必將要加強(qiáng)相關(guān)技術(shù)研發(fā)和管理,切實(shí)將用戶(hù)利益放在首位。監(jiān)控系統(tǒng)管理方也應(yīng)該樹(shù)立安全意識(shí),力保監(jiān)控系統(tǒng),乃至整個(gè)安防系統(tǒng)的穩(wěn)定運(yùn)行。

而針對(duì)網(wǎng)絡(luò)監(jiān)控的技術(shù)人才缺乏,企業(yè)單打獨(dú)斗,管理理念等問(wèn)題,需要行業(yè)各個(gè)環(huán)節(jié)共同努力。無(wú)論政府部門(mén),協(xié)會(huì),還是安防企業(yè),作為行業(yè)的細(xì)胞,都應(yīng)該為推動(dòng)網(wǎng)絡(luò)監(jiān)控的發(fā)展共同努力。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)