12月27日上午，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》。《戰(zhàn)略》指出，網(wǎng)絡(luò)滲透危害政治安全。大規(guī)模網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)竊密等活動(dòng)嚴(yán)重危害國(guó)家政治安全和用戶信息安全。

視頻監(jiān)控網(wǎng)絡(luò)安全的問(wèn)題再次被提及并引起重視。自安防行業(yè)進(jìn)入聯(lián)網(wǎng)時(shí)代以來(lái)，攝像頭被攻擊，導(dǎo)致監(jiān)控遭直播的事件屢屢發(fā)生。如2014年，深圳19個(gè)視頻監(jiān)控遭全球直播;2015年，“3 15”晚會(huì)上揭露了智能攝像頭存在的泄露隱私等安全隱患;2016年12月， 全球被“破解”的攝像頭在Insecam網(wǎng)站上直播， Insecam顯示中國(guó)有164個(gè)攝像頭被直播監(jiān)控畫(huà)面。

小編在27日登陸網(wǎng)站查看時(shí)，顯示有166個(gè)攝像頭被直播監(jiān)控畫(huà)面...

就問(wèn)你怕不怕!

根據(jù)NTI綠盟威脅情報(bào)中心提供的數(shù)據(jù)顯示，中國(guó)境內(nèi)存在安全問(wèn)題的視頻監(jiān)控系統(tǒng)，主要分布在臺(tái)灣(16.1%)和廣東(15.8%)，其次是江蘇(7.9%)、福建(6.0%)、浙江(5.7%)等省份。

而無(wú)論是家庭安保設(shè)備還是商用領(lǐng)域監(jiān)控系統(tǒng)，所有暴露在互聯(lián)網(wǎng)環(huán)境下的設(shè)備都會(huì)面臨黑客攻擊的風(fēng)險(xiǎn)。黑客利用病毒破解設(shè)備的用戶名和密碼，植入腳本文件，將設(shè)備挾持為病毒源，掃描攻擊其它網(wǎng)絡(luò)設(shè)備。

視頻監(jiān)控系統(tǒng)主要存在的漏洞

1.弱口令

大量網(wǎng)絡(luò)視頻監(jiān)控設(shè)備的登錄密碼使用默認(rèn)密碼，這些默認(rèn)密碼大部分是簡(jiǎn)單的弱口令，甚至一些設(shè)備就沒(méi)有設(shè)置缺省密碼，登錄不需要任何的驗(yàn)證, 就可直接看到監(jiān)控視頻。比如，用戶名 admin，密碼為空(設(shè)個(gè)1234567890也比這個(gè)強(qiáng))。

另外，大量設(shè)備生產(chǎn)商使用通用固件，導(dǎo)致這些初始密碼在不同品牌或者同品牌不同類(lèi)型設(shè)備 上是共用的，互聯(lián)網(wǎng)上很容易查到這些設(shè)備的初始密碼(據(jù)說(shuō)網(wǎng)上有一張易用密碼表…)。

2. 系統(tǒng)后門(mén)

有一些設(shè)備存在后門(mén)，可以直接獲取系統(tǒng)的shell 權(quán)限，執(zhí)行 shell 命令，新世界朝你打開(kāi)。

就在11月，12月，有國(guó)內(nèi)外知名廠商都相繼被爆出了攝像頭存在后門(mén)的問(wèn)題，引行業(yè)惶恐。而是否真的存在“后門(mén)”，以及廠商會(huì)不會(huì)設(shè)置“后門(mén)”成為用戶最關(guān)心的問(wèn)題。

3. 遠(yuǎn)程代碼可執(zhí)行漏洞

一些廠家都使用了同一個(gè)監(jiān)控廠商的產(chǎn)品進(jìn)行貼牌生產(chǎn)，這些廠家出于節(jié)約成本的考慮，未做任何安全加固，導(dǎo)致不同品牌的設(shè)備使用默認(rèn)的密碼，或者包含相同的漏洞，這就導(dǎo)致一旦漏洞被爆出，其影響范圍甚廣。這些設(shè)備的 HTTP 頭部 Server 帶均有“Cross Web Server ”特征。利用該漏洞，可獲大量含有此漏洞設(shè)備的 shell 權(quán)限。

用戶的應(yīng)對(duì)措施

而之所以監(jiān)控設(shè)備會(huì)爆出安全漏洞，除了與廠商節(jié)約成本、技術(shù)受限等原因外，與用戶的使用情況也有關(guān)系。用戶普遍缺乏安全意識(shí)，有些設(shè)置很簡(jiǎn)單的密碼，如1234，admin等，有些甚至使用空密碼或者系統(tǒng)默認(rèn)密碼，這樣就給黑客提供了很大的便利，使他們很輕松就能獲得這些系統(tǒng)控制權(quán)限，并進(jìn)一步利用其為之謀利。

盡量避免將網(wǎng)絡(luò)視頻監(jiān)控設(shè)備部署在互聯(lián)網(wǎng)上，可以部署在私網(wǎng)內(nèi)，或者通過(guò) VPN連接訪問(wèn);

用戶要使用強(qiáng)密碼，密碼要使用數(shù)字、特殊符號(hào)和大小寫(xiě)字母組合;

向云端傳輸數(shù)據(jù)的時(shí)候，使用安全的網(wǎng)絡(luò)連接，不要在手機(jī)等控制設(shè)備上存儲(chǔ)賬號(hào)密碼等敏感數(shù)據(jù)，以免手機(jī)被惡意入侵后導(dǎo)致風(fēng)險(xiǎn);

及時(shí)更新最新補(bǔ)丁及固件。

感到欣慰的是，不少?gòu)S商已經(jīng)將監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全納入重要甚至是頭等技術(shù)問(wèn)題。接下來(lái)，我們將邀請(qǐng)知名的安防廠商談?wù)勊麄儗?duì)網(wǎng)絡(luò)安全的看法，以及他們?cè)谔嵘曨l監(jiān)控網(wǎng)絡(luò)安全上做了哪些努力。