物联网智库 整理发布

转载请注明来源和出处

导  读

总理在政府工作报告中提到:中央预算内投资安排6000亿元。重点支持既促消费惠民生又调结构增后劲的“两新一重”建设。

近日,一群黑客自曝攻击了美国硅谷初创公司Verkada提供的基于云的摄像头服务,采集了摄像机数据,并盗取了15万个监控摄像头的实时视频,涉及医院、诊所、公司、警察部门、监狱、学校、精神病院等众多场景,尤为引发关注的是,其中还包括特斯拉工厂和仓库内的222个摄像头。

黑客爆料:入侵并不复杂

事件发生后,Verkada公司立即进行应急响应,禁用所有内部管理员帐户,以防止任何未经授权的访问,并进行调查取证。该公司同时表示,截至美国时间3月9日中午,系统仍是安全的,没有用户密码泄露,黑客只是获得了摄像头的访问权限和客户名单,同时已就大规模黑客入侵事件联系了美国联邦调查局。

特斯拉也回应称,此次黑客的入侵范围仅涉及河南一处特斯拉供应商生产现场,此工厂使用了少数Verkada品牌摄像机用作远程质量管理,其他如上海超级工厂与此并不关联,且其他摄像设备均接入公司内网而非互联网。目前,特斯拉已停止了这些摄像头的联网,并将进一步提升各环节的安全把控。

然而,在所有公司忙着应急响应、公开辟谣的时候,黑客组织成员蒂莉·科特曼(Tillie Kottmann)却表示,入侵Verkada摄像头的方法并不复杂——仅仅是在互联网上发现了一个公开的管理员账户的用户名和密码就进入了Verkada网络内部,甚至他们还能获得摄像头的root权限,利用摄像头执行自己的代码。

同时,科特曼还表示,此举的目的是向大众展示视频监控的普及程度以及系统是如何被轻松入侵的,目前并未给波及单位造成明显商业损失。显然,侮辱性极强。但是,这次网络安全攻击也确实为物联网行业敲响了警钟。

国内外安全攻击频发

近年来,视频监控技术在AI、大数据、云平台的加持下大规模落地于各个行业,广泛覆盖公共道路、办公楼、商超大厦、学校、医院、工厂等场景,甚至在私密性极强的家居场景也不乏网络摄像头。后疫情时代,人们更是对机器视觉催生出的人脸识别、无接触测温、远程办公、远程医疗、在线教育等一众智能应用愈发地依赖。

根据中国安全防范产品行业协会的预测,未来几年国内外对安防技术产品的基本建设需求、系统的升级换代需求以及新业态的拓展,都将保持稳定增长的趋势,预计“十三五”期间中国安防行业经济增长将保持在10%-12%之间 ,2020年行业经济总收入将达到8000亿元左右,安防行业增加值将达到2500亿元左右。

业内常言,多一个接入点就多一个攻击点。但是,随着智能终端的爆发式增长,安全攻击入口自然随之而来,贯穿数据产生与采集、数据传输、数据存储、数据分析、数据应用全链路,涉及数据生产者、数据收集者、数据存储方、数据使用者等各级企业,存在着数据窃取、数据破坏、非法监控、非法篡改等诸多安全问题,网络结构的复杂化也在不断提升着安全防御的难度。

然而,从这次Verkada公司攻击事件来看,黑客并没有对特斯拉工厂或者美国医院、监狱的任何一个接入点动手,而是直捣黄龙,“大摇大摆”地走进了Verkada公司的网络内部。正如电子前沿基金会网络安全负责人伊娃·戈尔佩林(Eva Galperin)所讲,有些公司在将安全摄像头放在比较敏感的地方时,可能并没有想到这些视频除了被自己的安全团队使用外,也能被摄像头厂商查看。

在网络摄像机如火如荼发展的这些年中,它的负面消息也从未间断。

2014年,海康威视 DVR、NVR 产品的返修数量非正常升高,公司发现系网络攻击导致。经排查,被攻击的设备均应用于互联网且未修改设备初始密码,黑客持续利用美国、瑞典、荷兰等境外服务器资源,直接通过初始密码Telnet登录,并植入脚本文件,进而挟持、破坏设备固件。公安系统设备甚至也可能暴露于攻击范围内。

2018年,外媒报道,数以万计的大华设备的登陆密码被缓存在ZoomEye物联网搜索引擎的搜索结果中,这些密码适用于运行有老旧固件的大华DVR,攻击者可以在37777端口上的大华DVR启动原始TCP连接,以发送特殊的有效载荷,一旦大华设备收到此有效负载,它将以DDNS凭证响应从而访问设备和其他数据,这一切都以明文形式进行响应。虽然该漏洞已于2013年被发现、修补,但仍有大批大华设备仍未更新。

2019年,温州警方曾破获了一起非法贩卖某品牌APP扫描工具以及利用APP扫描工具对他人的摄像头进行扫描、控制达到数十万只的案件。

2020年,黑客入侵面部识别初创公司Clearview AI,访问了该公司的客户名单、客户建立的用户账户数量,以及客户进行的搜索次数等,其中涉及到的客户包括执法机构、银行等。据了解,Clearview AI 的图片库主要来源于互联网,其中包括来自 Facebook、Instagram、Twitter 和 YouTube 等流行社交媒体平台的照片,总量达 30 多亿张,远超 FBI 的数据库。

……

转守为攻,构建主动安全机制

身处智能时代,安全之于用户意味着在享受智能终端便利的同时无隐私泄露之忧;安全之于企业意味着生产、工作有序完成的基础保障。此外,人脸识别广泛应用的同时,人脸数据的泄露不仅关乎个人隐私,也可能同时造成难以挽回的经济损失。所以,企业必须要扭转“被动挨打”的窘境,主动出击。

网络安全永远是攻击者与防御者之间的博弈,当单纯防御与应急响应无法满足实际需求时,这场猫鼠游戏的角色也在悄然转变,企业正在逐步迈入主动安全时代。

早在2017年,新华三集团便在业界率先提出了“主动安全”理念,以主动发现、智能分析、提前预警、及时响应为核心目的,并已经演进至2．0阶段,实现了云-管-边-端的全面AI赋能及全面云化,通过组件级、产品级和解决方案级协同实现了覆盖路由层、交换层、无线端、终端、计算方、存储方的更广域连接;实现了包含篡改网址阻断、风险用户下线、风险主机隔离在内的更深层响应;涵盖了安全运维一体化、物联网安全、视频安全、云安全在内的更广泛场景。

2018年,360公司创始人周鸿祎在第二届世界智能大会上,首次提出了360“安全大脑”的全新概念,以安全大数据分析为基础,构建网络空间的雷达系统。基于大范围、长时间、多维度的安全大数据,综合运用大数据分析、机器学习以及人机结合等关键技术,感知安全风险,且具备自我学习、自我演进的能力,可实现对新威胁的识别,还可依据安全大数据及先验知识或规则进行推理,并对未来可能发生的网络安全威胁和攻击进行预测。同时,综合利用各种技术,实现对网络安全威胁的分析、判断、处置、响应、反制等决策进行辅助。

此外,面对物联网安全领域的严峻挑战,企业也纷纷开始布局。赛普拉斯面向物联网开发者推出了保证物联网安全的方案;紫光国微的THD89芯片在敏感信息加密存储、安全认证等方面提供了完整解决方案,可有效保障物联网的终端安全;国民技术推出了一系列嵌入式应用的安全芯片及安全MCU产品;英飞凌也推出了基于硬件的安全解决方案,以保障物联网设备“上云”的安全性。

写在最后

安全领域的攻防对抗不会停止,防御挑战也将随着物联网终端数量的增加与赋能场景的扩张而升级,幸而在AI、大数据等技术的加持下,主动安全机制正在不断完善、演进,进而帮助企业提升安全能力。

参考资料:

1、《黑客入侵15万个摄像头,偶然曝光特斯拉上海工厂实况!》,智东西

2、《起因222个摄像头,特斯拉工厂教会IoT行业的事》,物联传媒

3、《海康威视遭遇“安全门” 黑客境外攻击已达半年》,北京青年报

4、《2020年中国“AI+安防”行业研究报告》。36氪研究院

5、《数万台大华设备现漏洞 密码暴露于ZoomEye物联网搜索引擎》,天极网

6、《全世界运行着大约230亿台物联网设备,安全问题如何解?》,中国电子报