信息化觀察網(wǎng)

得益于物聯(lián)網(wǎng)技術(shù)的發(fā)展，人類社會(huì)正在擁抱一個(gè)前所未有的互聯(lián)世界。其中，隨著物聯(lián)網(wǎng)進(jìn)程加快，作為傳統(tǒng)攝像機(jī)與網(wǎng)絡(luò)視頻技術(shù)相結(jié)合的智能網(wǎng)絡(luò)攝像頭正不斷向各個(gè)行業(yè)滲透。

顯然，移動(dòng)互聯(lián)網(wǎng)的時(shí)代里，遠(yuǎn)程辦公、在線教育、線上娛樂等多種場景都需要網(wǎng)絡(luò)攝像頭參與，交通監(jiān)管、智慧安防也離不開網(wǎng)絡(luò)攝像頭輔助，智能手機(jī)、智能家居等設(shè)備的普及應(yīng)用，更使得網(wǎng)絡(luò)攝像頭逐漸成為生活“標(biāo)配”。

日前，IDC發(fā)布數(shù)據(jù)顯示，2020年第四季度，中國家庭安全/監(jiān)控設(shè)備銷售額接近6億美元，出貨量為817萬臺(tái)，同比增長24.9%。然而，在只能網(wǎng)絡(luò)攝像頭發(fā)展的背后，犯罪也在滋生。比如，不法分子破解大量私人住宅和公共場所攝像頭，售賣拍攝內(nèi)容，再比如，不法分子利用監(jiān)視內(nèi)容行使威脅和詐騙。

網(wǎng)絡(luò)攝像頭為什么成為了“法外之眼”，如何避免網(wǎng)絡(luò)攝像頭成為“法外之眼”？

網(wǎng)絡(luò)攝像頭的“法外之眼”

當(dāng)前，攝像頭對(duì)公網(wǎng)開放的安全問題已是全世界共同面臨的重要挑戰(zhàn)。隨著“互聯(lián)網(wǎng)+”模式的興起，物聯(lián)網(wǎng)已呈現(xiàn)出爆發(fā)式增長和普遍化發(fā)展的趨勢。如果說在互聯(lián)網(wǎng)時(shí)代，硬件和系統(tǒng)漏洞帶來的危害尚局限于用戶，那么，在萬物互聯(lián)時(shí)代，由其衍生的危害將延伸至人們的人身安全。

根據(jù)北京華順信安科技有限公司白帽匯安全研究院曾發(fā)布的《網(wǎng)絡(luò)空間測繪系列——2018年攝像頭安全報(bào)告》，攝像頭已經(jīng)無所不在。全球228個(gè)國家和地區(qū)，8063個(gè)城市，2635萬個(gè)攝像頭暴露在公網(wǎng)。越來越多攝像頭的暴露，也讓DDoS攻擊、機(jī)構(gòu)安全風(fēng)險(xiǎn)、個(gè)人隱私泄露等事件層出不窮，黑產(chǎn)猖獗。

比如，2016年造成美國互聯(lián)網(wǎng)大面積癱瘓的Dyn事件，就是主要由攝像頭組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊所造成。2016年10月21號(hào)，DNS服務(wù)商Dyn受到攻擊。Dyn公司稱此次DDoS攻擊行為來自一千萬個(gè)IP來源，其中重要的攻擊來源于物聯(lián)網(wǎng)設(shè)備。這些設(shè)備遭受一種稱為Mirai病毒的入侵攻擊，大量設(shè)備形成了引發(fā)DDOS攻擊的僵尸網(wǎng)絡(luò)。

其中，受Mirai病毒入侵的物聯(lián)網(wǎng)設(shè)備就包括大量網(wǎng)絡(luò)攝像頭，Mirai病毒攻擊這些物聯(lián)網(wǎng)設(shè)備的主要手段是通過出廠時(shí)的登錄用戶名和并不復(fù)雜的口令猜測。事后，一些網(wǎng)絡(luò)攝像頭廠商及時(shí)更新了登陸口令，但有些廠商的設(shè)備使用了固定用戶名和口令的登錄方式，沒有提供口令修改功能，以至于面對(duì)Mirai病毒的肆虐依舊無能為力。

當(dāng)前，智能網(wǎng)絡(luò)攝像頭幾乎已經(jīng)全面進(jìn)入人們的生產(chǎn)和生活。不論是戶外的城市管理，還是餐飲領(lǐng)域的餐廳酒店。除了公共區(qū)域，對(duì)于不少人來說，攝像頭還已經(jīng)進(jìn)入了家里。安裝攝像頭可以防盜，可以監(jiān)控到家里的寵物和小孩的一舉一動(dòng)，但是想要做到實(shí)時(shí)監(jiān)控就不可以避免的需要接入網(wǎng)絡(luò)。

然而，一旦進(jìn)入到網(wǎng)絡(luò)世界之中后，個(gè)人隱私卻無法得到安全的保障。一些核心功能是監(jiān)控的智能攝像頭，因?yàn)楹喴椎土?，最容易成為黑客攻擊的?duì)象，再加上許多生產(chǎn)智能攝像頭的廠商其實(shí)在技術(shù)實(shí)力上并不過關(guān)，云計(jì)算、AI背景下的安全審計(jì)流程，產(chǎn)品缺乏遠(yuǎn)程更新機(jī)制、存在可以控制系統(tǒng)的設(shè)計(jì)缺陷等等。

而黑客就能夠憑借著這些漏洞缺陷，直接通過暴力手段來破解智能攝像頭，直接在IP端進(jìn)行攔截，對(duì)用戶的登陸秘鑰、影像內(nèi)容等敏感信息一覽無余。并且，通過售賣隱私視頻、劫持?jǐn)z像頭“挖礦”等方式來攫取利益。

比如，就有不法分子利用部分產(chǎn)品的技術(shù)漏洞破解大量攝像頭IP地址，高價(jià)售賣破解軟件與“偷窺套餐”；也有違法商家未經(jīng)用戶允許遠(yuǎn)程操縱攝像頭“直播”，公然監(jiān)視他人生活，給公民隱私帶來巨大威脅。

顯然，以攝像頭網(wǎng)絡(luò)為代表的物聯(lián)網(wǎng)系統(tǒng)，已經(jīng)成為一個(gè)智能數(shù)據(jù)聚合的生態(tài)系統(tǒng)，與個(gè)人、機(jī)構(gòu)的信息財(cái)產(chǎn)安全直接關(guān)聯(lián)，這意味著，系統(tǒng)被攻破的風(fēng)險(xiǎn)成本更高。

如果黑客攻破的是私人汽車上的智能攝像頭，引發(fā)的很可能就是車聯(lián)網(wǎng)系統(tǒng)的連鎖反應(yīng)及公共安全危害；偽造人臉欺騙公司的門禁系統(tǒng)，造成重要資料外泄；智慧城市的公共攝像頭網(wǎng)絡(luò)被入侵，那交出的則是所有市民、管理系統(tǒng)的重要數(shù)據(jù)。安全已成為當(dāng)前網(wǎng)絡(luò)攝像頭行業(yè)迫切需要回應(yīng)的關(guān)鍵問題。

提供安全并非易事

網(wǎng)絡(luò)攝像頭的安全隱患，無論是對(duì)于工業(yè)互聯(lián)網(wǎng)，還是企業(yè)安全和公共安全，以及家庭的個(gè)人隱私都是極大的威脅。考慮到未來可能成百億的攝像頭設(shè)備仍將互聯(lián)，社會(huì)必須要網(wǎng)絡(luò)攝像頭的安全給予足夠的重視，但想要有效治理網(wǎng)絡(luò)攝像頭行業(yè)，消除安全隱患卻并非易事。

首先，作為分布廣而且24小時(shí)在線的網(wǎng)絡(luò)攝像頭，攝像頭產(chǎn)品質(zhì)量瑕疵、云端安全防護(hù)脆弱、應(yīng)用端使用弱口令等都可能導(dǎo)致網(wǎng)絡(luò)攝像頭泄露隱私。智能攝像頭的市場龐大，廠商生產(chǎn)出來的產(chǎn)品質(zhì)量也是參差不齊。遍布在城市中的一些價(jià)格低廉，安全防護(hù)技術(shù)不過關(guān)的智能攝像頭就成了黑客眼中的“香餑餑”。

目前公開的攝像頭漏洞中，中國的福斯康姆(Foscam)攝像頭漏洞數(shù)量最多，達(dá)65條以上，占?xì)v年攝像頭漏洞總量的18%；法國施耐德旗下派爾高(pelco)攝像頭漏洞數(shù)量位列第二，達(dá)37條以上，占?xì)v年攝像頭漏洞總量的10%；日本艾威數(shù)據(jù)(I-O DATA)攝像頭位列第三，達(dá)32條以上。從攝像頭品牌的漏洞數(shù)量對(duì)比來看，市場占有量大的廠商安全性反而較高。

其次，網(wǎng)絡(luò)攝像頭破解技術(shù)日趨隱蔽化、專業(yè)化。隨著網(wǎng)絡(luò)技術(shù)在各個(gè)行業(yè)的應(yīng)用，網(wǎng)絡(luò)的重要性越來越高的同時(shí)，網(wǎng)絡(luò)黑客的技術(shù)手段也越來越高。網(wǎng)絡(luò)黑客從早期的個(gè)人惡作劇行為，到后來的有組織行為，再到后來的有地下產(chǎn)業(yè)鏈，直到今天的網(wǎng)絡(luò)戰(zhàn)爭，黑客已經(jīng)不僅僅是地下組織，還包括國家團(tuán)體。因此，黑客的攻擊手段，可能也遠(yuǎn)超過人們的想象。

最后，網(wǎng)絡(luò)攝像頭隱私泄露犯罪組織逐漸產(chǎn)業(yè)化、鏈條化。這也是新型網(wǎng)絡(luò)隱私犯罪的源頭，不法分子往往會(huì)利用更新迭代的技術(shù)開發(fā)破解工具，攻破廠商設(shè)置的安全防線，對(duì)偵查工作提出挑戰(zhàn)。而犯罪行為的產(chǎn)業(yè)化和鏈條化不僅擴(kuò)大了犯罪主體和地域范圍，還擴(kuò)展了犯罪場景，大大提高了監(jiān)管難度。

在這樣的背景下，想要從根本上解決攝像頭安全問題，就需安全管理和安全技術(shù)的相結(jié)合，即加強(qiáng)安全管理措施，同時(shí)輔以技術(shù)手段提高效率。

管理方面，要建立攝像頭的相關(guān)安全標(biāo)準(zhǔn)，把攝像頭納入網(wǎng)絡(luò)資產(chǎn)，進(jìn)行統(tǒng)一化的安全管理。當(dāng)前，盡管我國已經(jīng)發(fā)布的針對(duì)公共視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)的應(yīng)用技術(shù)標(biāo)準(zhǔn)、合格評(píng)定、管理規(guī)范體系，但這些標(biāo)準(zhǔn)主要還是對(duì)公共視頻監(jiān)控領(lǐng)域攝像頭設(shè)備的要求，并未有效的約束消費(fèi)市場智能攝像頭產(chǎn)品的質(zhì)量要求。

保證用戶隱私和網(wǎng)絡(luò)資源不被濫用的基礎(chǔ)，依然是攝像頭廠商能充分考慮黑客的攻擊場景，并規(guī)避潛在的產(chǎn)品配置和代碼缺陷。此外，對(duì)于企業(yè)級(jí)的攝像頭產(chǎn)品用戶，在部署較多攝像頭相關(guān)設(shè)備，并連接公網(wǎng)的情況下，可以進(jìn)一步考慮使用具有攝像頭漏洞攻擊防護(hù)能力的專業(yè)網(wǎng)絡(luò)安全設(shè)備，進(jìn)一步保障網(wǎng)絡(luò)安全，杜絕攝像頭計(jì)算資源被僵尸網(wǎng)絡(luò)等惡意軟件或攻擊者攻擊的隱患。

技術(shù)方面，制造商則需要加強(qiáng)安全意識(shí)、建立安全開發(fā)流程，并對(duì)產(chǎn)品進(jìn)行檢查和跟蹤等。安全廠商則要從防護(hù)、檢測、網(wǎng)絡(luò)、通訊、硬軟件等多個(gè)維度為用戶提供合適的安全解決方案。

盡管相比許多網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)攝像頭只是個(gè)低價(jià)值設(shè)備，但是，一旦數(shù)量規(guī)模很大時(shí)，作為這類設(shè)備的整體，將對(duì)網(wǎng)絡(luò)安全產(chǎn)生重要的影響。安全防護(hù)并非看上去的輕易，沒有專業(yè)團(tuán)隊(duì)的設(shè)計(jì)研發(fā)，將有可能導(dǎo)致事倍功半的結(jié)果。

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的進(jìn)步，網(wǎng)絡(luò)攝像頭等智能設(shè)備的應(yīng)用前景會(huì)更加廣闊。但在科技發(fā)展的同時(shí)，堅(jiān)守安全的規(guī)則底線，則是數(shù)字時(shí)代走向便捷生活的應(yīng)有之義。