高陽

近日據(jù)媒體報(bào)道，俄羅斯莫斯科市準(zhǔn)備在全市17萬個(gè)閉路監(jiān)控?cái)z像頭系統(tǒng)中引入人臉識(shí)別技術(shù)，以便快速鎖定罪犯，提升城市的安全級(jí)別系數(shù)。

隨著面部識(shí)別技術(shù)日趨成熟，越來越高的準(zhǔn)確率使得這一技術(shù)逐步進(jìn)入了消費(fèi)者應(yīng)用市場。如微軟公司開發(fā)的Windows 10操作系統(tǒng)，就能夠用人臉識(shí)別解鎖電腦，另外三星電子也在智能手機(jī)中引入了面部識(shí)別，在蘋果公司新發(fā)布的iPhone X手機(jī)中，更是在行業(yè)第一次內(nèi)推出了三維臉部識(shí)別技術(shù)。似乎，攝像頭的廣泛應(yīng)用大有取代指紋識(shí)別，成為新的身份驗(yàn)證方式之勢。

360公司在去年5月上海亞洲電子展（CES Asia 2016）上發(fā)布的《國內(nèi)智能家庭攝像頭安全狀況評估報(bào)告》指出，我國市場上近八成攝像頭存在用戶信息泄露、數(shù)據(jù)傳輸未加密、APP不防護(hù)、代碼邏輯存在缺陷、硬件存在調(diào)試接口、可橫向控制等安全缺陷。攝像頭隱藏著安全大隱患，亟待研究防范。

攝像頭帶來安全大隱患

“包括傳統(tǒng)攝像頭和智能攝像頭在內(nèi)的視頻監(jiān)控系統(tǒng)可以稱作是‘物聯(lián)網(wǎng)之眼?！爆F(xiàn)就職于某互聯(lián)網(wǎng)中心、主要負(fù)責(zé)研究網(wǎng)絡(luò)信息和物聯(lián)網(wǎng)安全的王暉博士對《中國計(jì)算機(jī)報(bào)》記者介紹說，“不論是交通、工廠、公安等公用物聯(lián)網(wǎng)范疇，還是個(gè)人電腦、手機(jī)這類的民用領(lǐng)域，都離不開攝像頭設(shè)備?！?/p>

據(jù)了解，自2005年以來公安部和有關(guān)機(jī)構(gòu)在全國范圍內(nèi)開始推行“平安城市”“天網(wǎng)工程”等重大安防項(xiàng)目，視頻監(jiān)控正是其中核心推進(jìn)的內(nèi)容。“我區(qū)僅屬于公安系統(tǒng)的攝像頭在2012年啟用時(shí)就達(dá)到了2800個(gè)。”北京市某區(qū)公安系統(tǒng)負(fù)責(zé)人對《中國計(jì)算機(jī)報(bào)》記者介紹道。據(jù)不完全統(tǒng)計(jì)，截至2009年年底，北京市監(jiān)控?cái)z像頭總量為39萬余個(gè)，按照北京2000萬人口算，平均每千人約有20臺(tái)監(jiān)控?cái)z像頭。

“攝像頭大范圍使用的同時(shí)也帶來了安全問題?！蓖鯐煴硎灸壳安徽撌枪眠€是民用的攝像頭安全狀況均不樂觀?！吨袊?jì)算機(jī)報(bào)》記者從國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）了解到，目前僅公用領(lǐng)域的安防攝像頭就存在著安全漏洞多、更新補(bǔ)丁響應(yīng)速度慢，以及管理員防范意識(shí)薄弱的問題。

“而民用領(lǐng)域的攝像頭安全狀況也不容樂觀?！逼婊?60公司網(wǎng)絡(luò)安全中心的負(fù)責(zé)人對《中國計(jì)算機(jī)報(bào)》記者表示，“這些安全缺陷的存在讓接入網(wǎng)絡(luò)的智能攝像頭可輕易被黑客控制，并隨時(shí)獲取攝像頭的圖像和語音信息，對用戶進(jìn)行監(jiān)控甚至網(wǎng)上直播?！?/p>

據(jù)悉，國外著名網(wǎng)絡(luò)漏洞搜索平臺(tái)Shodan在2016年1月開放了關(guān)于IoT漏洞的搜索，在IoT漏洞中搜索最多的就是智能攝像頭和工業(yè)安防攝像頭的漏洞。

黑客可以輕易找到漏洞

“視頻監(jiān)控系統(tǒng)大致可分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層五個(gè)層次?！北本┳锨G視通科技有限公司產(chǎn)品總監(jiān)于澤向《中國計(jì)算機(jī)報(bào)》記者介紹說，“從終端到傳輸再到管理設(shè)備的每一個(gè)環(huán)節(jié)均面臨重大的安全風(fēng)險(xiǎn)?！?/p>

由于攝像頭一般都暴露在外，復(fù)雜多變的環(huán)境和缺乏專人實(shí)時(shí)監(jiān)管，這一層面面臨著諸多安全不確定性?！岸诰W(wǎng)絡(luò)層主要?jiǎng)t面臨如DDoS攻擊、IP地址仿冒、非授權(quán)訪問或入侵等。這些安全威脅一方面會(huì)造成網(wǎng)絡(luò)癱瘓，致使視頻監(jiān)控系統(tǒng)無法工作，另一方面也可能會(huì)造成視頻監(jiān)控內(nèi)容被惡意篡改、丟失或被公開。”王暉說。

而個(gè)人安全防范意識(shí)薄弱也為不法分子帶來了可乘之機(jī)?！笆褂萌笔∶荑€、弱密鑰和克隆密鑰等用戶習(xí)慣極易讓不法之徒抓住機(jī)會(huì)?！蓖教┑赂笨偣こ處熩w林向《中國計(jì)算機(jī)報(bào)》記者介紹說。

黑客通過簡單的一個(gè)后門程序便可以輕易篡改視頻內(nèi)容、中斷監(jiān)控、竊取機(jī)密信息甚至將其作為“跳板”對其他核心設(shè)備進(jìn)行攻擊。據(jù)了解，在國外安全廠商Incapsula 10月份的一份報(bào)告中提到其監(jiān)測到一次DDoS攻擊，該攻擊利用了900個(gè)CCTV攝像頭，就發(fā)起了峰值達(dá)到每秒20000次http GET請求，而攻擊者之所以能夠輕易利用這些攝像頭，其原因就是這些攝像頭都采用了默認(rèn)的登錄憑證，可遠(yuǎn)程登錄并控制。

由于安防設(shè)備廠家良莠不齊，而業(yè)內(nèi)又缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，使得黑客可以輕易找到漏洞，令用戶防不勝防。同時(shí)，物聯(lián)網(wǎng)設(shè)備廠商也缺乏足夠的安全響應(yīng)能力，補(bǔ)丁更新緩慢也成為了視頻安防設(shè)備顯得“很脆弱”的一大原因。

攝像頭系統(tǒng)更新和維護(hù)很重要

一般來說，安全等級(jí)和防護(hù)級(jí)別是成正相關(guān)的，諸如網(wǎng)絡(luò)廣播電視或是涉密單位的安防系統(tǒng)，一般都是自己建網(wǎng)。通過自行搭建局域網(wǎng)的方式，使包括攝像頭在內(nèi)的物聯(lián)網(wǎng)設(shè)備完全隔離在互聯(lián)網(wǎng)之外，這樣便杜絕了來自互聯(lián)網(wǎng)的黑客攻擊。

但是這并不意味著就可以高枕無憂了。通過調(diào)查發(fā)現(xiàn)，正是由于自認(rèn)為和互聯(lián)網(wǎng)隔絕很安全，因此太多的設(shè)備使用方忽略了安防設(shè)備的后期更新和維護(hù)。

據(jù)了解，2015年年初，政府機(jī)關(guān)和公共行業(yè)廣泛使用的某型號(hào)監(jiān)控設(shè)備被曝存在高危漏洞，并已被利用植入惡意代碼，導(dǎo)致部分設(shè)備被遠(yuǎn)程控制并可對外發(fā)動(dòng)網(wǎng)絡(luò)攻擊。CNCERT核查發(fā)現(xiàn)，我國主要廠商生產(chǎn)的同類型設(shè)備，普遍存在類似安全問題，亟須進(jìn)行大范圍整改升級(jí)。

相反，對于家用攝像頭來說，由于連接了互聯(lián)網(wǎng)，使之可以及時(shí)獲得更新補(bǔ)丁，提升了安全防護(hù)層級(jí)。但這對制造智能硬件設(shè)備廠家的響應(yīng)速度和更新頻率帶來了更高的要求。

而對于如何能夠保障自己的智能攝像頭的隱私不會(huì)被泄露，北京紫荊視通科技有限公司的運(yùn)行維護(hù)工程師馬海波給出了一些建議：“首先在購買的時(shí)候?qū)λx品牌的智能攝像頭要進(jìn)行一些調(diào)查，要選擇一個(gè)口碑不錯(cuò)、價(jià)格合適的攝像頭；其次在使用的時(shí)候要設(shè)置一定強(qiáng)度的密碼并養(yǎng)成經(jīng)常修改密碼的習(xí)慣；最后要經(jīng)常登錄攝像頭查看畫面角度是否發(fā)生過變化；同時(shí)還要及時(shí)關(guān)注智能攝像頭安全方面的消息，如果設(shè)備出現(xiàn)漏洞就需要等待廠家更新，以保證所使用的智能家庭攝像頭系統(tǒng)是最新版本的?！?/p>

市場研究機(jī)構(gòu)Gartner發(fā)布的數(shù)據(jù)顯示，2015年北美地區(qū)信息安全支出達(dá)339.38億美元，而中國為32.15億美元，僅為美國的9%。這個(gè)投入并不僅僅是在安防硬件設(shè)備上。

“由于目前高清攝像頭需求提升，4K、8K甚至是H.265編碼標(biāo)準(zhǔn)的設(shè)備大量被使用，這就對網(wǎng)絡(luò)帶寬提出了更高的要求，因此信息通信基礎(chǔ)設(shè)施的升級(jí)換代也是促進(jìn)安全等級(jí)提高的重要一環(huán)?！蓖趿终f。endprint