每经记者:朱成祥 每经编辑:梁枭 程鹏
“懂的秒进”“一律对床”——这是在QQ上兜售摄像头破解“资源”的销售人员口中的宣传词。黑产从业者先是破解家庭、酒店的摄像头,再将这些“资源”拿到网上售卖。令人惊讶的是,只要支付两三百元,普通人就可以看到陌生人家里的实时监控画面。
大量可远程控制的智能设备方便了人们的生活,同时也给网络犯罪分子打开了新的“牟利之门”。不同于虚拟的互联网,物联网与我们的现实生活息息相关。
物联网是近年新兴的产业,很多厂商较为追求功能性和功耗,相对忽略了其安全性。部分物联网设备处在无安全防御的状态,未来可能将对个人、企业、社会造成较大的损失。
不同于PC端、手机端,物联网设备的安全防护水平通常不高,用户没有相关的杀毒软件可以使用。为了保护用户的隐私,物联网设备提供商理应提供更高等级的安全防护。
摄像头破解黑产泛滥:小心陌生人窥视你的隐私
目前,国内摄像头破解相关黑产泛滥,在很多社交平台、论坛,用户都可以轻松获取相关资源。6月16日,《每日经济新闻》记者就以“摄像头”为关键词搜索QQ群,结果都是诸如“精品高清实时摄像头1”“实时摄像头”“摄像头房间睡觉对床9”这类。
记者加入其中两个群后,马上有三四个销售人员发来消息,兜售摄像头破解资源。其中,昵称为“壳米”的销售人员提供的套餐包括“20酒店、20家庭188元;50酒店50家庭388元”,另一销售人员提供的套餐显示“268元包含20个精品ID,10酒店、10家庭;368元提供38个精品ID高质量内容;568元提供扫码台爆破,可自动搜台附近扫描IP,99个精品有效场景IP。”
“壳米”进一步向记者介绍称,家庭的可以用nvsip观看,酒店的可以用360摄像机观看。另一位销售人员则表示可以通过萤石云观看。记者搜索这些软件发现,均是正规大厂出品的24小时远超监控平台,只是被不法分子用以牟利。
为了证明提供的是实时远程监控,而不是提前录制的视频,“壳米”还向记者提供了一张6月16日晚间的陌生人卧室内实时监控的图片,之后迅速将照片删除。再要求多发几张后,其发给记者的均为闪照,即“阅后即焚”。其余多位销售人员发给记者的,也都是闪照。
图片来源:记者手机QQ软件截图
物联网:网络世界的安全缺口
值得注意的是,物联网安全水平低下也会给整个互联网安全带来巨大影响。
回顾物联网安全事件,最具影响力的当属2016年“Mirai僵尸网络”,其因造成美国大范围网络瘫痪而名噪一时。彼时,由于提供域名解析服务的美国公司Dyn遭受大规模DDoS(拒绝访问服务)攻击,包括Twitter、Reddit等在内的大量互联网知名网站数小时无法正常访问。
而这场攻击的发起方,正是由数十万个摄像头组成的“Mirai僵尸网络”。据了解,“Mirai僵尸网络”竟是由3个95后年轻人一手炮制。其中,主犯Paras Jha负责编写Mirai源代码及运营僵尸网络,并以此发送攻击和在线欺诈。
由于接入网络的摄像头等大量设备存在漏洞,攻击者可以通过越权漏洞或爆破设备的默认用户名和口令,从而控制这些网络摄像头设备。Mirai病毒感染了数十万网络摄像头之后,再利用这些设备进行DDoS攻击。Paras Jha等三人正是利用由网络摄像头等物联网设备等组成的僵尸网络发起DDoS攻击,进而牟利。
2017年,Paras Jha等三人认罪伏法,但是此前他们已经将Mirai的源代码发布到黑客论坛。潘多拉的盒子被Paras Jha打开了。在Mirai之后,一波波改造后的类Mirai僵尸网络继续肆虐,多次感染摄像头、机顶盒、路由器等设备。
2017年11月,Check Point研究人员表示,LG智能家居设备存在漏洞,黑客可以利用该漏洞完全控制一个用户账户,然后远程劫持LG SmartThinQ家用电器,包括冰箱、干衣机、洗碗机、微波炉以及吸尘机器人。
提高产品防护水平,企业义不容辞
为何物联网安全如此脆弱?首先是黑色产业链已经形成,并且越来越专业。安恒信息物联网+事业群产品总监王聪表示:“目前大部分网络攻击背后,都有一套成熟的黑色产业链,网络黑客炫技性地攻击某个网络和设备的行为已经越来越少了。整个网络安全攻击、犯罪行为呈现出组织化、专业化、产业化的趋势。”
在PC端,有微软系统自带的Windows安全中心,用户一般也下载第三方杀毒软件增加防护效果。而在新兴的物联网领域,很多设备甚至连系统自带的安全防护都没有。
另一方面,互联网是虚拟世界,物联网与物理世界高度连接,更多地涉及个人及公司的隐私信息、数据资产等。“互联网攻击行为影响的仅仅是虚拟空间,而物联网真正打通了虚拟的网络空间与现实的物理世界。因此,针对物联网的攻击也会真实地危害到物理世界。”王聪对记者表示。
对于黑产来说,物联网防护水平低,并且窃得的隐私和数据又容易变现,显然是其优先攻击的对象。而越来越多黑客借此获利,又促使针对物联网的攻击更加频繁和猖獗。“不管是终端、管理控制端、云端,物联网安全均面临挑战。特别是物联网行业正在高速成长,很多领域重要数据都会成为黑产的重点攻击目标。”王聪提醒道。
在电脑端、手机端,用户可以下载相关杀毒软件防护。而物联网终端,用户通常是用一个手机应用来控制。因此,物联网安全更多的要依靠物联网设备提供商。
事实上,猖獗的物联网攻击行为也引起了有关部门重视。为了切实保护个人隐私,有关部门也要求物联网设备提供商提高安全防护水平。2021年6月11日,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展摄像头偷窥等黑产集中治理的公告》,自2021年5月至8月,在全国范围组织开展摄像头偷窥黑产集中治理。
其中,公告第二条就明确要求,摄像头生产企业要按照数据安全、信息安全有关规定和标准提升产品安全能力,提供公共服务的视频监控云平台及有关企业要严格履行网络安全主体责任,强化云平台网络安全防护,落实对远程视频监控APP的数据安全防护责任。
物联网安全也是一个动态平衡的过程。如果目前大部分物联网设备的安全水平都迅速提高,那么黑客入侵的难度也会提高,黑客的攻击成本也相应增加。当黑客的攻击成本大幅提高后,再进行攻击可能就不划算,针对该领域的攻击行为也会大幅下降。
面对物联安全威胁,我们如何应对?
随着5G到来,万物互联进程加速,越来越多的家庭、酒店、企业单位等配置摄像头并将其作为安防设备。然而,摄像头却被不法分子钻了空子,反而成为隐私泄露的重要渠道,还被作为“资源”在网上公开贩卖。
实际上,黑产之所以盯上物联网,很大程度上是由于物联网本身的防护水平不高。传统的互联网有着统一的TCP/IP协议,经过二、三十年演变,互联网通用协议的健壮性、安全性越来越高。
统一的网络协议有助于网络安全工作的开展,而物联网协议恰恰是多元化的、碎片化的,难以统一成一个协议。王聪表示:“物联网协议没办法统一到一起。各个应用场景的业务特点不同,不同的协议有着各自的场景适用性特点。比如NB-IOT适合运营商场景的蜂窝网络的构建;LoRa适合园区等场景的长距离无线通信;WiFi适合高速与中距离的无线应用场景,例如家庭个人使用;Zigbee适合节点型联网、组网使用;蓝牙则适合短距离、近场无线通信。”
王聪认为,面对物联网安全的严峻形势,物联网安全防护是一个复杂的系统问题。对此,政府、企业、个人等多方面需要形成合力。首先明确网络空间不是法外之地,对于黑产组织和个人,有关部门必须严厉打击。
其次,王聪认为社会也需要引导科技向善。对于那些有攻防技术的黑客,希望能够通过正规渠道发挥他们的技术优势。比如在网络安全公司、相关网络安全机构充当白客,利用自己的技术特长寻找安全漏洞,并提交给国家漏洞库,为网络安全产品的设计贡献力量。
对于企业来说,也应该开发相关工具,帮助有关部门打击黑产。据王聪透露,安恒信息正在开发相关产品来帮助寻找针孔摄像头。目前在酒店寻找针孔摄像头的方式比较简陋,专业设备可以提高搜索效率。
另外,安全公司也可以通过自身技术优势给摄像头厂商赋能,提高摄像头的安全防护水平。王聪强调称,若是攻击者的攻击成本大幅提高,相关黑产也将越来越难以维持。
最后,王聪表示,普通用户也需要强化个人隐私保护意识。特别是在酒店这种私密场合,更需注意隐私保护。发现违规偷拍设备,应该坚决报警。除此之外,购买家用摄像头时,也尽量购买大品牌、防护水平较高的产品。
车联网安全:“自己动起来”的特斯拉汽车
不仅仅是摄像头,其他诸如、智能门锁、智能汽车、智能家电等物联网设备存在高安全风险,智能网联汽车—等物联网车联网领域的的安全也存在巨大挑战。
今年5月初,有人利用无人机于100米开外远程打开了特斯拉汽车的车门。安全公司Kunnamon的研究人员拉尔夫·菲利普·温曼和Comsecuris的贝内迪克特·施莫茨勒宣称,在特斯拉汽车中的开源软件组件(ConnMan)中发现了远程零点击安全漏洞,他们可以实现远程零点击攻击,可以入侵特斯拉汽车,并通过WiFi的系统控制其信息娱乐系统。
安恒信息车联网事业部总经理蒋洪琳对《每日经济新闻》记者表示:“上述破解行为是两位研究人员通过固件提取逆向分析后,发现了特斯拉固件内存在溢出导致的提权漏洞,并利用该漏洞构造攻击报文,通过无人机的WiFi自动远程发送构造的攻击报文实现对特斯拉的远程控制。除了无人机外,其实只要带有WiFi的设备都可以实现对特斯拉的远程控制,用无人机只是看起来比较炫酷。”
如果说打开车门、控制信息娱乐系统都是小事,若是汽车驾驶系统被入侵,将对汽车行驶安全构成巨大挑战威胁。那针对汽车驾驶系统的入侵是否可以做到呢?早在2017GeekPwn会议中,安恒信息hatlab实验室就展示了通过一条短信实现在任何地方远程控制行驶中的汽车急停。
据蒋洪琳透露:“远程操纵汽车驾驶其实也是可以做到的,只需要再渗透进入车辆控制模块就可以做到。特斯拉的安全防护系统还是相对比较高的,它把直接控制汽车动力的‘域’与其他(控制)‘域’隔离开了。不过,也有其他品牌智能汽车是没有分开的,发动机控制‘域’和智能网联系统在一起。因此,是可以远程控制这些汽车(移动),比如前进、后退,都可以做到。”
蒋洪琳强调称:“传统燃油车五年一个迭代,两年一个改款。而智能网联汽车,基本上是一年一个迭代。在智能网联汽车、智能电动汽车快速发展的时代,汽车厂商网络安全一定要与时俱进,非常需要与网络安全公司的合作。只有及时发现漏洞,才能快速修复,从而规避风险事件发生。”
在2021西湖论剑·网络安全大会上,中央网信办副主任、国家网信办副主任赵泽良谈到,今天的网络安全已不仅是数据的安全,或是系统的安全,而是越来越多地牵涉到我们控制系统的安全。随着新能源汽车、辅助驾驶汽车、无人驾驶汽车的发展,这一类安全问题更加突出。
“当今大家都已经习惯了使用智能手机,如果手机上的某一个应用程序出了问题,很容易就可以打个补丁更新,甚至一天可以更新多次。但是如果汽车的控制系统软件出了问题,再去打补丁更新是否安全可靠?手机出现安全问题充其量就是死机,但汽车系统如果出现问题,很可能造成的就是一次交通事故,一次恶劣的社会安全事件。”赵泽良说道。
随着车联网的快速发展,安全性作为消费者选购时的重要依据,智能网联汽车还有很长的路要走,从被动发现、修复漏洞到主动研发增加安全模块势必成为车联网企业今后的发展趋势。
行业数据概览
5月3日至5月30日,境内计算机恶意程序传播次数依旧超过1.8亿次。单周数据来看,5月第一周恶意程序传播次数达到本月巅峰值6751.8万,后面虽有降低,但是第4周依然有4561.78万次。
恶意软件依旧高度活跃,境内感染计算机恶意程序主机数量已高达284.8万,网络已经是人们日常生活办公不可或缺的一部分,网络攻击也在不断扩大,对于安全问题必须要引起高度重视。
境内网站的攻击中,被篡改网站数量合计4636个,其中12个针对政府部门;被植入后门的网站数量5026个,其中有93个政府网站;针对境内网站的仿冒页面也达到1417个。漏洞方面,高危漏洞占比24.9%,及时更新升级程序依旧是防止漏洞利用攻击的有利措施。
从部分勒索类病毒检测图可以看出,大部分样本是从游戏中提取出,玩家下载点击的时候一定要提高警惕,选择正规渠道。
物联网漏洞分析:受CVE漏洞影响上市公司数量激增
物联网漏洞危害级别分别为高、中、低3个等级。2021年1月至2021年5月国内企业物联网终端漏洞里中级危害占比最高,达41%,高级和低级危害分别为25%与34%。
在高危与中危漏洞中,出现终端类型最多的是手机,其次为摄像头。其中摄像头包含家用智能摄像头、远程会议摄像头、联网监控摄像头等。多数摄像头存在系统漏洞,没有安全防护能力,再加上不严格的访问控制,很容易被入侵,且很多视频数据没有进行加密处理,数据处于“裸奔”状态,很容易泄露。
随着物联网产业的蓬勃发展,国内企业对物联网安全重视程度大大提高。2021年1月~5月漏洞数量整体比2020年同期下降88%,其中3月份降幅最高,达到372%。
此次,安恒信息对3958家A股上市公司进行了2021年1月~2021年5月的CVE安全漏洞影响分析。
受到CVE安全漏洞影响的行业分布中,工业占比21.4%、信息技术占比18.5%、材料行业占比17.6%、可选消费行业占比16.6%、医疗保健行业占比13.0%,是受CVE影响最大的5个行业。
按照月份整理,5个月内共有548家公司受到影响,其中1月~3月累计有169家上市公司受到400个CVE漏洞影响,4月漏洞数量有所增加,共有61家上市公司受到617个CVE漏洞影响,而5月受影响的上市公司数量激增至458家,受到1815个CVE漏洞影响,受影响企业数和CVE漏洞数量超过前4个月总和,其中与物联网安全相关CVE有CVE-2018-16843、CVE-2018-16844。
2021年前5个月,在受到影响的548家A股上市公司中,有437家上市公司受到2个及以上CVE的影响。对上市公司的影响最大的20个CVE安全漏洞如下:
通过利用漏洞进行攻击可以获得企业资产设备的控制权限,获取敏感数据,或是对资产设备造成破坏。
在以上top 20的CVE安全漏洞中,部分为Oracle MySQL的MySQL Server产品中的漏洞,黑客可以利用漏洞提高操作权限,破坏MySQL服务器,达到未经授权的一系列操作。
例如CVE-2019-2800,这一漏洞可以让低特权攻击者通过多种协议访问网络来破坏MySQL服务器。成功攻击此漏洞可导致MySQL Server挂起或频繁重复崩溃,以及对某些MySQL Server可访问数据进行未经授权的更新、插入或删除访问。
企业应关注漏洞动态讯息,及时做好预防工作,打好补丁。
事实上,5G、大数据、云计算发展迅速,数据资产价值逐渐彰显。随着互联网信息化程度加深,人们对于数据泄露风险的担忧与日俱增,网络安全成为舆论热议的话题。目前,国内网络安全行业已逐步从单点被动防御、智能主动防御阶段,进入安全即服务阶段。
在此背景下,每日经济新闻联合网络信息安全领域上市公司安恒信息(688023,SH),采用国家互联网应急中心权威数据,结合最新的安全形势,收集剖析国内外网络安全信息数据,每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告,旨在借助专业解析,让企业、民众进一步认识网络攻击行为,更好地保护自身隐私和数据资产。
此份网络信息安全月报主要包括行业重点资讯、行业安全数据概览以及上市公司安全动态。重点关注勒索病毒对企业、个人的安全威胁,并提供应对之法。
每日经济新闻
……