从摄像头到视频专网,物联网安全如何“达标”?
本篇文章1846字,读完约5分钟
最近,“315通信服务质量报告”在北京发布,指出面对快速到来的物联网时代,物联网设备的安全问题日益突出。以摄像头为例,作为日常生活中广泛使用的物联网终端设备,摄像头为改善公共安全环境做出了重大贡献,但其安全隐患也频频引发热议。2018年2月,NSFOCUS帮助工业控制制造商施耐德发现了Pergao网络摄像头产品的12个安全漏洞,包括许多高风险漏洞。
目前,摄像头的安全风险主要集中在两个方面:一方面,由大量摄像头组成的网络遭到黑客攻击;另一方面,当摄像机捕获的视频被攻击者控制时,隐私泄露很容易发生。本文将从这两个方面入手,回顾安全事件,梳理物联网的安全需求。
物联网终端设备安全的多米诺骨牌正在被推倒
2016年底,由数十万个摄像头组成的僵尸网络mirai攻击了美国域名服务提供商dyn,其当时的ddos流量最大(620g),使得许多知名网站无法访问。Mirai未来组合僵尸网络被多次提及,并成为物联网安全的标志性事件。一年后,米拉伊的发起人认罪。
看来米拉伊事件已经解决了。然而,作者jha向黑客论坛发布了mirai的代码,然后打开了潘多拉的盒子。在mirai之后,一波类似mirai的蠕虫传播开来,继续感染摄像机,并扩展到智能路由器、机顶盒等。组织成一个新的僵尸网络,并继续肆虐。
2017年8月,浙江某地方警方破获了一个犯罪团伙,并在互联网上制作和发布了家用摄像头破解入侵软件。在浙江、云南、江西和其他省份发现了近10,000个入侵家庭摄像头的破解ip地址。物联网终端设备引发的安全事故数不胜数。这些事件给我们敲响了警钟,物联网终端设备的安全不容忽视。一旦攻击者获得远程控制权限,即使是一个小摄像头也可能成为泄露用户隐私的罪魁祸首。
为什么物联网终端设备安全事件频繁发生?
在当今物联网时代,如何满足物联网终端设备的安全标准是值得思考的问题。综上所述,物联网终端设备安全事件频发主要有三个原因:
l默认密码
根据安全博客krebs上的一篇关于安全的文章,网络摄像头的默认密码相对简单,可以直接暴露在互联网上,无需更改。从mirai及其后继者的代码中可以看出,蠕虫通过使用默认密码和telnet或ssh感染IoT设备并形成大规模僵尸网络。
相机固件漏洞
2018年2月27日,施耐德发布了相机安全公告,提醒客户升级固件。同时,施耐德感谢NSFOCUS发现了12个安全漏洞,提高了产品的安全性。
网络曝光
摄像头中存在默认密码和安全漏洞,这些设备在互联网上的暴露是蠕虫网络形成和视频隐私泄露的直接原因。下图是NSFOCUS技术威胁情报中心的数据,该中心统计了网络上暴露的摄像头的品牌和数量,包括带有默认密码的设备。
物联网安全的六大要求
小型摄像机隐藏着巨大的安全风险。设备的安全性和隐私性是物联网常用终端设备——摄像头最基本的安全要求。视频专网由摄像头、后台平台和应用终端组成,其中哪个环节存在问题,整个视频专网存在安全隐患。
物联网的安全要求包括传统信息安全的保密性、完整性和可用性,以及物联网独特的安全要求,如隐私保护、个人安全和可靠性。
信息的保密性是指具有一定保密程度的信息只能由经过许可的人阅读或更改。然而,这里提到的机密信息有更广泛的外延:它可以是国家机密、企业或研究机构的核心知识产权,以及银行个人账户的用户信息。物联网收集、传输和处理的信息也需要保密。
信息的完整性意味着原始信息在存储或传输过程中不能随意改变。这种改变可能是无意的错误,例如输入错误、软件缺陷和人为的有意改变和破坏。
信息的可用性意味着信息的合法所有者和用户应该确保他们能够在需要时及时获得他们需要的信息。只有当信息可用时,物联网应用才能正常工作。
隐私保护指的是物联网传感设备,能够收集、传输和处理人们的隐私而不被泄露。隐私包括人的信息、家庭地址、联系信息、财产信息、位置信息等。
人身安全是指物联网设备在人类健康和环境领域的应用,不会造成人身伤害或破坏物理环境。
可靠性是指由物联网收集的感知数据,它应该是准确的并且在允许的误差范围内。例如,在智能远程抄表中,如果传感设备的读数有误,将会影响后续的支付。
结论:
以摄像头为例,讨论了两种相关的安全事件及其原因,并延伸到物联网的安全需求。我们可以看到,物联网感知设备的安全弱点与传统终端相似,即安全配置不当和安全漏洞。物联网应用的安全要求涵盖了原有cia的三个基本要求,并且由于物联网的普遍性,引入了三个新的要求:隐私保护、个人安全和可靠性。
标题:从摄像头到视频专网,物联网安全如何“达标”?
地址:http://www.huangxiaobo.org/hqxw/146180.html
免责声明:环球商业信息网为互联网金融垂直领域下的创投、基金、众筹等项目提供信息资讯服务,本站更新的内容来自于网络,不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,环球商业信息网的编辑将予以删除。