这些设备正在出卖你的隐私,物联网需要更高等级安防!国家四部门重拳整治黑产,企业如何应对?
每经记者:朱每经编辑:
“快理解”“永远在床上”——这是QQ上卖相机的销售人员破解“资源”的宣传词。黑产从业者先破解家庭、酒店的摄像头,然后在网上出售这些“资源”。令人惊讶的是,普通人只要交两三百元,就能看到陌生人家里的实时监控画面。
大量可远程控制的智能设备方便了人们的生活,同时也为网络犯罪分子打开了新的“牟利之门”。与虚拟的互联网不同,物联网与我们的现实生活息息相关。
物联网是近几年的新兴产业,很多厂商都在追求功能性和功耗,而忽略了它的安全性。部分物联网设备处于无安全防御状态,未来可能对个人、企业、社会造成巨大损失。
不同于PC和手机,物联网设备的安全级别通常不高,用户也没有相关的杀毒软件可以使用。为了保护用户的隐私,物联网设备提供商应该提供更高等级的安全保护。
破解黑摄像头泛滥:谨防陌生人偷窥你的隐私。
目前国产相机破解相关黑产,用户可以在很多社交平台和论坛轻松获取相关资源。6月16日,国家商报记者以“摄像机”为关键词搜索QQ群,结果全是“高质量高清实时摄像机1”、“实时摄像机”、“摄像机室睡在9号床上”等。
记者加入其中两个群后,马上有三四个销售人员发来消息,兜售相机破解资源。其中,昵称为“贝壳饭”的销售人员提供的套餐包括“188元20家酒店、20个家庭;50家酒店50家388元”,另一销售人员提供的套餐显示“268元包含20个精品id,10家酒店,10家;38元提供38个精品id的优质内容;58元提供扫码平台爆破,可自动搜索平台附近IP和99精品有效场景IP。”
“壳饭”进一步告诉记者,家里可以用nvsip看,酒店可以用360°摄像头看。另一个销售人员说可以透过萤石云看。记者搜索这些软件发现,它们都是正规厂家生产的24小时监控平台,只是被不法分子用来牟利。
为了证明其提供的是实时远程监控而非预先录制的视频,“壳饭”还向记者提供了一张6月16日晚在陌生人卧室实时监控的图片,随后迅速删除了该图片。索要多份后,发给记者的照片都是闪光照,即“阅后即焚”。其余销售人员发给记者的,都是flash照片。
图片来源:记者手机QQ软件截图
物联网:网络世界的安全缺口
值得注意的是,物联网的低安全级别也会对整个互联网安全产生巨大影响。
回顾物联网的安全事件,影响最大的是2016年的“Mirai未来组合僵尸网络”,在美国以造成大范围网络瘫痪而闻名。当时,由于提供域名解析服务的美国公司Dyn遭受大规模DDoS(拒绝访问服务)攻击,导致包括Twitter、Reddit在内的大量知名互联网网站数小时无法正常访问。
这次攻击的始作俑者是由数十万个摄像头组成的“Mirai未来组合僵尸网络”。据了解,“Mirai未来组合僵尸网络”实际上是由三名95后年轻人炮制的。其中,主犯帕拉丝·贾(Paras Jha)负责编译Mirai未来组合源代码和操作僵尸网络,发送攻击和网络诈骗。
由于大量连接到网络的摄像头等设备存在漏洞,攻击者可以通过未经授权的漏洞或通过爆破设备的默认用户名和密码来控制这些网络摄像头设备。Mirai未来组合病毒感染了成千上万的网络摄像头,然后使用这些设备进行DDoS攻击。帕拉贾等三人利用网络摄像头等物联网设备组成的僵尸网络发动DDoS攻击,进而获利。
2017年,Paras Jha和其他人认罪,但他们已经将Mirai未来组合的源代码发布到黑客论坛上。潘多拉的盒子被帕拉丝·贾打开了。在Mirai未来组合之后,一波类似Mirai未来组合的僵尸网络继续肆虐,多次感染相机、机顶盒、路由器和其他设备。
2017年11月,Check Point的研究人员称,LG智能家居设备存在漏洞。黑客可以利用这一漏洞完全控制一个用户账户,然后远程劫持LG SmartThinQ家用电器,包括冰箱、干衣机、洗碗机、微波炉和吸尘机器人。
提高产品保护水平是企业义不容辞的责任。
为什么物联网的安全性如此脆弱?首先,黑色产业链已经形成,并且越来越专业化。安恒信息物联网+事业群产品总监汪聪表示:“目前,大多数网络攻击的背后,都有一条成熟的黑色产业链,网络黑客以令人眼花缭乱的方式攻击某个网络和设备的情况越来越少。整个网络安全攻击和犯罪行为呈现出组织化、专业化、产业化的趋势。”
PC端有微软系统自带的Windows安全中心,用户一般会下载第三方杀毒软件增加防护效果。然而,在新兴的物联网领域,很多设备甚至没有自己的安全防护。
另一方面,互联网是一个虚拟世界,物联网与物理世界高度关联,涉及更多个人和公司的隐私信息和数据资产。“互联网攻击只影响虚拟空房间,物联网真正将虚拟的网络空房间与真实的物理世界连接起来。因此,针对物联网的攻击也会真正伤害物理世界。”汪聪告诉记者。
对于黑产来说,物联网防护等级低,窃取的隐私和数据容易变现,显然是其打击的优先目标。而越来越多的黑客乘虚而入,使得针对物联网的攻击更加频繁和猖獗。“无论是终端、管理控制终端还是云端,物联网的安全都面临着挑战。尤其是物联网行业增长迅速,很多领域的重要数据都会成为黑产的重点目标。”汪聪警告说。
在电脑端和手机端,用户可以下载相关杀毒软件保护。物联网终端通常由一个手机应用程序控制。所以物联网的安全更多的取决于物联网设备提供商。
事实上,猖獗的物联网攻击也引起了相关部门的重视。为了有效保护个人隐私,相关部门还要求物联网设备提供商提高安全防护水平。2021年6月11日,*网信办、工信部、*部、市场监管总局发布《关于集中治理摄像头偷窥等黑产的公告》。2021年5月至8月,在全国范围内组织开展摄像头偷窥黑产集中治理。
其中,公告第二条明确要求,相机生产企业应当按照数据安全和信息安全的相关规定和标准,提高产品安全能力。提供公共服务的视频监控云平台及相关企业应严格履行网络安全主体责任,加强云平台网络安全保护,落实远程视频监控app数据安全保护责任。
物联网安全也是一个动态平衡的过程。目前,如果大部分物联网设备的安全级别快速提升,黑客攻击的难度也会增加,黑客攻击的成本也会相应增加。当黑客的攻击成本大大增加后,再去攻击可能就不划算了,这方面的攻击行为也会大大减少。
我们如何应对IOT的安全威胁?
随着5G的到来,万物互联的进程正在加快,越来越多的家庭、酒店、企业等。都装有摄像头作为安全装置。然而,摄像头被不法分子利用,反而成为隐私泄露的重要渠道,它也被作为一种“资源”在互联网上公开出售。
事实上,黑产之所以对物联网虎视眈眈,很大程度上是因为物联网本身防护水平低。传统互联网有统一的TCP/IP协议。经过二三十年的演进,通用互联网协议的健壮性和安全性越来越高。
统一的网络协议有利于网络安全的发展,而物联网协议多样化、碎片化,很难统一成一个协议。汪聪说:“没有办法统一物联网协议。每个应用场景的业务特点不一样,不同的协议有各自的适用性特点。例如,NB-IOT适用于运营商场景下的蜂窝网络建设;LoRa适用于公园等场景的远距离无线通信;WiFi适用于高速、中距离的无线应用场景,比如家庭个人使用;Zigbee适合节点组网和组网;蓝牙适用于短距离和近场无线通信。"
汪聪认为,面对物联网安全的严峻形势,物联网安全防护是一个复杂的系统问题。在这方面,需要*、企业、个人等多方面形成合力。首先明确网络空不是法外之地,相关部门必须严厉打击参与黑产的组织和个人。
其次,汪聪认为社会也需要引导科学技术向好的方面发展。对于那些有攻防技能的黑客来说,他们希望通过正规渠道发挥自己的技术优势。例如,在网络安全公司和相关网络安全组织中,他们充当白客,利用自己的技术专长发现安全漏洞并提交给国家漏洞数据库,从而为网络安全产品的设计做出贡献。
对于企业来说,也要开发相关工具,帮助相关部门打击非法生产。据汪聪介绍,安恒信息正在开发相关产品,以帮助寻找针孔摄像头。目前酒店查找针孔摄像头的方式比较简单,专业的设备可以提高查找效率。
此外,安防公司可以通过自身的技术优势赋能摄像头厂商,提高摄像头的安全防护水平。汪聪强调,如果攻击者的攻击成本大幅增加,相关的黑产将越来越难以维持。
最后,汪聪表示,普通用户也需要加强自己的隐私保护意识。尤其是在酒店这样的私密场所,更要注意隐私保护。如果发现非法偷拍设备,要坚决报警。除此之外,购买家用相机时,尽量购买品牌大、防护等级高的产品。
车联网安全:会“移动”的特斯拉汽车
不仅仅是摄像头,还包括智能门锁、智能汽车、智能家电等其他物联网设备。具有很高的安全风险,智能网联汽车等物联网车联网领域的安全性也有很大的挑战。
今年5月初,有人用无人机远程打开了100米外特斯拉汽车的车门。安全公司Kunnamon的研究员Ralph Philip Wenman和Comsecuris的benedikt Schmotzler声称,在特斯拉汽车公司的开源软件组件(ConnMan)中发现了一个远程零点击安全漏洞。他们可以通过WiFi系统实现远程零点击攻击,入侵特斯拉汽车公司,控制其信息娱乐系统。
某信息车联网事业部总经理蒋宏林告诉国家商报记者:“上述破解行为是两名研究人员在对固件提取逆向分析后,发现了特斯拉固件中溢出导致的提电漏洞,然后利用该漏洞构造攻击消息,通过无人机的WiFi自动远程发送,实现对特斯拉的远程控制。除了无人机,其实只要有WiFi的设备都可以实现远程控制特斯拉,用无人机只是看起来很酷。”
如果说打开车门、控制信息娱乐系统是小事,那么如果汽车的驾驶系统被入侵,就会对汽车的行驶安全造成极大的挑战。有没有可能入侵汽车的驾驶系统?早在2017GeekPwn大会上,安恒信息的hatlab实验室就演示了如何通过短消息在任何地方远程控制行驶中的汽车紧急停止。
据蒋宏林介绍,“其实也可以远程控制汽车驾驶。这只能通过渗透到车辆控制模块中来实现。特斯拉的安全防护体系还是比较高的,它把直接控制汽车动力的‘域’和其他(控制)的‘域’分开了。但也有其他品牌的智能汽车没有分开,发动机控制‘域’是和智能网联系统在一起的。所以可以远程控制这些车(移动),比如前进后退。”
蒋林强调:“传统燃油车五年迭代一次,两年换一次。智能网联汽车基本上是一年一个迭代。在智能网联汽车和智能电动汽车快速发展的时代,汽车厂商的网络安全必须与时俱进,与网络安全公司合作是非常有必要的。只有及时发现漏洞,才能快速修复,从而避免风险事件的发生。”
在2021西湖网络安全大会上,*网信办副主任、国家网信办副主任赵泽良表示,今天的网络安全不仅仅是数据安全或者系统安全,越来越多的涉及到我们控制系统的安全。随着新能源汽车、辅助驾驶汽车和无人驾驶汽车的发展,这类安全问题更加突出。
“如今,每个人都习惯使用智能手机。如果手机上的某个应用出了问题,很容易打补丁更新,甚至一天好几次。但如果汽车的控制系统软件出了问题,打补丁更新是否安全可靠?手机安全问题充其量是撞车,但如果汽车系统出现问题,很可能引发交通事故和恶劣的社会安全事件。”赵泽良说。
随着车联网的快速发展,安全性是消费者购买的重要依据,智能网联汽车还有很长的路要走。从被动发现、修复bug到主动研发增加安全模块,势必成为车联网企业未来的发展趋势。
行业数据概述
5月3日至5月30日,中国计算机恶意程序数量仍超过1.8亿。周数据显示,5月第一周恶意程序传播数量达到本月峰值6751.8万。虽然后来有所减少,但第四周仍有4561.78万。
恶意软件依然高度活跃,我国感染恶意计算机程序的主机已达284.8万台。网络已经成为人们日常生活和办公不可或缺的一部分,网络攻击也在不断扩大,因此必须高度重视安全问题。
在对国内网站的攻击中,被篡改网站总数为4636个,其中针对*部门的有12个;植入后门的网站数量为5026个,其中*网站93个;还有1417个针对国内网站的仿冒页面。漏洞方面,高危漏洞占24.9%,及时更新升级程序仍是防范漏洞攻击的有利措施。
从一些勒索软件检测图表中可以看出,大部分样本都是从游戏中提取的。玩家在下载点击时一定要提高警惕,选择正规渠道。
物联网漏洞分析:受CVE漏洞影响的上市公司数量激增。
物联网脆弱性分为高、中、低三个等级。2021年1月至2021年5月,国内企业物联网终端脆弱性在中级危害中占比最高,达到41%,高级和低级危害分别为25%和34%。
在高危和中危漏洞中,最常见的终端类型是手机,其次是摄像头。这些摄像机包括家用智能摄像机、电话会议摄像机、网络监控摄像机等。大部分摄像头都有系统漏洞,没有安全防护能力,门禁不严,容易被入侵。而且很多视频数据没有加密,数据处于“裸奔”状态,很容易泄露。
随着物联网产业的蓬勃发展,国内企业非常重视物联网的安全性。2021年1-5月,漏洞数量较2020年同期下降88%,3月降幅最高,达到372%。
此次,安恒信息分析了2021年1月至2021年5月,CVE安全漏洞对3958家a股上市公司的影响。
在受CVE安全漏洞影响的行业中,工业占21.4%,信息技术占18.5%,材料行业占17.6%,可选消费行业占16.6%,医疗保健行业占13.0%,是受CVE影响最大的五个行业。
从月度数据来看,5个月内有548家公司受到影响,其中169家上市公司在1月至3月期间受到400个CVE漏洞的影响。4月,漏洞数量增加,61家上市公司受到617个CVE漏洞的影响。5月份,受影响上市公司数量激增至458家,受1815个CVE漏洞影响,受影响公司数量和CVE漏洞数量超过前4个月总和。
2021年前5个月,受影响的548家a股上市公司中,有437家上市公司受到两次及以上CVE影响。对上市公司影响最大的20个CVE安全漏洞如下:
通过利用漏洞,我们可以获得企业资产和设备的控制权限,获取敏感数据,或者对资产和设备造成损害。
在上述20大CVE安全漏洞中,有一些是Oracle MySQL的MySQL服务器产品中的漏洞。黑客可以利用漏洞提高自己的操作权限,破坏MySQL服务器,实现一系列的非授权操作。
例如CVE-2019-2800,该漏洞可以允许低权限攻击者通过多种协议访问网络,破坏MySQL服务器。成功利用此漏洞可导致MySQL Server频繁反复地挂起或崩溃,以及对MySQL Server可访问的某些数据进行未经授权的更新、插入或删除访问。
企业要关注漏洞的动态信息,做好防范,及时打补丁。
事实上,5G、大数据、云计算发展迅速,数据资产的价值越来越明显。随着互联网信息化的深入,人们越来越担心数据泄露的风险,网络安全成为舆论热点。目前,国内网络安全行业已经从单点被动防御、智能主动防御逐步走向安全即服务。
在此背景下,国家商报网络信息安全领域上市公司安恒信息(688023,SH)利用国家互联网应急中心权威数据并结合最新安全形势,收集分析国内外网络安全信息数据,发布月度网络信息安全报告。这是业内首份覆盖所有a股上市公司的网络信息安全报告。旨在通过专业的分析,帮助企业和个人更好地了解网络攻击,更好地保护自己的隐私和数据资产。
这份网络信息安全月报主要包括行业关键信息、行业安全数据概述和上市公司安全趋势。重点关注勒索软件对企业和个人的安全威胁,并提供应对措施。
国家商业日报