【中國安防展覽網(wǎng) 企業(yè)關(guān)注】隨著科技發(fā)展����,諸如智能攝像頭這樣的設(shè)備應(yīng)用將越來越廣泛。在智能攝像頭等設(shè)備使用過程中,如何防范被破解、如何確保安全��?
攝像頭安全風(fēng)險(xiǎn)來自多方面
家用智能攝像頭被破解��,繼而導(dǎo)致攝像頭遭惡意操控�,甚至造成用戶隱私泄露�����,這些問題引發(fā)業(yè)界關(guān)注���。
家用智能攝像頭被破解的安全風(fēng)險(xiǎn)究竟來自何處���?是設(shè)備自身存在安全漏洞抑或其他原因?近日�,在北京召開的智能硬件產(chǎn)業(yè)安全峰會(huì)上���,針對于國家質(zhì)檢總局發(fā)布的警示����,360產(chǎn)品總監(jiān)趙謙做了詳細(xì)解釋���。
“質(zhì)檢總局一共進(jìn)行40批次攝像頭抽檢�����,其中80%攝像頭存在安全漏洞����,其實(shí)這個(gè)數(shù)據(jù)挺可怕的���,攝像頭產(chǎn)品對隱私性和安全性的要求非常高��。”趙謙說����,攝像頭的信息風(fēng)險(xiǎn)來自6個(gè)方面,分別是數(shù)據(jù)傳輸����、弱口令密碼安全����、操作系統(tǒng)固件更新��、敏感信息本地存儲、身份鑒別���、后端系統(tǒng)云平臺的安全。這一次質(zhì)檢總局查出來最嚴(yán)重的問題是�,28批次樣品數(shù)據(jù)傳輸未加密��,很多廠家不具備數(shù)據(jù)傳輸加密技術(shù),所以根本不可能對數(shù)據(jù)進(jìn)行加密���。
“另外,在抽檢中�,20批次產(chǎn)品存在初始密碼弱口令問題�,或者限制用戶密碼復(fù)雜度��。有些產(chǎn)品生產(chǎn)出來以后會(huì)設(shè)置非常簡單密碼����,比如說00000���、123456�����,這很容易被用戶和黑客破解�。”趙謙說����,還有18批次樣品在身份鑒別方面未提供登錄失敗處理功能。我們有很多廠商在生產(chǎn)出產(chǎn)品之后沒有對反復(fù)登錄頻次進(jìn)行限制��,以至于有很多黑客可以反復(fù)嘗試密碼��,使用用戶信息或者其他密碼嘗試一直到攻破攝像頭����。
“在抽檢中�����,還有16批次樣品的密碼敏感信息等數(shù)據(jù)在本地存儲時(shí)未采取加密保護(hù)措施。對于本地存儲,各個(gè)廠家的理解不太一樣。小廠家認(rèn)為本地存儲是用戶自己的行為,不會(huì)采取任何安全防護(hù)措施���。”趙謙說,10批次樣品存在操作系統(tǒng)更新問題,即未提供固件更新修復(fù)功能或者固件更新方式不安全�����。很多中小型廠家是不具備在線升級能力����,還在用U盤、硬盤刷機(jī)的物理方式升級,這種方式根本沒有辦法處理應(yīng)急安全漏洞的問題。
“10批次樣品在后端信息系統(tǒng)存在越權(quán)漏洞�����,同一平臺內(nèi)可以查看任意用戶攝像��。從這一點(diǎn)上說�,市面上七八成廠商都不具備自己的云服務(wù)能力���,大多與云服務(wù)提供商合作���。如果合作的云服務(wù)提供商沒有處理好安全問題�����,一旦被黑客攻破�����,那么攝像頭用戶的信息就面臨泄露的風(fēng)險(xiǎn),這是非常危險(xiǎn)的。”趙謙說����。
“攝像頭的主要功能是設(shè)置影像資料����,若在公共場合并不會(huì)造成很大影響���;但攝像頭應(yīng)用在家里或者其他私密空間����,攝像頭被非法控制,就可能非法拍攝圖像和影像資料,不法分子可能利用這些資料進(jìn)行勒索獲取,獲取錢財(cái)��;也可能把視頻資料上傳到網(wǎng)絡(luò)上�����,對個(gè)人隱私造成侵害��,對個(gè)人的精神也會(huì)造成消極影響。”北京師范大學(xué)法學(xué)院教授、亞太網(wǎng)絡(luò)法律研究中心主任劉德良說��。
有企業(yè)竟對安全問題不知情
智能攝像頭安全方面出現(xiàn)的問題�����,在某種程度上是當(dāng)前物聯(lián)網(wǎng)安全問題的縮影�����。
“智能攝像頭的安全問題屬于物聯(lián)網(wǎng)時(shí)代存在的基本問題,終端、傳感器、控制器和端點(diǎn)���,都可能會(huì)被非法控制����。不法分子通過對攝像頭進(jìn)行控制錄制視頻,并且對用戶進(jìn)行勒索��、騙取錢財(cái)?shù)确欠ɑ顒?dòng)����。遠(yuǎn)程視頻聊天軟件也可能存在隱患。”劉德良說��。
阿里云安全專家鄔怡認(rèn)為����,前幾年,物聯(lián)網(wǎng)的概念離普通用戶還很遠(yuǎn)��,隨著科技不斷發(fā)展�����,現(xiàn)在很多物聯(lián)網(wǎng)設(shè)備已經(jīng)深入人們生活的方方面面��,包括平時(shí)使用的手環(huán)、家用路由器��、攝像機(jī)���、攝像頭等����,還有很多低功耗的傳感器設(shè)備,都在人們生活中非常常見����。“到2020年���,可能會(huì)有一百多億甚至兩百億的設(shè)備連接到互聯(lián)網(wǎng)上����,但是這些設(shè)備的安全有沒有人在意呢”�����?
“其實(shí)現(xiàn)在已經(jīng)看到了一些因?yàn)榘踩珕栴}造成的事件���。比如�,一些攝像頭廠商的攝像頭被黑客控制��,甚至還包括一些黑客入侵到家用攝像頭之中獲取用戶的隱私信息�����。這些安全事件與人們?nèi)粘I钕⑾⑾嚓P(guān)。出現(xiàn)這些問題的原因是什么�?一個(gè)很重要的原因在于���,物聯(lián)網(wǎng)屬于新型產(chǎn)業(yè)�����,很多廠商以前都是做硬件設(shè)備的,而以前的硬件設(shè)備不聯(lián)網(wǎng)��,但現(xiàn)在隨著物聯(lián)網(wǎng)的發(fā)展���,所有設(shè)備都連接到了互聯(lián)網(wǎng)上�����,這就是所謂萬物互聯(lián)的時(shí)代。這時(shí)候,以前沒有暴露出來的安全問題就逐漸暴露出來。比如���,有的廠商在產(chǎn)品設(shè)計(jì)之初沒有考慮安全問題,甚至很多設(shè)備還內(nèi)置了弱口令,或者存在一些能被黑客直接繞過訪問的后門����,這就造成物聯(lián)網(wǎng)上的一些設(shè)備能夠輕易被黑客控制�,這都屬于物聯(lián)網(wǎng)安全問題����。此外,有些廠商對物聯(lián)網(wǎng)設(shè)備的安全問題并不知情����,其自身也沒有能力及時(shí)感知自己的設(shè)備是否會(huì)被黑客利用�。”鄔怡說��。
加大處罰力度應(yīng)對技術(shù)挑戰(zhàn)
智能攝像頭被認(rèn)為具有廣泛應(yīng)有前景�����。
“包括道路監(jiān)控系統(tǒng)、圖像識別、無人駕駛車輛�、智能城市等���,這些都需要對圖像進(jìn)行處理���。技術(shù)本身是中立的����,我們需要防止技術(shù)被非法利用�����、濫用。”劉德良說��。
鄔怡建議�����,對于普通人來說�����,在日常生活中要注意自己的設(shè)備是不是有異常情況發(fā)生����,是不是造成了家庭網(wǎng)絡(luò)的擁塞等����,這些問題是可以注意到的。對于物聯(lián)網(wǎng)廠商而言,要重視企業(yè)安全問題�,在產(chǎn)品設(shè)計(jì)開發(fā)階段就要考慮安全方面的一些機(jī)制�����,并且保證在產(chǎn)品出廠后也能監(jiān)控產(chǎn)品是否存在安全問題,并且能夠及時(shí)修復(fù)漏洞。
劉德良認(rèn)為,從技術(shù)方面來說���,物聯(lián)網(wǎng)也需要防火墻積極防御,可以借鑒傳統(tǒng)的互聯(lián)網(wǎng)安全保護(hù)業(yè)務(wù)。當(dāng)面臨的問題更多更廣泛時(shí)���,可以建立可信的系統(tǒng),建立白名單��、黑名單制度�。從法律層面來說,要做好防范措施�����,盡管技術(shù)存在博弈�,但在法律層面上要加大處罰力度�。國際社會(huì)應(yīng)該攜手合作,從法律上進(jìn)行嚴(yán)格控制和打擊��。
從法律層面應(yīng)該如何維護(hù)好物聯(lián)網(wǎng)安全��?
劉德良認(rèn)為��,有些法律需要擴(kuò)大解釋范圍,例如刑法第二百八十六條等����。要進(jìn)行條款的更改�,特別是名詞的范圍要進(jìn)行拓展��,現(xiàn)行關(guān)于網(wǎng)絡(luò)犯罪的條款進(jìn)行拓展即可����。不過�,隨著社會(huì)發(fā)展、科技進(jìn)步���,我們以后肯定會(huì)面臨更加嚴(yán)峻的網(wǎng)絡(luò)安全問題,所以做好防范措施是有必要的��。
“現(xiàn)行的法律是有的���,對于未來物聯(lián)網(wǎng)的發(fā)展�,我們只要對有關(guān)的法律如刑法第二百八十五條、第二百八十六條�、第二百八十七條做一些修改����,擴(kuò)大一些解釋����,那么現(xiàn)有的規(guī)定都可以適用���。如果從民事侵權(quán)責(zé)任法方面來講����,應(yīng)該要求黑色產(chǎn)業(yè)鏈上任何一個(gè)主體承擔(dān)連帶責(zé)任。而現(xiàn)行的侵權(quán)責(zé)任法只是讓侵權(quán)主體承擔(dān)責(zé)任����,并沒有要求承擔(dān)連帶責(zé)任一說���。”劉德良說�����。
(來源:法制日報(bào))
手機(jī)版
微信公眾號
會(huì)員交流群
會(huì)員服務(wù)中心
附件列表
聯(lián)系電話:027-87324910
辦公地址:湖北省武漢市武昌區(qū)積玉橋積玉路5號(省電子質(zhì)檢院8樓)
2017-07-10
中國安防展覽網(wǎng)點(diǎn)擊量:9053
打印
關(guān)閉