如果,你有一幢大别墅(我只是说假如,你不要激动),安全起见,你安装了一些摄像头在家里。你会不会想到,有一天,摄像头被人控制,拍下了你吃饭、睡觉、挖鼻孔……好,你美你任性,觉得没有关系。如果是你正在输入各类密码呢?比如,保险箱、网银……
不要惊讶,这非常有可能,如果你家的摄像头被攻破,或者本身就存有漏洞,它极有可能成为代替黑客监视你的“间谍”,或者干脆成为肉鸡,变成被用来干坏事的工具。
好,你没有别墅,但是你能保证你所在的办公大楼、途径的地铁、取钱的ATM机旁边没有摄像头吗?
再实际一点,知道最近搞摊了大半个美国互联网的元凶是谁吗?哦,对,元凶我们还不知道,但帮凶已经查出来了——分布在各家各户的摄像头、智能传感器、智能门磁、智能冰箱洗衣机们——造反的智能硬件被利用对美国DNS域名解析服务商进行了DDoS攻击。
也就是说,智能硬件已经丧失了“自主意识”,被某个黑客组织成功“洗脑”,变成了一个个僵尸,听命于幕后操纵者,同时对目标发起了攻击。
这不是偶然事件。黑客组织利用大量网络视频监控系统发起大规模DDoS攻击已经屡见不鲜。
- 2015年10月,Incapsula公司在其网络中发现一个由900个网络摄像头发起的DDoS攻击,其最高攻击速率达20,000 HTTP RPS(Requests Per Second)。
- 2016年6月,Sucuri发现一起针对其客户的DDoS攻击,最高速率达50,000 HTTP RPS,峰值达400Gbps的DDoS攻击,这起攻击是由约25513个独立的网络摄像头组成的僵尸网络发起的。
- 2016年9月19日,OVH的CTO Octave Klaba 在Twitter上称他们遭受了一起由145,607个网络视频监控设备发起的峰值最高达800Gbps的DDoS攻击。预计该僵尸网络有能力发动峰值超过1.5Tbps的DDoS攻击。
- 2016年9月20日,专门从事曝光网络犯罪的网站KrebsonSecurity就遭受了峰值达620Gbps的DDoS攻击。Klaba推测,针对Krebs和OVH的攻击很可能来自于同一个Mirai僵尸网络。经分析显示,Mirai 僵尸网络bot端涉及大量被感染的国内某品牌的网络视频监控设备。
说到这里你可能不屑一顾——关我什么事?我在中国好不好!
图样图森破,首先,一个悲伤的消息是,涉及到此次美国大规模网络瘫痪的很多摄像头被曝出是我国生产的;其次,CNCERT发布的 《2015年我国互联网网络安全态势综述》 中提到:“2015 年,CNVD通报了多款智能监控设备、路由器等存在被远程控制高危风险漏洞的安全事件。2015 年初,政府机关和公共行业广泛使用的某型号监控设备被曝存在高危漏洞,并已被利用植入恶意代码,导致部分设备被远程控制并可对外发动网络攻击。CNCERT核查发现,我国主要厂商生产的同类型设备,普遍存在类似安全问题,亟需进行大范围整改。”
据绿盟科技近日发布的《2016网络视频监控系统安全报告》显示,中国境内存在安全问题的视频监控系统,主要分布在台湾(16.1%)和广东(15.8%),合计占比31.9%,其次是江苏(7.9%)、福建(6.0%)、浙江(5.7%)等省份。
上张图来让你震撼下,吃瓜群众自己看看是不是在这些红色区域内(这么多,就不信你能置身事外)
不过,不要担心,要想看看自己是不是置身于“危险”中,还有一个方法,在在NTI绿盟威胁情报中心实时查询到存在问题的网络视频监控系统在全球的分布情况。
如果想知道更多信息,可以戳《2016网络视频监控系统安全报告》下载。
一个疑问来了,这些散落在各处的网络视频监控系统为什么就这么轻而易举地成为被控制的“僵尸”了?厂商都是弱弱的hello kitty吗?
绿盟科技 DDoS 攻防研究实验室告诉大家,还真是。
这些分布在世界各地,且数据量巨大的网络视频监控系统,普遍都存在各种安全问题,如弱口令、 系统后门和远程代码可执行漏洞等。由于这类设备的管理特殊性,如使用者安全意识不强、设备久不升级、设备固件升级缓慢等,导致这类设备的漏洞短时间内难以修复,且大量的这些设备并没有安全防护,直接暴露于互联网中。与此同时,针对这些系统的僵尸网络恶意程序越来越多,其传播手段也不断更新,这些处于完全开放或半开放状态的视频监控系统沦为黑客的僵尸网络无非只是时间问题。
弱口令、 系统后门和远程代码可执行漏洞是神马意思?简单科普一下。
1.绿盟科技 DDoS 攻防研究实验室发现,大量网络视频监控设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证, 就可直接看到监控视频。
比如,用户名 admin,密码为空(敢不敢设个1234567890也比这个强?!)
更搞笑的是,大量设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备 上是共用的,互联网上很容易查到这些设备的初始密码。
意思就是,密码设了等于没设,黑客你好,我家大门向你敞开。
2.还有一些设备存在后门,可以直接获取系统的shell权限,执行shell命令。
例如,可直接在 web 上执行 shell 命令:
意思就是,黑客你好,我在我家房子外面给你留了把钥匙,欢迎随时进来。
3.经过测试发现,某款网络视频监控系统系统存在远程代码可执行漏洞,该漏洞涉及到 70 多个不同品牌的摄像头。因为这些厂家都使用了同一个公司的产品进行贴牌生产。
这些设备的 HTTP 头部 Server 带均有“Cross Web Server ”特征。利用该漏洞,可获大量含有此漏洞设备的 shell 权限。
意思就是,黑客你好,都不用来我家实地勘测,远程就能搞定。而且这次,不仅是给你留了一把钥匙,吼吼,这把钥匙可能还是把万能钥匙,还能开隔壁邻居家的门。
由于这些高危漏洞的普遍存在,黑客可以轻松获取大量网络视频监控设备的控制权。他们可以得到这些设备的视频监控信息,窥探或暴露用户的隐私;可以获取设备 shell 权限,利用僵尸工具上传恶意代码,保留后门等,并组建自己的僵尸网络,后续再通过 C&C 服务器控制这些肉鸡的攻击行为。
目前,据绿盟科技统计,全球范围内存安全隐患的网络视频监控系统的数量就已经超过 2500,000 个。由于部分设备生产商及用户安全意识的缺乏,短时间内这些设备很难被升级,也就是说这些存隐患的设备,像待宰的羔羊一样,等待着被感染,成为 IoT 僵尸网络大军的一员。
恭喜你,一不小心,只要黑客愿意,你家的摄像头随时就要成为僵尸网络中的一员,加入肉鸡全家桶大礼包。
难道没有什么补救或者防范措施吗?此处,绿盟科技要敲小黑板了,下面的建议非常重要,只说一次:
对于网络视频监控系统的生产商,其设备的安全问题影响着自身的品牌信誉,进而影响其市场的发展,建议可以采取以下安全措施:
1. 及时发现自身产品的安全漏洞并进行修复,若是贴牌生产也请及时联系原厂商进行修复,并将补丁发布到官网;
2.构建设备的远程自动更新机制,允许用户远程 / 或自动升级补丁或固件;
3.对设备上所有的密码设置复杂度要求,用户首次登录需修改默认密码,默认初始密码尽量出厂;
4.关闭不使用的端口;
建议用户可以采取以下措施应对:
1. 尽量避免将网络视频监控设备部署在互联网上,可以部署在私网内,或者通过 VPN 连接访问;
2. 设置复杂密码;
3. 及时更新最新补丁及固件。
对于安全厂商来说,需要做的事情远远不止以下这些:
1. 及时发布漏洞信息,监控攻击动态,通知监管单位或者用户,及漏洞厂商等;
2. 不断跟进分析相关恶意程序及其变种,提高安全设备 / 安全服务的防护能力。
最后,绿盟科技是国内领先的企业级网络安全解决方案提供商,麾下有无数挤上全球最厉害白帽子黑客排行榜的高手,从黑客的角度来告诉你如何抵御“黑帽子黑客”的侵袭,要不要更服气!
