随着物联网的发展,摄像头已经成为人们生活中的一个寻常物件。无论是在公共场合还是私人空间,人们安装摄像头的初衷都是为了安全或者便利,但是现在,很多黑产团伙把摄像头作为新的攻击目标,它们反而成为了人们隐私泄露的安全隐患。
这并非危言耸听。今年2月12日,国家互联网应急中心发布一则预警通报称,“近期,境外黑客组织声称将于2月中旬对我国发起网络攻击,以我国多家视频监控系统作为攻击目标,并公布了其掌握的一批相关视频监控系统在用境内IP地址”。
3月10日,国家互联网应急中心下属的关键基础设施安全应急响应中心发布报告称,半个多月的时间内,针对特定漏洞的物联网恶意代码攻击事件数达到6700万次,单个组织对数十万个IP地址发起攻击尝试。可以认为,只要物联网设备暴露到互联网上,随时有被攻击的可能,并且可能被不同组织反复攻击。
那么暴露在互联网上的摄像头有多少个?此前发布的《2018年摄像头安全报告》有过统计,截至2018年11月底,全球共有228个国家8063个城市中的2635万个摄像头设备对公网开放访问权限。其中,中国位列第三,共有165万个。
由此可见,处于不安全状态的摄像头并不在少数。3月25日,21世纪经济报道记者采访了化名为KK的腾讯守护者计划安全专家,他表示,在与网络犯罪对抗中,永远是犯罪走在前面,这也要求我们要时刻关注网络安全发展,尤其是在技术变革的时代,特别容易出现技术漏洞。
但KK也表示,对于网络安全也不必过于恐慌,国内的安全公司在对抗黑产过程中也沉淀出了很多方法论,只要能够保证对新技术的及时掌握及提高警惕,还是能起到很大的防御作用。
罪恶的窥私欲
网络黑产的出现,都是受利益所驱动。摄像头背后能有哪些利益?KK告诉记者,黑产链大概分为摄像头破解工具开发出售、网络摄像头扫描、摄像头视频搜集售卖三个环节。
其中,摄像头破解工具的开发和出售处于黑产链条的最上游。这些掌握技术能力的黑产团伙开发出的软件具有扫描功能,可以批量获得摄像头ID,然后进行弱口令探测。
而“网络摄像头扫描”则是黑产链条的中游,一些黑产团伙在获得上游提供的破解工具后,开始大批量的“攻击”网络摄像头,当成功获取了网络摄像头标识ID后,便批量廉价出售。在国外的通讯工具上,就曾发现有人198块钱打包出售500个摄像头ID号。
KK告诉记者,在售卖摄像头ID环节,有些黑产人员会一个一个ID去筛选,然后将有涉及公民隐私特别是一些敏感画面的ID,单独打包出售,往往这样的ID可以卖得价钱更高。
黑产链条最下游就是直接售卖摄像头视频。当黑产团伙拿到大批量偷拍或者监控视频,如在住宅楼道、车站、宾馆等隐私场所的视频后,会按照敏感及隐私程度明码标价,然后出售给以“色情网站”为主的其他黑产团伙,实现盈利。
摄像头黑产链条的上中下游,获利的方式都各不相同,一位网络安全与犯罪研究人员告诉记者,从现有的判例结果来看,通过摄像头后续进行犯罪的,超过50%都是用于敲诈勒索。但需要注意的是,这里面也包括了那些针对某一个被害人,专门安装摄像头拍摄及敲诈勒索的偷拍案例。
另外一位从事网络安全的人士表示,网络黑产之所以存在,都是因为最终有人愿意为之买单。像摄像头盗拍,最终目的就是为了获取隐私画面,因为他们知道一定有人愿意花钱满足自己的窥私欲。
最近,韩国的N号房事件闹得沸沸扬扬,也让隐私保护的话题再次升温。但KK坦言,目前国内黑产的水平,无论是精细化程度还是产业链条的成熟度,都已经走在了国际前列。而且随着国内安全行业以及政府部门的不断打压,部分黑产团伙正开始向境外转移。
“黑产使用像暗网这样的平台工具,就是因为它的隐匿化,包括很多黑产的资金都开始利用比特币,这都给黑产的追踪溯源带来了难度,但这也是全球性的问题。不过,现在黑产的产业链条变得很长,只要有一个环节出现漏洞就能够挖掘到一些线索。”KK说。
安全意识弱是最大漏洞
据KK介绍,目前黑产团伙攻击网络摄像头的方式主要有以下几种:一是针对摄像头终端,黑产团伙通过调试摄像头硬件上的接口固件以及对设备序列号篡改的方式,获取硬件编码等敏感信息并进行协议破解。
二是针对手机端摄像头应用,黑产团伙会进行静态反编译,通过通信安全进行中间人攻击以及协议的抓包和诱骗;三是针对云端,一些摄像头的数据会传至云端,黑客则通过渗透WEB访问界面的子域名,进行信息窃取。
在与黑产的对抗过程中,KK发现摄像头的安全防护也确实存在一些难点。他表示,网络摄像头作为物联网设备本身就很容易存在技术漏洞,同时一些软件都是固化在硬件上,很难及时更新填补。
更为重要的是,大多数用户对摄像头的安全意识还不足够高。“他们在选购摄像头的时候,只会从外观上看好不好看,并不去了解网络安全性,而且很多用户把摄像头买回来就直接用弱口令或者默认密码直接使用,这些都给黑产团伙留下了可乘之机。”KK说。
某品牌网络摄像头的研发人员告诉21世纪经济报道,市场上主流的摄像头公司,都会把安全性放在非常重要的位置,但是,在安全问题上没人敢做出百分之百的保证,而且目前隐私泄露的最主要原因,都是由于用户的大意而造成。
针对摄像头厂商,KK也建议,应该禁止用户直接使用默认的用户名和密码登录。同时针对个人用户,KK则建议,要尽量使用复杂的密码并定期修改,而且摄像头不要对着床、浴室等私人空间,最好回家后就将摄像头关闭或遮挡。