8千个城市2千万摄像头暴露:2018摄像头安全报告

2019-01-10 07:45:05来源:中国云计算网 阅读 ()

新老客户大回馈,云服务器低至5折

网络安全创新企业华顺信安,近日发布《网络空间测绘系列—2018年摄像头安全报告》。这是首个基于国内网络空间测绘技术的摄像头安全报告。

互联网摄像头暴露情况

报告显示,摄像头已经无所不在,全球228个国家和地区,8063个城市,2635万个摄像头暴露在公网。DDoS攻击、机构安全风险、个人隐私泄露等事件层出不穷,黑产猖獗。比如,2016年造成美国互联网大面积瘫痪的Dyn事件,就是主要由摄像头组成的僵尸网络发起的DDoS攻击所造成。

全球国家摄像头暴露情况

摄像头的特点是,分布广而且24小时在线。安全问题主要有弱口令、缺乏安全防护和安全意识,为了节省成本使用相同固件,但却没有自动更新机制等。这些安全隐患,无论是对于工业互联网,还是企业安全和公共安全,以及家庭的个人隐私都带来了巨大威胁。考虑到未来可能成百亿的摄像头设备都会上网,我们必须给予足够的重视。

中国大陆摄像头暴露十大省份

联网摄像头存在的安全风险

可以从三种领域观察联网摄像头的安全风险:

1. 工业摄像头

2014年,俄罗斯和格鲁吉亚战争爆发前夕,一条由里海通向地中海的长1099英里的输油管由于内压太大发生爆炸,虽然这条管道安装了大量的探测器和监控摄像头,但均无警示。经专业人员调查发现,这些监控摄像缺少了爆炸前的60个小时录像。之后,此事件被定性为某国家的渗透行为,并且疑似早在2008年就开始布局。

2. 公共摄像头

公共摄像头性能高、覆盖面广,一旦被黑客成功控制将对公共安全造成巨大威胁。通过这类摄像头,黑客不仅可以进行挖矿和Dos攻击,还有可能大范围、多角度地监视他人。此外,不少公共摄像头在连接执法机构远程控制端的过程中,都需要经过多个中转点。这期间,如若有一个中转点被黑客攻破,就会对整个系统造成巨大的安全危害。近几年,电影、电视等文学作品有大量的控制摄像头的例子。比如,好莱坞电影中“黑客随意控制全城摄像头红绿灯”的场景。

3. 家庭摄像头

家庭摄像头主要是个人隐私泄露问题和被攻击者控制的问题。后者可被黑客利用进行挖矿和DoS攻击等非法获利行为,也可对家庭进行长期监控,进一步威胁家庭人身财产安全。

摄像头漏洞

联网摄像头主流的通讯协议为http(s)和RTSP常用端口为80、443、554等。存在的漏洞类型包括命令注入、授权、信息泄露、缓冲区溢出、弱口令、文件操作、XSS、拒绝服务、目录遍历、固件漏洞等。

2018年漏洞类型统计

目前公开的摄像头漏洞中,中国的福斯康姆(Foscam)摄像头漏洞数量最多,达65条以上,占历年摄像头漏洞总量的25%;法国施耐德旗下派尔高(pelco)摄像头漏洞数量位列第二,达37条以上,占历年摄像头漏洞总量的14%;日本艾威数据(I-O DATA)摄像头位列第三,达32条以上;韩国三星(Samsung)、中国安讯士(D-Link)摄像头厂商分别位列第四和第五;浙江大华和中国海康威视(hikvision)摄像头分别位列第六和第七,漏洞数量达17条以上。

从摄像头品牌的漏洞数量对比来看,市场占有量大的厂商安全性反而较高,主要是因为近两年主流厂商越来越重视安全问题,并加大了对安全的投入。

13年-18年摄像头厂商漏洞数量前10

如何保护摄像头安全

报告认为,若要从根本上解决摄像头安全问题,需以安全管理和安全技术相结合。加强安全管理措施,同时辅以技术手段提高效率。

管理方面,要建立摄像头的相关安全标准,把摄像头纳入网络资产,进行统一化的安全管理。

技术方面,制造商需要加强安全意识、建立那倒安全开发流程,并对产品进行检查和跟踪等。安全厂商则要从防护、检测、网络、通讯、硬软件等多个维度为用户提供合适的安全解决方案。例如,本报告的主要支撑技术:网络空间测绘。

结语

随着智慧城市、物联网的到来,摄像头这一重要的智能设备组件呈爆发性增长态势。在这庞大的市场身后,是日益突出的视频安全问题,是国内的安全厂商应当研究与思考的方向,而网络空间测绘系统不失为一项重要、方便的安全技术手段和安全切入点。

导读:回顾中国物联网的发展史,最早提出概念的是比尔盖茨在1995年《未来之路》一书中,2009年中国科学院才开始建立物联网研究院,在此之后,被正式列为国家重点战略计划,写入了十一届全国人大三次会议政府工作报告。

经历了近10年的技术发展变革,物联网是如何不知不觉间正在改变着人们的生活,看看以下最新的物联网10大深度技术汇总,看到第三条老铁们是否已经心动了。

TOP 1  IoT军事技术

物联网军事技术是一项利用IoT感知技术在军事活动中获取人、装备、作战环境状态的信息特征,从而实现在军事活动中做出智能化决策和控制局势的军事方针;据悉,早于2012年10月军方联合了社会研究机构合力创建了“军事物联网联合实验室”,构建了装备感知系统、研制了军用自组网、专用芯片、空间加密技术、侦查、排雷、作战机器人作战体系、单兵无人机系统、机器人识别控制定位技术、智能避弹技术、智能侦查体系等诸多 IoT军事技术,这项技术的持续创新和变革将给予我国国防建设带来更具国际竞争力的安全保障价值。

TOP 2  智能处理应用技术

工业自动化技术结合AI智能、M2M技术之后,推动了自动化技术从半自动化或基于固定程序的自动化阶段进入到基于AI智能处理的全自动化阶段,在这个过程中智能处理应用技术逐渐成熟和标准化,传统的PLC或单片机控制传动(气动(液压)、电动、机械传动)将会被AI智能处理器所替代,普通的机械装置将会被更加灵活的智能机器人取代,目前应用场景主要用于智慧工业和农业,如:嵌入式智能灌溉、自动化无人生产线、智能医疗健身器械等,工业4.0时代,该项技术将会取代大量劳动力成为各产业基层核心生产力。

TOP 3  无线智能应用技术

要说物联网技术当中哪项技术最亲民、最贴近人们的娱乐生活当属无线智能应用技术,该技术让设备与设备之间越过了操作系统、通信模式、硬件接口、程序语言等层层不同障碍,使得M2M跨平台数据交互畅通无阻,在M2M无线设备交互中无线智能应用技术进一步提升了M2M交互体验,更强的传输速率和更稳定的信号收发、让M2M商用智能硬件得到了大规模量产和市场推广,今年新推出发行的移动硬盘无线扩展器(一款可以让手机和硬盘间实现数据交互、在线阅览、上传下载等功能交互)、无线充电智能终端、可拓展多负载无线多功能触摸屏等诸多智能硬件,让无线智能应用技术再一次夺大众眼球。

TOP 4  IoT生物医疗技术

生物技术在细胞学、DNA遗传学的应用与发展的基础上,很多医学专家开始试图结合物联网技术为生物学提供新的研究方向,从生物感知到疾病状态识别和检测技术上不断地有新的学术成果诞生,这意味着从疾病预防到疾病控制到人体机能免疫环节上物联网生物医疗技术在逐步进入应用阶段,今年BAT等知名企业也纷纷投入智慧医疗产业当中,越来越多的团队投入到生物医疗技术的研发中,相信在不久的将来IoT生物技术将会得到大规模地应用与普及。

TOP 5  无人测检技术

IoT场景无限延伸拓展,如:变电站巡检机器人、农业病害检测、基于STM32和OV5640的农情检测、可穿戴式婴儿睡眠监护、煤矿瓦斯无人监测、气象检测等等无一例外都利用了IoT无人测检技术,而这项技术被越来越多的领域赋能应用,基于RFID、红外监测、荧光测温、光强传感、气流监测等IoT感知层技术组件集群和应用系统软硬件的结合,推动了IoT无人检测技术的快速发展应用并赋予更广阔的市场契机和迎来新的社会价值。

TOP 6  IoT通信技术

伴随着更多IoT通信技术标准的制订和创新,多样化细分化通信场景下的交互应用越发成熟,基于BLE的蓝牙5.0mesh技术、zigbee、SmartRoom、Li-Fi、HaLow等包括网络技术在内新的标准和新的通信轨道在逐步铺开,功耗更低,传输距离更长、传输速度更快、覆盖范围更广、通信容量更大、穿墙性能更强,这些优质标签在不断地往更好的方向的应用与升级,万物互联信息交互能力将会迎来新的高度与纬度。

TOP 7  无人驾驶技术

无人驾驶技术在过去几年一直是个热门科技话题,科技巨头们更多地会把注意力集中在高端汽车这个应用载体上,大部分人认为该技术离我们很远,就算离我们不远也只属于那一少部分高大上人士,伴随无人驾驶技术在更多领域的赋能之后逐步有更多新型应用载体淡入公众的视角,之前的想法逐渐会被自己新的认知所颠覆,全向移动自平衡车、无人驾驶自平衡车、无人驱动自动玩具,无人船舶运输、无人挖掘机等应用载体的市场普及指日可待,不久的将来无人驾驶在民用商用市场上将会迎来新的春天。

TOP 8  移动监控技术

移动监控技术已渗透智慧城市的每一个角落,从能源节能监控到智能家居,从智能停车到红外防盗;该技术核心在于智能识别数据和环境(光、热、空气、水、物)后基于不同环境下的视频图像进行多种视频图像算法处理,最终优化出一个可视化可供分析的大数据模型,通过管控数据来实现执行监控的各种措施。

TOP 9  信息认证与动态防伪

传统的防伪分为:特殊材料工艺防伪(油墨、激光、特殊材料)和数码、M1防伪,传统工艺防伪因无法承载数据和易于造假,二维码、条形码等无法写入动态数据、易被复制,M1技术作为RFID标签的其中之一,基于M1+NFC模式在市场上广泛流行,但是这种IC卡的安全太过依赖秘钥,时有讯息传来专业人士成功破解的消息、一些研发专家开始专注于CPU物联网芯片+NFC+区块链技术的研发和创新,动态数据算法加密防伪牢不可破成为了防伪安全及认证领域新的安全风向标,在信息认证和防伪上,物联网认证防伪技术终将实现万物互联,智享安全。

TOP 10  IoT定位技术

在定位技术上、中国北斗导航定位技术和GPS一样,可实现快速精准定位 ,据消息称在2008年的汶川地震抗震救灾中北斗发挥了重要作用,目前主要用于军用;除了北斗外,目前国内物联网领域常用定位技术有射频识别室内定位、LBS定位、蓝牙定位、Wi-Fi定位、UWB技术、地磁定位、超声波定位、红外定位等,未来, IoT定位技术将广泛用于车联网、智能停车、智慧零售、智慧工业、智慧物流、事故救援、智慧医疗、智慧养老等领域。

总结:在互联网时代,美国手握根域名服务器及相关网络标准的主导权,同时掌握着国际互联网信息舆论的话语权,而在物联网时代,美国好像正在失去一些东西,也许那不应该叫失去,那原本就该属于那些参与国际科技秩序竞选后胜出的先驱者们拥有,科技没有国度,却有一颗造福世界和社会的功德心,而那颗心谁已迷失,谁又正在觉醒。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:默克尔也中招!德国数百名政客个人数据被黑客曝光

下一篇:联手Digital Realty,MobiTV亚特兰大开设数据中心据中心