基于IP的摄像头存在大量漏洞,目前尚无解决方案
10 月 21 日,美国发生大规模断网事件,黑客通过Mirai 病毒将超过百万台物联网设备(主要是DVR、网络摄像头等)控制,用于DDoS攻击。包括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。而据安全公司的数据显示,参与本次 DDoS 攻击的设备中,主要来自于中国雄迈科技生产的设备。随后,杭州雄迈承认其产品成为DDoS帮凶,雄迈产品中与默认密码强度不高有关的安全缺陷,是引发上周五美国大规模互联网攻击的部分原因。
据悉,目前还没有比较好的解决方案来解决这个问题。KerbsonSecurity 调查后表示,雄迈和其他公司生产的模组是无法修复的,这些肉鸡只有被断网后才会停止攻击。同时还建议厂家在全球范围内召回这类安全性极差的产品,并对本次事件负责。
事实上,随着全国网络化的推进,国内IP类的产品,尤其是IP网络摄像头发展势头依旧猛烈,一定程度上给消费者带来了诸多便利,但基于IP网络所存在的各项漏洞以及默认的低强度密码也给了黑客可乘之机。
仅就目前国内安防市场格局来看,依旧是处于诸侯林立的割据阶段,尚无行业统一标准和国际化的行业旗舰。低廉的入行门槛导致了大量的从业厂商的出现,从而催生了低价、拉关系等行业乱象。尽管安全的主题仍旧被看好,但我们可以预见的是,在接下来的一段时间里,只有可以修改默认密码,安全性更高的物联网设备将成为厂家、零售商和消费者的选择。
可信IPC或成为DDoS攻击克星
通过对Mirai 病毒跟踪分析后发现,此次攻击主要采用扫描弱口令设备,远程登录设备并注入恶意软件,引导恶意程序在设备端运行,进而操控设备对远端服务器进行并发攻击。普通嵌入式设备软件由于安全机制设置存在缺陷,很难对当前运行固件以及程序合法性进行判别,也就导致了恶意软件有机可乘。
可信IPC采用可信“主动免疫”安全体系,依据可信计算标准,从芯片、硬件结构和操作系统等方面进行综合防护,确保设备上运行的所有程序的真实性、机密性和完整性,防止摄像机被植入木马以及被病毒感染,从根源上避免设备变成“肉鸡”;同时可信IPC还对采集的视频数据进行加密处理,确保视频监控数据在采集、传输以及分发等环节安全。通过将设备可信和数据加密技术相结合,提升摄像机设备本体的安全防护能力,并保障视频应用数据的安全性。
可信IPC介绍:密码模块是核心
在今年的青岛保密展上,中国电子科技集团有限公司(以下简称:中国电科)旗下的一款名为“三零视盾”一体化保密视频监控系统让记者记忆颇深。这是一款由成都三零凯天通信实业有限公司(中国电子科技集团旗下企业)自主研发的加密视频监控系统。据其负责人称,此视频监控系统主要针对IP网络所存在的各项漏洞,以身份认证、数据加密技术为核心,结合密钥管理技术及运行监管技术,保障视频数据的安全性、完整性,但此款产品主要基于国产加密技术,必须以一体化的成套的设备使用(包括加密网络摄像机、安全存储服务器,密管服务器等)所以其成本相比普通IP网络摄像机系统相对较为高昂,目前还基本只服务于党政军、公检法等系列高保密需求的单位,当记者问及是否可以推出平价的“低配版”时,其表示将不会推出平价的“低配版”,或还将引入可信技术,研发更高强度保密的IPC,定位于高质量、高保密要求的视频安防解决方案。
此次断网事件过后,记者通过电话联络上了该公司的技术专家,据其技术专家介绍,基于可信计算设计理念,他们的可信IPC由可信密码模块+ IPC构成,其中可信密码模块(TCM)采用硬件安全芯片实现,内置到IPC中,作为系统可信计算根,通过安全存储、建立信任链、提供密码学服务(加解密服务)、可信身份证明等几个方面实现设备对于可信的需求。目前,其可信技术已用于视频监控摄像头,或将于明年年初大规模向市场供应。