【前言】
针对近日国家互联网应急中心发布的《关于近期境外黑客组织拟对我国视频监控系统发起攻击的预警通报》(以下简称《预警通报》),本网特地联系了国内几家专注于网络信息安全相关领域的行业专家,就该问题进行回复,并推出了“境外黑客盯上视频监控系统,机场如何防范?”的系列报道,现在发布该报道的第二期,希望通过专家们的精彩剖析为各地机场和民航相关机构提供借鉴,在防患于未然的同时,也对各地机场视频监控系统安全健康发展及其漏洞安全隐患和数据泄露风险排查起到帮助。
【《预警通报》重点回顾】
境外黑客组织声称将于2月中旬对我国发起网络攻击,以我国多家视频监控系统作为攻击目标,并公布了其掌握的一批相关视频监控系统在用境内IP地址。
【焦点问题】
机场是我国交通枢纽的重要基础设施,视频监控系统庞大,那么,是否会成为境外黑客攻击的重点呢?
【受访嘉宾介绍】
启明星辰信息技术集团股份有限公司 安全专家(以下简称:启明星辰安全专家)
北京神州绿盟信息安全科技股份有限公司绿盟威胁情报中心负责人 范敦球
机场安防网:根据国家互联网应急中心的《预警通报》来看,境外黑客将对我国多家视频监控系统进行攻击,那么,黑客为什么要选择“视频监控系统”作为攻击的目标呢?也就是说视频监控系统对黑客的诱惑力是什么?
启明星辰安全专家:黑客此次选择“视频监控系统”作为攻击的目标主要与其攻击动机有关。黑客宣称将于2月中旬进行的攻击主要是用于宣传藏独言论,该团伙不仅攻击视频监控系统,还针对许多视频监控厂商、企业和政府网站的WEB服务器进行了攻击。
随着智慧安防技术的不断发展,目前主流视频监控系统均采用基于IP网络的高清摄像机进行网络组建,IP摄像机通过内置嵌入式操作系统满足智慧安防在各领域的应用场景及业务需求,且随着应用场景的不断变化,各种IP摄像机还会通过互联网与手机及业务系统进行对接和数据交互,以方便远程查看和管理,因此在视频监控网络中也存在大量的应用、业务及存储服务器。视频监控网络不仅用于安防监视,还作为运维和管理手段,无论在城市和农村,还是在企业和家庭,视频监控网络都发挥着巨大作用。
现阶段,视频监控厂商和用户在重视视频监控业务建设的同时往往忽略了网络安全性的防护需求,随着视频监控网络的规模化发展,其已关系到国计民生的重要基础设施,那么对于境外黑客而言,一旦掌握设备中的缺陷,入侵了视频监控网络,就可能会对国计民生造成严重的威胁,甚至可能威胁国家安全。
从近些年所披露出来的一些围绕视频监控网络发生的安全事件及危害程度,我想我们能从中看到黑客攻击视频监控网络的意图和目的。
u CCTV多次专门报道家庭摄像机带来的隐私泄漏风险。黑客可获取较为敏感的视频图像资料,危害国家安全和侵犯个人隐私。
u 2014年据美媒报道,土耳其石油管道爆炸事件中,其中联网的视频监控网络被黑客控制并进一步深入内部系统,不仅工作人员未能通过视频监控发现管道爆炸,而且还被删除了60个多的小时的视频录像,视频监控网络遭到入侵或视频遭到删除,失去了视频监控的功能。
u 2015年,江苏公安厅披露国内某著名安防厂商所生产的部分监控设备被境外控制,这是我国首次披露的视频监控网络安全事件。由于视频摄像机本身也有操作系统(嵌入式系统),可被控制或运行恶意代码,还可能作为跳板渗透、窃取和破坏其他业务信息系统,危害关键信息基础设施的网络安全。
u 2016年,黑客通过Mirai病毒控制了大量被入侵设备组成的僵尸网络,大部分是国内某大厂生产的摄像机,并且攻击了美国的一家DNS公司,导致Twitter和Amazon均无法登录。此后Mirai病毒还通过多次升级,感染能力进一步加强,此事件视频监控网络中的IP摄像机成为僵尸网络重要的肉鸡。
范敦球:这个境外的黑客组织有藏独背景,近年来,每年2月13日附近(藏独组织所谓的“独立日”)都会尝试攻击我国,域名涉及gov.cn、.cn等中国网站。与往年不同的是,境外黑客今年重点提到了视频监控系统,因为他们认为视频监控系统会“侵犯人权”,让人处于被监控的状态。
从黑客角度来看,视频监控系统主要有以下三点诱惑力:
(1) 视频监控系统会泄露被监控者的隐私;
(2) 绿盟科技威胁情报中心测绘发现,目前暴露在互联网上的视频设备已达159万,可能还会持续增加。目前来看,视频设备等物联网设备厂商众多,品种丰富,安全防范措施相对比较薄弱,比较容易出现未被及时修改的默认口令、空口令、弱口令、设备漏洞等,这类比较“脆弱”的设备容易被攻击者利用,有可能成为僵尸网络的被控节点,作为黑客的攻击武器在未来某一刻对其指定的目标发动攻击。之前的Mirai事件就是一个典型的例子。
(3) 开放WS-Discovery服务的视频监控系统可被用于进行DDoS反射攻击。WS-Discovery是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。绿盟科技威胁情报中心测绘发现,约73万的视频监控系统开放了该服务。该攻击在2019年2月被研究人员首次披露,2019年下半年,利用WS-Discovery进行反射攻击的事件明显增多。
机场安防网:这与传统的黑客攻击有哪些不同呢?
启明星辰安全专家:针对视频监控系统的攻击可以归类为针对物联网设备的攻击。相较于传统的黑客攻击(传统的黑客攻击手段主要是利用操作系统、网络设备以及系统服务的漏洞发起的,传统的黑客攻击对象也主要是各种终端PC、服务器以及网络基础设施),针对物联网设备的攻击主要是通过互联网扫描作为攻击入口,利用弱口令爆破、设备漏洞攻击等方式进行入侵。由于物联网设备生产过程中对信息安全问题的忽视,使得大量物联网设备节点存在大量不安全配置和软硬件安全漏洞,例如网络摄像头、路由器、打印机、会议系统等等,任何一个针对个体的网络攻击都有可能蔓延到更广的范围。同时,与传统PC有所不同的是,此类节点一般是全天候在线,网络带宽资源丰富,并且被控后用户不易发现,往往容易遭到黑客攻击并作为DDoS(分布式拒绝服务攻击)的“稳定”攻击源。
从攻击手段来看有相似之处,但视频监控网络的安全建设相对滞后,视频厂商缺乏足够的安全意识和安全能力,给予黑客更多可乘之机。另外,由于摄像机数量规模庞大,弱口令及漏洞修复比较困难,这也是视频监控网络更易被攻击的一个原因。
范敦球:视频监控系统与传统的网站类目标所开放的网络服务不同,这是与传统的黑客攻击最大的不同点。视频监控系统一般会开放Telnet、HTTP、RTSP、一些私有协议等服务,而传统的网站则会涉及Web框架、数据库等,两者所开放的端口也有很大不同,比如视频监控系统可能会开放554、60001、37777、23等端口,而传统的网站所开放的端口以80、443为主。受攻击服务的不同决定了攻击手法的差异。
机场安防网:国家互联网应急中心的《预警通报》指出,我国视频监控系统存在一定的漏洞安全隐患和数据泄露风险,那么,机场的视频监控系统是否也存在相同的问题呢?机场的视频监控系统是否会成为此次黑客攻击的重点?
启明星辰安全专家:目前视频监控网络都是类似的,主要的漏洞集中在摄像机或者视频业务服务器上,且缺乏有效的系统安全加固及网络安全防护措施。目前国内外主流摄像机都暴露出安全漏洞,包括国内主流的安防厂商。
从目前黑客的攻击动向看,此次黑客攻击的主要目标是视频监控设备提供商、相关服务器提供商以及政府网站等,攻击不局限于针对视频监控系统的攻击。具体到此次针对“九安”视频监控系统的攻击,由于漏洞利用需要获取设备指纹信息,黑客较大可能是针对暴露在互联网上的相关视频设备进行了扫描并进一步实施攻击。机场的视频监控网络作为机场运营安全的重要监控手段属于关键信息基础设施,视频监控网络的安全也是需要密切关注的,本次黑客攻击没有列举具体的攻击重点,但机场视频监控网络也需要按照预警通报要求进行排查和加固,并针对视频监控网络的特点加强安全防护措施,做好全面排查、积极防御、降低风险、消除隐患。
范敦球:从我们对该黑客组织的实际监控来看,该组织对政府网站的攻击比较多,包括gov.cn和.cn网站,但对其他行业也有涉足,从目前分析来看,并没有特别的针对性。
我国视频监控系统存在漏洞安全隐患和数据泄露风险的原因是,视频监控系统属于部署之后会持续使用很多年的产品,而很多早期的系统在设计之初被没有过多考虑安全方面的需求。现在各大视频监控厂商也逐渐意识到安全的重要性,很多厂商也有了专门的安全团队,相信这一问题会逐渐得到解决。
首先,要看机场的视频监控系统是否暴露在互联网上,如若暴露,风险会比较高,首先要确认是否存在默认口令未及时更改、弱口令或存在漏洞等问题;若未暴露在互联网上,也存在被内部攻击利用的风险。因此,建议能针对机场的视频设备做一次全面的安全自查,包括但不限于漏洞扫描、木马监测、配置核查、WEB漏洞检测、网站渗透测试等。
机场安防网:机场在视频监控的系统安全方面应该如何防范才能最大限度地避免黑客攻击?
启明星辰安全专家:针对本次攻击的预警披露比较多,国家相关机构和安全厂商均给出了应急处置手段,我们也发布了应急指导。基于视频监控网络存在的其他严重安全风险,需要加强安全防护措施,包括:
(1)在前端摄像机的接入区,串行部署安全设备,采取IP/MAC准入控制、协议准入控制、异常流量检测和拦截、攻击检测和拦截、防病毒的措施,防止非法设备接入和非IPC设备接入视频监控网络、非法访问、攻击和病毒传播等行为,特别是针对视频监控网络和视频协议的攻击行为。
(2)针对视频管理平台加强安全防护,对暴露在互联网上的网络设备资产进行全方位安全排查,包括但不限于漏洞扫描、安全配置核查、WEB漏洞检测、网站渗透测试、恶意代码监测等。不仅要提高视频监控系统的安全防范,同样要防止黑客从其它节点进入内网,并通过横向移动攻击视频监控系统。
(3)针对视频管理平台存在的越权访问和违规操作行为,可考虑部署视频审计系统记录登录和业务操作,便于追溯。
(4)建立密码定期修改和固件更新机制,针对视频监控设备的厂商初始密码要尽快更换,注意避免空口令或弱口令。
(5)检查终端网络配置,关闭非业务必须的网络服务和端口,尤其是具备远程控制功能的端口要尽量避免暴露在互联网上,有条件可以对视频监控系统进行专网隔离。
(6)针对视频监控设备的产品情况进行检测统计,并与设备供应商建立联动机制,及时更新补丁和固件。
(7)对于视频监控设备的访问控制界面,建议修改默认的管理端口(如九安设备的默认管理端口为60001)。
(8)加强网络边界入侵防范和管理,配置适用于物联网设备的防火墙、入侵检测系统、入侵防御系统等网络安全设备,对恶意流量及不必要的境外流量进行检测和阻断。
(9)加强安全管理监控,及时做好网络和运行日志审计监测,第一时间发现攻击风险,及时处理。
(10)及时对数据库及敏感重要信息进行备份。
(11)机场需要与安全业界协同安全能力,共享网络安全威胁情报,尽早对可能的威胁提前做出相应响应,做到未雨绸缪。
范敦球:(1)提升安全意识,进行一些力所能力的防护措施,如把损坏和无用的资产进行及时下线处理,减少入侵点;检查终端网络配置,关闭不必要的网络服务和端口;使用强密码;对于联网设备,修改默认的管理端口。
(2)定期对所属网段内的资产进行核查,及时发现存在安全隐患的高危IP和端口。
(3)部署安全厂商的视频安全态势感知平台,主动识别互联网暴露的资产,同时可以通过流量分析被动识别视频监控设备,形成视频监控设备资产画像。通过大数据平台能力,对网络安全状况进行综合分析与评估,对视频监控设备进行威胁检测,异常行为分析,并进行威胁追踪和攻击溯源,全面掌握视频监控设备安全威胁态势。
(4)部署安全厂商的视频准入网关,对视频监控设备进行安全防护,能主动扫描摄像头资产、监测对非法外联行为、探测漏洞和弱口令等。
问题补充:
机场安防网:就目前的视频监控网络来说,是否避免连接互联网就可以了,是否还有其他的安全风险?
启明星辰安全专家:非常好的问题,避免连接互联网确实从某种程度能降低黑客从远程发起攻击,但结合我们多年从事视频专网安全建设的经验,我们总结了几点视频监控网络可能存在的安全风险。
(1) 摄像机自身存在的安全风险。弱口令、出厂口令相同和未及时安全加固,造成视频监控网络更容易被非法访问、攻击或控制;
(2)摄像机存在被非法替换的安全风险。摄像机较多部署在室外或外人可触及的地方,一旦摄像机被替换成PC,则直接接入视频监控网络,从而可扫描、控制和渗透视频监控网络甚至攻入其他信息系统,造成安全威胁,同时各种网中网的存在或非法接入行为的发生也可能使摄像机间接地暴露在互联网上;
(3)视频监控存储及管理平台的安全风险。视频服务平台一般都是采用基于Linux系统的集成化B/S架构平台,设备厂商如果未能及时对系统软件版本进行升级和加固,也容易存在安全漏洞。
通过上述两位专家对黑客为何会攻击视频监控系统、攻击后的危害、攻击方式、目前视频监控系统的安全问题与隐患,以及机场视频监控系统的安全等内容的深度分析,希望可以为各地机场及民航相关机构提供借鉴与帮助。
