上周,国家互联网应急中心发布了《关于近期境外黑客组织拟对我国视频监控系统发起攻击的预警通报》(以下简称《预警通报》),该《预警通报》显示境外黑客组织声称将于2月中旬对我国发起网络攻击,以我国多家视频监控系统作为攻击目标,并公布了其掌握的一批相关视频监控系统在用境内IP地址。为此,国家互联网应急中心建议各单位和相关用户及早排查风险隐患,提前做好防范应对工作。
机场是我国交通枢纽的重要基础设施,视频监控系统庞大,那么,是否会成为境外黑客攻击的重点呢?为此,为了进一步起到防患于未然的效果,促进各机场的视频监控系统安全健康发展,我网特就该话题联系了国内几家专注于网络信息安全相关领域的行业专家,就该问题进行回复,希望对各地机场视频监控系统安全,及其漏洞安全隐患和数据泄露风险的排查起到帮助。
【受访嘉宾介绍】
中国民航信息安全管理与测评中心博士 周景贤
信大捷安西安研究院院长 王平
【机场安防网】:根据国家互联网应急中心的《预警通报》来看,境外黑客将对我国多家视频监控系统进行攻击,那么,黑客为什么要选择“视频监控系统”作为攻击的目标呢?也就是说视频监控系统对这些境外黑客的诱惑力是什么?
周景贤:在举国抗击新型冠状肺炎病毒之际,有三件针对我国的网络安全攻击引起了广泛预警。一是1月21日,土耳其黑客组织“图兰军”宣称将于22日下午15:00(北京时间20:00)集中对中国站点进行DDoS攻击;二是2月5日,国内某安全公司发文称捕获了一例来自印度黑客组织的,利用新冠肺炎疫情相关题材进行投递的攻击。三是我们要讨论的,有境外黑客组织宣称将于2月13日对国内部分公司和视频监控系统实施网络攻击活动。
从国家互联网应急中心、国家和地方网信部门、各行业网络安全主管部门发布的预警情况来看,针对我国视频监控系统攻击的事件引起了足够的重视。为什么会这样,我认为有以下2个原因。
(1)攻击目标明确具体
本次攻击显然不是信口开河,而是做了充分准备。该组织声称已掌握我国境内大量摄像头控制权限,并在Pastebin网站上公布了70多个网络视频监控系统管理后台信息。从公开信息来看,说明相应的攻击已经实施。
(2)我国视频监控系统的实际安全状况堪忧
通过两个例子可以了解一下。1月20日,某论坛上发布了一份涵盖515,000多台服务器、家庭路由器和物联网智能设备的远程登录的Telnet凭据列表。信息报告每台设备的IP地址,以及Telnet服务的用户名和密码。本次泄露的数据中,一共51万6千多条数据中,中国的ip占据了24.8万个,接近一半了,是泄露数量最多的。另外,2020年1月6日,衢州市中级人民法院处理的张某等人非法窃取人脸数据 2000 万,制作 3D 头像通过支付宝认证。
针对物联网的攻击,特别是视频监控系统的攻击,近些年来多有案例不断爆出。例如:2015年10月,Incapsula公司在其网络中发现一个由900个网络摄像头发起的DDoS攻击;2016年6月,Sucuri发现一起针对其客户的DDoS攻击,这起攻击是由约25513个独立的网络摄像头组成的僵尸网络发起的。2017年8月25日,安全研究人员Ankit Anubhav在Twitter 称,Pastebin平台上暴露了超过33000个IoT设备的Telnet 凭据。2018年9月,安全公司Tenable的研究人员披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”。攻击者可以利用这个漏洞,通过远程方式在视频监控系统软件上执行代码。
之所以视频监控系统成为黑客攻击的目标,不断受到攻击的原因,我认为有以下3点。
(1)视频监控系统应用广泛,攻击目标无处不在
随着AI技术的发展,出于安防的考虑,具备数字化、网络化和系统集成化特点的视频监控系统获得了广泛的应用,例如智慧城市、智慧工业、智慧民航等领域。一时间视频监控系统遍布大街小巷、楼宇室内。对于攻击者而言,这是极大的诱惑,攻击对象随手可得。
(2)视频监控设备自身安全考虑不足
从公开信息和一些遭受攻击的视频监控系统来看,部分厂商为了节约开发成本,使用通用的、开源的固件,或者采用贴牌生产的方式,未做任何安全加固,导致不同品牌的设备使用默认的密码,或者包含相同的漏洞,这就导致一旦漏洞被爆出,其影响范围甚广。一个远程代码可执行漏洞能够同时在70多个品牌中存在就是个很好的警示。另外,大部分网络视频监控设备没有自动的系统升级和漏洞修复机制,即使发现高危漏洞,它们也很难被升级修复,厂商有升级的难处, 使用的用户也很少在意这些设备。
(3)安全防护技术比较专业,用户普遍能力不足
相对于传统的应用系统和设备,视频监控系统的安全监测分析和安全防护技术比较专业,只有少量的专业人士和企业掌握。对于普通的用户而言,视频监控系统类似一个黑盒子,从来不会打开来看,也不会去主动了解其中的安全机制相关内容。另外,用户普遍缺乏安全意识,有些设置很简单的密码,如1234,admin等,有些甚至使用空密码或者系统默认密码,这样就给黑客提供了很大的便利,使他们很轻松就能获得这些系统控制权限,并进一步利用其为之谋利。
王平:我认为黑客选择攻击“视频监控系统”首要的原因是我国的在线视频监控设备规模大、重要性强,破坏影响力大。
在2015年,国家发改委、工信部等部门就发布《关于加强公共安全视频监控建设联网应用工作的若干意见》,提出“到2020年,基本实现‘全域覆盖、全网共享、全时可用、全程可控’的公共安全视频监控建设联网应用”。
近几年,全国各地、各行各业大力推进视频监控系统建设,视频监控系统已遍布城市乡村、机场、高铁、医院、银行等生产生活的各个场景,在打击犯罪、治安防范、社会管理、服务民生等方面发挥了积极作用。在此背景下,境外黑客组织把我国视频监控系统作为攻击目标有着深刻的内在逻辑。首先,具不完全统计我国公共安全的视频监控设备约3300万台,已是全球规模最大的公共安全视频监控联网系统,属于国家重要的关键信息基础设施。一旦被攻击,有可能系统遭到破坏、视频监控的功能会丧失,视频数据会泄露,可能严重危害到国家公共利益。不仅如此,如此庞大的摄像头,如果被黑客非法劫持,通过伪造设备身份、接管设备管控权限就可以发起对特定目标的持续性网络攻击(Ddos攻击),造成其他更大的严重后果。
黑客选择攻击视频监控系统还有一个原因是视频监控设备安全性普遍较差,漏洞也非常多,比如存在弱口令、后门漏洞、通信协议缺陷等,对专业黑客来讲攻击成本和技术门槛并不高。目前,视频监控系统设备安全问题存在已久,主要包括设备本身被控制、篡改、仿冒;数据传输及存储过程中被窃取、篡改,后台服务及服务器存在漏洞被利用导致越权、非法访问、数据泄露等方面。设备设计不完善、系统维护不及时、对安全问题不重视应该是主因。
黑客之所以进行网络攻击,首当其冲可以提升自己的知名度,获取炫耀的资本,满足自己的虚荣心。不仅如此,通过获取视频数据,有可能获取到个人或组织的隐私信息,黑客把有价值的信息转卖给不法组织,再对个人或组织进行要挟或故意泄露隐私,会造成更大的危害。所以,对黑客来讲,真的是名利双收。
【机场安防网】:这与传统的黑客攻击有哪些不同呢?
周景贤:针对视频监控系统的攻击方式,总体上和传统的黑客攻击基本类似。例如,暴力破解,来获取设备信息、通讯数据,甚至对远程对设备镜像进行替换,伪装成合格终端;软件缺陷攻击,主要表现在软件bug、系统漏洞、弱口令、信息泄露等等。
与传统的黑客攻击不同之处在于以下两方面:
(1)硬件接口攻击
视频监控系统更多的依赖于硬件设备、数据采集终端等,每个终端设备的存储介质、认证方式、加密手段、通讯方式、数据接口、外设接口、调试接口、人机交互接口都可以成为攻击面。很多厂商在视频监控产品中保留了硬件调试接口。例如可以控制CPU的运行状态、读写内存内容、调试系统代码的 JTAG接口、可以查看系统信息与应用程序调试的串口。这两个接口访问设备一般都具有系统较高权限,造成重大安全隐患。
(2)通讯方式攻击
视频监控系统通讯接口允许设备与传感器网络、云端后台和移动设备APP等设备进行网络通信,其攻击面可能为底层通信实现的固件或驱动程序代码。比如,中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密HTTPS数据,可以获得很多敏感的信息。
王平:从近期我们持续跟踪来看,本次黑客使用的攻击手段与传统的黑客攻击没有本质区别。目前只看到黑客使用常见的信息搜集、漏洞扫描、弱口令暴力破解等工具对目标进行渗透测试,攻击过程中尝试的漏洞也是若干年前的老旧漏洞,攻击手段比较初级且单一。但值得我们警惕的是本次黑客声称的主要攻击对象是视频监控系统。我国公共安全视频监控设备众多,在当前物联网及智慧城市建设推进下,万物互联意味着视频监控系统往往与其他的物联网设备系统间互联互通,一旦黑客获得控制权限,将影响到监控系统甚至城市管理平台的信息安全,存在巨大的安全风险隐患。这不是危言耸听,2016年10月,美国东海岸出现一个名叫“物联网破坏者”(“Mirai”)的病毒。该病毒通过搜索网上的智能设备如摄像头等,然后尝试默认账号密码登录,一旦成功则劫持该设备并侵袭其他设备,最终让上百万的设备同时请求互联网,造成网络堵塞瘫痪。
【机场安防网】:机场的视频监控系统是否会成为此次黑客攻击的重点?
周景贤:公开资料显示,我国涉及公共安全的视频监控设备约3300万台,视频监控系统的应用遍及城市安全、社会治安、城市交通、企业内部、医院、银行、家庭等生产生活的各个场景。在民用航空行业,机场的视频监控系统的数量多和规模大。此次攻击从公开的70余个视频监控设备信息,外人很难看出哪些目标是属于民航行业的,也无法知道究竟有多少机场的视频监控系统已经成为此次攻击的目标。同时到目前为止,也没有相关消息说明机场的视频监控系统更容易成为此次攻击的重点,也没有民航单位上报本单位的视频监控系统遭受到了攻击。
所以,我认为机场的视频监控系统此次不会成为攻击的重点。但值得注意的是,机场的视频监控系统,与其他领域和部门使用的设备和技术相似性比较高,甚至是同一个厂家和品牌型号。广东省网络安全应急响应平台称此次公开的IP地址均属于国内某家科技公司生产的视频监控设备,该组设备存在大量未修复的漏洞,攻击者可以绕过登录界面直接查看监控内容,甚至取得设备的控制权限。因此,无论是否成为攻击的重点,机场方面也一定要加强安全防护,确保视频监控系统安全运行。
王平:机场是重要的交通枢纽,往往是代表一个地区或城市形象的重要窗口,平常人员、车辆来往密集,公共安全视频监控系统在维护机场公共秩序方面发挥着重要的作用。如果机场的视频监控系统被攻破,会产生较大的影响,我相信黑客会把机场作为重点的攻击对象。特别春节以来,我国新冠肺炎疫情持续爆发,机场、火车站、汽车站等都是阻击疫情传播的重要战场,当下也是打赢疫情阻击战的关键时期。为了提高体温检测的效率,很多地方陆续部署了基于视频监控系统的人脸识别体温自动检测系统,更体现了视频监控系统的重要性,所以在此提醒这些场所的视频监控系统做好安全防护工作。
【机场安防网】:国家互联网应急中心的《预警通报》指出,我国视频监控系统存在一定的漏洞安全隐患和数据泄露风险,那么,机场的视频监控系统是否也存在相同的问题呢?
周景贤:前面我也说到过,机场的视频监控系统,与其他领域和部门使用的设备和技术相似性比较高,甚至是同一个厂家和品牌型号。所以从这个角度来看,目前广义上视频监控系统存在的漏洞安全隐患和数据泄露风险,机场的视频监控系统也同样存在。例如,2月初,俄罗斯安全专家Vladislav Yarmak公布了使用海思芯片的雄迈视频监控产品中发现后门漏洞的利用详情,利用后门漏洞可以让攻击者获得目标设备中root权限的shell,完全控制住设备。使用海思芯片的雄迈视频监控产品在机场有一定的应用,也同样面临安全风险。
因为目前存在两个不确定性,一是对于存在安全隐患和数据泄露风险的视频监控系统产品,在我国机场内应用的数量的范围如何,不得而知;二是不同的视频监控系统的安全防护能力和安全服务能力不同,机场用户的网络安全防护能力的水平和投入不同。所以,机场视频监控系统的整体安全状况如何,还无法了解。
王平:机场的视频监控系统是否存在安全隐患和数据泄露风险取决于系统的建设是否遵循了国家相关技术规范,系统运维方是否对信息安全足够重视。从以往经验看,黑客一般有漏洞利用、钓鱼攻击和DDos攻击3种手段,只要做好以下工作基本上可以防止上述手段攻击。
1、定期进行网络资产梳理和排查工作,应避免存在无人管理维护的信息系统,并使用最新版本的漏洞扫描工具进行扫描,避免线上资产存在高危漏洞。
2、对于暴露在互联网上的视频监控设备需要及时进行版本升级,排查视频监控设备存在的漏洞与弱口令等问题,对于不需要在互联网开放的设备进行下线处理。
3、加强网络边界的监测与防护工作,避免黑客针对业务系统漏洞发起的攻击。
4、加强网络内的流量检测,持续监控异常流量与可疑通信情况。
5、部署服务器终端防护软件,关闭非必须的端口与服务。
【机场安防网】:机场在视频监控的系统安全方面应该如何防范才能最大限度地避免黑客攻击?
周景贤:针对本次预警,国家和行业相关部门都提出了多项要求。从最大限度的避免本单位视频监控系统的遭受攻击,降低遭受攻击的影响角度,建议民航各单位,特别是机场用户,及早排查风险隐患,提前做好防范应对,具体建议做好以下3方面工作:
(1)底数清,对象明。做好本单位在用视频监控系统的网络设备资产和数据梳理,制定安全保护方案,加强安全管理。例如关闭不必要的网络服务和端口,设置强密码,加强登录审计。
(2)查补漏,勤升级。对本单位视频监控系统进行漏洞风险排查,对于发现的弱口令漏洞、后门漏洞、未授权访问漏洞、登录绕过漏洞等风险及时修补。及时跟进在用产品补丁情况,特别是针对境外黑客已声称探测的CVE-2019-0708(Windows远程桌面服务远程代码执行漏洞)、CVE-2009-3103(Windows畸形SMB报文远程拒绝服务漏洞)等漏洞,进行设备及时升级。
(3)强预警,重应急。关注国家和行业发布的安全相关预警信息,建立健全本单位网络安全应急机制,做好数据备份,发现威胁后,能够及时进行处置。
王平:要最大限度避免攻击,一定要严格按照国家相关的政策和技术规范对其建设、运维。近年来,国家陆续出台了《网络安全法》、《密码法》等法律法规,规范了网络空间里的行为准则,强化了网络运行安全,要求重点保护关键信息基础设施。
2019年正式发布和实施的网络安全等级保护制度2.0,明确了建设信息系统的安全防护等级和能力要求。特别是,针对公共安全视频监控系统,国家于2018年11月1日正式实施了《GB35114-2017 公共安全视频监控联网信息安全技术要求》,明确规定了公共安全视频监控联网视频信息以及控制信令信息安全保护要求,并用于规范和指导公共安全视频监控系统的信息安全方案的设计,建设、系统检测、验收。
通过上述两位专家对黑客为何会攻击视频监控系统、攻击后的危害、攻击方式、目前视频监控系统的安全问题与隐患,以及机场视频监控系统的安全等内容的深度分析,可以明确:无论黑客是否攻击机场的视频监控系统,我们都需要提前防患于未然,希望两位专家的剖析为广大机场在视频监控系统的安全上发挥有效地帮助。
