6月18日,央視曝光,大量家庭攝像頭遭入侵,有人借此非法牟利。央視引用國(guó)家質(zhì)檢部門的抽檢報(bào)告稱,已檢測(cè)的40批次中家庭智能安防攝像頭中,32批次樣品存在質(zhì)量安全隱患,可能導(dǎo)致用戶監(jiān)控視頻被泄露,或智能攝像頭被惡意控制等危害。即80%的“家庭安防攝像頭”,其實(shí)正在成為家庭最大的“安全黑天鵝”。
但是,大屏君為什么要在標(biāo)題上說(shuō)“又”呢?因?yàn)椋瑯拥膯?wèn)題2015年已經(jīng)出過(guò),而且是大名鼎鼎的全球第一安防品牌“海康威視”。
2015年2月27日,江蘇省公安廳科技信息化處發(fā)出《關(guān)于立即對(duì)全省海康威視監(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》稱,“海康威視監(jiān)控設(shè)備存在嚴(yán)重安全隱患,部分設(shè)備已經(jīng)被境外IP地址控制。”該事件引發(fā)業(yè)內(nèi)廣泛關(guān)注。
但是, 這個(gè)鍋真的不應(yīng)該由“任何安防企業(yè)”,包括海康威視來(lái)背:因?yàn)椋?015年海康威視事件的元兇是“初始密碼未改所致”。這次央視曝光的家庭智能涉嫌頭的問(wèn)題也很類似——國(guó)家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師高勝指出,“隱私竊取主要是依靠掃描器,用一些弱口令密碼,做大范圍的掃描。弱口令就是一些user或者admin。”即,關(guān)鍵問(wèn)題還是出在原始用戶名、原始密碼、簡(jiǎn)單用戶名、簡(jiǎn)單密碼上。
所以,大屏君覺(jué)得這個(gè)“安全黑鍋”的主要責(zé)任在于“用戶習(xí)慣”,次要責(zé)任在于“別有用心”者。
對(duì)于前者,很多用戶有懶惰的毛病,也有技術(shù)依賴癥。無(wú)論是企業(yè)安防、社會(huì)安防還是家庭安防,大部分系統(tǒng)應(yīng)用并非“全天時(shí)”要害領(lǐng)域。或者說(shuō),這些安防設(shè)備更多是以防萬(wàn)一。所以,用戶很多時(shí)候不愿意用很大精力來(lái)管理這些產(chǎn)品——如果換做是銀行卡,有著千八百萬(wàn)現(xiàn)金在賬上,恐怕無(wú)法想象會(huì)出現(xiàn)“初始密碼”不更換、銀行卡隨手放的情形。
同時(shí),大屏君也意識(shí)到一個(gè)更重要的問(wèn)題:即很多消費(fèi)者和安防用戶,并不了解安防系統(tǒng)聯(lián)網(wǎng)工作的基本常識(shí)。即他們天然認(rèn)為,安防產(chǎn)品自身是沒(méi)有破綻的,很安全的。但是,很多時(shí)候,視頻攝像頭就是一個(gè)傳感器,任何物理或者信息化的入侵,都可能綁架這個(gè)產(chǎn)品。且越是高度智能和功能復(fù)雜化的產(chǎn)品,越容易遭受信息手段的入侵——這方面,安防產(chǎn)品本身不應(yīng)該被視作比一般的“手機(jī)”、“電腦”更安全。
即,我們常說(shuō)的安防安全和技防措施,本質(zhì)是“交叉安全”:通過(guò)在整個(gè)環(huán)境中,增加一套系統(tǒng),增加安全冗余。而不是給這個(gè)環(huán)境加上一層金鐘罩鐵布衫。這個(gè)增加的安防系統(tǒng),除了有訂制化的功能外,在信息安全上她沒(méi)有“原則性”的特殊性。
如果能理解這一點(diǎn),任何消費(fèi)者和客戶都能做到,向?qū)Υ胀娔X、個(gè)人手機(jī)那樣,“小心翼翼”的管理自己的安防產(chǎn)品。那么央視曝光的智能攝像頭問(wèn)題。海康威視2015年黑天鵝事件就都不會(huì)發(fā)生——至少是變得很難發(fā)生。
在此基礎(chǔ)上,大屏君還想強(qiáng)調(diào)“安防產(chǎn)品”的部署,的確增加了一個(gè)環(huán)境中“交叉安全”的強(qiáng)度;但是,這個(gè)系統(tǒng)自身也在另一個(gè)層面增加了原有環(huán)境可能的“暗門”。
例如,在央視曝光的家庭智能攝像頭案例中,對(duì)于一個(gè)家庭,即便是經(jīng)常出入的最友好的客人,也不可能任何時(shí)刻都說(shuō)清楚“家庭陳設(shè)”的細(xì)節(jié)。但是,一旦家庭智能攝像頭被挾持,那么黑客通過(guò)“眼見(jiàn)即所得”,隨時(shí)能把消費(fèi)者家庭的一舉一動(dòng)掌握清楚。這種情形即是說(shuō),作為安全系統(tǒng)的“安防攝像頭”,也充當(dāng)了一個(gè)可能的高危險(xiǎn)“暗門”的角色。
對(duì)于任何安防用戶,都應(yīng)該理解這個(gè)常識(shí):即安防系統(tǒng),尤其是視頻安防系統(tǒng),本身就是一個(gè)“比任何其他的門”都要危險(xiǎn),都需要小心“管理”的“門”。而用戶名和密碼就是唯一的“鎖”。
當(dāng)然,很多消費(fèi)者可能說(shuō),我的小店、我的小場(chǎng)所、我的學(xué)校、我的辦公地點(diǎn)、我的家庭,即不會(huì)存放大量現(xiàn)金、也沒(méi)有容易偷盜的值錢產(chǎn)品,我安裝這個(gè)系統(tǒng),只是為了管理(如監(jiān)視老人、小孩、工作人員、生產(chǎn)狀況等)的方便。——大屏君不認(rèn)為這種思維沒(méi)道理。但是,安全問(wèn)題一定要用“壞人”的角度來(lái)想,要警鐘長(zhǎng)鳴。
首先,大屏君知道,一些人只是想“偷窺一下”,包括隱私、也包括最日常的生活、生產(chǎn)狀態(tài)。他們除了好奇心沒(méi)有別的惡意,最多就是把看到的信息再搬到網(wǎng)上。如果不涉及私密信息,這些行為的確不構(gòu)成任何直接損失。
但是,大屏君亦知道,14億中華同胞難免有一些敗類。如電信詐騙分子。而詐騙分子獲得被騙對(duì)象信任的方式,就是大量搜集其個(gè)人的公開乃至隱私信息。一個(gè)被侵入的攝像頭落入詐騙分子之手,無(wú)論是家庭的還是工作場(chǎng)所的,無(wú)疑都是“最好的工具”。
除了那些“高級(jí)罪犯”外,社會(huì)上的小偷小摸的數(shù)量更是眾多。甚至曾經(jīng)有過(guò)小偷把防盜門、防盜窗都拆掉賣廢鐵的案例。對(duì)于這些罪犯,且不要說(shuō)“我家、或者我的辦公場(chǎng)所,無(wú)值錢的東西”,沒(méi)準(zhǔn)這些人連廢紙都偷:誰(shuí)叫廢紙也能賣錢呢?
然后,大屏君還有一個(gè)更高級(jí)的“安全問(wèn)題”:即弱口令安防系統(tǒng)被境外勢(shì)力大范圍挾持,在海量數(shù)據(jù)下,那些日常生活中、工作中“自覺(jué)”沒(méi)有意義的細(xì)節(jié),是不是能被“敵方專家學(xué)者”識(shí)別出“高價(jià)值”的情報(bào)呢?切不要忘記那個(gè)梗:日本情報(bào)部門僅僅通過(guò)一張鐵人王進(jìn)喜的新聞?wù)掌椭懒舜髴c油田的確切位置。(當(dāng)然,這也與日本侵華時(shí)期在此地十幾年調(diào)查,掌握了大量地質(zhì)情報(bào)有關(guān)。)
從最后一點(diǎn)看,大屏君尤其要說(shuō):安裝家庭智能攝像頭的都是哪些人?無(wú)外乎是三高份子:高學(xué)歷、高收入、高社會(huì)地位。安裝眾多復(fù)雜安防系統(tǒng)的政府和企事業(yè)單位都是哪些:也無(wú)外乎三高——高業(yè)務(wù)量、高級(jí)別、高地位。對(duì)于這樣的家庭、單位,一旦掌握其海量的活動(dòng)信息,一定能從中分析出很多有價(jià)值的情報(bào)。2016年, 360威脅情報(bào)中心數(shù)據(jù)顯示,針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的境內(nèi)外APT(Advanced Persistent Threat,即“高級(jí)持續(xù)性威脅”)組織達(dá)36個(gè),中國(guó)已經(jīng)成為全球APT攻擊的第一目標(biāo)國(guó)。
總之,在大屏君看來(lái),安防系統(tǒng)不是一步到位的“安全保障“。他的本質(zhì)是通過(guò)多系統(tǒng)交叉,增強(qiáng)總體安全的冗余性。安防系統(tǒng)在體現(xiàn)安全保障作用的時(shí)候,其本身也成為一個(gè)易被攻擊、且一旦被侵入就會(huì)變成一個(gè)”大開之門戶“的”安全問(wèn)題“。
在這樣的認(rèn)知下,如何做到安防更安全的?答案在于,安防系統(tǒng)降低了簡(jiǎn)單安保體力勞動(dòng)的量,卻增加了復(fù)雜安保的科技水平和勞動(dòng)難度。對(duì)于后者,要求我們的安防人和安防消費(fèi)者,要做到時(shí)刻警惕,樹立防范高科技安全犯罪的意識(shí),加強(qiáng)高級(jí)安防技能的學(xué)習(xí)與應(yīng)用。最后,大屏君還是那句話,設(shè)備是中性的,人才是決定用好用壞的因素。所以說(shuō)“生于憂患,死于安樂(lè)“。
WAP手機(jī)版
建議反饋
官方微博
微信掃一掃
PjTime