据悉,其中有28批次的数据传输没有加密,20批次的初始的密码安全性较弱,有18批次在身份鉴别方面不能够提供登陆失败的处理功能。
企业发声:力证安全呼吁用户放心使用
对于国家质检总局发布的报告,相关知名家用智能摄像机制造厂商“按捺不住”,纷纷发表声明以证自家的摄像机“没问题”。
央视报道出来后,360安全团队、360智能摄像机产品团队高度重视,针对摄像头可能存在的安全漏洞,组织安全技术人员逐一排查并公布了具体检测结果。
海康威视旗下品牌萤石也出示了安全认证。ISO27001是全球信息安全权威标准之一,要求企业必须满足高规格高要求的信息安全体系,确保企业以及用户的信息安全,以权威、严格著称。目前,获得该认证的国内企业主要涉及银行、保险证券、数据处理中心、电信等行业。
在安全方面小蚁在声明中表示,将会坚持最严格的“六重隐私安全保障”,让用户放心。无论是在访问摄像机观看视频直/重播、服务器访问还是云储存功能上,传输数据都是严格加密的;同时后台使用动态秘密加密,防止陌生人盗用并且严格保护用户信息;另外,小蚁智能摄像机不存在统一的初始用户名与密码,还可设置多重“强密码”进行高级别的隐私保护。
除上述企业外,雄迈、汉邦高科等企业也发表了声明,力证产品的安全性,呼吁用户放心使用。雄迈提出“三大安全保障”,汉邦高科则以国密技术佐证产品品质。国密即国家密码局认定的国产密码算法,即商用密码,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护,安全系数高。
除了上述发表声明的企业,零狐还采访到了杭州蛮牛科技蛮牛云平台负责人郑驿以及中维世纪科技有限公司李春生从行业内部的角度对此次事件进行了分析。
郑驿认为,家用监控产生安全问题的原因,一是因为私网环境下的风险相对较小致使厂家对设备安全性的不重视;二是因为数据传输通道及数据储存上的未加密,当监控设备暴露在公网上,数据就很容易被别人捕获。
中维世纪则认为,此次事件的爆发势必会影响产品的市场需求,但暴露问题才能更好的解决问题,行业、企业也为因此对产品进行改造升级,反倒有利于行业健康和可持续发展。
企业怎样解除家用监控的隐私安全隐患?
郑驿表示企业应该从以下三个方面来进行把控:
全链路数据加密:针对整个数据传输链路进行高规格的数据加密,保证即使数据被别人窃取,也无法查看,尤其是针对一些用户帐户等信息,采用HTTPS的方式进行数据安全传输,以保证数据安全;
弱密码提示:针对弱密码进行用户提示,提醒用户尽量设置复杂密码,提醒修改出厂密码;
用户引导:通过各种渠道对用户进行安全性方面的引导和安全性知识普及,让用户在使用产品的过程中提高隐私安全防范意识。
有较多企业做了检测并获得了证书,这些检测证是否权威?
企业为获得渠道销售商和终端用户认可促进销售,给自身产品增加信任背书,找一些机构或单位进行产品检测和认证,都是较为常用的手段。有胜于无,对受众而言这些检测证还是具备一定信任作用的。
至于检测证是否权威,中维世纪认为关键在于两个方面:一是检测标准是否权威;二是检测机构是否权威。
比如是否参照和对标GB/T22239-2008《信息安全技术、信息系统安全等级保护基本要求》等国家相关标准,或是国际上公众认可的美标、欧标等相应标准,这些标准相对权威。另外,检测实施方和检测证出具方是否是国家或国际指定的检测机构,如果不是就很难保证检测证的权威性。
如果检测证采用的检测标准权威,检测机构同样权威,那么检测证就相对是权威的,否则就很难证明其权威性。
最后,两家企业就购买监控的角度给用户提出了建议:在选择产品时应优先购买权威机构安全认证,值得信赖的监控品牌产品;留意权威部门所发布的相关产品质量信息;尽量设置复杂密码,切记修改初始密码;在使用监控配套软件时选择厂家指定的软件。
用户调查:被“直播”你怕了吗?
隐私得不到保障,家用摄像机仿佛变相的“直播机器”,给热爱智能家居产品的用户们浇了一盆凉水,对于智能摄像机本身以及摄像机的安全隐私问题,用户们是怎么看的呢?
Q1:对智能摄像机这个产品本身怎么看?
李女士:非常需要,家里有孩子,有时候会让她单独在家,有这个产品,自己外出比较放心,可以随时查看她的情况。
张先生:产品本身没啥问题,只不过现在的摄像机最多算个网络摄像机,算不上智能,智能要有自动识别功能,语言控制功能等等,目前大部分都是没有的,最多连接网络云台,手机控制而已。
沈先生:对现在工作高强度高节奏、大量时间不在家里的上班族而言,特别是家中有老人、孩子、宠物的特定人群,智能摄像机监控家里的情况还是有必要的。但是现在智能摄像机的安全问题得不到保障,搞得人心惶惶的。
Q2:隐私遭泄,安全问题严峻,以后还会使用吗?为什么?
沈先生:还是会用的,虽然对产品来说没有出台规定和标准,而且信息化安全标准条律也没完善,但国家也很重视这点,相信后续会有改善,毕竟家用监控最终是有益的存在。
李女士:会使用,我个人一直接触互联网,知道这个问题,在互联网出现的同时一直就存在这样的问题,就像当初我们怀疑互联网,互联网支付,现在全部接受一样,知道这是一个过程,终究会解决掉。最主要就是我已经养成习惯,去设置比较安全的密码。
李先生:目前来看,主要应用智能摄像机的人群还是刚性需求为主,即有特殊目的才会使用,一般家庭不太会考虑。
Q3:对家用监控的发展有什么期待?
沈先生:首先是达到安全标准,在变换不同造型,融合家庭氛围的同时,提高其防护性,现在高清、云台、报警、网络存盘等都没难度,接下来要希望能在更多的特殊情况下完成防护性,比如断网、断电、在死角位被砸,遇到这些情况该怎么办,还有同款产品是否可以进行全息视频对话等,当然最后这点是科幻片看多了,呵呵。
李女士:希望更加智能,与报警联系在一起,当有入侵的时候可以即刻报警。也希望法律加大窃取信息者的犯罪成本,给予更合理果断的处罚。
张先生:希望在保证安全的前提下,其他功能可以跟进,可能很多功能已经有了,只是用在高端的产品上,希望可以越来越普及。
总的来说,市场需求是大量存在的。用户对家用监控的“看家”功能颇为满意,频繁发生的安全问题并没有完全打消用户对智能家居安防产品的热情,他们仍然希望有更安全、功能更全面、性能更稳定、性价比更高的产品出现。
专家解析:聚焦网络信息安全如何规避“弱口令”风险?
智能摄像头的IP地址和登录密码是如何落入别人手中的?质检视频显示主要是依靠扫描器,用一些弱口令密码做大范围的扫描得来的。不光家用摄像头能够被轻松入侵,在用于城市管理,交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题。
笔者认为,只有弄清不法之徒是怎样入侵家用监控的,才可以有效规避网络风险。为此,零狐特邀杭州安恒信息技术有限公司信息安全专家冯旭杭为用户解析“弱口令”的危害,并就如何保障网络信息安全提出建议。
什么是“弱口令”?
口令常指我们所说的密码,它是进入系统的方式,一般进入系统可以有多因素认证,用户名和密码是其中最简单的一种。密码过于简单会让系统的突破口变得极其脆弱。
冯旭杭介绍道,很多设备出厂的时候会设置默认的用户名和密码,而这个密码基本上是以简单的数字或字母的排序比如admin、rut这样的弱口令作为初始设置,这些口令基本都存在于破解密码的密码字典中,但是密码字典中的弱密码远远不止这些,弱口令可以说是导致网络安全事件爆发最为集中的因素。就大批量家用摄像头被入侵的事件而言,弱口令就是根本原因。
家用监控是怎样被入侵的?
零狐从冯先生处得知,首先入侵者利用互联网扫描器对批量的IP地址进行扫描,锁定入侵智能摄像头的范围,锁定地址源后,利用暴力破解(穷举密码的可能性)的方式进行密码破解。
比如我们常见的6位数纯数字密码,总共有10的6次方种排列方式即密码的可能性,按照现在主流计算机的运行速度,不到1分钟就能穷举所有密码,即入侵者在1分钟内就能
破解你的密码,即使你更换密码但没有避开弱密码范围,入侵者还是能够在短时间内破解,登录你的摄像头进行控制和数据夺取。
规避风险厂商、用户需齐头并进
怎样规避家用摄像头带来的网络信息安全问题?冯先生认为应该以厂商提升安全成本、用户提高安全意识为主,监管机构加大力度、第三方网络安全企业协助为辅,社会各界同心协力,才能提高整个互联网的安全使用氛围,新技术、新设备才能更加名正言顺的为老百姓服务。
设备制造厂商对于产品的安全系数应该重视,使用多因素的认证方式、除了用户名密码还设置一些动态令牌、加强对登录入口的保护等等都是企业可以考虑到的问题;而用户则应该养成良好的安全习惯、提升安全意识,比如修改密码时使用“字母+数字+特殊符号”等位数足够长的强密码、采用域名方式隐藏摄像头的管理地址并设置登录验证等等。
另外,监管机构等相关部门也应该加强网络安全监管力度,完善、制定行业安全标准或制度,让所有人有法可依;有技术、有责任的第三方做网络安全、信息安全的服务商,也可以对设备厂商进行一些宣贯、辅导升职协助。
不使用不就没有安全问题了吗?
从前在纯物理化的家庭里,你以为只要管好门窗,家里可能就是安全的,但事实上仍然避免不了入室盗窃、**等负面事件发生。如今有智能监控、智能门锁等智能家居单品,可以为家庭提供更高级别的安全防护,为什么大家却不敢尝试了呢?
互联网、物联网的发展改变着我们的方方面面,智能化的未来生活是必然趋势。好比最早出现网上银行时,几乎没有人敢用,随着第二代u盾、安全技术的发展下,确保其使用过程安全,越来越多的人使用上了网上银行、手机银行。
冯旭杭建议,与其畏手畏脚不敢使用,不如积极探索如何让它们更好、更安全的便捷我们的生活,网络安全迟早会变成智能设备的基本属性,大家大可放宽心。
观点:将安全落到实处
首先,质检总局称“8成家用监控存在安全隐患”,却不是说“不合格”。这意味着目前对于智能家居产品还没有出台正式的安全质量检测标准,既然如此,厂商生产的产品入市没有标准可依,“无规矩不成方圆”,大量山寨机、贴牌机,以及小厂家的摄像机产品加速流入市场从而产生的安全问题,又怎么能完全归责于厂商呢?
其次,行业洗牌势在必行,企业需加大安全技术成本。用户需求持续存在,有责任心、技术力量过硬、关注用户体验和服务的企业肯定能够在恶劣的环境下生存下来,但那些滥竽充数、技术薄弱、为商则奸的企业应该迅速淘汰。与此同时,企业也应该更加重视产品的安全问题,加大成本用于提高安全技术。第三方网络信息安全服务商也可以适当参与进来,为提高产品的安全系数出一份力。
执法部门可以增加违法者的犯罪成本。虽说摄像机本身可以被入侵是导致其不安全的重要因素,但那些入侵摄像机、窥探别人隐私甚至用于非法牟利的犯罪分子不是更加可恨吗?他们之所以敢一而再、再而三的盗取用户信息,很大一部分原因在于惩治力度不够严格。
最后,媒体在为用户发声的同时,应该公正客观、就事论事,不能一概而论。要知道其不清晰的描述、博眼球的言论不仅会产生舆论误导,还会误伤到一大批致力于智能安防发展的企业。
温馨提醒:
用户在面对商家的推荐、网上的言论、产品质量时,要提高眼力、明辨是非、拥有安全意识。不要卖家说好就买,网上说不好就不买了,要根据自己的需求详细了解产品的功能和质量,从正规渠道购买权威品牌的产品。当然,并不是说买来装好就可以了,安全使用家用监控你需要注意以下几点:
摆放位置:监控的摆放位置最好避免拍摄隐私区域
遮挡意识:在不需要使用的情况下挡住摄像头或者及时断电断网
勤换密码:修改默认密码,定期更换密码,密码设置复杂化