你的摄像头,只是你的吗?
2021年12月4日,CCTV-2财经频道播出了一期名为《关注摄像头安全》的节目,次日,由中共中央政法委员会主办的长安网转发了一篇名为《400个摄像头账号卖150元 官方重拳出击摄像头偷窥黑产》的文章,文中写道,中央网信办网络安全协调局对存在一些漏洞的云视通、雷威视、海芯威视等App进行了约谈,前期群众举报和自主监测到的大约有45万多个可以被远程偷窥的摄像头已经全部都不可能再被利用。关于摄像头被非法入侵导致个人隐私视频被贩卖的案例,央视近几年虽然多有报道,但黑产各环节却从未彻底消失,春风吹又生。
央视报道中有一个案例,家住北京的周先生平时工作很忙,家里有老人和孩子,没办法在家照看比较担心,为了省事就在网上随便买了一款摄像头用于查看,没想到自家却被不法分子“偷窥”。
这些偷窥视频会在社交平台的群中不定期发布,以刺激群成员购买偷窥视频、充值会员、购买破解工具,甚至付费“拜师学艺”。调查人员入群后按照卖家的指引下载安装了某软件,随后利用该软件进行扫台尝试弱口令爆破,输入用户ID和密码后,电脑屏幕上随即出现了大量的摄像头实时监控,画面中人是处在一个完全不知情的状态。摄像头大多面向酒店、家庭、卧室等私人场所,这些摄像头的信息被多次反复贩卖,黑产人员从中牟取暴利。这些数以万计的摄像头画面泄露,对公民隐私形成了严重侵害。
此外,中国裁判文书网中公布了巫小成非法控制计算机信息系统一审刑事判决书,通过该判决书,我们可以还原出该类案例从入侵、推广再到变现的详细过程,这里做简要概括:
2018年4月,被告人巫小成租用国外服务器运营“上帝之眼”APP,该APP可以控制摄像头;2018年11月,巫小成通过反编译“天眼”APP获取了某品牌摄像头的用户名和密码数据库,用于自己搭建的APP“蓝眼睛”之中,通过指令调取数据里的用户名和密码就能实现入侵并控制目标摄像头,数量约10万左右。服务器ECS镜像文件中显示,摄像头地区分布在中国、日本、韩国、美国、比利时等多个国家。巫小成通过QQ好友开发“蓝眼睛”APP网站后部署于某云服务器,使用域名为www.lanyanjing2019.com。巫小成通过“艾米”发卡平台来对接收费端口,然后该平台再将钱转到其支付宝中。2018年至案发,被告人巫小成通过搭建“蓝眼睛”、“上帝之眼”等APP,非法控制位于北京市朝阳区某养老院等地的监控摄像头系统,并通过在网络推广上述摄像头实时监控画面非法获利人民币70余万元,2018年3月5日被告人巫小成后被抓获归案。2019年3月5日至3月26日,被告人巫小成专门用于收取贩卖监控实时画面钱款的第三方支付平台共计收款人民币17万余元,后上述钱款进入被告人巫小成支付宝账户。
北京市朝阳区人民法院认为,被告人巫小成无视国法,对他人计算机信息系统实施非法控制,情节特别严重,其行为已构成非法控制计算机信息系统罪,判决告人巫小成犯非法控制计算机信息系统罪,判处有期徒刑五年,罚金人民币十万元;继续追缴被告人巫小成人民币八十九万四千四百八十五元六角三分。判决后巫小成上诉,2020年2月27日,北京市第三中级人民法院作出终审裁定:驳回上诉,维持原判。
智能监控产品的视频泄露问题已经成为一种普遍的隐患。无论是央视报道的事件,还是中国裁判文书网公布的类似案例,视频泄露的源头都指向了两个关键环节,一个是安全漏洞,一个是弱口令。
智能网络摄像头软、硬件均难以做到发布即完美,很有可能存在安全漏洞,例如,2015年9月大华被曝IPC-HF2100等摄像头onvif协议的snapshot接口访问不需要身份认证,允许攻击者可直接获得摄像头实时视频图像;2016年12月索尼被曝80款监控摄像头存秘密后门,loT设备的加速沦陷;2017年1月三星SmartCarn智能摄像头曝高危命令注入漏洞,可被黑客完全控制。不只是智能网络摄像头,任何网络软、硬件产品都可能存在安全漏洞,所以,工信部、国家网信办、公安部在2021年7月12日印发了《网络产品安全漏洞管理规定》,并于2021年9月1日起施行。规定明确,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。利用安全漏洞对智能摄像头的入侵在一定程度上将会得更严厉的打击和遏制。
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123456”、“aaaaaa”等。因为这样的口令很容易被别人破解,从而使智能网络摄像头存在被入侵的风险。央视报道的案例中,入侵人员首先会圈定某些IP网段、某些品牌摄像头,之后通过脚本或者工具批量扫描,采用预设的弱口令密码字典进行爆破撞库,直至筛选出目标。
央视与一些安全检测组织针对如何杜绝摄像头泄密提供的参考意见是购买品牌摄像头、使用复杂口令、及时对软硬件进行升级等。杜绝不难,但如何溯源找到偷窥者?全国信息安全标准化技术委员会发布的《GB∕T 38626-2020 信息安全技术 智能联网设备口令保护指南》明确了非设备本地鉴别方式,即,“在云平台部署模式下口令鉴别在用户终端和云平台之间完成,云平台和智能联网设备通过其他安全协议进行认证,如基于数字证书的帐号认证等,并且通过设备的唯一标识与用户终端登录的帐号进行绑定”,这就使智能设备与登录账号进行了强关联。此外,该指南在第5、第6“日志要求”部分明确要求,所有用户对帐号、口令的操作均应记录日志,日志内容应包括用户ID、IP地址、操作时间、操作内容、操作结果等信息,这就使入侵者利用安全漏洞获取系统较高权限后添加账户、修改密码试图长期隐秘控制摄像头的操作均不得不留有痕迹,有据可查;《GB/T 38632—2020 信息安全技术 智能音视频采集设备应用安全要求》的“安全审计”部分明确要求,智能音视频采集设备应能够对开关机、创建用户、更改配置、安装与卸载软件、软件升级、修改口令、登陆失败、特权用户登录等事件进行记录,审计记录应包括事件类型、事件发生时间、触发事件的主体、事件处理结果等信息。这就使通过脚本批量扫描弱口令不得不留有痕迹,有据可查,从而沉淀出高危设备及可疑IP;《GB/T 38561—2020 信息安全技术 网络安全管理支撑系统技术要求》的“风险事件监测”部分明确要求,支撑平台需能对风险事件进行信息采集和管理,应具备自动和人工两种方式采集风险事件、应对风险事件进行处置管理,包括事件告警和流程处置。这就要求相关平台应具有针对上述高危设备及可疑IP等风险事件自动告警及处置的功能。如果智能网络摄像头及其管理平台可以严格遵守全国信息安全标准化技术委员会发布的各种标准,即使发生入侵与偷窥事件,溯源与处置难度将大大降低,公民、企业依法维权将更加容易取证,报警或者以诉讼的方式推倒第一张多米诺骨牌,达摩克利斯之剑不再只是悬而不落。
版权声明:我们致力于保护作者版权,注重分享,被刊用文章【上帝之眼学校4月(你的摄像头)】因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!;
工作时间:8:00-18:00
客服电话
电子邮件
beimuxi@protonmail.com
扫码二维码
获取最新动态
