一言不合就被直播，安防監控網路安全亟待解決

12月27日上午，國家網際網路資訊辦公室釋出《國家網路空間安全戰略》。《戰略》指出，網路滲透危害政治安全。大規模網路監控、網路竊密等活動嚴重危害國家政治安全和使用者資訊保安。

視訊監控網路安全的問題再次被提及並引起重視。自安防行業進入聯網時代以來，攝像頭被攻擊，導致監控遭直播的事件屢屢發生。如2014年，深圳19個視訊監控遭全球直播;2015年，“3?15”晚會上揭露了智慧攝像頭存在的洩露隱私等安全隱患;2016年12月，全球被“破解”的攝像頭在Insecam網站上直播，Insecam顯示中國有164個攝像頭被直播監控畫面。

　　小編在27日登陸網站檢視時，顯示有166個攝像頭被直播監控畫面…

　　就問你怕不怕!

根據NTI綠盟威脅情報中心提供的資料顯示，中國境記憶體在安全問題的視訊監控系統，主要分佈在臺灣(16.1%)和廣東(15.8%)，其次是江蘇(7.9%)、福建(6.0%)、浙江(5.7%)等省份。

而無論是家庭安保裝置還是商用領域監控系統，所有暴露在網際網路環境下的裝置都會面臨黑客攻擊的風險。黑客利用病毒破解裝置的使用者名稱和密碼，植入指令碼檔案，將裝置挾持為病毒源，掃描攻擊其它網路裝置。

視訊監控系統主要存在的漏洞

1.弱口令

大量網路視訊監控裝置的登入密碼使用預設密碼，這些預設密碼大部分是簡單的弱口令，甚至一些裝置就沒有設定預設密碼，登入不需要任何的驗證,就可直接看到監控視訊。比如，使用者名稱admin，密碼為空(設個1234567890也比這個強)。

另外，大量裝置生產商使用通用韌體，導致這些初始密碼在不同品牌或者同品牌不同型別裝置上是共用的，網際網路上很容易查到這些裝置的初始密碼(據說網上有一張易用密碼錶…)。

2.系統後門

有一些裝置存在後門，可以直接獲取系統的shell許可權，執行shell命令，新世界朝你開啟。

就在11月，12月，有國內外知名廠商都相繼被爆出了攝像頭存在後門的問題，引行業惶恐。而是否真的存在“後門”，以及廠商會不會設定“後門”成為使用者最關心的問題。

3.遠端程式碼可執行漏洞

一些廠家都使用了同一個監控廠商的產品進行貼牌生產，這些廠家出於節約成本的考慮，未做任何安全加固，導致不同品牌的裝置使用預設的密碼，或者包含相同的漏洞，這就導致一旦漏洞被爆出，其影響範圍甚廣。這些裝置的HTTP頭部Server帶均有“CrossWebServer”特徵。利用該漏洞，可獲大量含有此漏洞裝置的shell許可權。

使用者的應對措施

而之所以監控裝置會爆出安全漏洞，除了與廠商節約成本、技術受限等原因外，與使用者的使用情況也有關係。使用者普遍缺乏安全意識，有些設定很簡單的密碼，如1234，admin等，有些甚至使用空密碼或者系統預設密碼，這樣就給黑客提供了很大的便利，使他們很輕鬆就能獲得這些系統控制許可權，並進一步利用其為之謀利。

儘量避免將網路視訊監控裝置部署在網際網路上，可以部署在私網內，或者通過VPN連線訪問;

使用者要使用強密碼，密碼要使用數字、特殊符號和大小寫字母組合;

向雲端傳輸資料的時候，使用安全的網路連線，不要在手機等控制裝置上儲存賬號密碼等敏感資料，以免手機被惡意入侵後導致風險;

及時更新最新補丁及韌體。

感到欣慰的是，不少廠商已經將監控系統網路安全納入重要甚至是頭等技術問題。接下來，我們將邀請知名的安防廠商談談他們對網路安全的看法，以及他們在提升視訊監控網路安全上做了哪些努力

本文轉自d1net（轉載）