在与一位国际青年旅舍连锁行业创业者交流过程中,聊到一个比较典型的创业数据安全事故。
创业近两年来,这位80后的创业者和几个以他为核心的小伙伴目前已经在重庆开设了3家面积从数百平米到数千平米的国际青年旅舍,这里要说的事故涉及一场他们与投资方的融资谈判会。因为青年旅舍行业特点和早期投入预算原因,他们把办公地点和青年旅舍放在一起且使用同一类比较实惠的家用智能摄像监控产品,此次融资谈判会在公司会议室举行,因为团队经验丰富且业绩成长明显,经过前期与投资方各种沟通反馈,此次融资谈判会现场成功签署入资相关协议,然后,创业者为了尽快将协议告知远在深圳的天使轮投资者,用手机拍下协议文本并通过WIFI环境下微信转发。本来,笔者和各位小伙伴一样觉得这事应该顺利地完成了也为他高兴,但事实上这事并没有完,会议过后一天,本来已签署入资协议的投资方电话告知他“重庆另一家青年旅舍的某某突然电话给我们说了一些情况所以我们希望再补充一些风控的条款”,看过对方发过来的补充条款,他相信自己团队和天使轮投资人都会不接受,接下来1年的业务发展计划也就得放弃。然后他就纳闷了,书面协议这边只有作为核心的自己看到,远在外地的天使轮投资人也没有泄密出去的理由,所以他直接询问投资方是不是违背了保密条款。对方的反馈则是:“我们和某某以前并没有接触,某某自己说是看到过我的图像再通过我们官网团队介绍找到我的名字,然后经过公司总机转接直接找到我,再说了一些引起我们高度重视的关于你们的情况,而且某某竟然也有此次书面协议的电子版照片,我个人建议你们检查下会议室网络设备尤其是联网摄像头和手机的安全设置。”
01互联网化却自带安全缺陷
从摄像头系统本身看,由于家用智能摄像头是由工业摄像头改进而来,生存环境也从原先封闭网络环境变成了互联网,但却从来没有考虑过安全问题,同时加上设备源代码存在设计缺陷,可以控制系统的高危漏洞就越来越多。更为严重是,现在摄像头没有远程更新机制,不能够随时打补丁,出现漏洞也没有办法进行远程修复。除此之外,市面上的摄像头基本都不存在“人机识别机制”,可以通过暴力破解、重放攻击获得用户账号密码,进而获得摄像机控制权。
02山寨是个坑
现在互联网企业、OEM厂商、原生安防企业都来抢占这块市场,各种山寨摄像头更是数不胜数,很多低端摄像头由于没有什么研发经费,所以在用户安全方面的投入基本为0,它很可能不需要添加任何密码就可以使用,而且此类产品也不会提供对应的漏洞修复和固件更新等服务,购买了它们就相当于购买了一个隐患。同时,一些山寨的网络摄像头的商家监管不严格,还可能存在监守自盗的情况,在用户摄像头内安装后门程序,自己就变成了用户隐私的偷窥者。
03“罗马”不设防
很多创业者用户在采购安装摄像头时几乎不会做密码设置,用户名都是“admin”,密码都是“1234”, 设备几乎没有安全防御措施,可以随意进入。这样,任何人(不需要黑客技术)都可以通过一个名为“Shodan”的搜索引擎(一个典型的物联网搜索平台,Shodan每月有大约5亿台服务器日夜不停地搜集数据,寻找所有和互联网连接的服务器、摄像头、打印机、路由器等,其声称目前能找到几乎所有和互联网相连接的设备),找到设备的IP段,然后随便扫一扫这些IP段,找到Web登录界面,简单破解下口令基本就能黑掉设备。CCTV中央电视台的新闻曝光更是简单:花不足200元可以买到被破解的家用智能摄像头IP地址,只要将IP地址输入播放软件,就可以实现视频数据非法获取且不被觉察。而对于黑客群体,根据中国信息安全评测中心发表的一篇报告,安全研究员们曾经发现D-Link云摄像头中存在一个REC漏洞,通过这个漏洞,黑客们只需要一个简单ping的命令,就能够成功连接上不属于自己的D-Link网络摄像头,报告说超过120款产品存在这一漏洞。
04都是手机惹得祸
一般情况下,摄像头生产商都会将APK(即手机应用安装包,下同)放在应用商店供用户下载,但是多数 APK 没有进行混淆和加壳,黑客可以通过源代码直接来分析过程。即使有一些APK进行了混淆,但是壳的安全强度不够,或者做了加壳但没有做混淆,只要能够脱壳就可以看到整个 APK 的内容,包括控制流程、登录流程、密钥、测试接口等敏感信息都可以一览无遗。即便有一些App代码逻辑比较严谨的话,也可以通过代码插桩、重打包方式分析App输出的log内容破解设备。创业者用户一般会在手机安装摄像头APP,如果手机被成功植入木马,手机被控制必然数据被泄露。
05不是我不明白这世界变化快
面对“互联网+”的新世界,恰如深圳腾讯计算机公司(旗下有微信、QQ等热门产品)云安全负责人指出的一样:安全攻防是一场技术赛跑,过去安全界的法宝,无论是“修长城”(找到边界和要塞隔离、审计、控制),还是“搭迷宫”(制定成千上万的策略限制黑客),都已经无法应对严峻的安全形势。
小提示:创业小伙伴可以怎么办?
1、不是所有东西都适合联网,没必要连入互联网的网络设备就不要连入互联网。2、养成习惯,买到设备之后第一件事应该是修改管理密码,复杂一点(8位以上更好,英文、字母、符号混合),且保持更换。3、品牌和价格要关注,低价和三无产品千万别买。4、摄像头硬件加密技术一定要完善,要完善,要完善!
【注:本文撰稿过程有综合“比特网”、“安在AnZer”的相关观点,在此感谢,图片来自网络。】
