在物联网 (IoT) 安全的众多重要方面中,实时网络视频监控摄像头是最容易被滥用的方面之一。多年来,人们一直在进行视频窥探、观看私人摄像头以及围绕联网摄像头做其他事情。但最近几个月,关于网络视频的攻击和风险有所上升。
近几个月来,视频以三种主要方式侵犯了隐私,甚至安全。首先,网络犯罪分子将隐藏的摄像头放置在酒店房间或家庭卧室中。于是,他们大规模地在线销售来自这些摄像机的视频剪辑甚至进行在线直播。
其次,攻击者以数字方式入侵提供安全视频服务的公司。从那里他们获得了服务器的管理员访问权限。于是,入侵者可以使用这些安全视频服务公司的产品和服务窥探学校、医院甚至网络安全公司的实时信息。
第三,攻击者使用不安全的默认配置和其他缺陷来利用网络安全摄像机。
那么,面对越来越多的网络视频入侵风险。企业和个人如何保护免受这一新一波视频攻击呢?
攻击者从物联网安全漏洞中获利
如今,全球各地的犯罪团伙越来越大规模地窃取和出售私人视频。在最近调查报告中披露的数据被盗视频数以万计。犯罪分子在暗网上以每个视频 3 美元到 8 美元不等的价格出售这些视频,具体取决于内容的隐私程度。与任何其他物联网安全漏洞一样,攻击者闯入视频存储系统并窃取内容。或者,攻击者从家庭和酒店房间中秘密隐藏的摄像机中获取录音。
一些犯罪分子还以折扣价出售实时摄像机流的用户名和密码。例如,10 台家用摄像机和 10 台酒店摄像机可能只需要 23 美元。一些被盗视频来自安全和家庭摄像头。但是,与许多其他攻击方法一样,这种做法可能会在全球范围内传播。
安全漏洞凸显问题
据报道,硅谷一家名为Verkada的安全初创公司遭到了威胁者的攻击,他们破坏了约15万个物联网安全摄像头的安全传输,其中包括特斯拉(Tesla)和Cloudflare等知名科技公司的摄像头。他们还可以从警察局、医院、学校和监狱等公共机构获得视频。在这个例子中,攻击者是一个自称为高级持续威胁69420的集体。该组织的一名发言人表示,他们的目标是揭露安全录像是多么常见,它们是多么容易被攻破。他们使用了一种基本的方法来攻破Verkada的系统:一个用户名和密码,授权进入公共互联网上的一个“超级管理员”账户。一旦被发现,该公司很快就解决了这个安全漏洞。
攻击者可以以同样的方式利用婴儿监视器。至少有两家制造商的物联网安全摄像头配置错误,向外部观众开放。一些制造商设置的实时流协议很差,使窥探者无需授权即可获得访问权限。
视频真的是物联网安全威胁吗?
视频是众所周知的对隐私的威胁。但这也是对安全的威胁。攻击者可以利用从偷来的家庭视频中获取的有损或令人尴尬的私人视频进行社会工程攻击、勒索或获得在以后的攻击中有用的信息。许多视频显示了地点和其他事实。
换句话说,无论攻击者入侵公司还是私人摄像头,它仍然可能影响您企业的安全。就像攻击的演变过程中经常出现的情况一样,最初是脚本小子和想要吹嘘的人的一个来源,后来变成了一项严肃的业务。从最近的袭击来看,很有可能越来越多的威胁者正在想办法闯入摄像头并出售录像。
如何处理视频威胁?
当你购买视频产品和服务时,要特别注意。仅从具有强大物联网安全功能和政策的可信供应商购买。并使用您的组织购买的产品的安全特性。
尽可能锁定访问权限。例如,最好确保诚实的用户只能从本地网络访问摄像头,而不是通过互联网。
增加对家庭和工作视频的风险的意识,并提供基本安全的最佳实践。这对全职或兼职在家工作的员工更有帮助。这些安全实践包括从可信的供应商购买、使用良好的密码和安全的网络实践(如多因素身份验证),以及保持对在何处放置摄像头以保护隐私的意识。
另一个关于家庭或家庭办公视频产品的好方法是关闭你不用的远程接入。通过互联网连接的摄像头远不如只通过家庭网络使用的摄像头安全。确保制造商提供定期的更新,并且您或制造商配置设置以获得这些更新或通知用户。
了解清楚一切
向员工阐明摄像机安全属于更大的物联网安全保护伞的事实。家庭安全或婴儿监视器摄像头是物联网摄像头。这意味着它是一台连接到互联网的计算机,应该被视为潜在的安全威胁。
最近很多基于视频的攻击都已经过时了。但其中很多都是新的。由于物联网安全性较差,最新的策略之一是盗窃视频和实时捕捉视频流,然后在暗网上大规模出售。这些视频和视频流的购买者可以是任何人——那些通过侵犯隐私来寻求刺激的人,或者那些寻求数据来发起其他类型攻击的人。
方案推荐及资料下载
《弱电智能建筑项目系统集成手册》——IT与智能化项目实施建议
* 千家网原创文章,未经授权严禁转载 。
参与评论 (0)