在物聯(lián)網(wǎng) (IoT) 安全的眾多重要方面中�����,實時網(wǎng)絡(luò)視頻監(jiān)控攝像頭是最容易被濫用的方面之一����。多年來,人們一直在進(jìn)行視頻窺探���、觀看私人攝像頭以及圍繞聯(lián)網(wǎng)攝像頭做其他事情�����。但最近幾個月�,關(guān)于網(wǎng)絡(luò)視頻的攻擊和風(fēng)險有所上升�����。近幾個月來��,視頻以三種主要方式侵犯了隱私�����,甚至安全�。首先���,網(wǎng)絡(luò)犯罪分子將隱藏的攝像頭放置在酒店房間或家庭臥室中����。于是,他們大規(guī)模地在線銷售來自這些攝像機(jī)的視頻剪輯甚至進(jìn)行在線直播���。
其次����,攻擊者以數(shù)字方式入侵提供安全視頻服務(wù)的公司���。從那里他們獲得了服務(wù)器的管理員訪問權(quán)限����。于是����,入侵者可以使用這些安全視頻服務(wù)公司的產(chǎn)品和服務(wù)窺探學(xué)校、醫(yī)院甚至網(wǎng)絡(luò)安全公司的實時信息���。第三�����,攻擊者使用不安全的默認(rèn)配置和其他缺陷來利用網(wǎng)絡(luò)安全攝像機(jī)����。那么,面對越來越多的網(wǎng)絡(luò)視頻入侵風(fēng)險���。企業(yè)和個人如何保護(hù)免受這一新一波視頻攻擊呢�����?
攻擊者從物聯(lián)網(wǎng)安全漏洞中獲利
如今����,全球各地的犯罪團(tuán)伙越來越大規(guī)模地竊取和出售私人視頻�����。在最近調(diào)查報告中披露的數(shù)據(jù)被盜視頻數(shù)以萬計����。犯罪分子在暗網(wǎng)上以每個視頻 3 美元到 8 美元不等的價格出售這些視頻,具體取決于內(nèi)容的隱私程度��。與任何其他物聯(lián)網(wǎng)安全漏洞一樣,攻擊者闖入視頻存儲系統(tǒng)并竊取內(nèi)容����。或者��,攻擊者從家庭和酒店房間中秘密隱藏的攝像機(jī)中獲取錄音�。一些犯罪分子還以折扣價出售實時攝像機(jī)流的用戶名和密碼����。例如,10 臺家用攝像機(jī)和 10 臺酒店攝像機(jī)可能只需要 23 美元���。一些被盜視頻來自安全和家庭攝像頭���。但是,與許多其他攻擊方法一樣���,這種做法可能會在全球范圍內(nèi)傳播�。
安全漏洞凸顯問題
據(jù)報道��,硅谷一家名為Verkada的安全初創(chuàng)公司遭到了威脅者的攻擊���,他們破壞了約15萬個物聯(lián)網(wǎng)安全攝像頭的安全傳輸��,其中包括特斯拉(Tesla)和Cloudflare等知名科技公司的攝像頭�。他們還可以從警察局、醫(yī)院����、學(xué)校和監(jiān)獄等公共機(jī)構(gòu)獲得視頻。在這個例子中��,攻擊者是一個自稱為高級持續(xù)威脅69420的集體��。該組織的一名發(fā)言人表示����,他們的目標(biāo)是揭露安全錄像是多么常見,它們是多么容易被攻破�����。他們使用了一種基本的方法來攻破Verkada的系統(tǒng):一個用戶名和密碼����,授權(quán)進(jìn)入公共互聯(lián)網(wǎng)上的一個“超級管理員”賬戶。一旦被發(fā)現(xiàn)�����,該公司很快就解決了這個安全漏洞。攻擊者可以以同樣的方式利用嬰兒監(jiān)視器����。至少有兩家制造商的物聯(lián)網(wǎng)安全攝像頭配置錯誤,向外部觀眾開放��。一些制造商設(shè)置的實時流協(xié)議很差����,使窺探者無需授權(quán)即可獲得訪問權(quán)限��。
視頻真的是物聯(lián)網(wǎng)安全威脅嗎��?
視頻是眾所周知的對隱私的威脅����。但這也是對安全的威脅。攻擊者可以利用從偷來的家庭視頻中獲取的有損或令人尷尬的私人視頻進(jìn)行社會工程攻擊��、勒索或獲得在以后的攻擊中有用的信息��。許多視頻顯示了地點和其他事實��。換句話說,無論攻擊者入侵公司還是私人攝像頭���,它仍然可能影響您企業(yè)的安全�����。就像攻擊的演變過程中經(jīng)常出現(xiàn)的情況一樣����,最初是腳本小子和想要吹噓的人的一個來源��,后來變成了一項嚴(yán)肅的業(yè)務(wù)�。從最近的襲擊來看,很有可能越來越多的威脅者正在想辦法闖入攝像頭并出售錄像����。
如何處理視頻威脅?
當(dāng)你購買視頻產(chǎn)品和服務(wù)時��,要特別注意�。僅從具有強(qiáng)大物聯(lián)網(wǎng)安全功能和政策的可信供應(yīng)商購買。并使用您的組織購買的產(chǎn)品的安全特性�����。盡可能鎖定訪問權(quán)限。例如�,最好確保誠實的用戶只能從本地網(wǎng)絡(luò)訪問攝像頭,而不是通過互聯(lián)網(wǎng)����。增加對家庭和工作視頻的風(fēng)險的意識,并提供基本安全的最佳實踐�。這對全職或兼職在家工作的員工更有幫助。這些安全實踐包括從可信的供應(yīng)商購買���、使用良好的密碼和安全的網(wǎng)絡(luò)實踐(如多因素身份驗證)�����,以及保持對在何處放置攝像頭以保護(hù)隱私的意識。另一個關(guān)于家庭或家庭辦公視頻產(chǎn)品的好方法是關(guān)閉你不用的遠(yuǎn)程接入���。通過互聯(lián)網(wǎng)連接的攝像頭遠(yuǎn)不如只通過家庭網(wǎng)絡(luò)使用的攝像頭安全�����。確保制造商提供定期的更新�����,并且您或制造商配置設(shè)置以獲得這些更新或通知用戶�����。
了解清楚一切
向員工闡明攝像機(jī)安全屬于更大的物聯(lián)網(wǎng)安全保護(hù)傘的事實�。家庭安全或嬰兒監(jiān)視器攝像頭是物聯(lián)網(wǎng)攝像頭。這意味著它是一臺連接到互聯(lián)網(wǎng)的計算機(jī)���,應(yīng)該被視為潛在的安全威脅�����。最近很多基于視頻的攻擊都已經(jīng)過時了�����。但其中很多都是新的�����。由于物聯(lián)網(wǎng)安全性較差����,最新的策略之一是盜竊視頻和實時捕捉視頻流,然后在暗網(wǎng)上大規(guī)模出售��。這些視頻和視頻流的購買者可以是任何人——那些通過侵犯隱私來尋求刺激的人��,或者那些尋求數(shù)據(jù)來發(fā)起其他類型攻擊的人����。
來源:千家網(wǎng)
在線咨詢
在線咨詢
0371-63319761