陳根：網絡攝像頭，如何成為“法外之眼”？_風聞

文/陳根

得益於物聯網技術的發展，人類社會正在擁抱一個前所未有的互聯世界。其中，隨着物聯網進程加快，作為傳統攝像機與網絡視頻技術相結合的智能網絡攝像頭正不斷向各個行業滲透。

顯然，移動互聯網的時代裏，遠程辦公、在線教育、線上娛樂等多種場景都需要網絡攝像頭參與，交通監管、智慧安防也離不開網絡攝像頭輔助，智能手機、智能家居等設備的普及應用，更使得網絡攝像頭逐漸成為生活“標配”。

日前，IDC發佈數據顯示，2020年第四季度，中國家庭安全/監控設備銷售額接近6億美元，出貨量為817萬台，同比增長24.9%。**然而，在只能網絡攝像頭髮展的背後，犯罪也在滋生。**比如，不法分子破解大量私人住宅和公共場所攝像頭，售賣拍攝內容，再比如，不法分子利用監視內容行使威脅和詐騙。

網絡攝像頭為什麼成為 了“法外之眼”，如何避免網絡攝像頭成為“法外之眼”？

網絡攝像頭的“法外之眼”

當前，攝像頭對公網開放的安全問題已是全世界共同面臨的重要挑戰。隨着“互聯網+”模式的興起，物聯網已呈現出爆發式增長和普遍化發展的趨勢。如果説在互聯網時代**，硬件和系統漏洞帶來的危害尚侷限於用户，那麼，在萬物互聯時代，由其衍生的危害將延伸至人****們的人身安全。**

根據北京華順信安科技有限公司白帽匯安全研究院曾發佈的《網絡空間測繪系列——2018年攝像頭安全報告》，攝像頭已經無所不在。全球228個國家和地區，8063個城市，2635萬個攝像頭暴露在公網。越來越多攝像頭的暴露，也讓****DDoS攻擊、機構安全風險、個人隱私泄露等事件層出不窮，黑產猖獗。

**比如，2016年造成美國互聯網大面積癱瘓的Dyn事件，就是主要由攝像頭組成的殭屍網絡發起的DDoS攻擊所造成。**2016年10月21號，DNS服務商Dyn受到攻擊。Dyn公司稱此次DDoS攻擊行為來自一千萬個IP來源，其中重要的攻擊來源於物聯網設備。這些設備遭受一種稱為Mirai病毒的入侵攻擊，大量設備形成了引發DDOS攻擊的殭屍網絡。

**其中，受Mirai病毒入侵的物聯網設備就****包括大量網絡攝像頭，Mirai病毒攻擊這些物聯網設備的主要手段是通過出廠時的登錄用户名和並不複雜的口令猜測。**事後，一些網絡攝像頭廠商及時更新了登陸口令，但有些廠商的設備使用了固定用户名和口令的登錄方式，沒有提供口令修改功能，以至於面對Mirai病毒的肆虐依舊無能為力。

當前，智能網絡攝像頭幾乎已經全面進入人們的生產和生活。不論是户外的城市管理，還是餐飲領域的餐廳酒店。除了公共區域，對於不少人來説，攝像頭還已經進入了家裏。安裝攝像頭可以防盜，可以監控到家裏的寵物和小孩的一舉一動，但是想要做到實時監控就不可以避免的需要接入網絡。

然而，一旦進入到網絡世界之中後，個人隱私卻無法得到安全的保障。一些核心功能是監控的智能攝像頭，因為簡易低廉，最容易成為黑客攻擊的對象，再加上許多生產智能攝像頭的廠商其實在技術實力上並不過關，雲計算、AI背景下的安全審計流程，產品缺乏遠程更新機制、存在可以控制系統的設計缺陷等等。

而黑客就能夠憑藉着這些漏洞缺陷，直接通過暴力手段來破解智能攝像頭，直接在IP端進行攔截，對用户的登陸秘鑰、影像內容等敏感信息一覽無餘。並且，通過售賣隱私視頻、劫持攝像頭“挖礦”等方式來攫取利益。

比如，就有不法分子利用部分產品的技術漏洞破解大量攝像頭IP地址，高價售賣破解軟件與“偷窺套餐”；也有違法商家未經用户允許遠程操縱攝像頭“直播”，公然監視他人生活，給公民隱私帶來巨大威脅。

**顯然，以****攝像頭網絡為代表的物聯網系統，已經成為一個智能數據聚合的生態系統，**與個人、機構的信息財產安全直接關聯，這意味着，系統被攻破的風險成本更高。

如果黑客攻破的是私人汽車上的智能攝像頭，引發的很可能就是車聯網系統的連鎖反應及公共安全危害；偽造人臉欺騙公司的門禁系統，造成重要資料外泄；智慧城市的公共攝像頭網絡被入侵，那交出的則是所有市民、管理系統的重要數據。安全已成為當前網絡攝像頭行業迫切需要回應的關鍵問題。

提供安全並非易事

網絡攝像頭的安全隱患，無論是對於工業互聯網，還是企業安全和公共安全，以及家庭的個人隱私都是極大的威脅。考慮到未來可能成百億的攝像頭設備仍將互聯，社會必須要網絡攝像頭的安全給予足夠的重視，但想要有效治理網絡攝像頭行業，消除安全隱患卻並非易事。

**首先，作為分佈廣而且24小時在線的網絡攝像頭，**攝像頭產品質量瑕疵、雲端安全防護脆弱、應用端使用弱口令等都可能導致網絡攝像頭泄露隱私。智能攝像頭的市場龐大，廠商生產出來的產品質量也是參差不齊。遍佈在城市中的一些價格低廉，安全防護技術不過關的智能攝像頭就成了黑客眼中的“香餑餑”。

目前公開的攝像頭漏洞中，中國的福斯康姆(Foscam)攝像頭漏洞數量最多，達65條以上，佔歷年攝像頭漏洞總量的18%；法國施耐德旗下派爾高(pelco)攝像頭漏洞數量位列第二，達37條以上，佔歷年攝像頭漏洞總量的10%；日本艾威數據(I-O DATA)攝像頭位列第三，達32條以上。從攝像頭品牌的漏洞數量對比來看，市場佔有量大的廠商安全性反而較高。

**其次，網絡攝像頭破解技術日趨隱蔽化、專業化。**隨着網絡技術在各個行業的應用，網絡的重要性越來越高的同時，網絡黑客的技術手段也越來越高。網絡黑客從早期的個人惡作劇行為，到後來的有組織行為，再到後來的有地下產業鏈，直到今天的網絡戰爭，黑客已經不僅僅是地下組織，還包括國家團體。因此，黑客的攻擊手段，可能也遠超過人們的想象。

**最後，**網絡攝像頭隱私泄露犯罪組織逐漸產業化、鏈條化。這也是新型網絡隱私犯罪的源頭，不法分子往往會利用更新迭代的技術開發破解工具，攻破廠商設置的安全防線，對偵查工作提出挑戰。而犯罪行為的產業化和鏈條化不僅擴大了犯罪主體和地域範圍，還擴展了犯罪場景，大大提高了監管難度。

在這樣的背景下，想要從根本上解決攝像頭安全問題，就需安全管理和安全技術的相結合，即****加強安全管理措施，同時輔以技術手段提高效率。

管理方面，要建立攝像頭的相關安全標準，把攝像頭納入網絡資產，進行統一化的安全管理。當前，儘管我國已經發布的針對公共視頻監控系統聯網的應用技術標準、合格評定、管理規範體系，但這些標準主要還****是對公共視頻監控領域攝像頭設備的要求，並未有效的約束消費市場智能攝像頭產品的質量要求。

保證用户隱私和網絡資源不被濫用的基礎，依然是攝像頭廠商能充分考慮黑客的攻擊場景，並規避潛在的產品配置和代碼缺陷。此外，對於企業級的攝像頭產品用户，在部署較多攝像頭相關設備，並連接公網的情況下，可以進一步考慮使用具有攝像頭漏洞攻擊防護能力的專業網絡安全設備，進一步保障網絡安全，杜絕攝像頭計算資源被殭屍網絡等惡意軟件或攻擊者攻擊的隱患。

技術方面，製造商則需要加強安全意識、建立安全開發流程，並對產品進行檢查和跟蹤等。安全廠商則要從防護、檢測、網絡、通訊、硬軟件等多個維度為用户提供合適的安全解決方案。

儘管相比許多網絡設備，網絡攝像頭只是個低價值設備，但是，一旦數量規模很大時，作為這類設備的整體，將對網絡安全產生重要的影響。安全防護並非看上去的輕易，沒有專業團隊的設計研發，將有可能導致事倍功半的結果。

隨着物聯網、大數據、人工智能等技術的進步，網絡攝像頭等智能設備的應用前景會更加廣闊。但在科技發展的同時，堅守安全的規則底線，則是數字時代走向便捷生活的應有之義。