國內安防領(lǐng)域的巨無(wú)霸企業(yè)海康威視在上周出了個(gè)簍子。部署在江蘇省公安系統內的海康監控設備遭遇境外IP地址控制。江蘇省公安廳急電責令各地,立即展開(kāi)清查,并展開(kāi)安全加固清除漏洞。
這則消息傳出后眾聲紛紜,甚至有評論稱(chēng)其為黑天鵝、棱鏡門(mén)事件。雷鋒網(wǎng)當即求證了海康威視官方,得到答復是:安全隱患是因為用戶(hù)忘記改缺省密碼,這件事沒(méi)那么夸張。
海康威視后續發(fā)了三次聲明,今天上午又開(kāi)了一次投資者電話(huà)會(huì )議來(lái)解釋此事。盡管很大原因是因為要維護股價(jià),但其對安全的重視程度亦可見(jiàn)一斑。
白帽子:海康遲遲不解決問(wèn)題
在安全界眼中,海康并不太算一家重視安全的企業(yè)。一位白帽子給雷鋒網(wǎng)發(fā)來(lái)一組鏈接,都是海康近幾年在漏洞平臺上曝光的漏洞。他說(shuō),海康設備的大面積弱口令(即默認密碼)問(wèn)題在兩年前就已經(jīng)爆出,當時(shí)國家互聯(lián)網(wǎng)應急中心將漏洞中轉至海康威視,但木有作為通用漏洞處理。
翻閱其它漏洞信息,弱口令問(wèn)題同樣不少,其中比較值得一提的是,有人通過(guò)Google搜索+弱口令,發(fā)現了大量暴露在互聯(lián)網(wǎng)上的海康設備。這意味著(zhù),即使一個(gè)初學(xué)電腦的普通人,也很容易學(xué)會(huì )入侵海康監控設備。
海康威視回復了部分弱口令漏洞,態(tài)度都很扎實(shí),其表示公司已經(jīng)在官網(wǎng)和幫助文檔中提示用戶(hù),設備如用于公網(wǎng)請立刻修改初始密碼。
但白帽子哂笑道:“嗯,還是沒(méi)解決問(wèn)題啊。”他認為這個(gè)問(wèn)題并沒(méi)有得到實(shí)質(zhì)性的改善,最簡(jiǎn)單的方法比如在設備第一次使用時(shí)添加安全提示,就會(huì )有效很多。雷鋒網(wǎng)交流過(guò)的其他白帽子也有類(lèi)似意見(jiàn)。
海康:客戶(hù)說(shuō)不好用
海康威視也有自己的說(shuō)法。在今天上午的投資者會(huì )議上,海康威視總經(jīng)理胡揚忠講述了公司是怎樣去對待弱口令問(wèn)題。
一般來(lái)說(shuō),弱口令問(wèn)題只在公網(wǎng)有危害,專(zhuān)網(wǎng)、局域網(wǎng)木有影響。過(guò)去五年銷(xiāo)出的海康產(chǎn)品,至少90%是用在專(zhuān)網(wǎng)、局域網(wǎng)。
由于體量過(guò)于龐大,在公網(wǎng)的設備數量亦很多。海康開(kāi)發(fā)了一套hikddns系統,現在新的海康產(chǎn)品,用在公網(wǎng)都會(huì )注冊到這個(gè)平臺上。可以通過(guò)它給用戶(hù)發(fā)送補丁信息。
最后還有海康官網(wǎng)公告以及說(shuō)明書(shū)上的警示了。
盡管有了hikddns系統,但對改善“弱口令問(wèn)題”并不見(jiàn)得有效。hikddns可以給設備推送補丁,在設備感染的情況下幫助恢復系統,但它沒(méi)法去幫用戶(hù)修改弱口令。
如上述白帽子所言,能有效解決弱口令問(wèn)題的方法很多,其中很直接的一種就是雙重驗證,在查看監控視頻時(shí)需要再一重密碼驗證。這一技術(shù)廣泛應用于海康威視旗下互聯(lián)網(wǎng)業(yè)務(wù)公司螢石的產(chǎn)品中。
雷鋒網(wǎng)向胡揚忠提問(wèn):“是否考慮在公網(wǎng)設備中加入類(lèi)似技術(shù)呢?”
他回答說(shuō),不同客戶(hù)會(huì )有不同考量,海康面對的有三類(lèi)客戶(hù)群,專(zhuān)網(wǎng)與局域網(wǎng)客戶(hù)、互聯(lián)網(wǎng)客戶(hù)、以及中間小微企業(yè)客戶(hù)。他們曾經(jīng)嘗試過(guò)在部分產(chǎn)品中設置過(guò)更復雜的初始密碼,但客戶(hù)反饋不好用,最后變成了現在的統一默認密碼。
胡揚忠稱(chēng),會(huì )考慮類(lèi)似機器綁定的技術(shù),并承諾2015年海康的全線(xiàn)產(chǎn)品在安全性上有一個(gè)大幅度的提升,但他沒(méi)有透露任何細節。
弱口令之困
海康威視暴露的是一個(gè)行業(yè)困境,不止它一家,國內外的攝像頭廠(chǎng)商都遭遇過(guò)。去年11月俄羅斯一家網(wǎng)站曝光了全球上萬(wàn)個(gè)私人攝像頭的視頻流媒體連接,全都是因為默認密碼沒(méi)有修改。這些廠(chǎng)商有中國的福斯康姆、日本松下、美國Linksys。
不止攝像頭,路由器、打印機甚至服務(wù)器等產(chǎn)品也大范圍存在默認密碼的現狀,使用者沒(méi)有修改出廠(chǎng)密碼就接入公網(wǎng),導致設備存在安全隱患。
互聯(lián)網(wǎng)上每天有成千上萬(wàn)的掃描器在工作,Google、Bing、Baidu是最大的幾個(gè),但還有很多小型的,比如Shodan、Zoomeye,它們主攻聯(lián)網(wǎng)設備和互聯(lián)網(wǎng)組件掃描。甚至一款瀏覽器插件,只要用戶(hù)量夠大也能作被動(dòng)式的全網(wǎng)掃描。
這些掃描器可以輕易發(fā)現暴露在公網(wǎng)的設備,這意味著(zhù)黑客也同樣能做到。知道創(chuàng )宇創(chuàng )始人趙宇曾經(jīng)透露,希望能窮舉整個(gè)互聯(lián)網(wǎng)的IP地址,他這般雄心勃勃的人并不在少數。
所有的強需求硬件都面臨著(zhù)一個(gè)難題——它們有太多小白用戶(hù),一個(gè)不好用就被棄用。這對于產(chǎn)品設計提出了更高的要求,而硬件廠(chǎng)商們則非常徹底的犯了偷懶癥,它們簡(jiǎn)單粗暴的用統一默認密碼來(lái)解決這個(gè)問(wèn)題。
我們知道,默認密碼有其舊年代的背景,但放在互聯(lián)網(wǎng)上,請問(wèn)現在還合適嗎?
期待有廠(chǎng)商能邁出第一步。
