首页-百威-「联盟认证平台」楼上有几个朋友,说拔下来,不要用什么的,那种是电脑视频摄像头,不是新闻里说的那种摄像头,央视说的是网络摄像机,一般家庭为了看看家里小孩老人,或者防盗,安装的那种安防摄像头,人不在家,可以打开手机看看家里情况的那种。
但是作为从业者,从2016年,行业中两大巨头:海康和大华,就知道这个风险,并着力避免这样的事情发生。
他们的方法很简单,强制你修改密码。海康的默认密码admin - 123456 大华的默认密码888888- 888888,这两个品牌一直是这个密码,从大概2006年我进入安防行业就是这个密码,一直到2016年,新产品必须激活,必须更改密码,还必须是大小写字母加数字。
大小写字母加数字,你想想这得有多少人会忘记密码啊,这密码又不是银行密码经常用,我经常帮客户重置密码。
哎?我有那么大本事吗?能在不知道密码的情况下重置密码?又不是路由器有个按钮按住就能重置。
他们早就意识到肯定大量人改了密码就忘记,采用实时计算密码的方式提供你一个临时密码,也就是你看下设备上的贴纸,有个序列号,告诉官方400号码,然后他有个算号器,立刻能算出来一个临时密码,你半个小时内(大概),输入这个密码就能进系统,过时密码就失效了。
两大厂为密码的事情操碎了心,但是广州北京的小厂就没那么上心了,一是密码默认的就是admin - admin,二是改密码也不要求强制,一般人不上心就改成123456之类的弱密码几乎等于没有密码。
提示:设备密码一定要改得比较复杂!!(加粗)不但是录像机需要改密码,摄像头也一定要改。现在的摄像头都带独立IP地址的!
当你把设备的80端口映射到公网,也就是8年前普遍流行的方法(那时候我还写过一篇文章怎么让自己能远程查看监控呢),这时黑客,或者也就是个黑客爱好者,使用工具进行IP段的端口扫描,一扫描到80端口开着(能被访问),就自动进行密码试探,一般的admin+admin就秒破了,如果是针对性的密码爆破,强行枚举密码,11位的数字密码(爱用手机号码做密码)破解时间也就是10分钟。
除了80还有8888,8000(海康),554 (大华),手打的没查资料可能有误,反正就是录像机外网访问常用的几个TCP端口,也可以进行快速的扫描。
两大厂针对家用,已经都做内网穿透产品了,不需要映射端口,只要插在能上网的网口,自动就能联系官网服务器,告诉他嘿,我在这个IP地址呢,主人要看的时候你让他往这个IP地址联系哈。
这样端口扫描就无效了,但是聪明的小伙伴一定能想到,既然他能和官网服务器通话,那么这个通话是不是会被偷听呢?
摄像机里面是固件,固件也是软件,只是被固化了,所以不会感染病毒,但是固件有个毛病,有漏洞修补起来也比较麻烦。
所谓的漏洞大概是这么回事,冒充官方服务器,与摄像机通讯,“嘿,你还在那吗?“ ;”我在阿“;”报告你的IP地址”;“哦我的IP是*********
所以有时间就去摄像机、录像机的web界面,有个固件更新查询,点点看是不是有新的固件可以升级。就和windows一样,时不时的漏洞就靠升级来解决。
最后一点:不说质量,不说清晰度,不说价格,就说小厂在安全问题上,和大厂没法比,小厂拼了命的降低价格,除了外壳设计得炫酷,其它是能省则省,他们用的都是公版驱动,公版设计,一旦一个程序出问题,大量小厂设备都成了人家随便查看的摄像头,根本不要指望小厂会给你开发固件,给你升级。
不是做广告,如果买家用摄像头,还是买海康、大华的。毕竟只贵了100多块钱,至少安全性上,比小厂的高得多!
今天的小安全课堂就讲到这里,有更多安全方面的问题,请加我的微信:enseng
端口是软件用来通讯的,每款软件用的端口都不一样,就像是你上学有很多条路,有人想偷你东西,就一条条的找,找到你上学那条路为止。听着很慢实际很快。
然后2:坏人找到你了,但是你背的是密码箱呀(现在几乎所有网络摄像头都有加密),那么想偷东西必须破解你密码呀,大部分默认没密码或者简单密码,比如12345,admin什么的。如果你没改,你就被偷了。
因为之前有个回答涉及敏感内容,导致被当地网安请喝茶了,这还是我没用手机号注册,没填写多少身份信息的情况下。网络上没有隐私可言。大家都在裸奔,我好歹拿只手挡着假装我不是。
已经存在的摄像头被入侵是个世界性的难题,而且这个难题不知什么时候能解决 T_T
不法分子依靠扫描器,用一些弱口令密码,做大范围的扫描。弱口令就是一些user或者admin。这些不法分子将被破解的 IP 地址输入播放软件,就可以实现全程实时无障碍偷窥。
除了家庭摄像头,我们身边还普遍存在着公共摄像头,对于这类监控内容,主要的方法是通过入侵后台管理系统,进行信息偷取。
造成摄像头的信息安全风险的原因有很多,但是更多存在于数据传输、弱密码口令、操作系统/固件更新、敏感信息的本地存储、身份鉴别、云平台等环节。
现在的摄像头厂商很多都意识到了这个问题,对密码强度会有硬性要求,且会对自身系统和固件进行升级更新,
在以上基础上,针对摄像头安全,主要有以下几个建议(前提是你需要购买正规品牌摄像头)
之所以这些破解软件有市场,是为了满足一部分人的偷窥欲,所以对于越是隐私的空间,如卧房、卫生间、更衣间等,市场就会越大,被出售的次数越高。
有些摄像头生产厂商在把产品生产出来以后,会设置非常简单密码,如“0000”,“123456”等类似的,这些密码太过简单,非常容易被黑客破解。但是如果摄像头厂商和用户把密码设定成大小写、以及数字和字幕结合的,并且能不定时进行更换,那么摄像头就会安全很多。
为了方便观看。很多摄像头时联网的,众所周知,暴露在网络中的设备是很容易被感染的,所以定期杀毒是必须做的。现在很多大型摄像头厂商会出于安全等方面考虑不断升级自身系统,很多家庭怕麻烦所以一直没在意,这也是不法分子窃取信息的一条重要途径,所以在提醒更新时一定不要忽视。
在我们没办法避免在外住宿时,就要做好检查,尤其是隐私角落,如:插座、空调、灯罩、天花板、化妆镜、烟雾感应器、电视架、插座等。也可以安装一个手机应用程序来检测你认为可疑的区域。如果检测到了很强的磁场,那么可以肯定的是在可以区域内有一个隐藏的摄像头。而这也就是检测摄像头电路漏频和发射无线信号的射频,这属于无线电侦测方法。
如果不是特别特别需要,建议不要在家安装摄像头吧,破解技术千千万,真的防不胜防
IoT设备目前正进入一个飞速发展期,根据Gartner、Pew等机构的数据统计,2017年全球IoT设备的数量已达到284亿,2020年将达到501亿。
对于跟我们生活息息相关的家居领域来说,IoT设备的涌入为我们带来了极大的便利性,但由于它本身与传统PC设备在硬件和软件上存在巨大差异,因此使用过程中会出现很多大家以往并不熟悉的全新安全隐患。
这次央视曝光的「家庭摄像头被入侵」便是典型一例。如今,有大量的摄像头信息在互联网上非法出售,只要将被破解的IP地址输入播放软件,就可以实现偷窥,甚至可以实现放大,缩小等远程操作,影响极为恶劣。在央视曝光的这起事件中,其IP地址和密码的获取原理是通过一款扫描软件,利用弱口令(就是一些user或者admin)密码,做大范围的扫描进行窃取。并且,由于利用弱密码的方式难度低,目前已成为大多数不法黑客常用的攻击手法。
但事实上,黑客入侵摄像头的途径不止于此,除了弱密码之外,不法黑客还会利用固件漏洞和无线WiFi进行攻击。在前不久看雪学院举办的「安全开发者峰会」中,我们的实验室安全专家杨经宇就以摄像头固件校验漏洞为例,着重介绍了一种伪造固件绕过固件校验算法进行Root设备的方法,该漏洞已被CNNVD收录,并被评级为中危漏洞。
值得强调的是,IoT设备被破解之后,带来的安全隐患是更加多样的。除了被监听监控之外,IoT设备最大的安全隐患是在僵尸网络的操控下发起大规模分布式拒绝服务攻击(DDoS),去年半个美国断网事件的始作俑者就是Mirai僵尸网络。其次,针对于一个DDNS智能硬件的root漏洞,攻击者甚至可以将一个原本不具备WiFi功能的IoT设备开启WiFi功能,这可能引发更多意想不到的攻击。
据前瞻产业研究院估计,家庭用视频监控设备的保有量在3000万左右。用户如果对此类安全风险不加重视,很有可能引发大范围的安全问题。
不过只要具备良好的防范意识,大多数隐患都是可以避免的,我们梳理出五种防范措施供大家采用:
1.购买摄像头前仔细了解要购买的产品,尽量购买正规品牌的摄像头产品,并且查询该品牌历史上是否被检查出有安全隐患,问题是否已经解决。
2.购买摄像头之后,第一时间在摄像头控制页面中设置初始密码或者修改默认密码,并且使用不易被破解的密码,例如密码长度至少8位,包含大小写,数字和特殊字符,避免常见单词和生日电线.及时关注厂商的公告,更新官方固件和补丁,避免已知漏洞被恶意利用。
4.保护好摄像头连接的路由器,不使用共享Wi-Fi,避免攻击者以路由器为跳板对摄像头进行攻击。
5.平时使用摄像头时,可以通过调整摆放位置的方式,避免摄像头范围中出现卧室、洗手间等私密区域,减少隐私暴露的可能性。
除了上述建议以外,我们额外推荐两样自家产品,大家可以通过以下的查询网站和扫描工具进行安全检测,帮助你及时发现摄像头隐患:
最后再强调一下,事先做好安全防御工作可以有效降低家庭摄像头被不法分子攻击的风险,大家可选择合适的方式进行安全检测,如果发现风险,请仔细检查问题,及时采取修改密码等安全措施,可以有效减少安全隐患哦!
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
微软宣布Office 2007今年10月10日停止服务,真的有此事吗?微软为什么要这么做?
WPA2 被黑客破解,可以通过 Wi-Fi 窃听任何联网设备,这会带来什么影响?
最近在东欧爆发的新型勒索软件Bad Rabbit是怎么回事?对国内用户影响大么?
央视新闻中讲述的摄像头会被入侵是因为用户在使用摄像机后没有进行密码更改,导致隐私被盗。
这里的“看得见”是针对隐形摄像头而言,正规厂商出品的摄像头有明确的大小形状,针孔类隐形摄像头一般是不正规厂家出品,因此,它的出身决定了它在信息安全方面完全没有保障,今天你用这样的摄像头来偷窥别人,明天你所拍摄的信息也有被发现的可能。目前,公安部门对于公民信息安全监管越来越严,并且有非常严密的溯源机制,所以,慎用“看不见”的摄像头,出来混,总是要还的。
这次事件中涉及的产品被黑主要原因在于:这些摄像机在公网中可以直接被发现,且通过输入设备账户/密码,既能获取到实时视频流;且同时,这些产品使用了常规默认密码(类似admin/admin),未要求用户更改强密码,导致极容易被简单试密码破解。
1.我们乐橙云存在账户管理,用户必须注册乐橙账户以使用乐橙设备,设备与乐橙账户强绑定,而用户的账户密码为用户设置的强密码,且存在安全机制
2.乐橙的设备采用随机生成且唯一的强密码(安全码)作为设备默认密码,允许用户更改为自行设定的强密码(有要求),且存在安全机制,暴力破解难度极高(参考技术资料)
大品牌摄像头除了基础的硬件设备即摄像头外,看不见的软件性能更为重要,它有各项技术标准,从各个维度来保障用户的通信、数据安全,目前比较信得过的品牌包括乐橙、我们的竞争对手XX,因我们都是专业安防背景出身,在全球范围内都是专业厂商,所以产品更为专业,不过我们不太做广告,所以知名度相对差。
简单说,选好品牌是节省后续一堆麻烦的有效方法,因为前面的麻烦已经有专业研发团队考虑到并且解决了。
云台机可以360度旋转,记录室内情况,随着功能的升级,在星光夜视、异常音检测(如能检测到婴儿啼哭)、宠物识别、隐私遮挡等全面完善,适用家里有孩子、宠物等情景,从以往的安防功能逐渐向智能家居转变;其中,这里的隐私遮挡功能是指:
还有一种是半球机,它的功能跟枪机差不多,但因为枪机外观攻击性强,一看就是摄像头,能起震慑作用,不太适合营业性场所,所以一般是呈现圆球状态,不知道的人,甚至以为它是灯。
最后再来总结一下:1、在购买摄像头之后务必要进行密码的更改;2、选择有品牌保证的摄像头;3、选择具有隐私遮蔽功能的摄像头。