国内安防领域的巨无霸企业海康威视在上周出了个篓子。部署在江苏省公安系统内的海康监控设备遭遇境外IP地址控制。江苏省公安厅急电责令各地,立即展开清查,并展开安全加固清除漏洞。
这则消息传出后众声纷纭,甚至有评论称其为黑天鹅、棱镜门事件。雷锋网当即求证了海康威视官方,得到答复是:安全隐患是因为用户忘记改缺省密码,这件事没那么夸张。
海康威视后续发了三次声明,今天上午又开了一次投资者电话会议来解释此事。尽管很大原因是因为要维护股价,但其对安全的重视程度亦可见一斑。
白帽子:海康迟迟不解决问题
在安全界眼中,海康并不太算一家重视安全的企业。一位白帽子给雷锋网发来一组链接,都是海康近几年在漏洞平台上曝光的漏洞。他说,海康设备的大面积弱口令(即默认密码)问题在两年前就已经爆出,当时国家互联网应急中心将漏洞中转至海康威视,但木有作为通用漏洞处理。
翻阅其它漏洞信息,弱口令问题同样不少,其中比较值得一提的是,有人通过Google搜索+弱口令,发现了大量暴露在互联网上的海康设备。这意味着,即使一个初学电脑的普通人,也很容易学会入侵海康监控设备。
海康威视回复了部分弱口令漏洞,态度都很扎实,其表示公司已经在官网和帮助文档中提示用户,设备如用于公网请立刻修改初始密码。
但白帽子哂笑道:“嗯,还是没解决问题埃”他认为这个问题并没有得到实质性的改善,最简单的方法比如在设备第一次使用时添加安全提示,就会有效很多。雷锋网交流过的其他白帽子也有类似意见。
海康:客户说不好用
海康威视也有自己的说法。在今天上午的投资者会议上,海康威视总经理胡扬忠讲述了公司是怎样去对待弱口令问题。
一般来说,弱口令问题只在公网有危害,专网、局域网木有影响。过去五年销出的海康产品,至少90%是用在专网、局域网。
由于体量过于庞大,在公网的设备数量亦很多。海康开发了一套hikddns系统,现在新的海康产品,用在公网都会注册到这个平台上。可以通过它给用户发送补丁信息。
最后还有海康官网公告以及说明书上的警示了。
尽管有了hikddns系统,但对改善“弱口令问题”并不见得有效。hikddns可以给设备推送补丁,在设备感染的情况下帮助恢复系统,但它没法去帮用户修改弱口令。
如上述白帽子所言,能有效解决弱口令问题的方法很多,其中很直接的一种就是双重验证,在查看监控视频时需要再一重密码验证。这一技术广泛应用于海康威视旗下互联网业务公司萤石的产品中。
雷锋网向胡扬忠提问:“是否考虑在公网设备中加入类似技术呢?”
他回答说,不同客户会有不同考量,海康面对的有三类客户群,专网与局域网客户、互联网客户、以及中间小微企业客户。他们曾经尝试过在部分产品中设置过更复杂的初始密码,但客户反馈不好用,最后变成了现在的统一默认密码。
胡扬忠称,会考虑类似机器绑定的技术,并承诺2015年海康的全线产品在安全性上有一个大幅度的提升,但他没有透露任何细节。
弱口令之困
海康威视暴露的是一个行业困境,不止它一家,国内外的摄像头厂商都遭遇过。去年11月俄罗斯一家网站曝光了全球上万个私人摄像头的视频流媒体连接,全都是因为默认密码没有修改。这些厂商有中国的福斯康姆、日本松下、美国Linksys。
不止摄像头,路由器、打印机甚至服务器等产品也大范围存在默认密码的现状,使用者没有修改出厂密码就接入公网,导致设备存在安全隐患。
互联网上每天有成千上万的扫描器在工作,Google、Bing、Baidu是最大的几个,但还有很多小型的,比如Shodan、Zoomeye,它们主攻联网设备和互联网组件扫描。甚至一款浏览器插件,只要用户量够大也能作被动式的全网扫描。
这些扫描器可以轻易发现暴露在公网的设备,这意味着黑客也同样能做到。知道创宇创始人赵宇曾经透露,希望能穷举整个互联网的IP地址,他这般雄心勃勃的人并不在少数。
所有的强需求硬件都面临着一个难题——它们有太多小白用户,一个不好用就被弃用。这对于产品设计提出了更高的要求,而硬件厂商们则非常彻底的犯了偷懒症,它们简单粗暴的用统一默认密码来解决这个问题。
我们知道,默认密码有其旧年代的背景,但放在互联网上,请问现在还合适吗?
期待有厂商能迈出第一步。