淺談攝像頭有關的安全問題

轉自freebuf

 

1、聯網攝像頭相關的安全隱患

1.1 隱私泄露

隨着物聯網進程加快，做爲家庭安防設備的智能攝像頭正走進千家萬戶。網上出現公開販賣破解智能攝像頭的教程和軟件。同時，有不法分子利用一些智能攝像頭存在的安全漏洞，窺視他人家庭隱私生活，錄製後在網上公開販賣。[1] 

央視截圖

1.2 僵屍網絡及DDoS

著名的僵屍網絡病毒Mirai曾經利用大量攝像頭等設備的弱密碼對設備進行登陸感染。Mirai的病毒家族顯示了與BASHLITE的演進關聯（BASHLITE因LizardStresser\Torlus\Gafyt而聞名），攻擊特徵在於用默認密碼本暴力破解並感染Linux設備，使用了6個常見的username和14個常見的passwords，Mirai的密碼本集成了BASHLITE的密碼本，並增長了一個快速且無狀態的(stateless)掃描模塊，從而更加有效的識別有漏洞的設備。

根據Krebs on security 的調查：在Mirai以前[2]:MineCrafty遊戲及相關產業，一個小的遊戲服務器月收入可達5W美圓，遊戲玩家就是金主；ProxyPipe是一個比較大的Minecraft遊戲服務提供商；遊戲服務商間競爭激烈，有惡意的就開始購買DDoS的服務攻擊競爭對手；典型的如Christopher 「CJ」 Sculti, Jr.運營者私服的同時，還運營DDoS防禦服務ProTraf，誰不買他的DDoS防禦服務，就把誰打癱；這類搞事者還有一個臭名昭著的組織叫lelddos;Qbot 發起大量針對運營商ProxyPipe（一個DDoS防禦提供商，也是CJ的競爭對手）的攻擊，他利用Skype漏洞，強制把競爭對手的Skype帳號搞垮（好比利用殭屍帳號發起成千上萬的消息轟炸），而後利用IoT僵屍網絡把競爭對手網站打癱；

後續調查顯示QBot和Bashlite都是ProTraf手下員工Josiah White(hackforums上網名LiteSpeed)的做品，他聲稱不知道本身的做品被賣掉用於犯罪。

Mirai的演進歷史[3]：

Mirai演進歷史 

2016年9月26日， Brian Krebs受到Mirai的攻擊，一個月後10月21號，DNS服務商Dyn受到攻擊；期間的9月30號Mirai的源代碼被一個自稱爲’Anna-senpai’的人在HackForum被公開（意圖掩蓋犯罪者的蹤影）；

根據Krebs on security的調查，在Mirai以前，曾有多個IoTDDoS攻擊病毒樣本曾經發起針對Krebs站點的DDoS攻擊。包括：Bashlite,」 「Gafgyt,」 「Qbot,」 「Remaiten,」 and 「Torlus.」。

Mirai擅長各類Tcp/ip(OSI 3~4層)DDoS攻擊；以及Http Flood攻擊；

Tcp/IP層的DDoS攻擊能力包括GRE IP (Generic Routing Encapsulation)和GRE ETH Flood攻擊，以及Syn和Ack Flood攻擊；以及STOMP (Simple Text Oriented Message Protocol) floods, DNS floods and UDP flood attacks等；

基於Incapsula對Mirai針對其客戶的攻擊的調查，Mirai曾利用被其控制的約5W個設備開展了流量峯值達280 Gbps的攻擊。全部設備分佈在164個國家[4]： 

Mirai感染設備的地理分佈(截止到2017年8月)

2、攝像頭有關的設備

2.1 DVR

Digital Video Recorder，數字硬盤錄像機，主要功能是將視頻信息數字化存儲到如磁盤、USB、SD卡、SSD或本地網絡大容量存儲的電子設備[5]。其前端主要接入的是模擬攝像機，在DVR內部進行編碼存儲。若是DVR支持網絡輸出，也能夠成爲NVR的視頻源提供者。

2.2 IPC

IP Camera，基於網絡協議傳輸視頻控制數據以及發送圖像數據的攝像設備。與模擬型信號的CCTV攝像機不一樣，無需本地錄像設備支持，僅須要局域網絡便可。多數IPC都是webcam，提供實時的監控視頻圖像[6]。

2.3 NVR

Network Video Recorder，網絡視頻錄像機，基於專用的嵌入式系統提供視頻錄像功能，但無視頻監控設備，每每和IPC等設備直接相連，NVR一般不提供視頻數據的編碼功能，但提供數據流的存儲和遠程觀看或壓縮等功能。有些混合型的NVR設備集成了NVR和DVR的功能[7]。

下圖示意了DVR和NVR的接口區別：

圖 DVR和NVR的接口區別示意[8]

注：有關DVR和NVR的應用場景：DVR主要用於小型工廠，經過分佈式部署後再經過視頻管理平臺來管理整個視頻監控系統。目前單DVR機器上可接入的視頻源數量通常小於NVR，且佈線有距離限制。而對於NVR，從視頻接入能力來說，通常NVR 設計上接入能力都比較多，基於x86平臺的通常都在上百路以上，並且其對於前端佈線要求簡單，直接走網絡的。視頻干擾小。

3、攝像頭有關的網絡部署

3.1 DVR與模擬攝像機組成的網絡

DVR與模擬攝像機（camera）之間每每以同軸線纜相鏈接（MPX接口）。 DVR可用於對模擬攝像機傳回的模擬信號的存儲及編解碼處理，優勢是：能兼容大量老舊的不一樣分辨率的模擬攝像機設備；缺點是：該方案有距離限制，因爲使用模擬信號，每每存在信號干擾。

3.2 NVR與IPC（IP-Camera）組成的網絡

NVR與IPC直接以一般爲RJ45形態接口的網線相鏈接，而IPC能夠認爲兼具DVS和模擬Camera的功能，該部署形態優勢是：因爲網線起到了視頻IP數據包信息傳輸及電源供電的功能，支持超長距離的控制，不怕信號損耗，且一般的IPC視頻解析度比較模擬信號的攝像機要高不少。

3.3 NVR與DVS或DVR結合模擬攝像機構成的網絡

至關於把模擬攝像頭設備和新的具有遠距離管理功能的NVR技術進行告終合。現階段網絡上能夠買到的不少設備都是同時兼容NVR和DVR接口及技術的設備。一種典型的部署操做流程可見該視頻[9]。

NVR設備安裝流程視頻截圖

3.4 基於手機App可對IPC監控視頻實時遠程觀看

NVR/DVR/IPC聯網後，支持經過服務商的遠程服務器將視頻數據轉發到用戶手機上，用戶經過手機App在登陸完成後能夠直接遠程觀看並控制攝像頭的方向。

4、聯網攝像頭的潛在攻擊威脅

4.1 公網暴露和漏洞攻擊威脅

基於shodan結合網絡公開情報來源的設備指紋對某兩個全球市場佔有率排名靠前的國內消費攝像頭廠商的設備分佈狀況進行搜索：

shodan的對某品牌設備的統計

1.基於shodan數據可見某***視設備全球分佈最廣的是巴西、印度、中國、墨西哥、韓國，主要暴露端口是rtsp(554\8554)、http(80\81\8080)；

2.單從shodan上統計，暴露在公網的該設備就超過28W，因爲shodan是對隨機ip進行指紋收集，因此實際的設備數量應該比此數據大不少。

3.暴露於公網的該設備絕大都是linux系統。

該廠商的設備在CVE上可查到的漏洞狀況統計：

某廠商設備在CVE上可查到的漏洞狀況

另一個廠商的設備在shodan的搜索結果：

shodan的對**華設備的統計

1.基於shodan數據可見某**華設備全球分佈最廣的是巴西、美國、中國、印度、波蘭，主要暴露端口是rtsp(554\8554\10554)、http(80\81\8080)； 

2.單從shodan上統計，暴露在公網的該設備就接近14W，因爲shodan是對隨機ip進行指紋收集，因此實際的設備數量應該比此數據大不少；

3.檢測到的暴露公網的該設備都是linux系統。

須要注意的是如shodan這類網絡空間搜索引擎(如Zoomeye、Fofa等)，基本都提供了搜索API的支持，用戶能夠經過搜索API批量導出暴露公網的設備IP地址以及端口號。進一步結合github搜索或metasploit等開源漏洞檢測工具中找到的相關設備漏洞利用或漏洞檢測源碼，能夠以較低的門檻實現批量的漏洞利用和設備控制。值得注意的是，隨着我國城市化發展和公民不斷自行採購該類產品，公網暴露的攝像頭數量仍在不斷增長中。

4.2 服務器協議逆向和破解威脅

針對當前大量用戶購買的可經過App控制的家用攝像頭，國外研究者有對其通訊協議進行逆向，也證實了能夠經過對其協議漏洞的利用，無限制枚舉接入該服務商後端服務器的設備ID，並經過默認口令大規模嘗試登陸並查看視頻流。以下圖所示：

利用某攝像頭的遠程控制協議漏洞無限制檢索已鏈接該服務器的可用設備

5、攝像頭網絡安全如何保障

5.1 產品廠商安全開發

我國已經發布的針對公共視頻監控系統聯網的應用技術標準、合格評定、管理規範體系以下：

須要注意的是，上述標準主要是對公共視頻監控領域攝像頭設備的要求，卻並未有效的約束消費市場智能攝像頭產品的質量要求。

保證用戶隱私和網絡資源不被濫用的基礎，依然是攝像頭廠商能充分考慮黑客的攻擊場景，並規避潛在的產品配置和代碼缺陷。

5.2 提高用戶安全意識

(1) 若是確實有使用需求，建議用戶購買有質量保證的大型攝像頭設備廠商的產品，知名廠商產品一般設計安全考慮會相對完善，且每每會按期更新固件提高安全性；

(2) 用戶啓用設備後應及時更改預設登陸密碼並避免過於簡單的口令，條件容許的狀況下建議按期更換；

(3) 按期關注攝像頭廠商更新的固件程序，而且在更新固件前驗證固件來源，好比經過官網提供的固件散列值確保固件未經篡改，或僅使用官網提供的專用固件更新程序；

(4) 建議攝像頭不要正對臥室、浴室等敏感、隱私區域，當發現攝影像頭角度無故移動時每每意味着設備可能已經被惡意破解或利用；

5.3 使用安全防禦產品

對於企業級的攝像頭產品用戶，在部署較多攝像頭相關設備，並鏈接公網的狀況下，能夠進一步考慮使用具備攝像頭漏洞攻擊防禦能力的專業網絡安全設備，進一步保障網絡安全，杜絕攝像頭計算資源被僵屍網絡等惡意軟件或攻擊者攻擊的隱患。

6、參考文獻

[1]家用攝像頭後面的「不法之眼」——智能攝像頭隱私泄露調查，http://www.xinhuanet.com/politics/2019-01/24/c_1124036762.htm

[2]Who is Anna-Senpai, the Mirai Worm Author? https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

[3]Understanding the Mirai Botnet，https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-antonakakis.pdf

[4]Breaking Down Mirai: An IoT DDoS Botnet Analysis，https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html

[5]https://en.wikipedia.org/wiki/Digital_video_recorder

[6]https://en.wikipedia.org/wiki/IP_camera

[7]https://en.wikipedia.org/wiki/Network_video_recorder

[8]DVR和NVR的接口區別示意，https://i.ytimg.com/vi/NupY3DBIkjQ/maxresdefault.jpg

[9]一種典型的NVR部署操做流程，https://www.youtube.com/watch?v=Dz8n11s8X74

[10]Next-Gen Mirai，https://srlabs.de/wp-content/uploads/2017/11/Next-Gen_Mirai.pdf

*本文做者：深信服千里目安全實驗室，轉載請註明來自FreeBuf.COM