中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 國內(nèi) >

Password:互聯(lián)網(wǎng)上最大的安全漏洞

2015-03-10 13:35:28   作者:   來源:leiphone    評論:0  點(diǎn)擊:


  國內(nèi)安防領(lǐng)域的巨無霸企業(yè)?低曉谏现艹隽藗簍子。部署在江蘇省公安系統(tǒng)內(nèi)的海康監(jiān)控設(shè)備遭遇境外IP地址控制。江蘇省公安廳急電責(zé)令各地,立即展開清查,并展開安全加固清除漏洞。

  這則消息傳出后眾聲紛紜,甚至有評論稱其為黑天鵝、棱鏡門事件。雷鋒網(wǎng)當(dāng)即求證了?低暪俜,得到答復(fù)是:安全隱患是因?yàn)橛脩敉浉娜笔∶艽a,這件事沒那么夸張。

  ?低暫罄m(xù)發(fā)了三次聲明,今天上午又開了一次投資者電話會議來解釋此事。盡管很大原因是因?yàn)橐S護(hù)股價,但其對安全的重視程度亦可見一斑。

  白帽子:?颠t遲不解決問題

  在安全界眼中,海康并不太算一家重視安全的企業(yè)。一位白帽子給雷鋒網(wǎng)發(fā)來一組鏈接,都是?到鼛啄暝诼┒雌脚_上曝光的漏洞。他說,?翟O(shè)備的大面積弱口令(即默認(rèn)密碼)問題在兩年前就已經(jīng)爆出,當(dāng)時國家互聯(lián)網(wǎng)應(yīng)急中心將漏洞中轉(zhuǎn)至?低暎居凶鳛橥ㄓ寐┒刺幚。

  翻閱其它漏洞信息,弱口令問題同樣不少,其中比較值得一提的是,有人通過Google搜索+弱口令,發(fā)現(xiàn)了大量暴露在互聯(lián)網(wǎng)上的?翟O(shè)備。這意味著,即使一個初學(xué)電腦的普通人,也很容易學(xué)會入侵?当O(jiān)控設(shè)備。

  ?低暬貜(fù)了部分弱口令漏洞,態(tài)度都很扎實(shí),其表示公司已經(jīng)在官網(wǎng)和幫助文檔中提示用戶,設(shè)備如用于公網(wǎng)請立刻修改初始密碼。

  但白帽子哂笑道:“嗯,還是沒解決問題啊。”他認(rèn)為這個問題并沒有得到實(shí)質(zhì)性的改善,最簡單的方法比如在設(shè)備第一次使用時添加安全提示,就會有效很多。雷鋒網(wǎng)交流過的其他白帽子也有類似意見。

  ?担嚎蛻粽f不好用

  ?低曇灿凶约旱恼f法。在今天上午的投資者會議上,海康威視總經(jīng)理胡揚(yáng)忠講述了公司是怎樣去對待弱口令問題。

  一般來說,弱口令問題只在公網(wǎng)有危害,專網(wǎng)、局域網(wǎng)木有影響。過去五年銷出的海康產(chǎn)品,至少90%是用在專網(wǎng)、局域網(wǎng)。

  由于體量過于龐大,在公網(wǎng)的設(shè)備數(shù)量亦很多。?甸_發(fā)了一套hikddns系統(tǒng),現(xiàn)在新的?诞a(chǎn)品,用在公網(wǎng)都會注冊到這個平臺上?梢酝ㄟ^它給用戶發(fā)送補(bǔ)丁信息。

  最后還有?倒倬W(wǎng)公告以及說明書上的警示了。

  盡管有了hikddns系統(tǒng),但對改善“弱口令問題”并不見得有效。hikddns可以給設(shè)備推送補(bǔ)丁,在設(shè)備感染的情況下幫助恢復(fù)系統(tǒng),但它沒法去幫用戶修改弱口令。

  如上述白帽子所言,能有效解決弱口令問題的方法很多,其中很直接的一種就是雙重驗(yàn)證,在查看監(jiān)控視頻時需要再一重密碼驗(yàn)證。這一技術(shù)廣泛應(yīng)用于海康威視旗下互聯(lián)網(wǎng)業(yè)務(wù)公司螢石的產(chǎn)品中。

  雷鋒網(wǎng)向胡揚(yáng)忠提問:“是否考慮在公網(wǎng)設(shè)備中加入類似技術(shù)呢?”

  他回答說,不同客戶會有不同考量,?得鎸Φ挠腥惪蛻羧,專網(wǎng)與局域網(wǎng)客戶、互聯(lián)網(wǎng)客戶、以及中間小微企業(yè)客戶。他們曾經(jīng)嘗試過在部分產(chǎn)品中設(shè)置過更復(fù)雜的初始密碼,但客戶反饋不好用,最后變成了現(xiàn)在的統(tǒng)一默認(rèn)密碼。

  胡揚(yáng)忠稱,會考慮類似機(jī)器綁定的技術(shù),并承諾2015年?档娜產(chǎn)品在安全性上有一個大幅度的提升,但他沒有透露任何細(xì)節(jié)。

  弱口令之困

  ?低暠┞兜氖且粋行業(yè)困境,不止它一家,國內(nèi)外的攝像頭廠商都遭遇過。去年11月俄羅斯一家網(wǎng)站曝光了全球上萬個私人攝像頭的視頻流媒體連接,全都是因?yàn)槟J(rèn)密碼沒有修改。這些廠商有中國的福斯康姆、日本松下、美國Linksys。

  不止攝像頭,路由器、打印機(jī)甚至服務(wù)器等產(chǎn)品也大范圍存在默認(rèn)密碼的現(xiàn)狀,使用者沒有修改出廠密碼就接入公網(wǎng),導(dǎo)致設(shè)備存在安全隱患。

  互聯(lián)網(wǎng)上每天有成千上萬的掃描器在工作,Google、Bing、Baidu是最大的幾個,但還有很多小型的,比如Shodan、Zoomeye,它們主攻聯(lián)網(wǎng)設(shè)備和互聯(lián)網(wǎng)組件掃描。甚至一款瀏覽器插件,只要用戶量夠大也能作被動式的全網(wǎng)掃描。

  這些掃描器可以輕易發(fā)現(xiàn)暴露在公網(wǎng)的設(shè)備,這意味著黑客也同樣能做到。知道創(chuàng)宇創(chuàng)始人趙宇曾經(jīng)透露,希望能窮舉整個互聯(lián)網(wǎng)的IP地址,他這般雄心勃勃的人并不在少數(shù)。

  所有的強(qiáng)需求硬件都面臨著一個難題——它們有太多小白用戶,一個不好用就被棄用。這對于產(chǎn)品設(shè)計(jì)提出了更高的要求,而硬件廠商們則非常徹底的犯了偷懶癥,它們簡單粗暴的用統(tǒng)一默認(rèn)密碼來解決這個問題。

  我們知道,默認(rèn)密碼有其舊年代的背景,但放在互聯(lián)網(wǎng)上,請問現(xiàn)在還合適嗎?

  期待有廠商能邁出第一步。

分享到: 收藏

專題