“弱口令”又闖禍，這次是家用安防

    6月18日，央視曝光，大量家庭攝像頭遭入侵，有人借此非法牟利。央視引用國家質檢部門的抽檢報告稱，已檢測的40批次中家庭智能安防攝像頭中，32批次樣品存在質量安全隱患，可能導致用戶監(jiān)控視頻被泄露，或智能攝像頭被惡意控制等危害。即80%的“家庭安防攝像頭”，其實正在成為家庭最大的“安全黑天鵝”。

    但是，大屏君為什么要在標題上說“又”呢？因為，同樣的問題2015年已經(jīng)出過，而且是大名鼎鼎的全球第一安防品牌“�？低�視”。

    2015年2月27日，江蘇省公安廳科技信息化處發(fā)出《關于立即對全省�？低�視監(jiān)控設備進行全面清查和安全加固的通知》稱，“�？低�視監(jiān)控設備存在嚴重安全隱患，部分設備已經(jīng)被境外IP地址控制。”該事件引發(fā)業(yè)內(nèi)廣泛關注。

    但是， 這個鍋真的不應該由“任何安防企業(yè)”，包括�？低�視來背：因為，2015年�？低�視事件的元兇是“初始密碼未改所致”。這次央視曝光的家庭智能涉嫌頭的問題也很類似——國家互聯(lián)網(wǎng)應急中心高級工程師高勝指出，“隱私竊取主要是依靠掃描器，用一些弱口令密碼，做大范圍的掃描。弱口令就是一些user或者admin。”即，關鍵問題還是出在原始用戶名、原始密碼、簡單用戶名、簡單密碼上。

    所以，大屏君覺得這個“安全黑鍋”的主要責任在于“用戶習慣”，次要責任在于“別有用心”者。

    對于前者，很多用戶有懶惰的毛病，也有技術依賴癥。無論是企業(yè)安防、社會安防還是家庭安防，大部分系統(tǒng)應用并非“全天時”要害領域。或者說，這些安防設備更多是以防萬一。所以，用戶很多時候不愿意用很大精力來管理這些產(chǎn)品——如果換做是銀行卡，有著千八百萬現(xiàn)金在賬上，恐怕無法想象會出現(xiàn)“初始密碼”不更換、銀行卡隨手放的情形。

    同時，大屏君也意識到一個更重要的問題：即很多消費者和安防用戶，并不了解安防系統(tǒng)聯(lián)網(wǎng)工作的基本常識。即他們天然認為，安防產(chǎn)品自身是沒有破綻的，很安全的。但是，很多時候，視頻攝像頭就是一個傳感器，任何物理或者信息化的入侵，都可能綁架這個產(chǎn)品。且越是高度智能和功能復雜化的產(chǎn)品，越容易遭受信息手段的入侵——這方面，安防產(chǎn)品本身不應該被視作比一般的“手機”、“電腦”更安全。

    即，我們常說的安防安全和技防措施，本質是“交叉安全”：通過在整個環(huán)境中，增加一套系統(tǒng)，增加安全冗余。而不是給這個環(huán)境加上一層金鐘罩鐵布衫。這個增加的安防系統(tǒng)，除了有訂制化的功能外，在信息安全上她沒有“原則性”的特殊性。

    如果能理解這一點，任何消費者和客戶都能做到，向對待普通電腦、個人手機那樣，“小心翼翼”的管理自己的安防產(chǎn)品。那么央視曝光的智能攝像頭問題。�？低�視2015年黑天鵝事件就都不會發(fā)生——至少是變得很難發(fā)生。

    在此基礎上，大屏君還想強調“安防產(chǎn)品”的部署，的確增加了一個環(huán)境中“交叉安全”的強度；但是，這個系統(tǒng)自身也在另一個層面增加了原有環(huán)境可能的“暗門”。

    例如，在央視曝光的家庭智能攝像頭案例中，對于一個家庭，即便是經(jīng)常出入的最友好的客人，也不可能任何時刻都說清楚“家庭陳設”的細節(jié)。但是，一旦家庭智能攝像頭被挾持，那么黑客通過“眼見即所得”，隨時能把消費者家庭的一舉一動掌握清楚。這種情形即是說，作為安全系統(tǒng)的“安防攝像頭”，也充當了一個可能的高危險“暗門”的角色。

    對于任何安防用戶，都應該理解這個常識：即安防系統(tǒng)，尤其是視頻安防系統(tǒng)，本身就是一個“比任何其他的門”都要危險，都需要小心“管理”的“門”。而用戶名和密碼就是唯一的“鎖”。

    當然，很多消費者可能說，我的小店、我的小場所、我的學校、我的辦公地點、我的家庭，即不會存放大量現(xiàn)金、也沒有容易偷盜的值錢產(chǎn)品，我安裝這個系統(tǒng)，只是為了管理（如監(jiān)視老人、小孩、工作人員、生產(chǎn)狀況等）的方便。——大屏君不認為這種思維沒道理。但是，安全問題一定要用“壞人”的角度來想，要警鐘長鳴。

    首先，大屏君知道，一些人只是想“偷窺一下”，包括隱私、也包括最日常的生活、生產(chǎn)狀態(tài)。他們除了好奇心沒有別的惡意，最多就是把看到的信息再搬到網(wǎng)上。如果不涉及私密信息，這些行為的確不構成任何直接損失。

    但是，大屏君亦知道，14億中華同胞難免有一些敗類。如電信詐騙分子。而詐騙分子獲得被騙對象信任的方式，就是大量搜集其個人的公開乃至隱私信息。一個被侵入的攝像頭落入詐騙分子之手，無論是家庭的還是工作場所的，無疑都是“最好的工具”。

    除了那些“高級罪犯”外，社會上的小偷小摸的數(shù)量更是眾多。甚至曾經(jīng)有過小偷把防盜門、防盜窗都拆掉賣廢鐵的案例。對于這些罪犯，且不要說“我家、或者我的辦公場所，無值錢的東西”，沒準這些人連廢紙都偷：誰叫廢紙也能賣錢呢？

    然后，大屏君還有一個更高級的“安全問題”：即弱口令安防系統(tǒng)被境外勢力大范圍挾持，在海量數(shù)據(jù)下，那些日常生活中、工作中“自覺”沒有意義的細節(jié)，是不是能被“敵方專家學者”識別出“高價值”的情報呢？切不要忘記那個梗：日本情報部門僅僅通過一張鐵人王進喜的新聞照片，就知道了大慶油田的確切位置。（當然，這也與日本侵華時期在此地十幾年調查，掌握了大量地質情報有關。）

    從最后一點看，大屏君尤其要說：安裝家庭智能攝像頭的都是哪些人？無外乎是三高份子：高學歷、高收入、高社會地位。安裝眾多復雜安防系統(tǒng)的政府和企事業(yè)單位都是哪些：也無外乎三高——高業(yè)務量、高級別、高地位。對于這樣的家庭、單位，一旦掌握其海量的活動信息，一定能從中分析出很多有價值的情報。2016年， 360威脅情報中心數(shù)據(jù)顯示，針對中國境內(nèi)目標發(fā)動攻擊的境內(nèi)外APT（Advanced Persistent Threat，即“高級持續(xù)性威脅”）組織達36個，中國已經(jīng)成為全球APT攻擊的第一目標國。

    總之，在大屏君看來，安防系統(tǒng)不是一步到位的“安全保障“。他的本質是通過多系統(tǒng)交叉，增強總體安全的冗余性。安防系統(tǒng)在體現(xiàn)安全保障作用的時候，其本身也成為一個易被攻擊、且一旦被侵入就會變成一個”大開之門戶“的”安全問題“。

    在這樣的認知下，如何做到安防更安全的？答案在于，安防系統(tǒng)降低了簡單安保體力勞動的量，卻增加了復雜安保的科技水平和勞動難度。對于后者，要求我們的安防人和安防消費者，要做到時刻警惕，樹立防范高科技安全犯罪的意識，加強高級安防技能的學習與應用。最后，大屏君還是那句話，設備是中性的，人才是決定用好用壞的因素。所以說“生于憂患，死于安樂“。