物聯網 (IoT) 裝置的安全一直是一項熱門討論話題,其中 IP 監視攝影機的安全尤其受到矚目。
IP 攝影機目前已是駭客優先鎖定的攻擊目標,因為這類裝置的運算效能和網路頻寬都較為充裕。眼前最好的例子就是 2016 年底一個名為「Mirai」的殭屍網路病毒利用監視攝影機發動了有史以來最大的一樁分散式阻斷服務 (DDoS) 攻擊。結果造成網際網路流量瞬間暴增至平常的 50 倍,創下 1.2 Tbps 的歷史新高。而這些網路流量都是因為 IP 監視攝影機遭到駭客挾持,駭客從遠端下達攻擊指令所造成。
事件過後至今,又出現了多個類似 Mirai 的惡意程式變種,且更善加利用這些含有漏洞的 IP 監視攝影機。當然,網路資安現已成為 IP 監視攝影機的首要問題,某些政府機構也開始著手制定一些規範來要求這類裝置提升其網路資安能力。這勢必將成為 IP 監視攝影機市場一項新的競爭要素。
歹徒攻擊 IP 監視攝影機的背後動機
歹徒駭入 IoT 裝置的主要動機是為了賺錢。IP 監視攝影機之所以成為歹徒的重要目標,有以下幾點原因:
- 無時無刻的網路連線。如同許多其他裝置一樣,IP 攝影機必須仰賴網際網路連線來運作。然而也因為隨時暴露在網際網路上,因此駭客很容易找到這些攝影機並攻擊其裝置漏洞。這些裝置一旦被駭入,就會成為駭客的工具。
- 駭客投入的成本低廉。與駭入 PC 不同的是,駭客一旦找到方法來破解某種 IoT 裝置的安全機制 (例如 IP 攝影機),同樣的方法就可以套用在類似的型號上,所以每一裝置的駭入成本相當低廉。
- 缺乏監督管理。有別於一般 PC (尤其是辦公室環境的 PC),IP 攝影機通常不太需要使用者操作,而且缺乏安全控管,還不能在上面安裝市售惡意程式防護軟體。
- 充裕的效能。IP 攝影機平常閒置的運算效能通常就足以執行一些駭客想要的工作 (例如挖礦) 而不會引起使用者注意。
- 充裕的網際網路頻寬。IP 攝影機需要傳輸視訊,因此需要隨時、高速、高頻寬的連線,正好成為歹徒發動 DDoS 攻擊的良好條件。
典型感染過程
IP 監視攝影機遭駭的典型過程如下:
1.初次感染。駭客會先搜尋裝置是否開放了某些連接埠,如 Telnet、Secure Shell 以及 Universal Plug and Play (UPnP) 所使用的連接埠。接著,便利用裝置預設的帳號密碼來試圖登入裝置 (這就是 Mirai 的作法),或者攻擊尚未修補的系統漏洞 (這就是 Persirai 和 Reaper 的作法),進而掌控裝置。
2.幕後操縱。在掌控裝置之後,駭客就會下載一些惡意腳本或惡意程式到裝置上執行,讓裝置向幕後操縱 (C&C) 伺服器回報。接著,伺服器會發送指令給被入侵的 IP 攝影機來執行一些不法活動,例如:加密虛擬貨幣挖礦,或者利用 UDP 洪水攻擊對特定目標發動阻斷服務攻擊。
3.繁衍散布。視惡意程式而定,惡意程式可能會掃瞄網路上是否有可感染的裝置,然後利用相同手法將自己植入其他含有漏洞的裝置。此過程有可能自動執行 (例如一些具備蠕蟲能力的殭屍網路病毒) 或者由駭客手動從 C&C 伺服器下達指令。
公共網路與封閉網路所面臨的風險
絕大部分的傳統消費型 DIY 家用 IP 攝影機都需直接連上網際網路來運作。這表示,家用 IP 攝影機將直接暴露在網際網路上,這很像某些家用電腦,但問題是 IP 攝影機無法安裝防護軟體。雖然家用 IP 攝影機只占所有這類裝置安裝數量的一小部分,但隨著價格日益親民,且銷售管道越來越貼近消費者,這勢必將成為一個快速成長的市場。
另一方面,許多人宣稱 IP 攝影機的危險性並沒有想像的高,因為大部分的產品都是針對企業而設計,且企業通常會將 IP 攝影機安裝在區域網路內,因此無法從網際網路上搜尋得到。這項說法或許沒錯,但卻忽略了一些現實因素:
- 系統整合商有可能並未遵照正規的程序安裝這些 IP 攝影機。在許多情況下,人們會選擇對他們較方便的安裝方式,只要裝置能動就好。此外,方便維護也是他們的動機之一。這也難怪許多原本應該待在區域網路內部的 IP 攝影機,其 IP 位址卻大剌剌暴露在外。
- IP 攝影機的商業模式正在轉變,服務供應商正透過 IP 攝影機來提供客製化服務 (例如老年照護),因此將攝影機安裝在網際網路上對使用者和遠端操作人員來說都是最簡單的方式,必要時雙方都能同時存取。
- 一些新的加值功能 (如視訊分析) 通常會部署在雲端,因為這樣可以降低硬體與軟體的整體成本,而且還可彈性開啟或關閉特定功能,或者增加新的功能,完全不受攝影機硬體的效能限制。
所以,將 IP 攝影機直接連上網際網路似乎是大勢所趨。由於全球目前已部署的 IP 攝影機數量相當龐大,因此只要有一小部分的 IP 攝影機暴露在公共網路上,對駭客來說就是很大的誘因。
還有另一個值得注意的是,將網路隔離是一個經常被提及的網路資安作法。然而,待在區域網路內並無法保證 IP 攝影機就不會被駭。首先,手法高明的惡意程式可以輕鬆在區域網路內散布,因為任何攜帶到該區域網路內的行動裝置,都很可能成為感染來源。惡名昭彰的 Mirai 殭屍網路病毒就是利用一個 Windows 木馬程式來協助其散布,即使它的最終目標是採用 Linux 系統的 IP 攝影機。
IP 攝影機的層層防禦
IP 攝影機的功能通常包括攝影機本體、網路連線以及雲端服務。想要提供安全的產品,廠商必須採取全面性的資安策略,完整涵蓋裝置到雲端:
1.IP 攝影機硬體。駭客要能入侵 IP 攝影機,最重要的關鍵就是找到系統的漏洞,因此 IP 攝影機製造商無不努力監控其產品韌體是否出現任何漏洞並盡速修補。然而除此之外,廠商還可採取一些作法來進一步強化整體安全性,例如:
- 強制使用者變更預設密碼。
- 利用安全開機功能不讓已遭入侵的裝置運作。
- 加入韌體無線更新 (FOTA) 功能,必要時可方便修補韌體。
- 採取最少功能原則,非必要的連接埠盡量不要開放。
2.網路。將 IP 攝影機部署在封閉式網路內,已經是一種確保裝置安全相當普遍的作法。此外還可透過虛擬私人網路 (VPN) 連線來確保遠端存取的安全。其他網路相關的安全機制還有:
- 採用加密連線來防止遭到入侵。
- 經由安全通道來連線。
- 將加密金鑰儲存在硬體上。
3.雲端。雲端服務所提供的功能越多,雲端安全就越形重要。好處是,許多服務廠商 (即使不是全部) 都已認知到這點。大部分主流的服務廠商,其雲端基礎架構都有充分的安全防護。此外,密切整合的資安防護產品 (如趨勢科技產品) 也是雲端防護的重要一環。
IoT 安全的責任歸屬與共同分擔的責任
如同其他 IoT 裝置一樣,IP 攝影機的整體方案包含了許多不同環節。因此,當發生資安事件時,沒有任何一方該負起全責。從網路資安的角度來看,我們相信每一個環節都扮演關鍵角色。
傳統 IP 監視保全系統採取的是一次買斷的銷售模式。在 DIY 市場上,一般使用者只須購買 IP 攝影機回家自己安裝在現有的網路環境當中即可。如果是較複雜的環境,則可能需要系統整合商來幫使用者打理一切,包括:選擇適當的硬體、安裝在需要的位置、將線拉到路由器、架設網路等等。除非另有維護合約,否則一樣也是一次買斷。
然而隨著越來越多廠商分食 IP 監視保全服務這塊大餅,市面上也出現了針對各種不同需求的商業模式。現在,監視保全服務業者通常按月收取服務費,而非一次買斷,就好像網際網路服務供應商 (ISP) 一樣。而且,新的業者不僅提供視訊監視保全系統給使用者,更提供許多加值服務,例如:雲端錄影及各式各樣的智慧功能。如此一來,這行業當中的角色界線就開始模糊。例如,Nest 不僅是 Nest Cam™ 監視攝影機的品牌,也是提供雲端錄影服務的供應商。
儘管該產業涉及的層面眾多,但有些環節卻是監視保全系統網路資安的關鍵:
- 裝置製造商:負責任的裝置製造商在設計和製造每一項功能時,都應考慮到安全性。或許有人會覺得使用者通常會忽略或忘記開啟這些安全機制,而這也是惡意程式今日之所以能夠肆虐全球的根本原因。不過政府機關已經開始注意到這一點,因此也在其職權範圍內強迫廠商內建一定程度的安全性。由美國政府所成立的「工業控制系統網路緊急應變小組」(Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 會不定期公布一些現有 IP 攝影機產品的系統漏洞,希望讓網路資安的議題更加透明。此外,由於全球至少有四分之一的 IP 攝影機都是由台灣所生產,因此台灣政府也正在草擬一系列的法規來確保這類裝置的網路資安。一些安全認證機構 (如 UL) 也在開發一些網路資安認證方案來提升網路資安功能的透明性。
- 服務供應商。開發 IP 攝影機系統與提供服務的廠商皆應負起系統層次的資安責任。由於服務供應商必須將 IP 攝影機的基本功能與其他加值服務結合,因此可說是整套系統 (從攝影機到網路再到雲端) 都在其掌控之下。服務供應商和系統整合業者不能只是將東西拼湊在一起,而是必須確保裝置和系統在整個服務當中都按照原本預定的方式運作。此外,服務供應商更應該將網路資安與其主打功能視為同等重要。
- 系統整合商。負責安裝硬體、軟體並且啟用監視保全服務的人,在資安方面也扮演了重要的角色。此時,採取最小功能原則非常重要,盡量只有絕對必要的功能才開啟。一些用不到的功能,尤其是網路功能 (例如開放的連接埠),將成為駭客入侵的捷徑。
- 一般使用者。IP 攝影機產品通常會隨附一份安全指南或使用手冊。請仔細閱讀並依照指示正確設定攝影機,因為這對網路資安相當重要。Mirai 殭屍網路病毒之所以能夠得逞,就是因為許多使用者都沒有更換裝置出廠預設的密碼。
在釐清資安的各種角色和責任時,不只該知道誰扮演什麼角色,更重要的是知道該做些什麼。對於 DIY 市場,家庭使用者自己也扮演了系統整合商。同理,IP 攝影機廠商扮演的不僅是裝置製造商,也扮演服務供應商,因為所有的應用程式和雲端服務都是由廠商自行開發並負責維護。我們發現,在所有我們想得到的情境當中,如果能將相關對象對應至上述的四種角色,就能輕易釐清資安的責任歸屬。
成本與效益的取捨
資安是連網裝置製造商普遍的一個問題,IP 攝影機當然也不例外。不過,內建的資安功能越多,廠商的成本勢必也會增加。另一方面,既然網路資安現已成為一項業界甚至使用者高度重視的問題,IP 攝影機製造商應趁此機會在市場上開創獨特的價值,而非永無止境地削價競爭。網路資安功能在爭取標案時也可以是個有利的因素,尤其是公家機關,因為網路資安的問題已經獲得政府的密切關注。對於服務供應商或系統整合商來說,這項成本不會是問題,因為資安功能可以另外選購,因此可以轉嫁到使用者的月租費上,而真正在意的使用者就會願意付費。
除此之外,資安的提升也會帶來複雜性,而這又是另一種形式的成本。採用最簡單的方式來安裝當然是最便宜的方法,但也最不安全。對於 IT 專業人員來說,捨棄簡易性而換取安全性可說是很普通的常識,但對一般普羅大眾來說卻非如此。例如,如果監視攝影機能夠透過網際網路從遠端存取,資安專家通常會優先建議採用 VPN 連線。然而一般使用者很少有人會使用 VPN 來連線,尤其是智慧型手機使用者。
網路資安的成本與效益,永遠是個爭論不休的問題,未來情況似乎也不會改變。因此,不論規模大小,企業機構仍將必須衡量建置 IoT 相關的各種因素,並且盡可能兼顧功能和安全性。
從現在開始做好資安把關的工作
儘管 IP 攝影機是歸類在 IoT 產品,但 IP 攝影機早在「物聯網」或「IoT」一詞出現之前就已存在於市場。但縱然 IP 攝影機市場早已成熟,其相關的網路資安問題至今仍是業界的一大挑戰。如同其他 IoT 裝置和服務一樣,IP 攝影機的資訊傳送路徑既長又遠,而惡意攻擊很可能出現在其中的任何一處。此外,從事 IoT 相關業務的企業,對於雲端安全已有相當的認知,因為只要連上網路,就會有網路資安的問題。
IoT 裝置缺乏充分的網路資安功能,是下一個急待解決的問題,這不僅是 IP 監視保全產業的問題,也是所有 IoT 相關產業的問題。一個萬物聯網的世界或許很棒,但唯有具備完善的網路資安,才能讓這世界聰明又安全。
原文出處: Securing IP Surveillance Cameras in the IoT Ecosystem 作者:Jeffrey Cheng (趨勢科技 IoT 安全)