«

老调重弹,污蔑神秘东方大国制造的设备窃取美国数据,说的就是印度

一把老骨头 发布于 阅读:34 科技新闻

近日,安全研究人员惊爆猛料:他们成功访问了全球40000个联网摄像头的实时反馈,而这或许仅仅是冰山一角。

今年早些时候,美国国土安全部(DHS)发布的一则公告,犹如一颗重磅炸弹,在安全领域掀起了轩然大波。公告警告称,那些暴露在互联网上的摄像头,极有可能被东方某大国用于间谍活动。Bitsight的团队更是凭借其精湛的技术,成功接入了这些敏感位置的信息,让人们真切地感受到了危机的临近。

美国,无疑是这场危机中的“重灾区”。大约有14000个总馈送流来自这片土地,数据中心、医疗保健设施、工厂等高度敏感场所的内部情况,就这样毫无保留地暴露在众人眼前。Bitsight指出,这些信息一旦落入不法分子之手,后果不堪设想。它们可能会被用于间谍活动,让国家的机密信息泄露无遗;也可能被用来绘制盲点地图,为犯罪分子提供可乘之机;甚至还可能被用于收集商业秘密,让企业的核心竞争力毁于一旦。

除了国家安全层面的威胁,这些暴露的摄像头还对普通民众的生活构成了潜在危险。它们被广泛应用于酒店、健身房、建筑工地、零售场所和住宅区,看似平常,实则暗藏玄机。研究人员表示,这些摄像头可能会被不法分子利用,进行轻微犯罪活动。比如,通过监视零售商店中的典型活动模式,犯罪分子可以精准掌握店铺的运营规律,从而策划抢劫行动;而监视住宅,更是可能侵犯个人隐私,甚至被用于勒索等恶劣行为。

Bitsight在一份报告中忧心忡忡地指出:“每个人都应该清楚地认识到,让相机暴露在互联网上是一个极其糟糕的主意。然而,令人痛心的是,仍有成千上万的相机处于可访问状态。”更让人震惊的是,有些人甚至不需要复杂的黑客技术或特殊工具,就能以意想不到的方式访问这些直播镜头。在许多情况下,只需打开网络浏览器,导航到暴露的相机界面,就能轻松获取实时画面。

为了深入了解这些暴露摄像头的运作机制,Bitsight对两种依赖HTTP和RTSP技术的互联网连接相机进行了深入研究。这两种技术通常分别用于消费和商业环境。研究人员发现,虽然对这些相机进行指纹识别所需要的只是一个浏览器和一个统一资源标识符(URI),但找到它们却并非易事。不过,对于一个积极的个人或团体来说,这并非遥不可及的目标。

对于基于HTTP的相机,Bitsight表示,大多数相机制造商都实现了一种API。在发出请求时,只要使用了正确的URI和参数,就可以从直播馈送中返回单个帧。虽然这需要对每个制造商的技术文档进行一些研究,但在系统测试URIs直到图像返回时,就可以捕获实时帧。“这基本上是我们如何检测来自不同制造商的暴露的基于HTTP的摄像头的方法:首先确定可能的制造商,然后确定哪个特定的URIs要根据该品牌和型号进行测试,直到我们找到提供我们正在寻找的截图的那个。”Bitsight解释道。

而RTSP相机则专为低延迟连续流而设计,这也是它们在监控系统等商业场景中更常见的原因。不过,对RTSP相机进行指纹识别比基于HTTP的摄像头要困难得多。这是一个使用HTML favicon哈希、标题和标题等标识符进行的过程,但这些类型的提示并不丰富。“我们能检查的唯一有用的信息是RTSP服务器头,”Bitsight表示,但RTSP端点通常不会透露有关上述头的信息。因此,研究人员确定的受影响的相机供应商数量有限。

在总共4万个样本中,基于HTTP的摄像头占了78.5%,而RTSP的摄像头相对不那么开放,仅占21.5%。这一数据清晰地表明,基于HTTP的摄像头在安全防护方面存在着更大的漏洞。

摄像机的发现,无疑暴露了来自高度敏感位置的馈送,如医院、工厂、数据中心等。正如DHS在二月份警告的那样,这些信息很可能会被间谍和罪犯利用。非公开的DHS安全公报显示,今年早些时候,美国广播公司新闻报道了这一情况。该公报着重指出,那些通常缺少默认启用的加密和安全控制的相机,尤其是东方某大国制造的照相机,成为了重点关注对象。DHS预计,将有数万台这样的相机被部署在美国各地的关键基础设施组织中,特别是能源和化工行业。

东方某大国间谍此前已经访问了这些摄像头,据报道,DHS警告说,他们很可能会再次故技重施。据该广播公司报道,公告称:“网络参与者可以利用放置在IT网络上的摄像头进行初始访问,并转向其他设备,以窃取敏感的过程数据,参与者可以利用这些数据进行攻击规划或破坏业务系统。”“网络演员可以使用安装在安全系统上的摄像头来抑制警报,触发假警报,或关闭故障安全机制。”这些描述让人不寒而栗,充分说明了暴露摄像头的危害之大。

除了国家支持的威胁,Bitsight还表示,网络犯罪地下组织也充满了寻求类似访问的利益方,尽管他们可能出于不同的目的。在搜索市场和论坛时,研究人员发现了一些个人共享IP地址的迹象,这些IP地址包含了对feeds的描述,比如卧室、工作室等等。研究人员表示,这些类型的社区充满了可能寻求跟踪或试图通过从私人住宅内拍摄的镜头勒索个人的个人。这些行为严重侵犯了个人隐私和安全,必须引起我们的高度重视。

IOT