网络安全:漏洞评估是降低风险的关键

随着网络攻击的数量和复杂性的增长，城市越来越容易受到攻击，它们的潜在攻击面包括所有的物联网设备、应用程序和网络。

根据一项在线调查瑞士科技公司Paradox Engineering城市官员和公用事业经理承认，视频监控在2021年秋季实施，对黑客来说是一个非常有吸引力的应用。事实上，针对IP摄像头的网络威胁是真实且持续的。

特别是当连接到物联网网络时，IP摄像头可能会成为网络犯罪分子有吸引力的目标，主要有三个原因。首先是隐私:黑客可能对获取和分析在某一地区生活或移动的人们的实时图像感兴趣，以了解他们的习惯和行为，或者获取个人敏感信息(人脸、汽车牌照等)。其次，违法行为可以在摄像头连接到的基础设施上授予可见性，并为网络攻击铺平道路。

最后但也是最重要的一点是，该漏洞还可能导致它的计算能力被用于加密挖掘，或作为被称为僵尸网络的命令与控制网络的节点。例如，在2016年，IP摄像头被用于其他设备作为机器人启动针对互联网管理公司的拒绝服务攻击，导致各大网站关闭。

解决IP摄像头违规:一个案例研究

在对客户物联网网络进行日常安全评估时，Paradox Engineering的网络安全团队检测到一个新安装的设备-特别是一个IP摄像头。

研究人员进行了一项研究，以评估该摄像头是否可以被认为足够安全，以便在公共网络上使用和暴露。研究小组发现了两个零日漏洞:零日漏洞是一种计算机软件漏洞，以前不为那些应该对其缓解感兴趣的人所知。由于这些漏洞通常是由研究人员或潜在攻击者在供应商意识到它们之前发现的，因此没有可用的补丁来解决它们。

“在我们的日常工作中，我们采取了一种邪恶的心态，并问自己这样的问题:有多少设备提供了攻击面?袭击者对形势的分析有多深入?这是方法论过程的一部分我们的网络安全框架Paradox Engineering的网络安全工程师Davide Fiozzi解释道。

分析证实，公开暴露IP摄像头是不安全的。客户对公司的风险有了详细的了解。第一个漏洞允许非特权用户在未授权的情况下创建有效帐户访问所有IP摄像头命令。第二个漏洞与IP摄像头用户的密码有关。通过对公开的源代码进行逆向工程，就有可能发现存储用户密码的哈希函数中使用的盐。

他们提出了两种不同的解决方案:取下摄像头，换成更安全的产品，或者安装防火墙，限制对已知IP地址的访问。客户选择了第一种，并同意移除IP摄像头。

“考虑到我们客户的物联网网络的安全监控，我们成功地及早发现了新安装的IP摄像头的两个零日漏洞。Paradox Engineering的网络安全架构师达里奥·坎波维奇(Dario Campovecchi)表示:“公司的快速反应降低了风险，恢复了整体安全水平。”

关于悖论工程

Paradox Engineering是一家技术公司，为开放城市和其他智能环境设计和销售物联网解决方案。该公司成立于2005年，总部位于瑞士，是全球领先的Electro Mechanics Solutions™供应商MinebeaMitsumi Group的物联网卓越中心，旗下拥有专注于智能停车技术的Tinynode。

欲了解更多信息，请访问www.pdxeng.ch