谁该为私人网络摄像头”遭入侵”负责?

最近有关”网络摄像头遭入侵”、”婴儿监视器受攻破”甚至还有”俄罗斯一家网站监控英国居民”的新闻可谓是层出不穷。从受影响当事人的评论看来,这一状况愈发显得严重。究其原因到底是为何? 从一开始,用户、监管部门官员以及网络摄像头生产商即相互指责是对方的过错,没有任何一方试图找出问题的解决方案。最终,每一名成年从这些入侵事件中所学到的是:只要你拥有一台联网设备,就理所当然地应遵循安全新闻上的指示。否则的话,你的私人生活将随时可能在网上曝光,而你甚至对此毫不知情。 那么这些事件的背后到底发生了什么? 比如说你买了一部网络摄像头,但不是那种可直接插入电脑的常规USB接口,而是通过无线网络传输视频的摄像头。当你在另一个房间的时候,可以用来监视你的宝宝;当你在另一座城市甚至身在海外时,还可监控停在车库内的爱车或你家附近的人行道。一旦你插上电源,按照”快速启动”说明书上的内容进行简单几步操作后,就能真的像以上所描述的那样进行实时监控!这的确是一项伟大的技术,也是现代数字世界的真实例子。 但它真的如你想象的那样好吗,其实并不尽然。问题就出在”与描述的可实时监控相符”的部分。事实证明,许多用户只是对设备能够正常运行感到满意,但却不愿更改默认密码,或甚至可能不知道有这回事,或根本就没有被告知。 https://twitter.com/f15/status/535828066640347136 不更改默认密码意味着每个人都能知道你的网络摄像头的准确地址和默认密码(就类似于”1234″这种),从而能访问你的隐私数据。那么,别人是如何知道某部网络摄像头的准确地址的呢?只需在Google中技巧地输入某个搜索项,就能立即地访问数千部联网摄像头。 要想访问他人的网络摄像头并非像想象中那般费时费力,只需建立一个网站以搜索未受保护的网络摄像头,并将它们按国家和地区分类(基于IP地址),就可供那些坏家伙们”好好观赏一番”了。此外,在那些专门讨论从他人网络摄像头截屏的访问限制论坛跟帖的话,你还能看到一些极为”惊艳”的内容。呀! 许多用户不愿更改#网络摄像头#的默认#密码# 到底谁该为此而负责? 没有人应该负责人,或者说所有人都应该负责。首先,让我们先看一看网络犯罪分子方面。建立这些网站的人实际上并不是利用复杂技术入侵他人网络摄像头的黑客。他们也没有利用网络摄像头软件的漏洞或建立钓鱼网站来窃取你的私人密码。他们只是简单地利用了”错配置”。 这些网络犯罪分子所入侵的是那些在安全性设计方面存在缺陷的设备。就好比你将钱包遗忘在咖啡店里。因为你本来是不应该将钱包遗留在公共场所的。尽管盗窃与入侵他人住宅不存在可比性,但后者依然被认为是一项不当行为。 A story about Jessica, free #antivirus, importance of education and mutual aid http://t.co/8BfxyX7tsA — Eugene Kaspersky (@e_kaspersky) September

最近有关”网络摄像头遭入侵”、”婴儿监视器受攻破”甚至还有”俄罗斯一家网站监控英国居民”的新闻可谓是层出不穷。从受影响当事人的评论看来,这一状况愈发显得严重。究其原因到底是为何?

从一开始,用户、监管部门官员以及网络摄像头生产商即相互指责是对方的过错,没有任何一方试图找出问题的解决方案。最终,每一名成年从这些入侵事件中所学到的是:只要你拥有一台联网设备,就理所当然地应遵循安全新闻上的指示。否则的话,你的私人生活将随时可能在网上曝光,而你甚至对此毫不知情。

那么这些事件的背后到底发生了什么?

比如说你买了一部网络摄像头,但不是那种可直接插入电脑的常规USB接口,而是通过无线网络传输视频的摄像头。当你在另一个房间的时候,可以用来监视你的宝宝;当你在另一座城市甚至身在海外时,还可监控停在车库内的爱车或你家附近的人行道。一旦你插上电源,按照”快速启动”说明书上的内容进行简单几步操作后,就能真的像以上所描述的那样进行实时监控!这的确是一项伟大的技术,也是现代数字世界的真实例子。

但它真的如你想象的那样好吗,其实并不尽然。问题就出在”与描述的可实时监控相符”的部分。事实证明,许多用户只是对设备能够正常运行感到满意,但却不愿更改默认密码,或甚至可能不知道有这回事,或根本就没有被告知。

https://twitter.com/f15/status/535828066640347136

不更改默认密码意味着每个人都能知道你的网络摄像头的准确地址和默认密码(就类似于”1234″这种),从而能访问你的隐私数据。那么,别人是如何知道某部网络摄像头的准确地址的呢?只需在Google中技巧地输入某个搜索项,就能立即地访问数千部联网摄像头。

要想访问他人的网络摄像头并非像想象中那般费时费力,只需建立一个网站以搜索未受保护的网络摄像头,并将它们按国家和地区分类(基于IP地址),就可供那些坏家伙们”好好观赏一番”了。此外,在那些专门讨论从他人网络摄像头截屏的访问限制论坛跟帖的话,你还能看到一些极为”惊艳”的内容。呀!

许多用户不愿更改#网络摄像头#的默认#密码#

到底谁该为此而负责?

没有人应该负责人,或者说所有人都应该负责。首先,让我们先看一看网络犯罪分子方面。建立这些网站的人实际上并不是利用复杂技术入侵他人网络摄像头的黑客。他们也没有利用网络摄像头软件的漏洞或建立钓鱼网站来窃取你的私人密码。他们只是简单地利用了”错配置”。

这些网络犯罪分子所入侵的是那些在安全性设计方面存在缺陷的设备。就好比你将钱包遗忘在咖啡店里。因为你本来是不应该将钱包遗留在公共场所的。尽管盗窃与入侵他人住宅不存在可比性,但后者依然被认为是一项不当行为。

现在,让我们再讨论用户方面。尽管在设备说明书上很可能已有所注明(比如,第57页,小号字体印刷,或类似这样大小的文字),但很多用户却不愿去更改默认密码。然而,人们是否真的会从头到尾一字不差地阅读”操作简单”的设备的说明书呢?网络摄像头生产商设计这些设备旨在让用户如何更方便地进行使用。有时,他们可能会为了”简单易用”目的而忽视一些安全问题。一旦摄像头要求用户在开始使用前必须更改默认密码的话(非常简单的操作步骤),那所有针对网络摄像头的黑客入侵事件都可能得到避免。

那供货商方面又如何呢?他们试图将责任全部归咎于”黑客”以及没有更改默认密码的消费者。但我们坚定站在消费者的一边。我们的观点是,所有连接互联网的产品在设计方面都必须将安全问题考虑在内。我们始终认为,供货商理应以最简单的文字向消费者解释安全问题,并最大努力保障消费者私人生活的安全。

在#卡巴斯基#我们认为供货商理应以最简单的文字向消费者解释#安全#问题

欢迎来到神奇的计算机世界!

通常来说,我们不会将已发生的此类”黑客入侵事件”归咎于设备本身,因为我们总认为许多简单实用的小配件只会执行简单的一至两项任务(比如传输视频或提供WiFi访问)。

但事实上,这些所谓的”小配件”其复杂程度超乎你的想象。许多摄像头、家庭路由器、智能电视、机顶盒以及音乐播放器其实与真正的计算机并无太大差别,其能力远超自身所设定的范围。事实上,大多数此类设备都拥有这些能力,因为设备生产商为了成本节约考虑,都使用了标准、通用的硬件和软件。尽管你的家庭路由器只提供WiFi网络,但它的强大功能和精密的设计足以用来控制一架宇宙飞船。而这些特性则完全被网络犯罪分子所利用。

如果你拥有一台联网设备,则理所当然应该遵循 #安全新闻#

意见

既然并非所有硬件、软件和网络服务提供商对安全性有足够的重视,那我们应该自己来考虑这些问题。我们有两种方法可供您选择。第一种方法是学习有关计算机、软件、程序和网络的知识,分析所存在漏洞和通讯协议,并自行修改系统以免受各类威胁的侵害。

第二种方法是依靠我们的专业人员。计算机、智能手机和平板电脑的安全将从此不再成为困扰你的问题(比如:使用Kaspersky Internet Security)。然而,网络摄像头、路由器和智能电视设计和构造的差别相去甚远,而供货商为了外部审查则有意将这些差别模糊化,因此想针对这些设备寻找单一的解决方案几乎不可能。因此请仔细阅读操作手册并让你的IT专家来帮你进行安全设置(唯一的是密码需要自己输入)。

欲了解更多有关类似”黑客入侵”的内容,请查阅卡巴斯基实验室专家David Jacoby所撰写的这篇题为”How I hacked my home“(我是如何黑客入侵自己家)的精彩研究报告。

幸好还有些好消息。就在这一新闻事件曝光后,该存在入侵他人网络摄像头问题的网站随即被关闭。但坏消息是,在该网站被关闭之前,至少已运行了6个月的时间。还有更坏的消息:能够成功实现黑客入侵网络摄像头的”错配置”技术早在2013年8月就出现在了一家俄罗斯技术网站上(更不用说真正的网络犯罪分子可能已在这之前利用了这一技术)。

问题网站的关闭并不意味着受影响的网络摄像头就能完全高枕无忧。不法分子依然能够使用像”Google搜索”这样的简单工具搜索到并访问这些摄像头。唯一可确定的解决方案只能是更改网络摄像头默认密码。至少有一家已知设备生产商(Foscam)被曝光已受到影响。

11款不安全的移动与互联网消息应用

就在上周,我们介绍了电子前哨基金会(EFF)所发布的有关安全消息服务的评分报告,同时我们还制作了一份9款在隐私和安全方面表现出色的移动与互联网消息服务清单。而本周,我们将继续为您介绍位列该评分榜末尾的数款消息服务。 有趣的是,如果上周所介绍的消息应用在安全和隐私方面似乎有些过于难理解的话,那本周即将介绍的应用和服务清单在安全方面同样让人有些昏昏欲睡,因为采用了相似的评分标准。正是出于这个原因,我们会将主要篇幅放在一些最流行的消息应用上,当然还是免不了一些较为冷门的应用和服务。 11款在#安全和#隐私控制方面较弱的移动与互联网消息服务 背景 EFF对总共七大类的所有服务应用进行了评分。出于我们的目的,所有在以下问题中得到两个”是”回答或以下的服务提供商,其评分即为不及格: 1. 数据在传输过程中是否加密? 2. 是否在数据加密后,即使服务提供商自己也无法读取? 3. 你能否确定联系人身份的真实性? 4. 服务提供商是否采用完美正向隐私性的做法,即加密密钥是否是临时的,即使被盗也无法用来解密现有通讯? 5. 服务是否采用开源代码且可供公开审查? 6. 加密实施程序和过程是否留档? 7. 在过去12个月是否进行过单独的安全审查? 这七个问题旨在评估哪些服务应用提供最佳(最差)保护,以防止政府监视、网络犯罪分子窥探以及企业数据收集。这意味着,无论是EFF还是《卡巴斯基每日博客》都官方认可以下所有程序。但这一服务清单仅代表哪些应用一贯并未采用最佳安全与隐私做法。 9 mobile and Internet messaging services offering strong #security and

提示