3月10日,特斯拉一天內產(chǎn)生了兩條微博熱搜�。
一是車主反饋剎車失靈而坐車頂維權�����,屬于客戶糾紛類的���;
二是媒體爆料稱特斯拉上海工廠內部的監(jiān)控視頻被泄露,造成場內生產(chǎn)狀況被曝光����,原因是某國際黑客組織入侵了特斯拉合作伙伴——安防系統(tǒng)初創(chuàng)公司Verkada的數(shù)據(jù)庫,獲得了15萬個攝像頭視頻內容�,其中就包括了在特斯拉工廠和倉庫的222個攝像頭數(shù)據(jù)。
Verkada攝像頭下的特斯拉工廠���,圖源彭博社
對此特斯拉立即回應稱:此次黑客的入侵范圍僅涉及河南一處特斯拉供應商生產(chǎn)現(xiàn)場�����,此工廠使用了少數(shù)Verkada品牌攝像機用作遠程質量管理�,其他如上海超級工廠與此并不關聯(lián)��,且其他攝像設備均接入公司內網(wǎng)而非互聯(lián)網(wǎng)�����。目前,特斯拉已停止了這些攝像頭的聯(lián)網(wǎng)�,并將進一步提升各環(huán)節(jié)的安全把控。
Verkada亦在官網(wǎng)表示���,攻擊者在2021年3月7日開始獲得服務器的訪問權限、攝像頭的訪問權限和客戶名單�,并一直持續(xù)到3月9日中午左右。此后�,公司已經(jīng)禁用了所有內部管理員賬戶,安全團隊正在展開深入調查�,并通知了美國執(zhí)法部門。
而在所有公司做出事后反應時��,對該事件負責的黑客組織成員蒂莉·科特曼(Tillie Kottmann)接受采訪表示�����,入侵Verkada攝像頭的方法并不復雜�,僅僅是在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個公開的管理員賬戶的用戶名和密碼就進入了Verkada網(wǎng)絡內部,甚至他們還能獲得攝像頭的root權限�����,可以利用攝像頭執(zhí)行自己的代碼。據(jù)悉�,此次事件中被曝光的企業(yè)、機構不僅有上海的特斯拉工廠�����,還覆蓋了多國的醫(yī)院���、診所��、公司�、監(jiān)獄��、學校等場所�����,甚至還有廠家Verkada本身辦公室內的視頻資料��。
科特曼表示此舉的目的是向大眾展示視頻監(jiān)控的普及程度以及系統(tǒng)是如何被輕松入侵�����,目前并未給波及單位造成明顯商業(yè)損失��。但,把話題擴大拉長�,我們理應對物聯(lián)網(wǎng)安全保持應有的關注與慎重。
一方面是各類隱私泄露事件不斷發(fā)生����,首先就造成消費者對使用網(wǎng)絡攝像頭的顧慮逐漸增多,以及懷疑像Amazon Echo那樣的智能音箱設備是否會監(jiān)聽“我”的所有對話�;另一方面,就像去年12月Forescout的安全研究人員披露了四個開源TCP/IP庫中的33個安全漏洞�����,表示其影響了150多家供應商的超過100萬個智能設備和工業(yè)互聯(lián)網(wǎng)產(chǎn)品��,這證明在企業(yè)層面也存在無法忽視的安全隱患�����。
矛盾點是:
部署安全防范與廣鋪業(yè)務賺錢���,魚與熊掌不可兼得?
在科特曼的采訪陳述中提到一句非常具有個人感情色彩的話:
“安全攝像頭公司只追求利益���,疏忽了對網(wǎng)絡安全的防護�����?��!?/p>
實際上�����,Verkada成立于2016年�����,主營安全攝像頭業(yè)務��,產(chǎn)品亮點包含了使本地安全攝像頭遷移到云端�����,支持客戶通過網(wǎng)絡進行訪問和管理�;以及支持AI視覺技術���,能分辨出視頻中的人臉和車輛并對其進行檢測和識別�����。2020年1月��,公司獲得8000萬美元的融資�,投后估值達16億美元,其客戶范圍也發(fā)展到了千家以上��,涵蓋學校�����、企業(yè)���、零售�����、酒店、醫(yī)療保險等行業(yè)�����。
在物聯(lián)傳媒早前的文章中提到����,智能網(wǎng)絡攝像頭是一個很龐大的存量市場�,具有產(chǎn)業(yè)基礎扎實�����、產(chǎn)業(yè)需求明確�、產(chǎn)品容易做出來、市場空間大���、具有良好的場景延伸能力五大特點��,涉及到交通��、安防�����、社區(qū)�、商場�����、民用等場景都可以做挖掘深入�。
在早期IHS Markit視頻監(jiān)控情報服務提供的一份數(shù)據(jù)中,全球視頻監(jiān)控市場收入2019年將達到199億美元����,高于2018年的182億美元��,增長率達9%����。此外��,2017年增長率為9.3%���,2018年增長率為8.7%�。這是繼2016年和2015年分別取得3.9%和1.9%的小幅增長后����,全球視頻監(jiān)控市場連續(xù)三年迎來大幅增長。
Verkada也是踩著關鍵的窗口期成立的�����,并且在剛成立到發(fā)展得還不錯這段時間里��,Verkada首席執(zhí)行官Filip Kaliszan曾說�����,他看到了許多因快速發(fā)展的消費者市場而誕生的攝像頭���,但其中很大一部分的技術都已經(jīng)過時了����,包括他們的安全理念�����,僅僅為了確保沒有人可以未經(jīng)授權就接觸到監(jiān)視系統(tǒng)的磁帶和監(jiān)視器實體����。
雖然世界上從來沒有絕對的安全,但對于早已認知并了解安全問題的Verkada公司����,在2021年暴露出那樣一個簡單的漏洞給外界可乘之機,這終歸是讓人有些遺憾����。
而其中的緣由,并不是一家企業(yè)的問題�,甚至是整個行業(yè)都不甚清楚應該抱著何種態(tài)度對待事前的安全防護。在弄清楚之前�����,以業(yè)務增長為優(yōu)先無可厚非。
而且��,實現(xiàn)網(wǎng)絡安全其實并沒有什么一勞永逸的辦法�����。及時對危害事件作出回應�,持續(xù)查殺漏洞并更新補丁和固件,對網(wǎng)絡安全投入應有的資金與人力是必要之舉���。Verkada是如此�����,?���?荡笕A也是如此�����。
每一次網(wǎng)絡安全事件都應是一條學習經(jīng)驗
2016年“美國東部大斷網(wǎng)”事件��,是利用了數(shù)十萬臺受到僵尸網(wǎng)絡感染的聯(lián)網(wǎng)設備�����,比如路由器��、攝像頭�����,通過持續(xù)的掃描漏洞����,操縱肉雞的方式,向目標發(fā)送合理的服務請求����,就此占用過多的服務資源,使服務器擁塞而無法對外提供正常服務����。
2018年臺積電的病毒感染事件,導致重要的高端產(chǎn)能廠區(qū)停產(chǎn)停線���,其實是臺積電犯了3個錯誤:1)進入產(chǎn)線的新設備帶有病毒��,且未被查殺����;2)負責關鍵生產(chǎn)設施的電腦搭載的是老舊的Windows 7系統(tǒng),且沒有打補?���。?)沒有關閉設備445端口��,使病毒輕易入侵�。
2019年德國杜塞爾多夫醫(yī)院遭受勒索軟件攻擊之后,德國網(wǎng)絡安全機構BSI向外界發(fā)出的警告是——要求德國公司和機構針對CVE-2019-19871漏洞(勒索軟件的已知入口點)更新其Citrix網(wǎng)絡網(wǎng)關�。
2020年富士康在墨西哥的工廠遭遇勒索軟件攻擊之后,促使其內部資安團隊加緊完成軟件以及作業(yè)系統(tǒng)安全性更新����,同時提高資安防護層級。
從這一路跟蹤的情況來看��,網(wǎng)絡安全事件一直在發(fā)生���,甚至一些廠商也能用被動防護的態(tài)度降低損失至最小��。但一旦發(fā)生像臺積電那樣影響公司營收的情況����,卻又是追悔莫及��。
有一句話說了很多次�����,現(xiàn)如今黑客或病毒所攻擊的對象�,已經(jīng)從個人PC、防護能力較弱的傳統(tǒng)企業(yè)�、政府、學校網(wǎng)站等�����,擴散到萬物互聯(lián)時代的工廠���、工業(yè)設備��、智能攝像頭�、路由器等眾多類型上���。
也許現(xiàn)在�,我們并沒有辦法光靠口號就讓全行業(yè)都對安全有足夠充分的認識,但回顧這幾年陸續(xù)發(fā)生的事件���,總當是可以吸取經(jīng)驗教訓�����,逐步提升安防能力和意識的��。
有望從政策標準方面給予推動
2019年1月����,日本總務省對《電氣通信事業(yè)法》進行修正���,要求自2020年4月起要求聯(lián)網(wǎng)終端設備須具有防非法登錄功能�����,例如能切斷外部控制�、要求變更初期默認ID和密碼�����、可時常更新軟件等,且唯有滿足標準��、獲得認定的設備才能在日本上市�。
2020年1月,英國國家網(wǎng)絡安全中心指定舉措����,要求消費物聯(lián)網(wǎng)的制造商必須采用獨一無二的密碼����,而非默認的出廠設置;并提供一個公開的接入點來報告漏洞��;以及說明設備獲得安全更新的最短時長�。
2020年9月,澳大利亞政府發(fā)布《實踐準則:為消費者保護物聯(lián)網(wǎng)》��,以13項原則為基礎���, 鼓勵制造商提高物聯(lián)網(wǎng)設備的安全性����,以及鼓勵消費者在購買智能設備時考慮安全功能�����。
同年9月,美國眾議院通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》����,要求聯(lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設備(包括計算機、移動設備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品)必須符合美國國家標準與技術研究院(NIST)發(fā)布的最低安全標準����。
2020年11月,歐盟網(wǎng)絡安全局(ENISA)發(fā)布了《物聯(lián)網(wǎng)安全準則》�,旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商�、集成商及所有物聯(lián)網(wǎng)供應鏈的利益相關者在構建、部署或評估物聯(lián)網(wǎng)技術時做出更好的安全決策��。
所有的跡象都表明�����,全球范圍內�,從政府采購、消費者購買到制造商本身����,都處于一個物聯(lián)網(wǎng)安全意識增長的階段���。
其實有理由相信,未來相關主管部門將持續(xù)推動并完善安全標準����,物聯(lián)網(wǎng)安全產(chǎn)業(yè)終將有更明朗的未來。
參考資料:
智東西,高歌,《黑客入侵15萬個攝像頭����,偶然曝光特斯拉上海工廠實況!》
