起因 222 个摄像头,特斯拉工厂教会 IoT 行业的事

3 月 10 日,特斯拉一天内产生了两条微博热搜。

  • 一是车主反馈刹车失灵而坐车顶维权,属于客户纠纷类的;
  • 二是媒体爆料称特斯拉上海工厂内部的监控视频被泄露,造成场内生产状况被曝光,原因是某国际黑客组织入侵了特斯拉合作伙伴——安防系统初创公司 Verkada 的数据库,获得了 15 万个摄像头视频内容,其中就包括了在特斯拉工厂和仓库的 222 个摄像头数据。

Verkada 摄像头下的特斯拉工厂,图源彭博社

对此特斯拉立即回应称:此次黑客的入侵范围仅涉及河南一处特斯拉供应商生产现场,此工厂使用了少数 Verkada 品牌摄像机用作远程质量管理,其他如上海超级工厂与此并不关联,且其他摄像设备均接入公司内网而非互联网。目前,特斯拉已停止了这些摄像头的联网,并将进一步提升各环节的安全把控。

Verkada 亦在官网表示,攻击者在 2021 年 3 月 7 日开始获得服务器的访问权限、摄像头的访问权限和客户名单,并一直持续到 3 月 9 日中午左右。此后,公司已经禁用了所有内部管理员账户,安全团队正在展开深入调查,并通知了美国执法部门。

而在所有公司做出事后反应时,对该事件负责的黑客组织成员蒂莉·科特曼 (Tillie Kottmann) 接受采访表示,入侵 Verkada 摄像头的方法并不复杂,仅仅是在互联网上发现了一个公开的管理员账户的用户名和密码就进入了 Verkada 网络内部,甚至他们还能获得摄像头的 root 权限,可以利用摄像头执行自己的代码。据悉,此次事件中被曝光的企业、机构不仅有上海的特斯拉工厂,还覆盖了多国的医院、诊所、公司、监狱、学校等场所,甚至还有厂家 Verkada 本身办公室内的视频资料。

科特曼表示此举的目的是向大众展示视频监控的普及程度以及系统是如何被轻松入侵,目前并未给波及单位造成明显商业损失。但,把话题扩大拉长,我们理应对物联网安全保持应有的关注与慎重。

  • 一方面是各类隐私泄露事件不断发生,首先就造成消费者对使用网络摄像头的顾虑逐渐增多,以及怀疑像 Amazon Echo 那样的智能音箱设备是否会监听“我”的所有对话;
  • 另一方面,就像去年 12 月 Forescout 的安全研究人员披露了四个开源 TCP/IP 库中的 33 个安全漏洞,表示其影响了 150 多家供应商的超过 100 万个智能设备和工业互联网产品,这证明在企业层面也存在无法忽视的安全隐患。

矛盾点是:部署安全防范与广铺业务赚钱,鱼与熊掌不可兼得?

在科特曼的采访陈述中提到一句非常具有个人感情色彩的话:

| “安全摄像头公司只追求利益,疏忽了对网络安全的防护。” |

实际上,Verkada 成立于 2016 年,主营安全摄像头业务,产品亮点包含了使本地安全摄像头迁移到云端,支持客户通过网络进行访问和管理; 以及支持 AI 视觉技术,能分辨出视频中的人脸和车辆并对其进行检测和识别。2020 年 1 月,公司获得 8000 万美元的融资,投后估值达 16 亿美元,其客户范围也发展到了千家以上,涵盖学校、企业、零售、酒店、医疗保险等行业。

在物联传媒早前的文章中提到,智能网络摄像头是一个很庞大的存量市场,具有产业基础扎实、产业需求明确、产品容易做出来、市场空间大、具有良好的场景延伸能力五大特点,涉及到交通、安防、社区、商场、民用等场景都可以做挖掘深入。

在早期 IHS Markit 视频监控情报服务提供的一份数据中,全球视频监控市场收入 2019 年将达到 199 亿美元,高于 2018 年的 182 亿美元,增长率达 9%。此外,2017 年增长率为 9.3%,2018 年增长率为 8.7%。这是继 2016 年和 2015 年分别取得 3.9% 和 1.9% 的小幅增长后,全球视频监控市场连续三年迎来大幅增长。

Verkada 也是踩着关键的窗口期成立的,并且在刚成立到发展得还不错这段时间里,Verkada 首席执行官 Filip Kaliszan 曾说,他看到了许多因快速发展的消费者市场而诞生的摄像头,但其中很大一部分的技术都已经过时了,包括他们的安全理念,仅仅为了确保没有人可以未经授权就接触到监视系统的磁带和监视器实体。

虽然世界上从来没有绝对的安全,但对于早已认知并了解安全问题的 Verkada 公司,在 2021 年暴露出那样一个简单的漏洞给外界可乘之机,这终归是让人有些遗憾。

而其中的缘由,并不是一家企业的问题,甚至是整个行业都不甚清楚应该抱着何种态度对待事前的安全防护。在弄清楚之前,以业务增长为优先无可厚非。

而且,实现网络安全其实并没有什么一劳永逸的办法。及时对危害事件作出回应,持续查杀漏洞并更新补丁和固件,对网络安全投入应有的资金与人力是必要之举。Verkada 是如此,海康大华也是如此。

每一次网络安全事件都应是一条学习经验

  • 2016 年“美国东部大断网”事件,是利用了数十万台受到僵尸网络感染的联网设备,比如路由器、摄像头,通过持续的扫描漏洞,操纵肉鸡的方式,向目标发送合理的服务请求,就此占用过多的服务资源,使服务器拥塞而无法对外提供正常服务。
  • 2018 年台积电的病毒感染事件,导致重要的高端产能厂区停产停线,其实是台积电犯了 3 个错误:1)进入产线的新设备带有病毒,且未被查杀;2) 负责关键生产设施的电脑搭载的是老旧的 Windows 7 系统,且没有打补丁;3) 没有关闭设备 445 端口,使病毒轻易入侵。
  • 2019 年德国杜塞尔多夫医院遭受勒索软件攻击之后,德国网络安全机构 BSI 向外界发出的警告是——要求德国公司和机构针对 CVE-2019-19871 漏洞 (勒索软件的已知入口点) 更新其 Citrix 网络网关。
  • 2020 年富士康在墨西哥的工厂遭遇勒索软件攻击之后,促使其内部资安团队加紧完成软件以及作业系统安全性更新,同时提高资安防护层级。

从这一路跟踪的情况来看,网络安全事件一直在发生,甚至一些厂商也能用被动防护的态度降低损失至最小。但一旦发生像台积电那样影响公司营收的情况,却又是追悔莫及。

有一句话说了很多次,现如今黑客或病毒所攻击的对象,已经从个人 PC、防护能力较弱的传统企业、政府、学校网站等,扩散到万物互联时代的工厂、工业设备、智能摄像头、路由器等众多类型上。

也许现在,我们并没有办法光靠口号就让全行业都对安全有足够充分的认识,但回顾这几年陆续发生的事件,总当是可以吸取经验教训,逐步提升安防能力和意识的。

有望从政策标准方面给予推动

  • 2019 年 1 月,日本总务省对《电气通信事业法》进行修正,要求自 2020 年 4 月起要求联网终端设备须具有防非法登录功能,例如能切断外部控制、要求变更初期默认 ID 和密码、可时常更新软件等,且唯有满足标准、获得认定的设备才能在日本上市。
  • 2020 年 1 月,英国国家网络安全中心指定举措,要求消费物联网的制造商必须采用独一无二的密码,而非默认的出厂设置; 并提供一个公开的接入点来报告漏洞; 以及说明设备获得安全更新的最短时长。
  • 2020 年 9 月,澳大利亚政府发布《实践准则:为消费者保护物联网》,以 13 项原则为基础, 鼓励制造商提高物联网设备的安全性,以及鼓励消费者在购买智能设备时考虑安全功能。
  • 同年 9 月,美国众议院通过了《2020 年物联网网络安全改进法案》,要求联邦政府购买的所有与互联网连接设备 (包括计算机、移动设备和其他具有互联网连接能力的产品) 必须符合美国国家标准与技术研究院 (NIST) 发布的最低安全标准。
  • 2020 年 11 月,欧盟网络安全局 (ENISA) 发布了《物联网安全准则》,旨在帮助物联网制造商、开发商、集成商及所有物联网供应链的利益相关者在构建、部署或评估物联网技术时做出更好的安全决策。

所有的迹象都表明,全球范围内,从政府采购、消费者购买到制造商本身,都处于一个物联网安全意识增长的阶段。

其实有理由相信,未来相关主管部门将持续推动并完善安全标准,物联网安全产业终将有更明朗的未来。