當(dāng)前位置:首頁 > 公眾號精選 > 物聯(lián)傳媒
[導(dǎo)讀]3月10日,特斯拉一天內(nèi)產(chǎn)生了兩條微博熱搜。一是車主反饋剎車失靈而坐車頂維權(quán),屬于客戶糾紛類的;二是媒體爆料稱特斯拉上海工廠內(nèi)部的監(jiān)控視頻被泄露,造成場內(nèi)生產(chǎn)狀況被曝光,原因是某國際黑客組織入侵了特斯拉合作伙伴——安防系統(tǒng)初創(chuàng)公司Verkada的數(shù)據(jù)庫,獲得了15萬個攝像頭視頻內(nèi)...

本文來源:物聯(lián)傳媒

本文作者:飛鳥

3月10日,特斯拉一天內(nèi)產(chǎn)生了兩條微博熱搜。 

一是車主反饋剎車失靈而坐車頂維權(quán),屬于客戶糾紛類的; 

二是媒體爆料稱特斯拉上海工廠內(nèi)部的監(jiān)控視頻被泄露,造成場內(nèi)生產(chǎn)狀況被曝光,原因是某國際黑客組織入侵了特斯拉合作伙伴——安防系統(tǒng)初創(chuàng)公司Verkada的數(shù)據(jù)庫,獲得了15萬個攝像頭視頻內(nèi)容,其中就包括了在特斯拉工廠和倉庫的222個攝像頭數(shù)據(jù)。

 

V erkada攝像頭下的特斯拉工廠,圖源彭博社


對此,特斯拉立即回應(yīng)稱:此次黑客的入侵范圍僅涉及河南一處特斯拉供應(yīng)商生產(chǎn)現(xiàn)場,此工廠使用了少數(shù)Verkada品牌攝像機用作遠(yuǎn)程質(zhì)量管理,其他如上海超級工廠與此并不關(guān)聯(lián),且其他攝像設(shè)備均接入公司內(nèi)網(wǎng)而非互聯(lián)網(wǎng)。目前,特斯拉已停止了這些攝像頭的聯(lián)網(wǎng),并將進(jìn)一步提升各環(huán)節(jié)的安全把控。 

Verkada 亦在官網(wǎng)表示,攻擊者在2021年3月7日開始獲得服務(wù)器的訪問權(quán)限、攝像頭的訪問權(quán)限和客戶名單,并一直持續(xù)到3月9日中午左右。此后,公司已經(jīng)禁用了所有內(nèi)部管理員賬戶,安全團隊正在展開深入調(diào)查,并通知了美國執(zhí)法部門。 

而在所有公司做出事后反應(yīng)時,對該事件負(fù)責(zé)的黑客組織成員蒂莉·科特曼(Tillie Kottmann)接受采訪表示,入侵Verkada攝像頭的方法并不復(fù)雜,僅僅是在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個公開的管理員賬戶的用戶名和密碼就進(jìn)入了Verkada網(wǎng)絡(luò)內(nèi)部,甚至他們還能獲得攝像頭的root權(quán)限,可以利用攝像頭執(zhí)行自己的代碼。據(jù)悉,此次事件中被曝光的企業(yè)、機構(gòu)不僅有上海的特斯拉工廠,還覆蓋了多國的醫(yī)院、診所、公司、監(jiān)獄、學(xué)校等場所,甚至還有廠家Verkada本身辦公室內(nèi)的視頻資料。 

科特曼表示,此舉的目的是向大眾展示視頻監(jiān)控的普及程度以及系統(tǒng)是如何被輕松入侵,目前并未給波及單位造成明顯商業(yè)損失。但把話題擴大拉長,我們理應(yīng)對物聯(lián)網(wǎng)安全保持應(yīng)有的關(guān)注與慎重。 

一方面是各類隱私泄露事件不斷發(fā)生,首先就造成消費者對使用網(wǎng)絡(luò)攝像頭的顧慮逐漸增多,以及懷疑像Amazon Echo那樣的智能音箱設(shè)備是否會監(jiān)聽“我”的所有對話;另一方面,就像去年12月Forescout的安全研究人員披露了四個開源TCP/IP庫中的33個安全漏洞,表示其影響了150多家供應(yīng)商的超過100萬個智能設(shè)備和工業(yè)互聯(lián)網(wǎng)產(chǎn)品,這證明在企業(yè)層面也存在無法忽視的安全隱患。

矛盾點是: 部署安全防范與廣鋪業(yè)務(wù)賺錢,魚與熊掌不可兼得? 

在科特曼的采訪陳述中提到一句非常具有個人感情色彩的話: “安全攝像頭公司只追求利益,疏忽了對網(wǎng)絡(luò)安全的防護(hù)。” 

實際上,Verkada成立于2016年,主營安全攝像頭業(yè)務(wù),產(chǎn)品亮點包含了使本地安全攝像頭遷移到云端,支持客戶通過網(wǎng)絡(luò)進(jìn)行訪問和管理;以及支持AI視覺技術(shù),能分辨出視頻中的人臉和車輛并對其進(jìn)行檢測和識別。2020年1月,公司獲得8000萬美元的融資,投后估值達(dá)16億美元,其客戶范圍也發(fā)展到了千家以上,涵蓋學(xué)校、企業(yè)、零售、酒店、醫(yī)療保險等行業(yè)。 

在物聯(lián)傳媒早前的文章中提到,智能網(wǎng)絡(luò)攝像頭是一個很龐大的存量市場,具有產(chǎn)業(yè)基礎(chǔ)扎實、產(chǎn)業(yè)需求明確、產(chǎn)品容易做出來、市場空間大、具有良好的場景延伸能力五大特點,涉及到交通、安防、社區(qū)、商場、民用等場景都可以做挖掘深入。 

在早期IHS Markit視頻監(jiān)控情報服務(wù)提供的一份數(shù)據(jù)中,全球視頻監(jiān)控市場收入2019年將達(dá)到199億美元,高于2018年的182億美元,增長率達(dá)9%。此外,2017年增長率為9.3%,2018年增長率為8.7%。這是繼2016年和2015年分別取得3.9%和1.9%的小幅增長后,全球視頻監(jiān)控市場連續(xù)三年迎來大幅增長。

Verkada也是踩著關(guān)鍵的窗口期成立的,并且在剛成立到發(fā)展得還不錯這段時間里,Verkada首席執(zhí)行官Filip Kaliszan曾說,他看到了許多因快速發(fā)展的消費者市場而誕生的攝像頭,但其中很大一部分的技術(shù)都已經(jīng)過時了,包括他們的安全理念,僅僅為了確保沒有人可以未經(jīng)授權(quán)就接觸到監(jiān)視系統(tǒng)的磁帶和監(jiān)視器實體。 

雖然世界上從來沒有絕對的安全,但對于早已認(rèn)知并了解安全問題的Verkada公司,在2021年暴露出那樣一個簡單的漏洞給外界可乘之機,這終歸是讓人有些遺憾。 

而其中的緣由,并不是一家企業(yè)的問題,甚至是整個行業(yè)都不甚清楚應(yīng)該抱著何種態(tài)度對待事前的安全防護(hù)。在弄清楚之前,以業(yè)務(wù)增長為優(yōu)先無可厚非。 

而且,實現(xiàn)網(wǎng)絡(luò)安全其實并沒有什么一勞永逸的辦法。及時對危害事件作出回應(yīng),持續(xù)查殺漏洞并更新補丁和固件,對網(wǎng)絡(luò)安全投入應(yīng)有的資金與人力是必要之舉。Verkada是如此,??荡笕A也是如此。 

每一次網(wǎng)絡(luò)安全事件都應(yīng)是一條學(xué)習(xí)經(jīng)驗 

2016年“美國東部大斷網(wǎng)”事件,是利用了數(shù)十萬臺受到僵尸網(wǎng)絡(luò)感染的聯(lián)網(wǎng)設(shè)備,比如路由器、攝像頭,通過持續(xù)的掃描漏洞,操縱肉雞的方式,向目標(biāo)發(fā)送合理的服務(wù)請求,就此占用過多的服務(wù)資源,使服務(wù)器擁塞而無法對外提供正常服務(wù)。

2018年臺積電的病毒感染事件,導(dǎo)致重要的高端產(chǎn)能廠區(qū)停產(chǎn)停線,其實是臺積電犯了3個錯誤:1)進(jìn)入產(chǎn)線的新設(shè)備帶有病毒,且未被查殺;2)負(fù)責(zé)關(guān)鍵生產(chǎn)設(shè)施的電腦搭載的是老舊的Windows 7系統(tǒng),且沒有打補??;3)沒有關(guān)閉設(shè)備445端口,使病毒輕易入侵。

2019年德國杜塞爾多夫醫(yī)院遭受勒索軟件攻擊之后,德國網(wǎng)絡(luò)安全機構(gòu)BSI向外界發(fā)出的警告是——要求德國公司和機構(gòu)針對CVE-2019-19871漏洞(勒索軟件的已知入口點)更新其Citrix網(wǎng)絡(luò)網(wǎng)關(guān)。

2020年富士康在墨西哥的工廠遭遇勒索軟件攻擊之后,促使其內(nèi)部資安團隊加緊完成軟件以及作業(yè)系統(tǒng)安全性更新,同時提高資安防護(hù)層級。

從這一路跟蹤的情況來看,網(wǎng)絡(luò)安全事件一直在發(fā)生,甚至一些廠商也能用被動防護(hù)的態(tài)度降低損失至最小。但一旦發(fā)生像臺積電那樣影響公司營收的情況,卻又是追悔莫及。

有一句話說了很多次,現(xiàn)如今黑客或病毒所攻擊的對象,已經(jīng)從個人PC、防護(hù)能力較弱的傳統(tǒng)企業(yè)、政府、學(xué)校網(wǎng)站等,擴散到萬物互聯(lián)時代的工廠、工業(yè)設(shè)備、智能攝像頭、路由器等眾多類型上。

也許現(xiàn)在,我們并沒有辦法光靠口號就讓全行業(yè)都對安全有足夠充分的認(rèn)識,但回顧這幾年陸續(xù)發(fā)生的事件,總當(dāng)是可以吸取經(jīng)驗教訓(xùn),逐步提升安防能力和意識的。

有望從政策標(biāo)準(zhǔn)方面給予推動 

2019年1月,日本總務(wù)省對《電氣通信事業(yè)法》進(jìn)行修正,要求自2020年4月起要求聯(lián)網(wǎng)終端設(shè)備須具有防非法登錄功能,例如能切斷外部控制、要求變更初期默認(rèn)ID和密碼、可時常更新軟件等,且唯有滿足標(biāo)準(zhǔn)、獲得認(rèn)定的設(shè)備才能在日本上市。 

2020年1月,英國國家網(wǎng)絡(luò)安全中心指定舉措,要求消費物聯(lián)網(wǎng)的制造商必須采用獨一無二的密碼,而非默認(rèn)的出廠設(shè)置;并提供一個公開的接入點來報告漏洞;以及說明設(shè)備獲得安全更新的最短時長。 

2020年9月,澳大利亞政府發(fā)布《實踐準(zhǔn)則:為消費者保護(hù)物聯(lián)網(wǎng)》,以13項原則為基礎(chǔ), 鼓勵制造商提高物聯(lián)網(wǎng)設(shè)備的安全性,以及鼓勵消費者在購買智能設(shè)備時考慮安全功能。 

同年9月,美國眾議院通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,要求聯(lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設(shè)備(包括計算機、移動設(shè)備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品)必須符合美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的最低安全標(biāo)準(zhǔn)。 

2020年11月,歐盟網(wǎng)絡(luò)安全局(ENISA)發(fā)布了《物聯(lián)網(wǎng)安全準(zhǔn)則》,旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商、集成商及所有物聯(lián)網(wǎng)供應(yīng)鏈的利益相關(guān)者在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時做出更好的安全決策。 

所有的跡象都表明,全球范圍內(nèi),從政府采購、消費者購買到制造商本身,都處于一個物聯(lián)網(wǎng)安全意識增長的階段。 

其實有理由相信,未來相關(guān)主管部門將持續(xù)推動并完善安全標(biāo)準(zhǔn),物聯(lián)網(wǎng)安全產(chǎn)業(yè)終將有更明朗的未來。 

參考資料:

智東西,高歌,《黑客入侵15萬個攝像頭,偶然曝光特斯拉上海工廠實況!


~END~


免責(zé)聲明:本文內(nèi)容由21ic獲得授權(quán)后發(fā)布,版權(quán)歸原作者所有,本平臺僅提供信息存儲服務(wù)。文章僅代表作者個人觀點,不代表本平臺立場,如有問題,請聯(lián)系我們,謝謝!

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉