趋势网(微博)讯:这看似是一场超自然事件:一对年轻的夫妇睡梦正酣,突然被凭空出现的声音惊醒,他们不知道这到底是谁的声音,只知道这声音正冲着他们十个月大的小宝贝尖叫着。
这并不是恐怖电影中的场景,而是在肯塔基州希伯伦(Hebron, Kentucky)市上演的一场令人毛骨悚然的活剧。午夜时分,施雷克夫妇希瑟和亚当(Heather and Adam Schreck)发现自家的福斯康姆(Foscam,由深圳市福斯康姆智能科技有限公司自主研发的网络视频监视产品品牌)网络摄像头被黑客控制,而这个摄像头是用作婴儿监护器的;黑客冲着他们的小女儿大喊,“快醒来,小家伙!快醒来,小家伙!”
(被惊醒后,)希瑟·施雷克通过手机查看了摄像头,发现摄像头正摇来摇去地窥探。等到亚当·施雷克冲进女儿的卧室时,摄像头转向了他并发出一阵咒骂。
很难说清这两点哪一个更让人不安——是黑客能够窥探熟睡婴儿这一事件,还是互联网住宅黑客入侵或成趋势这一事实。因为去年也发生了一起针对福斯康姆产品用户的黑客入侵案件,那是在得克萨斯州。
应对互联网威胁:编制防御网
去年八月,一名黑客侵入了得克萨斯州休斯敦市吉尔伯特(Gilbert)一家的无线摄像头。这名陌生人控制了摄像头,冲着两岁的孩子嚷着各种污言秽语。万幸的是,这个孩子听力受损,而且当时他的植入型电子耳蜗也没有开启,否则她就会听到那个陌生人正冲她这样叫喊:“醒醒艾莉森,你这个小贱人!”
这样的入侵行为极为卑鄙、肮脏,不仅是因为它把孩子牵扯了进来,还因为这种行为正是对科学技术的玷污,本来这些技术是为了提升安保的。这样的电子设备本应让大家的生活更加安全,但现在看来却成了我们的软肋。
我们很容易因为这些安全疏漏而责备福斯康姆公司——毕竟无论是施雷克一家还是吉尔伯特一家用的都是福斯康姆的摄像头——或者会想是不是福斯康姆公司被黑客特别针对了。但最有可能的情况是福斯康姆公司被黑客盯上只是因为它是一个大品牌:根据公司统计,其每个月摄像头的世界销量都是五、六万,所服务的用户人群更是达到百万。
因为用户群的广大,所以技术问题往往会差之毫厘,谬以千里。此案的关键问题出在:福斯康姆没能提醒用户更改默认登陆名。很可能施雷克家的摄像头被黑客黑掉正是因为他们还是用着默认的登录名。
“(这个软件)并没有提示我们改密码,”希瑟·施雷克在电话中这样告诉我。“我们根本就没想到要那样做。家里的路由器是有密码的,我们觉得这样就没问题了。福斯康姆公司应该在这方面多下些功夫让用户们意识到应该去修改密码。”
于是我又联系了福斯康姆公司,该公司表示他们的确升级了产品的固件,不仅包含有对更改密码的提示,更对一系列重大安全漏洞进行了修复。事实上,该公司其软件和硬件都会定期接受安全检测,并会据此定期发布安全升级。
但对于施雷克一家来说,他们用的福斯康姆摄像头并不是新一代产品。这一点重要事实淹没在了各种细节中。
虽然有一些报道声称施雷克家的那套设备是“福斯康姆公司最新的IP摄像机(网络摄像机),”但事实并非如此。希瑟告诉我他们家的摄像头型号是#FI8910W,是3年前的版本,施雷克一家从小女儿埃玛一出生时就用上了。
“这款摄像机并没有硬件上的问题,”福斯康姆的COO(首席运营官)Chase Rhymes表示。他解释说,这款摄像机推出之时相关的安全漏洞还没有被修复。以后推出的新产品则都预制了最新的固件,但是老产品的用户——比如说,新产品发布前前六个月的老产品——就需要手动进行硬件升级。
但不管怎样,用户仍然需要更改他们的用户名和密码。
防御网中的缝隙
不管是否有提示,对于福斯康姆设备的用户,以及一切使用了联网设备的用户来说,他们所需明白的最简单的一点就是:不要使用默认的用户名和密码。
“问题在于,(默认的密码)可以被非常容易地猜出来,像什么‘admin’啦,‘1234’啦。不管哪一家公司的默认密码都是如此,”Rhymes如是说。“(侵入者)会一个一个地试直到成功。”这样的话,你的设备对黑客来说就是门户大开,一连串潜在的侵入就会接踵而来。
通过Shodan(互联网上最可怕的搜索引擎,Shodan可以说是一款“黑暗”谷歌,一刻不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等)这一搜索工具,一切联网设备都可以被轻易找到。你可以把它看做是一个搜索联网设备的谷歌搜索引擎,而黑客可以用它来确定潜在的袭击目标。如果你的设备能在Shodan上找到——很多设备都是如此——那就别想着指望像“admin/admin”这样不堪一击的用户名和密码能起什么作用了。这就像在自己家门上贴一张写着“门没锁,随便进”的告示。
面向目前的用户,福斯康姆公布了一份针对无线摄像机的安全建议单,这一系列建议包括更改默认登录名和密码和路由器的端口映射设置,这样可以一定程度上使得黑客不能那么容易的搜索到你的设备。而本建议单上的第一条就是:更新软件以取得最新安全补丁,尤其是对于那些六个月前的老产品而言。福斯康姆公司同样提供了一份邮件列表,用户可以在官网上注册得到,公司会时刻提醒人们注意将自己的产品软件升级到最新版本以获得最新的修补。
当然,任何补丁都不能让设备达到百分百的防黑客。对于智能家居里的一切设备,从网络摄像机、智能电视,到联网的暖通空调都是如此。排除其他不谈,这一点是心脏滴血漏洞(Heartbleed)给我们的最起码的一个教训,而这个漏洞可是吓得整个科技界都坐地上了。
当然还是要澄清一点,福斯康姆摄像机的安全问题和心脏滴血漏斗没有半点关系。只不过两者都指向一个无可置疑的事实:任何联网的设备,都因其本身的特点,不会是一台“设置后不用管”的玩意儿。它需要用户的保养以正常运行——哪怕它不过是一个婴儿监护器。
如今的时代属于消费者,属于追求简便的终端用户,作为其中的一员,我们也许并不习惯于经常打理自己的电子设备。我们总想着新的科技产品能让我们的生活更轻松。但是,和新产品随之而来的是值得我们注意的种种安全隐患。所以,如果我们想让科技更好地服务我们,我们也需要照顾它们。
作者:Adriana Lee(ReadWrite)