一、海康威视河南总代理坦言所有暴露在互联网环境下的设备都会面临黑客攻击的风险。黑客利用病毒破解设备的用户名和密码,植入脚本文件,将设备挟持为病毒源,扫描攻击其它网络设备。
二、针对弱口令风险,2014年3月海康威视河南总代理通过公司公告等方式提醒用户修改设备初始密码。现公司再次提醒用户:
1、海康威视河南总代理务必修改设备初始密码或简单密码,设置8位以上复杂密码;
2、已经或可能遭受攻击的设备,建议登陆海康威视或联系公司(客户服务热线400-700-5998)获取设备固件程序进行修复。
海康威视对产品的信息安全非常重视,安全加固是IT设备最常见的日常维护工作,公司安全响应中心会不定期发布产品安全公告,请广大用户关注公司信息。最后再次感谢所有朋友对海康威视河南总代理的关注和支持!
海康威视“安全事件”始末
2月27日中午
江苏省公安厅中午发布的特急通知称,海康威视生产的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制,要求各地立即进行全面清查,并开展安全加固,消除安全漏洞。这份标注由江苏省公安厅2月27日上午11点发出的《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》称,接省互联网应急中心通报,江苏省各级公安机关使用的杭州海康威视数字技术股份有限公司监控设备存在严重安全隐患,部分设备已经被境外IP地址控制,所以要对使用的海康威视设备进行全面清查,并开展安全加固,消除安全漏洞。
2月27、28日
海康威视网站与微信公众号分别发布《海康威视针对“设备安全”的说明》,说明此次事件情况为——江苏省互联网应急中心通过网络流量监控发现部分在互联网上的海康威视设备因弱口令(弱口令包括使用产品初始密码或其他简单密码,如123456、888888、admin等),问题被黑客攻击。并在时间与江苏省公安厅沟通,形成快速响应和处理方案,组织专项应急技术团队,帮助各地市进行产品口令修改和固件升级工作。在进一步的清查中并没有发现硬件问题。海康威视称,事件的发生“极大地触动联网设备用户对弱口令修改、系统漏洞修补的认知和重视”,也促使海康威视对产品安全问题的进一步重视和投入。并称随着网络应用的普及,互联网恶意攻击引发的网络安全问题日益严峻,所有暴露在互联网环境下的设备都会面临被攻击的风险,尤其是未修改初始密码的设备更易遭受攻击。由于网络攻击的手段和来源的多样性,决定了解决此类问题不可能一劳永逸。并表示除了产品制造厂商需要重视产品安全问题,用户也应提升网络安全意识、加强自我保护。言下之意,海康威视的一些监控设备之所以出现上述“严重安全隐患”,不仅仅是产品制造厂商的事,用户的自我安全意识和行为也有难脱干系。同时提醒用户,务必修改设备初始密码或简单密码,设置8位以上复杂密码;对于已经或可能遭受攻击的设备,建议用户登陆海康威视或联系公司。
3月1日晚
海康威视发布《海康威视致用户书》,强调“已时间与江苏省厅公安沟通,形成快速响应和处理方案,并已组织专项应急技术团队,帮助各地市进行产品口令修改和固件升级工作”。
3月2日
海康威视为保护投?收呷ㄒ妫Vす叫畔⑴兑约岸越谑录慕徊剿得鳎昵牍善绷偈蓖E啤:?嫡倏缁盎嵋椋⒈硎敬舜问录怨疽滴裼跋觳淮蟆;嵘希?低雍镏易芫肀硎荆帐」蔡褂玫暮?挡罚踩┒慈肥荡嬖凇!捌渌Ъ椅颐遣磺宄:?抵鞫读肆礁鋈毕荩谝桓鍪侨趺茉课侍猓薷拿苈刖涂梢越饩觯坏诙鍪?2月5日我们披露了可能存在的安全隐患RTSP(实时流传输协议)。现在公司产品的安全漏洞和安全隐患,可以通过改密码,系统升级来解决。”
据称,公司产品主要应用于专网、局域网,接入互联网产品数量预计不超过10%,受到攻击的设备比例更小。此次江苏事件涉及的设备安全问题为弱口令漏洞,确实只需通过修改初始密码或简单密码,或者升级设备固件即可解决,并不需要召回或更换设备。度、并且已组织专项应急技术团队帮助各地市公安局进行口令修改和固件升级工作,类似的工作并不需要现场进行,可远程进行固件升级,通常一个或几个系列产品使用同一类固件,因此升级固件的工作量并不大。
据总经理胡扬忠介绍,监控设备通常使用专网、局域网和外网,前两者通常都有物理隔离,不太可能被境外攻击,而外网又分有防火墙的外网和没有防火墙的外网,这次受感染的主要是没有防火墙的外网,没有防火墙的外网主要是家庭、小店铺和小工厂使用。这次之所以引发江苏公安厅科技信息处发文,是因为有一小部分监控设备并非普通家用,而是公安系统自用的监控设备,它们也遭到境外IP地址控制。海康威视调查后发现,来自公安系统的监控设备很可能因为使用了互联网宽带服务进行城市治安监控而暴露于黑客攻击范围中。
3月3日
海康威视公司股票开市复牌。
在海康的回应中,主要强调以下几点:一、黑客持续的攻击和用户本身没有对默认密码进行修改,是导致该次“安全门”事件的两个重要因素。二、江苏事件主要原因是弱密码导致,修复办法只需修改简单密码或初始密码,并进行固件升级即可;三、自去年8月遭黑客攻击后,公司已组建应急团队,未来会加强网络安全。
针对这一事件,海康威视采访了积极、主动、快速的应急预案,及时控制事态,以高速有效的危机公关维护了企业权益,主要发布以下公告和说明:
海康威视致用户书
海康威视针对“设备安全”的说明
杭州海康威视数字技术股份有限公司关于部分监控设备遭到网络攻击的情况说明
海康威视数字技术股份有限公司关于投资者电话会议沟通情况的相关说明暨复牌公告
一、事件发生的根本原因
(一)根本原因
首先,视频监控网络安全问题是现实存在的,在互联网传输中不加密问题更甚。即便是美国国防部内部网络都曾被黑客入侵,何况是民用监控。
其次,视频监控网络安全问题是普遍存在的,并非只海康威视一家。此前便有报道,只要在Google中搜索简单的关键字,就可以无阻碍地连入全球超过1000个没有保护措施的监控摄像头。用户对网络安全重视程度不够,缺乏安全意识,在安装完监控产品之后,没有对密码进行修改,实际上只要用户按照产品说明书的说明修改了初始默认密码,就能很大程度上避免网络安全隐患。
第三,在视频传输中,利用公安专用通信网保密性,其次为视频图像专网,再次为虚拟专用网(,VirtualPrivateNetwork),未加密的公网传输,包括移动互联网传输保密性是很差的。目前平安城市视频监控系统承载网络主要是公安专用通信网和视频虚拟专网两种。现有系统的承载网络情况复杂,平台部署在不同的承载网络上。虚拟专用网通常是在公用网络上建立的专用网络,是为特别用户设置的加密通讯网络,而平安城市视频监控系统汇接的社会图像资源是通过多种方式接入到各级共享平台,虽然在接入时会采取一些安全接入措施,但仍很难避免被非法侵入。未加密的公网传输毫无保密性可言。
除了接入网络的设备会受到网络安全隐患威胁外这一无法回避的因素外,安防企业多是习惯于用局域网或者专网视角来看待问题。
(二)历史表现
“弱口令问题会一直存在,海康威视将会对产品进行更严格与严谨的排查,也会进行创新更好地应对互联网安全。海康威视以前以做局域网为主,风险相对较小,面对更为广阔的互联网领域,海康存在一定的弱势,但也在成立专门团队以及转变思维应对该领域。
据介绍,此次安全事件的爆发并不是突然的,而是追溯到2014年8月,遭受攻击事件就已经开始受到关注。当时的应对,双方的对攻经历了24小时进行处理。可以看出网上的病毒非常多,针对海康的病毒是恶意的。所以海康判断为刑事案件,并且在去年9月2日,向杭州当地公安机关报案并被受理,但由于黑客使用的服务器在海外,攻击仍在继续,至今并无惩治措施,案件还一直处于侦破中。随后,受感染的监控设备越来越多被发现,尤其是去年11月、12月达到高峰,数万台设备中招。被感染的设备均是2014年3月底前出厂的设备。
从2014年8月19日至今,黑客持续利用美国、瑞典、荷兰等境外服务器资源实施攻击,案件仍处于公安机关阶段。由于海康威视在中国的市场是非常的广,可能受到的潜在的会多一点,所以在这个过程当中有些管理部门、监管部门发出的处理意见是非常正常的。
而为什么是在江苏出现这个问题,因为对于每个地方的建设处在不同的阶段,不同的策略、不同方式。比如说:在一个地方装1000个摄像头,有990个是在视频专网中,还有10个头如果拉专线的话成本会很高。这种情况下,会通过一定的防火墙、固件或者物理上的隔离接入运营商的公网。
虽然江苏省公安厅内的海康威视监控设备,大部分在内网,但还有一部分在公网上。江苏有的地方因为地理位置的原因,很难布线接通专网,为了降低成本,就接到了公网上,通过安装防火墙等加以防护。对于江苏省公安厅的“点名”,海康威视应江苏省互联网应急中心要求对产品的安全进行了盘点,包括:固件的升级、口令的修改等。
在海康威视的所有设备中,布置在公网上的设备所占比例非常小,主要是一些小微企业,“百分比小到个位数”,具体数据则到3月发布年报时披露。
海康方面说明,目前其他省份还没有得到通知,也没有得到江苏省公安厅关于内网产品出现问题的通知。
据介绍,海康威视于2014年3月已成立安全应急响应中心(HSRC),负责接受、处理和公开披露公司产品的安全漏洞。同时,公司也主动与行业专家、实验室发起合作,例如国家互联网应急中心、杭州安恒信息技术有限公司等,并多次邀请互联网安全专家对员工进行培训。此外,公司近期也将启动优化研发管理流程的项目,加强研发人员的产品安全意识,针对研发和测试的每一个环节进行优化。
(三)分析与判断
1.弱口令问题不严重,网络环境变换是诱因
公司DVR和NVR产品遭受境外服务器攻击,主要是设备接入互联网时未修改设备初始密码,被黑客利用初始密码进行Telent登录。此前,由于集成商和工程商在便利性方面的要求,公司产品一直以弱口令的方式交付用户,正常运行在客户的专网上。近年来,由于设备大规模IP化以及客户组网成本的考虑,公司部分产品被直接接入互联网,暴露在没有防火墙保护的网络环境中。所以,设备运行的网络环境变换,放大了之前并不重要的弱口令问题,是非常重要的诱因。
2.受到攻击设备占比很小,短期冲击市场信心
公司设备的客户是行业应用,主要采用专网的组网方式,不会受到黑客攻击的威胁。现在直接接入互联网的设备,主要来自小微企业。从比例上来看,公司大概只有5-6%的设备直接接入了互联网,而受?焦セ鞯谋壤 4邮可侠纯矗艿焦セ魃璞复笾略谑蛱ǎ掖蟛糠直还究焖僭谙咝薷础K裕セ魇导实贾碌乃鹗怯邢薜摹J谐《怨镜撞阌布臀蠢炊┑サ牡P模嗍钦⑽牡谋泶镄问匠寤髁诵判摹?/span>
3.公司能够保障安全,行业订单不会因此萎缩
公司作为视频监控的领导厂商,在安全方面的资金投入和技术储备市场,有能力保障设备的安全使用。虽然在视频监控系统网络化和计算机化的趋势下,面临漏洞威胁将逐步变成常态化的挑战,但是公司在萤石互联网业务上,已经进行了初步的探索,通过手机连接提示升级方式,解决了补丁推送难题。未来,相信公司会针对不同用户进行安全策略的调整,包括初始密码的设置都会调整,让公司设备能够更安全的从专网环境转换至互联网环境。同时,江苏省的例行排查着力点是解决安全问题,我们相信在公司妥善解决相关设备的安全问题后,不会影响后续订单的承接。
在大家关注的事件发生根本原因问题上,海康最主要的表现是符合公关危机中的速度原则。所谓好事不出门,坏事行千里。在媒介如此发达的今天更是如此,在危机出现的最初12-24小时内,消息会象病毒一样,以裂变方式高速传播。而这时候,可靠的消息往往不多,社会上充斥着谣言和猜测。公司的一举一动将是外界评判公司如何处理这次危机的主要根据。媒体、公众及政府都密切注视公司发出的份声明。对于公司在处理危机方面的做法和立场,舆论赞成与否往往都会立刻见于传媒报道。
因此公司必须当机立断,快速反应,果决行动,与媒体和公众进行沟通。从而迅速控制事态,否则会扩大突发危机的范围,甚至可能失去对全局的控制。危机发生后,能否首先控制住事态,使其不扩大、不升级、不蔓延,是处理危机的关键。
2015年3月30日,杭州海康威视数字技术股份有限公司(以下简称“海康威视”或者“公司”)收到国家计算机网络应急技术处理协调中心《关于近期部分互联网设备被入侵控制情况的调查说明》,现公告如下:
国家计算机网络应急技术处理协调中心依据《木马和僵尸网络监测与处置机制》文件(工信部保[2009]157号)的工作要求,对Backdoor.Linux.Gafgyt恶意代码(该恶意代码可感染嵌入式设备)在我国境内的感染情况进行了监测和分析。经分析,我国境内互联网上感染该恶意代码的活跃被控IP地址中部分可确认为视频监控类智能设备的联网IP,涉及包括海康威视在内的至少5家国内知名视频监控类设备生产企业。
上述“Backdoor.Linux.Gafgyt恶意代码”,就是海康威视3月1日晚间发布的《关于部分监控设备遭到网络攻击的情况说明》(公告编号:2015-008)中所述网络攻击的源头。公司积极配合国家计算机网络应急技术处理协调中心识别受感染的海康威视设备,根据监测,3月1日以来新发现的感染设备数量极小。公司已经基本完成受感染设备的修复和潜在风险设备的加固。
公司高度重视产品和系统的安全性能提升,已于2014年3月成立海康威视安全响应中心(HikvisionSecurityResponseCenter),目前已完成和正在推动的工作主要包括:
1、通过聘请专业信息安全顾问,组建专业团队,促进产品及系统安全的持续改进。
2、持续加大互联网应用安全投入。针对互联网视频监控应用特点,专门构建萤石云系统,为小微企业、家庭和个人用户提供安全可靠的互联网视频应用服务。
3、继续加强与行业主管部门的联系,在视频监控系统前端安全、网络安全、主机安全、应用安全、运维安全等方面,提供全方位建议,规避和降低视频监控系统安全风险。
4、将联合政府相关部门以及业内的安全公司,成立“嵌入式设备网络安全联合实验室”,专注于视频监控产品及系统的安全提升。