不安全的攝像頭可能正在爲犯罪分子提供便利

文︱塗子沛

最近半年，隱私領域的風波就沒怎麼消停過，酒店開房、信用卡消費、職業社交網站等各種數據不斷泄露，泄露規模不斷刷新。與此同時，數以億計的物聯設備，也正成爲隨時引爆信息安全的不定時炸彈。騰訊近日發佈專題報告總結，過去的一年路由器、攝像頭和智能電視已經成爲最容易遭受攻擊的三種物聯設備，而且類似的攻擊將集中發生在中國的珠三角和長三角地區。

問題究竟出在哪？我和公司的同事做了一個實驗，檢測了一下我們街頭攝像頭的安全指數。同事在網上找到了公開的IP段，通過網絡掃描，加上密碼字典等手段去嘗試，居然在半小時內掃描出了17萬條有效的視頻鏈接，通過這些鏈接就能直接打開攝像頭，實時圖像一覽無遺，有些攝像頭甚至還可以直接“接管”。

可以肯定的是，如果再完善一下掃描手段，多增加一些判斷條件，多增加一些掃描機器，估計能掃出更多不同廠家，不同類型的視頻設備，數量級至少能達到百萬級別以上。

“百萬級”，這個數量已經足夠形成視頻大數據，大家可能都沒想到，這些以“安全防範”爲賣點的攝像頭，竟然如此不“安全”，但這又反映了當下物聯網的現實。需要說明的是，這僅僅是一個實驗，視頻內容不在我們的實驗之列，我們點到即止，以體現我們對隱私權的尊重。

當然，不安全也是分等級的，上述攝像頭屬於傳統意義上的第三類攝像頭，第一類攝像頭主要指爲治安管理的目的由警方主導建設的；第二類攝像頭是要指醫院、銀行、公園等重點單位安裝的，這兩類攝像頭是接入公安專網的，即大家耳熟能詳的“天網”，天網相對來說是比較安全的，問題出在上述的第三類攝像頭，這類攝影像覆蓋生活小區、臨街商鋪、商貿中心、賓館網吧等很多地方，多屬於羣衆自發安裝的，但很多接入了互聯網，全國數量很可能過億，如果真的泄漏了，情況將非常糟糕。

生活被窺視幾乎是必然的，無數雙眼睛無時無刻都在窺視。由於是實時視頻，能即時抓拍保存你的一舉一動圖片或視頻，同時能下載保存在機器裏的歷史視頻數據，隨時調閱。

另一個潛在威脅是可能爲犯罪分子提供便利。他們可以在作案前，通過這些攝像頭提前踩點，找到最佳的作案時間和位置，甚至在作案前就提前把這些視頻設備關閉，刪除相關歷史錄像記錄，斷了警察取證的後路。

其實類似的泄漏已經出現，記得水滴直播嗎？當然它並不是十分惡劣，沒有對社會造成真正的威脅。

我擔心的是利用大數據實施的高科技犯罪，攝像頭的數量足夠多，各種機器學習、深度學習的算法有了大數據的基礎，就能總結歸納出相關規律，例如通過對多個攝像頭的人臉分析，基本能摸清某個人的日常生活軌跡，從而延伸到某類人、車、某個地方的某些規律。

這樣的情節目前還只是在電影小說中出現，但未來，很可能會成爲公衆非常熟悉的生活場景。誰掌握了這種分析能力，事實上就等同於擁有一種支配他人進而支配社會的超級能力，這對公共安全和公共利益是一個潛在的巨大威脅。

墨菲定律怎麼說，如果事情有變壞的可能，不管可能性有多小，它就一定發生。如果有兩種或兩種以上的方式去完成一件事，而其中一種選擇將導致災難，則必定有人會做出這種選擇。

爲防止出現最壞的社會性後果，我們可以做三件事：

一是不再依靠簡單的密碼。這些攝像頭之所以容易侵入，是因爲很多機器使用了原始密碼或簡單密碼，如“admin”、“12345”、“123456”、“super”等，諸如這類弱口令，網上已經有很多專門收集這類弱口令的密碼字典，通過這些字典就能輕易破解登錄設備。

二是不要低估黑客。現有設備的生產廠家，要改進產品的安全服務。從入侵設備獲取的權限情況來看，生產廠家至少應該從以下方面進行限制和糾正，一是強制用戶修改初始密碼並使用強密碼；二是限制用戶登錄次數，防止密碼字典被暴力破解；三是返回信息不能用明文，要做編碼等密文處理；四是限制會話時間，防止機器被入侵後被長時間佔用。

三是不要高估現有法律。我的建議是，政府部門要針對攝像頭安全接入互聯網進行立法，除了制定公共安防視頻領域的專門標準之外，公安部門還應該建立攝像頭登記制度，對商鋪、家庭安裝的攝像頭，尤其是在樓道、小區出口、停車位等關鍵部位的攝像頭進行備案登記，形成一個數據庫。當有案件發生時，嫌疑人的行進撤退必定有一定的路線和軌跡，而沿途攝像頭會記錄這個過程，成爲證據。如此，可以化社會風險爲社會利好。

3、人臉分析：數據時代的“新玄學”

查看原文 >>