作者简介:涂子沛,著名大数据专家,数文明(广东)科技有限公司CEO,阿里巴巴集团前副总裁,著有《大数据》《数据之巅》《数文明》大数据三部曲。
最近半年,隐私领域的风波就没怎么消停过,酒店开房、信用卡消费、职业社交网站等各种数据不断泄露,泄露规模不断刷新。
腾讯专题报告总结说,过去的一年路由器、摄像头和智能电视已经成为最容易遭受攻击的三种物联设备,而且类似的攻击将集中发生在中国的珠三角和长三角地区。
问题究竟出在哪?我和公司的同事做了一个实验,检测了一下我们街头摄像头的安全指数。同事在网上找到了公开的IP段,通过网络扫描,加上密码字典等手段去尝试,居然在半小时内扫描出了17万条有效的视频链接,通过这些链接就能直接打开摄像头,实时图像一览无遗,有些摄像头甚至还可以直接“接管”。
可以肯定的是,如果再完善一下扫描手段,多增加一些判断条件,多增加一些扫描机器,估计能扫出更多不同厂家,不同类型的视频设备,数量级至少能达到百万级别以上。
“百万级”,这个数量已经足够形成视频大数据,大家可能都没想到,这些以“安全防范”为卖点的摄像头,竟然如此不“安全”,但这又反映了当下物联网的现实。需要说明的是,这仅仅是一个实验,视频内容不在我们的实验之列,我们点到即止,以体现我们对隐私权的尊重。
当然,不安全也是分等级的。
上述摄像头属于传统意义上的第三类摄像头,第一类摄像头主要指为治安管理的目的由警方主导建设的;第二类摄像头是要指医院、银行、公园等重点单位安装的,这两类摄像头是接入公安专网的,即大家耳熟能详的“天网”,天网相对来说是比较安全的,问题出在上述的第三类摄像头,这类摄影像覆盖生活小区、临街商铺、商贸中心、宾馆网吧等很多地方,多属于群众自发安装的,但很多接入了互联网,全国数量很可能过亿,如果真的泄漏了,情况将非常糟糕:
生活被窥视几乎是必然的,无数双眼睛无时无刻都在窥视。由于是实时视频,能即时抓拍保存你的一举一动图片或视频,同时能下载保存在机器里的历史视频数据,随时调阅。
另一个潜在威胁是可能为犯罪分子提供便利。他们可以在作案前,通过这些摄像头提前踩点,找到最佳的作案时间和位置,甚至在作案前就提前把这些视频设备关闭,删除相关历史录像记录,断了警察取证的后路。
其实类似的泄漏已经出现,记得水滴直播吗?当然它并不是十分恶劣,没有对社会造成真正的威胁。
我担心的是利用大数据实施的高科技犯罪,摄像头的数量足够多,各种机器学习、深度学习的算法有了大数据的基础,就能总结归纳出相关规律,例如通过对多个摄像头的人脸分析,基本能摸清某个人的日常生活轨迹,从而延伸到某类人、车、某个地方的某些规律。
这样的情节目前还只是在电影小说中出现,但未来,很可能会成为公众非常熟悉的生活场景。谁掌握了这种分析能力,事实上就等同于拥有一种支配他人进而支配社会的超级能力,这对公共安全和公共利益是一个潜在的巨大威胁。
墨菲定律怎么说,如果事情有变坏的可能,不管可能性有多小,它就一定发生。如果有两种或两种以上的方式去完成一件事,而其中一种选择将导致灾难,则必定有人会做出这种选择。
为防止出现最坏的社会性后果,我们可以做三件事:
一是不再依靠简单的密码。这些摄像头之所以容易侵入,是因为很多机器使用了原始密码或简单密码,如“admin”、“12345”、“123456”、“super”等,诸如这类弱口令,网上已经有很多专门收集这类弱口令的密码字典,通过这些字典就能轻易破解登录设备。
二是不要低估黑客。现有设备的生产厂家,要改进产品的安全服务。从入侵设备获取的权限情况来看,生产厂家至少应该从以下方面进行限制和纠正,一是强制用户修改初始密码并使用强密码;二是限制用户登录次数,防止密码字典被暴力破解;三是返回信息不能用明文,要做编码等密文处理;四是限制会话时间,防止机器被入侵后被长时间占用。
三是不要高估现有法律。我的建议是,政府部门要针对摄像头安全接入互联网进行立法,除了制定公共安防视频领域的专门标准之外,公安部门还应该建立摄像头登记制度,对商铺、家庭安装的摄像头,尤其是在楼道、小区出口、停车位等关键部位的摄像头进行备案登记,形成一个数据库。当有案件发生时,嫌疑人的行进撤退必定有一定的路线和轨迹,而沿途摄像头会记录这个过程,成为证据。
如此,可以化社会风险为社会利好。