XPwn 2017|四维创智深度剖析安防监控威胁报告
- 来源:中国安防展览网 作者:四维创智
- 2017/9/7 10:32:0831572
【中国安防展览网 品牌专栏】 2017年9月6日,由XCon组委会和北京未来安全信息技术有限公司主办的XPwn 2017未来安全探索盛会在北京召开。
本届大会依旧延续其创意、有趣、关注度与技术深度并存的选题风格,基于智能生活领域产品进行破解以及安全隐患的挖掘。四维创智(北京)科技发展有限公司凭借多年的网络攻防经验,并将其核心技术应用于智能生活领域,共享“极智·未来”,伸出探知物联网安全领域的触角。
近年来,在IP网络快速发展的迅猛势头下,视频监控行业进入全网络化时代成为必然。如今,作为网络化监控的核心产品NVR(Network Video Recorder即网络视频录像机),从本质上逐渐显露出IT产品的特征。四维创智CTO李敏选取安防监控设备NVR作为主要研究对象,就其脆弱性和隐患进行深度剖析,发表了题为《网络硬盘录像机,录给谁看?》的主题演讲。
NVR设备的联网特性使其漏洞频发成为直面的安全隐患,四维创智,结合自身的安全研究经验,总结了一些应当足够引起重视的安全脆弱点。并将其归结为应用安全、启动安全、固件安全和硬件安全四部分内容展开细致的描述。
四类可以对应安防监控NVR设备的基本架构,应用软件层,系统固件层,设备硬件层。如下图:
同时,四维创智遵从实践原则,随机选取国内主流NVR设备中的10款生成调研报告,并将其对应的应用安全、启动安全、固件安全和硬件安全四部分的测试结果和详细数据进行公布。同时,现场对国外大厂商的NVR设备进行漏洞测试,均存在漏洞隐患。国内厂商也不例外,并且其配套设备也存在同样问题。基于此,希望国内外厂商能够重视并及时修复这些问题。
后,四维创智根据脆弱点分析和隐患调研结果,提供了一些安全建议给各个安防监控NVR设备厂商。依旧回归至应用安全、启动安全、固件安全和硬件安全四个方面,希望能够帮助到各个安防监控NVR设备厂商解决实际的安全问题。
据悉,本届大会除了继续对智能生活领域产品进行破解之外,还会将此项目的研究成果汇总成《安全白皮书》,四维创智也会全力支持《安全白皮书》的完成,提供完整可行的解决方案,为不同安全领域的深度挖掘和长足发展提供研究价值和技术导向。