跳至主要內容

定期更新裝置密碼及操作系統


定期更新裝置密碼及操作系統

日期 : 2015年1月23日

機構 : 香港專業資訊保安協會 (PISA)

作者 : 范健文

 

2014年9月,一個英國網站於互聯網發佈了上千數萬個網絡攝影機 (IP Camera) 的影像。從網站所見,安裝的地點不單有店鋪,更有辦公室,而最多是安裝在一般家庭內。大家是否已經可以想像得到鏡頭內的情境?有收銀機、辦公室大門的晝面、更有家中老人和嬰兒的實時影像。試想想你與我的生活片段如True Man Show 戲中主角般在不知情下讓陌生人隨時隨地觀看,大家會覺得安樂自在嗎?

不要用廠方的預設密碼
網頁中發佈的網絡攝影機畫面,香港的用戶數量排在首5位。對於一般用戶,我相信你們會認為這種漏洞一定是黑客用極複雜的手法進入用家的網絡攝影機網管系統。答案是『不一定』, 就如我剛才提到的這個英國網站,他們發佈出來的網絡攝影機,其用戶都只用了廠方的預設密碼,如“admin”,“00000”,所以黑客就可以不費吹灰之力成為這些網絡攝影機用戶的觀眾。

本人在家中設置了一個誘捕器 (Honeypot),發現黑客多會嘗試用以下的密碼去入侵我的誘捕器,所以當大家重新設定網絡攝影機的原廠密碼時,要避開使用這類型的密碼。

10大黑客嘗試的密碼組合

 

其實有部份的網絡攝影機廠商在安裝手冊上也有不錯的提示:
網絡攝影機廠商安裝手冊提示

更新操作系統和軟韌體的重要性
除了一個較為複雜的密碼外,網絡攝影機、路由器(Router)及網絡儲存系統(NAS) 均會有其操作系統(OS)及軟韌體(Firmware),跟大家的智能電話一樣, 我們須要透過不斷更新操作系統及軟韌體來修補系統中的漏洞。
於近期的幾個講座裏,我都有詢問參加者有關更新操作系統的問題,他們大部份都懂得更新智能電話的操作系統,但於網絡世界中扮演著大門角色的路由器,大家不但沒有更新其操作系統,甚至我感到他們連把這些裝置的電源關掉也十分抗拒。

其實近期已經有太多因為路由器軟件出現漏洞所引致的網絡安全案例,當中最常發生為黑客將路由器中的DNS 服務器作出修改。這修改將用戶帶到一個黑客預先準備好的假網站,例如一個像真度很高的網上銀行網站,我們於不知情的情況下輸入登入密碼,黑客就有機會用這些資料去入侵真正的銀行系統。

我們現時的生活跟網絡世界已經到了不可分割的階段,希望大家於享受網絡帶來方便的同時,更要常常更新各種裝置的密碼和操作系統,安全使用網絡。

 

 

回頁頂