華為旗下海思半導體（HiSilicon）生產的晶片，近日被俄國安全研究人員Vladislav Yarmak揭露存在零時差漏洞，將讓駭客取得裝置最高存取權限，並認為業者是有意為之的後門。只要有人連接TCP 9530埠，使用root帳號和固定幾組密碼就能登入並存取控制。

由於該漏洞將影響數百萬採用該晶片的監視器、DVR、NVR產品，目前Yarmak已釋出POC攻擊程式，用戶將可用來確認自己的裝置是否受相關漏洞影響

　
【全新升級．盛大登場！CYBERSEC 2020 臺灣資安大會】
↘️邀請好友一同參加抽 AirPods Pro：https://r.itho.me/share
↘️首波議程搶先看：https://r.itho.me/agenda
↘️免費參加快報名：https://r.itho.me/singup
👉獨家超強 CyberLAB：https://r.itho.me/secLAB
👉唯一超規格資安大展：https://r.itho.me/expo
👉解密臺灣資安技術力：https://r.itho.me/ctp
👉更多大會資訊：https://r.itho.me/CYBERSEC_2020
________________________________________
CYBERSEC 2020 臺灣資安大會
時間：3 月 17 - 19 日
地點：南港展覽二館
#CYBERSEC2020 #2020臺灣資安大會

收到一位技術人的留言及中山大學校方的回覆，我認為這是有意義的討論，謹再補充說明，祈使問題更加明晰。
　
首先，經向監視器業者請教後，補充說明如下：
　
一、海康威視原本在中國市占率排名第三或第四，後獲中國政府金援支持而在一年內躍居第一名，其間還發生原市占率第一的雄邁主機遭入侵攻擊，所有ip幾乎均來自中國，無法修復而有一波換機潮，海康以其低價優勢拿走市占率。
　
二、目前遠端監控，需要網路固定ip來傳送，一般情況來說，監視主機均有工程用密碼可直接使用主機最大權限，然此組密碼無法遠端使用。海康發展的是p2p直接連線，宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵，我們常會誤判是初始密碼未更改所致，但由網路所開的通訊埠可發現，許多遠程通訊或呼叫的port，是被強制開啟的，這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流，都發現海康往上海北京杭州回傳資料，這代表了那幾個通訊埠無須密碼即可通訊。
　
三、網路原本即沒有絕對安全，但資通安全（尤其涉及國安、校園安全、商業機密等），本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機（肉眼可見，也有標註HIKVISION），但最有風險的部分是監視錄影主機（DVR、NVR），才是控制所有網路錄影、人臉辨識的關鍵。此外，許多目前的監視器主機都運用海思的控制晶片，海思是華為的旗下產品，風險更高。
　
　
在談完技術之後，針對此一議題，提出我的四大關切：
　
一、公部門標案應以身作則。
　
業界大量之所以會使用海康威視，主因即在於價格較低，才成為政府標案的首選，攻占台灣市場。台灣本就是IT的重要製造研發生產國，原也是監視器大廠所在，結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時，我也發現部會贈送的年節禮品，採購的是由中國的文具廠商所製銷的產品，據此還提出主決議，要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
　
二、技術始終來自於人性。
　
技術的能力來自於運用及想像，我們都知道包括回傳訊號及紀錄的使用是「人為」的，也因此在技術上若預留（監視器最原初的目的也就是監視追查紀錄），那麼訊號的收受是否留有空間，這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處，也是所謂的資安風險。
　
三、資通安全是國家安全。
　
我們再退到萬步來看，當全世界（不只美國，也不要純以美中貿易戰來看）的各種應對及禁止行為在在說明這樣的風險，台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式，特別是《資通安全管理法》已通過一年了，針對基礎設施(infrastructure)的全面確認判讀，這是應為而未竟。
　
四、鼓勵台灣智慧技術產業。
　
在中國的低價競爭下，台灣原本的監視器技術優勢會受到壓制，台灣廠商也不願意再進行研發，競爭差距會變大。在此狀況下，至少我國從公部門可以開始做的是，鼓勵本土有技術能力的廠商進場，提升產業誘因，鼓勵台灣的智慧技術產業發展。
　
　
➡ 延伸資料：

☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26：https://pse.is/KRY8F
☑「中國引起各國高度警覺，台灣能不對中國嚴格戒備嗎？」時代力量立法院黨團 2019-04-15：https://pse.is/LEPFX
☑「中國資安疑慮，入侵高雄校園？！」 2019-09-20：https://pse.is/J6LFV

收到一位技術人的留言及中山大學校方的回覆，我認為這是有意義的討論，謹再補充說明，祈使問題更加明晰。
　
首先，經向監視器業者請教後，補充說明如下：
　
一、海康威視原本在中國市占率排名第三或第四，後獲中國政府金援支持而在一年內躍居第一名，其間還發生原市占率第一的雄邁主機遭入侵攻擊，所有ip幾乎均來自中國，無法修復而有一波換機潮，海康以其低價優勢拿走市占率。
　
二、目前遠端監控，需要網路固定ip來傳送，一般情況來說，監視主機均有工程用密碼可直接使用主機最大權限，然此組密碼無法遠端使用。海康發展的是p2p直接連線，宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵，我們常會誤判是初始密碼未更改所致，但由網路所開的通訊埠可發現，許多遠程通訊或呼叫的port，是被強制開啟的，這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流，都發現海康往上海北京杭州回傳資料，這代表了那幾個通訊埠無須密碼即可通訊。
　
三、網路原本即沒有絕對安全，但資通安全（尤其涉及國安、校園安全、商業機密等），本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機（肉眼可見，也有標註HIKVISION），但最有風險的部分是監視錄影主機（DVR、NVR），才是控制所有網路錄影、人臉辨識的關鍵。此外，許多目前的監視器主機都運用海思的控制晶片，海思是華為的旗下產品，風險更高。
　
　
在談完技術之後，針對此一議題，提出我的四大關切：
　
一、公部門標案應以身作則。
　
業界大量之所以會使用海康威視，主因即在於價格較低，才成為政府標案的首選，攻占台灣市場。台灣本就是IT的重要製造研發生產國，原也是監視器大廠所在，結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時，我也發現部會贈送的年節禮品，採購的是由中國的文具廠商所製銷的產品，據此還提出主決議，要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
　
二、技術始終來自於人性。
　
技術的能力來自於運用及想像，我們都知道包括回傳訊號及紀錄的使用是「人為」的，也因此在技術上若預留（監視器最原初的目的也就是監視追查紀錄），那麼訊號的收受是否留有空間，這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處，也是所謂的資安風險。
　
三、資通安全是國家安全。
　
我們再退到萬步來看，當全世界（不只美國，也不要純以美中貿易戰來看）的各種應對及禁止行為在在說明這樣的風險，台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式，特別是《資通安全管理法》已通過一年了，針對基礎設施(infrastructure)的全面確認判讀，這是應為而未竟。
　
四、鼓勵台灣智慧技術產業。
　
在中國的低價競爭下，台灣原本的監視器技術優勢會受到壓制，台灣廠商也不願意再進行研發，競爭差距會變大。在此狀況下，至少我國從公部門可以開始做的是，鼓勵本土有技術能力的廠商進場，提升產業誘因，鼓勵台灣的智慧技術產業發展。
　
　
➡ 延伸資料：

☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26：https://pse.is/KRY8F
☑「中國引起各國高度警覺，台灣能不對中國嚴格戒備嗎？」時代力量立法院黨團 2019-04-15：https://pse.is/LEPFX
☑「中國資安疑慮，入侵高雄校園？！」 2019-09-20：https://pse.is/J6LFV