收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國...
收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國,無法修復而有一波換機潮,海康以其低價優勢拿走市占率。
二、目前遠端監控,需要網路固定ip來傳送,一般情況來說,監視主機均有工程用密碼可直接使用主機最大權限,然此組密碼無法遠端使用。海康發展的是p2p直接連線,宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵,我們常會誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的port,是被強制開啟的,這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流,都發現海康往上海北京杭州回傳資料,這代表了那幾個通訊埠無須密碼即可通訊。
三、網路原本即沒有絕對安全,但資通安全(尤其涉及國安、校園安全、商業機密等),本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機(肉眼可見,也有標註HIKVISION),但最有風險的部分是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為的旗下產品,風險更高。
在談完技術之後,針對此一議題,提出我的四大關切:
一、公部門標案應以身作則。
業界大量之所以會使用海康威視,主因即在於價格較低,才成為政府標案的首選,攻占台灣市場。台灣本就是IT的重要製造研發生產國,原也是監視器大廠所在,結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時,我也發現部會贈送的年節禮品,採購的是由中國的文具廠商所製銷的產品,據此還提出主決議,要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
二、技術始終來自於人性。
技術的能力來自於運用及想像,我們都知道包括回傳訊號及紀錄的使用是「人為」的,也因此在技術上若預留(監視器最原初的目的也就是監視追查紀錄),那麼訊號的收受是否留有空間,這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處,也是所謂的資安風險。
三、資通安全是國家安全。
我們再退到萬步來看,當全世界(不只美國,也不要純以美中貿易戰來看)的各種應對及禁止行為在在說明這樣的風險,台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式,特別是《資通安全管理法》已通過一年了,針對基礎設施(infrastructure)的全面確認判讀,這是應為而未竟。
四、鼓勵台灣智慧技術產業。
在中國的低價競爭下,台灣原本的監視器技術優勢會受到壓制,台灣廠商也不願意再進行研發,競爭差距會變大。在此狀況下,至少我國從公部門可以開始做的是,鼓勵本土有技術能力的廠商進場,提升產業誘因,鼓勵台灣的智慧技術產業發展。 ➡ 延伸資料: ☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26:https://pse.is/KRY8F
☑「中國引起各國高度警覺,台灣能不對中國嚴格戒備嗎?」時代力量立法院黨團 2019-04-15:https://pse.is/LEPFX
☑「中國資安疑慮,入侵高雄校園?!」 2019-09-20:https://pse.is/J6LFV
#鳳山 #向前行 #幸福 #主權 #公義
#讓台灣成為令人幸福的國家
#讓高雄成為令人驕傲的城市
監視器埠號 在 iThome Security Facebook 的最佳貼文
華為旗下海思半導體(HiSilicon)生產的晶片,近日被俄國安全研究人員Vladislav Yarmak揭露存在零時差漏洞,將讓駭客取得裝置最高存取權限,並認為業者是有意為之的後門。只要有人連接TCP 9530埠,使用root帳號和固定幾組密碼就能登入並存取控制。
由於該漏洞將影響數百萬採用該晶片的監視器、DVR、NVR產品,目前Yarmak已釋出POC攻擊程式,用戶將可用來確認自己的裝置是否受相關漏洞影響
【全新升級.盛大登場!CYBERSEC 2020 臺灣資安大會】
↘️邀請好友一同參加抽 AirPods Pro:https://r.itho.me/share
↘️首波議程搶先看:https://r.itho.me/agenda
↘️免費參加快報名:https://r.itho.me/singup
👉獨家超強 CyberLAB:https://r.itho.me/secLAB
👉唯一超規格資安大展:https://r.itho.me/expo
👉解密臺灣資安技術力:https://r.itho.me/ctp
👉更多大會資訊:https://r.itho.me/CYBERSEC_2020
________________________________________
CYBERSEC 2020 臺灣資安大會
時間:3 月 17 - 19 日
地點:南港展覽二館
#CYBERSEC2020 #2020臺灣資安大會
監視器埠號 在 陳惠敏 Facebook 的精選貼文
收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國,無法修復而有一波換機潮,海康以其低價優勢拿走市占率。
二、目前遠端監控,需要網路固定ip來傳送,一般情況來說,監視主機均有工程用密碼可直接使用主機最大權限,然此組密碼無法遠端使用。海康發展的是p2p直接連線,宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵,我們常會誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的port,是被強制開啟的,這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流,都發現海康往上海北京杭州回傳資料,這代表了那幾個通訊埠無須密碼即可通訊。
三、網路原本即沒有絕對安全,但資通安全(尤其涉及國安、校園安全、商業機密等),本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機(肉眼可見,也有標註HIKVISION),但最有風險的部分是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為的旗下產品,風險更高。
在談完技術之後,針對此一議題,提出我的四大關切:
一、公部門標案應以身作則。
業界大量之所以會使用海康威視,主因即在於價格較低,才成為政府標案的首選,攻占台灣市場。台灣本就是IT的重要製造研發生產國,原也是監視器大廠所在,結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時,我也發現部會贈送的年節禮品,採購的是由中國的文具廠商所製銷的產品,據此還提出主決議,要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
二、技術始終來自於人性。
技術的能力來自於運用及想像,我們都知道包括回傳訊號及紀錄的使用是「人為」的,也因此在技術上若預留(監視器最原初的目的也就是監視追查紀錄),那麼訊號的收受是否留有空間,這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處,也是所謂的資安風險。
三、資通安全是國家安全。
我們再退到萬步來看,當全世界(不只美國,也不要純以美中貿易戰來看)的各種應對及禁止行為在在說明這樣的風險,台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式,特別是《資通安全管理法》已通過一年了,針對基礎設施(infrastructure)的全面確認判讀,這是應為而未竟。
四、鼓勵台灣智慧技術產業。
在中國的低價競爭下,台灣原本的監視器技術優勢會受到壓制,台灣廠商也不願意再進行研發,競爭差距會變大。在此狀況下,至少我國從公部門可以開始做的是,鼓勵本土有技術能力的廠商進場,提升產業誘因,鼓勵台灣的智慧技術產業發展。
➡ 延伸資料:
☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26:https://pse.is/KRY8F
☑「中國引起各國高度警覺,台灣能不對中國嚴格戒備嗎?」時代力量立法院黨團 2019-04-15:https://pse.is/LEPFX
☑「中國資安疑慮,入侵高雄校園?!」 2019-09-20:https://pse.is/J6LFV
監視器埠號 在 陳惠敏 Facebook 的最佳貼文
收到一位技術人的留言及中山大學校方的回覆,我認為這是有意義的討論,謹再補充說明,祈使問題更加明晰。
首先,經向監視器業者請教後,補充說明如下:
一、海康威視原本在中國市占率排名第三或第四,後獲中國政府金援支持而在一年內躍居第一名,其間還發生原市占率第一的雄邁主機遭入侵攻擊,所有ip幾乎均來自中國,無法修復而有一波換機潮,海康以其低價優勢拿走市占率。
二、目前遠端監控,需要網路固定ip來傳送,一般情況來說,監視主機均有工程用密碼可直接使用主機最大權限,然此組密碼無法遠端使用。海康發展的是p2p直接連線,宣稱只要知道機碼或轉址掃QR code即可直接連線。一開始發生的入侵,我們常會誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的port,是被強制開啟的,這就是存在的風險。依之前國外網友測試過一些奇怪的網路資料流,都發現海康往上海北京杭州回傳資料,這代表了那幾個通訊埠無須密碼即可通訊。
三、網路原本即沒有絕對安全,但資通安全(尤其涉及國安、校園安全、商業機密等),本來就要判讀排除有可能的危險。一般我們看到的是海康攝影機(肉眼可見,也有標註HIKVISION),但最有風險的部分是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為的旗下產品,風險更高。
在談完技術之後,針對此一議題,提出我的四大關切:
一、公部門標案應以身作則。
業界大量之所以會使用海康威視,主因即在於價格較低,才成為政府標案的首選,攻占台灣市場。台灣本就是IT的重要製造研發生產國,原也是監視器大廠所在,結果政府標案受限於價格反而到處使用中國產牌。今年初立法院審查預算時,我也發現部會贈送的年節禮品,採購的是由中國的文具廠商所製銷的產品,據此還提出主決議,要求公部門應當鼓勵台灣廠商、台灣製造。這點我首先就認為公部門應以身作則。
二、技術始終來自於人性。
技術的能力來自於運用及想像,我們都知道包括回傳訊號及紀錄的使用是「人為」的,也因此在技術上若預留(監視器最原初的目的也就是監視追查紀錄),那麼訊號的收受是否留有空間,這也正是世界各國對中國製具有通訊紀錄功能的產品存有疑慮之處,也是所謂的資安風險。
三、資通安全是國家安全。
我們再退到萬步來看,當全世界(不只美國,也不要純以美中貿易戰來看)的各種應對及禁止行為在在說明這樣的風險,台灣政府公部門至少應該好好查清楚、列明危險等級、處理方式,特別是《資通安全管理法》已通過一年了,針對基礎設施(infrastructure)的全面確認判讀,這是應為而未竟。
四、鼓勵台灣智慧技術產業。
在中國的低價競爭下,台灣原本的監視器技術優勢會受到壓制,台灣廠商也不願意再進行研發,競爭差距會變大。在此狀況下,至少我國從公部門可以開始做的是,鼓勵本土有技術能力的廠商進場,提升產業誘因,鼓勵台灣的智慧技術產業發展。
➡ 延伸資料:
☑「一家「海康威視」打趴台灣整個產業」今週刊 2018-12-26:https://pse.is/KRY8F
☑「中國引起各國高度警覺,台灣能不對中國嚴格戒備嗎?」時代力量立法院黨團 2019-04-15:https://pse.is/LEPFX
☑「中國資安疑慮,入侵高雄校園?!」 2019-09-20:https://pse.is/J6LFV