中國駭客利用監控工具Nezha攻擊網頁伺服器，臺灣受害最嚴重 2025-10-13 iThome 新聞來源： https://www.ithome.com.tw/news/171636 資安業者Huntress揭露中國駭客鎖定網頁伺服器的攻擊行動，引起多家國內媒體關注，原因不光是駭客運用罕見的開源工具犯案，還有受害的伺服器臺灣最多，有多達22臺 中國駭客發動網路攻擊的活動頻頻傳出，但上週末資安業者Huntress揭露濫用開源監控工具「哪吒（Nezha）」攻擊網頁伺服器的活動，引起臺灣資安圈不少關注，原因是受害主機大部分都集中在亞太地區，而且，臺灣災情最為嚴重，有22臺系統被入侵。 另一方面，先前多起重大資安事故也出現後續進展，其中又以Oracle E-Business Suite（EBS）零時差漏洞攻擊CVE-2025-61882事故最受到矚目，最早向新聞媒體透露的Google終於公布調查結果，透露整起攻擊行動至少從7月開始，但隔了一個月才開始利用近日公布的零時差漏洞。 【攻擊與威脅】 開源工具Nezha遭中國駭客濫用，臺灣有22臺系統受害，攻擊者可藉此在網站植入後門Ghost RAT 為了迴避資安系統的偵測，駭客利用公開、合法的工具從事攻擊，幾乎可說是常態，而且駭客還會尋找鮮少被濫用的工具來犯案，以防相關手法被識別出來。 資安業者Huntress揭露中國駭客鎖定網頁伺服器的攻擊行動，他們利用事件記錄中毒（Log Poisoning，也稱做Log Injection）的攻擊手法，意圖部署名為中國菜刀（China Chopper）的Web Shell，進而透過網頁應用程式滲透測試工具AntSword控制網頁伺服器，然後他們再濫用另一款開源監控工具「哪吒（Nezha）」，從而在受害主機執行命令。根據調查結果，超過100臺網頁伺服器可能受害，而且臺灣受害主機數量最多，有22臺，日本、韓國、香港也出現災情。Huntress指出，這是首度看到有人濫用Nezha從事網路攻擊的情況。 這起事故最早可追溯至今年8月，針對攻擊行動發生的過程，Huntress指出駭客鎖定存在弱點且能透過網際網路存取的網頁應用程式而來，其中一起是針對資料庫管理介面phpMyAdmin而來，該網頁伺服器採用了預設的phpMyAdmin組態，無須通過身分驗證就能存取。一旦駭客存取了管理介面，他們就會將語言設置為簡體中文，隨後存取伺服器的SQL查詢介面，並下達SQL命令，利用事件記錄中毒手法，藉由phpMyAdmin與MariaDB部署與執行Web Shell。 Google公布企業Oracle EBS系統遭駭調查報告，濫用的漏洞可能不只CVE-2025-61882 這個月初，Google向多個新聞媒體揭露多家企業可能面臨一波勒索軟體攻擊的事故。有個附屬於勒索軟體組織Clop的團體寄敲詐信給多家企業主管，聲稱他們竊取這些公司放在ERP軟體Oracle E-Business Suite（EBS）的敏感資料，Google威脅情報團隊（GTIG）與資安應變顧問單位Mandiant已介入調查。幾天後，Oracle發布部落格文章，起先表示得知有用戶收到敲詐信，初步調查認為攻擊者可能利用今年7月揭露與修補的一批漏洞，之後又改口說是新揭露的漏洞CVE-2025-61882可能遭濫用，並為其發布資安公告，令外界搞不清楚狀況。 最先揭發此事的Google威脅情報小組（GTIG）與事故應變部門Mandiant，10月11日終於發布正式調查報告！他們的分析指出，Clop（Cl0p）的敲詐其實是幾個月鎖定EBS用戶環境入侵的後續，而且，早在8月9日，攻擊者就可能濫用零時差漏洞對付EBS用戶，而且還有其他可疑的活動，最早可追溯至7月10日。這兩個資安單位警告，在部分案例當中，攻擊者成功從受害組織竊取了大量資料。 < Previous News Next News >

< Back 114.0426【初階班】第一梯次 安防工程專技人員培訓檢定課程 景文科技大學 電資館七樓 E710教室（新北市新店區安忠路99號） 114年4月26日（六）

台灣智慧安防工業同業公會 公會講座活動花絮 請點選相簿放大觀看 S__59613410 S__59613409 69764 S__59613410 1/12 DSC_3429 HS (112) 20201020_201020_6 DSC_3429 1/46 2020/12/18 邊緣 AI 運算於行動影像之應用 & 資安議題下的後海思時代、區塊鏈下談安防產業上鏈 講座 IMG_9185 IMG_9188 IMG_9181 IMG_9185 1/7 110.3.26 S__14557246 S__14557251 110.3.26 1/6 2021/03/26 AIoT安防新視界 講座 2021/06/23 智慧安防AI技術落地應用 線上研討交流會 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 人工智慧與深度學習於視訊監控之十八項武藝講座 HS (112) HS (111) 20201020_201020_6 HS (112) 1/46 2020 1016 公會辦公室啟用酒會 擷取 IMG_9188 IMG_9185 擷取 1/8 2020 1023 崛起於危機之中-談企業情境規劃講座 2021/07/22 線上第一屆第一次安控設備 資安技術暨介接標準委員會 2021/07/29 SECPAAS資安服務模式 與企業資安評級介紹 2021/08/11 門禁系統廠商意見徵詢 線上會議 2021/08/12 SECPAAS資安工具服務 線上體驗活動 2021/08/20 第一次門禁系統資安標準 制定草案小組 2021/09/03 第二次線上門禁系統資安 標準制定草案小組 2021/09/16線上 安防AI技術 與解決方案實務應用交流會 2021/09/23 第一次門禁系統資安標準 制定專家審查會議 2021/09/24 興創知能產業AI落地實證 與擴散會議 2021/10/04 昇銳電子產業AI 落地實證與擴散會議 2021/10/20 第二次門禁系統資安標準 制定專家審查會議 2021.1223安防產業趨勢發展研討會 謝君偉-人工智慧新發展應用於安防之未來 趙緝熙-建構資安的個資問題探討 2021.1223安防產業趨勢發展研討會 1/11 2021/12/23 安防產業趨勢發展研討會 1/10 2022/06/10 門禁系統資安標準認證-輔導 講座【第一部：一般要求】 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image 1/4 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600

第一屆第九次理監事聯席會議紀錄 2022年5月26日 上午6:00:00

< Back 第一屆第一次安控設備資安技術暨介接標準委員會 (線上會議) Microsoft Teams 線上會議 2021 0722 15:00~16:00 本會於110年7月22日(四)舉辦第一屆第一次 安控設備資安技術委員會暨安控設備介接標準委員會(線上視訊會議) 經濟部工業局於110年底完成「門禁資安標準制定」，本會積極與委辦單位資策會資安科技研究所接洽，爭取門禁設備廠商參與專家會議，共同制定門禁資安標準；經本會理監事會議討論通過責請安控設備資安技術委員會及安控設備介接標準委員會共同籌組「門禁資安標準制定草案小組」，以凝聚產業意見，加速完成門禁資安標準制定。 < Previous News Next News >

量子運算將成 AI 之後的 Big Thing， 先解決網安問題成為關鍵前提 2023-06-20 TechNews 科技新報 新聞來源： https://technews.tw/2023/06/20/after-artificial-intelligence-quantum-computing-could-be-the-next-big-thing/ 量子運算的最終效益就是解決當前經典電腦所無法解決的複雜問題，亦即實現「量子霸權」的目標。儘管每個人都看到了量子市場即將到來的必然趨勢，但卻沒人確定它會在什麼時候，以什麼方式成為 big thing。 另一個可以確定的，莫過於網路安全威脅，因為強大的量子電腦最終能輕鬆破解當前主流的資料加密技術。當前許多國家的情報機構莫不想盡一切辦法掌握這樣的優勢，不久未來他們將可能構成更大的網路安全威脅。 量子運算將推動 AI 發展 量子運算已被炒作了幾十年，但就在各種支援生成式 AI 的應用大行其道之際，量子運算的殺手級應用到底為何仍不清楚。但可以確定的是，研究人員莫不希望量子運算能夠成為推動 AI 或機器學習的強大助力。今年 4 月，莫德納（Moderna）宣布將與 IBM 合作，利用後者量子電腦和生成式 AI 技術來推進 mRNA 疫苗的研發與接種。 事實上，量子電腦在許多問題的解決上不見得比經典電腦好，所以目前業界傾向量子電腦與傳統基於電子的超級電腦能夠以共存的模式齊頭並進。量子電腦會偏向解決像是氣候變遷建模等最緊迫的問題。 量子運算市場的下一個里程碑：量子優勢/霸權 根據實例，量子電腦可以解決經典電腦所無法解決的複雜數學問題，但這些問題是為了展現量子電腦能力而特別加以合成設計的。量子電腦也因此在若干領域以上述類似方式實現了所謂的量子霸權 （Quantum Supremacy） ，但卻不是以一種能引發客戶商業興趣的方式實現的。 AWS Bracket 量子雲端服務總經理 Richard Moulds 表示，量子產業的下一個里程碑被稱之為量子優勢，也就是量子電腦能以比經典電腦更快、更便宜且更低功耗等優勢來解決具有商業利益問題的時候。儘管沒人確定量子電腦何時能穩居商業優勢地位，但有可能接下來三、四年（最久不超過 10 年）裡，在該電腦強大到足以破解公共金鑰基礎架構（PKI）之前就能實現。 在超級電腦上運行量子軟體成趨勢 市調公司 Gartner 預測，到了 2025 年，排名前 50% 的汽車製造商、銀行及製藥公司將積極參與受量子啟發的各項計畫。NvIdia 量子運算軟體資深產品經理 Sam Stanwyck 表示，該公司支援的許多研究莫不都在搞清楚量子電腦首先將在哪些領域發揮助益。雖然該公司在任何涉及模擬化或生物的應用中看到運用量子運算最積極活躍的狀況，但沒人能清楚地指出量子電腦的第一個殺手應用會是什麼。 Nvidia 在 3 月舉行的 GTC 開發人員大會上指出，該公司正在與研究人員合作開發用於量子運算模擬的程式設計軟體，而且策略上會在當今超級電腦上運行專為量子電腦設計的原型軟體。對此，Nvidia 便與以色列新創公司 Quantum Machines 合作，在 AI 晶片構建的超級電腦上運行用於量子物理學的演算法。事實上，一些量子運算新創公司也採取了類似的做法，亦即在超級電腦上測試量子軟體。 ▲ Quantum Machine 新創公司的從室溫到低溫之 Quatum 控制與電子設備解決方案。（Source：Quantum Machine） 運用量子運算的新國家級網安攻擊，「先儲存再破解」成為量子攻擊經典手法： 當前關於量子電腦最令人擔憂的負面應用與影響，莫過於一些國家正在大力投資建造量子電腦，並且透過秀爾演算法（ Shor’s algorithm），將量子電腦專門設計成破解 RSA 公鑰密碼學的利器。雖然目前量子電腦還沒有強力到足以破解 RSA 的地步，但根據 Gartner 一項研究指出，到了 2029 年，隨著量子運算的持續推展，傳統非對稱加密技術將會變得不安全。 ▲ 秀爾演算法提出者 Peter Shor 教授。（Source：YouTube） 據了解，當前已有許多不法分子（尤其是某些國家的情報機構）開始獲取並儲存被加密保護的敏感性資料，等到未來量子電腦強大到足以破解 RSA 加密機制之後，便能將這些預先儲存的資料進行破解。當前網路安全分析師將這稱威脅稱之為「先儲存再破解」（Store Now, Decrypt Later）。 美國聯手科技巨頭推動 PQC 專案 2016 年，美國國家標準技術研究院（NIST）開始研究開發新的抗量子演算法（Quantum-Resistant Algorithms），並預計 2024 年發布所謂的「後量子密碼學」（Post-Quantum Cryptography，PQC）標準。包括 IBM、AWS、微軟、思科、戴爾、Vmwaren 與 SandboxAQ，以及 Cryptosense 和 Crto4A Technologies 兩家新創皆參與了 PQC 專案。 ▲ NIST 後量子密碼學專案主頁。（Source：NIST） 隨著 PQC 標準正式發布後，網安公司可以根據該標準開發新產品，屆時美國企業也會被要求將各種軟體升級支援 PQC 加密。2019 年，Google 和 Cloudflare 合作測試 PQC 技術。今年 3 月，Cloudflare 開始向客戶免費提供 PQC 服務，以提升自家網站的網路安全。 量子電腦和機器學習出現協同效應，兼具經典與量子的混合運算成主流 2022 年 11 月，IBM 推出 433 量子位元的量子電腦，比 2021 年大 3 倍。該公司預計 2025 年目標上看 4000 量子位元。至於 Google 則預計 2029 年將打造 100 萬量子位元的量子電腦，並標榜能可靠運算且不出錯。 Gartner 分析師 Mark Horvath 預計，量子電腦和機器學習之間將出現良好的協同運作效應，但在大多數情況下，量子電腦在機器學習模型之訓練上的效能反而不及傳統超級電腦。所以目前會出現結合經典運算和量子運算的混合式運算。對此，企業不應將量子電腦視之為無所不能的超級電腦，而是更擅長優化的利器。 雲端巨頭紛紛推出量子運算即服務 如今，AI 在新創公司 OpenAI 的引領下，締造了全球為之瘋狂的生成式 AI 風潮。但反觀量子運算新創公司卻遲遲未產生出一個能創造顛覆性殺手級應用及世紀風潮的領導者。再者，雖然風投資金持續流向新創量子運算公司，怛包括 D-Wave、Rigetti、IonQ 及 Quantum Computing 等上市量子運算公司的業績卻持續表現不佳卻出現巨額虧損。 量子運算最初只會在政府研究實驗室和雲端運算資料中心出現，畢竟沒有多少公司能夠負擔得起動輒數百萬美元的量子電腦部署成本。有鑑於此，Horvath 預計，許多美國公司會嘗試透過雲端運算巨頭提供的量子運算即服務（quantum-as-a-service）作為使用該運算的切入點。 Horvath 進一步指出，每個雲端服務供應商（包括 IBM、Google 及微軟）不是都有量子運算合作夥伴，就是正在建立自己的合作夥伴。今年 5 月，IBM 宣布與芝加哥大學及東京大學建立新的合作夥伴關係，共同從事量子運算開發之研究。至於 Nvidia 則與德國尤利希超級運算中心（Julich Supercomputing Centre）及慕尼黑的 ParTec 公司合作，共同推動經典/量子混合運算實驗室專案（hybrid classical-quantum computing lab project），進而將經典超級電腦與量子加速器連接起來。 After Artificial Intelligence, Quantum Computing Could Be The Next Big Thing （首圖來源： Nvidia ） < Previous News Next News >

友會互動與產業交流 理監事會議 講座花絮 展會活動照片 會員服務與交流 友會互動與交流 資訊室專員許勝發(左) 與本會秘書長李豐榮 2023-5- 22 拜訪台北市議會 台北市議會目前採用IP攝影錄影系統，設有中央監控中心，今年內維護保養裝修時會考慮採用有CNS16120資安標準的設備。 法警長傅家祥(右) 與本會秘書長李豐榮 2023-5-19 拜訪宜蘭地方法院 法警長傅家祥表示：今年內再有採購案時，會將物聯網資安標準納入採購規範。 台灣智慧建築協會副理事長黃健瑋(中) 與本會秘書長李豐榮與主任高淑茹 2022-9-15 拜訪台灣智慧建築協會 建請黃健瑋副理事長將智慧建築安全監控系統加分項(加註): 採用物聯網資安標準 -CNS16120影像監控系統資安標準及門禁系統資安標準。 宇泰工程顧問公司張文欽執行副總(中) 與本會秘書長(左) 2022-9-12 拜訪宇泰工程顧問有限公司 本會建請宇泰工程顧問有限公司採用物聯網資安標準 新北市政府警察局資訊室主任周哲民(右) 與本會秘書長李豐榮 2022-7-1 拜訪新北市政府警察局資訊室 新北市政府警察局資訊室主任周哲民 對於物聯網資安標準深表認同。 富邦金控資安長蘇清偉(左) 與本會秘書長李豐榮 2022-6-17 拜訪富邦金融控股(股)公司 富邦金控資安長蘇清偉表示，將轉知集團總務採購部門， 將物聯網資安標準納入優規項目。 本會秘書長李豐榮 與台灣鎖業暨五金發展協會執行秘書周淑娟(右) Secutech 2022-4-27 台灣鎖業暨五金發展協會 Secutech 2022-4-27展會期間 協請台灣鎖業暨五金發展協會執行秘書周淑娟向會員推廣物聯網資安標準。 台灣智慧建築協會溫琇玲理事長(右2) Secutech 2022-4-28 台灣智慧建築協會 Secutech 2022-4-28 向台灣智慧建築協會溫琇玲理事長遊說，將物聯網資安標準產品納入智慧建築採購案加分選項。 左起：本會祕書長李豐榮、台灣E化資安分析管理協會理事長王旭正、昇銳電子盧濟豐處長、昇銳電子江康華特助 拜訪台灣 E 化資安分析管理協會 拜訪台灣E化資安分析管理協會理事長，敬邀出席本會第一屆第三次會員代表大會暨專題演講。 行政院辦公室主任吳武泰博士(左)、本會祕書長李豐榮 拜訪行政院災害防救辦公室 拜訪行政院災害防救辦公室主任吳武泰博士，商議產業與跨領域合作機會，消防系統如何應用安防先進技術來融合或有效地來整合，以輔助消防系統或設備上因法規的限制而無法做更有效或更前瞻的效果。 左起：本會祕書長李豐榮、資策會副主任陳桂苓、組長林木花、專案經理陳珈后及友達光電集團代表 資策會偕同友達集團代表洽談技術交流與企業媒合事宜 資策會偕同友達集團代表： 友達數位王守田副總經理、馮治華處長、黃立維特助、束文龍經理、王永迪經理、黎煥欣經理、簡銘廷高級工程師、陳昱至高級工程師等來訪， 洽談技術交流與企業媒合事宜。 左起：財團法人台灣建築中心副執行長林杰宏、本會祕書長李豐榮、秘書高淑茹 拜訪財團法人台灣建築中心 拜訪財團法人台灣建築中心副執行長林杰宏，安防為建築智慧化的8大指標之一，也可成為被認證的BEM系統上的元件，因此提高了安防在智慧建築上的地位。 左起：本會秘書高淑茹、祕書長李豐榮、車聯網協會秘書長鄭維晃、副秘書長張惠淑 2021-5-14 拜訪台灣車聯網產業協會 本會祕書長李豐榮於110年5月14日拜訪台灣車聯網產業協會秘書長鄭維晃，雙方就目前產業現況及互聯網、5G、AIOT等進行交流，並初步達成兩會締結聯盟之共識，攜手共創產業新發展。

< Back 第一次門禁系統資安標準制定專家審查會議 集思台大會議中心阿基米德廳 (台北市羅斯福路四段85號B1) 2021 0923 14:00~16:30 經濟部工業局看準生物辨識應用普及，將於年底前完成門禁系統資安標準制定，若門禁資安標準制定及後續認驗證完成後，政府將由標準申請成為我國CNS國家標準，並希望藉由國內大型政府採購納入資安標準，以政府採購帶動，擴散至企業設備採購，促使我國門禁系統產品全面提升資安品質。 < Previous News Next News >

平價智慧門鈴有破綻　韌體分析揭露物聯網安全隱憂 2024-06-24 新通訊 新聞來源： https://www.2cm.com.tw/2cm/zh-tw/headline/A19C4937D7A94648AF72468A9B49BAD6#google_vignette 智慧家庭應用在帶來便利的同時，聯網裝置本身的安全性也是一大隱憂。本文將檢視市面上平價智慧門鈴的安全問題，並說明韌體分析如何協助業者找出可能遭受攻擊的安全漏洞及弱點。 近期，一篇Consumer Reports上的文章[1]檢視了幾款安全性不佳、售價較低的影像智慧門鈴(Video Doorbell)。這些不同品牌的門鈴，其實都是使用Eken和Tuck兩家公司生產的電路板，只是經過重新包裝再銷售出去。文中還提到，未經授權的人員可輕易對已安裝好的門鈴進行重新配對，並且只需要輸入門鈴的序號，便可查看攝影機的螢幕截圖。 讀完文章後，筆者好奇該產品是否仍有其他還沒被發現的安全漏洞，於是決定自掏腰包買幾個這樣的門鈴來進行測試。本文說明拆解此類智慧門鈴所發現的問題，並透過是德科技(Keysight)為物聯網安全評估套件新加入的韌體分析功能，找出裝置可能遭受攻擊的安全漏洞。 初步調查 筆者在Amazon買了兩個CR文章介紹的同款Aiwit智慧門鈴，其中一個用來測試其正常運作狀態，另一個用來拆解研究。在測試新設備時，首先依照官方預設的步驟進行安裝，以便評估其攻擊面。 將第一個門鈴與Wi-Fi存取點(AP)配對後，實際驗證了CR文章提到的問題：只需要按住門鈴按鈕約八秒鐘，未經授權的人員確實可以將攝影機重新設成配對模式，接著就可以將門鈴連接到其他帳號。 確認這項漏洞後，再來快速掃描了TCP埠，但除了發現telnet埠正在監聽外，並未看到其他問題。於是，筆者試著連接到telnet埠，看看能否以root使用者身分登入，但是其設有密碼保護，而且無法用常見的預設密碼登入。初步調查完畢，接下來將拆開備用的第二個門鈴分析裡面的構造。 逐步拆解：由外到內的分析 拆開門鈴外殼後，筆者注意到的第一件事是，雖然產品使用兩顆3.7V可充電電池，但兩顆電池是並聯的，也就是說，只需要其中一顆電池即可讓門鈴運作。假如只使用一顆電池，那麼門鈴的電量就只能充到約54%，不過還是可以正常運作。 繼續進行拆解，打開內蓋，檢查裡面的電路板。裡面有兩片電路板，透過16針腳連接在一起。較小的電路板主要由一些LED、門鈴按鈕、一根天線和一個喇叭所組成；較大的電路板則包含兩個關鍵元件：主CPU(圖1紅色框線)和快閃記憶體晶片(圖1黃色框線)。 圖1　Aiwit門鈴的主機板，配有CPU(紅色框線)和快閃記憶體(黃色框線) 該產品的CPU是全志科技(Allwinner)的V837S，其為中國一家採用Arm架構的SoC晶片製造商，專門生產Android平板電腦、車載媒體系統和攝影機等產品。雖說找不到CPU的產品規格書有點可惜，但影響不大，筆者最感興趣的是快閃記憶體。此門鈴採用武汉新芯(XMC)的XM25QH128C 16MB串列快閃記憶體，推測設備韌體應該都儲存在該記憶體中。 根據該快閃記憶體的產品規格書，其採用SOP-8封裝和SPI通訊，非常適合用來萃取資料，使用者可完全跳過將晶片從電路板上拆下，然後放入專用外部讀取器的麻煩過程。如果要透過SPI與晶片進行通訊，至少需要五個針腳：資料輸入(Data In)、資料輸出(Data Out)、時脈(Clock)、晶片選擇(Chip Select)和接地(Ground)。如果要為晶片供電，還需要供電的第六個針腳。根據產品規格書，這些針腳分別是5、2、6、1、4，以及供電用的8(圖2)。 圖2　XMC XM25QH128C產品規格書的針腳排列圖示 只需要一片可透過USB與SPI裝置(例如Tigard或Buspirate)進行通訊的簡易I/O板，便可連接到這些針腳，接著導出晶片內的所有內容以進行分析。在未啟用寫入保護針腳(針腳3)的狀況下，甚至可覆寫晶片內容，或進行任何韌體修改。之所以未啟用針腳3，是因為裝置也使用此晶片來儲存配置資料。所有導出的晶片內容，最後會轉存成一個16MB檔案，裡面全是二進位資料和字串。 物聯網安全評估一探究竟 採用相關分析工具將可從導出的檔案中找出潛在的安全問題，例如是德科技於RSA 2024大會所發表，新加入物聯網安全評估套件(IoT Security Assessment)的「韌體分析」新功能(圖3)，便可透過前面導出的晶片內容，檢查智慧門鈴的安全性。 圖3　新韌體分析功能的截圖 將導出的檔案上傳到韌體分析工作區後，筆者發現該裝置很容易遭受多個已知嚴重CVE漏洞和常見配置弱點的攻擊，其中最顯著的弱點是，韌體中儲存了root使用者的預設密碼雜湊值(Hash)。 奇怪的是，它實際上使用了兩組不同的雜湊值，一個存在/etc/shadow檔，另一個存在/etc/passwd檔，並且雖然它們都是為root使用者配置的，但卻是兩組不同的密碼。就跟Eken並聯運作的電池一樣，筆者猜測其實只需要一組密碼。在使用IoT Security Assessment套件的韌體分析功能來萃取並下載這兩個密碼檔後，透過密碼破解工具程式來分析這些檔案，成功破解了密碼。不出所料，/etc/passwd檔案中的才是正確的密碼(圖4)。 圖4　透過telnet埠成功以root身分登入 值得注意的是，只要這款門鈴事先通過新的網路安全認證標章(Cyber Trust Mark)計畫[2](一項由FCC管理，基於NIST IR 8425準則[3]的自願性消費者物聯網網路安全標準)，上述這些問題，例如寫死的預設密碼、不必要的開放埠、未加密的資料儲存等，大部分問題都可檢測出來並提前解決。 藉由從晶片中擷取內容、將資料轉存成可讀的檔案，接著找出可被利用來攻擊裝置的安全漏洞，一系列安全評估動作將有助於確保物聯網安全，開發出能夠讓消費者安心使用的產品。 (本文作者為是德科技首席安全研究員) 參考資料 [1] https://www.consumerreports.org/home-garden/home-security-cameras/video-doorbells-sold-by-major-retailers-have-security-flaws-a2579288796/ [2] https://www.keysight.com/us/en/cmp/2023/cyber-trust-mark-event.html [3] https://csrc.nist.gov/pubs/ir/8425/final < Previous News Next News >

AI+5G力助省道及國道邁向安全、順暢的「智慧道路」（上） 2023-10-02 全球安防科技網 新聞來源： https://www.asmag.com.tw/showpost/12708.aspx 台61線西濱快速公路台中、彰化路段是公路總局重點疏運路線。 （圖片取材自公路總局官網） 交通部積極推動智慧運輸系統發展建設，不僅都市交通，現更擴及高快速路網與各級道路的增設並更新交控設備，包含升級擴充交控傳輸系統，並結合大數據分析及雲端技術等科技創新應用，整合各級道路即時路況資訊、均衡高快速路網內各級道路車流，期望有效緩解道路壅塞情形、提升車流運行效率與安全，進而優化全國交通管理。 對於貫穿全國的省道及高快速道路而言，肩負著提供國人南北行駛的重要交通路網，建構順暢的運輸品質、安全可靠的用路環境是重要使命。因應政府提升交通服務品質政策，交通部公路總局和高速公路局均針對轄下易肇事區域及多處重點疏運路段，積極利用高解析CCTV、AI影像辨識及5G傳輸技術等，啟動各種智慧交通管理計畫，達到即時車流與壅塞偵測，藉此改善行車順暢及安全。 省道建置「智慧路口」設備，有效提升旅行時間及號誌停等延滯 自2021年起交通部運輸研究所、公路總局、鐵道局即共同辦理「推動5G提升智慧交通服務效能與安全計畫」，公路總局計畫於2025年之前，於省道100處點位建置智慧路口（段）設備，總經費為2億3,600萬元。該計畫係於省道重要監控地點建置高解析度CCTV，藉由5G傳輸量大、低延遲特色，及利用AI影像辨識技術，蒐集路口或路段多種交通資訊、辨別與建立多種事件之類型與等級，進而產出因應策略與管理措施，如號誌控制、替代路徑導引⋯等。 公路總局交通管理組組長姜宇峰表示，截至目前已完成56處點位設備建置，經費執行約1億2,900萬元，主要分布在台61線新竹／台中／彰化路段、台9線蘇花改路段、台1線水底寮路段等重點疏運路線。相對於過去車流偵測資料，本計畫所得到資料更加有效整理，提供交通管理人員更全盤視角，以便能針對各種情況下達對應交通策略;另由AI自動蒐集資料及偵知事件，可取代過去由人力進行的路況監看作業，所節省的人力則可運用於擬定交控策略等更有價值的工作。 從建置效益來看，姜宇峰指出，以台61線新竹路段為例，該路段於2022年建置半觸動號誌控制系統，應用AI影像辨識判別支道有／無車狀態，並於支道無車情況下自動延長幹道綠燈分相秒數，觸發比例達7成以上。經現場測試，台61線（東大路口至天府路口）旅行時間及號誌延滯情形，半觸動號誌運作後，平均旅行時間由83.67秒下降至72.17秒，平均號誌延滯秒數由34.5秒下降至21.67秒，有效減少幹道旅行時間及號誌停等延滯秒數，提升車隊續進能力。 新科技輔助省道交通安全與管理 交通管理的宗旨就是要確保用路的行車安全，且在安全無虞下保持順暢。就公路總局對於新科技輔助交通運輸的安全與管理上，主要側重在三方面： 1、AI輔助資料蒐集及決策 實施交通管理策略的先決條件，需要大量且精確的交通數據做為判斷依據，傳統偵測技術（如VD、eTag等）僅可偵測路段車流量、車速、旅行時間等，可辨別車種亦有限（僅大車、小車）。現利用AI影像辨識技術，不僅可偵測路口轉向量及車隊停等長度等資訊，車種則可增加機車及自行車等。AI影像辨識可透過機器學習提升準確度，所蒐集資料據以制定最佳化交管策略（如號誌時制、車流導引路徑等），並可預測壅塞時段、路段等，大幅增進決策品質及效率。 2、應用手機網路信令（CVP）探偵技術 公路總局自2019年10月起試辦以CVP方式蒐集車流資訊，解決傳統偵測器（VD、eTag）不易涵蓋所有路段的問題。目前資料提供範圍涵蓋25條主要路線，雙向總長度約7,119公里，交通資訊涵蓋率自導入CVP後已從約62%大幅提升至約95%。 3、5G車聯網（車輛資訊回傳及交控中心應用） 因應未來自駕車等科技發展，如車輛均可聯網資訊回傳，公路總局可增加數據應用廣度，如應用於即時交通資料來源、車流分析、道路鋪面坑洞警示、長期數據交叉分析與建立預測模型等;外部則可視資料屬性，在保障隱私前提下，提供做為網路公開資料供加值服務。 < Previous News Next News >

監控產業被列入賴清德副總統五大信賴產業之一，與AI、半導體、軍工業、通訊並列 2023-08-26 工商時報 新聞來源： https://ctee.com.tw/news/policy/928532.html 民進黨總統參選人賴清德24日晚間接受電視專訪時指出，和平是建立在強化國家實力基礎上，即增進國防實力與經濟產業升級。為因應地緣政治變化，他提出半導體、人工智慧（AI）、軍工業、監控與通訊等5大信賴台灣產業。 因應地緣政治 賴清德主打五大信賴產業 工商時報 呂雪彗 2023.08.26 因應地緣政治變化，副總統賴清德25日透過臉書勾勒明確的經濟願景藍圖，在全球供應鏈重組過程中，將發展五大「信賴」產業，包括人工智慧（AI）、半導體、軍工業、監控產業與通訊產業等5產業入列，這五大產業均有「信賴」元素，台灣將成國際可信賴合作夥伴。 賴清德24日晚間接受電視專訪，首度拋出五大「信賴」產業概念，25日在其臉書進一步闡述。他指出，因應地緣政治變化，必須要提升整個國家實力，經濟產業的實力是關鍵，在全球供應鏈重組過程中，必須掌握時機，大膽地、持續地壯大台灣的科技和經濟。 五大「信賴」產業，賴清德競辦發言人郭雅慧說明，「信賴」指的是國際產業趨勢，在中美貿易戰後，民主陣營尋找「可信賴」供應鏈，例如台灣，延伸出所謂「信賴」供應鏈商機，這是美中角力延伸創造出來的產業新生態，相關政見9月也會在適當時機進一步闡述。 首先，人工智慧（AI）產業，賴清德說，這未來必然是改變全球生活最重要的科技，不會AI，就像現在不會用電腦一樣，政府應該讓人工智慧在台灣產業化。並且利用人工智慧，協助台灣的中小微型企業人工智慧化，也能夠因應2050氣候變遷，順利進行數位轉型、綠色轉型。 至於半導體，賴清德受訪時直言，台灣是半導體強國，讓所有台灣議題走到更高位置的國際議題化。他點出，台灣IC設計在全球市占率24.3％，佔全球第二；晶圓製造跟封裝測試市占逾50％，是世界第一；台灣先進製程的生產製造也超過9成，更樂見台積電全球研發中心坐落台灣，讓我半導體產業持續蓬勃發展，無論去日本、美國或是到歐洲投資，這都是台灣經濟力量的延伸。 軍工產業，他則說，蔡英文總統在任內追求國防自主，不管是勇鷹號教練機、潛艦，或是海巡署的艦艇，都是台灣自己製造。未來會延續國防自主路線，投入軍工產業發展。 至於安控產業，賴清德表示，因應中美貿易衝突，國際社會看到中國改變民主秩序企圖心，在紅色供應鏈受到打壓後，提供台灣非常重要的機會去加入安控供應鏈，未來應掌握機會，推動安控產業及伺服器等核心敏感產業。而通訊產業，無論是 5G、6G，尤其是低軌衛星，必須持續推動。 央大經濟系教授邱俊榮指出，政權有延續性，賴清德端出五大信賴產業，穿插蔡政府新舊政策，意味傳承及因應新局勢。5+2及6大核心戰略產業不包括半導體，但國際局勢變化讓半導體提升為國家安全戰略產業，不得不突出。至於AI/5G，6G/低軌衛星，都擺脫「想像」境界，走向成熟進化版。這五大產業兼顧延續性、優勢競爭力、國安及國際局勢等特性。 112.0826監控產業列入 賴清德主打五大信賴產業 - 工商時報 .pdf 下載 PDF • 147KB < Previous News Next News >

最新「水災智慧防災計畫」將投入30.9億元強化科技防災能量 2024-06-01 全球安防科技網 新聞來源： https://www.asmag.com.tw/showpost/12935.aspx? 行政院已核定新一期「水災智慧防災計畫」，5年將投入30.9億元經費，強化科技防災的能量。 水利署說明，新一期計畫延續前期並整合過去累積發展成果，運用智慧防救災量能及決策支援效能，推動數位化管理水災風險圖資及淹水潛勢圖資、整合應用創新技術（AI、5G、IoT、影像辨識）推動創新防災數位轉型，目前已提升未來6小時洪水預警準確度。 （上圖）移動式抽水機及防水擋板操作演練。 同時，擴大全國智慧防汛網絡監測站廣度及密度達1,200站及提升民間災防能力，並利用行動水情APP、LINE BOT迅速災情資訊傳遞至第一線防災人員，提升整體防災應變量能及建立社區、民眾對極端災害風險認知，以逐步完成足以因應大規模水災減傷亡、少災損目標。 水利署表示，目前已設置2,072部淹水感測器及水情影像雲端平台，收集8,769支攝影機影像，即時監看AI辨識淹水資訊;隨時可支援進行抽排水任務之大型移動抽水機共1,676部及1萬9,500多公尺防水擋板，預先部署於全台各地;易淹水地區成立544個水患自主防災社區及1,477位防汛護水志工，加上企業合作共同執行及協助在地水利防災工作，初步完成推動智慧防救災及基礎建立之階段任務。 水利署也強調，防災工作沒有最好只有更好，持續完備各項計畫，落實於防災整備行動，防汛期間降雨預報有其不確定性，也呼籲民眾要提高警覺，注意水溝蓋及排水孔清理，上下班出門前留意氣象預報及水情警戒資訊，避開淹水區域。可透過防災資訊服務網（ https://fhy.wra.gov.tw ）、行動水情APP及免付費電話0800-079-579等防災避災工具，多一分警戒，少一分災害。 < Previous News Next News >