Canada beveelt camerafabrikant Hikvision alle activiteiten te staken
Canada heeft camerafabrikant Hikvision bevolen om alle activiteiten in het land te staken en de Canadese tak van het bedrijf te sluiten. Volgens de Canadese regering vormt de bedrijfsvoering van Hikvision Canada een bedreiging voor de nationale veiligheid van het land. Mélanie Joly, de Canadese minister voor Industrie, laat via X weten dat de beslissing is gebaseerd op informatie en bewijs van de Canadese inlichtingendiensten. Dit bewijs is echter niet openbaar gemaakt.
Naast deze maatregelen mogen overheidsinstanties geen Hikvsion-producten meer aanschaffen en gebruiken. Tevens zal er onderzoek worden uitgevoerd om ervoor te zorgen dat er geen Hikvision-producten binnen de overheid meer in gebruik zijn. "De Canadese overheid verwelkomt buitenlandse investeringen, maar we zullen nooit onze nationale veiligheid in gevaar brengen", aldus Joly.
In een reactie laat Hikvision Canada weten dat het zich niet in de beslissing kan vinden en dat die een feitelijke basis, procedurele eerlijkheid en transparantie mist. De beslissing lijkt volgens de camerafabrikant te zijn ingegeven door geopolitieke spanningen en een ongerechtvaardigd vooroordeel tegenover Chinese bedrijven. Tevens stelt Hikvision dat het geen bewijs van de Canadese overheid heeft ontvangen waarop de beslissing gebaseerd zouden zijn.
In Nederland is Hikvision meerdere keren het onderwerp van gesprek geweest en gekeken of de camera's moeten worden verwijderd. Het ging onder andere over het gebruik van de camera's door NS. De Australische overheid besloot beveiligingscamera's van de fabrikant in 2023 te verwijderen.
Dergelijke beschuldigingen tegen Hikvision komen dus niet zomaar uit de lucht vallen. Als dit al in China wordt gedaan door het bedrijf, wat halen ze dan nog uit in de Westerse landen?
Tientallen Nederlandse gemeenten gebruiken beveiligingscamera's Hikvision en Dahua
dinsdag 8 februari 2022, 15:19 door Redactie
https://www.security.nl/posting/742301/Tientallen+gemeenten+gebruiken+camera%27s+Hikvision+en+Dahua
Kaart van Nederland
De locaties van de omstreden Hikvision- en Dahua-camera's die in Nederland via het internet kunnen worden benaderd
https://nos.nl/artikel/2416279-omstreden-chinese-camera-s-hangen-overal-in-nederland-ook-bij-ministeries
De via de Shodan zoekmachine gevonden gemeentelijke camera's zijn maar een klein deel van alle Hikvision- en Dahua-camera's in Nederland. Er zijn zeker zo'n 25.000 Hikvision- en zo'n 10.000 Dahua-installaties aan het Nederlandse internet gekoppeld. Achter één zo'n installatie kan een veelvoud (!) aan Chinese camera's zitten.
Waar moeten de beelden naartoe? Dan staan we alleen dat verkeer toe. Updates handmatig.
Tientallen Nederlandse gemeenten gebruiken beveiligingscamera's Hikvision en Dahua
dinsdag 8 februari 2022, 15:19 door Redactie
https://www.security.nl/posting/742301/Tientallen+gemeenten+gebruiken+camera%27s+Hikvision+en+Dahua
Kaart van Nederland
De locaties van de omstreden Hikvision- en Dahua-camera's die in Nederland via het internet kunnen worden benaderd
https://nos.nl/artikel/2416279-omstreden-chinese-camera-s-hangen-overal-in-nederland-ook-bij-ministeries
De via de Shodan zoekmachine gevonden gemeentelijke camera's zijn maar een klein deel van alle Hikvision- en Dahua-camera's in Nederland. Er zijn zeker zo'n 25.000 Hikvision- en zo'n 10.000 Dahua-installaties aan het Nederlandse internet gekoppeld. Achter één zo'n installatie kan een veelvoud (!) aan Chinese camera's zitten.
Tot op dit moment is er geen backdoor gevonden en de conclussie was bij laatste onderzoeken dat het risico bestond dat dit via een software update erin later kon worden gezet. Beetje een kul argument gezien alle software dat updates ontvangt een backdoor kan krijgen. Dat kan net zo goed je TV, koelkast of wasmachine zijn sinds die dingen tegenwoordig ook smart moeten draaien althans volgens fabrikanten dat is.
Ene kant klagen we over dat iot apparaten 5 jaar lang ondersteund moeten worden qua updates andere kant vormt het een risico.
En nog leuker is hoeveel camera's denken ze dat dezelfde chipset gebruikt en componenten. Kan je nu al vertellen die verschillen per productie run al heel vaak laat staan per model nummer. Als je ooit te maken hebt gehad of hebt verdieping in fysieke manipulatie voor data forensisch onderzoek weet je dat je niet gek op moet staan te kijken als je ineens merk namen zoals Apple onderdelen tegenkomt in een random usb stick of componenten van SSD's. Die komen namelijk heel vaak uit de zelfde fabrieks keten aan de andere kant van de werelen en worden hergebruikt in andere apparatuur dat niks te maken heeft met het product waar het oorspronkelijk voor bedoeld was.
Dat is een van de research fields waar men nu op focust bij opsporing diensten om het kraken van duurdere mainstream apparaten door componentent te zoeken in slechter beveiligde producten op de markt maar wel een paar overeenkomstige fysieke componenten zodat je verder kunt reverse engineeren zonder last te hebben van nog ene beveiliging laag middels software behalve generieke firmware en hopelijk na langere tijd een zwakheid kan benutten in de mainstream apparaten om rondom encryptie of inlog beveiliging heen te werken voor oplossen van cold of actieve cases waar men fysiek een apparaat heeft maar geen toegangsleutel.
Dus dat wetende kunnen we net zo goed stellen dat *alle* camera's ongeacht merk onveilig zijn tot we de chipsets en componenten individueel hebben bekeken op zwakheden. Is dat realistisch qua controle nee tuurlijk niet maar zelfde gaat om uitsluiten van één merk wetende dat er plausibel tientallen andere hetzelfde doen en wel op de markt mogen blijven. Niks anders dan vals gevoel van veiligheid kweken.
Gewoon toegang afschermen via ingebouwde configuratie en erboven een losse firewall en je bent klaar zo moeilijk is het niet. Dan kan er nog een backdoor inzitten als jou firewall de communicatie blokkeert houdt het de effectiviteit al heel gauw op.
Dergelijke beschuldigingen tegen Hikvision komen dus niet zomaar uit de lucht vallen. Als dit al in China wordt gedaan door het bedrijf, wat halen ze dan nog uit in de Westerse landen?
https://www.amnesty.nl/actueel/nederlands-bedrijf-levert-surveillancetechnologie-aan-china
Dus ja we kunnen wel vingertjes gaan wijzen maar we doen of deden er vrolijk aan mee
En zo gaat het altijd iets vormt een risico maar ondertussen past men tunnelvisie toe op de risico analyse.
https://www.amnesty.nl/actueel/nederlands-bedrijf-levert-surveillancetechnologie-aan-china
Dus ja we kunnen wel vingertjes gaan wijzen maar we doen of deden er vrolijk aan mee
En zo gaat het altijd iets vormt een risico maar ondertussen past men tunnelvisie toe op de risico analyse.
Dat is overigens een heel ander soort hoofdstuk dat op een andere manier moet worden opgelost.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?