ỦY BAN NHÂN DÂN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH THƠNG TIN SỞ KHOA HỌC VÀ CƠNG NGHỆ TRUNG TÂM AN NINH MẠNG CHƯƠNG TRÌNH KHOA HỌC VÀ CÔNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ NGHIÊN CỨU ĐÁNH GIÁ HIỆN TRẠNG VỀ BẢO MẬT THÔNG TIN CHO HỆ THỐNG CÁC THIẾT BỊ CAMERA THƠNG DỤNG CĨ KẾT NỐI INTERNET TẠI THÀNH PHỐ HỒ CHÍ MINH Cơ quan chủ trì nhiệm vụ: TRUNG TÂM AN NINH MẠNG – TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐẠI HỌC QUỐC GIA TP.HCM Chủ nhiệm nhiệm vụ: TS VÕ VĂN KHANG Thành phố Hồ Chí Minh - 2022 ỦY BAN NHÂN DÂN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÀNH PHỐ HỒ CHÍ MINH THƠNG TIN SỞ KHOA HỌC VÀ CÔNG NGHỆ TRUNG TÂM AN NINH MẠNG CHƯƠNG TRÌNH KHOA HỌC VÀ CƠNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ NGHIÊN CỨU ĐÁNH GIÁ HIỆN TRẠNG VỀ BẢO MẬT THÔNG TIN CHO HỆ THỐNG CÁC THIẾT BỊ CAMERA THƠNG DỤNG CĨ KẾT NỐI INTERNET TẠI THÀNH PHỐ HỒ CHÍ MINH (Đã chỉnh sửa theo kết luận Hội đồng nghiệm thu ngày ) Chủ nhiệm nhiệm vụ: TS VÕ VĂN KHANG Cơ quan chủ trì nhiệm vụ TS PHẠM VĂN HẬU TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TRUNG TÂM AN NINH MẠNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc TP.HCM, ngày 30 tháng 05 năm 2022 BÁO CÁO THỐNG KÊ KẾT QUẢ THỰC HIỆN NHIỆM VỤ NGHIÊN CỨU KH&CN I THÔNG TIN CHUNG Tên nhiệm vụ: “Nghiên cứu đánh giá trạng bảo mật thông tin cho hệ thống thiết bị Camera thơng dụng có kết nối Internet Thành Phố Hồ Chí Minh” Thuộc: Chương trình/lĩnh vực (tên chương trình/lĩnh vực): Kỹ thuật công nghệ Chủ nhiệm nhiệm vụ: Họ tên: Võ Văn Khang Ngày, tháng, năm sinh: 1971 Nam/ Nữ: Nam Học hàm, học vị: Tiến Sỹ Chức danh khoa học: Chức vụ: Công tác viên khoa học Điện thoại: Tổ chức: 0909927001 Nhà riêng: Fax: Mobile: 0909387027 E-mail: vankhang71@yahoo.com Tên tổ chức công tác: Trung Tâm An Ninh Mạng (CNSC), Đại Học Công Nghệ Thơng Tin, Đại Học Quốc Gia Thành Phố Hồ Chí Minh Địa tổ chức: E8.1 - Toà nhà E - Trường Đại học Công Nghệ Thông Tin - Khu phố 6, Phường Linh Trung, Quận Thủ Đức, TP.HCM Địa nhà riêng: E10, Khu Phức Hợp La Casa, Phú Thuận, Quận 7, TP.HCM Tổ chức chủ trì nhiệm vụ: Tên tổ chức chủ trì nhiệm vụ: Trung Tâm An Ninh Mạng (CNSC), Đại Học Công Nghệ Thông Tin, Đại Học Quốc Gia Thành Phố Hồ Chí Minh Điện thoại: 0909927001 Fax: E-mail: cnsc@uit.edu.vn Website: cnsc.uit.edu.vn Địa chỉ: E8.1 - Tồ nhà E - Trường Đại học Cơng Nghệ Thông Tin - Khu phố 6, Phường Linh Trung, Quận Thủ Đức, TP.HCM Họ tên thủ trưởng tổ chức: Phạm Văn Hậu Số tài khoản: 3713.0.9096571 Kho bạc: Kho bạc Nhà nước Quận Thủ Đức, TP HCM Tên quan chủ quản đề tài: Sở KHCN Thành phố Hồ Chí Minh II TÌNH HÌNH THỰC HIỆN Thời gian thực nhiệm vụ: - Theo Hợp đồng ký kết: hợp đồng số 95/2020/HĐ-QPTKHCN ký ngày 01 tháng 12 năm 2020, thời hạn thực từ tháng 12/2020 đến tháng 06/2022 - Thực tế thực hiện: từ tháng 12/2020 đến tháng 06/2022 - Được gia hạn (nếu có): - Lần từ tháng… năm… đến tháng… năm… - Lần … Kinh phí sử dụng kinh phí: a) Tổng số kinh phí thực hiện: 1.668.000.000 đồng, đó: + Kính phí hỗ trợ từ ngân sách khoa học: 1.668.000.000 đồng + Kinh phí từ nguồn khác: đồng b) Tình hình cấp sử dụng kinh phí từ nguồn ngân sách khoa học: Số TT Theo kế hoạch Thời gian Kinh phí (Tháng, năm) (Tr.đ) 03/2021 834 01/2022 663,5 Thực tế đạt Thời gian Kinh phí (Tháng, năm) (Tr.đ) 12/2021 834 744,9 05/2021 Ghi (Số đề nghị toán) Ngày 27/12/2021 Ngày 30/05/2022 c) Kết sử dụng kinh phí theo khoản chi: Đối với đề tài: Đơn vị tính: đồng Số TT Nội dung khoản chi Trả công lao động (khoa học, phổ thông) Nguyên, vật liệu, lượng Chi phí cơng tác ngồi nước Chi điều tra khảo sát Chi văn phòng phẩm, in ấn, photo, thông tin liên lạc Hội thảo khoa học Chi Hội đồng tư vấn Dịch vụ thuê nghiên Theo kế hoạch Tổng NSKH 1.491.467.700 Thực tế đạt 1.491.467.700 Nguồn khác - Tổng NSKH Nguồn khác 1.491.467.700 - 1.491.467.700 7.400.000 7.400.000 - 7.400.000 7.400.000 - 0 - 0 - 0 - 0 - 9.582.300 9.582.300 - 826.200 826.200 - 0 - 0 - 5.350.000 5.350.000 - 4.200.000 4.200.000 - 4.200.000 4.200.000 - 0 - 10 11 12 cứu Sửa chữa, mua sắm tài sản cố định Chi đồn Chi khác Chi phí Quản lý Tổng cộng 0 - 0 - 75.000.000 75.000.000 75.000.000 75.000.000 - 0 75.000.000 0 75.000.000 - 1.668.000.000 1.668.000.000 1.578.893.900 1.578.893.900 - Lý thay đổi (nếu có): Đối với dự án: Đơn vị tính: Triệu đồng Số TT Nội dung khoản chi Thiết bị, máy móc mua Nhà xưởng xây dựng mới, cải tạo Kinh phí hỗ trợ cơng nghệ Chi phí lao động Nguyên vật liệu, lượng Thuê thiết bị, nhà xưởng Khác Tổng cộng Theo kế hoạch Tổng NSKH Nguồn khác Thực tế đạt Tổng NSKH Nguồn khác - Lý thay đổi (nếu có): Các văn hành q trình thực đề tài/dự án: (Liệt kê định, văn quan quản lý từ cơng đoạn xét duyệt, phê duyệt kinh phí, hợp đồng, điều chỉnh (thời gian, nội dung, kinh phí thực có); văn tổ chức chủ trì nhiệm vụ (đơn, kiến nghị điều chỉnh có) Số TT Số, thời gian ban hành văn Tên văn Ghi Tổ chức phối hợp thực nhiệm vụ: Số TT Tên tổ chức Tên tổ chức đăng ký theo tham gia thực Thuyết minh Công ty Cổ Công ty Cổ phần phần Công nghệ Công nghệ Thông Thông tin tin VCyber VCyber Nội dung tham gia chủ yếu 1; 2.1; 2.2; 2.3; 2.4; 3.1; 3.2; 3.3; 3.4; 3.5; 3.6; 3.7; 4.1; 4.2; 5.1; 5.2; Sản phẩm chủ yếu đạt Ghi chú* - - Lý thay đổi (nếu có): Cá nhân tham gia thực nhiệm vụ: (Người tham gia thực đề tài thuộc tổ chức chủ trì quan phối hợp, khơng q 10 người kể chủ nhiệm) Số TT Tên cá nhân đăng ký theo Thuyết minh Tên cá nhân tham gia thực Võ Văn Khang Võ Văn Khang Dương Hiển Vinh Dương Hiển Vinh Sử Chấn Hoài Bảo Sử Chấn Hoài Bảo Trần Đắc Tốt Trần Đắc Tốt Võ Công Sơn Võ Công Sơn Trần Hữu Linh Trần Hữu Linh Lê Cao Cường Lê Cao Cường Cao Trương Duy Phan Công Tú Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Nguyễn Thanh Phong 10 Nội dung tham gia Sản phẩm chủ yếu đạt Ghi chú* 1; 2.1; 2.2; 3.5; 3.6; 3.7; 4.3; 5.1; 5.2; 2.1; 2.2; 3.1; 3.2; 3.6; 3.7; 4.3; 1; 2.1; 2.2; 3.5; 3.6; 3.7; 5.1; 5.2; 2.1; 2.2; 3.1; 3.2; 3.5; 3.6; 3.7; 5.1; 2.1; 2.2; 3.1; 3.2; 3.5; 3.6; 3.7; 4.3; 2.3; 2.4; 3.1; 3.2; 3.3; 3.4; 4.1; 4.2; 4.3 2.3; 2.4; 3.1; 3.2; 3.3; 3.4; 4.1; 4.2; 4.3; 5.2 2.3; 2.4; 3.3; 3.4; 4.1; 4.2; 5.2 2.3; 2.4; 3.3; 3.4; 4.1; 4.2; 5.1; 5.2 2.3; 2.4; 3.3; 3.4; 4.1; 4.2; 4.3; 5.1 - Lý thay đổi ( có): Tình hình hợp tác quốc tế: Số TT Theo kế hoạch (Nội dung, thời gian, kinh phí, địa điểm, tên tổ chức hợp tác, số đoàn, số lượng người tham gia ) Thực tế đạt (Nội dung, thời gian, kinh phí, địa điểm, tên tổ chức hợp tác, số đoàn, số lượng người tham gia ) Ghi chú* - Lý thay đổi (nếu có): Tình hình tổ chức hội thảo, hội nghị: Theo kế hoạch Số (Nội dung, thời gian, kinh phí, địa TT điểm ) Thực tế đạt (Nội dung, thời gian, kinh phí, địa điểm ) Ghi chú* - Lý thay đổi (nếu có): Tóm tắt nội dung, công việc chủ yếu: (Nêu mục 15 thuyết minh, không bao gồm: Hội thảo khoa học, điều tra khảo sát nước nước ngoài) Số TT 2.1 Các nội dung, công việc chủ yếu (Các mốc đánh giá chủ yếu) Xây dựng thuyết minh chi tiết đề tài Nội dung 1: Nghiên cứu đánh giá thực tiễn triển khai hệ thống CCTV TP.HCM Tiến hành nghiên cứu tổng hợp số liệu liên quan đến thị trường Camera Việt Nam Tp.HCM Thời gian (Bắt đầu, kết thúc - tháng … năm) Theo kế Thực tế đạt hoạch 12/2020 – 12/2020 – 01/2021 01/2021 03/2021 – 04/2021 03/2021 – 04/2021 Tiến hành thu thập phân tích thông tin liên quan đến triển khai CCTV giám sát xã hội hóa đại bàn Quận/Huyện Tp.HCM; Tiến hành khảo sát phân tích trạng triển khai hệ thống CCTV giám quan quản lý nhà nước địa bàn tp.HCM; 03/2021 – 04/2021 03/2021 – 04/2021 03/2021 – 04/2021 03/2021 – 04/2021 2.4 Phân tích chủng loại thiết bị Camera tiêu biểu để chuẩn bị cho việc đánh giá kỹ thuật 04/2021 – 05/2021 04/2021 – 05/2021 Nội dung 2: Nghiên cứu xây dựng phương pháp đánh giá an tồn thơng tin cho Camera Nghiên cứu chế hoạt động cấu trúc phần cứng, Firmware thiết bị Camera; 05/2021 – 07/2021 05/2021 – 07/2021 05/2021 – 07/2021 05/2021 – 07/2021 2.2 2.3 3.1 3.2 Nghiên cứu ứng dụng cấu trúc quản lý tập trung hệ thống CCTV; Người, quan thực Võ Văn Khang Sử Chấn Hoài Bảo Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Cơng Sơn Võ Văn Khang Sử Chấn Hồi Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn Trần Hữu Linh Lê Cao Cường Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn Trần Hữu Linh Lê Cao Cường 3.3 Nghiên cứu lỗi bảo mật phổ biến thiết bị Camera phương thức công thông dụng; 06/2021 – 07/2021 06/2021 – 07/2021 3.4 Nghiên cứu phân tích nguy công từ chối dịch vụ DdoS; 06/2021 – 07/2021 06/2021 – 07/2021 3.5 Nghiên cứu chuẩn ISO/IEC 27005 NIST 800-30 cho việc áp dụng thiết bị Camera; 08/2021 – 09/2021 08/2021 – 09/2021 3.6 Xây dựng mơ hình mơi trường thí nghiệm đánh giá thiết bị Camera 10/2021 – 11/2021 10/2021 – 11/2021 3.7 Thực đánh gia chủng loại thiết bị tiêu biểu triển khai Tp.HCM 10/2021 – 11/2021 10/2021 – 11/2021 12/2021 – 01/2022 12/2021 – 01/2022 12/2021 – 01/2022 12/2021 – 01/2022 12/2021 – 01/2022 12/2021 – 01/2022 Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn 02/2022 – 02/2022 – Võ Văn Khang 4.1 4.2 4.3 5.1 Nội dung 3: Tìm kiếm thơng tin thiết bị CCTV có lỗi mạng Internet Thu thập nghiên cứu báo cáo đánh giá IoT Camera liên quan đến Tp.HCM thông qua công cụ “Threads Intelligence” – Anomali Nghiên cứu đánh giá việc sử dụng cơng cụ dị quét tìm kiếm lỗi IoT Shodan, CenSys, FOFA giúp tìm kiếm nhận định lỗ hổng đơn giản việc cấu hình lỗi thiết bị Phát triển phần mềm kết nối API để phục thu thập thông tin lỗi IoT liên quan đến IP Việt Nam (Chi tiết kinh phí kèm theo) Nội dung 4: Tổng hợp đưa Khuyến cáo cho Tp.HCM Thực báo cáo nguy Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn Võ Văn Khang Dương Hiển Vinh Lê Cao Cường Cao Trương Duy Nguyễn Thanh Phong Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong Trần Hữu Linh Lê Cao Cường Cao Trương Duy Phan Công Tú Nguyễn Thanh Phong 5.2 ATTT thiết bị Camera hạ tầng CCTV Thành phố HCM; 03/2022 03/2022 Đề xuất khuyến cáo nhằm kiểm soát hạn chế vấn đề liên quan đến ATTT thiết bị Camera hệ thống CCTV người sử dụng Cơ quan quản lý nhà nước; Báo cáo tổng kết kết nghiên cứu đề tài 02/2022 – 03/2022 02/2022 – 03/2022 04/2022 – 05/2022 04/2022 – 05/2022 Sử Chấn Hồi Bảo Trần Đắc Tốt Phan Cơng Tú Nguyễn Thanh Phong Võ Văn Khang Sử Chấn Hoài Bảo Lê Cao Cường Cao Trương Duy Phan Công Tú Võ Văn Khang Sử Chấn Hoài Bảo Trần Đắc Tốt Dương Hiển Vinh Võ Công Sơn - Lý thay đổi (nếu có): III SẢN PHẨM KH&CN CỦA NHIỆM VỤ Sản phẩm KH&CN tạo ra: a) Sản phẩm Dạng I: Số TT Tên sản phẩm tiêu chất lượng chủ yếu Đơn vị đo Số lượng Theo kế hoạch Thực tế đạt - Lý thay đổi (nếu có): b) Sản phẩm Dạng II: Số TT Tên sản phẩm Phần mềm kết nối API với Shodan thu thập thông tin thiết bị Camera liên quan đến Việt Nam Mơ hình phịng thí nghiệm đánh giá thiết bị Camera Báo cáo thực trạng nguy ATTT đối hạ tầng kết nối Camera CCTV Tp.HCM Yêu cầu khoa học cần đạt Theo kế hoạch Thực tế đạt 1 1 1 Ghi - Lý thay đổi (nếu có): c) Sản phẩm Dạng III: Số TT Tên sản phẩm Yêu cầu khoa học cần đạt Theo Thực tế kế hoạch đạt Số lượng, nơi cơng bố (Tạp chí, nhà xuất bản) 1 Báo cáo khoa học hội nghị khoa học ICT2022 Hội Thảo Công Nghệ Thông Tin Và Truyền Thơng 2022 (ict2022.tbd.edu.vn) - Lý thay đổi (nếu có): d) Kết đào tạo: Số TT Cấp đào tạo, Chuyên ngành đào tạo Thạc sỹ Tiến sỹ Số lượng Theo kế hoạch Thực tế đạt Ghi (Thời gian kết thúc) - Lý thay đổi (nếu có): đ) Tình hình đăng ký bảo hộ quyền sở hữu công nghiệp: Số TT Kết Tên sản phẩm đăng ký Phần mềm tích hợp dị qt thiết bị Camera Theo kế hoạch Thực tế đạt Ghi (Thời gian kết thúc) 1 Tháng 01/2022 - Lý thay đổi (nếu có): e) Thống kê danh mục sản phẩm KHCN ứng dụng vào thực tế Số TT Tên kết ứng dụng Thời gian Địa điểm (Ghi rõ tên, địa nơi ứng dụng) Kết sơ Đánh giá hiệu nhiệm vụ mang lại: a) Hiệu khoa học cơng nghệ: - Đóng góp quản lý nhà nước địa bàn có tranh rõ nét thực trạng triển khai hệ thống CCTV Tp.HCM, có thực tiễn an tồn an ninh thơng tin cần quan tâm cách mức từ phía quan quản lý nhà nước trước trễ; - Đóng góp mặt ứng dụng triển khai phần mềm Việt Nam có khả phát hệ thống CCTV có lỗi cơng bố hạ tầng IoT, có khả dự đoán, đánh giá chủng loại thiết bị hành trình chuẩn bị đầu tư - Đóng góp q trình nghiên cứu ứng dụng thực tế sản phẩm thiết bị Camera đầu ghi thực tiễn Việt Nam b) Hiệu kinh tế xã hội: Hiệu kinh tế: Dễ dàng hiệu việc đánh giá, đưa tiêu chuẩn CCTV, tránh đầu tư nhầm, hiệu nghiêm trọng Hiệu xã hội: Doanh nghiệp cá nhân tham khảo sử dụng ứng dụng cho việc kiểm tra đánh giá hệ thống CCTV Có ý nghĩa tuyên truyền xã hội nguy an toàn hạ tầng CCTV lưu trữ đám mây cần có chế quản lý cho tài khoản để tránh việc thất thoát liệu - Cảnh báo: Khi có tượng ngẽn mạng cục bộ, liệu…, cần tiếp cận dịch vụ tư vấn từ hãng, đơn vị chuyên môn, nhà cung cấp dịch vụ Internet để khắc phục tìm ngun nhân, biểu hệ thống CCTV bị cơng sử dụng Bot mạng lưới để công DdoS 4.2.1.2 Đối với Doanh nghiệp cung cấp dịch vụ Trong phạm vi đề tài này, nhóm nghiên cứu đề cập đến hai loại doanh nghiệp cung cấp dịch vụ trung gian loại hình dịch vụ CCTV dịch vụ lắp đặt CCTV chuyển giao dịch vụ lắp đặt cho thuê hệ thống Loại hình thứ phổ biến nở rộ Việt Nam, đặc biệt Tp.HCM - Đại lý cung cấp dịch vụ lắp đặt trọn gói: Với loại hình có khoảng 150 ngàn doanh nghiệp đăng ký kinh doanh Chưa tính đến hộ kinh doanh cá thể nhiều cá nhân tự doanh khác Đây phận cần lưu ý tuyên truyền nhiều sau người sử dụng Vì lợi nhuận nên đa số đơn vị gợi ý tư vấn sử dụng sản phẩm dịch vụ chất lượng trôi không rõ nguồn gốc mà thân doanh nghiệp khơng nắm rõ kiểm sốt đầy đủ tính hay rủi ro gặp phải Đối với loại hình doanh nghiệp chúng tơi có khuyến cáo sau: o Cần lưu ý việc ký kết HĐ đại lý cung cấp lắp đặt thiết bị có nguồn gốc rõ ràng, kèm theo khuyến cáo, không lắp đặt thiết bị bị can thiệp mặt vật lý chỉnh sửa đến ứng dụng kèm so với phiên gốc nhà cung cấp khơng có u cầu đặc thù từ phía khách hàng; 406 o Có chế đào tạo kiểm tra kỹ thuật viên suốt trình cung cấp dịch vụ, có phận Cross Check CS – Chăm sóc khách hàng để kiểm tra chất lượng dịch vụ Đối với dịch vụ đám mây DNS động lưu trữ cần có cơng cụ quản lý rà soát thường xuyên để cảnh báo cho khách hàng có cố vấn đề kỹ thuật khác o Nắm bắt thông báo kịp thời đến khách hàng có thơng tin liên quan đến bảo mật ATTT thiết bị danh mục cung cấp trước, sau thời điểm có cơng bố - Doanh nghiệp phân phối cung cấp dịch cho thuê: Một số doanh nghiệp nhà phân phối cho nhãn hiệu Camera tồn cầu, cấp dịch vụ điện tốn đám mây cho ứng dụng liên quan Ngoài nhà cung cấp dịch vụ Internet Viettel hay VNPT, FPT, Gtel cung cấp dịch vụ cho thuế trọn gói bao gồm lắp đặt Camera chỗ, cung cấp công cụ quản lý nâng cao bao gồm dịch vụ đường truyền lưu trữ Cloud Trong tương lai dịch vụ thịnh hành tính tiện lợi chi phí hợp lý từ nhà cung cấp Dịch vụ nên khuyến cáo sử dụng đa số chuẩn hóa có đội ngũ nhân hỗ trợ chất lượng Tuy nhiên doanh nghiệp nhóm đề tài có số khuyến nghị sau: o Chỉ phân phối cung cấp sản phẩm dịch vụ minh chứng, kiểm chứng mặt chất lượng o Cũng Doanh nghiệp cung cấp dịch vụ lắp đặt, cần có chế đào tạo kiểm tra kỹ thuật viên suốt trình cung cấp dịch vụ, có phận QA kiểm sốt chất lượng, Cross Check CS – Chăm sóc khách hàng để tiếp nhận phản ánh chất lượng dịch vụ Đối với dịch vụ đám mây DNS động lưu trữ cần có cơng cụ quản lý 407 rà soát thường xuyên để cảnh báo cho khách hàng có cố vấn đề kỹ thuật khác o Cần xây dựng quy trình có chế xử lý lỗi kỹ thuật quy trình update vá, Firmware sản phẩm có lỗi sau có cảnh báo phát q trình vận hành hế thống o Cần có phận Testing xây dựng phịng thí nghiệm kiểm định khuyến cáo nhóm đề tài kể kiểm định thiết bị theo chuẩn bảo mật ISO/IEC 27005 NIST 800-30 trước đưa vào sử dụng hàng loạt 4.2.2 Khuyến cáo Cơ quan quản lý nhà nước Trong trình thực Đề tài “Nghiên cứu đánh giá trạng bảo mật thông tin cho hệ thống thiết bị Camera thông dụng có kết nối Internet Thành Phố Hồ Chí Minh” nhóm đề tài rút số nội dung nhằm gửi đến Cơ Quan Quản lý nhà nước địa bàn, cụ thể Sở Thông tin Truyền thông Tp.HCM Ủy ban nhân dân Quận/Huyện/TP địa bàn Các khuyến cáo chia làm nhóm nhóm khuyến cáo liên quan đến “Tăng cường biện pháp Quản lý nhà nước hành chánh” nhóm “Tăng cường quản lý nhà nước mặt kỹ thuật nghiệp vụ” hệ thống CCTV xã hội hóa địa bàn Tp.HCM Những khuyến cáo phân tích cân nhắc dựa số liệu thống kê, nhữ liệu thu thập hệ thống thu thập thơng tin tình báo IoT Shodan tương đương 4.2.2.1 Các biện pháp tăng cường quản lý nhà nước hành chánh - Cần có việc thống kê rà soát đến khu phố tình hình triển khai hệ thống CCTV địa bàn Thành phố, điều cho thấy rõ quy mô số lượng chủng loại CCTV thực tế so với số 76 ngàn Cameras theo báo cáo sơ gần Sự chênh lệch số lượng thống kê 408 theo số địa phương cho thấy không đồng thiếu sót cơng tác thơng kê báo cáo - Cần có thơng tin liên kết quan quản lý chuyên môn Bộ TTTT, Bộ Tài Chính (Hải quan) Bộ Cơng thương để nắm rõ chủng loại nhãn hiệu hàng hóa liên quan đến thiết bị IoT nhập phân phối Việt Nam Điều cho phép quan quản lý nhà nước nhanh chóng đánh giá nguy lỗi, lỗ hổng bảo mật nguy khác phát hiện, có dính cảnh báo Hình 4.5 Tỷ lệ nhãn hàng thị trường Việt Nam - Cần có phương thức truyền thơng vấn đề quản lý vận hành hệ thống CCTV đến đơn vị cá nhân sử dụng dịch vụ, chương trình truyền hình, phóng chuyên mục CCTV, việc quan trọng ý thức người sử dụng nâng cao, việc hạn chế rủi ro sử dụng vận hành CCTV có tác dụng thực tiễn 409 - Cần có khóa đào tạo nghiệp vụ dành cho doanh nghiệp lớn tài liệu hướng dẫn Ngồi tổ chức trung tâm hỗ trợ Quốc gia Thành Phố vấn đề Hoặc có cổng thông tin tổng đài hỗ trợ Đối với Tp.HCM đưa vào Trung tâm 1022 nhánh xử lý hỗ trợ cố Thiết bị IoT ngày phổ biến tăng nhanh, việc quy hoạch có lộ trình cho việc cần thiết, Tp.HCM thực đề án Đô Thị Thông Minh 4.2.2.2 Các biện pháp tăng cường quản lý nhà nước kỹ thuật nghiệp vụ Hiện công tác tăng cường quản lý nhà nước lĩnh vực CCTV Thành phố HCM chủ yếu Sở TTTT chủ trì thực Tuy nhiên công tác hướng dẫn quản lý thực qua công tác thẩm định phê duyệt dự án chuyên ngành, văn khuyến cáo quan nhà nước Doanh nghiệp Quốc Doanh (điển hình cơng văn số 3288/UBND-KT ngày 8/08/2019 ban hành hướng dẫn tiêu chí kỹ thuật hệ thống Camera quan sát địa bàn Thành phố, theo tiêu chuẩn nguyên gia trị thực tiễn Việc quản lý địa bàn hệ thống CCTV xã hội hóa gần chưa đưa vào phạm vi kế hoạch hay chương trình cụ thể Đây mảng trống cịn chưa quan tâm Trên phương diện nhóm đề tài có số kiến nghị sau: - Đưa vào danh sách thiết bị đăng ký nhập thống qua đường ngạch hải quan; - Đưa vào bảng khuyến cáo danh sách thiết bị, sản phẩm chế tạo Việt Nam để sử dụng thực tế; - Cần có bảng tiêu chí kỹ thuật tối thiểu cho thiết bị trang bị cho dự án phủ xã hội hoá để chủ đầu tư tham khảo thực 410 - Cần có thống kê thông báo thường xuyên lỗi bảo mật cần lưu ý liên quan đến loại, nhãn hiệu mức độ nguy hiểm, danh sách cần cập nhật thường xuyên chuyên nghiệp Hiện lỗi nghiêm trọng gây hậu Trung tâm ATTT Bộ TTTT thông báo N o EDBI D 50441 CVE Title Product CVE-202136260 Hikvision Web Server Build 210702 - Command Injection Amcrest Cameras 2.520.AC00.18.R Unauthenticated Audio Streaming TBK DVR4104 / DVR4216 Credentials Leak NUUO NVRMini 3.9.1 'sscanf' Stack Overflow LG Smart IP Camera 1508190 Backup File Download Argus Surveillance DVR 4.0.0.0 - Directory Traversal NUUO NVRMini2 3.9.1 (Authenticated) Command Injection NUUO NVRmini upgrade_handle.php Remote Command Execution (Metasploit) VelotiSmart WiFi B-380 Camera - Directory Traversal Information disclosure in Netwave IP camera at get_status.cgi (via HTTP on port 8000) Information disclosure in Netwave IP camera at //etc/RT2870STA.dat (via HTTP on port 8000) NUUO NVRmini2 / NVRsolo Arbitrary File Upload Camera Hikvision 45296 CVE-20193948 CVE-20189995 CVE-201819864 CVE-201816946 CVE-201815745 45948 CVE-201815716 47188 44577 46960 45394 46340 45030 10 11 12 44794 CVE-201814933 CVE-201814064 CVE-201811654 CVE-201811653 CVE-201811523 411 Camera DVR NVR Camera LG DVR NVR NVR Camera Camera Netwave Camera Netwave NVR 13 45100 CVE-201810660 14 43142 CVE-20178221 15 16 42074 17 43146 18 41829 19 44048 20 44058 21 44061 CVE-20177921 CVE-20177852 CVE-20177851 CVE-20177461 CVE-201717761 CVE-201715236 CVE-201714335 23 39683 CVE-20165674 CVE-20158256 24 36603 CVE-20152098 25 36607 CVE-20152097 22 40200 26 35356 27 39195 CVE-20144880 CVE-20141849 Axis Network Camera - srv to parhand Remote Code Execution (Metasploit) Wireless IP Camera (P2P) WIFICAM - Remote Code Execution An Improper Authentication issue was discovered in Hikvision D-Link DCS Series Cameras Insecure Crossdomain D-Link DCS-936L Network Camera - Cross-Site Request Forgery Intellinet NFC-30IR Camera Multiple Vulnerabilities Ichano AtHome IP Cameras Multiple Vulnerabilities Tiandy IP Cameras 5.56.17.120 - Sensitive Information Disclosure Hanbanggaoke IP Camera Arbitrary Password Change NUUO NVRmini2 / NVRsolo / Crystal Devices / NETGEAR ReadyNAS Surveillance Application - Multiple Vulnerabilities Axis Network Cameras Multiple Vulnerabilities WebGate eDVR Manager 2.6.4 AudioOnlySiteChannel Stack Buffer Overflow WebGate eDVR Manager 2.6.4 Connect Method Stack Buffer Overflow Hikvision DVR - RTSP Request Remote Code Execution (Metasploit) Foscam IP Camera - Predictable Credentials Security Bypass 412 Camera Axis Camera Camera Hikvision Camera D-Link Camera D-Link Camera Camera Camera Camera NVR Camera Axis DVR DVR DVR Camera Foscam 28 35363 CVE-201410011 31 29516 CVE-20137204 CVE-20136023 CVE-20134985 32 27942 CVE-20134980 33 27402 CVE-20134975 29 30914 30 29959 34 38584 35 38582 CVE-20133963 CVE-20133690 38 26174 CVE-20133612 CVE-20133585 CVE-20133540 39 38583 CVE-20133539 36 29673 37 27753 TRENDnet SecurView Wireless Network Camera TVIP422WN 'UltraCamX.o cx' Stack Buffer Overflow (PoC) Conceptronic Wireless Pan & Tilt Network Camera - CrossSite Request Forgery TVT TD-2308SS-B DVR Directory Traversal Vivotek IP Cameras - RTSP Authentication Bypass AVTECH DVR Firmware 10171003-1009-1003 - Multiple Vulnerabilities Hikvision IP Cameras 4.1.0 b130111 - Multiple Vulnerabilities Grandstream Multiple IP Cameras - Cross-Site Request Forgery Brickcom Multiple IP Cameras Cross-Site Request Forgery Dahua DVR 2.608.0000.0/2.608.GV00.0 Authentication Bypass (Metasploit) Samsung DVR Firmware 1.10 Authentication Bypass Airlive IP Cameras - Multiple Vulnerabilities Sony CH / DH Series IP Cameras - Multiple Cross-Site Request Forgery Vulnerabilities 413 Camera Camera DVR Camera Vivotek DVR Camera Hikvision Camera Camera DVR DVR Camera Camera 40 27878 41 27289 42 27076 CVE-20133314 CVE-20132578 CVE-20132574 48 38550 CVE-20132572 CVE-20132567 CVE-20131604 CVE-20131599 CVE-20131594 CVE-20130143 49 18675 CVE-20124876 43 25812 44 25815 45 25813 46 25138 47 25139 50 18641 51 36428 52 15508 53 15507 54 15506 CVE-20120284 CVE-20115261 CVE-20104234 CVE-20104233 CVE-20104232 Loftek Nexus 543 IP Cameras Multiple Vulnerabilities TP-Link TL-SC3171 IP Cameras - Multiple Vulnerabilities FOSCAM IP-Cameras Improper Access Restrictions TP-Link IP Cameras Firmware 1.6.18P12 - Multiple Vulnerabilities Zavio IP Cameras Firmware 1.6.03 - Multiple Vulnerabilities MayGion IP Cameras Firmware 09.27 - Multiple Vulnerabilities D-Link IP Cameras - Multiple Vulnerabilities Vivotek IP Cameras - Multiple Vulnerabilities QNAP VioStor NVR / QNAP NAS - Remote Code Execution TRENDnet SecurView TVIP121WN Wireless Internet Camera - UltraMJCam ActiveX Control OpenFileDlg WideCharToMultiByte Remote Stack Buffer Overflow Cisco Linksys WVC200 Wireless-G PTZ Internet Video Camera PlayerPT - ActiveX Control PlayerPT.ocx sprintf Buffer Overflow (PoC) Axis M10 Series Network Cameras - Cross-Site Scripting Camtron CMNC-200 IP Camera - Denial of Service Camtron CMNC-200 IP Camera - Undocumented Default Accounts Camtron CMNC-200 IP Camera - Authentication Bypass 414 Camera Camera TP-Link Camera Foscam Camera TP-Link Camera Camera Camera D-Link Camera Vivotek NVR Camera Camera Camera Axis Camera Camtron Camera Camtron Camera Camtron 56 15504 CVE-20104231 CVE-20104230 57 9066 CVE-20092306 55 15505 60 6710 CVE-20092305 CVE-20090640 CVE-20086086 61 4903 CVE-20084547 58 9067 59 32796 65 4797 CVE-20084380 CVE-20084366 CVE-20083355 CVE-20076638 66 30585 CVE-20074930 67 4324 CVE-20074583 68 4322 CVE-20074582 69 4120 CVE-20073488 62 6394 63 6594 64 6132 Camtron CMNC-200 IP Camera - Directory Traversal Camtron CMNC-200 IP Camera - ActiveX Buffer Overflow ARD-9808 DVR Card Security Camera - Arbitrary Configuration Disclosure ARD-9808 DVR Card Security Camera - GET Remote Denial of Service Swann DVR4 SecuraNet Directory Traversal Camera Life 2.6.2b4 - SQL Injection / Cross-Site Scripting NUVICO DVR NVDV4 / PdvrAtl Module 'PdvrAtl.DLL 1.0.1.25' - Remote Buffer Overflow Samsung DVR SHR2040 HTTPd Remote Denial of Service Denial of Service (PoC) Camera Life 2.6.2b4 - Arbitrary File Upload Camera Life 2.6.2 - 'id' SQL Injection March Networks DVR 3204 Logfile Information Disclosure Axis Communications 207W Network Camera - Web Interface axiscgi/admin/restart.cgi Cross-Site Request Forgery NVR SP2 2.0 'nvUtility.dll 1.0.14.0' - 'DeleteXMLFile()' Insecure Method NVR SP2 2.0 'nvUnifiedControl.dll 1.1.45.0' 'SetText()' Command Execution Sony Network Camera SNC-P5 1.0 - ActiveX viewer Heap Overflow (PoC) 415 Camera Camtron Camera Camtron Camera DVR DVR Camera DVR DVR Camera Camera DVR Camera Axis NVR NVR Camera Sony 71 28205 CVE-20072239 CVE-20063603 72 27892 CVE-20062490 70 4143 73 24197 74 24175 75 24400 76 425 77 22626 78 41236 CVE-20042508 CVE-20042507 CVE-20042425 CVE-20041650 CVE-20030240 AXIS Camera Control (AxisCamControl.ocx 1.0.2.15) - Remote Buffer Overflow FlexWATCH Network Camera Cross-Site Scripting obotix IP Camera M1 1.9.4 7/M10 2.0.5.2 - help Script Cross-Site Scripting Linksys Web Camera Software 2.10 - 'Next_file' Cross-Site Scripting Linksys Web Camera Software 2.10 - 'Next_file' File Disclosure Axis Network Camera 2.x And Video Server 1-3 'virtualinput.cgi' Arbitrary Command Execution D-Link DCS-900 Camera Remote IP Address Changer Axis Network Camera 2.x HTTP Authentication Bypass Netwave IP Camera - Password Disclosure Camera Axis Camera Camera Camera Camera Camera Axis Camera D-Link Camera Axis Camera Netwave Bảng 4.1 Thông tin lỗ hổng nghiêm trọng camera - Cần trang bị cơng cụ dị qt kỹ thuật để phát đánh giá sản phẩm CCTV Việc vừa đảm bảo tính sẵn sàng cho cơng tác rà sốt định kỳ diện rộng, có sở để đánh giá hay phê duyệt dự án có thành phần CCTV Cơng cụ mà nhóm đề tài xây dựng cơng cụ tiếp tục đầu tư sản xuất thử nghiệm 416 DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt https://awar.vn/cau-tao-nguyen-tac-hoat-dong-cua-camera/ https://huviron.com.vn/tin-tuc/cau-tao-va-nguyen-ly-hoat-dong-hethong-camera-an-ninh.html https://ictnews.vietnamnet.vn/bao-mat/nguy-co-lo-lot-hinh-anh-riengtu-tu-thiet-bi-camera-kem-chat-luong-282274.html https://vi.wikipedia.org/wiki/Firmware https://viettelsolutions.vn/viettelthreat-intelligence/ https://vneconomy.vn/thi-truong-camera-ty-usd-va-co-hoi-nao-cho-cacdoanh-nghiep-viet.htm Tiêu chuẩn quốc gia TCVN 10295:2014 (ISO/IEC 27005:2011) Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin, Hà Nội, 2014 Vnisa, "Tiêu chuẩn dịch vụ kiểm tra đánh giá an tồn thơng tin mạng", Hà Nội, 2020 Tài liệu tiếng Anh Allot, DDoS Attack Handbook, 2018 10 Amazon, AWS Shield Threat Landscape Report Q1-2020, 2020 11 "Andrei Costin, “Security of CCTV and Video Surveillance Systems: Threats, Vulnerabilities, Attacks, and Mitigations,” Conference: 6th International Workshop on Trustworthy Embedded Devices (TrustED 2016), At Vienna, Austria, October, 2016" 12 Ayush Kumar,Teng Joon Lim, "Early Detection Of Mirai-Like IoT Bots In Large-Scale Networks Through Sub-Sampled Packet Traffic Analysis", National University of Singapore, Singapore, Dec 2019 13 British Standard, ISO/IEC 27005 : 2011, UK, 2011 14 Cisco, Whitepaper Annual Internet Report (2018–2023), 2020 15 Constantinos Kolias,Georgios Kambourakis,"DDoS in the IoT: Mirai and other botnets", Researchgate.net, Jan 2017 16 http://www.insecam.org/ 17 https://azeria-labs.com/lab-vm-2-0 18 https://azeria-labs.com/writing-arm-shellcode/ 19 https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-armrouter.html 20 https://blog.radware.com/uncategorized/2018/03/history-of-iot-botnets/ 21 https://code.google.com/archive/p/binvis/ 417 22 https://developer.ibm.com/technologies/iot/articles/iot-anatomy-iotmalware-attack/ 23 https://f5.com 24 https://findface.pro/en/security/ 25 https://gist.github.com/llandeilocymro/55a61e3730cdef56ab5806a677b a0891 26 https://github.com/attify/firmware-analysis-toolkit 27 https://github.com/firmadyne/firmadyne 28 https://github.com/fkie-cad/FACT_core 29 https://github.com/getCUJO/MIPS-X 30 https://github.com/JonathanSalwan/ROPgadget 31 https://github.com/NationalSecurityAgency/ghidra 32 https://github.com/NetSPI/PESecurity 33 https://github.com/OWASP/IoTGoat 34 https://github.com/OWASP/wstg/blob/master/document/4Web_Application_Security_Testing/02Configuration_and_Deployment_Management_Testing/10Test_for_Subdomain_Takeover.md 35 https://github.com/OWASP/wstg/blob/master/document/4Web_Application_Security_Testing/02Configuration_and_Deployment_Management_Testing/11Test_Cloud_Storage.md 36 https://github.com/praetorian-code/DVRF 37 https://github.com/qilingframework/qiling#qltool 38 https://github.com/RhinoSecurityLabs/GCPBucketBrute 39 https://github.com/scriptingxss/firmwalker 40 https://github.com/therealsaumil/armx/ 41 https://github.com/VitthalS/Az-Blob-Attacker#readme 42 https://github.com/Vulcainreo/DVID 43 https://ieeexplore.ieee.org/document/8990084 44 https://internetofbusiness.com/botnet-hacked-ddos-attack 45 https://ipvm.com/reports/hik-exploit 46 https://neovera.com/ddos-attack-cctv/ 47 https://ntechlab.com/ 48 https://owasp.org/www-community/Vulnerability_Scanning_Tools 49 https://packetstormsecurity.com/files/153162/NUUO-NVRMini-23.9.1-Stack-Overflow.html 50 https://scriptingxss.gitbook.io/firmware-security-testing-methodology/ 51 https://securelist.com/ 52 https://visionlabs.ai/products/luna-platform 418 53 https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project #tab=IoT_Attack_Surface_Areas, 2018 54 https://www.a10networks.com/blog/aws-hit-by-largest-reported-ddosattack-of-2-3-tbps/ 55 https://www.anomali.com/resources/what-is-a-tip 56 https://www.avast.com/partners/threat-intelligence 57 https://www.avigilon.com/products/acc/mobile 58 https://www.axxonsoft.com/intelligence/artificial_intelligence/ 59 https://www.bleepingcomputer.com/news/security/brickerbot-authorclaims-he-bricked-two-million-devices/ 60 https://www.cctvcameraworld.com/what-is-rtsp/ 61 https://www.cloudflare.com/ 62 https://www.commfront.com/pages/pelco-d-protocol-tutorial 63 https://www.comparitech.com/blog/vpn-privacy/the-worlds-mostsurveilled-cities 64 https://www.corelan.be/index.php/category/security/exploit-writingtutorials/ 65 https://www.corero.com 66 https://www.cvedetails.com/ 67 https://www.darkreading.com/perimeter/ddos-for-hire-servicesdoubled-in-q1 68 https://www.europol.europa.eu/newsroom/news/world’s-biggestmarketplace-selling-internet-paralysing-ddos-attacks-taken-down 69 https://www.fireeye.com/blog/threat-research/2021/05/shining-a-lighton-darkside-ransomware-operations.html 70 https://www.first.org/cvss/calculator/3.1 71 https://www.gartner.com/reviews/market/video-surveillancemanagement-systems 72 https://www.home.neustar/ 73 https://www.imperva.com 74 https://www.infoblox.com/wp-content/uploads/infoblox-note-dns-bestpractices-checklist.pdf 75 https://www.link11.com 76 https://www.mandiant.com/resources/darkside-affiliate-supply-chainsoftware-compromise 77 https://www.milestonesys.com/solutions/platform/XProtect-Clients 78 https://www.paloaltonetworks.com/resources/8-stages-of-the-iotattack-lifecycle, 2020 79 https://www.recordedfuture.com/ultimate-cybersecurity-strategy-kit/ 80 https://www.shodan.io 81 https://www.spamhaus.org/ 419 82 https://www.stigviewer.com/stig/bind_dns/ 83 https://www.stigviewer.com/stig/domain_name_system_dns_security_r equirements_guide 84 https://www.stigviewer.com/stigs 85 https://www.unifiedcompliance.com/company/ 86 https://www.wowza.com/blog/streaming-protocols 87 Michele De Donno,Nicola Dragoni,Alberto Giaretta,Angelo Spognardi,"DDoS-Capable IoT Malwares: Comparative Analysis and Mirai Investigation", Security and Communication Networks Volume 2018, Article ID 7178164, 30 pages, July 2017 88 Netscout Threat Inteligence Report 2H 2020, 2020 89 NIST 800-30, "Guide for conducting Risk Assessments", USA, Sep 2012 90 OWASP, Top 10 IoT, 2018 91 Palo Alto Network, Impacts of Cyberattacks on IoT Devices, 2020 92 Podder, Modal, Bhrati, Paul, "Review on the Security Threats of Internet of Things", Researchgate.net, July 2020 93 Quoc-Dung Ngo, Huy-Trung Nguyen, Van-Hoang Le, Doan-Hieu Nguyen, "A survey of IoT malware and detection methods based on static features", ScienceDirect, May 2020 94 Radware, WHEN THE BOTS COME MARCHING IN A Closer Look at the Evolving Threat from Botnets, Web Scraping and IoT Zombies, 2017 95 Unit42, 2020 Unit42 IoT Threat Report, 2020 96 William O’Sullivan, Kim-Kwang Raymond Choo, Nhien-An Le-Khac, "Defending IoT devices from Malware", ResearchGate, July 2020 97 Xinwen Fu, "IoT Security: An End-to-End View and Case Study", ResearchGate, May 2018 98 Zouheir Trabelsi, Safaa Zeidan, Kadhim Hayaw, "Denial of Firewalling Attacks (DoF): The Case Study of the Emerging BlackNurse Attack, IEEE, May 2019 99 Qatar CS Risk Management Section, "Information Security Risk Management Procedure", Qatar, May 2018 420