/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F433%2F26ce942f8f6a4ad94b9e0c49407f2b24.jpg)
В Україні тисячі китайських камер відеонагляду можуть передавати дані виробнику – Схеми
Журналісти Схем разом із фахівцами з цифрової безпеки провели експерименти щодо безпечності китайських камер відеоспостереження, які сотнями тисяч використовуються українцями: на вулицях, в магазинах, на підприємствах, для домашнього відеонагладу тощо.
Здебільшого українці купляють та встановлюють камери компаній Hikvision та Dahua. Китайський техгігант Hikvision виробляє приблизно 20% від всіх камер відеоспостереження у світі, Dahua – 10% від усіх виробів.
У США імпорт продукції обох компаній заборонений, бо це загрожує нацбезпеці. В Україні вони внесені до списку міжнародних спонсорів війни, проте такі камери не заборонені до продажу і продовжують функціонувати. В Україні ці китайські камери та софт закуповували щонайменше з 2006 року.
Схеми разом з фахівцями із Лабораторії комп’ютерної криміналістики та Лабораторії цифрової безпеки протестували камери Hikvision та Dahua різного типу та років виробництва – 2015, 2019 та 2023. Виявилося, що старші моделі є більш вразливими і можуть відправляти інформацію на сервери китайського виробника, і такі камери легше зламати хакерам.
Hikvision, 2015
Щойно камеру під’єднати до інтернету, вона почала з’єднуватися зі своїми серверами. За IP-адресою сервери знаходяться в Ірландії, а їхній власник – американська компанія Amazon. Китайська компанія Hikvision орендує ці сервери для потреб користувачів. Hikvision повністю контролює ці сервери як виробник камер та софту.
– Це стандартна практика для камер – з’єднуватись зі своїми серверами для реєстрації і передачі даних. Але користувач має розуміти, що безпека покладається на компанію-виробника і на те, наскільки саме це з’єднання безпечне, а також хто і як може використати цю інформацію, – пояснив експерт Лабораторії цифрової безпеки Іван Антонюк.
Dahua, 2019
При під’єднанні до телефону через інтернет камера автоматично почала надсилати зашифровану інформацію: свої реєстраційні дані, а також логін і пароль користувача на сервери, які контролює Dahua, заявив виконавчий директор Лабораторії комп’ютерної криміналістики Сергій Денисенко. Інформація йде на сервери Easy4ipcloud, які належать американській Zenlayer та китайській uCloud і знаходяться у Німеччині.
Примітно, що коли камеру від’єднали від мережі, вона все одно продовжила спроби передати дані.
Попри те, що інформація йде у зашифрованому вигляді, для виробника і розробника камер розшифровка такої інформації не проблемою, наголосив Сергій Денисенко.
Hikvision, 2023
Камера, вироблена у вересні 2023 року, є більш захищеною. Вона потребує складного пароля, а це ускладнює злам.
Під час експерименту камера 2023 року випуску при приєднанні до мережі не передає одразу дані, як це у випадку зі старішими моделями. Але через хмарне сховище відеопотік все одно потрапляє на сервери виробника, зокрема – на сервери Amazon. (вони підписані як Hik-connect).
Сервери Amazon належать компанії зі штаб-квартирою в США. Американська фірма надає послуги китайським компаніям, посилаючись на те, що дотримується вимог законодавства у країнах, де веде свій бізнес.
За словами фахівця Сергія Денисенка, частина зашифрованої інформації з камери йде на сервер Chinanet у Китаї. Chinanet – це сервери державної китайської компанії China Telecom.
– Наші фахівці переконані, що при використанні такого сервісу доступ до камер при необхідності можуть з легкістю отримувати представники виробника. Також, враховуючи відносини Китаю і Росії зараз, це може нести певні безпекові ризики, – каже виконавчий директор Лабораторії комп’ютерної криміналістики Сергій Денисенко.
Безпечне місто
У Лабораторії комп’ютерної криміналістики наголошують, що саме доступ виробника через інтернет до своїх пристроїв є головним ризиком у використанні таких камер. Найкращий варіант – користуватися пристроями без інтернету, в ізольованій локальній мережі, але це доступно приватному бізнесу чи держструктурам, а не побутовим користувачам.
Сама так функціонує система Безпечне місто, кажуть в МВС. Тобто це закрита мережа.
– В системах відеоспостереження, подібних до Безпечного міста, адміністраторами та власниками яких є органи місцевої влади, працює близько 24 тисяч камер Dahua та Hikvision. Саме до такої кількості камер мають доступ центральні органи виконавчої влади системи МВС. Це складає 74% від всіх камер такої категорії. Наявна продукція компаній Dahua та Hikvision була придбана підрозділами системи МВС до початку повномасштабного вторгнення, – повідомили в МВС.
Хакерські атаки
Спеціаліст з Лабораторії комп’ютерної криміналістики зміг за 15 хвилин отримати доступ до камери Hikvision, тобто “зламати” її.
В СБУ раніше заявили, що під час ракетної атаки РФ на Україну 2 січня 2024 року камери відеоспостереження у Києві, встановлені на приватних будинках, транслювали роботу української ППО та локації критичної інфраструктури. За даними служби, росіяни зламали ці камери. Схеми дізналися, що одна з камер – це Hikvision 2016 року.
– Такі камери зазвичай просто під’єднані до інтернету, бо вже відносно застарілі, програмне забезпечення тривалий час не оновлювалось і має багато відомих вразливостей. У цьому випадку російські спецслужби сканують інтернет-простір, знаходять цю камеру і отримують доступ до неї, – пояснює Сергій Денисенко.
За час повномасштабного вторгнення СБУ вдалось заблокувати понад 10 тис. камер відеоспостереження, які російські спецслужби могли використовувати для шпигування.
Втім, в Україні таких камер лишається сотні тисяч.