Журналисты Схем вместе со специалистами по цифровой безопасности провели эксперименты по безопасности китайских камер видеонаблюдения, которые сотнями тысяч используются украинцами: на улицах, в магазинах, на предприятиях, для домашнего видеонаблюдения и тому подобное.
В основном украинцы покупают и устанавливают камеры компаний Hikvision и Dahua. Китайский техгигант Hikvision производит примерно 20% от всех камер видеонаблюдения в мире, Dahua — 10% от всех изделий.
В США импорт продукции обеих компаний запрещен, потому что это угрожает нацбезопасности. В Украине они внесены в список международных спонсоров войны, однако такие камеры не запрещены к продаже и продолжают функционировать. В Украине эти китайские камеры и софт закупали как минимум с 2006 года.
Схемы вместе со специалистами из Лаборатории компьютерной криминалистики и Лаборатории цифровой безопасности протестировали камеры Hikvision и Dahua разного типа и годов производства — 2015, 2019 и 2023. Оказалось, что старшие модели более уязвимы и могут отправлять информацию на серверы китайского производителя, и такие камеры легче взломать хакерам.
Hikvision, 2015
Как только камеру подключить к интернету, она начала соединяться со своими серверами. По IP-адресу серверы находятся в Ирландии, а их владелец — американская компания Amazon. Китайская компания Hikvision арендует эти серверы для нужд пользователей. Hikvision полностью контролирует эти серверы как производитель камер и софта.
— Это стандартная практика для камер — соединяться со своими серверами для регистрации и передачи данных. Но пользователь должен понимать, что безопасность возлагается на компанию-производителя и на то, насколько именно это соединение безопасно, а также кто и как может использовать эту информацию, — пояснил эксперт Лаборатории цифровой безопасности Иван Антонюк.
Dahua, 2019
При подключении к телефону через интернет камера автоматически начала отправлять зашифрованную информацию: свои регистрационные данные, а также логин и пароль пользователя на серверы, которые контролирует Dahua, заявил исполнительный директор Лаборатории компьютерной криминалистики Сергей Денисенко. Информация идет на серверы Easy4ipcloud, которые принадлежат американской Zenlayer и китайской uCloud и находятся в Германии.
Примечательно, что когда камеру отсоединили от сети, она все равно продолжила попытки передать данные.
Несмотря на то, что информация идет в зашифрованном виде, для производителя и разработчика камер расшифровка такой информации не проблема, отметил Сергей Денисенко.
Hikvision, 2023
Камера, произведенная в сентябре 2023 года, является более защищенной. Она требует сложного пароля, а это затрудняет взлом.
Во время эксперимента камера 2023 года выпуска при присоединении к сети не передает сразу данные, как это в случае с более старыми моделями. Но через облачное хранилище видеопоток все равно попадает на серверы производителя, в частности — на серверы Amazon (они подписаны как Hik-connect).
Серверы Amazon принадлежат компании со штаб-квартирой в США. Американская фирма предоставляет услуги китайским компаниям, ссылаясь на то, что соблюдает требования законодательства в странах, где ведет свой бизнес.
По словам специалиста Сергея Денисенко, часть зашифрованной информации с камеры идет на сервер Chinanet в Китае. Chinanet — это серверы государственной китайской компании China Telecom.
— Наши специалисты убеждены, что при использовании такого сервиса доступ к камерам при необходимости могут с легкостью получать представители производителя. Также, учитывая отношения Китая и России сейчас, это может нести определенные риски безопасности, — говорит исполнительный директор Лаборатории компьютерной криминалистики Сергей Денисенко.
Безопасный город
В Лаборатории компьютерной криминалистики отмечают, что именно доступ производителя через интернет к своим устройствам является главным риском в использовании таких камер. Лучший вариант — пользоваться устройствами без интернета, в изолированной локальной сети, но это доступно частному бизнесу или госструктурам, а не бытовым пользователям.
Именно так функционирует система Безопасный город, говорят в МВД. То есть это закрытая сеть.
— В системах видеонаблюдения, подобных Безопасному городу, администраторами и владельцами которых являются органы местной власти, работает около 24 тысяч камер Dahua и Hikvision. Именно к такому количеству камер имеют доступ центральные органы исполнительной власти системы МВД. Это составляет 74% от всех камер такой категории. Имеющаяся продукция компаний Dahua и Hikvision была приобретена подразделениями системы МВД до начала полномасштабного вторжения, — сообщили в МВД.
Хакерские атаки
Специалист из Лаборатории компьютерной криминалистики смог за 15 минут получить доступ к камере Hikvision, то есть “взломать” ее.
В СБУ ранее заявили, что во время ракетной атаки РФ на Украину 2 января 2024 года камеры видеонаблюдения в Киеве, установленные на частных домах, транслировали работу украинской ПВО и локации критической инфраструктуры. По данным службы, россияне взломали эти камеры. Схемы узнали, что одна из камер — это Hikvision 2016 года.
— Такие камеры обычно просто подключены к интернету, потому что уже относительно устаревшие, программное обеспечение длительное время не обновлялось и имеет много известных уязвимостей. В этом случае российские спецслужбы сканируют интернет-пространство, находят эту камеру и получают доступ к ней, — объясняет Сергей Денисенко.
За время полномасштабного вторжения СБУ удалось заблокировать более 10 тыс. камер видеонаблюдения, которые российские спецслужбы могли использовать для шпионажа.
Впрочем, в Украине таких камер остается сотни тысяч. Сейчас уже есть несколько украинских заказчиков, которые разрывают контракты и отказываются от продукции Dahua и Hikvision.