Китайські камери спостереження в Україні передають інформацію на сервери виробника

Фото: Pixabay

Журналісти Схем разом із фахівцями з цифрової безпеки провели експерименти щодо безпечності китайських камер відеоспостереження, які сотнями тисяч використовують українці: на вулицях, в магазинах, на підприємствах, для домашнього відеонагладу тощо.

Здебільшого українці купують та встановлюють камери компаній Hikvision та Dahua. Китайський техгігант Hikvision виробляє приблизно 20% від всіх камер відеоспостереження у світі, Dahua – 10% від усіх виробів.

У США імпорт продукції обох компаній заборонений, бо це загрожує нацбезпеці. В Україні вони внесені до списку міжнародних спонсорів війни, проте такі камери не заборонені до продажу і продовжують функціонувати. В Україні ці китайські камери та софт закуповували щонайменше з 2006 року.

Зараз дивляться

Схеми разом із фахівцями із Лабораторії комп’ютерної криміналістики та Лабораторії цифрової безпеки протестували камери Hikvision та Dahua різного типу та років виробництва – 2015-го, 2019-го та 2023-го. Виявилося, що старші моделі є більш вразливими і можуть відправляти інформацію на сервери китайського виробника, і такі камери легше зламати хакерам.

Читайте також

МВС перевірить інформацію про можливе передавання даних із камер спостереження в Україні до РФ – Клименко

Hikvision, 2015

Щойно камеру під’єднати до інтернету, вона почала з’єднуватися зі своїми серверами. За IP-адресою сервери розміщуються в Ірландії, а їхній власник – американська компанія Amazon. Китайська компанія Hikvision орендує ці сервери для потреб користувачів. Hikvision повністю контролює ці сервери як виробник камер та софту.

– Це стандартна практика для камер – з’єднуватися зі своїми серверами для реєстрації та передання даних. Але користувач має розуміти, що безпека покладається на компанію-виробника і на те, наскільки саме це з’єднання безпечне, а також хто і як може використати цю інформацію, – пояснив експерт Лабораторії цифрової безпеки Іван Антонюк.

Dahua, 2019

Під час під’єднання до телефона через інтернет камера автоматично почала надсилати зашифровану інформацію: свої реєстраційні дані, а також логін і пароль користувача на сервери, які контролює Dahua, заявив виконавчий директор Лабораторії комп’ютерної криміналістики Сергій Денисенко. Інформація йде на сервери Easy4ipcloud, які належать американській Zenlayer та китайській uCloud і розташовані в Німеччині.

Примітно, що коли камеру від’єднали від мережі, вона все одно продовжила спроби передати дані.

Попри те, що інформація йде в зашифрованому вигляді, для виробника і розробника камер розшифровка такої інформації не є проблемою, наголосив Сергій Денисенко.

Hikvision, 2023

Камера, вироблена у вересні 2023 року, є більш захищеною. Вона потребує складного пароля, а це ускладнює злам.

Під час експерименту камера 2023 року випуску після приєднання до мережі не передає одразу дані, як у випадку зі старішими моделями. Але через хмарне сховище відеопотік все одно потрапляє на сервери виробника, зокрема – на сервери Amazon (вони підписані як Hik-connect).

Сервери Amazon належать компанії зі штаб-квартирою в США. Американська фірма надає послуги китайським компаніям, посилаючись на те, що дотримується вимог законодавства у країнах, де веде свій бізнес.

За словами фахівця Сергія Денисенка, частина зашифрованої інформації з камери йде на сервер Chinanet у Китаї. Chinanet – це сервери державної китайської компанії China Telecom.

– Наші фахівці переконані, що під час використання такого сервісу доступ до камер за необхідності можуть з легкістю отримувати представники виробника. Також, враховуючи відносини Китаю та Росії зараз, це може нести певні безпекові ризики, – каже виконавчий директор Лабораторії комп’ютерної криміналістики Сергій Денисенко.

Безпечне місто

У Лабораторії комп’ютерної криміналістики наголошують, що саме доступ виробника через інтернет до своїх пристроїв є головним ризиком у використанні таких камер. Найкращий варіант – користуватися пристроями без інтернету, в ізольованій локальній мережі, але це доступно приватному бізнесу чи держструктурам, а не побутовим користувачам.

Саме так функціонує система Безпечне місто, кажуть в МВС. Тобто це закрита мережа.

– У системах відеоспостереження, подібних до Безпечного міста, адміністраторами та власниками яких є органи місцевої влади, працює близько 24 тисяч камер Dahua та Hikvision. Саме до такої кількості камер мають доступ центральні органи виконавчої влади системи МВС. Це становить 74% від всіх камер такої категорії. Наявна продукція компаній Dahua та Hikvision була придбана підрозділами системи МВС до початку повномасштабного вторгнення, – повідомили в МВС.

Хакерські атаки

Спеціаліст із Лабораторії комп’ютерної криміналістики зміг за 15 хвилин отримати доступ до камери Hikvision, тобто “зламати” її.

У СБУ раніше заявили, що під час ракетної атаки РФ на Україну 2 січня 2024 року камери відеоспостереження у Києві, встановлені на приватних будинках, транслювали роботу української ППО та локації критичної інфраструктури. За даними служби, росіяни зламали ці камери. Схеми дізналися, що одна з камер – це Hikvision 2016 року.

– Такі камери зазвичай просто під’єднані до інтернету, бо вже відносно застарілі, програмне забезпечення тривалий час не оновлювалось і має багато відомих вразливостей. У цьому випадку російські спецслужби сканують інтернет-простір, знаходять цю камеру і отримують доступ до неї, – пояснює Сергій Денисенко.

За час повномасштабного вторгнення СБУ вдалося заблокувати понад 10 тис. камер відеоспостереження, які російські спецслужби могли використовувати для шпигування.

Утім, в Україні таких камер лишається сотні тисяч. Нині вже є декілька українських замовників, які розривають контракти і відмовляються від продукції Dahua та Hikvision.

Читайте також

У Бердянську окупанти розвісили камери для розпізнавання обличчя й автономерів