„Hikvision“ ir „Dahua“ gamintojų kamerų tyrimas nustatė kibernetinio saugumo rizikas
Galimybė vaizdo kameras valdyti nuotoliniu būdu, jų paveikumas kibernetinėms atakoms, prasti slaptažodžių saugos sprendimai, programinės įrangos pažeidžiamumai – tokias rizikas atskleidžia Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC), atlikęs išsamų Lietuvoje naudojamų Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą.
NKSC vaizdo stebėjimo kamerų tyrimą pradėjo metų pradžioje, nacionaliniam transliuotojui LRT paskelbus apie galimai nesaugias vaizdo stebėjimo kameras, kurios uždraustos Jungtinėse Amerikos Valstijose. Tyrimo tikslas buvo įvertinti išsamiai ir techniškai ar šių Kinijos gamintojų produktai turi saugumo problemų ir ką tai reiškia kamerų naudotojui. Tyrimas faktiškai technologiniais aspektais aptaria pastebėtas grėsmes saugumui ir kaip tai galėtų būti išnaudota piktavalio. Be to, pateikiami sprendimai ir rekomendacijos kokių veiksmų imtis, kad šių kamerų naudotojai galėtų suvaldyti nustatytas rizikas. Atkreipiame dėmesį, kad analogiškas saugumo spragas gali turėti ir kitų gamintojų rinkoje naudojamos vaizdo stebėjimo kameros, o nustatytos rizikos gali būti sisteminė problema.
NKSC specialistai tyrimui ėmė institucijose naudojamus vaizdo stebėjimo kamerų pavyzdžius, o tyrimas atliktas taip, kad kiti tyrėjai galėtų atkartoti šios analizės rezultatus ir rezultatų patikimumą. Tyrimo metodika rėmėsi programinės įrangos funkcionalumo, kuriamų duomenų srautų struktūros ir aparatinės dalies komponentų dekompozicijos analize. Tyrimas nustatė, kad kamerose naudojami programinės įrangos paketai turi gana daug žinomų kibernetinio saugumo spragų, pažymėtų viešai prieinamose pažeidžiamumų duomenų bazėse (angl. Common Vulnerabilities and Exposures, CVE). Pasinaudojus šiomis spragomis iškyla reali kibernetinių atakų rizika, tokių kaip atkirtimo nuo paslaugos (DoS) ar kenkėjiško kodo įterpimas. Kamerose nėra automatinio atnaujinimo funkcijos, o naujinimo infrastruktūra išdėstyta Kinijos ir Rusijos serveriuose.
Taip pat tyrime aptarta, kad gaminiuose panaudoti prasti slaptažodžių apsaugos mechanizmai, kai vartotojų autentifikavimas kamerose vykdomas nešifruotu ryšiu, naudojant HTTP protokolą, kartu su pasenusiu MD5 algoritmu. Dėl to, vartotojui jungiantis prie kameros, jo slaptažodžio reikšmė gali būti perimta, slaptažodis dekoduotas ir panaudotas neteisėtam prisijungimui. Tai galėtų leisti pašaliniams perimti kameros turinio transliaciją, realiuoju laiku aktyvuoti ar deaktyvuoti kameros funkcijas (vaizdo atpažinimo, garso įrašymo ir kt.), stabdyti kameros veikimą.
Be to, nustatyta, kad gamintojo „Hikvision“ parengta kamerų valdymo mobili aplikacija „Hik-Connect“ vykdo sujungimus su Kinija, Tailandu, Singapūru, Airija ir registruoja SIM kortelės IMSI ir ICCID identifikacinius numerius bei mobilaus įrenginio IMEI identifikacinį numerį.
Pagal apklausos rezultatus, Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameras šalyje naudoja 57 viešojo sektoriaus institucijos. Nustatytos saugumo rizikos gali būti suvaldomos technologiniais sprendimais, o organizacijų vadovai turėtų skirti daugiau dėmesio IT ūkio valdymui bei kibernetinio saugumo reikalavimų įgyvendinimui. Naudojantiems šių gamintojų vaizdo stebėjimo kameras, NKSC rekomenduoja jas izoliuoti atskirame fiziniame arba specifiškai parametrizuotame loginiame tinkle, neturinčiame prieigos prie tarnybinių, vietinių ar viešųjų interneto tinklų. Taip pat siūloma neatskleisti savo tapatybės ir nesisiųsti atnaujinimų iš nutolusių serverių, nepriklausančių NATO ar Europos Sąjungos šalims. Siekiant išvengti galimų pažeidžiamumų, rekomenduojama nuolatos vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis (angl. White-list).
Vykdant vaizdo stebėjimo kamerų viešuosius pirkimus, rekomenduojama techninėje specifikacijoje nurodyti, kad tiekėjas privalo pateikti kameras su naujausiais kamerų gamintojo siūlomais programinės įrangos atnaujinimais, kuriuose būtų ištaisytos žinomos saugumo spragos ir pažeidžiamumai. Taip pat tiekėjas turi organizuoti kamerų programinės įrangos atnaujinimų atsisiuntimą iš ES ir NATO šalyse esančių serverių, bei privalo pateikti kameras tik su funkcionalumais, kurių reikalauja techninė specifikacija, o papildomi, pirkėjo nenurodyti funkcionalumai, turėtų būti deaktyvuoti.
Lietuvoje tiekiamų vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą rasite čia.