Lietuvos policijos ir Vadovybės apsaugos naudojamose kiniškose kamerose aptiko 61 pažeidžiamumą
BNS, ELTA ir lrytas.lt inf.
2020-05-27 13:13Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameros turi saugumo spragų, leidžiančių nesunkiai prisijungti prie jų per nuotolį ir vykdyti stebėjimą, teigia Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys.
NKSC, atlikusi šių Lietuvos institucijose naudojamų, taip pat didelę rinkos dalį Europoje užimančių vaizdo kamerų kibernetinio saugumo vertinimą, rado keturis esminius saugumo pažeidimus.
Anot R.Rainio, pagal išankstinius nustatymus kamerų nuotolinis valdymas yra įjungtas, tačiau didžiulės saugumo spragos leidžia prisijungti prie šių įrenginių pašaliniams asmenims.
„Kameros turi nuotolinį valdymą, slaptažodžiai perduodami nešifruotu kanalu, patys slaptažodžiai užšifruoti silpnais, labai senais algoritmais. Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką“, – BNS sakė R.Rainys.
Anot jo, perėmus slaptažodį, galima įjungti, išjungti kamerą, pakeisti nustatymus.
Iš viso kamerose nustatytas 61 pažeidžiamumas – iš jų, pasak R. Rainio, 23 yra „aukšto grėsmės lygio“, t.y. lengvai gali būti išnaudojamos DDoS atakoms, kenkėjiško kodo įterpimui ar kitiems kenkėjiškiems tikslams.
Nustatyta, kad „Hikvision“ gamintojas taip pat renka konkrečią informaciją apie įrenginių techninius parametrus. Taip pat specialistai nustatė, kad kamerų programinė įranga gali būti atnaujinta tik rankiniu būdu, iš tinklalapio Kinijoje.
„Tačiau tas IP adresas nukreipia į serverį, esantį Rusijos Federacijoje, iš kurio ir vyksta siuntimo procesas“, – vėliau pristatydamas tyrimą Krašto apsaugos ministerijoje tvirtino R.Rainys.
NKSC teigimu, kameras naudoja 57 viešojo sektoriaus institucijos Lietuvoje, 24 jų turi tiesioginę sąsają su internetu.
Centras rekomenduoja įstaigoms izoliuoti jas atskirame tinkle, kuris neturėtų prieigos prie viešojo interneto – arba atlikti būtinus saugumo nustatymus. Taip pat nustatyti, kad programiniai atnaujinimai būtų siunčiami iš Europos Sąjungos valstybių.
„Manome, kad būtų geras sprendimas programinės įrangos atsisiuntimų serverį įrengti Lietuvoje“, – teigė jis.
R.Rainys taip pat tikina, kad atsiunčiama programinė įranga turėtų būti papildomai tikrinama.
Kibernetinio saugumo ekspertai taip pat rekomenduoja naudoti ugniasienes, blokuoti prievadus, kurių nenaudoja kamera, sumažinant galimybes išnaudoti kameras kibernetinei atakai.
Įsigyjant naujas kameras, įstaigoms rekomenduojama įtraukti reikalavimą, kad tiekėjas patiektų kameras su naujausiais programinės įrangos atnaujinimais, kuriais jau būtų ištaisytos saugumo spragos – taip pat minėtas reikalavimas turėti programinės įrangos atsisiuntimo serverius Lietuvoje ar bent jau ES šalyse. Mažinant riziką, rekomenduojama, jog gamintojai išjungtų ir nereikalingas kamerų funkcijas.
LRT tyrimas skelbė, kad šių kamerų dėl saugumo spragų jau anksčiau atsisakė Jungtinės Valstijos, o Lietuvoje jos naudojamos Lietuvos Vadovybės apsaugos, Migracijos, Policijos departamentuose, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybose bei valstybės įmonėje „Oro navigacija“.
Vilniaus savivaldybės administracijos direktoriaus pavaduotojas Adomas Bužinskas BNS patvirtino, kad šios kameros naudojamos ir sostinėje.
Ministras: kamerų keisti nebūtina
Krašto apsaugos ministras Raimundas Karoblis teigia, kad Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameros turi saugumo spragų, bet keisti pačių kamerų fiziškai institucijoje neprireiks.
„Nėra jokių duomenų, kad tais būdais yra pasinaudota. Informacija dabartiniais laikais, kai yra IT priemonės bendrinės, kartu su galimybėmis atsiranda ir rizikos, kurias reikia valdyti. Potencialiai nesitvarkant, ypač ten, kur kameros naudojamos valstybinių institucijų, susijusių su saugumu, grėsmės mastas, rizikos yra, jas reikia ir valdyti“, – Seime trečiadienį sakė ministras.
„Klausimas buvo, ar tas kameras, kurios yra, reikia keisti? Tikrai išvadose nėra tokio pasiūlymo, nes esmė yra ne metalas ir ne stiklas, o esmė yra, kas yra ten. Konkrečiai, kokios programos ir kokios funkcijos įdiegtos ir kaip yra jos administruojamas“, – po uždaro Seimo Nacionalinio saugumo ir gynybos komiteto (NSGK) posėdžio teigė R.Karoblis.
„Esminės išvados, taip, saugumo spragų yra. Yra institucijų, kurios naudoja ir kurias reikia taisyti. Bus įvairių rekomendacijų. Neturi būti automatinio atnaujinimo. Atnaujinimai turi būti iš karto patikrinami ir tik tokiu atveju įdiegiami. Nebūtų kamerose nereikalingų funkcijų, o tik tos, kurios yra būtinos. Tai yra kontroliuojamas procesas. Yra jau rekomendacijos, kaip dabar spragas taisyti ir bus rekomendacijos ateities pirkimams“, – sakė ministras.
NSGK komitete įmontuotos Kinijos gamintojų kameros
NSGK narys Arvydas Anušauskas teigia, kad tokios Kinijos kameros įmontuotos ir NSGK komitete.
„Tikrai ir Nacionalinio saugumo ir gynybos komitete būna įdomių sutapimų – svarstom Kinijoje gamintų vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą (jos prieinamos kibernetinėms atakoms, surenka slaptažodžius ir taip galima valdyti nuotoliniu būdu programinės įrangos atnaujinimą per serverius Rusijoje ir t.t.), teikiam rekomendacijas institucijoms, kaip valdyti tokias rizikas, o tokia pat kamera transliuoja vaizdą iš NSGK posėdžių kabineto jau visus metus...“, – feisbuko paskyroje rašo A. Anušauskas.
D. Gaižauskas: tokias kameras reikia keisti
NSGK pirmininkas Dainius Gaižauskas, skirtingai nei R. Karoblis, mano, kad tokia kameras, ypač saugumo institucijose, reikėtų išmontuoti.
„Jeigu komitetas stebimas tomis pačiomis kameromis, tai yra labai blogai. Tai aš siūlysiu, kad tokias kameras išmontuotų. Jeigu A. Anušauskas turi daugiau duomenų, tai jis turėtų pasidalinti su komitetu, bet turėtume klausti specialistų. Tokių kamerų neturėtų būti“ , – sakė jis.
„Reikia dabar imtis visų įmanomų priemonių, kad pašalintume tuos trūkumus, nes realiai niekas nežino, jeigu kamera išjungta, ar ji tikrai išjungta, ar ji tikrai tuo metu nefilmuoja, ar galima ją nuotoliniu būdu įjungti. Be abejonės, tai kelia nerimą saugumui. Tai būtent specialistai turės patarti, ką daryti. (...) Tokios kameros valstybinėse institucijose, policijoje neturėtų būti naudojamos“, – pabrėžė D. Gaižauskas.
Pasak jo, komitetas priėmė išvadą, kad Vyriausybė turėtų pateikti įstatymų pakeitimus.
„Dabartinė įranga, kurią valstybės institucijos yra įsigijusios, turi tam tikrų saugumo spragų. Todėl turi imtis visų priemonių, kad tas spragas visas skubiai pašalintų. Toliau, perkant naują įrangą, reikės keisti specifikaciją ir atsižvelgti būtent akcentuojant tik saugumo klausimus. Trečias pasiūlymas buvo, kad Vyriausybė pateiktų įstatymo projekto pakeitimo siūlymus, kad Seimas, atsižvelgdamas į juos, priimtų sprendimus“, – sakė jis.