2024 m. kovo 29 d.

 

Lietuvoje naudojamos vaizdo stebėjimo kameros gali būti naudingos Rusijai ir Kinijai

8
Paskelbta: 2020-05-27 13:08 Autorius: ekspertai.eu

Galimybė vaizdo kameras valdyti nuotoliniu būdu, jų paveikumas kibernetinėms atakoms, prasti slaptažodžių saugos sprendimai, programinės įrangos pažeidžiamumai – tokias rizikas atskleidžia Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC), atlikęs išsamų Lietuvoje naudojamų Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą.

„Nustatytų rizikų suvaldymo sprendimas slypi grėsmių suvokime, kartu turi būti ir atsakingai valdomas visas IT ūkis, taip pat būtina reikalauti ir tiekėjo atsakomybės“, – sako NKSC direktorius dr. Rytis Rainys.

NKSC vaizdo stebėjimo kamerų tyrimą pradėjo metų pradžioje, nacionaliniam transliuotojui LRT paskelbus apie galimai nesaugias vaizdo stebėjimo kameras, kurios uždraustos Jungtinėse Amerikos Valstijose. Tyrimo tikslas buvo įvertinti išsamiai ir techniškai ar šių Kinijos gamintojų produktai turi saugumo problemų ir ką tai reiškia kamerų naudotojui. Tyrimas faktiškai technologiniais aspektais aptaria pastebėtas grėsmes saugumui ir kaip tai galėtų būti išnaudota piktavalio. Be to, pateikiami sprendimai ir rekomendacijos kokių veiksmų imtis, kad šių kamerų naudotojai galėtų suvaldyti nustatytas rizikas. Atkreipiame dėmesį, kad analogiškas saugumo spragas gali turėti ir kitų gamintojų rinkoje naudojamos vaizdo stebėjimo kameros, o nustatytos rizikos gali būti sisteminė problema.  
 
NKSC specialistai tyrimui ėmė institucijose naudojamus vaizdo stebėjimo kamerų pavyzdžius, o tyrimas atliktas taip, kad kiti tyrėjai galėtų atkartoti šios analizės rezultatus ir rezultatų patikimumą. Tyrimo metodika rėmėsi programinės įrangos funkcionalumo, kuriamų duomenų srautų struktūros ir aparatinės dalies komponentų dekompozicijos analize. Tyrimas nustatė, kad kamerose naudojami programinės įrangos paketai turi gana daug žinomų kibernetinio saugumo spragų, pažymėtų viešai prieinamose pažeidžiamumų duomenų bazėse (angl. Common Vulnerabilities and Exposures, CVE). Pasinaudojus šiomis spragomis iškyla reali kibernetinių atakų rizika, tokių kaip atkirtimo nuo paslaugos (DoS) ar kenkėjiško kodo įterpimas. Kamerose nėra automatinio atnaujinimo funkcijos, o naujinimo infrastruktūra išdėstyta Kinijos ir Rusijos serveriuose.
 
Taip pat tyrime aptarta, kad gaminiuose panaudoti prasti slaptažodžių apsaugos mechanizmai, kai vartotojų autentifikavimas kamerose vykdomas nešifruotu ryšiu, naudojant  HTTP protokolą, kartu su pasenusiu MD5 algoritmu. Dėl to, vartotojui jungiantis prie kameros, jo slaptažodžio reikšmė gali būti perimta, slaptažodis dekoduotas ir panaudotas neteisėtam prisijungimui. Tai galėtų leisti pašaliniams perimti kameros turinio transliaciją, realiuoju laiku aktyvuoti ar deaktyvuoti kameros funkcijas (vaizdo atpažinimo, garso įrašymo ir kt.), stabdyti kameros veikimą.
 
Be to, nustatyta, kad gamintojo „Hikvision“ parengta kamerų valdymo mobili aplikacija „Hik-Connect“ vykdo sujungimus su Kinija, Tailandu, Singapūru, Airija ir registruoja SIM kortelės IMSI ir ICCID identifikacinius numerius bei mobilaus įrenginio IMEI identifikacinį numerį.
 
Pagal apklausos rezultatus, Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameras šalyje naudoja 57 viešojo sektoriaus institucijos. Nustatytos saugumo rizikos gali būti suvaldomos technologiniais sprendimais, o organizacijų vadovai turėtų skirti daugiau dėmesio IT ūkio valdymui bei kibernetinio saugumo reikalavimų įgyvendinimui. Naudojantiems šių gamintojų vaizdo stebėjimo kameras, NKSC rekomenduoja jas izoliuoti atskirame fiziniame arba specifiškai parametrizuotame loginiame tinkle, neturinčiame prieigos prie tarnybinių, vietinių ar viešųjų interneto tinklų. Taip pat siūloma neatskleisti savo tapatybės ir nesisiųsti atnaujinimų iš nutolusių serverių, nepriklausančių NATO ar Europos Sąjungos šalims. Siekiant išvengti galimų pažeidžiamumų, rekomenduojama nuolatos vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis (angl. White-list).
 
Vykdant vaizdo stebėjimo kamerų viešuosius pirkimus, rekomenduoma techninėje specifikacijoje nurodyti, kad tiekėjas privalo pateikti kameras su naujausiais kamerų gamintojo siūlomais programinės įrangos atnaujinimais, kuriuose būtų ištaisytos žinomos saugumo spragos ir pažeidžiamumai. Taip pat tiekėjas turi organizuoti kamerų programinės įrangos atnaujinimų atsisiuntimą iš ES ir NATO šalyse esančių serverių, bei privalo pateikti kameras tik su funkcionalumais, kurių reikalauja techninė specifikacija, o papildomi, pirkėjo nenurodyti funkcionalumai, turėtų būti deaktyvuoti.

Lietuvoje tiekiamų vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą (30 psl.) rasite čia

Šaltinis: nksc.lt

„Ekspertai.eu“ skelbiamą informaciją draudžiama visuomenės informavimo priemonėse atgaminti be raštiško asociacijos „Global Gaze Network“ sutikimo, kurį galima gauti adresu [email protected]

Association „Global Gaze Network“
IBAN: CH9409000000161276571
BIC: POFICHBEXXX
(banko pavedimo mokestis toks pat, kaip darant pavedimą ir Lietuvoje)
Adresas: Brandschenkenstrasse 53
Miestas: Zürich
Pašto kodas: 8002


 
Komentarai

 
8. yel“l“ow submarine
(2020-05-27 22:12:10)
(78.63.212.238) Parašė:

išvados dvi : 1.nksc yra veltėdžių ir debilų kontora; 2. litchūaniški chalujai nebežino kurią vietą belaižyti pindosams, stengiantis pagauti politinius vėjus :)))) --- jei kalbėti apie prisegtą dokumentą, tai sveikinu šūdmalių kompaniją sulipinus visokiausių beviltiškų duomenų mozaiką iš svetimų šaltinių :)) - o paveiksliukai tiesiog nuostabūs ! - o pats “dokumentas“ tiesiog neįkainojamas :)) - belieka suskaičiuoti kiek dar liko kinietiškų ir dalinai kinietiškų brendų, gaminančių kameras (o tai 99 proc. tinklo kamerų rinkos, atmetus nerealiai brangias ir ultra specializuotas) , ir keliems dešimtmečiams dar užteks tos sureikšmintos masturbacjos, gerai apmokamos litchūanijos veršių mokesčiais :))))))))) p.s - hikvision ir dahua brendų vyravimas litchūanijos kamerų rinkoje man iki lempos, o kad jie turi puikią kokybę ir itin konkurencingą kainą, niekam ne paslaptis :)



7. Ceslovas
(2020-05-27 20:32:10)
(78.63.127.120) Parašė:

Jau geriau kad butu naudingos ruskiams ar kinas negu amerikiniams bandytams.



6. Kaip apgailėtinai
(2020-05-27 18:24:31)
(212.52.41.17) Parašė:

visa tai atrodo, kai vietiniai ciucikai sulaukia, ką pasakys šeimininkai iš JAV ir tada jau puola vienas per kitą linkčioti ir pritarti, stengdamiesi pademonstruoti kaip jie gerai tarnauja...



5. An
(2020-05-27 17:42:11)
(78.63.229.198) Parašė:

Na LRT tikrai dirba geri specialistai, nusimanantys kibernetikoj, 5G rysyje, kosminese invazijose... Dabar, kai jau nustate, kad stebejimo kameros gali buti snipinejimo objektas, telieka tas kameras padovanoti Rusijai ar Kinijai. Juk pacios saves tai nesnipines. Arba Ukrainai, nes jai jau tas pats...



4. Cha
(2020-05-27 16:57:56)
(86.100.239.138) Parašė:

Nu tai dabar "blogąsias" kameras išmontuos ir pirks geras, brangias, iš kokios Korėjos, Japonijos ar Amerikos:))



3. Iš pradžių
(2020-05-27 16:46:14)
(78.56.75.110) Parašė:

reikia-nereikia prisikabinėja tų tinklinių kamerų, išplauna milijonus, o paskui dar su jomis kovoja. Vėl nauja isterija ir nauja korupcija..



2. Nu jo...
(2020-05-27 16:19:03)
(188.69.207.102) Parašė:

Rusai turi tokY posakY: "любопытной Bарваре нос оторвали", - šypseną kelia tai, kad esant geriems ir teisingiems norams, rusofobai patys gali būti kontrloliuojami tų, kuriuos esant mažiausiai progai, siekia kontroliuoti.



1. Romas
(2020-05-27 15:20:57)
(77.111.246.7) Parašė:

Idomu, koks "ismincius" rase si straipsni? Jis turi varda ir pavarde? Nelabai seniai 7 menesius pragyvenau vienoje Afrikos salyje. Skaudu, bet ten bendras issivystymas, kokia pakopa, yra aukstesnis. Taip, gyvena skurdziau, bet tokiu nesamoniu nerasineja.



Parašykite komentarą
Ekspertai.eu įspėja, kad komentaras – tai viešas informacijos paskelbimas.
Komentatorius atsako už savo viešai paskelbtą žinomai neteisingą, įžeidžiančią, šmeižikiško ar nusikalstamo turinio informaciją (tai yra komentarai, kuriuose skatinama tautinė, rasinė, religinė ar kitokia neapykanta, raginimai nuversti teisėtą Lietuvos valdžią, organizuoti sąmokslą prieš valstybę, pakeisti jos konstitucinę santvarką, kėsintis į nepriklausomybę arba pažeisti teritorijos vientisumą, šiais tikslais kurti ginkluotas grupes arba daryti kitus nusikaltimus, kuriais kėsinamasi į Lietuvos valstybę) LR teisės aktų nustatyta tvarka.
Ekspertai.eu komentarų neredaguoja.
Komentarai su keiksmažodžiais ar vulgarybėmis bei piktybiškai kartojami tekstai yra šalinami.
Vardas
Komentaras