Дешевые китайские видеокамеры могут отправлять снятое видео в РФ, — расследование

Дешевые китайские видеокамеры могут отправлять снятое видео в РФ, — расследование

Недавно журналисты медиапроекта "Схемы" совместно с ИТ-специалистами провели эксперимент, который доказал, что тысячи видеокамер китайского производства опасны для Украины. Об этом пишет "Радио Свобода".

Журналисты-расследователи в конце 2023 рассказали, что тысячи систем видеонаблюдения с российским программным обеспечением Trassir работали на улицах городов Украины, частных объектах и могли передавать беспрепятственно данные в Москву.

Однако существует еще одна опасность — китайские видеокамеры, которые даже массовее используют в Украине. Прежде всего, это камеры производства двух китайских компаний — Hikvision и Dahua. Кстати, импорт продукции этих компаний запрещен в США как "угроза национальной безопасности", а в Украину они внесены в перечень международных спонсоров войны.

Однако видеокамеры работают и продаются, и из-за их дешевизны украинцы предпочитают покупать камеры для бытового использования. К тому же они оказались и в государственных системах безопасности, в частности, в проекте "Безопасный город". В общей сложности китайский технологический гигант Hikvision производит примерно 20% всех камер видеонаблюдения в мире, Dahua - 10% всех изделий. Ими массово пользуются по всему миру: в самом Китае, России, странах ЕС и т.д. В Украине их – сотни тысяч.

Фото: Радио Свобода

Почему это опасно

Прежде всего, на что обратили внимание журналисты, это то, что камеры, подключенные к интернету, сразу передают изображения на серверы китайского производителя. Куда может передаваться картинка и легко ли сломать защиту и подключиться к камере нелегально, например, с территории России?

Вместе с ИТ-специалистами "Схемы" провели эксперимент с камерами выпусков 2015, 2019 и 2023 годов. Самыми уязвимыми с технической точки зрения, конечно, оказались камеры первых двух выпусков. То есть, такими, как подчеркнули специалисты, отправляющие информацию на серверы китайского производителя и легче могут подвергаться хакерским атакам.

"Когда эта камера была подключена к интернету, она сразу начала соединяться со своими серверами. Сервис, деанонимизирующий IP-адреса, то есть связывающий с физическим адресом, показал, что серверы расположены в Ирландии, а их владелец — американская компания Amazon. Китайская компания Hikvision арендует эти серверы, чтобы пользователи могли передавать и хранить видео. Hikvision полностью контролирует эти серверы как производитель камер и софта", — пояснили ИТ-специалисты.

Как добавил эксперт "Лаборатории цифровой безопасности" Иван Антонюк, это стандартная практика, но в таком случае пользователь должен доверять производителю, который несет ответственность за конфиденциальность и безопасность.

Фото: Радио Свобода

А вот когда камеры подключили к телефону через интернет, специалисты сразу увидели, что автоматически началась передача зашифрованной информации, а именно пошли регистрационные данные, а также логин и пароль пользователя на серверы, которые контролирует Dahua. Примечательно, что когда устройство отключили от сети, оно все равно продолжило попытки передачи данных.

"В таком случае информация идет на серверы, как мы видим, в Германии. Также через серверы идет и видеопоток", - комментирует исполнительный директор "Лаборатории компьютерной криминалистики" Сергей Денисенко.

Фото: Радио Свобода

Камера, произведенная в сентябре 2023 года, как утверждают специалисты, более защищена. Например, не позволяет установить простой пароль, что сложнее для взлома. Во время эксперимента при подключении к сети камера не передавала сразу данные об устройстве или пользователе или других регистрационных данных. Но когда пользователь подключается к облачному хранилищу с помощью Интернета, видеопоток все равно попадает на серверы производителя.

Фото: Радио Свобода

По данным ИТ-специалистов, часть зашифрованной информации с камеры идет на сервер Chinanet в Китае, а это серверы государственной китайской компании China Telecom, являющейся одним из лидеров на рынке предоставления интернет-услуг в Китае.

"Наши специалисты убеждены, что в случае использования такого сервиса доступ к камерам при необходимости могут с легкостью получать представители производителя. Учитывая отношения Китая и России сейчас, это может нести определенные риски безопасности", - подчеркивает Сергей Денисенко.

"Безопасный город"

Итак, в том, что производитель программного обеспечения все еще сохраняет возможность доступа к любому устройству, подключенному к сети интернет, и есть главный риск, говорят в "Лаборатории компьютерной криминалистики". Ключевой предохранитель — пользоваться устройствами без интернета, в изолированной локальной сети, но в большинстве своем это доступно частному бизнесу или государственным структурам, а не бытовым пользователям.

Сама такая сеть, как утверждают в Министерстве внутренних дел, настроена в системе "Безопасный город". То есть в основе "Безопасного города" камеры и софт Hikvision и Dahua, но закрытая сеть вроде бы защищает от отправки информации с устройств к серверам производителя.

"В системах видеонаблюдения, подобных системе "Безопасный город", администраторами и владельцами которых являются органы местной власти, работает около 24 тысяч камер Dahua и Hikvision. Именно к такому количеству камер имеют доступ центральные органы исполнительной власти системы МВД. Это составляет 74% всех камер такой категории", - сообщили в министерстве в ответ на запрос журналистов.

Фото: Радио Свобода

Однако специалисты по кибербезопасности по просьбе "Схем" проверили устройства на уязвимость перед хакерскими атаками. Специалисту, смоделировавшему процесс "взлома" одной из камер Hikvision, на это понадобилось около 15 минут.

"С помощью специального программного обеспечения мы видим, что хакер может оперативно получать доступ к камерам видеонаблюдения. Если у камеры ненадлежащая настройка безопасности (например, отсутствие сложных паролей, открытое соединение с интернетом, незащищенные роутеры), то злоумышленник может как следить за тем, что фиксирует камера, так и хранить эту информацию для дальнейших действий", - объясняет действия IT-специалиста Сергей Денисенко.

Да, говорят специалисты, и произошло 2 января 2024 года, в день массированной российской атаки по украинским городам. Тогда в СБУ сообщили, что обнаружили камеры в столице, установленные на частных домах, транслирующих работу украинского ПВО и локации критической инфраструктуры. Это камеры внешнего наблюдения, которые, по данным силовиков, сломали российские спецслужбы. В общей сложности за время полномасштабного вторжения, по данным СБУ, им удалось заблокировать более 10 тысяч камер видеонаблюдения, которые российские спецслужбы могли использовать для шпионства.

На Западе и США китайские камеры почти запрещены

В 2021 году Федеральная комиссия по связи США (FCC) – регулятор в области телекоммуникаций – определила пять китайских компаний, угрожающих национальной безопасности США. Hikvision и Dahua – в этом списке.

Двумя годами ранее, в 2019-м, администрация тогдашнего президента США Дональда Трампа внесла компанию Hikvision в санкционный список, и впоследствии в стране запретили установку продукции этой компании на государственных объектах. К подобным ограничениям позже также прибегли в других странах.

Фото: Радио Свобода

"Единственная другая известная мне страна, полностью запретившая их использование для государственных нужд, — Тайвань. Существуют разные примеры в Британии и Австралии, где камеры Dahua или Hikvision были изъяты из обращения по соображениям безопасности. Некоторые региональные органы власти в Великобритании запретили их, а сама страна запретила их на "чувствительных объектах", находящихся под управлением правительства, но они еще не ввели полный государственный запрет", - рассказывает Коннор Гили, директор американской организации Internet Protocol Video Market (сокращенно IPVM).

Национальный институт стандартов и технологий США регулярно сообщает о новых найденных уязвимостях, позволяющих получить доступ к устройствам, в частности, в изделиях Hikvision и Dahua. Последний подобный отчет датируется декабрем 2023 года. Одна из главных причин такого пристального внимания — то, что власти Китая в соответствии с их действующим законодательством обязали компании предоставлять государству всю информацию, которую она считает необходимой для контрразведывательной деятельности.

"Нынешнее законодательство Китая, особенно обновленное в 2023 году, обязывает абсолютно всех граждан страны, собирать разведданные и передавать их государству. Мы видели, что там был усилен так называемый закон о контршпионаже, согласно которому вся китайская нация имеет быть мобилизована для служения интересам национальной безопасности Китая. И в отношении технологических компаний, прежде всего, они как раз те центральные организации, которые передают сведения", — рассказывает Артур Харитонов, руководитель ОО "Либерально-демократическая лига Украины", следящий за политикой Китая.

Кто такие Hikvision и Dahua

Как свидетельствует анализ структуры этих фирм, утверждает Харитонов, государство в обеих компаниях является совладелицей. Наибольшая доля в Hikvision (почти 37%), по данным Bloomberg по состоянию на 2023 год, принадлежит CET Hik Group, которой со своей стороны на 100% владеет государственная China Electronic Technology Corporation Group (CETC). Эта государственная компания известна тем, что занимается разработками в оборонной промышленности Китая, а именно разработкой радаров, систем РЭБ и БПЛА.

Похожая ситуация и с компанией Dahua, где значительную долю (почти 9%) имеет государственная China Mobile, хотя крупнейшим совладельцем и директором компании является китайский миллиардер Фу Ликуань. Более того, в 2022 году в США обе компании Dahua и Hikvision, а также их государственных совладельцев China Mobile и CETC признали китайскими военными компаниями.

Китай и Россия — насколько велик риск слива информации

Украинские и зарубежные СМИ неоднократно писали, что существует риск передачи в РФ информации по китайским устройствам, которыми массово пользуются как в Украине, так и в других странах.

"Безусловно, они обмениваются сведениями, мы это понимаем. Потому что существует огромная система российско-китайских соглашений в сфере безопасности. Они подписываются несколько раз в год минимум. Последние, самые масштабные соглашения были подписаны во время визита Си Цзиньпина в Москву, в октябре 2023- го уже Путин был в Пекине, где тоже заключались соглашения об определенных обязательствах с обеих сторон, но в настоящее время Китай понимает риски открытого сотрудничества с РФ и, как мы видим, частично скрывает свои действия, чтобы это не мешало их "экспансионной кампании" с продвижение своей продукции на мировом рынке", - подчеркивает Артур Харитонов.

Хотя Китай декларирует вроде бы нейтральность по отношению к российско-украинской войне, но о сотрудничестве двух стран в военной сфере свидетельствуют как совместные военные учения и заявления об "углублении сотрудничества", так и регулярные визиты секретаря Совета национальной безопасности РФ Николая Патрушева в Китай.

Китай был и остается крупнейшим поставщиком подсанкционной электроники в Россию. Эта продукция впоследствии попадает в российскую военную технику, рации и ракеты. Кстати, по данным пекинской редакции Reuters, в 2023 году общая сумма импорта-экспорта между РФ и Китаем составляла рекордные 240 миллиардов долларов — это почти на четверть больше, чем годом ранее.

Американская разведка в своем отчете за 2023 прямо сообщает о том, что Пекин применяет разнообразные механизмы экономической поддержки России. Поэтому, учитывая такое сотрудничество, особенно в военной сфере, безусловно, Китай способен, считает Харитонов, использовать свои технологии и устройства для передачи украинских данных в РФ.

"Также для этого существует договорная основа - установление "военного побратимства" между КНР и РФ и соответствующая инфраструктура - присутствие представительства Министерства государственной безопасности Китая в Москве", - отмечает представитель "Либерально-демократической лиги Украины".

Как обезопаситься от распространения китайской продукции

В первую очередь это определение дистрибьюторов продукции Hikvision и Dahua. Для первой считаются три компании - "Виатек", "НПО Инфотех" и "Мир камер". Все три компании соединены меж собой через собственников. Еще в 2018 году издание "Наши деньги" опубликовало расследование о том, как украинские поставщики помогают "выстроить искусственную монополию" на уличное видеонаблюдение Киева под конкретного производителя из-за государственных закупок. Среди них и упоминаются первые два дистрибьютора. В 2023 году компания "Мир камер" уже попала в перечень фирм, которые Бюро экономической безопасности считает причастными к хищению бюджетных средств во время построения системы видеонаблюдения в Киеве. Следствие по этому делу продолжается. В компании эти обвинения не комментировались.

Еще одна фирма "Инжениринг-Аналитика" в большинстве своем продвигает китайскую продукцию в Украине для крупных государственных заказчиков. К примеру, эта компания обустраивала и обслуживает большие государственные системы видеонаблюдения в Киеве, Одессе, Львове, Черкассах, Ровно, Луцке, Кропивницком, Днепре и других городах Украины, а также сотрудничает с различными подразделениями, подчиняющимися Министерству внутренних дел — от полиции до пограничных служб. .

Крупнейшим дистрибьютором камер от компании Dahua в Украину является компания "Торговый дом систем видеонаблюдения", которая, согласно данным Importgenius, с 2016-го по 2023 год поставила более 1 миллиона устройств видеонаблюдения. Эта компания также связана с упомянутыми фирмами Виатек и Мир камер через руководство и владельцев, но в апреле 2023 года фирма прекратила свою деятельность.

В Министерстве внутренних дел журналистов "Радио Свобода" заверили, что "после попадания указанных компаний в список "международных спонсоров войны" МВД не рекомендует и не согласовывает соответствующие закупки". И заявляют, что уже трудятся над тем, чтобы заменить устройства.

"С целью централизации всех имеющихся систем видеонаблюдения МВД разработан соответствующий проект закона Украины "О единой системе видеомониторинга состояния публичной безопасности", который уже находится в Верховной Раде Украины. Предполагается, что такая система будет построена на программном обеспечении, приобретенном для МВД в 2021 году в рамках проекта "Безопасная страна". Производителем программного решения является Украина и Израиль", - подчеркивает МВД.

В частности, в Украине при Госспецсвязи есть структура, которая называется Computer Emergency Response Team of Ukraine или Команда реагирования на компьютерные чрезвычайные события Украины. Как пишут журналисты "Схем", они публично пишут на официальном сайте о технических уязвимостях, которые находят в различных устройствах иностранных компаний, таких как Cisco, Microsoft, Apple и других. Но никаких упоминаний о Hikvision или Dahua. "Схемы" обратились в ведомство с вопросом, проводили ли такие проверки по устройствам этих двух китайских производителей.

Также журналисты направили запросы непосредственно в компании Hikvision и Dahua с вопросами безопасности для пользователей, имеющих такие устройства, а также сотрудничества с Россией. Редакция ждет ответа.

Отдельно журналисты обратились с запросами в Офис президента, Кабмин, СБУ и СНБО с вопросами: каково государственное видение относительно обращения в стране сотен тысяч китайских камер, информация из которых может попадать к власти КНР, а от нее, что не исключено, в Россию? Существует ли план постепенного отказа и изъятия китайской технологии из Украины? Редакция тоже ждет ответа.

А пока для простого потребителя, имеющего такую камеру у себя дома, специалисты по кибербезопасности советуют, по меньшей мере, изменить заводские настройки безопасности, использовать сложные и дополнительные пароли. И напоминают о том, что китайский производитель оставляет за собой прямой доступ к информации с устройств, как только камера подключается к интернету.