Нагляд з Китаю: тисячі китайських камер відеоспостереження в Україні можуть передавати інформацію
Китайські системи відеоспостереження не заборонені до продажу і продовжують функціонувати по всій Україні
Окрім небезпечної російської технології "Trassir" по всій Україні, яка могла роками передавати дані до рф, ще більш масово в Україні використовують камери китайського виробництва. Разом з IТ-фахівцями «Схеми» провели експеримент, як камери, підключені до інтернету, передають інформацію з них на сервери, які контролює китайський виробник, йдеться у матеріалі Радіо Свобода
На першому місці за поширеністю – вироби китайської компанії Hikvision, другі – Dahua. Імпорт продукції цих обох компаній у Сполучених Штатах заборонений, бо це «загрожує національній безпеці». В Україні вони внесені до списку «міжнародних спонсорів війни», проте китайські системи відеоспостереження не заборонені до продажу і продовжують функціонувати по всій Україні. До того ж, поширені вони і на рівні державних систем безпеки – зокрема у «Безпечному місті». Згадки про закупівлі китайських камер та софту на українському ринку можна знайти щонайменше з 2006 року.
Їх встановлюють як державні підприємства і приватні компанії, так і прості українці, встановлюючи відеоспостереження в себе вдома, щоб дистанційно стежити за безпекою власної оселі.
Журналісти «Схем» провели експеримент спільно з фахівцями зі спеціалізованих організацій – «Лабораторії комп’ютерної криміналістики» та «Лабораторії цифрової безпеки».
Взяли китайські Hikvision та Dahua різного типу та періоду виробництва – 2015, 2019 та 2023 років. Це пов’язано із тим, що виробники постійно змінюють технічне «начиння». Моделі, вироблені кількома роками раніше, як показав експеримент, є більш вразливими. Тобто такими, що відправляють інформацію на сервери китайського виробника та легше можуть піддаватися хакерським атакам.
Hikvision, 2015
Коли цю камеру підключили до інтернету, вона одразу почала з’єднуватися зі своїми серверами.
Сервіс, який деанонімізує IP-адреси – тобто зв’язує з фізичною адресою, – показав, що сервери знаходяться в Ірландії, а їхній власник – американська компанія Amazon. Китайська компанія Hikvision орендує ці сервери – щоб користувачі мали можливість передавати та зберігати відео. Hikvision повністю контролює ці сервери як виробник камер та софту.
«В принципі це стандартна практика для камер – з’єднуватись зі своїми серверами для реєстрації і передачі даних. Але користувач має розуміти, що безпека при такому зв’язку покладається на компанію-виробника і на те, наскільки саме це з’єднання безпечне, а також хто і як може використати цю інформацію. І тут вже питання – довіряєте ви китайському розробнику чи ні», – пояснює експерт «Лабораторії цифрової безпеки» Іван Антонюк.
Dahua, 2019
«При під’єднанні цієї камери до телефону через інтернет ми бачимо, що вона автоматично починає надсилати зашифровану інформацію, а саме: свої реєстраційні дані, а також логін і пароль користувача на сервери, які контролює Dahua, у зашифрованому вигляді, – коментує виконавчий директор «Лабораторії комп’ютерної криміналістики» Сергій Денисенко. – В цьому випадку інформація йде на сервери, як ми бачимо, у Німеччині. Також через сервери йде і відеопотік».
Як вдалось встановити під час експерименту, це – сервери Easy4ipcloud, які належать американській Zenlayer та китайській uCloud і знаходяться у Німеччині. Відповідно, орендує ці сервери виробник – китайська Dahua.
Коли пристрій відключили від мережі, він все одно продовжив спроби передати дані.
«Ми бачимо, що навіть коли користувач хоче вимкнути з’єднання з хмарним сервісом Dahua (де може зберігатися відео – ред.), таке з’єднання все одно продовжується і інформація продовжує потрапляти через інтернет на сервери, які орендує Dahua. І хоча інформація йде у зашифрованому вигляді, я вважаю, що для виробника і розробника цих камер розшифровка такої інформації не буде становити проблему. А це вже якраз безпекові ризики для користувача, про які виробник його не повідомляв», – підкреслює Сергій Денисенко.
Hikvision, 2023
Камера, вироблена у вересні 2023 року, на відміну від більш старіших пристроїв, більш захищена – стверджують фахівці, які її перевірили. Наприклад, не дає змоги встановити простий пароль – що складніше для зламу.
«Програмне забезпечення більш старої камери Hikvision не вимагає від користувача створювати складний і більш безпечний пароль – умовні «1234567890» підійдуть і будуть прийняті системою. Натомість софт 2023 року вже вимагає придумати щось більш складне з використанням різних символів», – підкреслює експерт «Лабораторії цифрової безпеки» Іван Антонюк.
Під час експерименту камера 2023 року випуску при приєднанні до мережі не передає одразу дані про пристрій або користувача, чи інші реєстраційні дані, як це було у випадку з більш старішими моделями. Але коли користувач підключається до хмарного сховища за допомогою інтернету – відеопотік все одно потрапляє на сервери виробника.
«Цей новий прилад вже значно безпечніший. Але ми бачимо, що під час приєднання до мережі і підключенні хмарного сервісу, він так само відправляє інформацію до серверів, які знаходяться в оренді Hikvision, зокрема – на сервери Amazon. Вони підписані як Нik-connect», – каже виконавчий директор «Лабораторії комп’ютерної криміналістики» Сергій Денисенко.
Сервери Amazon належать однойменній великій компанії зі штаб-квартирою в США. Американська фірма надає послуги китайським компаніям, посилаючись на те, що «дотримується вимог законодавства у країнах, де веде свій бізнес».
Експеримент з камерою триває, Денисенко продовжує аналізувати побачене на екрані комп’ютера: «Крім цього, частина зашифрованої інформації з камери йде на сервер Chinanet у Китаї за IP-адресою, яку ми бачимо на екрані».
Що таке Chinanet?
Chinanet – це сервери державної китайської компанії China Telecom, яка є одним з лідерів на ринку надання інтернет-послуг у Китаї.
«Наші фахівці переконані, що при використанні такого сервісу доступ до камер при необхідності можуть з легкістю отримувати представники виробника. Також, враховуючи відносини Китаю і Росії зараз, це може нести певні безпекові ризики», – каже виконавчий директор «Лабораторії комп’ютерної криміналістики» Сергій Денисенко.
«Безпечне місто»
В тому, що виробник програмного забезпечення все ще зберігає можливість доступу до будь-якого пристрою, підключеного до мережі інтернет, і є головний ризик, кажуть в «Лабораторії комп’ютерної криміналістики».
Ключовий запобіжник – користуватися пристроями без інтернету, в ізольованій локальній мережі, але здебільшого це доступно приватному бізнесу чи державним структурам, а не побутовим користувачам. Сама така мережа, як стверджують у МВС, у системі «Безпечне місто».
В основі «Безпечного міста» камери та софт Hikvision і Dahua, але закрита мережа убезпечує від відправки інформації з пристроїв до серверів виробника.
«В системах відеоспостереження, подібних до системи «Безпечне місто», адміністраторами та власниками яких є органи місцевої влади, працює близько 24 тисяч камер Dahua та Hikvision. Саме до такої кількості камер мають доступ центральні органи виконавчої влади системи МВС. Це складає 74% від всіх камер такої категорії. Наявна продукція компаній Dahua та Hikvision була придбана підрозділами системи МВС до початку повномасштабного вторгнення», – повідомили в МВС у відповідь на запит Радіо Свобода.
У відомстві додали, що «для унеможливлення ризиків витоку інформації до КНР системи відеоспостереження знаходяться в закритій локальній мережі без можливості виходу в загальнодоступну мережу інтернет, а у деяких випадках налаштований доступ лише до окремих адрес (ACL) із забезпеченням шифрування».
Хакерські атаки
Окремо фахівці з кібербезпеки на прохання «Схем» перевірили пристрої на вразливість перед хакерськими атаками. Спеціаліст з «Лабораторії комп’ютерної криміналістики» змоделював процес «зламу» однієї з камер Hikvision. У нього це зайняло близько 15 хвилин.
«За допомогою спеціального програмного забезпечення ми бачимо, що хакер може оперативно отримувати доступ до камер відеоспостереження. Якщо у камери неналежне налаштування безпеки (наприклад, відсутність складних паролів, відкрите з’єднання з інтернетом, незахищені роутери), то зловмисник може як стежити за тим, що фіксує камера, так і зберігати цю інформацію для подальших дій», – пояснює дії IT-фахівця Сергій Денисенко.
Спеціаліст з «Лабораторії комп’ютерної криміналістики» змоделював процес «зламу» однієї з камер Hikvision. У нього це зайняло близько 15 хвилин.
Так, кажуть фахівці, сталось 2 січня 2024 року, в день масованої російської атаки по українських містах.
Тоді в СБУ повідомили, що виявили камери у столиці, встановлені на приватних будинках, які транслювали роботу української ППО та локації критичної інфраструктури. Це камери зовнішнього спостереження, які, за даними силовиків, зламали російські спецслужби.
«Схемам» стало відомо від джерел в правоохоронних органах, одна з камер – це Hikvision 2016 року виробництва, яка працювала повністю на «рідному» китайському програмному забезпеченні. Пристрої спецслужба вилучила.
«Такі камери зазвичай просто під'єднані до мережі інтернет та вже відносно застарілі, тобто з програмним забезпеченням, яке вже значний час не оновлювалось і має багато відомих вразливостей. Мова йде, у тому числі, про використання базових програм для доступу, які передбачають виробники самих камер. І хакери або у цьому випадку – російські спецслужби, скануючи інтернет-простір, знаходять цю камеру і отримують доступ до неї», – пояснює Сергій Денисенко.
За час повномасштабного вторгнення, за даними СБУ, їм вдалось заблокувати понад 10 тисяч камер відеоспостереження, які російські спецслужби могли використовувати для шпигування.
На Заході вже поступово забороняють китайські камери
Федеральна комісія із зв’язку США (FCC) у 2021 році – це регулятор у галузі телекомунікацій – визначила п’ять китайських компаній як таких, що загрожують національній безпеці США. Hikvision (повна назва Hangzhou Hikvision Digital Technology) та Dahua (повна назва Zhejiang Dahua Technology) – у цьому списку.
Двома роками раніше, у 2019-му, адміністрація тодішнього президента США Дональда Трампа внесла компанію Hikvision у санкційний список і згодом в країні заборонили встановлення продукції цієї компанії на державних об’єктах. До схожих обмежень пізніше також вдалися в інших країнах.
Одна з головних причин – це те, що влада Китаю, відповідно до їхнього законодавства, зобов'язала компанії надавати державі всю інформацію, яку вона вважає необхідною для контррозвідувальної діяльності.
«Нинішнє законодавство Китаю, особливо те, що було оновлене в 2023 році, зобов'язує абсолютно всіх громадян країни, збирати розвіддані і передавати їх державі. Ми бачили, що там було посилено так званий закон про контршпигунство, згідно з яким вся китайська нація має бути мобілізована для служіння інтересам національної безпеки Китаю. І що стосується технологічних компаній передовсім – вони якраз ті центральні організації, які передають відомості», – говорить Артур Харитонов, керівник ГО «Ліберально-демократична ліга України», що стежить за політикою Китаю. Він же є головним координатором проєкту Free Hong Kong Center, який відстежує вплив КНР.
Та як показує аналіз структури цих фірм, держава і там, і там є співвласницею.
Найбільша частка в Hikvision – майже 37% – за даними Bloomberg станом на 2023 рік, належить CET Hik Group, якою у свою чергу на 100% володіє державна China Electronic Technology Corporation Group (CETC). CETC відома тим, що також займається розробками у оборонній промисловості Китаю, а саме розробкою радарів, систем РЕБ та БПЛА.
Керівник Hikvision – Цзун Ніан Чен (Zong Nian Chen) також працював у державній CETC з 1986 року і щонайменше до 2022 року був членом Комуністичної партії Китаю та обіймав посаду секретаря партії. Раніше приналежність голови компанії до Комуністичної партії Китаю також вказувалась у звітах Hikvision, але, наприклад, у документах за 2022-й згадок про це журналісти вже не знайшли.
Схожа ситуація і з компанією Dahua, де значну частку – майже 9% – має державна China Mobile, хоча найбільшим співвласником та директором компанії є китайський мільярдер Фу Лікуань.
«Треба розуміти, що компанії Китайської народної республіки – це компанії, які тісно пов'язані з Комуністичною партією Китаю. Тобто, немає в КНР великого абсолютно незалежного бізнесу – і це не моя суб'єктивна оцінка – це вимоги їхнього законодавства. Тобто у них у законодавстві безпосередньо передбачена активна залученість комуністичної партії, починаючи від так званих «золотих акцій», закінчуючи іншими формами впливу уряду безпосередньо на приватний бізнес. Тобто, це не політика навіть приватного бізнесу, це, по суті, політика держави», – пояснює очільниця напрямку мінімізації корупційних ризиків НАЗК Агія Загребельська.
Більше того, у 2022 році в США обидві компанії Dahua та Hikvision, а також їхніх державних співвласників China Mobile та CETC визнали китайськими військовими компаніями.
Ще одним важливим фактором у забороні китайських виробників систем відеоспостережень для західних країн стало те, що Hikvision називають дотичною до геноциду уйгурів у Китаї (тюркомовна народність, що здебільшого живе на заході Китаю – ред.). У розслідуванні BBC йшлося про те, що саме пристрої та програмне забезпечення цих виробників допомагали комуністичній владі КНР ідентифіковувати та відстежувати людей за релігійними ознаками, що згодом призводило до ув’язнення у концтаборах.
Китай-Росія
Через давню і тісну співпрацю Китаю та Росії існує ризик передачі до РФ інформації з китайських пристроїв, якими масово користуються як в Україні, так і в інших країнах. Про це також неодноразово писали закордонні ЗМІ.
«Безумовно, вони обмінюються відомостями, ми це розуміємо. Тому що існує величезна система російсько-китайських угод в сфері безпеки. Вони підписуються декілька разів на рік щонайменше. Останні, наймасштабніші угоди були підписані під час візиту Сі Цзіньпіна до Москви, у жовтні 2023-го вже Путін був у Пекіні, де теж укладались угоди про певні зобов’язання з обох сторін. Але наразі Китай розуміє ризики відкритої співпраці з РФ і, як ми бачимо, частково приховує свої дії, що б це не заважало їхній «експансійній кампанії» з просування своєї продукції на світовому ринку», – підкреслює Артур Харитонов.
Хоч публічно Китай декларує нейтральність щодо російсько-української війни, але про співпрацю двох країн у військовій сфері свідчать як спільні військові навчання і заяви про «поглиблення співпраці», так і регулярні візити секретаря Ради національної безпеки РФ Миколи Патрушева до Китаю, де він, зокрема, мав зустрічі з тодішнім міністром безпеки КНР.
До того ж, Китай залишається найбільшим постачальником до росії підсанкційної продукції, зокрема електроніки, яка у подальшому потрапляє у російську військову техніку, рації та ракети. За даними пекінської редакції Reuters, у 2023 році загальна сума імпорту-експорту між РФ та Китаєм склала рекордні 240 мільярдів доларів – це майже на чверть більше, ніж роком раніше.
У звіті американської розвідки за 2023 рік йдеться про те, що «Пекін застосовує різноманітні механізми економічної підтримки Росії, які пом'якшують як вплив західних санкцій, так і експортного контролю, збільшивши імпорт російського енергетичного експорту, включаючи поставки нафти і газу, переспрямовані з Європи. Китай також значно збільшив використання своєї валюти, юаня, і своєї фінансової інфраструктури в комерційних відносинах з Росією, що дозволяє російським компаніям здійснювати фінансові операції, не обмежені західними заборонами. КНР також стає все більш важливою опорою для Росії в її військових зусиллях, ймовірно, постачаючи Москві ключові технології та обладнання подвійного призначення, що використовуються в Україні».
Враховуючи таке союзництво, чи може Китай ділитись інформацією з українських камер з Росією?
«На мою думку, Китай здатен використовувати свої технології для передачі відомостей РФ. Технічний бік питання – це експертиза фахівців. Але, згідно з побоюваннями профільних організацій у Італії, Британії, США тощо, така можливість у китайців є. Також для цього існує договірне підґрунтя – встановлення «військового побратимства» між КНР і РФ та відповідна інфраструктура – присутність представництва Міністерства державної безпеки Китаю у Москві», – каже Харитонов з «Ліберально-демократичної ліги України».
Міжнародні спонсори війни
Hikvision та Dahua, як показав аналіз «Схем», активно наповнюють державний бюджет Росії податками, частина з яких йде з кошторису країни-агресора на фінансування війни проти України. Зокрема, згідно з російськими реєстрами, у 2022 році чистий прибуток офіційного представництва Hikvision в Росії, порівняно з попереднім роком, виріс у понад 15 разів. З цих грошей майже 400 мільйонів рублів – це сплачені податки.
Офіційне представництво Dahua в Росії у 2022 році сплатило понад 70 мільйонів рублів податків.
Саме через цю торгівлю та постачання продукції подвійного призначення українське Нацагентство з питань запобігання корупції у 2023 році внесло Hikvision та Dahua до переліку «міжнародних спонсорів війни».
Хто в Україні є дистриб'ютором камер
В Україні найбільшими дистриб'юторами продукції Hikvision вважаються три компанії. Це «Віатек», «НПО Інфотех» – вони вказані на офіційному сайті китайського виробника – та «Світ камер». Всі три компанії пов’язані між собою через власників.
Згідно з даними Importgenius, ці фірми напряму співпрацюють з китайським виробником Hikvision. З 2014-го до 2022 року вони імпортували до країни близько мільйона камер від цього виробника.
Ще у 2018 році видання «Наші гроші» опублікувало розслідування про те, як українські постачальники допомагають «вибудувати штучну монополію» на вуличне відеоспостереження Києва під конкретного виробника – Hikvision – через державні закупівлі. Серед них згадуються «Віатек» та «НПО Інфотех».
У 2023 році компанія «Світ камер» вже потрапила у перелік фірм, які Бюро економічної безпеки вважає причетними до розкрадання бюджетних коштів при побудові системи відеоспостереження у Києві. Слідство у цій справі триває. У компанії ці обвинувачення не коментували.
Ще одна фірма – «Інженіринг-Аналітика» – здебільшого просуває китайську продукцію в Україні для великих державних замовників. Наприклад, ця компанія облаштовувала та обслуговує великі державні системи відеоспостереження у Києві, Одесі, Львові, Черкасах, Рівному, Луцьку, Кропивницькому, Дніпрі та інших містах України, а також співпрацює з різними підрозділами, що підпорядковуються Міністерству внутрішніх справ – від поліції до прикордонних служб.
Найбільшим дистриб’ютором камер від компанії Dahua до України є компанія «Торговий дім систем відеонагляду», яка, згідно з даними даними Importgenius, з 2016-го до 2023 року поставила понад 1 мільйон пристроїв відеоспостереження. Ця компанія також пов’язана зі згаданими фірмами «Віатек» та «Світ камер» через керівництво та власників, але у квітні 2023 року фірма припинила свою діяльність.
На сьогодні декілька українських замовників, які розривають контракти і відмовляються від продукції Dahua та Hikvision – через статус «міжнародних спонсорів війни». Однією з перших стала – Золочівська сільська рада на Київщині, яка, зокрема, посилається на рекомендації Міністерства цифрової трансформації України щодо пристроїв Hikvision:
«Використання у комплексних системах відеоспостереження обладнання компанії Hikvision несе загрози критичних вразливостей та недоліків організації користування системами, оскільки таке обладнання має ряд технічних недоліків (проблеми із прошивкою ІР-камер, вразливості відеореєстраторів на предмет несанкціонованого доступу, критичні вразливості глобальних хмарних сервісів, тощо)», – йдеться у відповіді замовника на майданчику Prozorro.
Переконують і в Міністерстві внутрішніх справ, що «після потрапляння зазначених компаній до переліку «Міжнародних спонсорів війни» МВС не рекомендує та не погоджує відповідні закупівлі». І заявляють, що вже працюють над тим, щоб замінити пристрої.
«З метою централізації всіх наявних систем відеоспостереження МВС розроблено відповідний проєкт закону України «Про єдину систему відеомоніторингу стану публічної безпеки», який наразі вже знаходиться у Верховній Раді України. Передбачається, що така система буде побудована на програмному забезпеченні, придбаному для МВС у 2021 році в рамках проєкту «Безпечна країна». Виробником програмного рішення є Україна та Ізраїль», – йдеться у відповіді відомства на запит Радіо Свобода.
В Україні при Держспецзв’язку є структура, яка називається Computer Emergency Response Team of Ukraine, або Команда реагування на комп'ютерні надзвичайні події України. Вони публічно пишуть на офіційному сайті про технічні вразливості, які знаходять у різноманітних пристроях іноземних компаній, наприклад, таких, як Cisco, Microsoft, Apple та інших. Але жодних згадок – про Hikvision або Dahua. «Схеми» звернулись до відомства із запитом із запитанням, чи проводили такі перевірки щодо пристроїв цих двох китайських виробників.
Журналісти також направили запити до Hikvision та Dahua із запитаннями щодо безпеки для користувачів, які мають такі пристрої, а також щодо співпраці з росією. Редакція чекає на відповідь.
Враховуючи ті кроки, до яких вдаються окремі державні структури в Україні, щоб або замінити китайські пристрої, або їх більше убезпечити – наприклад, створивши локальну закриту мережу, то для простого споживача, який має таку камеру у себе вдома, фахівці з кібербезпеки радять щонайменше змінити заводські налаштування безпеки, використовувати складні і додаткові паролі. І нагадують про те, що китайський виробник залишає за собою прямий доступ до інформації з пристроїв – як тільки камера підключається до інтернету. Що і показав експеримент, проведений «Схемами» разом з IT-спеціалістами.
Окремо журналісти звернулись із запитами до Офісу президента, Кабміну, СБУ та РНБО із запитаннями – якою є державна візія стосовно обігу в країні сотень тисяч китайських камер, інформація з яких може потрапляти до влади КНР, а від неї – не виключено, до Росії. Редакція наразі очікує на відповідь.
Читайте також: Веб-камери на YouTube «засвітили» сьогоднішню роботу ППО в Києві - СБУ
Для довідки: Китайський технологічний гігант Hikvision виробляє приблизно 20% від всіх камер відеоспостереження у світі, Dahua – 10% від усіх виробів. Пристроями цих виробників – в першу чергу, через порівняно невисоку вартість – масово користуються в усьому світі: в самому Китаї, Росії, США, країнах ЄС тощо. В Україні їх – сотні тисяч.
varta1.com.ua: Новини
В ході реформи МСЕК окрім статусу інвалідності, в Україні запровадять статус працездатності
Мінсоцполітики працює над впровадженням нової системи соціального страхування – “єПотенціал”
Щоб заповнити вакансії в судах, відтепер від кандидатів не вимагатимуть володіти знаннями з усіх сфер права
На думку ВККС, це дозволить збільшити кількість бажаючих стати суддями
В Україні пришвидшують процедури накладення на ухилянтів обмеження у праві керування авто
Прискорюється обмін даними між ТЦК і Нацполіцією
Найкоментованіше
- У львівському тролейбусі стався конфлікт (ВІДЕО)
- Ексфутболіста збірної України "бусифікував" ТЦК
- У ТЦК уточнили, хто з мобілізованих потрапляє у штурмові підрозділи
- Шмигаль зробив важливу заяву щодо заморожування війни на лінії фронту
- Відійшов у вічність воїн з Львівщини, який з перших днів великої війни пішов добровольцем на фронт
Найчитаніше
- Підтверджено загибель 24-річного Героя зі Львівщини
- "Львівобленерго" опублікувало графік відключень світла на суботу, 14 грудня
- Останній бій прийняв на Курщині: стало відомо про загибель Героя з Львівщини Володимира Таратули
- У Львові трамвай переїхав людину
- Одна з ракет на Львівщині влучила, але не здетонувала, - ОВА
Коментарі