Kiniškų kamerų saugumo spragos leidžia nesunkiai prisijungti prie jų per nuotolį – NKSC

Photo by jcutrer.com on Foter.com / CC BY-SA

Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameros turi saugumo spragų, leidžiančių nesunkiai prisijungti prie jų per nuotolį ir vykdyti stebėjimą, teigia Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys.

NKSC, po LRT tyrimo atlikusi šių Lietuvos institucijose naudojamų, taip pat didelę rinkos dalį Europoje užimančių vaizdo kamerų kibernetinio saugumo vertinimą, rado keturis esminius saugumo pažeidimus.

Anot R. Rainio, pagal išankstinius nustatymus kamerų nuotolinis valdymas yra įjungtas, tačiau didžiulės saugumo spragos leidžia prisijungti prie šių įrenginių pašaliniams asmenims. 

„Kameros turi nuotolinį valdymą, slaptažodžiai perduodami nešifruotu kanalu, patys slaptažodžiai užšifruoti silpnais, labai senais algoritmais. Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką“, – BNS sakė R. Rainys. 

Anot jo, perėmus slaptažodį, galima įjungti, išjungti kamerą, pakeisti nustatymus.

Iš viso kamerose nustatytas 61 pažeidžiamumas, iš jų, pasak R. Rainio, 23 yra „aukšto grėsmės lygio“, t.y. lengvai gali būti išnaudojamos Ddos atakoms, kenkėjiško kodo įterpimui ar kitiems kenkėjiškiems tikslams.

Nustatyta, kad „Hikvision“ gamintojas taip pat renka konkrečią informaciją apie įrenginių techninius parametrus. Taip pat specialistai nustatė, kad kamerų programinė įranga gali būti atnaujinta tik rankiniu būdu, iš tinklalapio Kinijoje.

„Tačiau tas IP adresas nukreipia į serverį, esantį Rusijos Federacijoje, iš kurio ir vyksta siuntimo procesas“, – vėliau pristatydamas tyrimą Krašto apsaugos ministerijoje tvirtino R. Rainys.

NKSC teigimu, kameras naudoja 57 viešojo sektoriaus institucijos Lietuvoje, 24 jų turi tiesioginę sąsają su internetu.

Centras rekomenduoja įstaigoms izoliuoti jas atskirame tinkle, kuris neturėtų prieigos prie viešojo interneto, arba atlikti būtinus saugumo nustatymus. Taip pat nustatyti, kad programiniai atnaujinimai būtų siunčiami iš Europos Sąjungos valstybių.

„Manome, kad būtų geras sprendimas programinės įrangos atsisiuntimų serverį įrengti Lietuvoje“, – teigė jis.

R. Rainys taip pat tikina, kad atsiunčiama programinė įranga turėtų būti papildomai tikrinama.

Kibernetinio saugumo ekspertai taip pat rekomenduoja naudoti ugniasienes, blokuoti prievadus, kurių nenaudoja kamera, sumažinant galimybes išnaudoti kameras kibernetinei atakai.

Įsigyjant naujas kameras, įstaigoms rekomenduojama įtraukti reikalavimą, kad tiekėjas patiektų kameras su naujausiais programinės įrangos atnaujinimais, kuriais jau būtų ištaisytos saugumo spragos, taip pat minėtas reikalavimas turėti programinės įrangos atsisiuntimo serverius Lietuvoje ar bent jau ES šalyse. Mažinant riziką, rekomenduojama, jog gamintojai išjungtų ir nereikalingas kamerų funkcijas.

LRT tyrimas skelbė, kad šių kamerų dėl saugumo spragų jau anksčiau atsisakė Jungtinės Valstijos, o Lietuvoje jos naudojamos Lietuvos Vadovybės apsaugos, Migracijos, Policijos departamentuose, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybose bei valstybės įmonėje „Oro navigacija“.

Vilniaus savivaldybės administracijos direktoriaus pavaduotojas Adomas Bužinskas BNS patvirtino, kad šios kameros naudojamos ir sostinėje.   

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *