- Ignas Jačauskas, BNS
- Teksto dydis:
- Spausdinti
Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameros turi saugumo spragų, leidžiančių nesunkiai jas valdyti per nuotolį ir vykdyti stebėjimą, o programinė įranga atnaujinama serveriuose Rusijoje, teigia Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys.
NKSC, po LRT tyrimo atlikusi šių Lietuvos institucijose naudojamų, taip pat didelę rinkos dalį Europoje užimančių vaizdo kamerų kibernetinio saugumo vertinimą, rado keturis esminius saugumo pažeidimus.
Anot R. Rainio, pagal išankstinius nustatymus kamerų nuotolinis valdymas yra įjungtas, tačiau didžiulės saugumo spragos leidžia prisijungti prie šių įrenginių pašaliniams asmenims.
„Kameros turi nuotolinį valdymą, slaptažodžiai perduodami nešifruotu kanalu, patys slaptažodžiai užšifruoti silpnais, labai senais algoritmais. Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką“, – BNS sakė R. Rainys.
Anot jo, perėmus slaptažodį, galima nuotoliniu būdu įjungti, išjungti kamerą, pakeisti nustatymus, taip pat stebėti vaizdą ar net transliuoti kamerų vartotojams visai kitą vaizdą.
Iš viso 2018 metais pradėtose naudoti kamerose nustatytas 61 pažeidžiamumas, iš jų, pasak R. Rainio, 23 yra „aukšto grėsmės lygio“, t.y. lengvai gali būti išnaudojamos DDoS atakoms, kenkėjiško kodo įterpimui ar kitiems kenkėjiškiems tikslams.
Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką.
Programinė įranga atnaujinama Rusijoje
Nustatyta, kad „Hikvision“ gamintojas taip pat renka konkrečią informaciją apie įrenginių techninius parametrus. Taip pat specialistai nustatė, kad kamerų programinė įranga gali būti atnaujinta tik rankiniu būdu, iš tinklalapio Kinijoje.
„Tačiau tas IP adresas nukreipia į serverį, esantį Rusijos Federacijoje, iš kurio ir vyksta siuntimo procesas“, – vėliau pristatydamas tyrimą Krašto apsaugos ministerijoje tvirtino R. Rainys.
Pasak jo, siunčiant atnaujinimus, į serverius gaunamos užklausos iš esmės leidžia nustatyti, kiek tokių kamerų ir jų vartotojų yra Lietuvoje, kokie jų techniniai parametrai, programinės įrangos versijos, ir tai panaudoti kenkėjiškiems tikslams.
„Tada gali būti įvairūs scenarijai, apie kuriuos neturėčiau spekuliuoti – variantai įvairūs“, – komentavo jis.
Jis atkreipė dėmesį, kad ekspertai vertino tik pačią kamerą ir jos įrangą, o pačius atnaujinimus dar reikėtų tyrinėti atidžiau.
„Bet galima suponuoti, kad lieka tam tikra informacija, kurios institucijos tam tikros neturėtų to daryti (viešinti – BNS)“, – pridūrė R. Rainys.
NKSC teigimu, kameras naudoja 57 viešojo sektoriaus institucijos Lietuvoje, 24 jų turi tiesioginę sąsają su internetu. Įstaigos apie saugumo spragas informuotos ir, anot R. Rainio, kai kurios jau atliko namų darbus.
„Manau, kad ta rizika šiuo metu maksimaliai suvaldyta“, – tvirtino R. Rainys.
LRT tyrimas skelbė, kad šių kamerų dėl saugumo spragų jau anksčiau atsisakė Jungtinės Valstijos, o Lietuvoje jos naudojamos Lietuvos Vadovybės apsaugos, Migracijos, Policijos departamentuose, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybose bei valstybės įmonėje „Oro navigacija“.
Vilniaus savivaldybės administracijos direktoriaus pavaduotojas Adomas Bužinskas BNS patvirtino, kad šios kameros naudojamos ir sostinėje.
R. Rainys sako negalintis atmesti, kad be minėtų įstaigų, kameras naudoja ir valdžios institucijos, įskaitant Seimą.
Rekomenduoja taisyti spragas, įkurti serverį Lietuvoje
Centras rekomenduoja įstaigoms izoliuoti jas atskirame tinkle, kuris neturėtų prieigos prie viešojo interneto, arba atlikti būtinus saugumo nustatymus. Taip pat nustatyti, kad programiniai atnaujinimai būtų siunčiami iš Europos Sąjungos valstybių.
„Manome, kad būtų geras sprendimas programinės įrangos atsisiuntimų serverį įrengti Lietuvoje“, – teigė jis.
R. Rainio nuomone, atsiunčiama programinė įranga turėtų būti papildomai tikrinama, nes ir atnaujinimai gali turėti spragų.
NKSC vadovas taip pat sakė, kad tyrimo metu kamerų gamintojai susisiekė su centru, jie yra supažindinami su tyrimo rezultatais.
„Mūsų tyrimo tikslas – adresuoti šiuos klausimus gamintojui: suabejoti situacija, kuri yra su šiomis kameromis, pateikti faktus, įrodymus, kad yra problemų, ir gamintoją spausti imtis veiksmų, taisyti situaciją (...). Laukiame jų komentarų, refleksijų ir veiksmų“, – tvirtino R. Rainys.
NKSC vadovas neatmetė, kad panašių spragų gali turėti ir kitų gamintojų vaizdo stebėjimo įranga.
Kibernetinio saugumo ekspertai taip pat rekomenduoja naudoti ugniasienes, blokuoti prievadus, kurių nenaudoja kamera, sumažinant galimybes išnaudoti kameras kibernetinei atakai.
Įsigyjant naujas kameras, įstaigoms rekomenduojama įtraukti reikalavimą, kad tiekėjas patiektų kameras su naujausiais programinės įrangos atnaujinimais, kuriais jau būtų ištaisytos saugumo spragos, taip pat minėtas reikalavimas turėti programinės įrangos atsisiuntimo serverius Lietuvoje ar bent jau ES ar NATO šalyse. Mažinant riziką, rekomenduojama, jog gamintojai išjungtų ir nereikalingas kamerų funkcijas.
Šių reikalavimų dėl kamerų rekomenduojama laikytis ir privačiam sektoriui.
R. Rainys pabrėžė, kad įgyvendinus šias rekomendacijas, saugumas būtų užtikrinamas ir pačių kamerų keisti nereikėtų.
Jo nuomone, įsitraukti į tokius tyrimus galėtų ir mokslo institutai, taip būtų pasiekta efektyvesnių rezultatų.
„Bet jei mūsų pajėgumų neužtenka, galbūt valstybei reikia investuoti į skaitmeninius kompetencijų centrus plačiau, nei yra dabar“, – svarstė jis.
SUSIJĘ STRAIPSNIAI
-
Daug papasakoti žadėjęs E. Masiulis pripažino kalbėjęs per skambiai: procese veikė valstybės vadovai1
Nuo praėjusių metų pabaigos kalėjime sėdintis, vadinamojoje „MG Baltic“ politinės korupcijos byloje nuteistas buvęs Liberalų sąjūdžio lyderis Eligijus Masiulis pripažįsta – visuomenei įsiminęs pažadas pateikti informaciją, ku...
-
V. Rupšys: Šiaulių bazė iki 2025 metų pabaigos galėtų priimti JAV naikintuvus F-358
Plečiant Šiaulių aviacijos bazę, joje iki 2025 metų pabaigos galėtų įsikurti ir NATO oro policijos misiją vykdyti JAV naikintuvai F-35, sako Lietuvos kariuomenės vadas generolas Valdemaras Rupšys. ...
-
VSD: po atakų Rusijoje teroro akto grėsmės lygis Lietuvoje išlieka žemas
Valstybės saugumo departamentas (VSD), įvertinęs situaciją po išpuolio Rusijoje, ketvirtadienį posėdyje konstatavo, kad teroro akto grėsmės lygis Lietuvoje išlieka žemas. ...
-
Po gaisro Vilniuje daliai ugdymo įstaigų nuotolinį darbą rekomenduojama tęsti ir penktadienį
Po trečiadienio vakarą sostinės Panerių gatvėje kilusio gaisro, Vilniaus miesto savivaldybė daliai švietimo ir ugdymo įstaigų nuotolinį darbą rekomenduoja tęsti ir penktadienį. ...
-
Ilgamečiam „Aro“ rinktinės vadui – garbingas apdovanojimas3
Šią savaitę antiteroristinių operacijų rinktinės „Aras“ vado postą palikęs Viktoras Grabauskas generalinės prokurorės Nidos Grunskienės įsakymu apdovanotas Prokuroro garbės ženklo 2-ojo laipsnio medaliu. ...
-
G. Nausėda: Lietuvos sprendimas prisijungti prie NATO buvo geriausia šalies investicija2
Lietuvos sprendimas prisijungti prie NATO buvo geriausia šalies investicija, sako prezidentas Gitanas Nausėda valstybei minint 20-ąsias narystės Aljanse metines. ...
-
V. Benkunskas apie gaisro sostinėje padarinius: gyventojams rekomenduojama nusivalyti paviršius8
Vilniaus meras Valdas Benkunskas sako, kad su Aplinkos apsaugos departamento (AAD) pagalba savivaldybei pavyko išvengti didesnės taršos dėl trečiadienio vakarą Paneriuose kilusio gaisro. ...
-
JAV skyrė 228 mln. dolerių Baltijos šalių saugumui, trečdalis sumos – Lietuvai9
Jungtinės Valstijos skyrė 228 mln. JAV dolerių Baltijos šalių saugumo pagalbai, trečdalis sumos bus skirta Lietuvai, ketvirtadienį pranešė Krašto apsaugos ministerija (KAM). ...
-
Virš Vilniaus – ratus sukantys sraigtasparniai4
Kai kuriuos vilniečius ketvirtadienį nustebino padangėje pamatytas vaizdas. Kariuomenės atstovai paaiškino, kodėl virš sostinės ratus suka sraigtasparniai. ...
-
Dalis vilniečių negavo perspėjimo apie didžiulį gaisrą: ministrė sako, kad reikės tai išsiaiškinti6
Daliai gyventojų negavus perspėjimo pranešimų apie gaisrą Vilniuje, vidaus reikalų ministrė Agnė Bilotaitė mato poreikį peržiūrėti techninį šios sistemos įgyvendinimą. ...