Technológiai hiba, amely lehetővé teszi a hackerek számára a biztonsági kamerák vezérlését

Kínai gyártmányú térfigyelő kamerák vannak a brit irodákban, főutcákon, sőt még a kormányzati épületekben is – a BBC Panorama pedig a két legnépszerűbb márkát érintő biztonsági hibákat vizsgálta. Mennyire könnyű feltörni őket, és mit jelent ez a biztonságunkra nézve?

A BBC londoni Broadcasting House-jának sötétített stúdiójában egy férfi ül a laptopja előtt, és beírja a jelszavát.

Több ezer mérfölddel arrébb egy hacker figyeli, amit beír.

Ezután a BBC alkalmazottja felveszi az iPhone-ját, és beírja a jelszót. A hacker most már azt is tudja.

A plafonon lévő – a kínai Hikvision cég által gyártott – megfigyelő kamera biztonsági hibája miatt mostantól támadható.

„Most már az enyém az eszköz – azt csinálok vele, amit akarok” – mondja a hacker. „Kikapcsolhatom… vagy használhatom arra, hogy megnézzem, mi történik a BBC-nél”.

A megfigyelt ember szerencséjére a hacker a BBC-vel dolgozik. Ez része a Panorama kísérletsorozatának, amellyel néhány kínai gyártmányú térfigyelő kamera biztonságát teszteli.

A Hikvision és a Dahua a világ két vezető megfigyelő kameragyártója.

Senki sem tudja, hogy hány készülékük van az Egyesült Királyság utcáin.

Tavaly a Big Brother Watch nevű adatvédelmi kampánycsoport megpróbálta kideríteni. 2021 augusztusa és 2022 januárja között 4510 információszabadság-kérelmet nyújtott be az Egyesült Királyság közintézményeihez. Az 1289 válaszadóból 806 megerősítette, hogy Hikvision vagy Dahua kamerákat használnak – 227 önkormányzat és 15 rendőri szerv használja a Hikvisiont, 35 önkormányzat pedig a Dahuát.

A Hikvision kamerákat számos kormányzati épület megfigyelésére is használják – a Panorama egyetlen délután alatt London központjában a Nemzetközi Kereskedelmi Minisztérium, az Egészségügyi Minisztérium, az Egészségbiztonsági Ügynökség, a Defra és a hadsereg tartalékos központja előtt is talált ilyen kamerákat.

A biztonsági szakértők attól tartanak, hogy a kamerákat trójai falóként használhatják a számítógépes hálózatok megzavarására, ami viszont polgári zavargásokat okozhat.

Fraser Sampson professzor, az Egyesült Királyság térfigyelő kamerákért felelős biztosa arra figyelmeztet, hogy az ország kritikus infrastruktúrája – beleértve az energiaellátást, a közlekedési hálózatokat, valamint a friss élelmiszerekhez és vízhez való hozzáférést – sebezhető.

„Mindezek a dolgok nagymértékben függenek a távfelügyelettől – így, ha valaki képes beavatkozni ebbe, akkor olcsón és távolról is pusztítást okozhat” – mondja.

Charles Parton, a Royal United Services Institute (Rusi) volt diplomatája, aki Pekingben dolgozott, egyetért ezzel: „Mindannyian láttuk fiatalkorunkban az Olasz melót, ahol a közlekedési lámparendszeren keresztül egész Torinót leállítjuk. Nos, ez akkor talán fikció volt, most már nem lenne az”.

A Hikvision a Panorámának elmondta, hogy független vállalat, és nem jelent veszélyt az Egyesült Királyság nemzetbiztonságára.

„A Hikvision soha nem folytatott és nem is fog soha semmilyen kémkedéssel kapcsolatos tevékenységet folytatni a világ egyetlen kormánya számára sem” – közölték, hozzátéve, hogy „termékeire szigorú biztonsági követelmények vonatkoznak, és megfelelnek az Egyesült Királyságban, valamint bármely más országban és régióban, ahol működnek, a vonatkozó törvényeknek és előírásoknak”.

A Panorama az amerikai székhelyű IPVM-mel, a világ egyik vezető felügyeleti technológiával foglalkozó szaktekintélyével együttműködve tesztelte, hogy lehetséges-e feltörni egy Hikvision-kamerát. Az IPVM szállította azt a kamerát, amelyet a BBC egyik stúdiójában helyeztek el.

A Panorama biztonsági okokból nem futtathatta a kamerát a BBC hálózatán – így azt egy olyan teszthálózatra helyezték, ahol nincs tűzfal és kevés a védelem.

A Panorama által tesztelt kamera egy 2017-ben felfedezett sebezhetőséget tartalmaz. Az IPVM igazgatója, Conor Healy ezt úgy jellemzi, hogy „egy hátsó ajtó, amelyet a Hikvision épített be a saját termékeibe”.

A Hikvision azt állítja, hogy az eszközeibe nem szándékosan programozták bele ezt a hibát, és rámutat, hogy a cég szinte azonnal kiadott egy firmware-frissítést a hiba kijavítására, miután tudomást szerzett a problémáról. Hozzáteszik, hogy a Panorama tesztje nem reprezentatív a ma működő eszközökre nézve. Conor Healy szerint azonban világszerte több mint 100 000 online kamera még mindig sebezhető a probléma miatt.

Amikor a Panorama hackerkísérlete elkezdődik, Conor és az IPVM kutatómérnöke, John Scanlan laptopok mögött ülnek a pennsylvaniai székhelyükön.

Egy számítógépes rendszer engedély nélküli feltörése bűncselekménynek minősül – ezért a Panorama nem közöl minden részletet arról, hogyan csinálják ezt.

Healy és Scanlan azzal kezdik, hogy bemérik a kamerát a Broadcasting House-ban, majd nekilátnak, hogy megtámadják annak biztonságát.

Aztán Healy megnézi, mennyi időbe telik, amíg átveszi az irányítást. Mindössze 11 másodperccel később Scanlan bejelenti: „Most már hozzáférünk a kamerához.”

Most már látják a stúdió belsejét – beleértve a Panorama alkalmazottját is a laptopján.

„Ha erősen ráközelítünk a billentyűzetre, tisztán láthatjuk a billentyűket, ahogy beírja a jelszavát” – mondja Scanlan.

„Ez olyan, mintha egy lakatos adna egy kulcsot az otthonodhoz, miközben titokban elkészítene egy mesterkulcsot a lakóközösség összes zárjához is… gyakorlatilag ezt tették a Hikvision mérnökei”.

A Hikvision szerint „termékei nem rendelkeznek „hátsó ajtóval”, és nem szándékosan került a kamerákba a hiba”. Hozzáteszik, hogy véleményük szerint az eszközeiket használó önkormányzatok szinte mindegyike már jóval korábban frissítette a kameráit.

Ezután a hackerek megkezdik a második tesztjüket – a Dahua kameráihoz való hozzáférést az azokat vezérlő szoftverekbe való behatolással.

Két tesztkamerát állítottak fel az IPVM központjában. Ha a hackerek sikerrel járnak, akkor egy egész megfigyelő kamerahálózatot vehetnek át.

Hamarosan megtalálják a szoftver sebezhetőségét. „Meg is van, bent vagyunk” – mondja Healy.

Most már bent vannak a rendszerben, és egy kamerát használhatnak lehallgatásra.

„Amit sokan nem tudnak ezekről a kamerákról, az az, hogy nagy többségük mikrofonnal rendelkezik” – magyarázza Healy, és bár a felhasználók gyakran kikapcsolják ezeket, a hackerek könnyen visszakapcsolhatják őket – gyakorlatilag „lehallgatják” a szobát.

A Dahua azt állítja, hogy amikor tavaly év végén tudomást szerzett a sebezhetőségről, „azonnal átfogó vizsgálatot folytatott”, és a „firmware-frissítések” révén gyorsan kijavította a problémát.

A vállalat azt is állítja, hogy nem rendelkezik állami háttérrel, és hogy berendezései nem tudnak beavatkozni az Egyesült Királyság kritikus infrastruktúrájába. Hozzáteszi: „Ezek az állítások valótlanok, és rendkívül félrevezető képet festenek a Dahua Technology-ról és termékeiről”.

Szakértők szerint azonban az Egyesült Királyságnak többet kell tennie annak érdekében, hogy megvédje magát attól, amit Sampson professzor, a térfigyelő kamerákért felelős biztos „digitális azbesztnek” nevez.

„Van egy előző generáció, amelyik telepítette ezeket a berendezéseket, nagyrészt azon az alapon, hogy olcsón lehetett elvégezni a munkát” – mondja. „Mostanra rájöttünk, hogy ez komoly velejáró kockázatokkal jár – mit tegyünk tehát ezzel kapcsolatban?”

Arra a kérdésre, hogy bízik-e a Hikvisionban és a Dahua-ban, így válaszol: „Egyáltalán nem.”

Forrás: BBC.com
Fotó: illusztráció / freepik

4.9/5 - (349 szavazat)
KAPCSOLÓDÓ CIKKEK
Friss Adatvédelmi irányelvek tájékoztatónkban megtalálod, hogyan gondoskodunk adataid védelméről. Oldalainkon HTTPS-sütiket használunk a jobb működésért.