Piše: Kirilo Ovsjanij
Kako se ruska invazija na Ukrajinu približava ulasku u treću godinu, stotine hiljada kamera za nadgledanje proizvedenih u Kini u kompanijama Hikvision i Dahua, koje koriste sigurnosni sistemi vlade, građani i privatne kompanije širom Ukrajine, povećavaju rizik napada ruske vojske, od čega strahuju ukrajinski digitalni stručnjaci i vladini zvaničnici, piše redakcija Radija Slobodna Evropa (RSE) na ruskom jeziku.
Najmanje dvoje ljudi je poginulo kada su ruski projektili pogodili Kijev 2. januara, a dvije obične vanjske kamere CCTV, jedna za stambeni kvart, druga za parkiralište, pomogle su u navođenju projektila, tvrdi Služba državne bezbjednosti Ukrajine (SBU).
Nakon hakovanja kamera, ruska obavještajna služba koristila ih je za "špijuniranje odbrambenih snaga u glavnom gradu" i za snimanje slika "ključnih infrastrukturnih objekata", prema navodima SBU-u.
Jedna od tih kamera bila je kineski uređaj koji je 2016. proizveden u Hokvisionu, rekao je istraživačkoj jedinici Radija Slobodna Evropa, zvaničnik sigurnosnih snaga koji je, zbog osjetljivosti teme, tražio da ostane anoniman.
"Takve kamere obično su samo povezane na internet i već su donekle zastarjele, zbog softvera koji nije ažuriran dugo vremena i ima mnogo poznatih slabih tačaka", rekao je Sergej Denisenko, izvršni direktor ukrajinske kompanije za informatičku sigurnost CyberLab's Digital Forensics Laboratory.
"Osnovni" softver za kamere znači da "hakeri, ili u ovom slučaju, ruske sigurnosne službe, koje skeniraju internet mogu da lociraju kameru i da joj pristupe", rekao je Denisenko.
Kako bi testirali tvrdnje SBU-a, stručnjaci Digital Forensics Laboratory hakovali su CCTV Hikvision kameru iz 2015., za šta im je trebalo 15 minuta.
Od 2014. do 2022. tri ukrajinske kompanije uvezle su više od 875.000 CCTV kamera i drugih uređaja koji su povezani sa video nadgledanjem i koje je proizveo Hikvision, dok je samo jedna kompanija uvezla gotovo 1,1 milion kamera i drugih uređaja proizvođača Dahua, kako pokazuju podaci iz baze podataka o uvozu i izvozu, ImportGenius.
Druge kompanije takođe uvoze manji broj uređaja iz proizvodnje Hikvisiona i Dahua, koji dominiraju svjetskim tržištem video nadgledanja i rangiraju se kao najčešće uvožene CCTV kamere u Ukrajinu.
Takođe rangiraju i kao najkontroverznije kamere na svijetu. Američka Federalna komisija za komunikacije je 2022. zabranila buduće odobravanje uvoza ili prodaje Hikvision ili Dahua "komunikacione opreme" karakterišući ih kao "neprihvatljiv rizik za nacionalnu sigurnost". Australija, Tajvan, Velika Britanija i druge zemlje takođe imaju nametnute zabrane ili ograničenja na korištenje ovih kamera.
Takvi propisi ne postoje u Ukrajini, iako je 2023. označila i Hikvision i Dahua kompanije "međunarodnim sponzorima rata" zbog plaćanja poreza Moskvi i prodaje opreme koja ima vojnu primjenu.
Portparol kineskog ministarstva inostranih poslova rekao je za Reuters, 1. februara da se Kina "čvrsto protivi" uključivanju 14 kineskih kompanija na tu listu i "zahtijeva da Ukrajina odmah koriguje svoju grešku i ukloni negativni učinak".
Kinesko ministarstvo se nije osvrnulo na pitanja mogućih posljedica hakovanja kineskih CCTV kamera.
Ranjive na hakovanje
Hikvision i Dahua kamere i softver za 74 procenta CCTV sistema koriste ukrajinsko nacionalno video nadgledanje za puteve, ulice, parkove, stambene zgrade i javne prostore, koje se zove Bezpečne Misto (Sigurni grad), kako navodi ministarstvo unutrašnjih poslova.
Drugih 24.000 Hikvision i Dahua kamera se koriste u sličnim javnim sistemima nadgledanja, odgovorilo je na pitanje istraživačke jedinice RSE ministarstvo unutrašnjih poslova Ukrajine.
Sistemi za video nadzor TRASSIR isporučeni iz Rusije, koji su, kako je RSE izvijestio u decembru, korišćeni na prostoru nuklearke u Černobilu, kao i u nekoliko ukrajinskih gradova i osjetljivih objekata kao što je Uprava morskih luka Ukrajine u Odesi, u mnogim slučajevima koriste Hikvision kamere, iako je softver TRASSIR-ov.
Pročitajte i ovo: Rusko nadgledanje video kamerama moguće na tlu UkrajineRSE je pitao kabinet ukrajinskog predsjednika Volodimira Zelenskog, vijeće ministara, Savjet za nacionalnu sigurnost i SBU, da li vjeruju da ove kamere predstavljaju sigurnosni rizik i da li Kijev planira da ukloni te uređaje iz Ukrajine. Odgovor nije stigao.
Eksperimeti koje je za RSE, istraživačku jedinicu, izveo Digital Forensics Laboratory i Digital Security Laboratory, kijevski NVO sugerišu kako su kamere Hikvision i Dahua ranjive na hakovanje i da one šalju šifrovane podatke serverima koje kontrolišu državne ili djelimično državne kineske kompanije.
Hikvision kamera iz 2015. prihvatila je lozinku "1234567890" koju je lako hakovati kao prijavu. Model Hikvision iz 2023. zahtijevao je složeniju lozinku sa simbolima, ali je poslao neke šifrovane podatke o korisniku i registraciji na server u Kini u vlasništvu ChinaNeta, državnog provajdera internet usluga.
Kamera Dahua iz 2019., čak i kada je veza sa serverom u oblaku (cloud) bila isključena, i dalje je slala šifrovane informacije, uključujući korisničku prijavu i lozinku, na servere u oblaku u Njemačkoj koje vodi kineska uCloud Information Technology, kompanija koja je u djelimičnom državnom vlasništvu i privatna američka američka Zenlayer.
Sigurnost CCTV prenosa zavisi od proizvođača, veze sa serverom i od toga "ko može da koristi te informacije i kako", rekao je stručnjak Ivan Antonjuk. "I evo pitanja: Vjerujete li kineskom programeru ili ne?"
Iako su informacije šifrovane, "dekodiranje takvih informacija neće predstavljati problem proizvođačima i programerima ovih kamera", naglasio je Denisenko.
"Naši stručnjaci uvjereni su da pri korištenju takve usluge pristup kamerama mogu lako dobiti predstavnici proizvođača ako je potrebno", rekao je. "Takođe, uzimajući u obzir trenutne odnose između Kine i Rusije, ovo može nositi određene sigurnosne rizike."
RSE nije pronašao direktne dokaze da je Kina ruskoj vojsci prenosila slike s kineskih CCTV kamera u Ukrajini, ali zakonski okvir postoji za takve prenose.
Kina, čije veze s Rusijom obje zemlje opisuju kao strateško partnerstvo "bez ograničenja", javno ne podržava ruski rat protiv Ukrajine.
'Nemoćni da zaštite korisnike'
Kineski nacionalni zakon o obavještajnoj službi propisuje da kompanije predaju podatke vladi ako su potrebni iz sigurnosnih razloga. Peking ima "u suštini nesmetan" pristup kineskim internet serverima, komentarisao je CPO Magazin, singapurska web stranica koja prati privatnost podataka.
"Kineske kompanije nemaju mogućnost da zaštite korisnike od kršenja digitalnih prava od strane jedne od najmoćnijih i najneodgovornih, vlada na svijetu", napisali su 2020. istraživači za Ranking Digital Rights, međunarodni projekt New America sa sjedištem u Washingtonu.
Najveći dioničar Hikvisiona, s 36,35 posto prema web stranici kompanije, je China Electronics Technology HIK Group, koja je puna podružnica državne China Electronic Technology Corporation Group. Ta kompanija, poznata kao CETC, na svojoj web stranici navodi svoje doprinose kineskoj odbrambenoj industriji, uključujući "elektroničko ratovanje" i bespilotne letjelice ili dronove.
Dahua Technology takođe ima značajnog državnog dioničara: Telekomunikaciona kompanija China Mobile u državnom vlasništvu posjeduje otprilike 9,5 posto kompanije. Dahua je rekla da China Mobile nema "operativnu kontrolu" niti "neprimjeren uticaj na donošenje odluka".
Ministarstvo odbrane SAD označilo je 2022. Dahua i Hikvision i njihove državne suvlasnike China Mobile i CETC, kao "kineske vojne kompanije", korporacije čije tehničke kapacitete koristi kineska vojska.
Izvještaj američke Kancelarije direktora Nacionalne obavještajne službe iz jula 2023. pokazao je da, uprkos međunarodnim sankcijama i izvoznim ograničenjima, Kina "osigurava neke tehnologije dvostruke namjene koju vojska Moskve koristi za nastavak rata u Ukrajini."
Razmjena obavještajnih podataka takođe je dio Plana puta za vojnu saradnju Kine i Rusije 2021-2025., primijetila je Kongresna istraživačka služba.
Istraživačka jedinica RSE je kontaktirala kompanije Hikvision i Dahua s pitanjem u vezi sigurnosti njihovih kamera u Ukrajini i o tome da li sarađuju sa Rusijom, ali nije dobila odgovor.
Američka podružnica Dahua Technology, međutim, u julu 2023. je tvrdila da tehnološki div samo šalje "periferne proizvode i dodatke" u Rusiju i da "nijedan od naših proizvoda na globalnoj razini trenutno nije dizajniran za vojnu upotrebu".
Služba bezbjednosti Ukrajine je 2. januara rekla da je blokirala više od 10.000 CCTV kamera u Ukrajini od početka ruske invazije 24. februara 2022.
U odgovoru na upit RSE u januaru, ministarsvo unutrašnjih poslova Ukrajine je rekla da ne "preporučuje ili odobrava" nabavku Hikvision ili Dahua CCTV kamera i traži način da osigura da se ti sistemi video nadgledanja zamijene sistemima koje kontroliše vlada.
Prema ukrajinskoj bazi podataka o javnim nabavkama Prozorro, neka vladina tijela, poput seoskog vijeća Kijevske regije Zoločiv, počela su da raskidaju ugovore za kamere, navodeći sigurnosne probleme nakon što su Hikvision i Dahua proglašeni "međunarodnim sponzorima rata".
Postojeći sistem nadgledanja koji je pod kontrolom vlade a koji koristi kamere kompanija Hikvision i Dahua namjerno su stavljene u "zatvorenu lokalnu mrežu" koja nema pristup "javnom internetu" kako bi se "spriječili rizici od curenja informacija" u Kinu, reklo je ministarstvo unutrašnjih poslova.
Ministarstvo je predložilo zakon za "ujedinjeni" javni CCTV sistem koji bi funkcionisao sa softverom koji su napravili Ukrajina i Izrael. Ali, za ovaj zakon se još nije glasalo.