آیا هایک ویژن و داهوا قابل هک کردن هستند؟
دوربینهای نظارتی ساخته شده در چین در دفاتر، خیابانها و حتی ساختمانهای دولتی بریتانیا به طور گستردهای استفاده میشوند و برنامه پانوراما در مورد نقص امنیتی مربوط به دو برند برجسته این دوربینها تحقیقاتی انجام داده است.
آیا هک کردن آن ها آسان است؟ و در صورت هک شدن چه تأثیری بر امنیت ما دارد؟
در یک استودیو تاریک در داخل ساختمان پخش بیبیسی در لندن، یک مرد در کنار لپ تاپش نشسته و رمز عبور خود را وارد میکند.
هزاران مایل دورتر، یک هکر همه چیزی را که او تایپ میکند را تماشا میکند.
سپس کارمند بیبیسی تلفن همراه خود را برمیدارد و کد عبور را وارد میکند. هکر حالا این اطلاعات را هم دارد.
نقص امنیتی در دوربین نظارتی سقفی – ساخت شرکت چینی Hikvision به معنی آن است که این دوربین به حملات آسیبپذیر شده است.
هکر میگوید: “حالا من این دستگاه را مال خودم میدانم – میتوانم هر کاری که میخواهم با آن انجام دهم، میتوانم آن را غیرفعال کنم یا از آن برای دیدن آنکه در آنجا چه خبر استفاده کنم.”
این مساله میدهد که با استفاده از دوربینهای نظارتی تولید شده توسط شرکتهای دارای ارتباط با دولت ها، مخاطراتی برای جاسوسی میتواند وجود داشته باشد.
این تحقیق همچنین سوالاتی در مورد امنیت دیگر دستگاههای متصل به اینترنت که در زندگی روزمره ما مورد استفاده قرار میگیرند، مطرح کرده است.
بهتر است سازمانها و افراد از این خطرات آگاه باشند و اقداماتی را برای کاهش آنها انجام دهند، مانند استفاده از دوربینهای ساخت شرکتهای قابل اعتماد و اجرای اقدامات امنیتی قوی مانند تأیید هویت دو مرحلهای و بهروزرسانی نرمافزارهای مرتبط با دوربینها.
.
Hikvision و Dahua دوتا از برترین تولیدکنندگان دوربینهای نظارتی در جهان هستند.
سال گذشته، گروه کمپین حفظ حریم خصوصی Big Brother Watch از ماه اوت ۲۰۲۱ تا ژانویه ۲۰۲۲، ۴۵۱۰ درخواست را به نهادهای عمومی در سراسر بریتانیا ارسال کرد.
از بین ۱۲۸۹ پاسخدهنده، ۸۰۶ نهاد تأیید کردند که از دوربینهای Hikvision یا Dahua استفاده میکنند، ۲۲۷ شهرداری و ۱۵ نیروی پلیس از دوربینهای Hikvision و ۳۵ شهرداری از دوربینهای Dahua استفاده میکنند.
دوربینهای Hikvision برای نظارت بر بسیاری از ساختمانهای دولتی نیز استفاده میشوند ، در یک بعد از ظهر در مرکز لندن، برنامه پانوراما آنها را در خارج از وزارت بازرگانی بینالمللی، وزارت بهداشت، سازمان بهداشت، Defra و یک مرکز ارتش پیدا کرد.
پروفسور فریزر سامپسون، کمیسر دوربینهای نظارتی بریتانیا، هشدار میدهد که زیرساختهای حیاتی انگلستان از جمله تأمین انرژی، شبکههای حمل و نقل و دسترسی به آب و غذای تازه، در معرض خطر قرار دارند.
او میگوید: “همه آنها به شدت به نظارت از راه دور نیاز دارند ، بنابراین اگر شما توانایی مداخله با آن را داشته باشید، میتوانید به صورت ارزان و از راه دور آشوب ایجاد کنید.”
چارلز پارتون از موسسه خدمات سلطنتی متحد (Rusi)، دیپلمات سابقی که در بکینگام پالاس ، خدمت میکرده است، با این نظر موافق است: “ما همه در دوران جوانی خود انیمیشن سرقت ایتالیایی را دیدهایم که در آن با استفاده از سیستم چراغهای راهنمایی و رانندگی، تمامی ترافیک تورین را به خاموشی کشاندهاند. خوب، آن زمان آن فیلم فیک بود، اما اکنون چنین نیست.”
Hikvision به پانوراما گفت که یک شرکت مستقل است و تهدیدی برای امنیت ملی بریتانیا نیست.
این شرکت ادعا کرد: “هایکویژن هیچگاه فعالیتی مرتبط با جاسوسی را برای هیچ دولتی در جهان انجام نداده است و نمیدهد.
محصولات ما در برابر نیازهای امنیتی سختی مورد نظر طراحی شدهاند و با قوانین و مقررات مربوطه در بریتانیا و هر کشور و منطقه دیگری که در آن فعالیت داریم، سازگار هستند.”
برنامه پانوراما با شرکت IPVM متمرکز در آمریکا، یکی از برجستهترین مراجع در حوزه فناوری نظارت، همکاری کرد تا بررسی کند آیا امکان هک کردن یک دوربین Hikvision وجود دارد یا خیر.
IPVM دوربینی را که در استودیوی بیبیسی نصب شد، فراهم کرد.
به دلیل دلایل امنیتی، برنامه پانوراما نمیتوانست دوربین را در شبکه بیبیسی اجرا کند، بنابراین آن را در یک شبکه تست قرار داد که در آن فایروال و حفاظت کمی وجود دارد.
دوربینی که پانوراما آن را تست کرد، دارای یک آسیبپذیری است که در سال ۲۰۱۷ کشف شده است.
مدیر IPVM، کانر هیلی، این را “یک درب عقبی است که هایکویژن در محصولات خود ساخته است” توصیف میکند.
هیکویژن میگوید دستگاههایش عمدتاً با این اشکال برنامهریزی نشدهاند و اشاره میکند که تقریباً بهصورت فوری بعد از آگاهی از مشکل، یک بهروزرسانی فریموورک را برای رفع آن ارائه داد.
آنها همچنین افزودهاند که آزمایش پانوراما نماینده دستگاههایی که امروزه در حال کار هستند نیست.
اما کانر هیلی میگوید که بیش از ۱۰۰٬۰۰۰ دوربین در سراسر جهان هنوز هم به این مشکل آسیبپذیر هستند.
هنگامی که آزمایش هک پانوراما شروع شد، کانر و مهندس تحقیقاتی جان اسکنلن از مرکز IPVM پشت لپتاپهایشان در محل مرکزی آنها در پنسیلوانیا نشسته بودند.
هک کردن یک سیستم کامپیوتری بدون اجازه، یک جرم جنایی است ، بنابراین برنامه پانوراما تمام جزئیات راجع به چگونگی انجام آن را ارائه نمیدهد.
هیلی و اسکنلن با شناسایی دوربین در داخل ساختمان Broadcasting House، شروع به حمله به امنیت آن میکنند.
سپس هیلی زمانی را که برای به دست آوردن کنترل آن لازم است، سنجید. فقط ۱۱ ثانیه بعد، اسکنلن اعلام میکند: “ما الان دسترسی به آن دوربین داریم.”
آنها میتوانند حالا داخل استودیو را ببینند ، از جمله کارمند پانوراما که با لپتاپ خود کار میکند.
اسکنلن میگوید: “اگر به داخل صفحه کلید زوم کنیم، میتوانیم به وضوح کلیدهایی را که او برای وارد کردن رمز عبورش استفاده میکند، ببینیم.”
“این شبیه به این است که یک قفلباز به شما یک کلید برای خانهتان بدهد و سپس بهطور پنهانی یک کلید اصلی برای همه قفلهای آن جامعه تهیه کند… به طور مؤثر، دقیقاً همین کاری بود که مهندسان هایکویژن انجام دادند.”
هایکویژن میگوید “محصولات ما دارای درب عقبی نیستند” و عمدتاً با این اشکال برنامهریزی نشدهاند.
آنها افزودهاند که تقریباً تمامی مسئولین محلی که از دستگاههای آنها استفاده میکنند، قبل از این موعد دوربینهای خود را بهروز رسانی کردهاند.
پس از آزمایش نخست، هکرها با حفره امنیتی دیگری در نرمافزار کنترل دوربینهای Dahua آشنا میشوند.
دو دوربین تست در مرکز IPVM نصب شدهاند. اگر هکرها موفق شوند، میتوانند کنترل کامل شبکهای از دوربینهای نظارتی را در دست بگیرند.
به زودی، آنها حفره امنیتی را پیدا میکنند. هیلی میگوید: “حالا داخل سیستم هستیم.” و حالا که درون سیستم هستند، میتوانند از طریق یک دوربین به گوش دادن بپردازند.
“بسیاری از افراد فکر نمیکنند که این دوربینها دارای میکروفون هستند”، هیلی توضیح میدهد و در حالی که کاربران اغلب آنها را خاموش میکنند، برای هکرها آسان است که آنها را دوباره روشن کنند و به طور مؤثر، اتاق را “محل شنود” کنند.
Dahua میگوید که وقتی در پایان سال گذشته از حفره امنیتی آگاه شد، “بلافاصله یک بررسی جامع را انجام داد” و سریعاً با “بهروزرسانی فریمورک” مشکل را رفع کرد.
این شرکت همچنین افزودهاست که دارای پشتیبانی دولتی نیست و تجهیزاتش نمیتواند با زیرساختهای حیاتی بریتانیا تداخل ایجاد کند.
Dahua میافزاید: “این ادعاها غلط هستند و تصویری بسیار گمراهکننده از تکنولوژی و محصولات Dahua رسم میکنند.”
به عقیده کارشناسان امنیتی در کشور انگلستان، آن ها باید تلاش بیشتری از خود برای محافظت در برابر آن چیزی که دکتر سامپسون، کمیسر دوربین نظارتی، آن را “آسبست دیجیتالی” توصیف میکند، انجام دهد.
وی میگوید: “ما یک نسل قبل داریم که این تجهیزات را نصب کرده، در بیشتر موارد به دلیل اینکه ارزان است و وظیفه خود را انجام میدهد.” او اضافه میکند: “اکنون متوجه شدیم که این تجهیزات خطرات جدی و ذاتی دارند ، پس چه کاری باید بکنیم؟”
وقتی از او در مورد اعتماد به Hikvision و Dahua سؤال شد، او پاسخ داد: “به هیچ وجه به آنها اعتماد ندارم.”