Надзорне камере немају заштиту, свако може гледати шта радите

БАЊАЛУКА - У Босни и Херцеговини постоје стотине хиљада надзорних камера које даноноћно снимају грађане, а најмање 5.660 њих снимке директно преносе на интернет без икакве заштите и енкрипције.

Камере су постављене како на објектима, тако и у њиховој унутрашњости, а могу се наћи и у државним и локалним институцијама, у вртићима, улазима у зграде, као и у бројним приватним компанијама, фабрикама, породичним кућама, па чак и у дечијим собама.

Истраживање портала CAPITAL показало је да на хиљадама надзорних камера у БиХ заштита такорећи ни не постоји, зато што су при инсталацији остављене на баналним фабричким подешавањима или чак немају никакву лозинку за приступ.

Сарађујући са више IT стручњака у овој области и уз коришћење OSINT алата (Open Source Intelligence) који су такође свима доступни на интернету, открили смо рањивост на најмање 5.560 камера којима се може приступити уз мало или нимало труда.

Највише незаштићених камера је у Сарајеву, чак 1.597, затим у Мостару 855, Зеници 536 и Бањалуци 404, као и Бијељини 306. Прегледом листе незакључаних камера види се да у готово свакој општини и граду у БиХ имамо безбједносне пропусте када је видео надзор у питању.

Интересантан податак је да је најмање 3.470 камера инсталираних без квалитетних лозинки или су на основним фабричким подешавањима од само једног произвођача, кинеског „Hikvision“. Овај бренд, као и онај „Dahua“, такође из Кине, један је од најчешћих у нашим институцијама и на јавним површинама. Уз помоћ интернет алата Shodan открили смо да постоји 852 рањиве камере овог произвођача.

Камере увежене из Кине најчешће су у БиХ, што није ни чудно, због њихове приступачне цене у односу на друге произвођаче.

Међутим, ове фирме се годинама уназад сусрећу са критикама и оптужбама да њихови надзорни системи имају интегрисане елементе који омогућавају произвођачу приступ, што у први план доноси управо питања безбједности, али су то они негирали.

Незакључане камере су оне које су остављене без лозинке или користе default (подразумеване) лозинке попут “admin/admin” или низ бројева од један до девет.

Неке од њих, постављене у продавницама, кафићима, зградама, па и фирмама, остављене су отворене према интернету.

Њима свако може да приступи уз минимум информатичког знања, може чак и да управља њима, а није реткост да су укључене и у такозване “open surveillance” мреже које хакери и истраживачи користе за скенирање.

Неозбиљан однос према безбједности на интернету

Оне откривају и IP адресе (Internet Protocol) које веома лако оддају и ону физичку.

IT стручњаци са којима смо сарађивали, као и они који су нам коментарисали добијене резултате, слажу се да се у БиХ сајбер безбједност не схвата озбиљно, да се подешавања приватности и заштите података занемарују, због чега расту могућности злоупотребе, незаконитог надзора и кршења приватности грађана.

Неозбиљан однос према овој врсти безбједности отвара читав спектар потенцијалних опасности повезаних с екстремнијим сценаријима попут планирања напада било појединаца или терористичких, пљачки, ухођења, прикупљања података, али и коришћења снимака у незаконитим радњама.

Упозоравају да незаштићени видео преноси могу довести до разних облика злоупотребе, укључујући воајеризам, шпијунажу и манипулацију снимцима с циљем ширења дезинформација, било да их бришу или монтирају.

Стручњак за сајбер безбједност са вишегодишњим искуством у идентификацији сигурносних слабости и заштити од ове врсте пријетњи, Ненад Боровчанин, каже да рањивост уређаја за видео надзор могу злоупотребити организовани криминалци, botnet и “sextortion” групе, локални криминалци, као и радознали посматрачи без лоших намјера:

“Анализе су показале да у БиХ постоји одређен број незаштићених камера које су директно доступне преко интернета. Њима се може приступити без икакве аутентификације или са фабричким корисничким подацима. То укључује како приватне камере, тако и оне које су постављене на јавним мјестима. Генерално, чини се да свијест о основној заштити ових уређаја, као и уопште заштити на интернету још увијек није довољно развијена. То их чини лаком метом чак и за мање искусне нападаче“.

Кроз рањиву камеру до осталих уређаја

Слаба безбједност видео надзора не тиче се само нарушавања нечије приватности. Далеко већи проблем настаје када ова камера постане тихи улаз у остатак мреже.

“На примјер, камера са рањивошћу може нападачу послужити као први корак, након чега може покушати приступ ка другим уређајима у мрежи, попут персоналних рачунарa или сервера. Уз овај, постоји и ризик од манипулисања снимацима, не само праћења у реалном времену, већ и брисања или замјене постојећих снимака, што у случају инцидената може онемогућити истрагу”, каже Боровчанин.

Када говоримо о организованом сајбер криминалу, они који се тиме баве, прате слабо заштићене камере због шпијунаже, крађе података и изнуда.

Мреже заражених уређаја или botnet групе неко контролише на даљину без знања власника. У овом случају, каже Боровчанин, заражени уређај дјелује и функционише нормално, али у позадини обавља разне операције задате од стране нападача.

“Ове групе најчешће прате недовољно сигурне камере како би их регрутовали у своје botnet мреже у сврху DDoS напада. Недавни примјер овога је ‘Mirai Botnet’, малвер креиран с овим циљем. Постоје и групе за изнуду с фокусом на сексуални садржај који се назива ‘sextortion’, а чији је главни циљ уцјена корисника уз пријетњу објављивања приватних снимака на странице са садржајем за одрасле”, објашњава Боровчанин.

Камере за надзор могу злоупотребити и локални криминалци за праћење људи и прикупљање информација о просторијама у објекту, те идентификовање рутина домаћина, тражећи рупе у распореду када би искористили прилику да опљачкају имовину.

С обзиром на то да не треба имати много знања за идентификацију незаштићене камере, није реткост да се у посматрање других и нарушавање њихове приватности упуштају и они који немају никакве посебно лоше намјере.

Посматра нас 270.000 камера

Наши OSINT алати дали су нам увид у огроман број података о видео надзору у БиХ. Према добијеним информацијама помоћу алата Shodan сазнали смо да у БиХ постоји преко 270.000 камера за надзор.

Важно је напоменути да се број камера мијења у реалном времену јер Shodan стално скенира интернет.

Потврдили смо да је релативно лако пронаћи отворене камере широм БиХ које приказују улазе у зграде, кафиће, гараже, па чак и собе, али и јавне просторе попут улица, тргова, школа, институција и објеката о којима брине државна и локална власт.

Све ове камере, а уз њих и њихови рутери и сервери, имају слабе или подразумеване лозинке.

Алати које смо користили понудили су нам све, од IP адреса до физичких адреса, па и фотографије и print screen-ове снимака ових локација, на којима смо видели разне канцеларије, улазе у зграде и куће, балконе, али и портирне јавних универзитета, улице, двориште и тако даље.

Показали су нам да постоји приступ великом броју камера и у институцијама.

Напомињемо да ниједној камери нисмо приступали да не бисмо прекршили закон, па смо само преузели print screen-ове који су били јавно доступни и са њих исјекли све што би могло да открије локацију или на било који начин угрози приватност грађана.

Стручни IT консултант са којим смо прегледали отворене камере каже да и сада постоје стотине, можда и хиљаде уређаја u јавним институцијама kojima се може приступити без посебних препреka.

Тврди да је у једном тренутку постојала листа 5.000 камера само у јавним институцијама у БиХ kojima su могли да приступе сви, због чега su бројни стручњаци у овој области посветили доста времена да пошаљу упозорења онима који су их поставили и да унапреде безбједносне протоколе.

„Осим тога, виде се и базе податаka које редом садрже све податке о запосленима, од њихових адреса, преко јединичних матичних бројева, података о банковним рачунима и други веома осјетљиви подаци“, рекао је један од наших сарадника.

Инциденти пролазе испод радара

Додаје да су многи инциденти са камерама прошли “испод радара”, односно нису били пријављени надлежнима и то зато што њихови запослени ни не знају да су камере биле компромитоване.

У Агенцији за заштиту личних података у Босни и Херцеговини кажу за CAPITAL да константно добијају приговоре грађана због неадекватно постављеног видео надзора.

“Штавише, приговори овог типа су доминантни у односу на друге обраде података у посљедњих неколико година. Већина пријава се односи на незаконито постављен видео надзор физичких лица које покривају и јавни простор и туђе власништво. Такође, константно добијамо пријаве о незаконито постављеном видео надзору од стране јавних тијела, правних лица и других контролора који се не придржавају правила о постављању, роковима и чувању прикупљених података”, рекли су нам у овој агенцији.

Према важећем Закону о заштити личних података, видео надзор представља обраду података када се врши запис о мониторингу физичких лица. Пошто се ради о систематском прикупљању личних података, употреба видео надзора мора бити прописана, а обрада података као нужна мјера техничке заштите дозвољена. Онај ко поставља надзор мора за сваку појединачну камеру извршити адекватну процјену оправданости постављања.

“При обради личних података путем видео надзора свакоме је прописана обавеза да брине о сигурности података и да предузима све неопходне техничке и организационе мјере. Дужни су предузети све мјере против неовлашћеног или случајног приступа личним подацима, њиховог мијењања, уништавања или губитка, као и неовлашћеног преноса, те других облика незаконите обраде и злоупотребе података”, навели су у агенцији.

Иако је јасно да је ово постао велики проблем, у БиХ и даље не постоји централна регулатива нити надзор над постављањем IP камера у приватним, па чак ни у јавним просторима.

Без јасне заштите и без надлежности

Брза експанзија надзорних камера кроз неконтролисан увоз и постављање без системског приступа у БиХ додатно изазива забринутост због могућег страног утицаја и ширења дезинформација, тврде стручњаци.

Сва опрема овог типа у БиХ долази из иностранства, попут Кине, Јапана, Тајвана и других, а није искључено да неке од њих имају уграђене безбједносне рањивости.

Стручњаци упозоравају да неки произвођачи представљају сајбер пријетњу, укључујући и тзв. "backdoor" приступе који омогућавају неовлашћен приступ снимцима.

То омогућава страним актерима да надгледају осјетљиве локације, прикупљају обавјештајне податке и припремају терен за злоупотребу добијених информација. С обзиром на крхки политички пејзаж БиХ, цурење и манипулисање снимцима могу се искористити за дестабилизацију земље или искривљавање јавног мњења.

Битно је нагласити да у БиХ још увијек није основан ни CERT (Computer Emergency Response Team) на шта смо се обавезали прије осам година. Државне институције не воде евиденцију, не издају смјернице нити систематски реагују на безбједносне инциденте.

У Министарству безбједности БиХ су нам рекли да је Савјет министара БиХ још 2017. године усвојио одлуку о успостављању CERT-а за институције БиХ. Шест година касније, 2023. године, усвојене су измјене и допуне Прavilника о систематизацији радних мјеста у Министарstvu безбједности БиХ којима су систематизована радна мјеста у CERT-у институција БиХ. Међутим, осим тога, очигледно се више ништа није урадилаа. Тек ове године планирано је запошљавање стручњака, али је питање како ће се ова мјеста попунити ако се има у виду недостатак интересовања IT стручњака да раде “за државу” због ниских плата у односу на приватни сектор.

Занимљиво је да су у одговорима на наша питања рекли да праћење рањивости камера није у надлежности CERT-а.

“Праћење рањивости камера и IoT уређаја који се користе у јавним и приватним просторијама није у надлежности CERT-а за институције БиХ. Одговорност за заштиту, надзор и контролу камера постављених у приватним просторијама сносе власници истих, док заштиту, надзор и контролу камера постављених у јавним просторијама сносе тзв. контролори одређени сходно Закону о заштити личних података БиХ”, рекли су нам и додали да не располажу информацијама да ли је до сада забележена злоупотреба снимака надзорних камера.

Видео надзор је моћан алат

Ипак, CERT Европске уније одговорио нам је да готово све институције и тијела EU имају видео надзор у својим просторијама – од малих извршних агенција са само неколико камера (CCTV), до институција и тијела EU са сједиштима у више држава чланица које управљају са неколико стотина камера.

“Све институције и тијела EU која користе CCTV имају јавно доступну политику у којој је наведено шта раде и зашто. Добро осмишљени и селективно коришћени системи видео надзора су моћни алати за рјешавање проблема безбједности података. Лоше осмишљени системи само стварају лажни осјећај сигурности, а истовремено задирају у нашу индивидуалну приватност и крше друга темљна права”, навели су.

Кажу да се камере могу и требају користити интелигентно и да требају циљати само на специфично идентификоване безбједносне проблеме, чиме се минимизује прикупљање небитних снимака (minimization of data).

Ово не само да смањује задирање у личне податке грађана, већ и помаже у обезбјеђивању ефикаснијег коришћења видео надзора.

Док дигитална инфраструктура убрзано расте, правни оквир у БиХ се не мијења. Нема јасних прописа о одговорности корисника, надзору опреме или заштити података.

Стручњаци ситуацију с видео надзором у БиХ називају „системским немаром“, који може угрозити и физичку сигурност грађана отварајући канале за надзор или чак озбиљније пријетње, и то од стране било кога са основним знањем и злом намјером.

Пропусти познати од раније

Камере “Hikvision” (кинеске фирме Hangzhou Hikvision Digital Technology) и “Dahua” (Zhejiang Dahua Technology) у посљедњих неколико година прате безбједносни пропусти, али и оптужбе да су повезане са незаконитим прикупљањем података о корисницима, па чак и са индустријском шпијунажом.

Према писању британског листа “Politico” и информацијама које је објавила америчка CISA (U.S. Cybersecurity and Infrastructure Security Agency), пронађена је грешка у “Hikvision” производима која омогућава нападачу потпуну контролу над уређајем, која би могла да утиче на преко 100 милиона корисника. “Hikvision” је признао рањивост камера, али су повезаност са прикупљањем података негирали, тврдећи да се придржавају прописа EU. Ова фирма била је осумњичена за сарадњу са кинеским властима због масовног надзора и кршења људских права у Кини.

Крајем 2024. године “Hikvision” није у потпуности отклонио проблем у свим погођеним моделима, остављајући многе уређаје отворене ако се не закрпе ручно.

“Dahua” се суочио са открићима скривених улаза и чврсто кодираних акредитива у својим уређајима. На примјер, 2017. године утврђено је да Dahua камере садрже рањивости које омогућавају неовлашћено преузимање корисничких лозинки и потпуни администраторски приступ. Нападач који искориштава ове недостатке могао би пресрести видео преносе или пренаменити уређај као почетну тачку за приступ мрежи. “Dahua” је објавила исправке firmwera, али сви уређаји на којима лозинке нису промијењене ручно, остају у опасности.

Пратите нас на нашој Фејсбук и Инстаграм страници и X налогу.