Πόσο πιθανό πιστεύετε πως είναι οι κάμερες ασφαλείας των δημόσιων κτηρίων ή ακόμα και αυτές που υπάρχουν στους ιδιωτικούς χώρους να παρακολουθούνται από τον οποιοδήποτε επίδοξο χάκερ; Μπορεί να ακούγεται τρομακτικό, αλλά κάνοντας έρευνα για το ζήτημα αυτό, φαίνεται πως όντως υπάρχουν κενά ασφαλείας.
Το πείραμα για να ερευνηθεί το θέμα, έγινε σε ένα σκοτεινό στούντιο μέσα στο Broadcasting House του BBC στο Λονδίνο. Ένας άνδρας κάθεται στο φορητό του υπολογιστή και πληκτρολογεί τον κωδικό του. Χιλιάδες μίλια μακριά, ένας χάκερ παρακολουθεί ό,τι πληκτρολογεί. Στη συνέχεια, ο υπάλληλος του BBC παίρνει το κινητό του τηλέφωνο και πληκτρολογεί τον κωδικό πρόσβασης. Ο χάκερ το έχει τώρα και αυτό.
Ένα ελάττωμα ασφαλείας στην κάμερα παρακολούθησης, η οποία είναι κατασκευασμένη από μια κινεζική εταιρεία, την καθιστά πλέον ευάλωτη σε επιθέσεις. «Αυτή η συσκευή τώρα μου ανήκει – μπορώ να κάνω ό,τι θέλω», λέει ο χάκερ. «Μπορώ να την απενεργοποιήσω… ή μπορώ να τη χρησιμοποιήσω για να παρακολουθώ τι συμβαίνει στο BBC».
Ευτυχώς για τον άνθρωπο που παρακολουθείται, ο χάκερ συνεργάζεται με το BBC, καθώς είναι μέρος μιας σειράς πειραμάτων του, για να δοκιμάσει την ασφάλεια ορισμένων καμερών παρακολούθησης κινεζικής κατασκευής.
Πέρυσι, η ομάδα εκστρατείας για την προστασία της ιδιωτικής ζωής, Big Brother Watch, προσπάθησε να μάθει πόσες από τις κάμερες που βρίσκονται στους δρόμους του Λονδίνου παρακολουθούνται. Οι ειδικοί σε θέματα ασφάλειας φοβούνται ότι οι κάμερες έχουν τη δυνατότητα να χρησιμοποιηθούν ως δούρειος ίππος για να προκαλέσουν χάος στα δίκτυα υπολογιστών, γεγονός που με τη σειρά του θα μπορούσε να πυροδοτήσει πολιτικές αναταραχές.
Ο καθηγητής Fraser Sampson, επίτροπος του Ηνωμένου Βασιλείου για τις κάμερες παρακολούθησης, προειδοποιεί ότι οι κρίσιμες υποδομές της χώρας είναι ευάλωτες. Σε αυτές συμπεριλαμβάνονται ο εφοδιασμός με ηλεκτρική ενέργεια, τα δίκτυα μεταφορών και η πρόσβαση σε τρόφιμα και νερό. «Όλα αυτά τα πράγματα βασίζονται σε μεγάλο βαθμό στην παρακολούθηση. Αν έχετε τη δυνατότητα να παρέμβετε σε αυτό, μπορείτε να δημιουργήσετε χάος, ακόμα και εξ αποστάσεως», λέει.
Ο Charles Parton, πρώην διπλωμάτης που εργάστηκε στο Πεκίνο, συμφωνεί: «Όλοι έχουμε δει στα νιάτα μας το “Italian Job”, όπου ολόκληρο το Τορίνο σταματά μέσω του συστήματος φωτεινών σηματοδοτών. Λοιπόν, αυτό μπορεί να ήταν μυθοπλασία τότε, τώρα, όμως, δεν θα ήταν».
Τι αναφέρουν κινέζικες κατασκευάστριες εταιρείες καμερών
Από πλευράς της, η Hikvision, μια από τις κινέζικες εταιρείες που κατασκευάζουν κάμερες παρακολούθησης ισχυρίζεται πως είναι μια ανεξάρτητη εταιρεία και δεν αποτελεί απειλή για την εθνική ασφάλεια του Ηνωμένου Βασιλείου. «Η Hikvision δεν έχει ποτέ διεξάγει, ούτε πρόκειται να διεξάγει, οποιεσδήποτε δραστηριότητες που σχετίζονται με την κατασκοπεία για οποιαδήποτε κυβέρνηση στον κόσμο», δήλωσε, προσθέτοντας ότι «τα προϊόντα της υπόκεινται σε αυστηρές απαιτήσεις ασφαλείας και συμμορφώνονται με τους ισχύοντες νόμους και κανονισμούς στο Ηνωμένο Βασίλειο, καθώς και σε κάθε άλλη χώρα και περιοχή στην οποία δραστηριοποιούμαστε».
Η κάμερα που δοκιμάστηκε στο πείραμα, περιέχει μια ευπάθεια που ανακαλύφθηκε το 2017. Ο διευθυντής της αμερικανικής IPVM, μια από τις κορυφαίες αρχές στον κόσμο για την τεχνολογία επιτήρησης, Conor Healy, το περιγράφει ως «μια πίσω πόρτα που η Hikvision ενσωμάτωσε στα δικά της προϊόντα».
Η Hikvision λέει ότι οι συσκευές της δεν προγραμματίστηκαν σκοπίμως με αυτό το ελάττωμα και επισημαίνει ότι κυκλοφόρησε μια ενημερωμένη έκδοση υλικολογισμικού για την αντιμετώπισή του σχεδόν αμέσως μετά την ενημέρωσή της για το ζήτημα. Προσθέτει ότι το πείραμα δεν είναι αντιπροσωπευτικό των συσκευών που λειτουργούν σήμερα. Ωστόσο, ο Conor Healy λέει ότι περισσότερες από 100.000 κάμερες που βρίσκονται online παγκοσμίως, εξακολουθούν να είναι ευάλωτες σε αυτό το ζήτημα.
Πώς αποκαλύφθηκε το κενό ασφαλείας
Καθώς αρχίζει το πείραμα του χάκινγκ, ο Conor και ο ερευνητής μηχανικός της IPVM, John Scanlan, κάθονται πίσω από φορητούς υπολογιστές στα κεντρικά γραφεία τους στην Πενσυλβάνια. Ο Healy και ο Scanlan ξεκινούν εντοπίζοντας την κάμερα μέσα στο BBC και στη συνέχεια επιτίθενται στην ασφάλειά της. Ύστερα, ο Healy μετράει πόσος χρόνος χρειάζεται για να πάρει τον έλεγχό της. Μόλις 11 δευτερόλεπτα αργότερα, ο Scanlan ανακοινώνει: «Έχουμε πρόσβαση σε αυτή την κάμερα τώρα».
Τώρα μπορούν να δουν μέσα στο στούντιο – συμπεριλαμβανομένου του υπαλλήλου του BBC στο φορητό του υπολογιστή. «Αν κάνουμε κοντινό ζουμ στο πληκτρολόγιο, μπορούμε να δούμε καθαρά τα πλήκτρα που πατάει για να βάλει τον κωδικό του», λέει ο Scanlan. «Είναι σαν ένας κλειδαράς να σας δίνει ένα κλειδί για το σπίτι σας, αλλά κρυφά να φτιάχνει ένα κύριο κλειδί για όλες τις κλειδαριές της γειτονιάς… αυτό έκαναν ουσιαστικά οι μηχανικοί της Hikvision».
Στη συνέχεια, οι χάκερ ξεκινούν τη δεύτερη δοκιμή τους, προσπαθώντας να αποκτήσουν πρόσβαση στις κάμερες μιας άλλης κινέζικης εταιρείας, της Dahua, διεισδύοντας στο λογισμικό που τις ελέγχει. Δύο δοκιμαστικές κάμερες είχαν εγκατασταθεί στα κεντρικά γραφεία της IPVM. Εάν οι χάκερς επιτύχουν, θα μπορούσαν να εισβάλλουν σε ένα ολόκληρο δίκτυο καμερών παρακολούθησης.
Σύντομα βρίσκουν την ευπάθεια του λογισμικού. «Ορίστε, είμαστε μέσα», λέει ο Healy. Τώρα που βρίσκονται μέσα στο σύστημα, μπορούν να κρυφακούσουν ό,τι γίνεται μέσω μιας κάμερας. «Αυτό που πολλοί άνθρωποι δεν συνειδητοποιούν σχετικά με αυτές τις κάμερες, είναι ότι οι περισσότερες διαθέτουν μικρόφωνα», εξηγεί ο Healy. Και ενώ οι χρήστες συχνά τα απενεργοποιούν, είναι εύκολο για τους χάκερ να τα ενεργοποιήσουν ξανά.
Η Dahua, όπως αναφέρεται στο bbc.com, λέει ότι όταν ενημερώθηκε για την ευπάθεια στα τέλη του περασμένου έτους «διεξήγαγε αμέσως μια ολοκληρωμένη έρευνα» και διόρθωσε γρήγορα το πρόβλημα μέσω «ενημερώσεων υλικολογισμικού». Προσθέτει: «Αυτοί οι ισχυρισμοί είναι αναληθείς και δίνουν μια άκρως παραπλανητική εικόνα της Dahua Technology και των προϊόντων της».