ФСБ могла годами получать видео с камер наблюдения в Украине, - "Схемы" РАССЛЕДОВАНИЕ
С 2014 года в Украине были установлены тысячи камер, работавших на российском программном обеспечении TRASSIR компании DSSL и отправлявших данные на сервера в Москве.
Об этом говорится в расследовании программы "Схемы" на "Радио свобода", передает Цензор.НЕТ.
Несмотря на войну, камеры с программным обеспечением TRASSIR компании DSSL закупали как государственные предприятия, в том числе, для установки на объектах критической инфраструктуры, например на ЧАЭС, так и частный бизнес. Массово покупали их и рядовые украинцы для своих помещений.
"Схемы" провели эксперимент вместе со специалистами двух специализированных организаций – "Лаборатории компьютерной криминалистики" и "Лаборатории цифровой безопасности". Отмечается, что камера, использованная в эксперименте, изготовлена, как и большинство гаджетов, в Китае, но ее программное обеспечение имеет полностью российское происхождение, и именно софт играет важную роль в работе таких камер.
"Есть камера, которая фиксирует определенную обстановку, определенное место, определенные предметы. Затем данные из этой камеры передаются на определенные серверы, которые находятся на территории Российской Федерации", – говорит исполнительный директор "Лаборатории компьютерной криминалистики" Сергей Денисенко. – Вы видите, что это риск, если эта камера стояла на каком-то объекте критической инфраструктуры, здесь может быть вопрос, что видят работники той стороны, владельцы того сервера и как они эту информацию используют в военных целях".
Камера видеонаблюдения с российским программным обеспечением TRASSIR может быть установлена где угодно – в общественном месте, на государственном предприятии или внутри частного дома. Такие камеры ввозились в Украину тысячами. При подключении к интернету происходит передача данных на российский сервер.
"Мы видим, что от этой камеры идут запросы на поддомен сайта производителя этих камер TRASSIR – m30.ru.cloudtrassir.com, – говорит специалист по веб-безопасности "Лаборатории цифровой безопасности" Наталья Онищенко. – Мы видим, что это доменное имя отвечает IP-адресу, который определяется как российский IP-адрес с геолокацией в Москве".
С помощью специалистов "Схемы" обнаружили несколько таких IP-адресов. А сервис, который помогает их деанонимизировать, то есть связать с физическим адресом, показал, что эти серверы находятся в Москве.
То есть, видео с камеры с софтом TRASSIR не сразу попадает на телефон или другое устройство, к которому подключена камера, чтобы увидеть отснятое ею – а идет через московские серверы.
Журналисты "Схем" установили две компании, которым эти серверы принадлежат.
Первая – это телекоммуникационная компания "Диджитал Нетворк", клиентами которой являются, например, крупнейший российский поисковик "Яндекс" и федеральный канал "Звезда". А вторая – это компания "ВК", которая, в частности, является владелицей запрещенной в Украине российской соцсети "Одноклассники" и сервиса электронной почты Мail.ru.
Еще в 2016 году российские правозащитники и журналисты сообщали, что спецслужбы в России имеют свободный доступ к серверам соцсетей, в частности "ВКонтакте" и "Одноклассники", вытекающим из судебных решений в РФ.
Это подтверждает и генерал-майор запаса Службы безопасности Украины Виктор Ягун, который во время своей работы в СБУ занимался контрразведывательной деятельностью, в частности по ФСБ.
"Законодательство России предполагает, что доступ ко всем ресурсам, хранящимся в России, возможен для спецслужб и правоохранительных органов даже без судебных решений. Все, что они делают, они делают в своих интересах и в интересах их авторитарной власти", - пояснил он.
Обе компании-владельцы серверов, на которые попало видео в результате эксперимента "Схем", тесно связаны с деятельностью российских спецслужб и правоохранительных органов: ФСБ и МВД.
В частности, "Диджил Нетворк" с 2015-го по 2017-й годы предоставляла услуги по подключению интернета одной из воинских частей.
.
"Эта в/ч №43753 из структуры ФСБ РФ более известна в России под названием "Центр защиты информации и специальной связи ФСБ РФ". Этот центр мониторит и проводит государственные экспертизы разнообразного программного обеспечения в России, а также расшифровывает полученную информацию ФСБ", - отмечают "Схемы".
"Все, что связано с информацией, интернетом, связью – все это объединилось в этом центре. То есть использование интернета для проведения тех или иных специальных информационных операций", – говорит Ягун.
В частности, камеры с софтом TRASSIR были установлены на Чернобыльской АЭС, которую россияне оккупировали в начале полномасштабного вторжения, с 2011 года.
В ДСП ЧАЭС, однако, заверили, что это было нужно, чтобы измерять уровень загрязнения транспорта и персонала. Отмечается, что "серверы и ПО TRASSIR используются в замкнутой иерархической локальной сети без доступа к сети "Интернет", что делает невозможным несанкционированный доступ. В 2023 году программное обеспечение TRASSIR было окончательно удалено".
317 камер также были установлены в Полтаве за бюджетные средства в рамках проекта "Безопасный город", и они до сих пор функционируют. На момент установки камер они имели программное обеспечение TRASSIR. Первый заместитель городского головы Полтавы Валерий Пархоменко пока не может сказать, с каким обеспечением они работают сейчас.
По информации Importgenius, с 2016 года в Украину было ввезено более 10 тысяч камер и видеорегистраторов с этим российским софтом. Последние поставки прошли в феврале 22 года.
Среди тех, кто пользовался российским программным обеспечением уже после 2014 года, кроме ЧАЭС и Полтавского горсовета "Схемы" также заметили Администрацию морских портов Украины, Харьковский, Херсонский и Никопольский городские советы, Морскую поисково-спасательную службу в Одессе, "Днепростандартметрологию" и другие. государственные структуры и правоохранительные органы. Которые, согласно тендерам, найденным журналистами на Prozorro, заказывали услуги по обслуживанию, в том числе софту TRASSIR.
Тобто власників підприємств ажніяк не турбує, що вони використовують російське ПЗ, а відтак, окрім спонсорства тероризму, існує величезна вирогідність, що дані з цієї програми напряму ідуть у ФСБ!
І якщо якійсь малий підприємець із штатом в 5-10 працівників дійсно навряд чи має великій вибір, то велике підприємство цілком може зорганізувати конкурс на постачання локалізованого за вимогами покупця ПЗ із можливістю розгортання на декілька тисяч терміналів.
І так - якщо це мережеве ПО, тобто дані з кожного відділення, і з кожного терміналу поступають в єдину базу даних (а без цього неможливо організувати відслідковування посилок), то апріорі вони мають вихід в інтернет.
Інша справа - що їх треба налаштувати під конкретні потреби, ну і, звісно ж, подолати спротив безпосередніх користувачів цих систем, тобто робітників, яким завжди простіше все робити по-старому.
1С - это не просто "программа" как например видеопроигрыватель, это в принципе Бухгалтерия с большой буквы. Она учитывает стандарты делопроизводства и фискальной политики нашего региона. Образно говоря, наши фирмы не могут себе поставить Microsoft, потому что в ней нет понятия "откат налоговому инспектору"
Полную альтернативу с необходимым удобным функционалом найти трудно, как из-за ограниченности одних существующих решений, так и из-за переусложненности других.
Безусловно это плохо, но ЧП в котором директор, он же секретарь, он же водитель + бухгалтерша + доставщик пиццы вряд ли будут заморачиваться над вопросами сетевой безопасности.
А вот государство бы и могло объявить конкурс на продукт с открытым исходным кодом для нашей собственной налоговой. Удобный, бесплатный. Но как обычно забило болт. И сейчас таки да, теоретически (прецедентов по 1С пока не видел, вроде файервол чист) парашкинское ФСБ может знать состояние финансов в любой компании где стоит 1С-ка.
Відтак і бізнес може звернутись до IT-шників з проханням створити якійсь програмний продукт відповідно до потрібного функціоналу. Хто за це заплатить, залежить від того хто залишить за собою права на цей продукт.
Але принаймі за 10 років війни ніхто, наскільки я розумію, з такими побажаннями не виходив.
Бiзнес може. Але це буде невпорядкований зоопарк, де кожен буде тягнути одеяло на себе i потiм будуть проблеми. Не той колiр, не той формат, etc. Тому краще, якщо це буде централiзовано.
Конкретно в цьому випадку, вона може встановити параметри безпеки, яким повинен відповідати вказаний продукт, хоча, за великим рахунком, ніхто не знає цих параметрів ліпше, ніж самі розробники.
Отже, після того, як продукт буде зроблено, держава може видати на нього після перевірки і тестування сертифікат безпеки, і на цьому функції держави закінчуються.
Справа в тому, що програмiст - це людина вузького профiлю, вiн лише код пише.
Програмiста, що водночас е бухгалтером, податковим iнспектором, юристом, законодавцем та керiвником установи - не iснуе. Це як артилериста саджати у лiтак.
Тому продукт не буде зроблено. Максимум що буде зроблено - десяток фiгнi, як зараз з бiблiотечними системами облiку, i в кращому випадку не буде прийнята жодна, а в гiршому, буде прийняте якесь щось що iншим доведеться ковтати, тому що вже такi люди цi програмicти, вони пишуть виходячи з власного обмеженого кругозору. Потрiбно буде поставити nginx та скомпiлювати ядро linux? Це ж вашi проблеми, в мене на компi все працюе, ну а те що кнопка "Додати iнший звiт" буде зватись "Сконкатенувати iтерацiю репорту" - то таке дiло, я розумiю, а значить i тендiтна бiлявка з ООО "ЧiкагаПiца" зрозуiе.
Словом, потрiбен дирижер. Який здатен опитати бухгалтерiю, податкову, i тд iтп, i cформувати попунктне детальне ТЗ. Iнакше буде як з iншим софтом.
Колись дивився камери встановлені на норвезьких поїздах, було прикольно.
А зачем тогда стрелки в начале войны на дорогах предатели рисовали.
В Киеве почти год потом ходил по улицам без названия, между неизвестно какими домами.
Поневоле начнёшь дубльгисом пользоваться.
По мне так крест из батончика на стене дома точно заставил бы обосраться жильцов. А так, только ажиотаж в тик-токе.
А записувати, переглядати, або дивитись в реальному часі вимагатиме значної кількості фахівців та ще більше обладнання, в тому числі, для зберігання..
Если будешь ехать в метро в капюшоне и очках от солнца приймут без компьютера.
Деркачі із сівковичем та клюєвими за цим пильнували, сидячі на ДЕРЖАВНИХ посадах!
Харківські Угоди, литвин у ВРУ, не дарма власним життям проголосував!
Тому і на волі… Єфремов може підтвердити
Ваши цифры не о чем.
Если не ошибаюсь, в 2017 моя страна поставила рекорд. 50% производства электроэнергии от 1991 года.
объемы потребления газа в Украине - https://first-drilling.com.ua/2010/06/struktura-potrebleniya-prirodnogo-gaza-v-ukraine https://first-drilling.com.ua/2010/06/struktura-potrebleniya-prirodnogo-gaza-v-ukraine
Думаю, знайшовся постачальник інших подібних систем, який тепер буде нав'язуватись усім підприємцям.
Камера пишет в облако. Облако находится в паРашке. Ясен хрен что у них будет сюда доступ, это подразумевается и никем не скрывалось.
А вот доблестные СБУшники которые ходили с умным видом и выписывали сертификаты соответствия безопасности - должны да, получить по заднице, ибо это не хакерская уязвимость, а лень читать мануалку к камере.
Это эпик фейл.
Просто сейчас надо взять всех "инженеров с кибербезопасности" у кого стоят такие камеры и уволить пакетом.
Я не сертифицированный спец по кибер безопасности. Мне нечего скрывать. Я не параноик. Но моя домашняя китайская камера на вход перед калиткой не имеет доступа в интернет. Только на подкроватный сервер, ибо нефиг.
Как можно было подставить противнику такие данные - у меня в башке не укладывается, это даже не беспечность, это саботаж.
Не думаю что это было сделано целенаправленно и централизовано. Просто каждый "инженер по кибербезопасности" на производствах, в\ч, горсоветах и прочем, должен был не красивые графики с киберугроз строить, а читать мануалки к камерам да головой думать.
С другой стороны насколько я знаю, такие люди в штате получают мизерную зарплату, на сегодня это около 13к-15к, но бородатый админ с 20-летним опытом за плечами - со 100к только разговор начнет. Если вообще еще здесь.
Порочный круг.
Хотя как правило такие специалисты уже кем-то заняты.
А https://legalinform.org/news/iz-rossii-s-********-vuha-chiyih-spetssluzhb-stirchat-za-rozrobkoyu-diyi/ ДОДАТОК "ДІЯ" НЕ ВІДПРАВЛЯЄ ДАННІ КОРИСТУВАЧІВ НА СЕРВЕРИ ДО ЯКИХ МАЄ ДОСТУП ФСБ ?
А всіма любимий в Україні https://uakino.club/ сайт UA KINO цілком російський проект і їх https://rezka.ag/page/9/ студія дубляжу HDRezka яка перекладає всі фільми і серіали для цього сайту має московську адресу.
КУДИ НЕ ПЛЮНЬ, ВСЮДИ МОСКВА ВСТРОМИЛА СВОЄ РИЛО.