ФСБ могла роками отримувати відео з камер спостереження в Україні, - "Схеми" РОЗСЛІДУВАННЯ
З 2014 року в Україні встановили тисячі камер, які працювали на російському програмному забезпеченні TRASSIR компанії DSSL та відправляли дані на сервери у Москві.
Про це йдеться у розслідуванні програми "Схеми" на "Радіо свобода", передає Цензор.НЕТ.
Попри війну камери з програмним забезпеченням TRASSIR компанії DSSL закуповували як державні підприємства, в тому числі, для встановлення на об’єктах критичної інфраструктури, наприклад на ЧАЕС, так і приватний бізнес. Масово купували їх і пересічні українці для своїх помешкань.
"Схеми" провели експеримент разом з фахівцями двох спеціалізованих організацій – "Лабораторії комп’ютерної криміналістики" та "Лабораторії цифрової безпеки". Зазначається, що камера, яка була використана в експерименті, виготовлена, як і більшість гаджетів, у Китаї, але її програмне забезпечення має повністю російське походження, і саме софт відіграє важливу роль у роботі таких камер.
"Є камера, яка фіксує певну обстановку, певне місце, певні предмети. Потім дані з цієї камери передаються на певні сервери, які знаходяться на території Російської Федерації",–каже виконавчий директор"Лабораторії комп’ютерної криміналістики" Сергій Денисенко. – Ви бачите, цей ризик, якщо ця камера стояла на якомусь об'єкті критичної інфраструктури, тут може бути питання, що бачать працівники тієї сторони, власники того серверу і як вони ту інформацію використовують військових цілях".
Камера відеоспостереження із російським програмним забезпеченням TRASSIR може бути встановлена будь-де – у громадському місці, на державному підприємстві чи в середині приватної оселі. Такі камери ввозились в Україну тисячами. При її підключенні до інтернету відбувається передача даних на російський сервер.
"Ми бачимо, що від цієї камери йдуть запити на піддомен сайту виробника цих камер TRASSIR – m30.ru.cloudtrassir.com, – каже спеціалістка з веб-безпеки "Лабораторії цифрової безпеки" Наталія Онищенко. – Ми бачимо, що це доменне ім’я відповідає IP-адресі, яка визначається, як російська IP-адреса з геолокацією у Москві".
За допомогою спеціалістів "Схеми" виявили декілька таких IP-адрес. А сервіс, який допомагає їх деанонімізувати – тобто зв’язати з фізичною адресою – показав, що ці сервери знаходяться у Москві.
Тобто відео з камери з софтом TRASSIR не одразу потрапляє на телефон чи інший пристрій, до якого під’єднана камера, щоб побачити відзняте нею – а через московські сервери.
Журналісти "Схем" встановили дві компанії, яким ці сервери належать.
Перша – це телекомунікаційна компанія "Диджитал Нетворк", клієнтами якої є, наприклад, найбільший російський пошуковик "Яндекс" та федеральний канал "Звезда". А друга – це компанія "ВК ", яка, зокрема, є власницею забороненої в Україні російської соцмережі "Одноклассники" та сервісу електронної пошти Мail.ru.
Ще у 2016 році російські правозахисники та журналісти повідомляли, що спецслужби в Росії мають вільний доступ до серверів соцмереж, зокрема "ВКонтактє" та "Одноклассники", що випливає із судових рішень в РФ.
Це підтверджує і генерал-майор запасу Служби безпеки України Віктор Ягун, який під час своєї роботи в СБУ займався контррозвідувальною діяльністю, зокрема, щодо ФСБ.
"Законодавство Росії передбачає, що доступ до всіх ресурсів, які зберігаються в Росії, є можливим для спецслужб та правоохоронних органів навіть без судових рішень. Все, що вони роблять, вони роблять в своїх інтересах і в інтересах їх авторитарної влади", - пояснив він.
Обидві компанії-власниці серверів, на які потрапило відео внаслідок експерименту "Схем" – тісно пов’язані з діяльністю російських спецслужб та правоохоронних органів: ФСБ та МВС.
Зокрема, "Диджитал Нетворк" з 2015-го по 2017-й роки надавала послуги з підключення інтернету одній з військових частин.
.
"Ця в/ч №43753 зі структури ФСБ РФ більш відома в Росії під назвою "Центр захисту інформації та спеціального зв’язку ФСБ РФ". Цей центр моніторить і проводить державні експертизи різноманітного програмного забезпечення в Росії, а також розшифровує інформацію, яку отримала ФСБ", - зазначають "Схеми".
"Все, що пов’язане з інформацією, інтернетом, зв’язком – все це об’єдналося в цьому центрі. Тобто використання інтернету для провадення тих чи інших спеціальних інформаційних операцій", – каже Ягун.
Зокрема камери із софтом TRASSIR були встановлені на Чорнобильській АЕС, яку росіяни окупували на початку повномасштабного вторгнення, з 2011 року.
У ДСП ЧАЕС однак запевнили, що це було потрібно, щоб вимірювати рівень забруднення транспорту та персоналу. Зазначається, що "сервери і ПЗ TRASSIR використовуються в замкнутій ієрархічній локальній мережі без доступу до мережі "Інтернет", що унеможливлює несанкціонований доступ. У 2023 році програмне забезпечення TRASSIR було остаточно видалене".
317 камер також були встановлені у Полтаві за бюджетний кошт у рамках проєкту "Безпечне місто", і вони досі функціонують. На момент встановлення камер вони мали програмне забезпечення TRASSIR. Перший заступник міського голови Полтави Валерій Пархоменко наразі не може сказати, з яким забехпеченням вони працюють зараз.
За інформацією Importgenius, з 2016 року в Україну ввезли понад 10 тисяч камер та відеореєстраторів з цим російським софтом. Останні поставки відбулись у лютому 22 року.
Серед тих, хто користувався російським програмним забезпеченням вже після 2014 року, крім ЧАЕС та Полтавської міськради, "Схеми" також помітили Адміністрацію морських портів України, Харківську, Херсонську та Нікопольську міські ради, Морську пошуково-рятувальну службу в Одесі, "Дніпростандартметрологію" та інші державні структури та правоохоронні органи. Які, відповідно до тендерів, знайдених журналістами на Prozorro, замовляли послуги з обслуговування, в тому числі, софту TRASSIR.
Тобто власників підприємств ажніяк не турбує, що вони використовують російське ПЗ, а відтак, окрім спонсорства тероризму, існує величезна вирогідність, що дані з цієї програми напряму ідуть у ФСБ!
І якщо якійсь малий підприємець із штатом в 5-10 працівників дійсно навряд чи має великій вибір, то велике підприємство цілком може зорганізувати конкурс на постачання локалізованого за вимогами покупця ПЗ із можливістю розгортання на декілька тисяч терміналів.
І так - якщо це мережеве ПО, тобто дані з кожного відділення, і з кожного терміналу поступають в єдину базу даних (а без цього неможливо організувати відслідковування посилок), то апріорі вони мають вихід в інтернет.
Інша справа - що їх треба налаштувати під конкретні потреби, ну і, звісно ж, подолати спротив безпосередніх користувачів цих систем, тобто робітників, яким завжди простіше все робити по-старому.
1С - это не просто "программа" как например видеопроигрыватель, это в принципе Бухгалтерия с большой буквы. Она учитывает стандарты делопроизводства и фискальной политики нашего региона. Образно говоря, наши фирмы не могут себе поставить Microsoft, потому что в ней нет понятия "откат налоговому инспектору"
Полную альтернативу с необходимым удобным функционалом найти трудно, как из-за ограниченности одних существующих решений, так и из-за переусложненности других.
Безусловно это плохо, но ЧП в котором директор, он же секретарь, он же водитель + бухгалтерша + доставщик пиццы вряд ли будут заморачиваться над вопросами сетевой безопасности.
А вот государство бы и могло объявить конкурс на продукт с открытым исходным кодом для нашей собственной налоговой. Удобный, бесплатный. Но как обычно забило болт. И сейчас таки да, теоретически (прецедентов по 1С пока не видел, вроде файервол чист) парашкинское ФСБ может знать состояние финансов в любой компании где стоит 1С-ка.
Відтак і бізнес може звернутись до IT-шників з проханням створити якійсь програмний продукт відповідно до потрібного функціоналу. Хто за це заплатить, залежить від того хто залишить за собою права на цей продукт.
Але принаймі за 10 років війни ніхто, наскільки я розумію, з такими побажаннями не виходив.
Бiзнес може. Але це буде невпорядкований зоопарк, де кожен буде тягнути одеяло на себе i потiм будуть проблеми. Не той колiр, не той формат, etc. Тому краще, якщо це буде централiзовано.
Конкретно в цьому випадку, вона може встановити параметри безпеки, яким повинен відповідати вказаний продукт, хоча, за великим рахунком, ніхто не знає цих параметрів ліпше, ніж самі розробники.
Отже, після того, як продукт буде зроблено, держава може видати на нього після перевірки і тестування сертифікат безпеки, і на цьому функції держави закінчуються.
Справа в тому, що програмiст - це людина вузького профiлю, вiн лише код пише.
Програмiста, що водночас е бухгалтером, податковим iнспектором, юристом, законодавцем та керiвником установи - не iснуе. Це як артилериста саджати у лiтак.
Тому продукт не буде зроблено. Максимум що буде зроблено - десяток фiгнi, як зараз з бiблiотечними системами облiку, i в кращому випадку не буде прийнята жодна, а в гiршому, буде прийняте якесь щось що iншим доведеться ковтати, тому що вже такi люди цi програмicти, вони пишуть виходячи з власного обмеженого кругозору. Потрiбно буде поставити nginx та скомпiлювати ядро linux? Це ж вашi проблеми, в мене на компi все працюе, ну а те що кнопка "Додати iнший звiт" буде зватись "Сконкатенувати iтерацiю репорту" - то таке дiло, я розумiю, а значить i тендiтна бiлявка з ООО "ЧiкагаПiца" зрозуiе.
Словом, потрiбен дирижер. Який здатен опитати бухгалтерiю, податкову, i тд iтп, i cформувати попунктне детальне ТЗ. Iнакше буде як з iншим софтом.
Колись дивився камери встановлені на норвезьких поїздах, було прикольно.
А зачем тогда стрелки в начале войны на дорогах предатели рисовали.
В Киеве почти год потом ходил по улицам без названия, между неизвестно какими домами.
Поневоле начнёшь дубльгисом пользоваться.
По мне так крест из батончика на стене дома точно заставил бы обосраться жильцов. А так, только ажиотаж в тик-токе.
А записувати, переглядати, або дивитись в реальному часі вимагатиме значної кількості фахівців та ще більше обладнання, в тому числі, для зберігання..
Если будешь ехать в метро в капюшоне и очках от солнца приймут без компьютера.
Деркачі із сівковичем та клюєвими за цим пильнували, сидячі на ДЕРЖАВНИХ посадах!
Харківські Угоди, литвин у ВРУ, не дарма власним життям проголосував!
Тому і на волі… Єфремов може підтвердити
Ваши цифры не о чем.
Если не ошибаюсь, в 2017 моя страна поставила рекорд. 50% производства электроэнергии от 1991 года.
объемы потребления газа в Украине - https://first-drilling.com.ua/2010/06/struktura-potrebleniya-prirodnogo-gaza-v-ukraine https://first-drilling.com.ua/2010/06/struktura-potrebleniya-prirodnogo-gaza-v-ukraine
Думаю, знайшовся постачальник інших подібних систем, який тепер буде нав'язуватись усім підприємцям.
Камера пишет в облако. Облако находится в паРашке. Ясен хрен что у них будет сюда доступ, это подразумевается и никем не скрывалось.
А вот доблестные СБУшники которые ходили с умным видом и выписывали сертификаты соответствия безопасности - должны да, получить по заднице, ибо это не хакерская уязвимость, а лень читать мануалку к камере.
Это эпик фейл.
Просто сейчас надо взять всех "инженеров с кибербезопасности" у кого стоят такие камеры и уволить пакетом.
Я не сертифицированный спец по кибер безопасности. Мне нечего скрывать. Я не параноик. Но моя домашняя китайская камера на вход перед калиткой не имеет доступа в интернет. Только на подкроватный сервер, ибо нефиг.
Как можно было подставить противнику такие данные - у меня в башке не укладывается, это даже не беспечность, это саботаж.
Не думаю что это было сделано целенаправленно и централизовано. Просто каждый "инженер по кибербезопасности" на производствах, в\ч, горсоветах и прочем, должен был не красивые графики с киберугроз строить, а читать мануалки к камерам да головой думать.
С другой стороны насколько я знаю, такие люди в штате получают мизерную зарплату, на сегодня это около 13к-15к, но бородатый админ с 20-летним опытом за плечами - со 100к только разговор начнет. Если вообще еще здесь.
Порочный круг.
Хотя как правило такие специалисты уже кем-то заняты.
А https://legalinform.org/news/iz-rossii-s-********-vuha-chiyih-spetssluzhb-stirchat-za-rozrobkoyu-diyi/ ДОДАТОК "ДІЯ" НЕ ВІДПРАВЛЯЄ ДАННІ КОРИСТУВАЧІВ НА СЕРВЕРИ ДО ЯКИХ МАЄ ДОСТУП ФСБ ?
А всіма любимий в Україні https://uakino.club/ сайт UA KINO цілком російський проект і їх https://rezka.ag/page/9/ студія дубляжу HDRezka яка перекладає всі фільми і серіали для цього сайту має московську адресу.
КУДИ НЕ ПЛЮНЬ, ВСЮДИ МОСКВА ВСТРОМИЛА СВОЄ РИЛО.