U Bosni i Hercegovini postoje stotine hiljada nadzornih kamera koje danonoćno snimaju građane, a najmanje 5.660 njih snimke direktno prenose na internet bez ikakve zaštite i enkripcije.
Kamere su postavljene kako na objektima, tako i u njihovoj unutrašnjosti, a mogu se naći i u državnim i lokalnim institucijama, u vrtićima, ulazima u zgrade, kao i u brojnim privatnim kompanijama, fabrikama, porodičnim kućama, pa čak i u dečijim sobama.
Istraživanje portala CAPITAL pokazalo je da na hiljadama nadzornih kamera u BiH zaštita takoreći ni ne postoji, zato što su pri instalaciji ostavljene na banalnim fabričkim podešavanjima ili čak nemaju nikakvu lozinku za pristup.
Sarađujući sa više IT stručnjaka u ovoj oblasti i uz korišćenje OSINT alata (Open Source Intelligence) koji su takođe svima dostupni na internetu, otkrili smo ranjivost na najmanje 5.560 kamera kojima se može pristupiti uz malo ili nimalo truda.
Najviše nezaštićenih kamera je u Sarajevu, čak 1.597, zatim u Mostaru 855, Zenici 536 i Banjaluci 404, kao i Bijeljini 306. Pregledom liste nezaključanih kamera vidi se da u gotovo svakoj opštini i gradu u BiH imamo bezbjednosne propuste kada je video nadzor u pitanju.
Interesantan podatak je da je najmanje 3.470 kamera instaliranih bez kvalitetnih lozinki ili su na osnovnim fabričkim podešavanjima od samo jednog proizvođača, kineskog „Hikvision“. Ovaj brend, kao i onaj „Dahua“, takođe iz Kine, jedan je od najčešćih u našim institucijama i na javnim površinama. Uz pomoć internet alata Shodan otkrili smo da postoji 852 ranjive kamere ovog proizvođača.
KAMERE uvežene iz Kine najčešće su u BiH, što nije ni čudno, zbog njihove pristupačne cene u odnosu na druge proizvođače.
Međutim, ove firme se godinama unazad susreću sa kritikama i optužbama da njihovi nadzorni sistemi imaju integrisane elemente koji omogućavaju proizvođaču pristup, što u prvi plan donosi upravo pitanja bezbjednosti, ali su to oni negirali.
Nezaključane kamere su one koje su ostavljene bez lozinke ili koriste default (podrazumevane) lozinke poput “admin/admin” ili niz brojeva od jedan do devet.
Neke od njih, postavljene u prodavnicama, kafićima, zgradama, pa i firmama, ostavljene su otvorene prema internetu.
Njima svako može da pristupi uz minimum informatičkog znanja, može čak i da upravlja njima, a nije retkost da su uključene i u takozvane “open surveillance” mreže koje hakeri i istraživači koriste za skeniranje.
Neozbiljan odnos prema bezbjednosti na internetu
One otkrivaju i IP adrese (Internet Protocol) koje veoma lako oddaju i onu fizičku.
IT stručnjaci sa kojima smo sarađivali, kao i oni koji su nam komentarisali dobijene rezultate, slažu se da se u BiH sajber bezbjednost ne shvata ozbiljno, da se podešavanja privatnosti i zaštite podataka zanemaruju, zbog čega rastu mogućnosti zloupotrebe, nezakonitog nadzora i kršenja privatnosti građana.
Neozbiljan odnos prema ovoj vrsti bezbjednosti otvara čitav spektar potencijalnih opasnosti povezanih s ekstremnijim scenarijima poput planiranja napada bilo pojedinaca ili terorističkih, pljački, uhođenja, prikupljanja podataka, ali i korišćenja snimaka u nezakonitim radnjama.
Upozoravaju da nezaštićeni video prenosi mogu dovesti do raznih oblika zloupotrebe, uključujući voajerizam, špijunažu i manipulaciju snimcima s ciljem širenja dezinformacija, bilo da ih brišu ili montiraju.
Stručnjak za sajber bezbjednost sa višegodišnjim iskustvom u identifikaciji sigurnosnih slabosti i zaštiti od ove vrste prijetnji, Nenad Borovčanin, kaže da ranjivost uređaja za video nadzor mogu zloupotrebiti organizovani kriminalci, botnet i “sextortion” grupe, lokalni kriminalci, kao i radoznali posmatrači bez loših namjera:
“Analize su pokazale da u BiH postoji određen broj nezaštićenih kamera koje su direktno dostupne preko interneta. Njima se može pristupiti bez ikakve autentifikacije ili sa fabričkim korisničkim podacima. To uključuje kako privatne kamere, tako i one koje su postavljene na javnim mjestima. Generalno, čini se da svijest o osnovnoj zaštiti ovih uređaja, kao i uopšte zaštiti na internetu još uvijek nije dovoljno razvijena. To ih čini lakom metom čak i za manje iskusne napadače“.
Kroz ranjivu kameru do ostalih uređaja
Slaba bezbjednost video nadzora ne tiče se samo narušavanja nečije privatnosti. Daleko veći problem nastaje kada ova kamera postane tihi ulaz u ostatak mreže.
“Na primjer, kamera sa ranjivošću može napadaču poslužiti kao prvi korak, nakon čega može pokušati pristup ka drugim uređajima u mreži, poput personalnih računara ili servera. Uz ovaj, postoji i rizik od manipulisanja snimacima, ne samo praćenja u realnom vremenu, već i brisanja ili zamjene postojećih snimaka, što u slučaju incidenata može onemogućiti istragu”, kaže Borovčanin.
Kada govorimo o organizovanom sajber kriminalu, oni koji se time bave, prate slabo zaštićene kamere zbog špijunaže, krađe podataka i iznuda.
Mreže zaraženih uređaja ili botnet grupe neko kontroliše na daljinu bez znanja vlasnika. U ovom slučaju, kaže Borovčanin, zaraženi uređaj djeluje i funkcioniše normalno, ali u pozadini obavlja razne operacije zadate od strane napadača.
“Ove grupe najčešće prate nedovoljno sigurne kamere kako bi ih regrutovali u svoje botnet mreže u svrhu DDoS napada. Nedavni primjer ovoga je ‘Mirai Botnet’, malver kreiran s ovim ciljem. Postoje i grupe za iznudu s fokusom na seksualni sadržaj koji se naziva ‘sextortion’, a čiji je glavni cilj ucjena korisnika uz prijetnju objavljivanja privatnih snimaka na stranice sa sadržajem za odrasle”, objašnjava Borovčanin.
Kamere za nadzor mogu zloupotrebiti i lokalni kriminalci za praćenje ljudi i prikupljanje informacija o prostorijama u objektu, te identifikovanje rutina domaćina, tražeći rupe u rasporedu kada bi iskoristili priliku da opljačkaju imovinu.
S obzirom na to da ne treba imati mnogo znanja za identifikaciju nezaštićene kamere, nije retkost da se u posmatranje drugih i narušavanje njihove privatnosti upuštaju i oni koji nemaju nikakve posebno loše namjere.
Posmatra nas 270.000 kamera
Naši OSINT alati dali su nam uvid u ogroman broj podataka o video nadzoru u BiH. Prema dobijenim informacijama pomoću alata Shodan saznali smo da u BiH postoji preko 270.000 kamera za nadzor.
Važno je napomenuti da se broj kamera mijenja u realnom vremenu jer Shodan stalno skenira internet.
Potvrdili smo da je relativno lako pronaći otvorene kamere širom BiH koje prikazuju ulaze u zgrade, kafiće, garaže, pa čak i sobe, ali i javne prostore poput ulica, trgova, škola, institucija i objekata o kojima brine državna i lokalna vlast.
Sve ove kamere, a uz njih i njihovi ruteri i serveri, imaju slabe ili podrazumevane lozinke.
Alati koje smo koristili ponudili su nam sve, od IP adresa do fizičkih adresa, pa i fotografije i print screen-ove snimaka ovih lokacija, na kojima smo videli razne kancelarije, ulaze u zgrade i kuće, balkone, ali i portirne javnih univerziteta, ulice, dvorište i tako dalje.
Pokazali su nam da postoji pristup velikom broju kamera i u institucijama.
Napominjemo da nijednoj kameri nismo pristupali da ne bismo prekršili zakon, pa smo samo preuzeli print screen-ove koji su bili javno dostupni i sa njih isjekli sve što bi moglo da otkrije lokaciju ili na bilo koji način ugrozi privatnost građana.
Stručni IT konsultant sa kojim smo pregledali otvorene kamere kaže da i sada postoje stotine, možda i hiljade uređaja u javnim institucijama kojima se može pristupiti bez posebnih prepreka.
Tvrdi da je u jednom trenutku postojala lista 5.000 kamera samo u javnim institucijama u BiH kojima su mogli da pristupe svi, zbog čega su brojni stručnjaci u ovoj oblasti posvetili dosta vremena da pošalju upozorenja onima koji su ih postavili i da unaprede bezbjednosne protokole.
„Osim toga, vide se i baze podataka koje redom sadrže sve podatke o zaposlenima, od njihovih adresa, preko jediničnih matičnih brojeva, podataka o bankovnim računima i drugi veoma osjetljivi podaci“, rekao je jedan od naših saradnika.
Incidenti prolaze ispod radara
Dodaje da su mnogi incidenti sa kamerama prošli “ispod radara”, odnosno nisu bili prijavljeni nadležnima i to zato što njihovi zaposleni ni ne znaju da su kamere bile kompromitovane.
U Agenciji za zaštitu ličnih podataka u Bosni i Hercegovini kažu za CAPITAL da konstantno dobijaju prigovore građana zbog neadekvatno postavljenog video nadzora.
“Štaviše, prigovori ovog tipa su dominantni u odnosu na druge obrade podataka u posljednjih nekoliko godina. Većina prijava se odnosi na nezakonito postavljen video nadzor fizičkih lica koje pokrivaju i javni prostor i tuđe vlasništvo. Takođe, konstantno dobijamo prijave o nezakonito postavljenom video nadzoru od strane javnih tijela, pravnih lica i drugih kontrolora koji se ne pridržavaju pravila o postavljanju, rokovima i čuvanju prikupljenih podataka”, rekli su nam u ovoj agenciji.
Prema važećem Zakonu o zaštiti ličnih podataka, video nadzor predstavlja obradu podataka kada se vrši zapis o monitoringu fizičkih lica. Pošto se radi o sistematskom prikupljanju ličnih podataka, upotreba video nadzora mora biti propisana, a obrada podataka kao nužna mjera tehničke zaštite dozvoljena. Onaj ko postavlja nadzor mora za svaku pojedinačnu kameru izvršiti adekvatnu procjenu opravdanosti postavljanja.
“Pri obradi ličnih podataka putem video nadzora svakome je propisana obaveza da brine o sigurnosti podataka i da preduzima sve neophodne tehničke i organizacione mjere. Dužni su preduzeti sve mjere protiv neovlašćenog ili slučajnog pristupa ličnim podacima, njihovog mijenjanja, uništavanja ili gubitka, kao i neovlašćenog prenosa, te drugih oblika nezakonite obrade i zloupotrebe podataka”, naveli su u agenciji.
Iako je jasno da je ovo postao veliki problem, u BiH i dalje ne postoji centralna regulativa niti nadzor nad postavljanjem IP kamera u privatnim, pa čak ni u javnim prostorima.
Bez jasne zaštite i bez nadležnosti
Brza ekspanzija nadzornih kamera kroz nekontrolisan uvoz i postavljanje bez sistemskog pristupa u BiH dodatno izaziva zabrinutost zbog mogućeg stranog uticaja i širenja dezinformacija, tvrde stručnjaci.
Sva oprema ovog tipa u BiH dolazi iz inostranstva, poput Kine, Japana, Tajvana i drugih, a nije isključeno da neke od njih imaju ugrađene bezbjednosne ranjivosti.
Stručnjaci upozoravaju da neki proizvođači predstavljaju sajber prijetnju, uključujući i tzv. "backdoor" pristupe koji omogućavaju neovlašćen pristup snimcima.
To omogućava stranim akterima da nadgledaju osjetljive lokacije, prikupljaju obavještajne podatke i pripremaju teren za zloupotrebu dobijenih informacija. S obzirom na krhki politički pejzaž BiH, curenje i manipulisanje snimcima mogu se iskoristiti za destabilizaciju zemlje ili iskrivljavanje javnog mnjenja.
Bitno je naglasiti da u BiH još uvijek nije osnovan ni CERT (Computer Emergency Response Team) na šta smo se obavezali prije osam godina. Državne institucije ne vode evidenciju, ne izdaju smjernice niti sistematski reaguju na bezbjednosne incidente.
U Ministarstvu bezbjednosti BiH su nam rekli da je Savjet ministara BiH još 2017. godine usvojio odluku o uspostavljanju CERT-a za institucije BiH. Šest godina kasnije, 2023. godine, usvojene su izmjene i dopune Pravilnika o sistematizaciji radnih mjesta u Ministarstvu bezbjednosti BiH kojima su sistematizovana radna mjesta u CERT-u institucija BiH. Međutim, osim toga, očigledno se više ništa nije uradilaa. Tek ove godine planirano je zapošljavanje stručnjaka, ali je pitanje kako će se ova mjesta popuniti ako se ima u vidu nedostatak interesovanja IT stručnjaka da rade “za državu” zbog niskih plata u odnosu na privatni sektor.
Zanimljivo je da su u odgovorima na naša pitanja rekli da praćenje ranjivosti kamera nije u nadležnosti CERT-a.
“Praćenje ranjivosti kamera i IoT uređaja koji se koriste u javnim i privatnim prostorijama nije u nadležnosti CERT-a za institucije BiH. Odgovornost za zaštitu, nadzor i kontrolu kamera postavljenih u privatnim prostorijama snose vlasnici istih, dok zaštitu, nadzor i kontrolu kamera postavljenih u javnim prostorijama snose tzv. kontrolori određeni shodno Zakonu o zaštiti ličnih podataka BiH”, rekli su nam i dodali da ne raspolažu informacijama da li je do sada zabeležena zloupotreba snimaka nadzornih kamera.
Video nadzor je moćan alat
Ipak, CERT Evropske unije odgovorio nam je da gotovo sve institucije i tijela EU imaju video nadzor u svojim prostorijama – od malih izvršnih agencija sa samo nekoliko kamera (CCTV), do institucija i tijela EU sa sjedištima u više država članica koje upravljaju sa nekoliko stotina kamera.
“Sve institucije i tijela EU koja koriste CCTV imaju javno dostupnu politiku u kojoj je navedeno šta rade i zašto. Dobro osmišljeni i selektivno korišćeni sistemi video nadzora su moćni alati za rješavanje problema bezbjednosti podataka. Loše osmišljeni sistemi samo stvaraju lažni osjećaj sigurnosti, a istovremeno zadiraju u našu individualnu privatnost i krše druga temljna prava”, naveli su.
Kažu da se kamere mogu i trebaju koristiti inteligentno i da trebaju ciljati samo na specifično identifikovane bezbjednosne probleme, čime se minimizuje prikupljanje nebitnih snimaka (minimization of data).
Ovo ne samo da smanjuje zadiranje u lične podatke građana, već i pomaže u obezbjeđivanju efikasnijeg korišćenja video nadzora.
Dok digitalna infrastruktura ubrzano raste, pravni okvir u BiH se ne mijenja. Nema jasnih propisa o odgovornosti korisnika, nadzoru opreme ili zaštiti podataka.
Stručnjaci situaciju s video nadzorom u BiH nazivaju „sistemskim nemarom“, koji može ugroziti i fizičku sigurnost građana otvarajući kanale za nadzor ili čak ozbiljnije prijetnje, i to od strane bilo koga sa osnovnim znanjem i zlom namjerom.
Propusti poznati od ranije
Kamere “Hikvision” (kineske firme Hangzhou Hikvision Digital Technology) i “Dahua” (Zhejiang Dahua Technology) u posljednjih nekoliko godina prate bezbjednosni propusti, ali i optužbe da su povezane sa nezakonitim prikupljanjem podataka o korisnicima, pa čak i sa industrijskom špijunažom.
Prema pisanju britanskog lista “Politico” i informacijama koje je objavila američka CISA (U.S. Cybersecurity and Infrastructure Security Agency), pronađena je greška u “Hikvision” proizvodima koja omogućava napadaču potpunu kontrolu nad uređajem, koja bi mogla da utiče na preko 100 miliona korisnika. “Hikvision” je priznao ranjivost kamera, ali su povezanost sa prikupljanjem podataka negirali, tvrdeći da se pridržavaju propisa EU. Ova firma bila je osumnjičena za saradnju sa kineskim vlastima zbog masovnog nadzora i kršenja ljudskih prava u Kini.
Krajem 2024. godine “Hikvision” nije u potpunosti otklonio problem u svim pogođenim modelima, ostavljajući mnoge uređaje otvorene ako se ne zakrpe ručno.
“Dahua” se suočio sa otkrićima skrivenih ulaza i čvrsto kodiranih akreditiva u svojim uređajima. Na primjer, 2017. godine utvrđeno je da Dahua kamere sadrže ranjivosti koje omogućavaju neovlašćeno preuzimanje korisničkih lozinki i potpuni administratorski pristup. Napadač koji iskorištava ove nedostatke mogao bi presresti video prenose ili prenameniti uređaj kao početnu tačku za pristup mreži. “Dahua” je objavila ispravke firmwera, ali svi uređaji na kojima lozinke nisu promijenjene ručno, ostaju u opasnosti.
Napišite svoj komentar!