A falha tecnológica que permite que hackers controlem câmeras de vigilância
As câmeras de vigilância fabricadas na China estão em escritórios britânicos, ruas importantes e até mesmo em prédios do governo – e a Panorama investigou falhas de segurança envolvendo as duas principais marcas. Quão fácil é hackeá-los e o que isso significa para nossa segurança?
Em um estúdio escuro dentro da BBC’s Broadcasting House em Londres, um homem senta em seu laptop e digita sua senha.
A milhares de quilômetros de distância, um hacker está observando tudo o que ele digita.
Em seguida, o funcionário da BBC pega seu celular e digita a senha. O hacker agora também tem isso.
Uma falha de segurança na câmera de vigilância no teto – fabricada pela empresa chinesa Hikvision – torna-a vulnerável a ataques.
“Eu possuo esse dispositivo agora – posso fazer o que quiser com ele”, diz o hacker. “Posso desativá-lo… ou posso usá-lo para assistir o que está acontecendo na BBC.”
Felizmente para o homem que está sendo observado, o hacker está trabalhando com a BBC. Isso faz parte de uma série de experimentos da Panorama para testar a segurança de algumas câmeras de vigilância fabricadas na China.
Hikvision e Dahua são dois dos principais fabricantes mundiais de câmeras de vigilância.
Ninguém sabe quantas de suas unidades se alinham nas ruas do Reino Unido.
No ano passado, o grupo de campanha de privacidade Big Brother Watch tentou descobrir. Entre agosto de 2021 e janeiro de 2022, submeteu 4.510 solicitações de liberdade de informação a órgãos públicos em todo o Reino Unido. Dos 1.289 que responderam, 806 confirmaram que usaram câmeras Hikvision ou Dahua – 227 conselhos e 15 forças policiais usam Hikvision e 35 conselhos usam Dahua.
As câmeras Hikvision também são usadas para monitorar muitos prédios do governo – em uma única tarde no centro de Londres, a Panorama as encontrou do lado de fora do Departamento de Comércio Internacional, do Departamento de Saúde, da Agência de Segurança da Saúde, do Defra e de um centro de reserva do Exército.
Especialistas em segurança temem que as câmeras possam ser usadas como um cavalo de Tróia para causar estragos nas redes de computadores, o que, por sua vez, pode causar distúrbios civis.
O professor Fraser Sampson, comissário de câmeras de vigilância do Reino Unido, alerta que a infraestrutura crítica do país – incluindo fontes de energia, redes de transporte e acesso a alimentos frescos e água – é vulnerável.
“Todas essas coisas dependem muito da vigilância remota – então, se você tem a capacidade de interferir nisso, pode criar confusão, de forma barata e remota”, diz ele.
Charles Parton, do Royal United Services Institute (Rusi), um ex-diplomata que trabalhou em Pequim, concorda: “Todos nós já vimos o trabalho italiano em nossa juventude, quando você para toda Turim através do sistema de semáforos. . Bem, isso pode ter sido ficção então, não seria agora.
A Hikvision disse ao Panorama que é uma empresa independente e não é uma ameaça à segurança nacional do Reino Unido.
“A Hikvision nunca realizou, nem conduzirá, nenhuma atividade relacionada à espionagem para nenhum governo do mundo”, afirmou, acrescentando que seus “produtos estão sujeitos a rígidos requisitos de segurança e estão em conformidade com as leis e regulamentos aplicáveis no Reino Unido. , bem como qualquer outro país e região em que atuamos”.
A Panorama trabalhou com a IPVM, com sede nos Estados Unidos, uma das principais autoridades mundiais em tecnologia de vigilância, para testar se era possível hackear uma câmera Hikvision. A IPVM forneceu a que foi instalada num estúdio da BBC
A Panorama não conseguiu rodar a câmera em uma rede BBC por motivos de segurança – então ela foi colocada em uma rede de teste onde não há firewall e pouca proteção.
A câmera Panorama testada contém uma vulnerabilidade descoberta em 2017. O diretor do IPVM, Conor Healy, descreve isso como “uma porta dos fundos que a Hikvision incorporou em seus próprios produtos”.
A Hikvision diz que seus dispositivos não foram programados deliberadamente com essa falha e aponta que lançou uma atualização de firmware para resolvê-la quase imediatamente após tomar conhecimento do problema. Acrescenta que o teste do Panorama não é representativo dos dispositivos que estão operando hoje. Mas Conor Healy diz que mais de 100.000 câmeras on-line em todo o mundo ainda são vulneráveis a esse problema.
Quando o experimento de hacking do Panorama começa, Conor e o engenheiro de pesquisa do IPVM, John Scanlan, estão sentados atrás de laptops em sua sede na Pensilvânia.
Hackear um sistema de computador sem permissão é crime – portanto, a Panorama não fornece todos os detalhes de como eles fazem isso.
Healy e Scanlan começam localizando a câmera dentro da Broadcasting House e, em seguida, começam a atacar sua segurança.
Então Healy cronometra quanto tempo leva para assumir o controle dele. Apenas 11 segundos depois, Scanlan anuncia: “Temos acesso a essa câmera agora.”
Eles agora podem ver dentro do estúdio – incluindo o funcionário da Panorama em seu laptop.
“Se aumentarmos o zoom no teclado, podemos ver claramente as teclas que ele está pressionando para inserir sua senha”, diz Scanlan.
“Isso é semelhante a um serralheiro dando a você a chave de sua casa e secretamente fazendo uma chave mestra para todas as fechaduras daquela comunidade… isso é efetivamente o que os engenheiros da Hikvision fizeram.”
De balões espiões a delegacias de polícia secreta e dissidentes em fuga, Panorama investiga a operação de vigilância global da China. Revelamos novos detalhes sobre a frota de balões espiões de Pequim – e hackeamos uma câmera de segurança de fabricação chinesa para mostrar como dispositivos semelhantes que se alinham em nossas ruas podem ser explorados.
A Hikvision diz que seus “produtos não têm uma ‘porta dos fundos'” e não foram programados deliberadamente com essa falha. Acrescenta que acredita que quase todas as autoridades locais que usam seus dispositivos teriam atualizado suas câmeras muito antes.
Em seguida, os hackers iniciam seu segundo teste – acessando as câmeras de Dahua infiltrando-se no software que as controla.
Duas câmaras de teste foram instaladas na sede do IPVM. Se os hackers forem bem-sucedidos, eles podem se encarregar de toda uma rede de câmeras de vigilância.
Logo eles encontram a vulnerabilidade do software. “Lá vamos nós, estamos dentro”, diz Healy.
Agora que estão dentro do sistema, podem usar uma câmera para escutar.
“O que muitas pessoas não percebem sobre essas câmeras é que a grande maioria delas tem microfones”, explica Healy, e embora os usuários muitas vezes os desliguem, é fácil para os hackers ligá-los novamente – na verdade, ” escutas telefônicas” na sala.
A Dahua diz que, quando tomou conhecimento da vulnerabilidade no final do ano passado, “conduziu imediatamente uma investigação abrangente” e corrigiu rapidamente o problema por meio de “atualizações de firmware”.
A empresa também diz que não é apoiada pelo Estado e que seu equipamento não pode interferir na infraestrutura crítica do Reino Unido. Ele acrescenta: “Essas alegações são falsas e pintam uma imagem altamente enganosa da Dahua Technology e de seus produtos”.
“Temos uma geração anterior que instalou esse equipamento, em grande parte com base no fato de ser barato e fazer o trabalho”, diz ele. “Agora percebemos que há alguns riscos sérios e inerentes – então o que podemos fazer sobre isso?”
Questionado se confia na Hikvision e na Dahua, ele responde: “Nem um pouco”.
João Marcelo de Assis Peres
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br
