Судя по официальным ответам, никто пока не планирует заделывать уязвимости в городском видеонаблюдении.
Привет! Я Андрей Каганских, и как-то «Роскомсвобода» писала о блокировке в России моей статьи с историей исследования кетамина, но речь сейчас не об этом. Я не так давно сделал репортаж про уязвимости в системе городского видеонаблюдения Москвы. Эти уязвимости не следствие ошибок в коде — тут дело в странном дизайне системы и отсутствии регулирующих законов.
Для тех кто пропустил: в городскую систему видеонаблюдения встроена возможность выдавать доступ кому угодно — по прямой ссылке на сайт ЕЦХД. Купить данные с московских камер сейчас можно всего за пару тысяч рублей, а доплатив чуть больше — пробить человека по тестовой версии распознавания лиц. Это потому, что поиск по этой системе полицейские могут совершать без решений суда — а если результаты поиска по лицам нужно продать на чёрный рынок, их можно удобно скачать в формате .pdf.
Этот кейс было важно доказать, чтобы юристы «Роскомсвободы» могли уверенно обработать его в суде в рамках их компании по введению моратория на системы распознавания лиц — сейчас «Роскомсвобода» хочет добиться временного запрета на использование таких систем чиновниками, хотя бы до тех пор, пока наши с вами данные не будут хорошо охраняться.
В понедельник в редакцию «МБХ медиа» поступил ответ на запрос по поводу утечек данных из Мосгортелекома. Если коротко: пиарщики проигнорировали вопрос про уязвимость в системе, но заверили, что начали проверку.
Это, наверное, самый ожидаемый сценарий развития событий — киберполиция найдет одного из продававших на чёрный рынок доступ сотрудника и показательно накажет (уволит или осудит). Может быть чтобы отчитаться о закрытии целой ОПГ ещё найдут соучастников — или тех, на кого были зарегистрированы Яндекс-кошельки и банковские карты. Таких мелкие мошенники обычно называют «дропами» — это человек, на которого зарегистрированы все платёжки, но к торговле данными отношения скорее всего не имеющий.
Из-за начала проверок эта ниша чёрного рынка торговли данными схлопнулась: сейчас барыги больше не торгуют данными с камер. Говорят, что услуга вернётся на рынок в будущем году — видимо на время проверок полицейские не хотят лишний раз подставляться. Скорее всего — если не произойдет никаких изменений в системе, эта ниша и правда будет пустой только временно. Оснований полагать, что с этими уязвимостями Департамент информационных технологий (ДИТ), Мосгортелеком или МВД что-то сделают сейчас нет — эту часть проблемы чиновники как будто полностью игнорируют.
Ещё один важный момент из ответа пиарщиков Мосгортелекома — они зачем-то добавили, что «доступ к данным ЕЦХД [Единого центра хранения данных] имеют только уполномоченные сотрудники органов исполнительной власти и правоохранительных органов». Только вот это откровенная неправда — именно про то, насколько свободно данные из ЕЦХД могут попасть в руки любого без погонов мой репортаж. В смысле — теперь на Youtube есть доказательства того, что этот тезис — ложь, но PR-департамент Мосгортелекома это, судя по всему, не волнует.
Точно такую же (слово в слово!) фразу написали в ответ журналистам из радио КоммерсантЪ FM пиарщики ДИТ — а ведь это тот милый департамент, который пару лет назад общался в комментариях с пользователями «Хабра» — в смысле, что с ними случилось то?
Из интересного в реакции ДИТ: они добавили, что «модуль видеоаналитики защищен дополнительными средствами информационной безопасности». О каких средствах защиты идёт речь и с каких пор их ввели в оборот — не уточняется. Учитывая, что этот ответ ДИТ выдал буквально на следующий день после публикации репортажа, я сомневаюсь, что они успели улучшить защиту ЕЦХД.
Вот ещё одна техническая деталь о мерах защиты информации из ЕЦХД: в регламенте передачи информации написано, что данные с камер шифруются и передаются в ЕЦХД под защитой HTTPS и по специальной VPN. Это очень дотошно со стороны ДИТ, но какой в этом смысл, если зайти в личный кабинет или открыть активную ссылку на камеру на практике можно с совершенно любого IP-адреса — даже необязательно российского.
Это же так странно — построить систему, где видеопоток не могут скачать или расшифровать условные хакеры, но вставить в неё возможность раздать доступ скопировав ссылку.
Дальше чиновники из Мосгортелекома пишут, что форумы по торговле данными (многие из них — доступны без VPN), «находятся на постоянном контроле». Что за контроль из письма непонятно — это отмазка типа «move on, nothing to see here».
Я могу предположить, что Мосгортелеком имеет в виду. Иностранная интернет-полиция иногда специально не накрывает сервера крупных сайтов, где осуществляется торговля крадеными кредитками, чтобы делать контрольные закупки и выслеживать источники утечек — возможно тут речь про похожую работу.
Но тогда непонятно — если у нас правда есть крутая сетевая агентура, то почему они, очевидно, зная об уязвимости ЕЦХД, ничего с ней не делают уже больше трёх лет (первое описание функции раздавать доступ я нашёл в ролике на сайте ЕЦХД за 2016 год).
Тем временем, вчера разработчик интерфейса столичной видеослежки компания «Нетрис» (из группы «Ростелекома») объявила об экспансии технологии распознавания лиц в регионы. Например, «Нетрис» уже тестирует алгоритм NtechLab (разработчиков FindFace — они продали лицензию на использованию своего алгоритма ДИТу) в системе видеонаблюдения Тюменской области.
Так что теперь это официально: распознавание лиц в будущем грозит сливами данных не только москвичам, но и жителям других регионов России.
Читайте на специальном сайте об опасностях внедрения технологии распознавания лиц без общественного контроля и подписывайте петицию «Роскомсвободы».
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.