Распознавание лиц на «чёрном рынке» и ответы чиновников

Судя по официальным ответам, никто пока не планирует заделывать уязвимости в городском видеонаблюдении.  

Привет! Я Андрей Каганских, и как-то «Роскомсвобода» писала о блокировке в России моей статьи с историей исследования кетамина, но речь сейчас не об этом. Я не так давно сделал репортаж про уязвимости в системе городского видеонаблюдения Москвы. Эти уязвимости не следствие ошибок в коде — тут дело в странном дизайне системы и отсутствии регулирующих законов.

Для тех кто пропустил: в городскую систему видеонаблюдения встроена возможность выдавать доступ кому угодно — по прямой ссылке на сайт ЕЦХД. Купить данные с московских камер сейчас можно всего за пару тысяч рублей, а доплатив чуть больше — пробить человека по тестовой версии распознавания лиц. Это потому, что поиск по этой системе полицейские могут совершать без решений суда — а если результаты поиска по лицам нужно продать на чёрный рынок, их можно удобно скачать в формате .pdf.

Этот кейс было важно доказать, чтобы юристы «Роскомсвободы» могли уверенно обработать его в суде в рамках их компании по введению моратория на системы распознавания лиц — сейчас «Роскомсвобода» хочет добиться временного запрета на использование таких систем чиновниками, хотя бы до тех пор, пока наши с вами данные не будут хорошо охраняться.

В понедельник в редакцию «МБХ медиа» поступил ответ на запрос по поводу утечек данных из Мосгортелекома. Если коротко: пиарщики проигнорировали вопрос про уязвимость в системе, но заверили, что начали проверку.

Это, наверное, самый ожидаемый сценарий развития событий — киберполиция найдет одного из продававших на чёрный рынок доступ сотрудника и показательно накажет (уволит или осудит). Может быть чтобы отчитаться о закрытии целой ОПГ ещё найдут соучастников — или тех, на кого были зарегистрированы Яндекс-кошельки и банковские карты. Таких мелкие мошенники обычно называют «дропами» — это человек, на которого зарегистрированы все платёжки, но к торговле данными отношения скорее всего не имеющий.

Из-за начала проверок эта ниша чёрного рынка торговли данными схлопнулась: сейчас барыги больше не торгуют данными с камер. Говорят, что услуга вернётся на рынок в будущем году — видимо на время проверок полицейские не хотят лишний раз подставляться. Скорее всего — если не произойдет никаких изменений в системе, эта ниша и правда будет пустой только временно. Оснований полагать, что с этими уязвимостями Департамент информационных технологий (ДИТ), Мосгортелеком или МВД что-то сделают сейчас нет — эту часть проблемы чиновники как будто полностью игнорируют.

Ещё один важный момент из ответа пиарщиков Мосгортелекома — они зачем-то добавили, что «доступ к данным ЕЦХД [Единого центра хранения данных] имеют только уполномоченные сотрудники органов исполнительной власти и правоохранительных органов». Только вот это откровенная неправда — именно про то, насколько свободно данные из ЕЦХД могут попасть в руки любого без погонов мой репортаж. В смысле — теперь на Youtube есть доказательства того, что этот тезис — ложь, но PR-департамент Мосгортелекома это, судя по всему, не волнует.

Точно такую же (слово в слово!) фразу написали в ответ журналистам из радио КоммерсантЪ FM пиарщики ДИТ — а ведь это тот милый департамент, который пару лет назад общался в комментариях с пользователями «Хабра» — в смысле, что с ними случилось то?

Из интересного в реакции ДИТ: они добавили, что «модуль видеоаналитики защищен дополнительными средствами информационной безопасности». О каких средствах защиты идёт речь и с каких пор их ввели в оборот — не уточняется. Учитывая, что этот ответ ДИТ выдал буквально на следующий день после публикации репортажа, я сомневаюсь, что они успели улучшить защиту ЕЦХД.

Вот ещё одна техническая деталь о мерах защиты информации из ЕЦХД: в регламенте передачи информации написано, что данные с камер шифруются и передаются в ЕЦХД под защитой HTTPS и по специальной VPN. Это очень дотошно со стороны ДИТ, но какой в этом смысл, если зайти в личный кабинет или открыть активную ссылку на камеру на практике можно с совершенно любого IP-адреса — даже необязательно российского.

Это же так странно — построить систему, где видеопоток не могут скачать или расшифровать условные хакеры, но вставить в неё возможность раздать доступ скопировав ссылку.

Дальше чиновники из Мосгортелекома пишут, что форумы по торговле данными (многие из них — доступны без VPN), «находятся на постоянном контроле». Что за контроль из письма непонятно — это отмазка типа «move on, nothing to see here».

Я могу предположить, что Мосгортелеком имеет в виду. Иностранная интернет-полиция иногда специально не накрывает сервера крупных сайтов, где осуществляется торговля крадеными кредитками, чтобы делать контрольные закупки и выслеживать источники утечек — возможно тут речь про похожую работу.

Но тогда непонятно — если у нас правда есть крутая сетевая агентура, то почему они, очевидно, зная об уязвимости ЕЦХД, ничего с ней не делают уже больше трёх лет (первое описание функции раздавать доступ я нашёл в ролике на сайте ЕЦХД за 2016 год).

Тем временем, вчера разработчик интерфейса столичной видеослежки компания «Нетрис» (из группы «Ростелекома») объявила об экспансии технологии распознавания лиц в регионы. Например, «Нетрис» уже тестирует алгоритм NtechLab (разработчиков FindFace — они продали лицензию на использованию своего алгоритма ДИТу) в системе видеонаблюдения Тюменской области.

Так что теперь это официально: распознавание лиц в будущем грозит сливами данных не только москвичам, но и жителям других регионов России.

Читайте на специальном сайте об опасностях внедрения технологии распознавания лиц без общественного контроля и подписывайте петицию «Роскомсвободы».