U Bosni i Hercegovini postoje stotine hiljada nadzornih kamera koje danonoćno snimaju građane, a najmanje 5.660 njih snimke direktno prenose na internet bez ikakve zaštite i enkripcije.

Kamere su postavljene kako na objektima, tako i u njihovoj unutrašnjosti, a mogu se naći i na državnim i lokalnim institucijama, u vrtićima, ulazima u zgrade, kao i u  brojnim privatnim kompanijama, fabrikama, porodičnim kućama, pa čak i u dječijim sobama.

Istraživanje portala CAPITAL pokazalo je da na hiljadama nadzornih kamera u BiH zaštita takoreći ni ne postoji, zato što su prilikom instalacije ostavljene na banalnim fabričkim postavkama ili čak nemaju nikakvu lozinku za pristup.

Sarađujući sa više IT stručnjaka u ovoj oblasti i uz korišćenje OSINT alata (Open Source Inteligence) koji su takođe svima dostupni na internetu, otkrili smo ranjivost na najmanje 5.560 kamera kojima se može pristupiti uz malo ili nimalo truda.

Najviše nezaštićenih kamera je u Sarajevu, čak 1.597, zatim u Mostaru 855, Zenici 536 i Banjaluci 404, kao i Bijeljini 306. Pregledom liste nezaključanih kamera vidi se da u gotovo svakoj opštini i gradu u BiH imamo bezbjednosne propuste kada se radi o video nadzoru.

Interesantan podatak je da je najmanje 3.470 kamera instaliranih bez kvalitetnih lozinki ili je na osnovnim fabričkim podešavanjima došlo od samo jednog proizvođača, kineskog „Hikvision“. Ovaj brend, kao i onaj „Dahau“, takođe iz Kine, jedan je od najčešćih u našim institucijama i na javnim površinama.  Uz pomoć internet alata Shodan otkrili smo da postoje 852 ranjive kamere ovog proizvođača.

Kamere uvezene iz Kine najčešće su u BiH, što nije ni čudno, zbog njihove pristupačne cijene u odnosu na druge proizvođače.

Međutim, ove firme se godinama unazad susreću sa kritikama i optužbama da njihovi nadzorni sistemi imaju integrisane elemente koji omogućuju proizvođaču pristup, što u prvi plan donosi upravo pitanja bezbjednosti, ali su to oni negirali.

Nezaključane kamere su one koje su ostavljene bez lozinke ili koriste default (podrazumijevane) lozinke poput “admin/admin” ili niz brojeva od jedan do devet.

Neke od njih postavljene u prodavnicama, kafićima, zgradama, pa i firmama, ostavljene su otvorene prema internetu.

Njima svako može da pristupi uz minimalno informatičko znanje, može čak i da upravlja njima, a nije rijetkost da su uključene i u takozvane “open surveillance” mreže koje hakeri i istraživači koriste za skeniranje.

Nozbiljan odnos prema bezbjednosti na internetu

One otkrivaju i IP adrese (internet protokol) koje veoma lako odaju i onu fizičku.

IT stručnjaci sa kojima smo sarađivali, kao i oni koji su nam komentarisali dobijene rezultate, slažu se da se u BiH sajber bezbjednost ne shvata ozbiljno, da se podešavanja privatnosti i zaštite podataka zanemaruju, zbog čega rastu mogućnosti zloupotrebe, nezakonitog nadzora i kršenja privatnosti građana.

Neozbiljan odnos prema ovoj vrstu bezbjednosti  otvara cijeli spektar potencijalnih opasnosti povezanih s ekstremnijim scenarijima poput planiranja napada bilo pojedinaca ili terorističkih, pljački, uhođenja, prikupljanja podataka, ali i korišćenja snimaka u nezakonitim radnjama.

Upozoravaju da nezaštićeni video prenosi mogu dovesti do raznih oblika zloupotrebe, uključujući voajerizam, špijunažu i manipulaciju snimcima u svrhu širenja dezinformacija, bilo da ih brišu ili montiraju.

Stručnjak za sajber bezbjednost sa dugogodišnjim iskustvom u identifikaciji sigurnosnih slabosti i zaštiti od ove vrste prijetnji Nenad Borovčanin kaže da ranjivost uređaja za video nadzor mogu zloupotrijebiti organizovani kriminalci, botnet i “sextortion” grupe, lokalni kriminalci, kao i radoznali posmatrači bez loših namjera.

- Analize su pokazale da u BiH postoji određeni broj nezaštićenih kamera koje su direktno dostupne preko interneta. Njima se može pristupiti bez ikakve autentifikacije ili sa fabričkim korisničkim podacima. To uključuje kako privatne kamere, tako i one koje su postavljene na javnim mjestima. Generalno, čini se da svijest o osnovnoj zaštiti ovih uređaja, kao i uopšte zaštiti na internetu još uvijek nije dovoljno razvijena. To ih čini lakom metom čak i za manje iskusne napadače - kaže Borovčanin.

Kroz ranjivu kameru do ostalih uređaja

Slaba bezbjednost video nadzora ne tiče se samo narušavanja nečije privatnosti. Daleko veći problem nastaje kada ova kamera postane tihi ulaz u ostatak mreže.

- Na primjer, kamera sa ranjivošću može napadaču poslužiti kao prvi korak, nakon čega može pokušati pristup ka drugim uređajima u mreži, poput personalnih računara ili servera. Uz ovaj, postoji i rizik od manipulisanja snimcima, ne samo praćenja u realnom vremenu, već i brisanja ili zamjene postojećih snimaka, što u slučaju incidenata može onemogućiti istragu - kaže Borovčanin.

Kada govorimo o organizovanom sajber kriminalu, oni koji se time bave, prate slabo zaštićene kamere zbog špijunaže, krađe podataka i iznuda.

Mreže zaraženih uređaja ili botnet grupe neko kontroliše na daljinu bez znanja vlasnika. U ovom slučaju, kaže Borovčanin, zaraženi uređaj djeluje i funkcioniše normalno, ali u pozadini obavlja razne operacije zadate od strane napadača.

- Ove grupe najčešće prate nedovoljno sigurne kamere kako bi ih regrutovali u svoje botnet mreže u svrhu DDoS napada. Nedavni primjer ovoga je “Mirai Botnet”, malver kreiran sa ovim ciljem. Postoje i grupe za iznudu sa fokusom na seksualni sadržaj koji se naziva “sextortion”, a čiji je glavni cilj ucjena korisnika uz prijetnju objavljivanja privatnih snimaka na stranice sa sadržajem za odrasle - objašnjava Borovčanin.

Kamere za nadzor mogu zloupotrijebiti i lokalni kriminalci za praćenje ljudi i prikupljanje informacija o prostorijama u objektu, te identifikovanje rutina domaćina, tražeći rupe u rasporedu kada bi iskoristili priliku da opljačkaju imovinu.

S obzirom na to da ne treba imati mnogo znanja za identifikovanje nezaštićene kamere, nije rijetkost da se u posmatranje drugih i narušavanje njihove privatnosti upuštaju i oni koji nemaju nikakve posebno loše namjere.

Posmatra nas 270.000 kamera

Naši OSINT alati dali su nam uvid u ogroman broj podataka o video nadzoru u BiH. Prema dobijenim informacijama pomoću alata Shodan saznali smo da u BiH postoji preko 270.000 kamera za nadzor.

Važno je napomenuti da se broj kamera mijenja u realnom vremenu jer Shodan stalno skenira internet.

Potvrdili smo da je relativno lako pronaći otvorene kamere širom BiH koje prikazuju ulaze u zgrade, kafiće, garaže, pa čak i sobe, ali i javne prostore poput ulica, trgova, škola, institucija i  objekata o kojima brine državna i lokalna vlast.

Sve ove kamere, a uz njih i njihovi ruteri i serveri, imaju slabe ili podrazumijevane lozinke.

Alati koje smo koristili ponudili su nam sve, od IP adresa do fizičkih adresa, pa i fotografije i print screenove snimaka ovih lokacija, na kojima smo vidjeli razne kancelarije, ulaze u zgrade i kuće, balkone, ali i portirne javnih univerziteta, ulice, dvorište i tako dalje.

Pokazali su nam da postoji pristup velikom broju kamera i u institucijama.

Napominjemo da nijednoj kameri nismo pristupali da ne bismo prekršili zakon, pa smo samo preuzeli print screenove koji su bili javno dostupni i sa njih isjekli sve što bi moglo da otkrije lokacije ili na bilo koji način ugrozi privatnost građana.

Stručni IT konsultant sa kojim smo pretraživali otvorene kamere kaže da i sada postoje stotine, možda i hiljade uređaja u javnim institucijama kojima se može pristupiti bez posebnih prepreka.

Tvrdi da je u jednom trenutku postojala lista 5.000 kamera samo u javnim institucijama u BiH kojima su mogli da pristupaju svi, zbog čega su brojni stručnjaci u ovoj oblasti posvetili dosta vremena da pošalju upozorenja onima koji su ih postavili i da unaprijede bezbjednosne protokole.

- Osim toga, vide se i baze podataka koje redom sadrže sve podatke o zaposlenima, od njihovih adresa, preko jedinstvenih matičnih brojeva, podataka o bankovnim računima i drugi veoma osjetljivi podaci - rekao je jedan od naših saradnika.

Incidenti prolaze ispod radara

Dodaje da su mnogi incidenti sa kamerama prošli “ispod radara”, odnosno nisu bili prijavljeni nadležnima i to zbog toga što njihovi zaposleni ni ne znaju da su kamere bile kompromitovane.

U Agenciji za zaštitu ličnih podataka u Bosni i Hercegovini kažu za CAPITAL da konstantno dobijaju prigovore građana zbog neadekvatno postavljenog video nadzora.

- Štaviše, prigovori ovog tipa su dominantni u odnosu na druge obrade podataka u posljednjih nekoliko godina. Većina prijava se odnosi na nezakonito postavljen video nadzor fizičkih lica koje pokrivaju i javni prostor i tuđe vlasništvo. Takođe, konstantno dobijamo prijave o nezakonito postavljenom video nadzoru od strane javnih tijela, pravih lica i drugih kontrolora koji se ne pridržavaju pravila o postavljanju, rokovima i čuvanja prikupljenih podataka - rekli su nam u ovoj agenciji.

Prema važećem Zakonu o zaštiti ličnih podataka, video nadzor predstavlja obradu podataka kada se vrši zapis o monitoringu fizičkih lica. Pošto se radi o sistematskom prikupljanju ličnih podataka, upotreba video nadzora mora biti propisana, a obrada podataka kao nužna mjera tehničke zaštite dozvoljena. Onaj ko postavlja nadzor, prema ovom zakonu morao bi da za svaku pojedinačnu kameru izvrši adekvatnu procjenu opravdanosti postavljanja.

- Pri obradi ličnih podataka putem video nadzora svakome je propisana obveza da brinu o sigurnosti podataka i da preduzimaju sve neophodne tehničke i organizacione mjere. Dužni su preduzeti sve mjere protiv neovlaštenog ili slučajnog pristupa ličnim podacima, njihovog mijenjanja, uništavanja ili gubitka, kao i neovlaštenog prenosa, te drugih oblika nezakonite obrade i zloupotrebe podataka - naveli su u Agenciji.

Iako je jasno da je ovo postao veliki problem, u BiH i dalje ne postoji centralna regulativa niti nadzor nad postavljanjem IP kamera u privatnim, pa čak ni u nekim javnim prostorima.

Bez jasne zaštite i bez nadležnosti

Brza ekspanzija nadzornih kamera kroz nekontrolisan uvoz i postavljanje bez sistemskog pristupa u BiH dodatno izaziva zabrinutost zbog mogućeg stranog uticaja i širenja dezinformacija, tvrde stručnjaci.

Sva oprema ovog tipa u BiH dolazi iz inostranih zemalja, poput Kine, Japana, Tajvana i drugih, a nije isključeno da neke od njih imaju ugrađene bezbjednosne ranjivosti.

Stručnjaci upozoravaju da neki proizvođači predstavljaju sajber prijetnju, uključujući i tzv. “backdoor” pristupe koji omogućavaju neovlašteni pristup snimcima.

To omogućava stranim akterima da nadgledaju osjetljive lokacije, prikupljaju obavještajne podatke i pripremaju teren za zloupotrebu dobijenih informacija. S obzirom na krhki politički pejzaž BiH, curenje i manipulisanje snimcima mogu se iskoristiti za destabilizaciju zemlje ili iskrivljavanje javnog mnjenja.

Bitno je naglasiti da u BiH još uvijek nije osnovan ni CERT (Computer Emergency Response Team) na šta smo se obavezali prije osam godina. Državne institucije ne vode evidenciju, ne izdaju smjernice niti sistematično reaguju na bezbjednosne incidente.

U Ministarstvu bezbjednosti BiH su nam rekli da je Savjet ministara BiH još 2017. godine usvojio odluku o uspostavljanju CERT-a za institucije BiH. Šest godina kasnije, 2023. godine, usvojene su izmjene i dopune Pravilnika o sistematizaciji radnih mjesta u Ministarstvu bezbjednosti BiH kojima su sistematizovana radna mjesta u CERT-u institucija BiH. Međutim, osim toga, očigledno se nije uradilo više ništa. Tek ove godine planirano je zapošljavanje stručnjaka, ali je pitanje kako će se ova mjesta popuniti ako se ima u vidu nedostatak interesovanja IT stručnjaka da rade “za državu” zbog niskih plata u odnosu na privatni sektor.

Zanimljivo je da su u odgovorima na naša pitanja rekli da praćenje ranjivosti kamera nije u nadležnosti CERT-a.

- Praćenje ranjivosti kamera i IoT uređaja koji se koriste u javnim i privatnim prostorijama nije u nadležnosti CERT-a za institucije BiH. Odgovornost za zaštitu, nadzor i kontrolu kamera postavljenih u privatnim prostorijama snose vlasnici istih, dok zaštitu, nadzor i kontrolu kamera postavljenim u javnim prostorijama snose takozvani kontrolori određeni shodno Zakonu o zaštiti ličnih podataka BiH - rekli su nam u ovom ministarstvu i dodali da ne raspolažu informacijama je li do sada zabilježena zloupotreba snimaka nadzornih kamera.

Video nadzor je moćan alat

Ipak, CERT Evropske unije odgovorio nam je da gotovo sve institucije i tijela EU imaju video nadzor u svojim prostorijama – od malih izvršnih agencija sa samo nekoliko kamera (CCTV), do institucija i tijela EU sa sjedištima u više država članica koje upravljaju sa nekoliko stotina kamera.

- Sve institucije i tijela EU koja koriste CCTV imaju javno dostupnu politiku u kojoj je navedeno šta rade i zašto. Dobro osmišljeni i selektivno korišteni sistemi video nadzora su moćni alati za rješavanje problema bezbjednosti podataka. Loše osmišljeni sistemi samo stvaraju lažni osjećaj sigurnosti, a istovremeno zadiru u našu individualnu privatnost i krše druga temeljna prava - naveli su.

Kažu da se kamere mogu i trebaju koristiti inteligentno i trebaju ciljati samo na specifično identifikovane sigurnosne probleme, čime se minimizira prikupljanje nebitnih snimaka (minimizacija podataka).

Ovo ne samo da smanjuje zadiranje u lične podatke građana, već i pomaže u osiguravanju efikasnijeg korištenja video nadzora.

Dok digitalna infrastruktura ubrzano raste, pravni okvir u BiH se ne mijenja. Nema jasnih propisa o odgovornosti korisnika, nadzoru opreme ili zaštiti podataka.

Stručnjaci situaciju sa video nadzorom u BiH nazivaju „sistemskim nemarom“, koji može ugroziti i fizičku sigurnost građana otvarajući kanale za nadzor ili čak ozbiljnije prijetnje, i to od strane bilo koga sa osnovnim znanjem i zlom namjerom.

Propusti poznati od ranije

Kamere “Hikvision” (kineske firme Hangzhou Hikvision Digital Technology) i “Dahua” (Zhejiang Dahua Technology) u posljednjih nekoliko godina prate bezbjednosni propusti, ali i optužbe da su povezane sa nezakonitim prikupljanjem podataka o korisnicima, pa čak i sa industrijskom špijunažom.

Prema pisanju britanskog lista “Politico” i informacijama koje je objavila američka CISA (U.S. Cybersecurity and Infrastructure Security Agency) pronađena je greška u “Hikvisionovim” proizvodima koja omogućava napadaču da dobije potpunu kontrolu nad uređajem koja bi mogla uticati na preko 100 miliona korisnika. “Hikvision” je priznao ranjivost kamera, ali su povezanost sa skupljanjem podataka negirali tvrdeći da se pridržavaju propisa EU. Ova firma bila je osumnjičena za saradnju sa kineskim vlastima zbog masovnog nadzora i kršenja ljudskih prava u Kini.

Krajem 2024. godine, “Hikvision” nije u potpunosti otklonio problem u svim pogođenim modelima, ostavljajući mnoge uređaje otvorene ako se ne zakrpe ručno.

“Dahua” se suočio sa otkrićima skrivenih ulaza i čvrsto kodiranih akreditiva u svojim uređajima. Na primjer, 2017. godine utvrđeno je da Dahua kamere sadrže ranjivosti koje omogućavaju neovlašteno preuzimanje korisničkih lozinki i potpuni administratorski pristup. Napadač koji iskorištava ove nedostatke mogao bi presresti video prenose ili prenamijeniti uređaj kao početnu tačku za pristup mreži. “Dahua” je objavila ispravke firmvera, ali svi uređaji na kojim lozinke nisu promijenjene ručno, ostaju u opasnosti.

capital.ba