Некоторые из этих рисков пока ещё остаются гипотетическими. А некоторые вполне реальны и, возможно, уже реализованы. Мы можем об этом лишь догадываться. До серьёзного обсуждения и выработки стратегии противодействия этим рискам пока ещё не дошло. Возможно, зря.
В Интернет-расследовании «Сюрпризы китайских прошивок: IP-камеры и видеорегистраторы», проведённом информационным агентством «Безопасность Сегодня», мы уделили внимание некоторым теневым практикам, сформировавшимся вокруг продукции китайской частно-государственной компании Hikvision. Знает ли руководство компании о том, что вокруг продуктов бренда успела сложиться целая система полулегальных экономических отношений? Рискнём предположить, что всё это не составляет тайны. Однако вытаскивать эту тему на поверхность китайским боссам невыгодно, поскольку все стороны «имеют свой навар». В конце концов, товар продаётся и по «белому», и по «серому» каналам, и объёмы продаж вполне прогнозируемы. Правда, после целой череды скандалов, связанных с вопросами безопасности использования китайской сетевой электроники, профессиональные сообщества целого ряда отраслей забили тревогу.
Действительно, после активизации крупных компаний из КНР на западных рынках с их продукцией стали происходить непривычные нам вещи. Смартфоны поступали в продажу с предустановленными приложениями, которые негласно шпионили за пользователями — фиксация онлайн-покупок, подслушивание разговоров и прочие виды слежки. В ноутбуках и настольных ПК китайской компании, перекупившей когда-то компьютерное подразделение IBM, обнаружилась «задняя дверца» на уровне начального загрузчика BIOS. Совершенно ясно, что мы имеем дело с тенденцией, и, наконец, настаёт время задуматься над тем, какими рисками она может обернуться для охранной индустрии. Точнее, для той её части, что напрямую завязана на сетевые технологии.
«Пакет смерти». Эта страшилка давно кочует по айтишным форумам. Как известно, комбинации единиц и нулей пересылаются между Ethernet-устройствами в порциях-пакетах. Технически возможно создать сетевое устройство, которое, получив специально подготовленный пакет данных, выполнит определённые функции без ведома конечного пользователя. Например, отключит камеру либо остановит запись на всех каналах видеорегистратора именно в тот момент, когда на объект планируется вторжение.
До намеренной реализации IP-устройств, превращающихся в кирпичи по получении определённых пакетов, пока ещё не дошло. Однако стоит упомянуть о том, что некоторые модели сетевых карт Intel внезапно отключаются при поступлении на них Ethernet-пакета определённого содержания. Производитель об этом, судя по всему, понятия не имел.
Намеренно «дырявая» прошивка. Бреши в защите не всегда оставляют в злонамеренных целях. Иногда с их помощью производитель решает свои вопросы. Например, пытается таким образом упростить процедуры удалённого технического обслуживания. Один из видов прорех в защите — заведомо слабые элементы ПО, неустойчивые, например, к атакам на переполнение буфера памяти. Или хитро реализованный генератор случайных чисел, позволяющий сетевому злоумышленнику при необходимости раскодировать протокол шифрования данных.
Отсутствие паролей по умолчанию или наличие вшитых паролей также можно квалифицировать как «чёрный ход». Примерно год назад неутомимые хакеры обнаружили в видеорегистраторах Zhuhai RaySharp вшитый пароль для пользователя root — комбинацию цифр 519070, на поверку оказавшуюся почтовым индексом города Чжухай, где расположена штаб-квартира компании. В группу риска по взлому попало как минимум сорок тысяч подключенных к Интернету аппаратов этого производителя, не считая ОЕМ-продуктов ещё семи вендоров, использующих ту же самую прошивку.
Особого смысла в вышеперечисленном мало: если предположить, что «китайский хакерский заговор» существует, возникает нестыковка с использованием этих же самых моделей IP-камер и видеорегистраторов внутри страны. То есть, технически возможен и ответный удар, «тем же самым по тому же месту».
Просто халтурная прошивка. Этого добра в отрасли хоть отбавляй. Баги встречаются даже у самых именитых производителей. Заботящийся о своей репутации вендор как можно скорее отреагирует на обнаруженную ошибку, признает свою вину и поспешит с обновлениями. Китайцы же нередко лукавят, пытаясь ввести отраслевое сообщество в заблуждение. Семитысячная армия исследователей и разработчиков Hikvision не смогла предотвратить взлом простецких видеорегистраторов? Нет, коллеги, тут что-то не так. Или инженеров не столько. Или столько, но не инженеров. Или подразделение вовсе не исследовательское. Тем более что его 38-летний руководитель Пу Ши Лян параллельно занимает должность в Министерстве общественной безопасности КНР, возглавляя технологическую лабораторию.
Истории с выявлением уязвимостей в прошивках происходят с завидной периодичностью и у других китайских компаний, теснящих друг друга на международном рынке. Хакер Bashis, выявивший бэкдор во встроенном софте целого ряда моделей камер и видеорегистраторов Dahua, в запальчивости выложил «отмычку» в публичный доступ, не поставив предварительно производителя в известность. Специалист пришёл в ужас от того, насколько просто извлечь из локального веб-сервера комбинацию логина и пароля. Дыру зашили, но сколько ещё сюрпризов таится в китайском коде — остаётся только гадать.
И, наконец, главный из факторов риска, не имеющий, как все упомянутые выше, технической подоплёки. Это стиль деловой активности «товарищей с Востока». Нельзя сбрасывать со счетов то, что в Китайской Народной Республике, управляемой Коммунистической Партией Китая, бытуют иные, чем во всём остальном мире, понятия о конкуренции, интеллектуальной собственности и бизнесе как таковом.
Все успешные китайские компании так или иначе связаны с партийными структурами и военной машиной. И это сказывается на построении деловых отношений с каждой из них. Во-первых, за компаниями маячит государство, предоставляя финансовую помощь. Оцените сами масштабы этой помощи: всё та же компания Hikvision, на 42% принадлежащая госструктурам КНР, получила в 2015 году почти три миллиона долларов в виде займа плюс кредитную линию на такую же сумму от двух государственных банков — Банка Развития и Импорто-Экспортного. Во-вторых, привычный нам принцип «клиент всегда прав» здесь не работает. Лояльность поддерживается прежде всего к партии и родине, на зарубежных бизнес-партнёров она может и не распространяться, а на конечника этого добра уже точно не хватит. Поговорите по душам с теми, кому приходилось работать с крупными компаниями «оттуда». Вот что приходится слышать чаще всего: структура закрытая, планы туманны, плюс нет никакой уверенности в том, что завтра бренд не свернёт поставки по команде из Пекина.
Хотелось бы избежать обвинений в ксенофобии: китайцы — древний уважаемый народ с безумно интересной и богатой культурой. Поэтому вполне вероятно, что демонстрируемое рыночными гигантами из КНР пренебрежение к западному потребителю — всего лишь ответ на нашу собственную жадность, на неуёмное стремление купить подешевле. И над этим, пожалуй, стОит подумать, прежде чем связываться с продукцией Made in PRC.