Kāda ASV IT drošības firma pagājušajā nedēļā publiskoja satraucošas ziņas par Ķīnā ražotiem telefoniem. Salīdzinoši kvalitatīvas un lētas ierīces savu īpašnieku īsziņas, kontaktus un citus datus ik pēc trīs dienām slepus nosūta uz serveriem Ķīnā. Datu plūsma uz Ķīnu konstatēta arī Latvijā, vēsta TV3 raidījums «Nekā personīga».
IT drošības vienība «Cert.lv» konstatējusi, ka pieslēgšanās Ķīnas serveriem notikusi no astoņu valsts iestāžu tīkliem. Šobrīd «Cert.lv» jau atradis vairākus inficētos tālruņus un cenšas noskaidrot, vai un kāda informācija ir aizceļojusi uz austrumiem.
ASV kopš pagājušās nedēļas ķīniešu telefoni vairs nav modē. IT drošības firmas speciālisti atklāja, ka 50 dolāru vērts telefons ik pēc 72 stundām uz serveriem Ķīnā slepus pārsūta telefona īsziņas, kontaktus un zvanu sarakstus. Par šo privāto datu noplūdi īpašnieks nav informēts un nevar to arī atslēgt.
Saimnieku izspiegojošais kompānijas BLU ražojums pārdots simt divdesmit tūkstošiem klientu. To programmējusi Ķīnas kompānija «Shanghai Adups Technology». Šis pats uzņēmums programmējis ierīces, ko izmanto 700 miljoni cilvēku, arī elektromobīļus un Latvijā nopērkamos «Huawei» telefonus.
Kompānija taisnojas, ka spiegošanas funkcija ir domāta tikai mārketinga nolūkiem. Lai mobilo telefonu ražotājs varētu izpētīt lietotāju paradumus. Amerikas varas iestādēm šobrīd nav skaidrs, vai aiz šī notikuma neslēpjas Ķīnas valdības centieni paspiegot.
Pēc notikumiem Amerikā uzmanību datu plūsmai uz Ķīnu pievērsa Latvijas IT drošības incidentu novēršanas institūcija «Cert». Eksperti konstatēja, ka uz aizdomīgajiem serveriem Ķīnā plūdusi arī informācija no Latvijas valsts ierēdņu telefoniem.
VARIS TEIVĀNS
«Cert.lv» vadītājas vietnieks
Šobrīd, veicot pārbaudi arī faktiski tikai šodien, varam redzēt, ka ir vairāki simti pieslēgšanās gadījumu arī no Latvijas valsts iestādēm uz šiem Ķīnas serveriem. Šobrīd ir pāragri spriest, vai tie ir tie paši telefoni, jo viņu izplatība Latvijā nav novērota. Varbūt tas ir skaidrojams ar to, ka Latvijas valsts ierēdņi ir iegādājušies šīs iekārtas un atveduši uz Latviju, vai arī tas saistīts ar citu aplikāciju, par kuru mēs neko nezinām.
Šobrīd eksperti jau konstatējuši, ka sazināties ar Ķīnu bez saimnieka ziņas mēģinājuši tieši telefoni. Vairāki ir atrasti un tos šobrīd pēta «Cert». Organizācija neatklāj, kurās valsts iestādes iespējamā datu noplūde notikusi. Tāpat nav ziņu, kādiem mērķiem informācija vākta.
VARIS TEIVĀNS
«Cert.lv» vadītājas vietnieks
Tajā visā epopejā ir iesaistītas virkne kompāniju, kuras nodarbojas gan ar reklāmas tirgu, gan ar kvalitātes uzlabojumiem, pats fiziskās iekārtas pārdevējs un izplatītājs un arī programmatūras ražotājs. Vesela virkne un viens no viņiem arī uztur šos serverus. Ko viņš tālāk ar šiem datiem dara, tas ir jautājums.
Telefons nav vienīgā ierīce, kas mūs var izspiegot. «Cert» kādā valsts iestādē ir konstatējis video novērošanas kameras, kurās ražotājs ir ieprogrammējis iespēju pieslēgties no malas.
Vārdā nenosauktā valsts iestādē uzstādīti vairāki simti kameru, katra pāris simtu eiro vērtībā. Tās ražojis ķīniešu uzņēmums Milesight. Kompānija ir nopietna, tā ir pārstāvēta arī ASV tirgū. Arī pati kamera ir no dārgā gala.
VARIS TEIVĀNS
«Cert.lv» vadītājas vietnieks
Atklājām mēs viņas šajā gadījumā kopā ar pētnieku zināmas nejaušības dēļ.
«Cert.LV» regulāri rīko IT drošības ekspertu pasākumu «CyberChess». Tajā interneta tehnoloģiju ekspertiem jāmēģina uzlauzt organizatoru izvēlētas iekārtas.
KIRILS SOLOVJOVS
IT drošības eksperts
Mēs izdomājām, ka būtu interesanti drošības kameras. Tā ir tēma, kas ir ļoti aktuāla. Cilvēki tās uzstāda savās mājās, uzņēmumos.
Mans uzdevums bija uztaisīt tā, lai būtu interesanti šo kameru aizsargāt un no otras puses arī lauzt. Cerot, ka profesionāla līmeņa kamerās viss ir kārtībā ar drošību, es domāju, ka vajadzēs kaut ko piesimulēt, mācību nolūkiem uztaisīt arī kādu caurumu.
Taču izrādījies, ka par to jau bija parūpējies pats ražotājs. Kamerā atrasta virkne ievainojamību, ko zinoši ļaunprāši varētu izmantot.
Kamerā bijis vismaz piecas dažādas ievainojamības - pieci dažādi veidi kā piekļūt lietotāja datiem. Vismaz divi no šiem veidiem ļāva iegūt pilnīgu kontroli pār kameru. Gada laikā caurumi drošībā ir aizlāpīti, taču nav bijis viegli ražotāju piespiest to izdarīt. Solovjovs ir pārbaudījis arī citas kameras, tām visām ir atrasti lielāki vai mazāki trūkumi.
Ķīnā tiek saražota lauvas tiesa no pasaules elektroniskajām ierīcēm un to detaļām. Tā ir starp līderiem programmatūras ražošanā. Skandāls ar spiegu telefoniem nav vienīgais, kas rada aizdomas par Ķīnas mērķtiecīgiem centieniem vākt datus, izmantojot plaša patēriņa elektroniku. Oktobrī Pentagons ziņoja, ka Ķīnā ražotajos Lenovo datoros ir spiegošanas programmatūra.
Bijušais Nacionālās drošības padomes sekretārs un Satversmes aizsardzības biroja priekšnieka vietnieks Gundars Zaļkalns pieļauj, ka Ķīnas valdībai varētu būt saistība ar spiegojošajām ierīcēm.
GUNDARS ZAĻKALNS
Bijušais Nacionālās drošības padomes sekretārs
No manas pieredzes Āzijā valsts iestādēm un privāt sevišķi industriālajām struktūrām ir daudz, daudz tuvākas attiecības nekā rietumvalstīs, nezinu – tas varbūt no seniem laikiem ir tās tradicionāla padarīšana.
Eksperti ir pārliecināti, ka Latvija nav Ķīnas spiegošanas mērķis. Drīzāk uzskatāms, ka ierīces te nokļuvušas bez īpaša nodoma. Iespējams, tās domātas citām, lielākām ekonomikām.
JĀNIS GARISONS
Aizsardzības ministrijas valsts sekretārs
Es visnotaļ negribētu spekulēt, par to, vai Ķīnas valdība zina, vai nezina. Tas, par ko ir jārunā, kopumā par attieksmi par IT drošību un kiberdrošību. Tikpat labi, jūs varat atrast citās vietās ražotas ierīces, kam ir drošības riski. Taču es nenoliegšu, ka šādas ierīces tiek izmantotas, ne tikai miermīlīgiem, bet arī spiegošanai. ASV un NATO tā tiek definēta jau kā jauna domēnas kaujas. Protams, mums ir jāskatās uz to līdzās sauszemei, jūrai gaisam un kosmosam, kiberdomēna ir jauns kaujas lauks.
Garisons ir pārliecināts, ka valsts sektorā IT drošības jomā nav tā sliktākā situācija. Lielākas problēmas ir privātajiem, kas cenšas ietaupīt, piemēram, uz antivīrusu programmām, vai pērk lētākos telefonus un planšetdatorus, neizvērtējot to drošumu. Tas var apdraudēt ne tikai viņus pašus, bet arī viņu biznesa partnerus, tostarp arī valsti.
Kā liecina nekā personīga novērojumi - defektīvās ķīniešu novērošanas kameras ir uzstādītas arī Latvijas valsts mākslas muzejā. Muzeju atklāja pērn. Trīsdesmit vienu miljonu vērtās rekonstrukcijas pasūtītājs bija Rīgas domes īpašumu departaments