США та Китай; n Монітор оборони та безпеки n drone war
Прискорене погіршення американо-китайських відносин викликає занепокоєння щодо створення небезпечних контекстів, а також ослаблення двох національних економік, що має наслідки для світової економіки. Суперечка навколо китайської телекомунікаційної компанії Huawei висунула на перший план китайський шпигунство, вербування агентів та амбіційну програму уряду Пекіна щодо розширення свого впливу по всьому світу. Закриття консульств стало важливим кроком вперед, і адміністрація Трампа пішла навіть далі, ніж у холодну війну між США та Радянським Союзом.
І як би цього було недостатньо, пандемія викликала підозри щодо китайських безпілотників, які шпигували за цілими громадами, оскільки їх використовували у всьому світі для моніторингу соціальної дистанції, дезінфекції громадських просторів, проведення доставки та багато іншого.
Підозри зросли після того, як китайська компанія DJI, найбільший у світі виробник цивільних безпілотників, передала пристрої для реагування на коронавірус американським правоохоронним та екстреним службам по всій країні.
DJI - це програма боротьби зі стихійними лихами, як стверджує китайська компанія, чи це програма шпигунства?
Накази про заборону використання безпілотників у Китаї
DJI (повна назва: Shenzhen Da Jiang Innovations Science and Technology Company) вже кілька років домінує в бізнесі безпілотників.
У 2015 році DJI виділився на ринку, випустивши Phantom 3, а наступні пристрої - Phantom 3 SE, Phantom 4, Phantom 4 Pro V2.0 - усунули багатьох конкурентів компанії, особливо американських конкурентів.
За даними UG Drone Industry Insights, DJI має 76,8% продажів безпілотників у США, тоді як наступний виробник (Intel) займає не більше 3,7% ринку. Просте у використанні програмне забезпечення безпілотника в поєднанні зі складними камерами та передовими технологіями дозволило DJI у 2017 році зафіксувати продажі та дохід у розмірі 2,7 млрд доларів.
Компанія також продає систему відстеження, схожу на систему, побудовану для китайських військових, під назвою AeroScope. Це дозволяє аеропортам, атомним електростанціям та іншим чутливим місцям мати пристрій, який може сканувати близько 30 миль повітряного простору та виявляти безпілотники за лічені секунди.
Тим часом у Вашингтоні зростає занепокоєння з приводу потенційних уразливих місць безпеки, спричинених китайською технологією, хоча китайські компанії заперечують, що їх продукція створює загрозу безпеці.
Американські чиновники розглядають можливість закінчення програми придбання цивільних безпілотників через побоювання щодо безпілотних літальних апаратів китайського виробництва.
Адміністрація Трампа готує розпорядження про заборону федеральним відомствам та відомствам купувати або використовувати безпілотники, виготовлені за кордоном, з огляду на ризик для національної безпеки. Проект наказу забороняє як безпілотники поза межами США, так і безпілотники, виготовлені з іноземних компонентів, побоюючись, що конфіденційні дані, зібрані під час їх використання, можуть бути передані несприятливим державам.
Проте побоювання не останні.
Американська служба імміграції та митного контролю в Лос-Анджелесі заявила в 2017 році: "Критична інфраструктура та правоохоронні органи, що використовують системи DJI, збирають конфіденційну інформацію, яку уряд Китаю може використовувати для здійснення фізичних або кібератак проти Сполучених Штатів та його населення. В якості альтернативи Китай може надати інформацію, зібрану DJI, терористичним організаціям, ворожим недержавним структурам або спонсорованим державою групам для координації атак на критичну інфраструктуру США ".
Також у 2017 році, згідно з американським військовим меморандумом, отриманим перевіреними Reuters американськими новинами, всі військові підрозділи були закликані "припинити будь-яке використання, видалити всі програми DJI, видалити всі носії інформації та обладнання".
За даними sUAS News, DJI має доступ як до серії інформації з персональних телефонів, так і до відеопотоків з дронів, дані, які згодом зберігаються на своїх серверах у США, Китаї та Гонконгу.
Документи не пояснювали проблеми безпеки, але посилалися на секретні дослідження безпілотників DJI, незрозуміло, до яких даних, зібраних DJI, можна отримати доступ без згоди замовника, але є підозра, що розташування та інша інформація, отримана від армійського безпілотника, може призвести до розкриття інформації про військові операції США.
Представник Сухопутних військ США заявив, що керівництво було видано на основі двох військових звітів США, одного від Науково-дослідної лабораторії Сухопутних військ під назвою "Користувач технологій DJI UAS та користувач вразливостей", а іншого від Військово-морських сил " Операційні ризики з урахуванням сімейства продуктів DJI ".
Тому дослідницькі лабораторії сухопутних та військово-морських сил США дійшли висновку, що існують операційні ризики, пов’язані з обладнанням DJI, і меморандум закликає військові підрозділи припинити використання безпілотників DJI для дослідження потенційних кіберзахищеностей.
У травні минулого року Міністерство національної безпеки США (DHS) випустило попередження, що "безпілотники китайського виробництва можуть становити потенційний ризик для інформації організації".
Згідно з опублікованим попередженням, безпілотники містять "компоненти, які можуть компрометувати дані та розповсюджувати інформацію на сервері, до якого здійснюється доступ за межами організації". Таким чином, безпілотники можуть надсилати конфіденційні дані своїм китайським виробникам, де уряд Пекіна може отримати до них доступ.
У звіті DHS конкретно не вказано жодних виробників, але, враховуючи, що майже 80% дронів, що використовуються в США та Канаді, походять від DJI, всі розуміли, що це компанія з Шеньчжень, Китай.
Попередження DHS було негайно після того, як адміністрація Білого дому оголосила про заборону технологічного гіганта Huawei Technologies Co., після розпорядження президента Дональда Трампа, яке фактично заборонило американським компаніям використовувати телекомунікаційне обладнання китайського виробництва.
На початку цього року Міністерство внутрішніх справ США (DOI) видало наказ затримати свої безпілотники через загрози кібербезпеки, спричинені безпілотниками китайського виробництва або з використанням китайських компонентів.
Наказ надходить через місяці після того, як департамент (у жовтні 2019 р.) Оголосив, що всі безпілотники у його флоті, виготовлені в Китаї або виготовлені з китайських частин, незабаром будуть заборонені до польоту, тому що в січні 2020 року DOI не зробив нічого, окрім як офіційно заборонив уже діяти.
Після підписання 29 січня 2020 р. Наказу 3379 - Тимчасове припинення експлуатації безаварійних безпілотних літальних апаратів Девід Бернхардт, заступник секретаря Департаменту, оприлюднив свою стурбованість з приводу можливого використання безпілотних літальних апаратів, повідомляючи що слідує оцінка програми безпілотників федерального відомства, в кінці якої буде визначено, чи слід продовжувати її чи ні.
Тоді як США Міністерство внутрішніх справ "забезпечить належне вирішення питань, пов'язаних з кібербезпекою, технологіями та внутрішнім виробництвом", поточний флот із 810 безпілотників залишиться на землі, що дозволить використовувати безпілотники лише для надзвичайних завдань, таких як пожежогасіння та пошуково-рятувальні роботи.
Прес-секретар міністерства закордонних справ Пекіна Ген Шуан розкритикував обмеження для китайських компаній як "менталітет" холодної війни "і закликав Вашингтон" забезпечити справедливе та недискримінаційне середовище для китайських компаній, які працюють у звичайному режимі. бізнес у США ”.
DJI також заявив, що "наказ неналежним чином обробляє країну походження технології, відомої своєю продуктивністю, безпекою та надійністю", а її представник, Майкл Ольденбург, вважає, що рішення має мало спільного з безпекою і робить натомість, частина політично вмотивованого порядку денного щодо зменшення конкуренції на ринку та підтримки технології безпілотних літальних апаратів вітчизняного виробництва, незалежно від її достоїнств ".
Програми, які не слід використовувати для делікатних цілей
Використання безпілотників DJI 43 правоохоронними органами у 22 штатах США для сприяння зупинці коронавірусу знову викликало підозри, тож у квітні Fox News задумався, чи не в цьому "винна нація". оскільки це дозволило вірусу стати пандемією, він просунув потужний шпигунський інструмент у небо над своїм економічним суперником ".
Схоже, нещодавно прореспубліканському телевізійному каналу дали можливу відповідь.
На прохання "постачальника" дві компанії з ІТ-безпеки - Synacktiv та Grimm - використали аналіз програмного забезпечення дронів DJI, доступного для використання на пристроях Android.
Аналіз, проведений самостійно, виявив приховані функції програмного забезпечення, які надсилають значну кількість технічної інформації на китайські сервери, більшість даних не мають нічого спільного з безпілотниками.
Оцінка Synacktiv врахувала, зокрема, програму DJI GO 4, яку DJI вважає нешкідливою і яка "не надсилає особисту інформацію назад китайському виробнику", встановлену, за даними Google Play, на більше одного мільйона персональних пристроїв. що свідчить про те, що ризики безпеки досить широко розповсюджені.
Рекомендований спосіб управління безпілотниками DJI - це підключення телефону до пульта дистанційного керування та використання програми DJI GO 4. Неможливо керувати цими транспортними засобами, якщо програма не працює на мобільному пристрої.
Згідно з аналізом, в останні версії програми DJI Android GO 4 вбудований компонент MobTech, який збирає персональні дані, такі як IMSI (Міжнародний ідентифікатор абонента мобільного зв’язку - номер, присвоєний SIM-карті, що використовується для ідентифікації користувача стільникової мережі), IMEI (Міжнародна ідентифікація обладнання мобільних станцій - унікальний 15-значний номер, що присвоюється кожному мобільному телефону, який зазвичай знаходиться позаду акумулятора), серійний номер SIM-картки тощо. Ці дані не є актуальними або необхідними для польотів безпілотників і перевищують політику конфіденційності DJI.
Synacktiv вважає, що ці ідентифікатори "можуть використовуватися спецслужбами або зловмисними людьми для відстеження людей або перехоплення".
Додаток DJI GO 4 на платформі Android фактично не закривається, коли користувач виконує операцію, продовжуючи працювати у фоновому режимі та роблячи мережеві запити.
Synacktiv радить користувачам безпілотних літальних апаратів DJI "використовувати його з обережністю через ризик витоку або неправильного використання конфіденційних елементів даних та прихованих функцій командування та управління, які, мабуть, не є необхідними для безпечного та надійного використання продукту".
Аналіз Synacktiv для DJI GO 4 показує "результат, подібний до інших китайських додатків, таких як Study the Great Nation 21: приховування (затухання) для приховування функціональності, збору інформації, включаючи інформацію про телефон, ідентифікатор стільникової мережі та місцезнаходження. Виконання GPS та коду безпілотного користувача без контролю користувача (примусові оновлення) ".
Підсумок: додаток не слід використовувати для делікатних цілей.
Для підтвердження результатів, отриманих Synacktiv, "постачальник" скористався послугами охоронної компанії Grimm.
За словами Грімма, додаток DJI GO 4 містить "кілька підозрілих функцій, а також ряд методів антианалізу, яких немає в інших додатках, що використовують ті самі SDK (Kit для розробки програмного забезпечення, набір інструментів, що використовуються програмістом писати програми для певної операційної системи, апаратної платформи або існуючого програмного пакету, nn) ".
Загалом ці функції "викликають занепокоєння і можуть дозволити DJI або Weibo (одна з найбільших платформ соціальних медіа в Китаї, н. П.) Отримати доступ або переглянути приватну інформацію користувача для подальшого використання".
У відповідь DJI, "серйозно ставлячись до безпеки своїх додатків і конфіденційності даних клієнтів", критично прокоментував висновки двох фірм, що відповідають за безпеку, зазначивши, що аналітики "не виявили нічого відповідного або суперечливого звітам Міністерства національної безпеки США Буз Аллен Гамільтон". та інші, які не знайшли доказів несподіваних зв’язків для передачі даних у програмах DJI для державних та приватних клієнтів ".
Більше того, як "єдиний великий виробник безпілотників з програмою помилок", DJI "закликає всіх дослідників відповідально розкривати питання безпеки щодо продуктів компанії".
Технічні пояснення, запропоновані DJI, вважаються обґрунтованими, але деякі з них не переконали фахівців. Наприклад, чому програмне забезпечення автоматично перезавантажується, коли його вимикає користувач? Або чому збираються всі дані про особистий телефон власника безпілотника, враховуючи, що "Китай вже роки знає, що зацікавлений у зборі даних про пересічних американців", що стояло за кібератаками Equifax 2017 року. та OPM, у 2015 році?
Дослідники, які аналізували помилки програмного забезпечення DJI для безпілотних літальних апаратів, зазначили, що немає жодних доказів того, що інформація була зібрана та надіслана до Пекіна, а також що вона не була навмисною бекдор. Однак наявність уразливостей, безумовно, забезпечить більше аргументів для представників Вашингтона, які нещодавно висунули звинувачення у шпигунстві проти китайських компаній.