USA a Čína; Monitor obrany a bezpečnosti v dronovej vojne

Zrýchlené zhoršovanie vzťahov medzi USA a Čínou vyvoláva obavy z vytvárania nebezpečných kontextov, ako aj z oslabenia dvoch národných ekonomík s dôsledkami na globálnu ekonomiku. Kontroverzia okolo čínskej telekomunikačnej spoločnosti Huawei priniesla do popredia čínsku špionáž, nábor agentov a ambiciózny program pekinskej vlády zameraný na rozšírenie jej vplyvu na celom svete. Uzavretie konzulátov bolo dôležitým krokom vpred a Trumpova administratíva zašla ešte ďalej ako v studenej vojne medzi USA a Sovietskym zväzom.

čína

A akoby to nestačilo, pandémia vyvolala podozrenie na špionáž čínskych dronov nad celými komunitami, pretože sa na celom svete používajú na sledovanie sociálnej vzdialenosti, dezinfekciu verejných priestorov, správanie dodávok a oveľa viac.

Podozrenie sa znásobilo po tom, čo čínska spoločnosť DJI, najväčší výrobca civilných bezpilotných lietadiel na svete, darovala zariadenia na boj proti koronavírusom americkým orgánom činným v trestnom konaní a pohotovostným službám po celej krajine.

Je DJI program na zvládanie katastrof, ako tvrdí čínska spoločnosť, alebo je to špionážny program?

Zákazové príkazy na použitie dronov v Číne

Spoločnosť DJI (celým menom: Shenzhen Da Jiang Innovations Science and Technology Company) dominuje v oblasti dronov už niekoľko rokov.

V roku 2015 spoločnosť DJI vynikla na trhu uvedením modelu Phantom 3 na trh a nástupnícke zariadenia - Phantom 3 SE, Phantom 4, Phantom 4 Pro V2.0 - eliminovali mnohých konkurentov spoločnosti, najmä amerických rivalov.

Podľa UG Drone Industry Insights má DJI v USA 76,8% predaja dronov, zatiaľ čo ďalší výrobca (Intel) nemá na trhu viac ako 3,7%. Ľahko použiteľný softvér dronu v kombinácii so sofistikovanými kamerami a pokročilou technológiou umožnil spoločnosti DJI v roku 2017 zaznamenať tržby a príjmy vo výške 2,7 miliárd dolárov.

Spoločnosť tiež predáva systém sledovania podobný tomu, ktorý bol postavený pre čínsku armádu, nazvaný AeroScope. Umožňuje letiskám, jadrovým elektrárňam a iným citlivým miestam disponovať zariadením, ktoré dokáže skenovať asi 30 míľ vzdušného priestoru a drony detekovať v priebehu niekoľkých sekúnd.

Medzitým vo Washingtone narastajú obavy z možných bezpečnostných zraniteľností, ktoré predstavuje čínska technológia, hoci čínske spoločnosti popreli, že by ich výrobky predstavovali bezpečnostnú hrozbu.

Americkí predstavitelia zvažujú ukončenie programu získavania civilných dronov kvôli obavám z bezpilotných vzdušných vozidiel vyrobených v Číne.

Trumpova administratíva pripravuje výkonný príkaz na zákaz federálnych ministerstiev a agentúr nakupovať alebo používať drony vyrobené v zahraničí, vzhľadom na riziko pre národnú bezpečnosť. Návrh nariadenia by zakazoval drony pochádzajúce z krajín mimo USA aj drony vyrobené zo zahraničných komponentov zo strachu, že by sa citlivé údaje zhromaždené počas ich používania mohli preniesť do nepriaznivých štátov.

Obavy však nie sú nedávne.

Americká imigračná a colná správa v Los Angeles v roku 2017 uviedla: „Kritická infraštruktúra a orgány činné v trestnom konaní využívajúce systémy DJI zhromažďujú citlivé informácie, ktoré by čínska vláda mohla použiť na uskutočnenie fyzických alebo kybernetických útokov proti USA a USA. jeho obyvateľov. Čína by prípadne mohla poskytnúť informácie zhromaždené spoločnosťou DJI teroristickým organizáciám, nepriateľským neštátnym subjektom alebo štátom sponzorovaným skupinám na koordináciu útokov na kritickú americkú infraštruktúru. ““.

Aj v roku 2017 boli podľa vojenského memoranda USA, ktoré dostali americké správy overené agentúrou Reuters, vyzvané všetky vojenské jednotky, aby „prestali používať, odinštalovali všetky aplikácie DJI, odstránili všetky pamäťové médiá a zariadenia“.

Podľa sUAS News má DJI prístup k sérii informácií z osobných telefónov aj k videu streamovaným z dronov, ktoré sú neskôr uložené na jej serveroch v USA, Číne a Hongkongu.

Dokumenty nevysvetlili bezpečnostný problém, odkazovali však na utajované štúdie o dronoch DJI, nie je jasné, k akým údajom zhromaždeným spoločnosťou DJI je možné získať prístup bez súhlasu zákazníka, existuje však podozrenie, že poloha a ďalšie informácie získané z armádneho dronu by mohli viesť k zverejnenie informácií o vojenských operáciách USA.

Hovorca pozemných síl USA uviedol, že sprievodca bol vydaný na základe dvoch amerických vojenských správ, jedného z Výskumného laboratória pozemných síl s názvom „Používateľ technologickej hrozby a zraniteľnosti DJI UAS“ a druhého z námorných síl s názvom „ Prevádzkové riziká týkajúce sa rodiny výrobkov DJI “.

Preto výskumné laboratóriá pozemných a námorných síl USA dospeli k záveru, že s vybavením DJI súvisia operačné riziká, a v memorande sa vyzývajú vojenské jednotky, aby prerušili používanie dronov DJI a vyšetrovali potenciálne kybernetické zraniteľnosti.

V máji minulého roku vydalo americké ministerstvo pre vnútornú bezpečnosť (DHS) varovanie, že „bezpilotné lietadlá vyrobené v Číne by mohli predstavovať potenciálne riziko pre informácie organizácie“.

Podľa vydaného varovania drony obsahujú „komponenty, ktoré môžu kompromitovať dáta a distribuovať informácie na serveri, ku ktorému je prístup mimo organizácie.“ Drony tak mohli posielať citlivé údaje svojim čínskym výrobcom, ku ktorým má pekingská vláda prístup.

Správa DHS konkrétne nezmieňuje nijakých výrobcov, ale vzhľadom na to, že takmer 80% dronov používaných v USA a Kanade pochádza od spoločnosti DJI, všetci pochopili, že ide o spoločnosť z čínskeho Shenzhenu.

Varovanie DHS prišlo okamžite po tom, čo administratíva Bieleho domu ohlásila zákaz technologickému gigantu Huawei Technologies Co. na základe výkonného príkazu podpísaného prezidentom Donaldom Trumpom, ktorý účinne zakazuje americkým spoločnostiam používať telekomunikačné zariadenia čínskej výroby.

Začiatkom tohto roka vydalo americké ministerstvo vnútra (DOI) príkaz na zadržanie svojich dronov z dôvodu obáv o kybernetickú bezpečnosť spôsobených dronmi vyrobenými v Číne alebo s použitím čínskych komponentov.

Objednávka prichádza mesiace po oznámení zo strany ministerstva (v októbri 2019), v ktorom sa uvádza, že všetky drony vo svojej flotile vyrobené v Číne alebo vyrobené z čínskych častí budú čoskoro mať zakázané lietať, takže že v januári 2020 DOI neurobil nič iné, iba formalizoval už platný zákaz.

Po podpísaní vyhlášky č. 3379 - Dočasné zastavenie prevádzky flotily systémov bezpilotných lietadiel bez núdze 29. januára 2020 zverejnil David Bernhardt, námestník tajomníka rezortu, obavy z možného použitia dronov na špionáž. že nasleduje hodnotenie bezpilotného programu federálnej agentúry, na konci ktorého sa rozhodne, či by sa v ňom malo pokračovať alebo nie.

Zatiaľ čo USA Ministerstvo vnútra „zabezpečí, aby sa primerane riešili otázky týkajúce sa kybernetickej bezpečnosti, technológií a domácej výroby,“ súčasná flotila 810 dronov zostane na zemi a umožní použitie dronov iba na mimoriadne udalosti, ako sú hasenie pátracie a záchranné operácie.

Geng Shuang, hovorca pekinského ministerstva zahraničia, kritizoval obmedzenia pre čínske spoločnosti vyplývajúce z „mentality studenej vojny“ a vyzval Washington, aby „zabezpečil spravodlivé a nediskriminačné prostredie pre čínske spoločnosti fungujúce normálne. podnikanie v Spojených štátoch “.

DJI tiež uviedol, že „objednávka nesprávne zaobchádza s krajinou pôvodu technológie známej pre jej výkon, bezpečnosť a spoľahlivosť“ a jej hovorca Michael Oldenburg sa domnieva, že rozhodnutie nemá veľa spoločného s bezpečnosťou a vedie namiesto toho je súčasťou politicky motivovanej agendy na zníženie konkurencie na trhu a na podporu technológie bezpilotných lietadiel vyrobenej na domácom trhu bez ohľadu na jej prednosti. ““.

Aplikácie, ktoré by sa nemali používať na citlivé účely

Používanie dronov DJI 43 orgánmi činnými v trestnom konaní v 22 štátoch USA na pomoc pri zastavení koronavírusu opäť vyvolalo podozrenie, a tak si v apríli Fox News kladlo otázku, či za to nemôže „vina mnohých ľudí“. pretože umožnil vírusu stať sa pandémiou, vniesol do neba mocného špionážneho nástroja nad svojho ekonomického rivala “.

Zdá sa, že pro-republikánsky televízny kanál dostal v poslednom čase možnú odpoveď.

Na žiadosť „dodávateľa“ dve spoločnosti zaoberajúce sa bezpečnosťou IT - Synacktiv a Grimm - použili analýzu dronového softvéru DJI dostupného na použitie na zariadeniach s Androidom.

Analýzy, ktoré sa uskutočňovali nezávisle, odhalili skryté vlastnosti softvéru, ktorý odosiela značné množstvo technických informácií na čínske servery, pričom väčšina údajov nemá nič spoločné s dronmi.

Pri hodnotení Synacktiv sa brala do úvahy najmä aplikácia DJI GO 4, ktorú DJI považuje za neškodnú a ktorá „neposiela osobné údaje späť čínskemu výrobcovi“, nainštalovaná podľa Google Play na viac ako milión osobných zariadení. čo naznačuje, že bezpečnostné riziká sú dosť rozšírené.

Odporúčaným spôsobom ovládania dronov DJI je pripojenie telefónu k diaľkovému ovládaniu a použitie aplikácie DJI GO 4. Tieto vozidlá nie je možné ovládať bez aplikácie bežiacej na mobilnom zariadení.

Podľa analýzy je v najnovších verziách aplikácie DJI Android GO 4 zabudovaný komponent MobTech, ktorý zhromažďuje osobné údaje, ako napríklad IMSI (International mobile subscriber identity - číslo pridelené SIM karte, používané na identifikáciu používateľa celulárnej siete), IMEI (medzinárodná identita vybavenia mobilných staníc - jedinečné 15-miestne číslo pridelené každému mobilnému telefónu, zvyčajne sa nachádza za batériou), sériové číslo SIM karty atď. Tieto údaje nie sú pre lety dronmi relevantné ani potrebné a prekračujú pravidlá ochrany osobných údajov spoločnosti DJI.

Synacktiv verí, že tieto identifikátory „môžu byť použité spravodajskými agentúrami alebo zákernými ľuďmi na sledovanie alebo odpočúvanie ľudí“.

Aplikácia DJI GO 4 na platforme Android sa v skutočnosti nezatvára, keď používateľ vykoná operáciu, pokračuje v behu na pozadí a robí sieťové požiadavky.

Spoločnosť Synacktiv odporúča používateľom dronov DJI, aby „ich používali s opatrnosťou kvôli riziku úniku alebo zneužitia citlivých dátových položiek a skrytých príkazových a riadiacich funkcií, ktoré zjavne nie sú potrebné pre bezpečné a spoľahlivé používanie produktu“.

Analýza spoločnosti Synacktiv pre DJI GO 4 ukazuje „výsledok podobný iným čínskym aplikáciám, ako je napríklad Štúdia Veľkého národa 21: skrývanie (zahmlievanie) pred skrytím funkcií, zhromažďovanie informácií vrátane informácií o telefóne, ID mobilnej siete a polohy. GPS a vykonávanie kódu používateľa dronu bez kontroly používateľa (vynútené aktualizácie) ".

Záver: aplikácia by sa nemala používať na citlivé účely.

Na potvrdenie výsledkov získaných spoločnosťou Synacktiv využil „dodávateľ“ služby bezpečnostnej spoločnosti Grimm.

Podľa Grimma obsahuje aplikácia DJI GO 4 „niekoľko podozrivých funkcií, ako aj množstvo anti-analytických techník, ktoré nenájdeme v iných aplikáciách, ktoré používajú rovnaké SDK (Software Development Kit, sada nástrojov používaných programátorom) písať programy pre konkrétny operačný systém, hardvérovú platformu alebo existujúci softvérový balík, nn) ​​“.

Vo všeobecnosti sú tieto funkcie „znepokojujúce a môžu spoločnosti DJI alebo Weibo (jedna z najväčších platforiem sociálnych médií v Číne, n.n.) umožniť prístup alebo zobrazenie súkromných informácií používateľa pre budúce použitie.“.

V reakcii na to spoločnosť DJI „vážne brala bezpečnosť svojich aplikácií a dôvernosť údajov o zákazníkoch“ a kriticky komentovala zistenia týchto dvoch bezpečnostných spoločností, pričom uviedla, že analytici „nenašli nič relevantné ani si odporujú správy amerického ministerstva pre vnútornú bezpečnosť Booza Allena Hamiltona“. a ďalší, ktorí nenašli žiadny dôkaz o neočakávanom pripojení na prenos údajov v aplikáciách DJI pre vládnych a súkromných zákazníkov. “.

Okrem toho ako „jediný významný výrobca dronov s chybovým programom“ DJI „nabáda všetkých výskumníkov, aby zodpovedne zverejňovali bezpečnostné problémy týkajúce sa produktov spoločnosti“.

Technické vysvetlenia ponúkané spoločnosťou DJI sa považujú za rozumné, niektoré z nich však špecialistov nepresvedčili. Prečo sa napríklad softvér automaticky reštartuje, keď ho používateľ vypne? Alebo prečo sa zhromažďujú všetky údaje o osobnom telefóne majiteľa dronu, vzhľadom na to, že „Čína už roky vie, že má záujem o zhromažďovanie údajov o bežných Američanoch“, ktorá stála za kybernetickými útokmi spoločnosti Equifax v roku 2017. a OPM, v roku 2015?

Vedci, ktorí analyzovali softvérové ​​chyby dronov DJI, poukázali na to, že neexistujú dôkazy o tom, že by boli zhromaždené a zaslané informácie do Pekingu, ani to, že by išlo o úmyselné zadné vrátka. Existencia zraniteľných miest však určite poskytne viac argumentov pre predstaviteľov Washingtonu, ktorí nedávno začali obvinenia zo špionáže proti čínskym spoločnostiam.