সাইবার অপরাধীরা চীনা নজরদারি ক্যামেরার অ্যাক্সেস বিক্রি করছে

নতুন গবেষণা ইঙ্গিত দেয় যে আজ বিশ্বের 80,000 টিরও বেশি Hikvision নজরদারি ক্যামেরা 11 মাস পুরানো কমান্ড ইনজেকশন ত্রুটির জন্য ঝুঁকিপূর্ণ।

Hikvision - Hangzhou Hikvision ডিজিটাল প্রযুক্তির জন্য সংক্ষিপ্ত - একটি চীনা রাষ্ট্রীয় মালিকানাধীন ভিডিও নজরদারি সরঞ্জাম প্রস্তুতকারক। তাদের গ্রাহকরা 100 টিরও বেশি দেশে বিস্তৃত (যুক্তরাষ্ট্র সহ, 2019 সালে FCC হিকভিশনকে "মার্কিন জাতীয় নিরাপত্তার জন্য একটি অগ্রহণযোগ্য ঝুঁকি" লেবেল করা সত্ত্বেও)।

গত পতনে, হিকভিশন ক্যামেরায় একটি কমান্ড ইনজেকশন ত্রুটি বিশ্বের কাছে প্রকাশিত হয়েছিল জন্য CVE-2021-36260. শোষণটিকে NIST দ্বারা 9.8 রেটিং-এর মধ্যে একটি "গুরুত্বপূর্ণ" 10 দেওয়া হয়েছে।

দুর্বলতার তীব্রতা সত্ত্বেও, এবং এই গল্পের প্রায় এক বছর, 80,000 টিরও বেশি প্রভাবিত ডিভাইসগুলি প্যাচ করা হয়নি। সেই সময় থেকে, গবেষকরা "কমান্ড ইনজেকশন দুর্বলতা ব্যবহার করে Hikvision ক্যামেরাগুলিকে কাজে লাগাতে সহযোগিতা করার জন্য হ্যাকারদের একাধিক দৃষ্টান্ত" আবিষ্কার করেছেন, বিশেষ করে রাশিয়ান ডার্ক ওয়েব ফোরামে, যেখানে ফাঁস হওয়া শংসাপত্রগুলি বিক্রয়ের জন্য রাখা হয়েছে৷

ক্ষয়ক্ষতির পরিমাণ ইতিমধ্যেই স্পষ্ট নয়। প্রতিবেদনের লেখকরা কেবল অনুমান করতে পারেন যে "চীনা হুমকি গোষ্ঠী যেমন MISSION2025/APT41, APT10 এবং এর সহযোগীরা, সেইসাথে অজানা রাশিয়ান হুমকি অভিনেতা গোষ্ঠীগুলি তাদের উদ্দেশ্যগুলি পূরণ করার জন্য এই ডিভাইসগুলির দুর্বলতাগুলিকে সম্ভাব্যভাবে কাজে লাগাতে পারে (যার মধ্যে নির্দিষ্ট ভূ-প্রকৃতি অন্তর্ভুক্ত থাকতে পারে) রাজনৈতিক বিবেচনা)।

আইওটি ডিভাইসে ঝুঁকি

এই ধরনের গল্পগুলির সাথে, ব্যক্তি এবং সংস্থাগুলির অলসতাকে দায়ী করা সহজ যেগুলি তাদের সফ্টওয়্যারটি আনপ্যাচ করে রাখে৷ কিন্তু গল্প সবসময় এত সহজ নয়।

সাইব্রেরির থ্রেট ইন্টেলিজেন্সের সিনিয়র ডিরেক্টর ডেভিড মেনরের মতে, হিকভিশন ক্যামেরা অনেক কারণে এবং কিছু সময়ের জন্য দুর্বল হয়ে পড়েছে। “তাদের পণ্যে সিস্টেমিক দুর্বলতা বা আরও খারাপ শোষণ করা সহজ, ডিফল্ট শংসাপত্র ব্যবহার করে। ফরেনসিক সঞ্চালন বা একটি আক্রমণকারী excised করা হয়েছে যে যাচাই করার কোন ভাল উপায় নেই. উপরন্তু, আমরা তাদের উন্নয়ন চক্রের মধ্যে নিরাপত্তা বৃদ্ধির ইঙ্গিত দিতে Hikvision এর ভঙ্গিতে কোনো পরিবর্তন লক্ষ্য করিনি।"

অনেক সমস্যা শুধু হিকভিশন নয়, শিল্পের জন্য স্থানীয়। "ক্যামেরার মতো আইওটি ডিভাইসগুলি সবসময় আপনার ফোনে একটি অ্যাপের মতো সুরক্ষিত করা সহজ বা সরল নয়," Comparitech-এর গোপনীয়তা আইনজীবী পল বিশফ ইমেলের মাধ্যমে একটি বিবৃতিতে লিখেছেন৷ “আপডেট স্বয়ংক্রিয় নয়; ব্যবহারকারীদের ম্যানুয়ালি সেগুলি ডাউনলোড এবং ইনস্টল করতে হবে এবং অনেক ব্যবহারকারী কখনই বার্তা পাবেন না। উপরন্তু, IoT ডিভাইস ব্যবহারকারীদের কোনো ইঙ্গিত দিতে পারে না যে তারা অনিরাপদ বা পুরানো। যেখানে আপনার ফোন আপনাকে সতর্ক করবে যখন কোনো আপডেট পাওয়া যাবে এবং পরের বার রিবুট করার সময় সম্ভবত এটি স্বয়ংক্রিয়ভাবে ইনস্টল হবে, IoT ডিভাইসগুলি এই ধরনের সুবিধা দেয় না।"

যদিও ব্যবহারকারীরা কেউই বুদ্ধিমান নয়, সাইবার অপরাধীরা শোডান বা সেন্সিসের মতো সার্চ ইঞ্জিনের মাধ্যমে তাদের দুর্বল ডিভাইসগুলি স্ক্যান করতে পারে। সমস্যাটি অবশ্যই অলসতার সাথে জটিল হতে পারে, যেমনটি বিশফ উল্লেখ করেছেন, "হিকভিশন ক্যামেরাগুলি বাক্সের বাইরে কয়েকটি পূর্বনির্ধারিত পাসওয়ার্ডগুলির মধ্যে একটি নিয়ে আসে এবং অনেক ব্যবহারকারী এই ডিফল্ট পাসওয়ার্ডগুলি পরিবর্তন করেন না।"

দুর্বল নিরাপত্তা, অপর্যাপ্ত দৃশ্যমানতা এবং তদারকির মধ্যে, এই কয়েক হাজার ক্যামেরা কখন বা কখন সুরক্ষিত হবে তা স্পষ্ট নয়।