,

Komercyjne drony DJI szpieguja dla Chin

W ostatnim czasie ukazało się kilka informacji dotyczących możliwości prowadzenia działań szpiegowskich na rzecz Chińskiej Republiki Ludowej (ChRL) poprzez komercyjnie dostępne drony DJI (Da Jiang Innovations).

Firma DJI została założona przez Franka Wanga w 2006 z siedzibą w Shenzhen (Chińska Republika Ludowa). W krótkim czasie, poprzez swoje działania marketingowe i niewątpliwe innowacje osiągnęła miano lidera na rynku komercyjnych dronów. Drony DJI są dostępne na całym świecie, praktycznie w każdym sklepie z elektroniką konsumencką.

Niestety komercyjnie dostępne platformy są często wykorzystywane przez wojsko, policję i inne instytucje, które korzystają z dostępności tych rozwiązań. Oczywiście nie bezpośrednio. Instytucje takie nie kupują dronów na zasadach zwykłych konsumentów, ale poprzez procedury zamówień publicznych. Zatem wymagania są opisane, a firmy z gospodarki dostarczają produkty.

W biuletynie wywiadowczym ICE-IL-17-0019 (ICE-DJI-China) Agencja ICE opisuje zagrożenia, czyniąc jednocześnie zabronionym używanie dronów DJI przez służby amerykańskie.

Przeżyjmy się zatem, czy takie szpiegowanie jest możliwe ?

Dron DJI, urządzenie które przenosi kamerę, wykonuje zdjęcia i filmy, jednocześnie rejestruje dane GPS. Sam w sobie stanowi idealne narzędzie szpiegowskie, czyli do pozyskiwania danych. Kamera, mikrofon w stacji naziemnej, GPS – wszystkie dane jak na dłoni. Ale sam fakt posiadania tych urządzeń nie czyni jeszcze szpiega.

W tym momencie zaczyna się cały klucz, a zatem: cyberbezpieczeństwo, właściciel danych, serwer i jego właściciel,  jaka jest droga przesyłu danych, szyfrowanie.

Jak to łączy DJI i Chiny i szpiegostwo ? W mojej ocenie, ostatnie działania DJI bardzo zbliżyły te podejrzenia do pewności. A zatem:

  1. Od niedawna DJI nie pozwala uruchamiać dronów w starszych wersjach oprogramowania.
  2. Brak możliwości (oficjalnie) downgrade’u oprogramowania do starszej wersji.
  3. Stacja naziemna musi być online (podłączona do internetu). przed startem sprawdzane jest tzw. No Fly Zone, czyli, czy dron znajduje się z strefie ograniczenia lotu.
  4. Strefy ograniczenia lotu, podawane są np. przez instytucje czyli np. wojsko i policje, lotnictwo.
  5. Każdy użytkownik musi być zarejestrowany na serwerze DJI (inaczej lot jest bardzo ograniczony – do promienia 30 m od operatora).
  6. Aplikacja automatycznie rejestruje ONLINE, na serwerze pozycje zdjęć i przekazuje zdjęcia.

Sama powyżej wymieniona konieczność rejestracji i obowiązkowa synchronizacja danych z serwerem czyni te urządzenie bardzo podatnym na atak, i nieuprawnione wykorzystanie danych. Brak szyfrowania połączenia, brak minimum hasła.

Na powyższym obrazie pokazany jest moment synchronizacji danych lotu z serwerem online firmy DJI. Dane z odbytego lotu trafiają na serwer, którego właścicielem jest DJI. Zatem, teoretycznie dostęp do tych danych może posiadać właściciel, administrator serwera. Lub każda inna osoba która przechwyci hasło (słabe) do konta właściciela. Wojsko na całym świecie latając DJI na terenach wojskowych za darmo oddają dane foto i wideo na serwer w Chinach. Do tego terroryści, ISIS i inni którzy, jak już pisałem w poprzednich artykułach, używają DJI do rożnych celów.

Jak wyglądają dane z lotu ?

Lista danych i lotów zrealizowanych przez jednego użytkownika (zdjęcia powyżej). Wszystko jest rejestrowane na serwerze, podkreślę. Dane są synchronizowane z serwerem na koncie użytkownika. A szczegółowe dane z jednego lotu przedstawiają się następująco.

Zdjęcia i ich pozycje. Dokładne zobrazowanie terenu i położenia obiektów jest dostępne jak na dłoni. Dane oczywiście jak wspomniałem są gromadzone na serwerze DJI.

Dla użytkownika zwykłego, komercyjnego, domowego drony DJI to bardzo dobre narzędzie. Dla instytucji, w mojej ocenie, wykorzystanie powinno być ograniczone do minimum. Nie ma żadnej kontroli nad działaniem aplikacji. Wciąż systemy BSP, dorny komercyjne nie mają wystarczającej ochrony danych. Te kwestie są jeszcze daleko w powijakach i nie nakłada się wymagań w tym zakresie.

Rozwiązaniem oczywiście są BSP budowane na zlecenie (custom), oparte o inne komponenty, nie będące „online”. Często gwarantujące lepsze osiągi.

Paweł Burdziakowski

 

1 reply
  1. Paweł
    Paweł says:

    Przecież to użytkownik decyduje kiedy robi upload. Trochę słaby ten dowód. Co więcej są w sieci informacje iż raport I.C.E był przygotowany bardzo nierzetelnie.

    Odpowiedz

Odpowiedz

Chcesz wziąć udział w dyskusji?
Śmiało, napisz coś!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *