image

Politie sluit niet uit dat data van DJI-drones op Chinese servers belandt

donderdag 30 september 2021, 10:35 door Redactie, 10 reacties

De politie kan niet uitsluiten dat data van DJI-drones die het gebruikt op Chinese servers belandt, zo laat het weten tegenover Investico. Het platform voor onderzoeksjournalistiek deed voor Trouw, De Groene Amsterdammer en EenVandaag onderzoek naar het gebruik van DJI-drones door de Nederlandse politie.

De drones worden echter ook ingezet door de NS en ProRail voor bijvoorbeeld, spoorinspecties. Bedrijven in de Rotterdamse en Amsterdamse havens gebruiken ze voor inspecties en onderhoud. En Rijkswaterstaat zet de toestellen in om de Deltawerken en andere bruggen te inspecteren.

Volgens Investico maakte de politie alleen dit jaar al meer dan duizend keer gebruik van drones voor opsporing en het controleren van de openbare orde. Inmiddels zou politie over meer dan honderd DJI-drones beschikken. Als Chinees bedrijf is DJI wettelijk verplicht om data te delen met de Chinese overheid. Vanwege deze reden zet de Nederlandse Defensie geen DJI-drones in voor operationeel gebruik.

"De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid", aldus een woordvoerder. Ook de politie is zich hiervan bewust en maakt geen gebruik van de drones bij "afgeschermde operaties". Tegelijkertijd zegt de politie dat het niet kan uitsluiten dat dronedata op Chinese servers terechtkomt. "We zijn ons bewust van dit risico. Tot nu toe hebben we geen datalek vastgesteld", merkt een woordvoerder op.

DJI ontwierp een speciale drone voor overheden die extra dataveiligheid zou moeten bieden. De politie maakt hiervan geen gebruik. Al sinds 2016 wordt er met de drones van het Chinese bedrijf gevlogen. Dit jaar is er begonnen met een Data Protection Impact Assessment (DPIA). Met een DPIA worden de risico's in kaart gebracht en maatregelen om die te mitigeren. Zolang die nog gaande is kan de politie er verder niets over zeggen. DJI laat in een reactie weten dat de drones veilig zijn en gebruikers geen data hoeven te delen (pdf).

Reacties (10)
30-09-2021, 11:10 door Anoniem
Maar is vast wel een protocol, certitifcaat of iets anders zinloos waardoor het veilig is. Echt waar!

Hoe dan ook te zot voor woorden dat die data 'ergens' op een server land - die je niet zelf volledig onder beheer hebt.
30-09-2021, 11:56 door Anoniem
Het gaat om drones van het bedrijf Da Jiang Innovations (DJI), dat wereldwijd markleider is op het gebied van onbemande commerciële toestellen. Diverse onderzoekers hebben in het verleden vastgesteld dat beelden en andere data die met de drones verzameld worden, kunnen weglekken naar de Chinese overheid. Ook zijn er berichten dat er via een achterdeurtje software geïnstalleerd kan worden op de telefoons van degenen die de drone gebruiken.

https://nos.nl/artikel/2399774-chinese-drones-van-rijkswaterstaat-en-politie-mogelijk-onveilig


Volgens Patrick Bolder van het The Hague Centre for Strategic Studies, die onderzoek doet naar drones en dataveiligheid, zijn de zorgen over de veiligheid terecht. "Je weet nooit wat er doorgesluisd wordt naar China", zegt hij in het NOS Radio 1 Journaal [uitzending 30 september 2021, 06:00 - 09:30 uur, vanaf 2h:19m:20s]. Hij vindt het een risico dat gevoelige organisaties technologiesystemen gebruiken die ze niet zelf hebben ontworpen.

https://www.nporadio1.nl/uitzendingen/nos-radio-1-journaal/8f37740e-82cc-43a6-b38d-9a9ddaf07255/2021-09-30-nos-radio-1-journaal
30-09-2021, 12:09 door Anoniem
....

Waarom is de daarvoor bedoelde gov. variant niet afgenomen(toch al niet te vertrouwen?), en dit hadden ze onmogelijk kunnen voorzien? of is het gewoon fuck it de kop in het zand gestoken.

En wat gebruik defensie hier voor dan? schroef die rail gun er vanaf, en gebruik dat spul dan.

Zet anders zelf wat op met het Nederlands bedrijf leven, en maak het open source project zodat instanties kunnen weten waar ze aan toe zijn, en daar zelf op kunnen voortborduren om dit soort gezeik op voorhand te voorkomen.

Dus stop er mee, i.p.v bewust van de risico's te wezen, en er vrolijk door mee te gaan.
30-09-2021, 14:26 door Anoniem
Ik denk dat er genoen technische universiteiten zijn die makkelijk met goede funding een soort gelijke drone kunnen bouwen, of gewoon weg de hele software kant voorzien van een eigen OS.

Ondertussen gewoon er mee blijven werken, want: ja we hebben nog niks kunnen vaststellen bla bla aka kop in het zand.
30-09-2021, 14:43 door Anoniem
De data is, en de gegevens zijn.

Dit is wel even een behoorlijke misser voor degene(n) die de functionele eisen heeft opgesteld, voor de aankoop van die drones. Maar dat weten we niet zeker. Er is in ieder geval iets misgegaan maar het kan ook op een andere wijze zijn gebeurt.

Maar stel dat we even aannemen (ik haat het maar goed) dat er aan dat security aspect (data classificatie en riskmanagement) niet was gedacht...

Is dit aspect überhaupt erkend bij de aankoop van producten bij de politie (ik bedoel dit opbouwend)

Want zo niet, is dit wel even een leerpuntje met alle respect. Maar dat kan ik mij niet voorstellen.

Solution?:
Zijn ze niet te herprogrammeren? Of bepaalde functies hardware matig uit te schakelen?
En wat mijn voorganger post... open source zou ook mijn voorkeur zijn inzake dit soort producten opdat we meer controle houden. Want nu is de kans om dit goed van het begin af aan goed op te pakken ook al zijn we slecht begonnen.

Werk samen met security officers van meerdere instanties om de functionele specs op te stellen .want als je het goed wilt doen komt er er heel wat bij kijken. En laat dit reviewen. En dan denk ik direct aan data classificatie, risk management en procedures en de CIA triad en AAAAA etc... En focus je niet alleen op de security aspecten van de software, procedures maar ook de hardware.

Voordat we straks een leger drones hebben in een botnet, over genomen door partij X met vijandige intenties (zonder dat we er bewust van zijn).

En voor de praktische technische invulling wellicht in samenwerking met b.v. de TU Delft? (let op single point of failure)

Al met al weer een kostbare aangelegenheid opgeleverd via belastinggeld van de burger.
30-09-2021, 16:50 door Anoniem
Vergeet ook niet welke camera je onder de drone hangt. Veel camera's bevatten de beruchte HiSilicon chip met hardcoded backdoor:
https://www.security.nl/posting/693899/Hackerscollectief+krijgt+door+hard-coded+wachtwoord+toegang+tot+150_000+beveiligingscamera%27s
Door Anoniem 11-03-2021 14:47 :
Hard-coded backdoors. Vanuit "security" perspectief onbegrijpelijk, maar ze bestaan echt:

"Researcher says millions of IoT and surveillance devices that use HiSilicon chips have a trivial backdoor"
https://www.techspot.com/news/83909-researcher-millions-iot-surveillance-devices-use-hisilicon-chips.html

"Full disclosure: 0day vulnerability (backdoor) in firmware for Xiaongmai-based DVRs, NVRs and IP cameras"
https://habr.com/en/post/486856/

"Millions of security cameras, baby monitors and “smart” doorbells are open to hijack – and no solution is currently available."
https://threatpost.com/iot-devices-vulnerable-takeover/144167/

Ik gebruik zelf de combinatie RaspberryPi Zero + cameramodule, dat lijkt voorlopig safe.
Anoniem van 11-03-2021 14:47
30-09-2021, 17:23 door Anoniem
In hun schriftelijke reactie aan de redactie van EenVandaag, die door EenVandaag is gepubliceerd [PDF] in het kader van journalistieke hoor en wederhoor, maakt de Chinese fabrikant melding van de aanwezigheid van een zogenaamde “kill switch”, een schakelaar die de internet connectie van de drone zou kunnen afsluiten:

[...] DJI government and enterprise customers who are concerned about data security can use Local Data Mode in the DJI Pilot, DJI GO4 or DJI Fly control apps to provide enhanced data privacy assurance when flying sensitive missions. It is an internet connection “kill switch” feature that, when enabled, prevents the app from sending or receiving any data over the internet.

https://eenvandaag.assets.avrotros.nl/user_upload/PDF/Reactie%20DJI%20-%20drones.pdf


Uit de verwijzing naar de Engelstalige tekst en uitleg van de fabrikant op DJI.com over de Local Data Mode valt op te maken dat de “kill switch” in werkelijkheid in de DJI 'command and control mobile app' zit gebouwd. Dan is er dus slechts sprake van een softwarematige beveiliging -- met alle risico's van dien, want het is immers geen echte schakelaar.
30-09-2021, 18:25 door Anoniem
Nou defensie gebuikt deze ook gewoon en ook operationeel. In Afghanistan en Irak meerdere keren gebruikt. Echter wel de government versie met een iphone zonder sim in flightmodus. Systemen worden aan local loze laptop gebruit en zal nooit op het internet komen!
01-10-2021, 12:53 door Anoniem
Ik ben nauwelijks verbaasd over de ontwikkeling, wel weer eens teleurgesteld. De hele politieke en organisatorische cultuur is wereldwijd momenteel wachten op frivool omgaan met persoonsgegevens. Wat betreft de teleurstelling: Eigenlijk zou het gewoon vanzelfsprekend moeten zijn dat als je een organisatie toestemming geeft voor bepaalde eventueel legitieme belangen persoonsgegevens te verwerken dat ze er voor zorgen dat die gewoon niet (punt!) bij organisaties als de Chinese overheid terecht komen...
01-10-2021, 14:23 door Anoniem
Door Anoniem: Nou defensie gebuikt deze ook gewoon en ook operationeel. In Afghanistan en Irak meerdere keren gebruikt. Echter wel de government versie met een iphone zonder sim in flightmodus. Systemen worden aan local loze laptop gebruit en zal nooit op het internet komen!
Precies, je kunt alle ongewenste communicatie prima voor zijn.

https://www.platform-investico.nl/artikel/politie-gebruikt-omstreden-chinese-drones-voor-opsporing/
Ze moeten bijvoorbeeld hun eigen app ontwikkelen om de drone te besturen, zodat je niet afhankelijk bent van de software van DJI.
Het zal wat werk zijn, maar als je een beetje online zoekt, zie je dat er best wat info over te vinden is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.