ДРОНИ DJI, УКРАЇНА І РОСІЯ — ЩО МИ ЗНАЄМО ПРО AEROSCOPE
Після початку війни Україна звинуватила DJI, одного з провідних світових виробників безпілотників, у тому, що Росія використовує технології безпілотників DJI у військових цілях. — Ви впевнені, що хочете бути учасником цих убивств? Про це написав віцепрем'єр-міністр України Михайло Федоров. "Заблокуйте свої продукти, які допомагають Росії вбивати українців!"
Читаючи ці слова, ви можете подумати, що DJI тепер постачає до Росії бойові безпілотники або, можливо, що Росія використовує дрони DJI як коригувальники для своїх власних ракетних систем. Але це навіть віддалено не те, що просить Україна. Насправді йдеться про DJI AeroScope, систему для визначення розташування дронів та їхніх операторів, яку Росія зараз можливо використовує для пошуку та знищення українських операторів дронів.
DJI AeroScope спочатку розроблявся для громадської безпеки: якщо неавторизований дрон DJI наближається до злітно-посадкової смуги аеропорту, стадіону, повного людей, або, скажімо, до мітингу, правоохоронні органи можуть попередити людей та знайти ці дрони. В рамках системи AeroScope кожен дрон DJI передає сигнал, який спеціалізовані приймачі можуть використовувати для розшифровки положення дрону та положення його пілота. Якщо поліції потрібно відстежувати активність дронів DJI в районі і відстежувати їх пілотів, це так само просто, як встановити приймач і відстежувати сигнали.
Навіть у мирний час ця ідея може здатися трохи ризикованою: що якщо зловмисник отримає доступ до приймача AeroScope і почне переслідувати, нападати або красти у людей, чиї погляди прикуті до їхніх дронів у небі? Ось чому DJI заявляє, що вони продаються лише чинним правоохоронним органам та службам безпеки.
Але DJI не планувала того, що може статися, коли реальний покупець з'єднає їх із системою наведення ракет у воєнний час. Тепер, коли українські громадяни та їхні безпілотники споживчого класу були залучені для захисту від російської армії, ймовірно з'явилися небезпечні непередбачені наслідки Aeroscope. Якщо Aeroscope дозволить російським військовим точно знати, де знаходиться оператор українського безпілотника, росіяни можуть використати цю інформацію для завдання авіаудару за цим місцем.
Поки що немає жодних підтверджених повідомлень про те, що це відбувається насправді, навіть якщо це історія, яка розповсюджується деякими частинами Інтернету (часто у поєднанні з кадрами цього пілота дрона, який, мабуть, виживає після промаху). Але DJI підтвердив, що деякі українські приймачі AeroScope не працювали належним чином, і тепер Федоров просить DJI заблокувати російське обладнання DJI.
Швидше за все, це не початок, тому що DJI — китайська компанія, а Китай загалом пов'язаний з Росією, а не з Україною — настільки, що офіційні особи США тепер вважають, що Китай може фактично допомогти Росії замість того, щоб залишатися нейтральним.Повідомляється, що DJI фінансується урядом Китаю і неодноразово зазнавала санкцій з боку США; Нещодавно Міністерство фінансів США назвало її однією з восьми «компаній китайського військово-промислового комплексу», і США неодноразово звинувачували її в допомозі Китаю в спостереженні за уйгурським населенням за допомогою дронів.
Ось усе, що ми знаємо про AeroScope після розмови з представником DJI Адамом Лісбергом; експерт із судової експертизи дронів Девід Ковар; Брендон Луго, операційний директор компанії Aerial Armor, відомого дилера Aeroscope у США; та Тарас Трояк, реселер DJI, який керував кількома авторизованими магазинами DJI в Україні та є адміністратором 15-тисячного українського фан-клубу власників БПЛА, який стверджує, що деякі з його пілотів стали мішенню російських авіаударів і навіть були вбиті.
ЩО ТАКЕ DJI AEROSCOPE І ЯК ЦЕ ПРАЦЮЄ?
Система AeroScope складається із двох основних елементів:
- Сигнал, що автоматично передається кожним дроном DJI, проданим з 2017 року, який повідомляє положення, висоту, швидкість, напрямок, серійний номер та місцезнаходження пілота.
- Приймачі, які можуть вловлювати ці сигнали на відстані до 50 кілометрів (31 миль)
DJI в основному продає приймачі двох різних типів: портативний блок ближньої дії з власним корпусом-розкладачем, екраном, антенами та батареями та стаціонарний блок дальньої дії, який призначений для підключення до гігантської всеспрямованої зовнішньої антени та вимагає підключитися до сервера через кабель Ethernet або стільниковий модем.
.png)
Існує також кілька способів налаштувати стаціонарний пристрій: передача даних на загальнодоступні сервери DJI (розміщені на Amazon AWS), приватну хмару власника або навіть на автономний сервер для забезпечення безпеки. Інтернет технічно не потрібний, каже Луго з Aerial Armor, а Portable Unit навіть немає такої можливості. "Ви відкриваєте маленький кейс Pelican, сидите там і контролюєте всі дані локально", - говорить він. «Порт Ethernet навіть не забезпечує будь-якого підключення; це лише для програмування».
Ціни, здається, дуже різняться: Луго каже, що він бачив портативну одиницю за 10 000 доларів, а стаціонарний комплект G8 середньої дальності продавався десь між 25 000 та 150 000 доларів. Тим часом DJI каже, що повне встановлення має коштувати менше 10 000 доларів.
Зачекайте, ви хочете сказати, що кожен дрон DJI непомітно передає моє місцезнаходження, будь-кому, хто купить один із цих гаджетів?
Так. "По суті, це система, в якій користувач дрону підписує ліцензійну угоду з кінцевим користувачем, підтверджуючи, що моя інформація буде доступна", - говорить Ковар.
Але DJI та Ковар кажуть, що він зашифрований, а обладнання для розшифровки теоретично продається лише добрим хлопцям. "З самого початку ми дали зрозуміти всім нашим дилерам і дистриб'юторам, що Aeroscopes можна продавати тільки законним операторам, поліції та службам безпеки", - говорить Лісберг. «Ми час від часу чуємо повідомлення про мільярдера, який змушує його дивитися свою яхту або щось таке, але в цілому це люди, які використовують AeroScope».
Чи має Росія третю, військову версію приймача AeroScope з більшою дальністю дії, ніж Україна?
Це те, що Трояк прямо говорить і віце-прем'єр Федоров, схоже, також має на увазі це у своєму листі DJI. "Російська армія використовує покращену версію DJI Aeroscope, яку привезли з Сирії", - пише Федоров. "Відстань до 50 км".
Але знову ж таки, 50 кілометрів - це той же діапазон, який DJI вже вказує для свого стаціонарного пристрою - при підключенні правильних антен - і Лісберг з DJI каже, що він ніколи не чув про військову версію з великим радіусом дії.
Одне безперечно: і Україна, і Росія мають доступ до приймачів AeroScope, зокрема до далекобійних стаціонарних версій.
Отже, DJI відключили чи послабили українські приймачі AeroScope?
Це було ще одне звинувачення з боку України, але докази у кращому разі хиткі. Troiak - реселлер DJI, який, мабуть, виступає як посередник між їхніми операторами і DJI, намагаючись їх полагодити, - показав мені скріншоти листування електронною поштою, в якій нібито зображено, як кілька приймачів AeroScope, розміщених на атомних електростанціях, загадковим таким чином відключилися після вторгнення Росії в Україну. Але Трояк не зміг надати переконливіших доказів, припускаючи, що його джерела можуть бути убиті або ув'язнені, якщо він зв'яжеться з ними, а офіс віце-прем'єра Федорова не відповів на запити про коментарі.
Хоча DJI підтверджує, що деякі українські приймачі AeroScope відключилися, вона категорично заперечує, що компанія має до цього будь-яке відношення.
"Всі твердження про те, що DJI навмисно налаштувала функціональність AeroScope, щоб допомогти одним сторонам або нашкодити іншим, абсолютно і повністю помилкові", - говорить Лісберг The Verge, припустивши, що натомість вони могли бути відключені через відключення електроенергії або інтернету. «Ніхто заслуговує на довіру не стверджував, що технічні проблеми, які у нас були з AeroScopes, були чимось іншим, ніж технічними проблемами».
І Трояк, і Лісберг погоджуються з тим, що DJI вже допоміг повернути до мережі деякі з непрацюючих приймачів AeroScope в Україні. "Інші нам не вдалося діагностувати або виправити, але ми продовжуємо працювати з їхніми операторами", - говорить Лісберг з DJI.
Чому DJI чи Україна не можуть просто відключити сигнали Aeroscope, щоб пілоти не попадали в ціль?
По-перше, це не те, що DJI може відключити через Інтернет - самі дрони передають сигнали AeroScope локально на стандартних частотах 2,4 ГГц і 5,8 ГГц на будь-який найближчий приймач. Вони не відправляються через Інтернет.
І DJI каже, що власники дронів теж не можуть їх відключити. "Все це закодовано в пакеті даних, який є частиною тієї ж передачі, яку ви можете використовувати для управління дронами", - говорить Лісберг. "Ви не можете відключити це, не втративши при цьому контроль над дроном".
Тим не менш, AeroScope був заднім числом доданий до деяких ранніх дронів DJI як оновлення прошивки, тому теоретично можливо, що нове оновлення прошивки може знову відключити його. "Якщо ви розробите нову прошивку без AeroScope, дрон все одно буде нормально літати", - визнає Лісберг. Але це може зашкодити громадській безпеці AeroScope, оскільки DJI не може гарантувати, що прошивку отримають лише бійці опору. Це також може дозволити зловмисникам приховати свої дрони.
Але, можливо, не менш важливим є те, що Україна насправді не просить DJI відключити сигнали AeroScope — пам'ятайте, Україна також використовує приймачі AeroScope і хоче, щоб вони були включені.
То чого насправді просить Україна?
Віце-прем'єр Федоров хоче, щоб DJI дали інформацію про кожен продукт DJI в Україні, у тому числі про те, де вони були куплені, та карту їх місцезнаходження, а також явно блокувала роботу продуктів DJI, якщо вони надійшли з Росії, Сирії та Лівану.
Чи є у DJI карта місцезнаходження її продукції?
Компанія каже ні. «Ми не маємо можливості відстежити, де знаходиться AeroScope" — каже Лісберг. "Ми продаємо в основному через дистриб'юторів, які продають дилерам, які продають населенню... існує великий розрив між інформацією, яку люди думають про наших користувачів, і тим, що ми насправді маємо про наших користувачів", - додає він, коли я питаю якби DJI могла хоча б мати дані про продаж своїх дронів.
Луго з Aerial Armor підтверджує це. «У них немає прямого доступу до клієнтів, яким ми продаємо, якщо вони є… вони можуть знати, що у нас є стадіон NFL, але вони не знають, який і де він знаходиться».
Хіба DJI не бачить позиції дронів? Хіба він не відстежує дані про рейси?
Це була теорія у 2017 році, але DJI каже, що цього взагалі не відбувається.
«Я був одним із тих, хто п'ять років тому або близько того звинувачував їх у цьому, і на той час вони цілком могли бути такими. Були переконливі ознаки того, що дані телеметрії передаються з дрону і через додаток до деяких доменів, які, ймовірно, контролюються DJI», - говорить Ковар, експерт з криміналістики дронів.
Коротка версія: в 2017 році хакер на ім'я Кевін Фіністерре виявив, що DJI залишив деякі зі своїх хмарних даних Amazon AWS загальнодоступними, а Ars Technica написала, що вони включають "журнали польотів з облікових записів, пов'язаних з державними та військовими доменами". Саме тоді армія США запідозрила та почала заземлювати свої власні безпілотники DJI.
«ЦЕ НЕ БУЛО ЗРОБЛЕНО, ТАКИХ ПРОГРАМ НЕ ІСНУЄ»
У 2020 році Фіністерре завантажив ще один фрагмент даних з того ж злому, який, мабуть, показує онлайн-карту активності дронів по всьому світу - те, що DJI теоретично не зможе створити без відстеження. (Зловісна назва «DJI Sentinel & Supervisor» не допомогла.)
Але Лісберг із DJI каже, що «Sentinel & Supervisor» насправді ніколи не існувало — це була внутрішня пропозиція, яка нікуди не поділася. «[Фіністере] натрапив на презентацію, яку хтось підготував про те, що можна зробити; це не було зроблено, таких програм немає», — каже він.
І DJI твердо заявляє, що вона не має даних о вашому польоті, якщо ви не завантажите їх самостійно. Хоча Фіністерре припустив, що програма DJI Fly може робити це автоматично за допомогою функції «Автосинхронізація польотних записів», я зміг підтвердити, що принаймні у поточній версії програми для США цю функцію вимкнено за замовчуванням.
Хоча програма підштовхує вас до того, щоб ділитися розташуванням вашого власного дрону, інформацією про обладнання та «щоденними даними діагностики та використання» вашого пристрою, ви можете відмовитися від усього цього, і Ковар каже, що він переконаний, що компанія не викачує інформацію про польоти зараз. Неодноразові незалежні перевірки безпеки, проведені консалтинговими фірмами та урядовими установами США, також не виявили нічого подібного.
«Люди вивчили трафік і не змогли дійти якогось висновку про те, що дані телеметрії більше передаються каналом», — каже він, додаючи, що з 2017 року DJI вдалося переконати багато правоохоронних органів у тому, що їхні дані також у безпеці.
Чи не могла DJI отримати доступ до приймачів AeroScope, які базуються в Україні, щоб знайти потрібні дані?
Теоретично — якби Росія чи Україна налаштували свої приймачі Aeroscope для завантаження своїх даних на загальнодоступні хмарні сервери DJI AWS, і якби DJI мав доступ, то DJI мала б ту саму інформацію, яку власні приймачі України вже можуть отримати на землі. Це залежить від того, де зберігаються дані. "Якщо стаціонарний клієнт AeroScope використовує наш сервер AWS, ми теоретично можемо отримати доступ до нього", - говорить Лісберг. А Луго каже, що, на його досвід, дилери AeroScope найчастіше пропонують своїм клієнтам дешевше «демо-хмара» AWS.
Тим не менш, деякі станції AeroScope завантажуються в приватну хмару, а не в AWS, і саме її ви, ймовірно, використовуватимете для захисту військових даних. За словами Ковара та Луго, вони будуть підключатися до серверів DJI лише один раз на рік, щоб отримати новий цифровий сертифікат, щоб вони могли працювати.
За словами Ковара, навіть якби DJI мали дані, вони б не надали їх Україні, бо це означало б надання військової розвідки однієї зі сторін війни. «Це прохання, яке DJI не збирається виконувати, тому що DJI – китайська компанія, а Росія – союзник Китаю».
Якщо приймачам AeroScope потрібен цифровий сертифікат, чи може DJI просто відключити їх?
Можливо. У той час як DJI говорить мені, що явного аварійного вимикача немає - "це не те, про що ми думали", - говорить Лісберг, - Луго підтверджує, що датчик AeroScope відключиться, якщо термін дії його сертифіката закінчиться, після неодноразового попередження його власників що настав час платити.
Але неясно, чи може DJI відкликати сертифікат достроково, інакше вони діють цілий рік до закінчення терміну їхньої дії. Луго каже, що переносним пристроям воно взагалі не потрібне, а оскільки багато стаціонарних пристроїв не підключені до Інтернету, неможливо надіслати сигнал, щоб відключити їх раніше.
У будь-якому випадку, відключення приймачів AeroScope — це не те, що просить Україна, і DJI у будь-якому випадку намагається зберігати нейтральну позицію.
У будь-якому випадку, відключення приймачів AeroScope — це не те, що просить Україна, і DJI у будь-якому випадку намагається зберігати нейтральну позицію.
Так, але це не дуже ефективно. DJI має можливість встановлювати геозони, і це одна з небагатьох речей, які DJI фактично запропонувала зробити у відповідь на запит України, але, як вказує DJI, це не є надійним.
Російські та українські пілоти могли оминути геозону, не встановивши останнє оновлення програмного забезпечення. "Є програмні зломи, які відключають більшу частину цього", - говорить Ковар. Пілоти також можуть фізично заблокувати антени від супутникових сигналів або повністю відключити GPS-позиціонування - саме це Трояк вже рекомендує робити українським пілотам безпілотників, щоб їх не помітили російські датчики AeroScope. Ці дрони, як і раніше, будуть передавати сигнал AeroScope, але він не даватиме точні координати дрону або його пілота.
"Громадянські особи використовували аерофотокамери для відстеження російських колон, а потім передавали зображення та GPS-координати українським військам", - повідомляє Associated Press. Хоча також надходили повідомлення про безпілотника, який може скидати коктейлі Молотова, на фотографіях видно, що він скидає лише пляшку. "Я думаю, що це в основному амбітно", - говорить Ковар, додаючи, що ІДІЛ та інші дійсно використовували продукти DJI у минулому, щоб скидати 40-мм гранати.
Тим не менш, Україна має деяку історію з імпровізованою безпілотною зброєю. У 2018 році журнал Smithsonian Magazine повідомив про виготовлені на замовлення «бойові безпілотники України», а Національна гвардія України, як повідомляється, використала дрони DJI Mavic 2 для наведення авіаударів та скидання саморобних бомб у 2020 році, за даними Coffee or Die.
Крім дронів DJI, Україна, як повідомляється, також використовує недорогі військові безпілотники з Туреччини, які скидають бомби з лазерним наведенням. США відправляють Україні 100 дронів-камікадзе Switchblade.
DJI припинила продажі в Росії чи Україні?
Ні. «Ми завжди говорили нашим дистриб'юторам і нашим дилерам, що ви повинні дотримуватися всіх законів про експортний контроль будь-якої країни, в якій ви працюєте, і США… ми ще раз підкреслювали це керівництво з самого початку», — говорить Лісберг.
У будь-якому разі, припинення продажів приймачів AeroScope не обов'язково завадить російським військовим відстежувати ці безпілотники. Трояк вважає, що у Росії їх уже сотні. І «державні військові, мабуть, вигадали, як розшифрувати і цю інформацію», — каже Ковар.
На знак протесту з Росії пішли понад чотириста компаній. Чи буде DJI?
Ні.
"Протягом 15 років DJI щосили намагалася триматися подалі від геополітики" - говорить Лісберг.
Який контроль утримує власника станції AeroScope, скажімо, від реєстрації всіх найближчих рейсів та продажу цих даних?
Нічого, здається.
"Як і у всіх продуктах DJI, ваші дані - це ваші дані", - пише Лісберг. Ми не інформаційна компанія. Ми не хочемо бути сховищем даних наших клієнтів. Як і у випадку з нашими дронами, ми пропонуємо хостинг даних для зручності клієнтів, які хочуть його використовувати та не турбуються про його безпеку. І як тільки ви згенеруєте дані за допомогою наших продуктів, ви зможете їх використати, контролювати та зберігати».
Оглядаючись назад, чи можна вважати систему AeroScope гарною ідеєю?
DJI публічно заявила, що ситуація в Україні показує, що безпілотникам компанії не місце у зоні бойових дій, і з цим важко не погодитись. AeroScope явно не було призначено для цього.
"У цій ситуації немає, це явно погана ідея", - говорить Ковар. «[AeroScope] викриває людей, які борються за демократію, чия нація піддається нападу, які намагаються використати потужний, дуже комерційно доступний безпілотник для захисту своєї країни, щоб їх ідентифікували та виявили протистояння. У цьому плані це жахлива ідея. Але для правоохоронних цілей, для захисту нашої критично важливої інфраструктури тощо, це була чудова ідея».
Він порівнює це з іншими непередбаченими випадками використання технологій, які мають сумні наслідки для їх власників, наприклад, як Toyota може асоціюватися із зображеннями повстанців із кулеметами, встановленими на її пікапах, або Caterpillar з їхніми бульдозерами, які використовувалися для знесення поселень на Західному березі.
Лісберг також хоче прояснити, що DJI вважала таку технологію, як AeroScope, неминучою і вважала, що державне регулювання йтиме своїм шляхом, якщо воно не вироблятиме її добровільно. «Було ясно сказано, що якщо подібні рішення не будуть розроблені, уряд розробить їх і передасть нам».
Згідно статті Bloomberg Businessweek за 2020 рік, однією країною, яка чітко донесла це повідомлення, був сам Китай.
Між іншим, DJI AeroScope – це лише частина набагато більш широкої розмови про те, хто і що має мати можливість ідентифікувати дрон та його власника – нові правила віддаленої ідентифікації FAA можуть незабаром знову струсити це.
за матеріалами The Verge