06.07.2015 | 12:15

Adam Haertle

CBA wydało 250 000 EURO na konie trojańskie od Hacking Team

Dokumenty wykradzione z serwerów producentów złośliwego oprogramowania, firmy Hacking Team, wymieniają Polskę w gronie klientów, a potwierdzają to faktury regularnie wystawiane dla Centralnego Biura Antykorupcyjnego.

Analiza danych wykradzionych z serwerów Hacking Team potrwa zapewne wiele tygodni, jednak już teraz wszystko wskazuje na to, że można w nich znaleźć ślady co najmniej jednej polskiej instytucji rządowej. Konie trojańskie zakupione przez CBA kosztowały już prawie 250 tysięcy euro.

CBA z licencją ważną do końca lipca

W sieci pojawił się przed chwilą zrzut zawartości pliku o nazwie Client List_Renewal.xlsx, zawierającego listę klientów odnawiających swoje licencje. Wśród krajów takich jak Azerbejdżan, Kazachstan, Meksyk czy Nigeria (choć także np. USA czy Hiszpania) można znaleźć także Polskę. Wpis brzmi:

EU      Poland  Central Anticorruption Bureau   7/31/2015       Active

co najwyraźniej oznacza, że Centralne Biuro Antykorupcyjne jest posiadaczem aktywnej licencji na oprogramowanie szpiegowskie, ważnej co najmniej do końca tego miesiąca.

W paczce dokumentów znajdują się także faktury wystawiane dla CBA w roku 2012, 2013 i 2014. Faktura z lipca 2012 opiewa na 178 tysięcy EURO i jest to cena zakupu głównego produktu Hacking Team, czyli systemu RCS. Dokumenty wskazują, że zakupiona licencja pozwala na jednoczesne podsłuchiwanie 10 celów.

Faktura za 2012

Faktura za 2012

Z kolei faktury z lipca 2013 i lipca 2014 to koszt rocznego wsparcia systemu – jedyne 35 600 EUR za rok.

Faktura za 2013

Faktura za 2013

Faktura z 2014

Faktura z 2014

Łączne wydatki uwzględnione w znalezionych dokumentach wynoszą 249 200 EUR. Tanie te zabawki nie są – pytanie, do czego użyło ich do tej pory CBA? Czekamy na odpowiedzi, w których dominować będzie słowo „tajemnica”. Warto także przypomnieć, że Helsińska Fundacja Praw Człowieka już wiele miesięcy temu zapytała wprost CBA, czy używa oprogramowania RCS, jednak CBA (w przeciwieństwie do ABW) odmówiło udzielenia informacji w tej sprawie.

Czym jest system RCS?
System RCS (Remote Control System), który zakupiło CBA, to kompleksowa platforma służąca do infekowania a następnie zdalnego i ukrytego kontrolowania urządzeń takich jakich komputery i telefony komórkowe. System ten umożliwia przejęcie kontroli nad wybranym urządzeniem a następnie utrwalanie wszystkich czynności jego użytkownika. Operator może oglądać odwiedzane przez ofiarę strony WWW, czytać przesyłaną pocztę, słuchać rozmów przez Skype czy przechwytywać wpisywane hasła. Jest to narzędzie niezwykle głęboko naruszające prywatność użytkownika.

Aktualizacja 2015-07-06 15:00 – Dodana faktura za 2013 i skorygowany ogólny koszt.

Aktualizacja 2015-07-06 16:30 – Informacja o liczbie zakupionych licencji.

Powrót

Komentarze

  • 2015.07.06 12:35 Tomasz Klim

    Gdyby komuś się chciało ściągać te 400 GB danych, analizować je i dzielić się informacjami, to mnie jako przedsiębiorcę działającego w branży bezpieczeństwa IT, interesuje proces rozpoczynania współpracy pomiędzy takim „dostawcą” a służbą tego lub innego kraju.

    Tzn. w jaki sposób, żyjąc w Polsce i podlegając pod polskie prawo (które wielu rzeczy zabrania na wyrost i utrudnia życie dostawcom tego typu oprogramowania), legalnie stworzyć, przetestować na większą skalę i zacząć sprzedawać służbom swoje oprogramowanie?

    Odpowiedz
    • 2015.07.06 12:53 backup

      Tomaszu, skup się może nad kluczem prywatnym zaszytym w swoim oprogramowaniu backupowym

      Odpowiedz
      • 2015.07.06 14:57 Tomasz Klim

        A coś z tym kluczem jest nie tak?

        Usługa „finebackup” jest za darmo i prezentuje pewien określony poziom bezpieczeństwa, będący w istocie kompromisem pomiędzy bezpieczeństwem, a możliwością pełnej autoinstalacji usługi na komputerach klientów. Poziom w zupełności wystarczający dla większości małych firm i zastosowań prywatnych.

        Natomiast dla firm o większych wymaganiach moja firma ma też w ofercie o wiele bardziej zaawansowaną i bezpieczną usługę backupu TaniBackup. Nadal tanią, natomiast w której każdy użytkownik może mieć własny klucz ssh.

        Odpowiedz
    • 2015.07.06 12:54 CBA

      Jak to jak?
      Tworzysz oprogramowanie i testujesz je u siebie na wszystkich możliwych wariantach sprzętowych/programowych. Prawo prawem, ale dopóki testujesz coś u siebie i nie włamujesz się nikomu z zewnątrz dopóty żadne służby nie kiwną palcem.

      Odpowiedz
    • 2015.07.06 14:16 oneTime

      Panie Tomaszu, jesli musi Pan zadawac takie pyania to znaczy, ze z security ma Pan niewiele wspolnego.
      „Legalnie przetestowac na wieksza skale”. To kiepski zart, prawda?
      Sluzby kupuja 0daye od ludzi, ktorzy skupiaja sie na znajdowaniu podatnosci, a nie od ludzi ktorzy kombinuja jak tu cos sprzedac.
      Poza tym fakt, ze pisze Pan o „podleganiu pod polskie prawo” oznacza, ze nie ma Pan pojecia o specyfice Internetu i zwiazanych z tym zagadnieniach prawnych.
      Proponuje zostawic temat i zajac sie np. praca dla Asseco. Ten sam poziom.

      Odpowiedz
      • 2015.07.06 14:41 Tomasz Klim

        Pomijając obraźliwy ton komentarza, nie zależy mi na jednorazowej sprzedaży czegokolwiek. W ten sposób się nie da zbudować biznesu.

        Zaś Internet Internetem, natomiast dopóki mieszkam i produkuję soft w Polsce, to podlegam pod polskie prawo. Więc w przypadku np. donosu to polska prokuratura mi wjeżdża do firmy i to polskiej prokuraturze muszę się tłumaczyć z tego, co mam na komputerach i w jakim celu to zostało stworzone.

        Odpowiedz
        • 2015.07.06 18:04 Edmund

          vupen zbudował ;D ale oni to w sumie nie sprzedają jednorazowo

          Odpowiedz
        • 2015.07.09 14:34 kravietz

          Tomasz jak mi się wydaje wskazuje na ryzyko dla przedsiębiorców w Polsce wynikające po pierwsze z samego faktu istnienia art. 269b kodeksu karnego a po drugie z niskiej kultury prawnej wymiaru sprawiedliwości w Polsce. Sam przepis, na którego szkodliwość wielokrotnie wskazywały instytucje branżowe, mógłby być nieszkodliwy gdyby praktyka stosowania prawa w Polsce była stabilna – ale nie jest. Dotychczas nie było żadnej głośnej sprawy przeciwko firmom z branży bezpieczeństwa, których przecież jest sporo i które notorycznie „produkują i rozposzechniają” oprogramowania zakazane w art. 269b. Nie znaczy to jednak, że pewnego dnia jakaś duża zachodnia firma z tej branży nie zechce wejść na polski rynek i nagle prokuratura „spontanicznie” nie zmieni interpretacji z dnia na dzień tak jak to bywało w przeszłości, także w branży IT. Obawiam się, że przed tym nie zabezpieczy Pana nic, przynajmniej tak długo jak prowadzi Pan biznes w Polsce. Można jedynie ograniczyć ryzyko przenosząc potencjalnie ryzykowne usługi do osobnej spółki. Jeśli zaś chodzi o samą sprzedaż usług i produktów to kanały sa takie jak w każdej innej branży – konferencje i targi branżowe, na których bywają przedstawiciele służb (np. Europoltech, Infosec w Londynie).

          Odpowiedz
      • 2015.07.06 16:06 Programista

        Czemu tak źle życzysz Asseco?

        Odpowiedz
  • 2015.07.06 13:46 :)

    Z przykrością mogę ci tylko podpowiedzieć, bilet za granicę lub śmieciówka w koncernie IT . Spinaj się żeby jakieś CV mieć lepsze niż goście z Biedronki.

    Odpowiedz
    • 2015.07.06 16:50 Erf

      Panowie, proszę sobie darować wycieczki osobiste…

      Odpowiedz
  • 2015.07.06 14:08 tomi

    Mnie bardziej zastanawia powód tego wycieku, już widzę jak masę osób wykorzystuje te informacje by atakować zwykłych użytkowników. Niestety to normalne wśród pseudo hakerów aka atakujących.

    Odpowiedz
  • 2015.07.06 18:02 Edmund

    widocznie lubią konie

    Odpowiedz
  • 2015.07.06 18:57 Kucyk Odpowiedz
  • 2015.07.06 20:46 józek

    @Tomasz Klim

    A to bardzo prosta odpowiedź: TORem przez chińskie serwery. Dziękuję :)

    Co do kwestii, „jak służby sięgają po oprogramowanie”:
    1. ogłaszają przetarg niejawny (sam przetarg jest jawny, nie jawne są podmioty i przedmiot) – i z reguły jest to ustawiony przetarg, w którym wygrywa firma szwagra kapitana Zenka obiecująca gruszki na wierzbie za miliardy
    2. pytają się kumpli z Unii skąd oni mają taki stuff
    3. dostają taki stuff jako odgórną narzuconą pomoc od swoich bliskich towarzyszy, najczęściej USA

    Odpowiedz
  • 2015.07.07 21:18 banbino

    Jednym słowem CBA popełnia przestępstwa karne.

    Odpowiedz
    • 2015.07.08 23:51 misi333k

      o ile mnie pamięć nie myli to służby mogą więcej więc musiałbyś doczytać czy CBA popełnia czy nie popełnia

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

CBA wydało 250 000 EURO na konie trojańskie od Hacking Team

Komentarze