Polska podejrzana o używanie oprogramowania szpiegującego

dodał 18 lutego 2014 o 21:56 w kategorii Prywatność  z tagami:
Polska podejrzana o używanie oprogramowania szpiegującego

Rządy wielu krajów coraz chętniej korzystają z komercyjnych koni trojańskich do szpiegowania swoich obywateli. Organizacja monitorująca jeden z takich programów znalazła jego serwery pod polskimi adresami IP należącymi do Orange.

Historia firmy Hacking Team zaczęła się od stworzenia w roku 2001 przez dwóch włoskich informatyków pakietu Ettercap, służącego do przeprowadzania ataków MiTM. Wkrótce zgłosiły się do nich włoskie służby specjalne, które szukały metody podsłuchiwania komputerów podejrzanych. Dzisiaj Hacking Team oferuje rządom całego świata komercyjne konie trojańskie, wykorzystywane do podsłuchiwania obywateli.

Oni monitorują nas, my monitorujemy ich

Citizen Lab to kanadyjska organizacja badawcza, która zajmuje się tematami z pogranicza technologii i praw człowieka. Od kilku lat prowadzi m. in. analizy stosowania oprogramowania firmy Hacking Team, lokalizując jej serwery i ujawniając jej klientów. Choć Hacking Team przykłada dużą wagę do zapewnienia anonimowości rządom, korzystającym z jej usług, to Citizen Lab regularnie publikuje kolejne informacje o krajach, w których znaleziono serwery zbierające ruch monitorowanych obywateli. Na najnowszej liście znalazła się po raz pierwszy Polska.

Fragment mapy serwerów (źródło: Citizen Lab)

Fragment mapy serwerów (źródło: Citizen Lab)

Polska występuje na liście 21 krajów, w których zlokalizowano serwery odbierające ruch z inwigilowanych komputerów. Występujemy w zaszczytnym gronie krajów takich jak Kolumbia, Panama, Oman, Arabia Saudyjska, Zjednoczone Emiraty Arabskie, Egipt, Etiopia, Maroko, Sudan, Nigeria, Kazachstan, Azerbejdżan, Malezja, Tajlandia, Uzbekistan, Włochy, Węgry, Meksyk i Korea Południowa.

Jak działa i co potrafi rządowy koń trojański

Oprogramowanie autorstwa Hacking Team jest sprzedawane pod nazwą Remote Control System. RCS jest instalowany na urządzeniach końcowych przy użyciu co najmniej 7 różnych exploitów, które dostarczane są najczęściej w postaci dokumentów Worda. Spośród zidentyfikowanych exploitów prawie wszystkie były wcześniej znane (niektóre nawet od 3 lat), lecz wiele systemów jest najwyraźniej nadal na nie podatne. Jedynym zaobserwowanym wykorzystanym błędem 0day był CVE-2013-5331. Oprogramowanie, zainstalowane po udanym wykonaniu kod exploita, posiada klasyczne funkcje konia trojańskiego. Umożliwia pełen monitoring wszystkich operacji, wykonanych przez użytkownika – od prostego rejestrowania naciśniętych klawiszy, przez kopiowanie plików po podsłuchiwanie rozmów Skype’a.

Aby utrudnić przypisanie ataków konkretnym rządom, RCS korzysta z systemu serwerów proxy, transferujących polecenia oraz odpowiedzi między zarządzającym system a ofiarą. Mimo takich zabezpieczeń naukowcy z Citizen Lab opracowali system identyfikacji serwerów docelowych w oparciu o cały zestaw wskaźników. Korzystając z danych zebranych w ramach projektów takich jak Internet Census, Critical.IO, Project Sonar, Shodan czy ZMap zidentyfikowali potencjalne aktywne serwery. W kolejnym etapie analizy oparli się na charakterystycznych sygnaturach odpowiedzi HTTP, literówce w komunikacie o błędzie jednej z implementacji serwera oraz znanych certyfikatach SSL używanych przez infrastrukturę RCS.

Polski ślad

Wśród zidentyfikowanych serwerów ponad 100 adresów IP należało do Neostrady. Były to adresy z klas 95.49.161.x – 95.49.183.x oraz 95.49.204.x – 95.49.205.x. Ilość zaobserwowanych adresów ewidentnie wskazuje na używanie dynamicznej adresacji IP. Według badaczy serwer nadal jest aktywny.

Jest oczywiście możliwe, że serwer został błędnie zidentyfikowany (chociaż użyta metodologia metodyka badania daje dość dużą gwarancję poprawności wyników). Co ciekawe, polskie organa ścigania (szczególnie te bardziej zaawansowane technicznie) dość często korzystają z usług narodowego operatora, zatem teoria o stosowaniu przez polskie służby oprogramowania autorstwa Hacking Team nie jest całkiem pozbawiona sensu. Raczej nie spodziewamy się oficjalnego potwierdzenia lub zaprzeczenia odkryciom Citizen Lab. Na wszelki wypadek uważajcie otwierając dokumenty Worda podejrzanego pochodzenia.