18.02.2014 | 21:56

Adam Haertle

Polska podejrzana o używanie oprogramowania szpiegującego

Rządy wielu krajów coraz chętniej korzystają z komercyjnych koni trojańskich do szpiegowania swoich obywateli. Organizacja monitorująca jeden z takich programów znalazła jego serwery pod polskimi adresami IP należącymi do Orange.

Historia firmy Hacking Team zaczęła się od stworzenia w roku 2001 przez dwóch włoskich informatyków pakietu Ettercap, służącego do przeprowadzania ataków MiTM. Wkrótce zgłosiły się do nich włoskie służby specjalne, które szukały metody podsłuchiwania komputerów podejrzanych. Dzisiaj Hacking Team oferuje rządom całego świata komercyjne konie trojańskie, wykorzystywane do podsłuchiwania obywateli.

Oni monitorują nas, my monitorujemy ich

Citizen Lab to kanadyjska organizacja badawcza, która zajmuje się tematami z pogranicza technologii i praw człowieka. Od kilku lat prowadzi m. in. analizy stosowania oprogramowania firmy Hacking Team, lokalizując jej serwery i ujawniając jej klientów. Choć Hacking Team przykłada dużą wagę do zapewnienia anonimowości rządom, korzystającym z jej usług, to Citizen Lab regularnie publikuje kolejne informacje o krajach, w których znaleziono serwery zbierające ruch monitorowanych obywateli. Na najnowszej liście znalazła się po raz pierwszy Polska.

Fragment mapy serwerów (źródło: Citizen Lab)

Fragment mapy serwerów (źródło: Citizen Lab)

Polska występuje na liście 21 krajów, w których zlokalizowano serwery odbierające ruch z inwigilowanych komputerów. Występujemy w zaszczytnym gronie krajów takich jak Kolumbia, Panama, Oman, Arabia Saudyjska, Zjednoczone Emiraty Arabskie, Egipt, Etiopia, Maroko, Sudan, Nigeria, Kazachstan, Azerbejdżan, Malezja, Tajlandia, Uzbekistan, Włochy, Węgry, Meksyk i Korea Południowa.

Jak działa i co potrafi rządowy koń trojański

Oprogramowanie autorstwa Hacking Team jest sprzedawane pod nazwą Remote Control System. RCS jest instalowany na urządzeniach końcowych przy użyciu co najmniej 7 różnych exploitów, które dostarczane są najczęściej w postaci dokumentów Worda. Spośród zidentyfikowanych exploitów prawie wszystkie były wcześniej znane (niektóre nawet od 3 lat), lecz wiele systemów jest najwyraźniej nadal na nie podatne. Jedynym zaobserwowanym wykorzystanym błędem 0day był CVE-2013-5331. Oprogramowanie, zainstalowane po udanym wykonaniu kod exploita, posiada klasyczne funkcje konia trojańskiego. Umożliwia pełen monitoring wszystkich operacji, wykonanych przez użytkownika – od prostego rejestrowania naciśniętych klawiszy, przez kopiowanie plików po podsłuchiwanie rozmów Skype’a.

Aby utrudnić przypisanie ataków konkretnym rządom, RCS korzysta z systemu serwerów proxy, transferujących polecenia oraz odpowiedzi między zarządzającym system a ofiarą. Mimo takich zabezpieczeń naukowcy z Citizen Lab opracowali system identyfikacji serwerów docelowych w oparciu o cały zestaw wskaźników. Korzystając z danych zebranych w ramach projektów takich jak Internet Census, Critical.IO, Project Sonar, Shodan czy ZMap zidentyfikowali potencjalne aktywne serwery. W kolejnym etapie analizy oparli się na charakterystycznych sygnaturach odpowiedzi HTTP, literówce w komunikacie o błędzie jednej z implementacji serwera oraz znanych certyfikatach SSL używanych przez infrastrukturę RCS.

Polski ślad

Wśród zidentyfikowanych serwerów ponad 100 adresów IP należało do Neostrady. Były to adresy z klas 95.49.161.x – 95.49.183.x oraz 95.49.204.x – 95.49.205.x. Ilość zaobserwowanych adresów ewidentnie wskazuje na używanie dynamicznej adresacji IP. Według badaczy serwer nadal jest aktywny.

Jest oczywiście możliwe, że serwer został błędnie zidentyfikowany (chociaż użyta metodologia metodyka badania daje dość dużą gwarancję poprawności wyników). Co ciekawe, polskie organa ścigania (szczególnie te bardziej zaawansowane technicznie) dość często korzystają z usług narodowego operatora, zatem teoria o stosowaniu przez polskie służby oprogramowania autorstwa Hacking Team nie jest całkiem pozbawiona sensu. Raczej nie spodziewamy się oficjalnego potwierdzenia lub zaprzeczenia odkryciom Citizen Lab. Na wszelki wypadek uważajcie otwierając dokumenty Worda podejrzanego pochodzenia.

Powrót

Komentarze

  • 2014.02.18 22:29 PL

    „Na wszelki wypadek uważajcie otwierając dokumenty Worda podejrzanego pochodzenia.”

    To chyba ma zastosowanie zawsze? A przynajmniej powinno mieć…

    Odpowiedz
    • 2014.02.19 10:34 lucyna

      kogo szpieguja /? ,obywateli, dawno przestalismy byc ,jestesmy zakładnikami zus offe róznych banków i instytucji ,słowo obywatel brzmi inaczej i gdzie wolność poczynan obywatela , także niczemu już się nie dziwie

      Odpowiedz
      • 2014.02.19 14:35 wcevrt

        kilka lat temu zatrzymala mnie policja, dane sprawdzali przez radio fajny komunikat w odpowiedzi otrzymali:”obywatel niepotrzebny”

        Odpowiedz
  • 2014.02.18 23:10 Poncki

    Ambasady i konsulaty także używają Neostrady…

    Odpowiedz
    • 2014.02.18 23:47 Adam

      TPB próbował kiedyś hostować się w ambasadzie Korei Północnej… To jest jakiś pomysł :)

      Odpowiedz
  • 2014.02.18 23:36 Maksymilian

    Każdy kraj chce chronić (lub jak kto woli kontrolować) swoich obywateli przed ewentualnym złem. Backdoory są w modzie od 2000 roku gdzie były ukrywane w różnym oprogramowaniu. Opór OpenBSD czyli przeniesienie serwerów poza USA i selekcja deweloperów, nie uchroniła projekt przed agentem ze specjalną misją. Ale gdzie są backdoory? Dobre pytanie, biorąc poziom konkursów z ukrywania backdoorów :)

    Odpowiedz
    • 2014.02.19 09:32 Mroczny Kobziarz

      OpenBSD przeniesiono do Kanady ze względu na restrykcje eksportowe kryptografii, które obowiązują w USA…

      Odpowiedz
  • 2014.02.19 00:26 Andy

    „Co ciekawe, polskie organa ścigania (szczególnie te bardziej zaawansowane technicznie) dość często korzystają z usług narodowego operatora”

    Przepraszam – z jakiego??

    Odpowiedz
    • 2014.02.19 04:50 Adam

      Formalnie nazywa się „operator o znaczącej pozycji rynkowej” lub „dominujący” a także „operator zasiedziały”. W wielu krajach jest także zwany „narodowym”, ale w tym wypadku masz rację, po prywatyzacji lepiej stosować inną nazwę. Poprawione :)

      Odpowiedz
  • 2014.02.19 00:27 abonent O

    polska idzie w niezłe szambo, skoro zaczęła się wzorować na takich systemach jak: Kolumbia (rządzona przez kartele kokainowe i lewicujących oficerów specslużb szkolonych przez KGB i GRU w latach 70/80), Panama (to samo co wcześniej), Oman, Arabia Saudyjska, Zjednoczone Emiraty Arabskie (3 kraje które w ostatnich 4 latach odwróciły się od Zachodu na rzecz zacieśniena stosunków z Kremlem), Egipt (dawny stronnik USA, obecnie zwracajacy się ku Kremlowi), Etiopia, Maroko, Sudan, Nigeria (3 kraje gdzie fundamentaliści muzułmańscy przejęli władzę i dokonują zbrodni ludobójstwa na chrześcijanach) Kazachstan, Azerbejdżan (oba kraje zamieniły się w ostatnich 5 latach w Białoruś – z autorytarnym włodarzem), Malezja, Tajlandia (islamski terroryzm rośnie tam w siłę jak w płn Afryce), Uzbekistan (ta sama historia co Kazachstan i Azerbejdżan), Włochy (kraj wszelakiej patologii w polityce – patrz mafia i odpady promieniotwórcze pod Neapolem – oraz związana z tym wielka polityka i sektor bezpieczeństwa), Węgry (z facetem który zamienia sie w Łukaszenkę i dorabia sobie gębę hojraka walczącego z banksterami), Meksyk (kraj rządzony przez kartele narkotykowe) i Korea Południowa (kraj który cenzuruje sieć wzorując się na ChRLD)….

    i w tym bagnie pojawiła się III Rzeczpospolita Polska oraz narodowy (francuski) operator Orange, którego klientem jestem do maja br. a później DZIĘ-KU-JĘ!!!

    Odpowiedz
    • 2014.02.19 12:33 ani trochę zdziwiony

      ….Węgry (z facetem który zamienia sie w Łukaszenkę i dorabia sobie gębę hojraka walczącego z banksterami), ..ALE PRZYNAJMNIEJ ROZUMIE PROBLEM I POKAZUJE CAŁEMU ŚWIATU NIE CHOWAJĄC GŁOWY W PIASEK I WALCZY Z ŻYDOSTWEM!!!(nie mylić z Żydami)

      Odpowiedz
    • 2014.02.20 10:13 Ap 13, 16-18

      Trochę w tym co napisałeś miałeś racji jednak większość nadaje się jedynie do sprostowania: Kolumbia – proamerykańska bananowa republika, której rząd utrzymuje się wyłącznie dzięki amerykańskiej polityce antynarkotykowej i bliskiemu sąsiedztwu antyamerykańskiej Wenezueli; Panamy nie komentuje na siłę – nie znam się; Arabia Saudyjska, ZEA, być może Oman też – proamerykańskie emiraty utrymujące się z petrodolarów i finansujące międzynarodowy terroryzm, z przyzwolenie USA; Egipt – kraj rządzony przez huntę wojskową po tym jak śmiał odwrócić się od „jedynej demokracji Bliskiego Wschodu” – Izraela, nie wnikam ile prawdy było w tym odwróceniu – pro USA; Sudan, Nigeria – prawdopodobnie masz rację; Maroko, Etiopia – nie komentuję, w drugim przypadku byłbym ostrożniejszy z tym fundamentalizmem; Kazachstan, Azerbejdżan – wasale Moskwy, też petrodolary; Malezja – biznesowe centrum Południowo-Wschodniej Azji, zapewne spore wpływy amerykańskie; Tajlandia – tradycyjny sojusznik USA w regionie; Uzbekistan – racja; Włochy – racja, kraj rządzony przez mafię i wielkich banksterów; Węgry – rządzony przez populistę udającego wielką niezależność od finansjery, jednocześnie pchającego się do federalizacji UE; Meksyk – kartele, NAFTA i tania siła robocza dla USA, kraj – łagier; Korea Płd. – wasal USA, kraj w którym stacjonuje chyba najwięcej wojaków „Imperium Dobra”, autorytarny; pominąłeś jeszcze Turcję, chciaż niewiele na ten temat można powiedzieć – cenzura, kraj zamachów stanu, autorytarny. W takim oto gronie pojawia się Polska – kraj o systemie dwupartyjnym z kilkoma przystawkami, mamy więc wzrost o jedną partię w stosunku do PRL.

      Odpowiedz
  • 2014.02.19 01:09 a1ex

    Jak się bronić? wystarczy zainstalować jakąś dystrybucję Linuxa i OpenOffice?

    Odpowiedz
  • 2014.02.19 08:33 Jarek

    „chociaż użyta metodologia badania daje dość dużą gwarancję”

    METODYKA. Nauczcie się w końcu.

    Odpowiedz
    • 2014.02.19 10:19 Adam

      Może kiedyś ;) Dzięki!

      Odpowiedz
    • 2014.02.19 10:38 Hans

      Metodologia jest jak najbardziej właściwym słowem w tym kontekście. Nie pisz bzdur.

      Odpowiedz
  • 2014.02.19 10:34 Hans

    Wystarczy używać słów typu „bombowy”, „Kim Dzong Un”, „zamach”, „rewolucja” i już was namierzają. Mnie to wisi. I tak wiem, że jestem szpiegowany. Pozdrawiam podglądaczo-podsłuchiwaczy. Bardzo lubię „Porwanie Baltazara Gąbki”. :*

    Odpowiedz
  • 2014.02.19 10:53 Maciej

    Dokładne adresy z Polski są tutaj: https://citizenlab.org/2014/02/appendix-list-servers/

    Odpowiedz
  • 2014.02.19 12:10 andrzej

    PO = komuny ciag dalsz ,zatem TO Was dziwi ze Oni Nas szpieguja ?

    Odpowiedz
    • 2014.02.19 12:31 agilob

      czemu myślisz, ze to wina PO, a nie spadek po PiS albo SLD/PSL?

      Odpowiedz
  • 2014.02.19 12:36 Michał

    Kanadyjska organizacja z serwerami w USA… Jak ja to lubię.

    Odpowiedz
  • 2014.02.20 17:40 Wojtek

    Widzę, że Hacking Team jest teraz na fali – dodatkowo jeszcze aktywnie szukają kontraktorów do pracy nad DaVinci dla Androida:

    https://www.bullhornreach.com/job/1474787_hackers-required-007-of-the-mobile-security-space-italy

    Co do innych ciekawostek o tej firmie i relacjach z „partnerami biznesowymi” polecam przejrzeć linki:

    http://surveillance.rsf.org/en/hacking-team/
    http://www.theverge.com/2013/9/13/4723610/meet-hacking-team-the-company-that-helps-police-hack-into-computers
    http://www.securelist.com/en/analysis/204792290/Spyware_HackingTeam

    Generalnie rzecz biorąc pozostawianie dev’owych informacji w buildach typu release, brak używania protektorów, etc. to tylko kilka z ciekawszych wpadek :)

    Odpowiedz
  • 2014.03.20 13:29 user

    A jak wykryć tą gangrenę? czy OTL, FRST, Gmer dadzą rade wykryć? Ktoś walczył z tym koniem?

    Odpowiedz
  • 2022.01.05 22:17 ziewww Odpowiedz

Zostaw odpowiedź do Mroczny Kobziarz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polska podejrzana o używanie oprogramowania szpiegującego

Komentarze