Wrogowie internetu

Polska może być jednym z krajów, który szpieguje swoich obywateli – wynika z raportu opublikowanego przez Citizen Lab. W polskiej sieci wykryto hosty, w których, z dużą dozą prawdopodobieństwa, wykorzystywane jest oprogramowanie szpiegujące Remote Control System (RCS) autorstwa firmy Hacking Team.

Spis treści

Remote Control System Szpiegowanie z ukrycia Niebezpieczne dokumenty Word Metody analizy RCS Podejrzane hosty w sieci Orange Hacking Team: dzisiaj Rządowa kooperacja

W amerykańskim serialu „Homeland”, którego fabuła koncentruje się wokół działań CIA przeciwko terroryzmowi, nowoczesna technika pozwalająca szpiegować ludzi nie tylko stanowi tło akcji, ale także zauważalnie wpływa na bieg wydarzeń. Istotnym elementem rozgrywki między rządem USA, agencją wywiadowczą i terrorystami są tutaj wszechobecne podsłuchy, nowoczesne systemy pozwalające wykradać dane z superbezpiecznych terminali BlackBerry, spyware zainstalowany na komputerze szefa CIA oraz drony pozwalające w czasie rzeczywistym nadzorować przebieg akcji prowadzonych tysiące kilometrów dalej. Nawet jeśli obraz ten jest przerysowany, pewne jest, że nowoczesne techniki szpiegowania stanowią istotny element szerszego systemu, którego celem jest zapewnienie bezpieczeństwa narodowego.

Citizen Lab – kanadyjskie laboratorium zajmujące się prowadzeniem badań z pogranicza nowych technologii, ochrony praw człowieka i bezpieczeństwa globalnego – w połowie lutego opublikował na swojej stronie internetowej (citizenlab.org) raport zawierający najnowsze wnioski z badań nad stosowaniem oprogramowania firmy Hacking Team przez rządy państw na całym świecie. Zaskakujące jest, że w gronie krajów szpiegujących swoich obywateli znalazła się również Polska. Oprócz Polski serwery pośredniczące, które mogły być częścią większego łańcucha systemu Remote Control System, zauważono w 20 innych państwach.

Remote Control System

Remote Control System jest wyrafinowanym oprogramowaniem szpiegującym, sprzedawanym przez firmę Hacking Team rządom na całym świecie. Szerzej o działalności tej firmy stało się głośno w 2012 roku, kiedy to system RCS został wykorzystany przeciwko marokańskiej grupie dziennikarzy obywatelskich Mamfakinch oraz Ahmedowi Mansoorowi, pochodzącemu ze Zjednoczonych Emiratów Arabskich, aktywiście walczącym o prawa człowieka.

Kilka dni przed opublikowaniem pełnego raportu na temat RCS laboratorium Citizen Lab szczegółowo opisało sprawę śledzenia etiopskich dziennikarzy pracujących w Waszyngtonie, którzy padli ofiarą oprogramowania dostarczonego przez Hacking Team.

Czy system może być jednym z takich narzędzi, wykorzystywanym również przez polski rząd do śledzenia swoich obywateli?

Komu potrzebne RCS?

Pakiet sieciowy (np. żądanie otwarcia strony internetowej lub fragment wiadomości e-mail), zanim dotrze do serwera docelowego, przechodzi przez wiele punktów sieci – routerów należących do różnych dostawców sieci działających w różnych krajach. W każdym takim punkcie operator może przechwycić i poddać dokładnej analizie przesyłane dane.

Popularyzacja technik szyfrowania i steganografii (ukrywanie samej obecności przekazywanego komunikatu) oraz rozpraszanie ruchu sieciowego sprawiają, że ten sposób szpiegowania użytkowników internetu wymaga wiele wysiłku. To właśnie dlatego rządy potrzebują takich narzędzi, jak Remote Control System, które pozwolą pozyskać informacje, zanim te zostaną ukryte.

Szpiegowanie z ukrycia

„Patrz oczami swojego celu” – tak brzmi jedno z haseł, które można obejrzeć w prezentacji firmy Hacking Team, dotyczącej najnowszej wersji Remote Control System, Galileo. Idea szpiegowania z wykorzystaniem systemu RCS zakłada przechwycenie informacji przed ich zakamuflowaniem. Remote Control System działa jak typowy koń trojański, który po zainfekowaniu systemu zbiera wiele informacji na temat aktywności użytkownika. Może to być rejestrowanie znaków wpisywanych na klawiaturze, przechwytywanie rozmów, nagrywanie dźwięku za pomocą wbudowanego mikrofonu, wykonywanie zdjęć kamerą czy śledzenie odwiedzanych stron internetowych.

Galileo działa zarówno w stacjonarnych systemach operacyjnych (Windows, OS X, Linux), jak i w mobilnych (Android, iOS i BlackBerry OS). Trojan umożliwia m.in. śledzenie aktywności użytkownika i jego lokalizacji, rejestrowanie wiadomości i rozmów głosowych, a także monitorowanie mediów społecznościowych i powiązań z innymi osobami.

Na komputerze ofiary instalowany jest agent usługi, czyli szpieg, który kolekcjonuje dane z urządzenia, szyfruje je i wysyła do odległego serwera. Hacking Team chwali się, że oprogramowanie szpiegujące działa z ukrycia, jest niewykrywalne i odporne na różnego rodzaju systemy zabezpieczeń. W tym celu uruchamiana jest cała infrastruktura serwerów pośredniczących (proxy), przez które przekazywane są zebrane dane, zanim trafią do docelowego odbiorcy.

Firma Hacking Team jest zarejestrowana we Włoszech i otwarcie mówi o tym, co produkuje i komu to sprzedaje. Spółka została założona w 2003 roku przez obecnego szefa firmy Davida Vincenzettiego oraz Valeriano Bedeschiego, który pełni funkcję dyrektora zarządzającego. W kontekście Hacking Team przewijają się jednak dwa inne nazwiska: Alberto Ornaghi, zajmujący stanowisko architekta oprogramowania (Software Architect), oraz Marco Valleri – dyrektor ds. technologii (CTO).

Obaj panowie stali się szerzej znani już w 2001 roku, udostępniając pierwszą wersję otwartego oprogramowania Ettercap, służącego do podsłuchiwania ruchu sieciowego. Ettercap, umożliwiający prowadzenie ataków MITM (ang. man in the middle) na innych użytkowników w sieci, był jednym z wielu tych dobrych projektów dla systemów Linux/UNIX, które wyszły w tamtych czasach spod rąk wybitnie uzdolnionych hakerów.

Talent i umiejętności twórców Ettercap wkrótce miały być wykorzystane przez mediolańską policję, która potrzebowała oprogramowania od podsłuchiwania rozmów prowadzonych w Skype’ie na komputerach osób, wobec których prowadzono śledztwa. Być może właśnie to zlecenie stało się bodźcem do założenia firmy, której głównymi klientami byłyby instytucje publiczne z całego świata.