FINSPY - Teabetalituse server Vene luure jälgimise all
Postitatud: 13 Aug, 2014 15:01
Teabetalituses on kõik munad ühes korvis
Hiljuti murdis tundmatu häkker sisse Gamma International Ltd. serveritesse. Kõike ta sealt kätte ei saanud, aga mida sai, pani avalikult netti üles. Tõmbasin häkitud materjalid ka endale ja leidsin, et firma klientide hulgas on ka eestlased.
Gamma Internationali tuntuim toode on FinSpy (tuntud ka kui FinFisher) — troojalane, mida nad müüvad nii demokraatlike kui repressiivsete riikide julgeolekuteenistustele. Nii siin- kui sealpool poliitilist spektrumit on kombeks FinSpy’d kasutada kohalike aktivistide jälgimiseks, mistõttu firma saanudki omale sutsu kahtlase kuulsuse. Sest, noh, kui sa ekspordid tsiviilkonna represseerimise vahendeid, siis tihtipeale inimesed ei armasta sind eriti.
Ainuke viide Eestile kogu lekkes on üks kiri kliendilt, kus palutakse lisada FinSpy’le uus featuur, et oleks lihtsam Eesti kohtunike nõudmistele vastu tulla. Nimelt 19ndal jaanuaril 2012 on üks tundmatu FinSpy kasutaja kirjutanud:
Vt: http://elver.ee/2014/08/13/eesti-luure- ... roojalast/
Nagu näha, on Eesti luurepoisid väga usinad FinSpy kasutajad. Probleeme leitakse pidevalt. Aga millal täpselt võeti Eestis FinSpy kasutusele? Selleks tuleb vaadata teise lekkinud andmebaasi, jällegi, klienditunnuse 47 järgi näeme ära mis toode, millal ja millise tunnusega arvuti peale on paigaldatud.
Huvitav on ka asjaolu, et kui 2011 ostetud FinSpy litsentsidel on igaühel märgitud agentide maksimaalseks arvuks 8 ja sihtmärkide maksimaalseks arvuks 25, siis juba 2012 ostetud litsentsil on vastavad arvud 8 ja 45. Aasta 2012 juunis ostetud FinSpy lisalitsentsil oli ka juba tugi kuni kümne mobiiltelefoni nakatamiseks ja reaalajas jälgimiseks. Mis toimus tolle aasta juunis, et järsku oli tarvis nutitelefone häkkida?
Vast kogu lekke kõige olulisem tähelepanek Eesti kontekstis on asjaolu, et mingil põhjusel on Eesti ostnud alguses kolm ja hiljem neli eraldi FinSpy litsentsi, kuid kõik litsentsid on paarikümnesekundise vahega aktiveeritud täpselt sama riistvaratunnusega arvuti peal. Kratsisin tükk aega kukalt, aga lõpuks tundub kõige loogilisem seletus, et Eestis on mitu sääraste vajadustega asutust, kes igaüks vajavad oma raamatupidamisse eraldi arvet, aga kuna meil vajalike teadmiste ja oskustega eksperte on väga vähe, siis sisuliselt kõik agentuurid on luure tehnilise teostamise outsource’inud ühele üksusele ühes majas. Kuna igasuguse kõrgema krüpto ja muu taolisega on meie vabariigis aegade algusest saati tegelnud Teabeamet, siis tõenäoliselt asub meie FinSpy keskserver just seal majas, Rahumäe tänaval. Sutsu viitab sellele ka asjaolu, et esimene FinSpy litsents osteti paar kuud peale viimast juhivahetust tolles asutuses.
Aga kes võiks olla need neli asutust, kes kõik vajavad FinSpy’d? Loogiline oleks, et Teabeamet, Kaitsepolitseiamet ja vahel harva ka PPA, kui uurib organiseeritud kuritegevust. Neljas on tõenäoliselt J2 ehk Eesti Kaitseväe peastaabi luureosakond. Ka neil on seaduse järgi õigus teostada jälitustoiminguid.
Kuigi ma mõnes mõttes saan aru vajadusest kokku hoida ja seetõttu koondada kõik FinSpy operatsioonid ühte serverisse, ja samuti vajadusest kasutada luuramiseks karbitoodet, sest ise samaväärse asja arendamine on kallis, siis teisest küljest jällegi tekitab see probleeme. Kui paned kõik munad ühte korvi, ja komistad, on nad ka kõik katki. Vene luurel piisab tolle ühe serveri kompromiteerimisest ja on neil üsna põhjalik ülevaade kohe olemas nii meie luure kui ka kriminaaluurimise prioriteetidest. Karbitoote kasutamine tähendab ka, et väga paljud teised riigid kasutavad sama karbitoodet ja nemad ei pruugi olla niivõrd hoolikad. Varem või hiljem jõuab troojalase signatuur mõnda viirustõrjefirmasse ja nemad õpetavad oma tarkvara sinu luuresofti tõrjuma. Täpselt nii ka juhtus — antiviirus nimega ESET NOD32, millest ka tasuta versioon olemas, leiab FinSpy ilusti üles ja koristab ära. Ehk siis teisisõnu Eesti luurajate ja politsei tõrjumiseks oma arvutist piisab kui sa viirusetõrje installeerid.
Karbitoote puhul on ka teine risk. Täpselt nii nagu FinSpy tootjafirma veebitarkvara oli vigane ja üsna kergesti häkitav, võimaldades käesoleva lekke, võivad samad probleemid olla ka FinSpy tarkvara endaga. Jälgitavasse arvutisse installitud troojalane ühendub keskserverisse, suhtleb sellega. Säärane suhtlemine käib kindla protokolli läbi ja on äärmiselt tõenäoline, et serveritarkvaras on turvaauke, mis võimaldavad serveri enda kontrolli alla haarata. Kui ma töötaks Vene luures, siis ma ostaks samuti FinSpy litsentsi, analüüsiks troojalase-serveri suhtlusprotokolli, otsiks sealt turvaauke, tõenäoliselt leiaks nii mõnegi ja ehitaks tarkvara, mis jookseb taustal ning avastades, et keegi on arvutisse paigaldanud FinSpy troojalase, süstiks troojalase-serveri suhtlusse vahele õigel viisil rikutud andmed, saavutades seeläbi juurdepääsu keskserverile. Kui jagada säärane anti-FinSpy tarkvara kohalikele saatkonnatöötajatele ja topeltagentidele, siis tõenäoliselt ühel hetkel Eesti luure mõne tegelase arvutisse ka FinSpy troojalase paigaldab, kukkudes nõnda lõksu ja andes venelastele ülevaate praktiliselt kogu säärasest luuretegevusest Eestis, üle kõigi asutuste. Sest kõik munad on pandud ühte korvi.
Vaadates milliseid kaebekirju Eesti luurajad hakkasid järsku 2014 märtsis FinSpy loojatele saatma (buffer overflow, mälusöömine, troojalane ei allu serveri käsule, serverist kaovad kogutud luureandmed, kogutud andmete krüptosignatuur ei klapi, ekraanisalvestus näitab üht aga nupuvajutuste salvestus hoopis teist, live-sessioonid ei funka enam jne), siis mul tekib kõhe tunne. Sümptomitele peale vaadates kahtlustan ma täpselt säärast rünnakut nagu ma ülal kirjeldasin. Ja kui Vene luure on saavutanud juurdepääsu meie FinSpy keskserverile, siis see tähendab, et ka sama serveri kaudu kogutud muud andmed (näiteks kriminaaluurimise tarbeks) on kaheldava tõeväärtusega. Sisuliselt võivad venkud suvalise jälgitava süüdi lavastada või puhtaks pesta, keskserveris andmeid manipuleerides.
Kogu lekke kõige huvitavamad osad, sealhulgas ka Eesti luurajate poolt saadetud logid ja attachmentid, mis tõenäoliselt sisaldavad ka sihtmärkide arvutitest kogutud andmeid, võibolla ka meie luurajate endi taristut ja identiteeti paljastavaid andmeid, on küll lekkes olemas, aga krüpteeritud. Vähemalt esialgsete andmete järgi ei õnnestunud lekke autoriks oleval tundmatul häkkeril toda krüptovõtit kätte saada. Aga võibolla õnnestus. Mine tea. Loodame, et siiski mitte. Sest see oleks veel eriti traagiline.
Sest siis ei jää muud üle kui sõnada: God help us all.
Toimetamata allikas: http://elver.ee
Hiljuti murdis tundmatu häkker sisse Gamma International Ltd. serveritesse. Kõike ta sealt kätte ei saanud, aga mida sai, pani avalikult netti üles. Tõmbasin häkitud materjalid ka endale ja leidsin, et firma klientide hulgas on ka eestlased.
Gamma Internationali tuntuim toode on FinSpy (tuntud ka kui FinFisher) — troojalane, mida nad müüvad nii demokraatlike kui repressiivsete riikide julgeolekuteenistustele. Nii siin- kui sealpool poliitilist spektrumit on kombeks FinSpy’d kasutada kohalike aktivistide jälgimiseks, mistõttu firma saanudki omale sutsu kahtlase kuulsuse. Sest, noh, kui sa ekspordid tsiviilkonna represseerimise vahendeid, siis tihtipeale inimesed ei armasta sind eriti.
Ainuke viide Eestile kogu lekkes on üks kiri kliendilt, kus palutakse lisada FinSpy’le uus featuur, et oleks lihtsam Eesti kohtunike nõudmistele vastu tulla. Nimelt 19ndal jaanuaril 2012 on üks tundmatu FinSpy kasutaja kirjutanud:
Me ei tea kirjasaatja nime, ametikohta ega asutust. Seda infot lekkinud andmebaasis ei ole. Aga me näeme kirja kõrvalt, et saatja klienditunnuseks number 47. Hellitavalt võiks isegi öelda, et Agent 47. (Kes popkultuuri viitest aru sai, võib nautida hetkelist rahulolutunnet.) Selle numbri alusel saame teha andmebaasis otsingu ja näeme kõiki sama kliendi poolt saadetud murekirju:on evidence export module there could be possibility to set time period what we want to export.
on estonian law, if we have court order for example 30 days long and we are extending that order for example another 30 days – then we must give evidence on every court order separately, 30 days of evidences on first order and 30 days of evidence on second order.
right now on extended court order there are little problem, because we can give court all evidence data. on our example it is total 60 days. but court wants evidence data only extended order period – 30 days.
Vt: http://elver.ee/2014/08/13/eesti-luure- ... roojalast/
Nagu näha, on Eesti luurepoisid väga usinad FinSpy kasutajad. Probleeme leitakse pidevalt. Aga millal täpselt võeti Eestis FinSpy kasutusele? Selleks tuleb vaadata teise lekkinud andmebaasi, jällegi, klienditunnuse 47 järgi näeme ära mis toode, millal ja millise tunnusega arvuti peale on paigaldatud.
Huvitav on ka asjaolu, et kui 2011 ostetud FinSpy litsentsidel on igaühel märgitud agentide maksimaalseks arvuks 8 ja sihtmärkide maksimaalseks arvuks 25, siis juba 2012 ostetud litsentsil on vastavad arvud 8 ja 45. Aasta 2012 juunis ostetud FinSpy lisalitsentsil oli ka juba tugi kuni kümne mobiiltelefoni nakatamiseks ja reaalajas jälgimiseks. Mis toimus tolle aasta juunis, et järsku oli tarvis nutitelefone häkkida?
Vast kogu lekke kõige olulisem tähelepanek Eesti kontekstis on asjaolu, et mingil põhjusel on Eesti ostnud alguses kolm ja hiljem neli eraldi FinSpy litsentsi, kuid kõik litsentsid on paarikümnesekundise vahega aktiveeritud täpselt sama riistvaratunnusega arvuti peal. Kratsisin tükk aega kukalt, aga lõpuks tundub kõige loogilisem seletus, et Eestis on mitu sääraste vajadustega asutust, kes igaüks vajavad oma raamatupidamisse eraldi arvet, aga kuna meil vajalike teadmiste ja oskustega eksperte on väga vähe, siis sisuliselt kõik agentuurid on luure tehnilise teostamise outsource’inud ühele üksusele ühes majas. Kuna igasuguse kõrgema krüpto ja muu taolisega on meie vabariigis aegade algusest saati tegelnud Teabeamet, siis tõenäoliselt asub meie FinSpy keskserver just seal majas, Rahumäe tänaval. Sutsu viitab sellele ka asjaolu, et esimene FinSpy litsents osteti paar kuud peale viimast juhivahetust tolles asutuses.
Aga kes võiks olla need neli asutust, kes kõik vajavad FinSpy’d? Loogiline oleks, et Teabeamet, Kaitsepolitseiamet ja vahel harva ka PPA, kui uurib organiseeritud kuritegevust. Neljas on tõenäoliselt J2 ehk Eesti Kaitseväe peastaabi luureosakond. Ka neil on seaduse järgi õigus teostada jälitustoiminguid.
Kuigi ma mõnes mõttes saan aru vajadusest kokku hoida ja seetõttu koondada kõik FinSpy operatsioonid ühte serverisse, ja samuti vajadusest kasutada luuramiseks karbitoodet, sest ise samaväärse asja arendamine on kallis, siis teisest küljest jällegi tekitab see probleeme. Kui paned kõik munad ühte korvi, ja komistad, on nad ka kõik katki. Vene luurel piisab tolle ühe serveri kompromiteerimisest ja on neil üsna põhjalik ülevaade kohe olemas nii meie luure kui ka kriminaaluurimise prioriteetidest. Karbitoote kasutamine tähendab ka, et väga paljud teised riigid kasutavad sama karbitoodet ja nemad ei pruugi olla niivõrd hoolikad. Varem või hiljem jõuab troojalase signatuur mõnda viirustõrjefirmasse ja nemad õpetavad oma tarkvara sinu luuresofti tõrjuma. Täpselt nii ka juhtus — antiviirus nimega ESET NOD32, millest ka tasuta versioon olemas, leiab FinSpy ilusti üles ja koristab ära. Ehk siis teisisõnu Eesti luurajate ja politsei tõrjumiseks oma arvutist piisab kui sa viirusetõrje installeerid.
Karbitoote puhul on ka teine risk. Täpselt nii nagu FinSpy tootjafirma veebitarkvara oli vigane ja üsna kergesti häkitav, võimaldades käesoleva lekke, võivad samad probleemid olla ka FinSpy tarkvara endaga. Jälgitavasse arvutisse installitud troojalane ühendub keskserverisse, suhtleb sellega. Säärane suhtlemine käib kindla protokolli läbi ja on äärmiselt tõenäoline, et serveritarkvaras on turvaauke, mis võimaldavad serveri enda kontrolli alla haarata. Kui ma töötaks Vene luures, siis ma ostaks samuti FinSpy litsentsi, analüüsiks troojalase-serveri suhtlusprotokolli, otsiks sealt turvaauke, tõenäoliselt leiaks nii mõnegi ja ehitaks tarkvara, mis jookseb taustal ning avastades, et keegi on arvutisse paigaldanud FinSpy troojalase, süstiks troojalase-serveri suhtlusse vahele õigel viisil rikutud andmed, saavutades seeläbi juurdepääsu keskserverile. Kui jagada säärane anti-FinSpy tarkvara kohalikele saatkonnatöötajatele ja topeltagentidele, siis tõenäoliselt ühel hetkel Eesti luure mõne tegelase arvutisse ka FinSpy troojalase paigaldab, kukkudes nõnda lõksu ja andes venelastele ülevaate praktiliselt kogu säärasest luuretegevusest Eestis, üle kõigi asutuste. Sest kõik munad on pandud ühte korvi.
Vaadates milliseid kaebekirju Eesti luurajad hakkasid järsku 2014 märtsis FinSpy loojatele saatma (buffer overflow, mälusöömine, troojalane ei allu serveri käsule, serverist kaovad kogutud luureandmed, kogutud andmete krüptosignatuur ei klapi, ekraanisalvestus näitab üht aga nupuvajutuste salvestus hoopis teist, live-sessioonid ei funka enam jne), siis mul tekib kõhe tunne. Sümptomitele peale vaadates kahtlustan ma täpselt säärast rünnakut nagu ma ülal kirjeldasin. Ja kui Vene luure on saavutanud juurdepääsu meie FinSpy keskserverile, siis see tähendab, et ka sama serveri kaudu kogutud muud andmed (näiteks kriminaaluurimise tarbeks) on kaheldava tõeväärtusega. Sisuliselt võivad venkud suvalise jälgitava süüdi lavastada või puhtaks pesta, keskserveris andmeid manipuleerides.
Kogu lekke kõige huvitavamad osad, sealhulgas ka Eesti luurajate poolt saadetud logid ja attachmentid, mis tõenäoliselt sisaldavad ka sihtmärkide arvutitest kogutud andmeid, võibolla ka meie luurajate endi taristut ja identiteeti paljastavaid andmeid, on küll lekkes olemas, aga krüpteeritud. Vähemalt esialgsete andmete järgi ei õnnestunud lekke autoriks oleval tundmatul häkkeril toda krüptovõtit kätte saada. Aga võibolla õnnestus. Mine tea. Loodame, et siiski mitte. Sest see oleks veel eriti traagiline.
Sest siis ei jää muud üle kui sõnada: God help us all.
Toimetamata allikas: http://elver.ee