Vasárnap éjjel óta hozzáférhetők az olasz Hacking Team cég szervereiről lelopott információk. Ez azért különösen érdekes/kínos/szenzációs, mert a Hacking Team egy olyan vállalkozás, amely saját bevallása szerint kormányzati szereplőknek szállít megfigyelési eszközöket illetve ad el szolgáltatásokat. Magyarul: a titkosszolgálatok beszállítója. A Hacking Team feltört szervereiről megszerzett 400 gigabájtnyi adat átböngészése elég időigényes, de egyik kedves kommentelőnk, a témában nagyon is jártas BitFigyelő már kibányászott az adatok közül kilenc, az Információs Hivatalnak (IH) illetve a Nemzetbiztonsági Szakszolgálatnak (NBSZ) kiállított számlát.
Az eddig előkerült számlák közül az első kettőt 2010 végén, novemberben, illetve decemberben állították ki. Az elsőt az IH-nak, ez előfizetés egy ún. exploit portálra. A másik, NBSZ-nek kiállított számla a Hacking Team sztártermékének, a Remote Control Systemnek (RCS) az éves licenszdíja - ez utóbbit az NBSZ azóta évről évre meghosszabbította, a legutóbb 2014 novemberében fizették ki 2015 egészére a 64 000 eurós licenszdíjat.
A 2010 óta eltelt időben az NBSZ kétszer is upgrade-elte az RCS-t:
elsőként közvetlenül a vásárlás után szerzett hozzá 150 000 euróért egy olyan kiegészítőt, amivel Symbian rendszerű, vagyis régebbi, még a Microsoft-idők előtti Nokia telefonok lehallgatására, pontosabban minden tárolt és forgalmazott adatának ellopására is alkalmassá tették, majd 2012-ben újabb injector proxy upgradet vásároltak 36 000 euróért – a dokumentációk alapján az eszköz Apple Iphone-ok lehallgatására is alkalmas.
De mik ezek a szoftverek, amikre az eddig előkerült számlák alapján képzéssel, licenszdíjakkal, upgrade-ekkel együtt már legalább 571 ezer eurót (~181,5 millió forintot), egy, a webre felkerült összesítés szerint pedig már akár 1,896 millió eurót (~600 millió forintot) költött a magyar állam?
UPDATE: Az Index témába vágó cikke szerint az IH 2008-ban vásárolt először a Hacking Teamtől, három R210-es Dell szervert. A Hacking Team júliusi kimutatásai alapján azt írják, hogy az IH eddig 885 000 eurót, az NBSZ 1 011 000 eurót költött a cégnél.
A Hacking Team fő terméke a nem túl hivalkodó nevű Remote Control System, ami még DaVinci vagy Galileo néven is szoktak emlegetni. Ezt a cég marketinganyagai szerint kizárólag kormányzati partnereknek értékesítik, és mert ők egy nagyon etikus cég, állításuk szerint „a szakmában egyedülálló módon” minden értékesítésről egy független etikai tanácsadó testületük dönt, nehogy aztán eszközeiket gonosz célokra használják.
A valóságban a cég ügyfelei között az emberi jogok olyan bajnokai is ott vannak, mint például
Egyiptom, Etiópia, Marokkó, Szudán, Azerbajdzsán, Kazahsztán, Szaud-Arábia, Üzbegisztán és az Egyesült Arab Emírségek.
Ez utóbbi például arra a nemes célra használta a szoftvert, hogy megfigyelje Ahmed Manszur emberi jogi aktivistát.
2013-ban a Kaspersky Lab vírusírtó cég szakértői két ártalmas programot is azonosítottak, amiket Krablinnak és Morcutnak neveztek el. A digitális nyomok alapján kutatni kezdték az eredetét. A hosszú történet röviden:
a vírusírtó cég valójában a Hacking Team RCS-ét fedezte fel.
A kódot elemezve hamar felderítették az RCS képességeit:
Egy dolgot viszont nem tud az RCS:
hiteles másolatot készíteni a gépen tárolt adatokról.
Magyarán: bármit le lehet másolni a gépről, de mert az RCS-t akár arra is használhatják, hogy fájlokat másoljanak fel a megtámadott gépre, a bíróság előtt bizonyítékként nem lehet használni az így megszerzett információkat. Ami elég nagy hiányossága egy szoftvernek, amit a gyártója azzal reklámoz, hogy a rendfenntartó szervek használhatják nyomozásaikhoz.
A hiteles másolat hiánya akkor már nem hátrány, ha nem is bizonyítékok gyűjtése, hanem szimplán csak a megfigyelés a cél.
Azt, hogy Ahmed Manszurt megfigyelte az Emírségek titkosszolgálata, onnan tudjuk, hogy Manszur egy phishing támadás áldozata lett. Emailben kapott egy veryimportant.doc nevű fájlt, ami az RCS-szel volt szennyezve.
Az egyik módszer tehát a vírusterjesztők legegyszerűbb eszköze, a phishing. Ezzel az a baj, hogy a célszemélynek magának is cselekednie kell: rá kell kattintania a fertőzött fájlra.
A másik lehetőség a számítógépen futó programok hibáit kihasználó exploit. Mint az a már előkerült számlákból látszik, az NBSZ a szoftver licenszét, upgrade-jeit vásárolta meg, az IH csak egy szolgáltatásra, egy exploit portálhoz való hozzáférésre fizetett elő. Ez pont azt tudja, amire a neve alapján gondolnak: lehetőséget ad a felhasználónak a szoftverhibák kihasználására, hogy aztán az így nyitott kapukon keresztül észrevétlenül telepíthesse a kémszoftvert, ez esetben az RCS-t.
Az, hogy ehhez az erőforráshoz az IH vásárolt hozzáférést, jelzi a magyar szolgálatok közti munkamegosztást is:
az NBSZ szolgáltatja a technológiát, az IH pedig célba juttatja azt.
Az RCS után nyomozók a digitális ujjlenyomatok alapján feltételezik, hogy a Hacking Team a francia VUPEN-nel állhat kapcsolatban - ez a cég egy exploitation portált üzemeltet: kutatják a sérülékenységeket, a dokumentációt, és a hibákat kihasználó "weaponized" kódot pedig eladják. Kredites rendszerben működnek, 10 kredit 250 000 eurót ér, egy ún. weaponized exploit pedig a célpont nehézségétől függően 3-5 kreditbe kerül.
A hálózatról leválasztott gépeket pedig flashdrive-okkal tudják megfertőzni, amire az RCS szintén tökéletesen alkalmas, ezúton is képes önmaga replikálására.
Az eddig előkerült dokumentumok alapján tehát
Amihez disclaimerként idetenném a Belügyminisztériumnak azt a nyilatkozatát, amit a magyar titkosszolgálatok eszközparkjáról szóló legutóbbi cikkem után kaptam:
„Az NBSZ kizárólag a vonatkozó - a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. - törvény rendelkezéseinek betartásával végzi tevékenységét. Az NBSZ alapvető feladata, hogy a törvényi kereteken belül a titkos információgyűjtés, illetve a titkos adatszrezés eszközeivel és módszereivel - írásbeli megkeresésre - szolgáltatást végezzen a titkos információgyűjtésre, illetve a titkos adatszerzésre feljogosított szervek ezen tevékenységéhez”,
amit csak azzal egészítenék ki, hogy egy titkosszolgálatnak – pláne a külföldi hírszerzésért felelős IH-nak - valóban a titkos adatgyűjtés a dolga, és a jelek szerint ehhez jelentős befektetések árán megfelelő eszközt is találtak.
Hamarosan azt is feldolgozom.
(A cikk elkészülésében nélkülözhetetlen segítséget nyújtott BitFigyelő. Felhasznált szakirodalom: Mapping Hacking Team’s “Untraceable” Spyware - Citizenlab; Spyware. HackingTeam - SecureList.)
Kommentek
Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.