Mire kĂŠpes az ĂĄllami kĂŠmprogram?


Az itthon is hasznĂĄlt FinSpyt nem ĂŠrzĂŠkelik a vĂ­rusirtĂłk, mobilon rejtĂľzkĂśdve lehallgatja a beszĂŠlgetĂŠseket. Magyar szakĂŠrtĂľ fejtette vissza a kĂŠmprogram mĂťkĂśdĂŠsi elvĂŠt.

A WikiLeaksen nyĂĄron kiszivĂĄrogtatott mintegy negyven gigabĂĄjtnyi informĂĄciĂł elemzĂŠsĂŠvel ĂŠs a kĂłdok visszafejtĂŠsĂŠvel Marosi Attila, a Sophos cĂŠg kiberbiztonsĂĄgi szakĂŠrtĂľje kĂŠpes volt megismerni a FinSpy mĂťkĂśdĂŠsi elvĂŠt. A kiszivĂĄrogtatott informĂĄciĂłk szerint ezt a kĂŠmprogramot a magyar NemzetbiztonsĂĄgi SzakszolgĂĄlat is hasznĂĄlja. A programot fejlesztĂľ cĂŠget komoly bĂ­rĂĄlat ĂŠrte amiatt, hogy az emberek megfigyelĂŠsĂŠt lehetĂľvĂŠ tĂŠvĂľ megoldĂĄsait tĂśbbek kĂśzt Hoszni Mubarak egyiptomi diktĂĄtornak is ĂŠrtĂŠkesĂ­tette.

A program jellege miatt a FinSpy teljesen titkos forrĂĄskĂłdja egy hackertĂĄmadĂĄs nyomĂĄn kerĂźlhetett az internetre, a magyar szakĂŠrtĂľ a kiszivĂĄrogtatott adatok kĂśzĂźl csak a kĂŠmprogram androidos vĂĄltozatĂĄra koncentrĂĄlt: mĂĄr ez is rengeteg dolgot felfedett a FinSpy kĂŠpessĂŠgeirĂľl - derĂźlt ki a Hacktivity hackerkonferenciĂĄn tartott bemutatĂłbĂłl.
MiĂŠrt nem lĂĄtja a vĂ­rusirtĂł?

A FinSpy ĂŠs FinFisher nĂŠven ismert szoftver azĂŠrt vĂĄlhatott ĂĄllami kĂŠmprogramkĂŠnt ismerttĂŠ a vilĂĄgsajtĂłban, mert eleve titkos adatgyĂťjtĂŠsre terveztĂŠk, ĂŠs a szoftvereket fejlesztĂľ Gamma International vĂĄllalat eleve csak rendvĂŠdelmi szerveknek ĂŠrtĂŠkesĂ­ti a program licencĂŠt.

Egy ilyen kĂŠmprogramot hagyomĂĄnyos vĂ­ruskeresĂľ szoftverek sem kĂŠpesek detektĂĄlni, hiĂĄba telepĂ­tjĂźk ezeket a szĂĄmĂ­tĂłgĂŠpre vagy mobil eszkĂśzre. Ez semmikĂŠpp sem azĂŠrt van, mert gyĂĄrtĂłik lepaktĂĄltak volna a biztonsĂĄgi szoftverek fejlesztĂľivel - magyarĂĄzta Marosi Attila a konferenciĂĄn.

Marosi Attlia, a Sophos Senior Threat Researcher-e fejtette vissza az androidos kĂŠmprogram mĂťkĂśdĂŠsĂŠt
FotĂł: SzabĂł GĂĄbor - Origo



Szerinte a titkosszolgĂĄlati ĂŠs rendĂľrsĂŠgi hasznĂĄlatra szĂĄnt kĂŠmprogramokat nemcsak azĂŠrt nehĂŠz ĂŠrzĂŠkelni, mert eleve rejtĂľzkĂśdĂŠsre vannak optimalizĂĄlva, de a hagyomĂĄnyos vĂ­rusokhoz kĂŠpest elenyĂŠszĂľ szĂĄmĂş szĂĄmĂ­tĂłgĂŠpet vagy mobil eszkĂśzt fertĂľznek meg. RĂĄadĂĄsul a rendvĂŠdelmi szervek nem ĂŠlnek Ăşgy vissza a beszerzett adatokkal, mondjuk az internetbanki jelszavakat tolvajlĂł internetbĂťnĂśzĂľk, ezĂŠrt a kĂŠmprogramok jelenlĂŠte nem kelt feltĂťnĂŠst. TĂśmegesen jelentkezĂľ gyanĂşs jelensĂŠgek hiĂĄnyĂĄban pedig a vĂ­rusvĂŠdelmi cĂŠgek rendszereibe sem ĂŠrkeznek rĂłluk riasztĂĄsok.
TovĂĄbbĂ­tja a hĂ­vĂĄst, ellopja az Ăźzenetet

Marosi Attila egyĂŠbkĂŠnt a FinSpy androidos kĂŠmmoduljĂĄnak kĂŠt ĂŠvvel ezelĂľtti vĂĄltozatĂĄt tudta kivesĂŠzni a kiszivĂĄrgott fĂĄjlokbĂłl. Ennek sorĂĄn kiderĂ­tette, hogy a kĂĄrtevĂľt manuĂĄlisan kell telepĂ­teni a megfigyelni kĂ­vĂĄnt kĂŠszĂźlĂŠkre: ez tĂśrtĂŠnhet pĂŠldĂĄul Ăşgy, hogy egy jĂĄtĂŠknak ĂĄlcĂĄzott app telepĂ­tĂŠsĂŠre veszik rĂĄ a felhasznĂĄlĂłt, de Ăşgy is, hogy valaki manuĂĄlisan feltelepĂ­ti azt a kĂŠszĂźlĂŠkre.

A kĂŠmprogramot elĂľzetesen mindig bekonfigurĂĄljĂĄk a megfigyelĂŠsi feladatra, Ă­gy pĂŠldĂĄul megadhatĂł, hogy ha a kĂŠszĂźlĂŠkrĂľl tĂĄrcsĂĄznak, akkor titokban ne csak hagyomĂĄnyos, hanem konferenciahĂ­vĂĄs ĂŠpĂźljĂśn fel, amelyben a harmadik fĂŠl a megfigyelĂŠst vĂŠgzĂľ hatĂłsĂĄg operĂĄtora. LekĂŠrhetĂľk az SMS-ek, e-mailek, bĂĄrmilyen telefonon lĂŠvĂľ fĂĄjl. A kĂŠmprogram szĂĄmĂĄra beĂĄllĂ­thatĂł az is, hogy csak wifin vagy mobilneten kommunikĂĄljon, illetve mit tegyen, ha kezd megtelni a telefon memĂłriĂĄja, vagy merĂźlĂľben van az akkumulĂĄtor. Ez utĂłbbi kĂŠt esetben pĂŠldĂĄul ĂŠrdemes ideiglenesen rejtĂľzkĂśdĂľ mĂłdba kapcsolnia. BeĂĄllĂ­thatĂł az is, hogy ha a felhasznĂĄlĂł egy adott helyszĂ­nre ĂŠr, automatikusan kĂźldjĂśn jelentĂŠst rĂłla a megfigyelĂľknek.

Egy ĂĄbra a FinFisher WikiLeaksre szivĂĄrgott tĂĄjĂŠkoztatĂłfĂźzetĂŠbĂľl a rendszer mĂťkĂśdĂŠsĂŠrĂľl
ForrĂĄs: WikiLeaks



A FinSpy ugyanolyan szolgĂĄltatĂĄskĂŠnt fut az Androidon, mint mondjuk a telefonkĂśnyvet elĂľhĂ­vĂł alkalmazĂĄs, ĂŠs SMS-ekkel lehet neki tĂĄvolbĂłl parancsokat adni. A megfelelĂľen formĂĄzott Ăźzenetek ĂŠrkezĂŠsĂŠt az aktĂ­v kĂŠmprogram elrejti, Ă­gy sem a kĂŠszĂźlĂŠk kijelzĂľje, sem a hangszĂłrĂł nem aktivĂĄlĂłdik. A magyar kutatĂł arra is rĂĄjĂśtt, hogy a FinSpy esetĂŠben a telefon IMEI-szĂĄmĂĄt is ismerni kell ahhoz, hogy parancsokat kĂźldhessĂźnk rĂĄ - ez egy wifihĂĄlĂłzat forgalmi elemzĂŠsĂŠvel is ellophatĂł a kĂŠmprogramtĂłl - az Ăźzenetek titkosĂ­tĂĄsĂĄhoz hasznĂĄlt gyenge titkosĂ­tĂĄst pedig nĂŠhĂĄny perc alatt ki lehet jĂĄtszani.
Nem tudni, ĂŠpp ki hallgat le

Ez azĂŠrt problĂŠma, mert Marosi Attila azt is bemutatta, hogy ha valakinek a telefonjĂĄn aktĂ­v a FinSpy, akkor ahhoz nemcsak mondjuk a hatĂłsĂĄgok, hanem egy harmadik fĂŠl - akĂĄr bĂťnĂśzĂľk - is hozzĂĄfĂŠrhetnek.

A Hacktivityn a szakĂŠrtĂľ bemutatta, hogy a kĂŠmprogram gyenge vĂŠdelme miatt mikĂŠnt lehetsĂŠges eltĂŠrĂ­teni a FinSpy androidos vĂĄltozatĂĄt: az eredeti megfigyelĂľktĂľl ĂĄtvĂŠve az irĂĄnyĂ­tĂĄst vĂŠgĂźl sajĂĄt maga szĂĄmĂĄra kĂŠrt le adatokat egy tĂĄblagĂŠprĂľl. A Sophos biztonsĂĄgi szakĂŠrtĂľje arra is rĂĄjĂśtt, hogy milyen SMS-t kell kĂźldeni egy androidos telefonra ahhoz, hogy leellenĂľrizhessĂźk, aktĂ­v-e rajta a FinSpy, vagy sem: ha a telefon a beĂŠrkezĂľ speciĂĄlis Ăźzenetet nem jelenĂ­ti meg, akkor a kĂŠmprogram aktĂ­v, ha viszont megjelenik a kĂłdsor, akkor a telefonon nincs rajta a szoftver.
Nem ez a kĂŠmprogramok kirĂĄlya

MiutĂĄn Marosi Attila visszafejtette az androidos FinSpy mĂťkĂśdĂŠsĂŠt, a Sophos vĂ­rusvĂŠdelmi megoldĂĄsa mĂĄr kĂŠpes detektĂĄlni a kĂŠmprogramot. Mivel a FinSpy mĂťkĂśdĂŠsi elve ismerttĂŠ vĂĄlt, valĂłszĂ­nĂťleg teljesen az alapoktĂłl Ăşjra kell fejleszteni a technolĂłgiĂĄt. A szakember elmagyarĂĄzta, hogy tudomĂĄsa szerint a FinSpy nemcsak Androidra, de tĂśbbek kĂśzt Windows CE-re ĂŠs BlackBerry telefonokra, illetve a szĂĄmĂ­tĂłgĂŠpes Windowsra is elkĂŠszĂźlt. MĂĄs kĂŠmprogramokkal Windows Phone, Mac OS X vagy iOS rendszerek is megfigyelhetĂľk, hiszen ezekben is lĂŠteznek kĂźlĂśnbĂśzĂľ biztonsĂĄgi rĂŠsek.

A mĂĄsik ĂĄbra kifejezetten a telefonok lehallgatĂĄsĂĄt mutatja be
ForrĂĄs: WikiLeaks


A magyar szakĂŠrtĂľ szerint a FinSpy nem egy kĂźlĂśnĂśsen fejlett kĂŠmprogram, sajĂĄt vizsgĂĄlatai szerint inkĂĄbb egyszerĂťbb rendĂľrsĂŠgi megfigyelĂŠsre lehet alkalmas: kĂźlfĂśldĂśn ilyen feladatokat az adĂłhatĂłsĂĄg vagy a rendĂľrsĂŠg is ellĂĄthat, MagyarorszĂĄgon azonban csak a NemzetbiztonsĂĄgi SzakszolgĂĄlat vĂŠgez hasonlĂł tevĂŠkenysĂŠget - tudtuk meg a konferenciĂĄn.
MĂĄshonnan is meglehetnek az adatok

Nem valĂłszĂ­nĂť, hogy a FinSpyjal fognĂĄk el a legveszĂŠlyesebb kiberbĂťnĂśzĂľket, mivel ezt a kĂŠmprogramot akĂĄr Ăşgy is el lehet tĂźntetni a telefonrĂłl, hogy azon egy gyĂĄri visszaĂĄllĂ­tĂĄst indĂ­tanak el. Kisebb fajsĂşlyĂş bĂťncselekmĂŠnyek elkĂśvetĂľi ellen lehet hatĂŠkony, akik csak minimĂĄlis informatikai ismeretekkel rendelkeznek, viszont nem igĂŠnyel a hatĂłsĂĄgok rĂŠszĂŠrĂľl sem kĂźlĂśnleges szakmai tudĂĄsĂş operĂĄtorokat. EgyedĂźl arra kell figyelni, hogy ne vigyĂŠk tĂşlzĂĄsba a hasznĂĄlatĂĄt, ha ugyanis gyanĂşsan megnĂľ a mobilnetes adatforgalom vagy tĂşlsĂĄgosan hamar lemerĂźl az akkumulĂĄtor, az gyanĂşt kelthet a megfigyelt emberben.

Persze nem szabad elfeledni azt sem, hogy a FinSpy nem az egyetlen kĂŠszen megvehetĂľ kĂŠmprogram, rĂĄadĂĄsul a hatĂłsĂĄgok - megfelelĂľ engedĂŠlyek birtokĂĄban - eleve kĂŠpesek a szolgĂĄltatĂłk rendszereibĂľl lekĂŠrni hĂ­vĂĄsokat, Ăźzeneteket vagy akĂĄr egy-egy felhasznĂĄlĂł tartĂłzkodĂĄsi helyĂŠt.
Link