Mire képes az állami kémprogram?
Irta: lica - Datum: 2014. October 11. 20:06:55
Ha valakinek még kétségei lennének....
Teljes hir
Mire képes az állami kémprogram?
Az itthon is használt FinSpyt nem érzékelik a vírusirtók, mobilon rejtõzködve lehallgatja a beszélgetéseket. Magyar szakértõ fejtette vissza a kémprogram mûködési elvét.
A WikiLeaksen nyáron kiszivárogtatott mintegy negyven gigabájtnyi információ elemzésével és a kódok visszafejtésével Marosi Attila, a Sophos cég kiberbiztonsági szakértõje képes volt megismerni a FinSpy mûködési elvét. A kiszivárogtatott információk szerint ezt a kémprogramot a magyar Nemzetbiztonsági Szakszolgálat is használja. A programot fejlesztõ céget komoly bírálat érte amiatt, hogy az emberek megfigyelését lehetõvé tévõ megoldásait többek közt Hoszni Mubarak egyiptomi diktátornak is értékesítette.
A program jellege miatt a FinSpy teljesen titkos forráskódja egy hackertámadás nyomán kerülhetett az internetre, a magyar szakértõ a kiszivárogtatott adatok közül csak a kémprogram androidos változatára koncentrált: már ez is rengeteg dolgot felfedett a FinSpy képességeirõl - derült ki a Hacktivity hackerkonferencián tartott bemutatóból.
Miért nem látja a vírusirtó?
A FinSpy és FinFisher néven ismert szoftver azért válhatott állami kémprogramként ismertté a világsajtóban, mert eleve titkos adatgyûjtésre tervezték, és a szoftvereket fejlesztõ Gamma International vállalat eleve csak rendvédelmi szerveknek értékesíti a program licencét.
Egy ilyen kémprogramot hagyományos víruskeresõ szoftverek sem képesek detektálni, hiába telepítjük ezeket a számítógépre vagy mobil eszközre. Ez semmiképp sem azért van, mert gyártóik lepaktáltak volna a biztonsági szoftverek fejlesztõivel - magyarázta Marosi Attila a konferencián.
Marosi Attlia, a Sophos Senior Threat Researcher-e fejtette vissza az androidos kémprogram mûködését
Fotó: Szabó Gábor - Origo
Szerinte a titkosszolgálati és rendõrségi használatra szánt kémprogramokat nemcsak azért nehéz érzékelni, mert eleve rejtõzködésre vannak optimalizálva, de a hagyományos vírusokhoz képest elenyészõ számú számítógépet vagy mobil eszközt fertõznek meg. Ráadásul a rendvédelmi szervek nem élnek úgy vissza a beszerzett adatokkal, mondjuk az internetbanki jelszavakat tolvajló internetbûnözõk, ezért a kémprogramok jelenléte nem kelt feltûnést. Tömegesen jelentkezõ gyanús jelenségek hiányában pedig a vírusvédelmi cégek rendszereibe sem érkeznek róluk riasztások.
Továbbítja a hívást, ellopja az üzenetet
Marosi Attila egyébként a FinSpy androidos kémmoduljának két évvel ezelõtti változatát tudta kivesézni a kiszivárgott fájlokból. Ennek során kiderítette, hogy a kártevõt manuálisan kell telepíteni a megfigyelni kívánt készülékre: ez történhet például úgy, hogy egy játéknak álcázott app telepítésére veszik rá a felhasználót, de úgy is, hogy valaki manuálisan feltelepíti azt a készülékre.
A kémprogramot elõzetesen mindig bekonfigurálják a megfigyelési feladatra, így például megadható, hogy ha a készülékrõl tárcsáznak, akkor titokban ne csak hagyományos, hanem konferenciahívás épüljön fel, amelyben a harmadik fél a megfigyelést végzõ hatóság operátora. Lekérhetõk az SMS-ek, e-mailek, bármilyen telefonon lévõ fájl. A kémprogram számára beállítható az is, hogy csak wifin vagy mobilneten kommunikáljon, illetve mit tegyen, ha kezd megtelni a telefon memóriája, vagy merülõben van az akkumulátor. Ez utóbbi két esetben például érdemes ideiglenesen rejtõzködõ módba kapcsolnia. Beállítható az is, hogy ha a felhasználó egy adott helyszínre ér, automatikusan küldjön jelentést róla a megfigyelõknek.
Egy ábra a FinFisher WikiLeaksre szivárgott tájékoztatófüzetébõl a rendszer mûködésérõl
Forrás: WikiLeaks
A FinSpy ugyanolyan szolgáltatásként fut az Androidon, mint mondjuk a telefonkönyvet elõhívó alkalmazás, és SMS-ekkel lehet neki távolból parancsokat adni. A megfelelõen formázott üzenetek érkezését az aktív kémprogram elrejti, így sem a készülék kijelzõje, sem a hangszóró nem aktiválódik. A magyar kutató arra is rájött, hogy a FinSpy esetében a telefon IMEI-számát is ismerni kell ahhoz, hogy parancsokat küldhessünk rá - ez egy wifihálózat forgalmi elemzésével is ellopható a kémprogramtól - az üzenetek titkosításához használt gyenge titkosítást pedig néhány perc alatt ki lehet játszani.
Nem tudni, épp ki hallgat le
Ez azért probléma, mert Marosi Attila azt is bemutatta, hogy ha valakinek a telefonján aktív a FinSpy, akkor ahhoz nemcsak mondjuk a hatóságok, hanem egy harmadik fél - akár bûnözõk - is hozzáférhetnek.
A Hacktivityn a szakértõ bemutatta, hogy a kémprogram gyenge védelme miatt miként lehetséges eltéríteni a FinSpy androidos változatát: az eredeti megfigyelõktõl átvéve az irányítást végül saját maga számára kért le adatokat egy táblagéprõl. A Sophos biztonsági szakértõje arra is rájött, hogy milyen SMS-t kell küldeni egy androidos telefonra ahhoz, hogy leellenõrizhessük, aktív-e rajta a FinSpy, vagy sem: ha a telefon a beérkezõ speciális üzenetet nem jeleníti meg, akkor a kémprogram aktív, ha viszont megjelenik a kódsor, akkor a telefonon nincs rajta a szoftver.
Nem ez a kémprogramok királya
Miután Marosi Attila visszafejtette az androidos FinSpy mûködését, a Sophos vírusvédelmi megoldása már képes detektálni a kémprogramot. Mivel a FinSpy mûködési elve ismertté vált, valószínûleg teljesen az alapoktól újra kell fejleszteni a technológiát. A szakember elmagyarázta, hogy tudomása szerint a FinSpy nemcsak Androidra, de többek közt Windows CE-re és BlackBerry telefonokra, illetve a számítógépes Windowsra is elkészült. Más kémprogramokkal Windows Phone, Mac OS X vagy iOS rendszerek is megfigyelhetõk, hiszen ezekben is léteznek különbözõ biztonsági rések.
A másik ábra kifejezetten a telefonok lehallgatását mutatja be
Forrás: WikiLeaks
A magyar szakértõ szerint a FinSpy nem egy különösen fejlett kémprogram, saját vizsgálatai szerint inkább egyszerûbb rendõrségi megfigyelésre lehet alkalmas: külföldön ilyen feladatokat az adóhatóság vagy a rendõrség is elláthat, Magyarországon azonban csak a Nemzetbiztonsági Szakszolgálat végez hasonló tevékenységet - tudtuk meg a konferencián.
Máshonnan is meglehetnek az adatok
Nem valószínû, hogy a FinSpyjal fognák el a legveszélyesebb kiberbûnözõket, mivel ezt a kémprogramot akár úgy is el lehet tüntetni a telefonról, hogy azon egy gyári visszaállítást indítanak el. Kisebb fajsúlyú bûncselekmények elkövetõi ellen lehet hatékony, akik csak minimális informatikai ismeretekkel rendelkeznek, viszont nem igényel a hatóságok részérõl sem különleges szakmai tudású operátorokat. Egyedül arra kell figyelni, hogy ne vigyék túlzásba a használatát, ha ugyanis gyanúsan megnõ a mobilnetes adatforgalom vagy túlságosan hamar lemerül az akkumulátor, az gyanút kelthet a megfigyelt emberben.
Persze nem szabad elfeledni azt sem, hogy a FinSpy nem az egyetlen készen megvehetõ kémprogram, ráadásul a hatóságok - megfelelõ engedélyek birtokában - eleve képesek a szolgáltatók rendszereibõl lekérni hívásokat, üzeneteket vagy akár egy-egy felhasználó tartózkodási helyét.
Link