internetnewsWiadomość główna

W Polsce wykryto ślady trojana stworzonego specjalnie dla agencji rządowych

Jeśli kiedykolwiek zastanawialiście się na co przeznaczane są wasze podatki, Citizen Lab, kanadyjska organizacja badawcza, ma na ten temat coś do powiedzenia. Niestety wnioski, do jakich doszli jej informatycy śledczy, nie są dla nas budujące.

Żeby w pełni zrozumieć co się dzieje, musimy przenieść się w czasie trzynaście lat wstecz i jakieś tysiąc kilometrów na południowy zachód. Mniej więcej do Włoch w roku 2001, kiedy to dwóch programistów napisało darmowy program Ettercap, służący do przeprowadzania ataków typu man in the middle. Oferujący duże możliwości program stał się bardzo popularny, zarówno wśród specjalistów od bezpieczeństwa komunikacji, jak i wśród hackerów. Do programistów dość szybko zgłosili się przedstawiciele włoskich służb specjalnych, które szukały skutecznych narzędzi do podsłuchiwania komunikacji obserwowanych osób. Przedsiębiorczy programiści założyli więc firmę o nazwie Hacking Team, która zaczęła dostarczać rządom na całym świecie narzędzi potrzebnych służbom do inwigilacji obywateli.

Na całym świecie podobne usługi świadczy zapewne wiele firm, jednak tylko niektóre mają zaszczyt znaleźć się w czołówce rankingu „wrogów Internetu” prowadzonego przez Reporterów bez Granic. W ubiegłorocznym zestawieniu firma Hacking Team znalazła się na miejscu trzecim. Wszystkie z tego zestawienia bardzo dbają o prywatność swoich klientów, którymi są przeważnie rządy, ale już nieszczególnie interesuje ich to, jakie konsekwencje dla mieszkańców będzie miała sprzedaż rządowi tego typu oprogramowania. Przykładowo otwierająca ostatnie zestawienie francuska firma Amesys sprzedawała narzędzia masowej inwigilacji reżymowi Kadafiego, niemiecki Trevicor sprzedaje soft Iranowi, amerykańskie Blue Coat Systems zaopatruje w oprogramowanie szpiegowskie władze Syrii, a Hacking Team dostarcza narzędzia hackerskie między innymi władzom Arabii Saudyjskiej czy Uzbekistanu. Nie są to raczej kraje, które jako pierwsze przychodzą na myśl kiedy mówi się o demokracji.

Kanadyjska organizacja badawcza Citizen Lab, która zajmuje się analizowaniem tematów z pogranicza praw człowieka i technologii, od kilku lat stara się identyfikować rządy, które korzystają z usług Hacking Team. Choć włoska firma przykłada dużą wagę do zapewnienia anonimowości swoim klientom, Citizen Lab regularnie publikuje kolejne informacje o krajach, w których znaleziono serwery zbierające ruch monitorowanych obywateli. Co prawda Hacking Team twierdzi (reklama poniżej), że ich eksportowy Remote Control System (RCS) o nazwie Galileo (starsza wersja nazywała się Da Vinci) jest niewykrywalny, ale Citizen Lab opracowało system identyfikacji serwerów, do których trafia ruch z monitorowanych maszyn. W ich ostatnim raporcie po raz pierwszy pojawiła się Polska.

Jak działa RCS Galileo? Jest to po prostu bardzo rozbudowany koń trojański, który umożliwia pełen monitoring operacji wykonywanych przez użytkownika na danej maszynie – od rejestrowania wciśniętych klawiszy, przez kopiowanie plików, a na podsłuchiwaniu rozmów Skype’a kończąc. Galileo działa na wszystkich platformach i może służyć do przechwytywania szyfrowanej komunikacji. Hacking Team chwali się też, że zawsze dopasowuje możliwości Galileo do wymagań konkretnego rządu. W sumie nic dziwnego, jeśli wziąć pod uwagę, że oprogramowanie to kosztuje „setki tysięcy dolarów”.

Ruch od zainfekowanych maszyn do centrum zarządzania ukrywany jest dzięki całemu systemowi serwerów proxy. Citizen Lab twierdzi, że jeden z serwerów docelowych zlokalizowany jest w Polsce. Tym samym dołączyliśmy do listy 21 krajów (Kolumbia, Panama, Oman, Arabia Saudyjska, Zjednoczone Emiraty Arabskie, Egipt, Etiopia, Maroko, Sudan, Nigeria, Kazachstan, Azerbejdżan, Malezja, Tajlandia, Uzbekistan, Włochy, Węgry, Meksyk i Korea Południowa), w których według kanadyjskiej organizacji, wykorzystywane jest oprogramowanie Hacking Team. Duża ilość zaobserwowanych w Polsce adresów wskazuje na wykorzystywanie dynamicznej adresacji IP, a serwer ma być nadal aktywny.

Czy to odkrycie oznacza jednak, że polski rząd wydał „setki tysięcy dolarów” na włoskie oprogramowanie do inwigilacji własnych obywateli? Niekoniecznie.

Nasuwa się na myśl kilka możliwych scenariuszy. Po pierwsze, Kanadyjczycy mogli się pomylić. Ich wnioski są jednak dobrze udokumentowane, więc jest to raczej mało prawdopodobne. Drugi scenariusz zakłada, że polski serwer jest tylko przykrywką dla operacji prowadzonej przez władze innego kraju – kolejnym ogniwem w długim łańcuchu serwerów proxy. Mówiłoby to wiele o stanie  cyfrowych zabezpieczeń naszego kraju, ale dla nas nie stanowiłoby bezpośredniego zagrożenia. W wariancie trzecim Galileo został kupiony przez polskie organy ścigania, a wzmianki o nim pojawią się wkrótce w sądowych protokołach zbierania dowodów. Wreszcie wariant ostatni – rząd rzeczywiście kupił włoski RCS by nas inwigilować. Jednak dowodów na to na razie brak.

Grafika: Citizen Lab


podobne treści