Szerző: Gálffy Csaba

2014. augusztus 7. 11:16

Kikerült a kormányzati kémszoftver dokumentációja

Kikerült az internetre a FinFisher kormányzati kémszoftver támogatási szerverének tartalma. A FinFisher/FinSpy a német Gamma International fejlesztése, a kormányoknak kínált szoftverrel titkos megfigyelés és adatgyűjtés végezhető. A cég tagadja, hogy nem-demokratikus rezsimekkel is együttműködne, a most kikerült adatok szerint azonban nem csak értékesít, de támogatást is nyújt a diktatúrák számára.

Mintegy 40 gigabájtnyi információt töltött le a Gamma hálózatáról a magát csak PhineasFishernek hívó támadó - jelentette be a hacker a Reddit Anarchism alredditjén. A megszerzett adatokat PhineasFisher nyilvánosságra is hozta, az adathalmaz torrent formájában letölthető bárki számára - az eredeti .torrent fájl itt érhető el (alternatív link). Valószínűleg Bahrein, Belgium, Bosznia-Hercegovina, Banglades, Hollandia, Irán, Katar, Nigéria, Vietnám, Thaiföld, Szingapúr is használja a szoftvert a kikerült támogatási információk szerint, de  az adathalmazt elemző szakértők szerint a listán Magyarország, Németország és az Egyesült Királyság is megtalálható - a felhasználó országok sora várhatóan folyamatosan bővül.

 

 

Annyira nem is veszélyes

A FinFisher csomagot az első szivárgások óta rengeteg mítosz övezte, a most kikerült adathalmaz ezek nagy részét eloszlatta. Az előzetes elemzések szerint például a cég jobbára a szabadon elérhető, ingyenes biztonsági eszköztárak funkcióit kínálja, dobozos szoftverként, támogatással, oktatással - ez a FinFisher hozzáadott értéke. A cég tehát egészen más szinten játszik, mint a hírekbe bekerülő más állami szereplők, amelyek megkeresik a biztonsági hibákat és saját hatáskörben fejlesztik az azt kihasználó kártékony kódot is - a FinFisher nem Stuxnet.

A cég ugyanakkor használ néhány 0-day (foltozatlan) sebezhetőséget, ezeket azonban külső forrásokból, például a Vupentől szerzi be és ezeket beépíti az eszköztárába. Az említett francia biztonsági cég vállalt üzleti modellje a megtalált hibák értékesítése a legtöbbet ígérő vevő felé, bár a cég tagadja, hogy a FinFisherrel együttműködött volna, a kiszivárgott dokumentumok több helyen is ennek ellenkezőjéről tanúskodnak.

A Gamma saját, belső használatra szánt információi szerint a kihasználható, foltozatlan (zero day) hibák vásárlásánál a FinFisher elsősorban Windows Vistára és Windows 7-re fókuszál, de van néhány XP-hez használható (foltozatlan) rés is (ez az információ elavult lehet). Mobil platformokhoz, OS X-hez és Linuxhoz azonban a FinFisherben jelenleg nincsenek használható biztonsági rések, ezeket így csak célzott támadásokkal, trójaiakkal tudják az intézmények megcélozni, vagyis a felhasználónak magának kell feltelepítenie a kémprogramot, ezt a lépést távolról a megfigyelést végző nem tudja elvégezni.

Drága a megfigyelés

A fokozatosan csepegő információk szerint a támadónak a finsupport.finfisher.com szerverhez sikerült hozzáférést szerezni, ez a FinFisher csomaghoz járó szoftvertámogatás központi weboldalát szolgálta ki. A kikerült adatok között a cég részletes árlistája is elérhető, amelyekből további zamatos részletekre lehet következtetni. A taktikai (helyszíni megfigyelést lehetővé tévő) FinIntrusion Kit hardver-szoftver kombinációból áll, ennek teljes költsége 30 600 euró, ebben megtalálható a FinTrack Operation Center licenc (27 600 euró) és két, speciálisan preparált laptop (3 000 euró), nagy teljesítményű Bluetooth- és Wi-Fi adapterrel, irányított és omnidirekcionális antennával.

A cég zászlóshajója  a FinSpy, a távoli megfigyelést lehetővé tévő rendszer, amely a célpontok számától függően három kiszerelésben is megvásárolható, maximum 150 célpontig. Ez utóbbi mintegy 635 ezer euróba kerül, amiben nincs benne a dedikált hardver (a legolcsóbb kiadás, maximum 10 célpontig csak 190 ezer euróba kerül). Egyik csomagban sincs benne a hangrögzítés funkció, ezért külön 30 ezret kell fizetni.

Az árlista (és a FinSpy Mobile áprilisi frissítését taglaló kézikönyv) szerint a FinSpy "támogatja" a mobil operációs rendszereket is, a megfigyelhető OS-ek listáján gyakorlatilag minden platform megtalálható. Némileg megnyugtató ugyanakkor, hogy a FinFisher is elismeri, a mobilos megfigyelés aktiválása nem nagyon megy felhasználói interakció nélkül, tipikusan egy vagy több felugró ablakot is le kell okézni ahhoz, hogy az eszköz lehallgatható legyen. Vagyis a cégnek úgy tűnik, nincsenek birtokában olyan titkos 0-day (foltozatlan) sebezhetőségek, amelyekkel ezek a védelmi mechanizmusok megkerülhetőek lennének mobil platformokon.

Az Apple esetében jailbreakre van szükség, ha ez elérhető, akkor az iOS 4.3.x-től 7.0.x-ig támogatott. Android esetében ilyesmire nincs szükség, 2.x.x-től 4.4.x.-ig figyelhető meg a platform, igen, a legutolsó, KitKat kiadás is támogatott. Érdekes módon a Windows Phone-t nem kezeli a FinFisher, a listán "not yet supported" megjegyzéssel található. Támogatott viszont a BlackBerry portfólió, 4.6-től 7.x-ig (a BB10 tehát nem), a Symbian S60 5.x és 3.x, illetve az Anna és Belle kódnevű kiadások, és a Windows Mobile utolsó két verziója, a 6.1 és a 6.5-ös. A FinSpy Mobile ötös csomagban mindössze 11 700 eurós ajánlott fogyasztói áron elérhető.

A Skype szerencsére minden asztali platformon megfigyelhető...

Talán még értékesebb a FinSpy 3.0-hoz készült felhasználói kézikönyv, amely egészen részletesen bemutatja a telepítés menetét, a szoftver képességeit és a hatékony használat gyakorlatát. A dokumentum a torrent-csomagban található, de közvetlenül a Netzpolitik oldaláról is letölthető.

A Gammának ugyanakkor némi elismerés is jár, a cég ugyanis igen hatékonyan választotta el alrendszereit egymástól, a támogatási szerverről a támadó nem tudott otvábbjutni a többi, például a forráskódokat kezelő szerver felé. Ettől függetlenül a támogatási szerveren is található volt bőséggel kormányzati malware, ezeket gondos kezek már fel is töltötték későbbi elemzés céljára a GitHubra.

Meglepően megkerülhetetlen védelem.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A szakértői elemzésekre még várni kell, a Twitteren közzétett előzetes információk szerint a FinFisher eredeti hibakeresést nem nagyon végzett, a szoftver a korábban nyilvánosságra került biztonsági réseket tudja csak kihasználni. Ez jobbára azt is jelenti, hogy a teljes körűen frissített rendszerekre a FinSpy nem telepíthető távolról, social engineering vagy spearphishing (célzott trójai) támadásra van szükség a megfigyelés megvalósításához.

Ezért fontos

A Gamma korábban tagadta, hogy nem demokratikus rezsimek számára is eladásra kínálná a FinFishert vagy más termékeket, a cég álláspontja szerint csak jogállamok felé értékesíti a szoftvercsomagot. A különbségtétel azért fontos, mert működő demokráciákban (elvben) a kormányok nem végezhetnek tetszőlegesen megfigyelést, az igazságszolgáltatási rendszer megbízható kontroll alatt tartja ezeket a tendenciákat. Ilyen kontroll a nem demokratikus államokban (elvben) nincs, így ezek könnyen visszaélhetnek egy ilyen szoftvercsomag képességeivel például az ellenzék vagy a független média elhallgattatására.

A kép természetesen a működő demokráciák esetében sem egészen világos. Mindig létezett a gyanú, hogy jogállamok esetében sem eléggé erős az igazságszolgáltatás kontrollja a kormányzati (rendőrségi, titkosszolgálati) intézmények fölött. Ezekre a félelmekre a Snowden-féle szivárogtatások is ráerősítettek, a nyilvánosságra került információk szerint például az Egyesült Államokban erősen felszínes és csupán látszat ez a kontroll, a nemzetbiztonsági hatóságok gyakorlatilag tetszés szerint végeznek megfigyelést.

a címlapról