Opinie: Co nam po włamaniu do Hacking Teamu - wyjaśniają Piotr Konieczny, Michał Sajdak, Ruchna Nigam i Maciej Kotowicz

30-07-2015, 18:03

Wydarzeniem, które w ciągu ostatnich tygodni poruszyło nie tylko branżowe media, było zhakowanie firmy Hacking Team, która tworzy szpiegowskie oprogramowanie dostosowane do potrzeb służb specjalnych różnych krajów. Zapytaliśmy ekspertów, jak to wydarzenie wpłynęło na znany nam krajobraz zagrożeń i jakie w najbliższym czasie mogą być jego konsekwencje. Pozyskane przez nas opinie okazały się zróżnicowane.

O włamaniu do Hacking Teamu wspominaliśmy w Dzienniku Internautów wiele razy. Licencję na oprogramowanie tej firmy kupiło nawet polskie CBA, czego dowodzą faktury znalezione wśród danych, które wyciekły do sieci. Jakby tego było mało, analizując wykradzione dane, znaleziono kilka groźnych luk we wtyczce Flash Player, przeglądarce Internet Explorer i bibliotece Adobe Type Manager wykorzystywanej we wszystkich wersjach Windowsa. Mimo upływu tygodni do mediów nadal przedostają się coraz to nowe ciekawostki dotyczące działalności Hacking Teamu. Co mogą na ten temat powiedzieć eksperci?

Przepytywanie zaczęłam od Piotra Koniecznego, szefa zespołu bezpieczeństwa w firmie Niebezpiecznik.pl, która zajmuje się włamywaniem na serwery innych firm (oczywiście za ich zgodą) w celu namierzenia błędów bezpieczeństwa w ich infrastrukturze, zanim zrobią to prawdziwi włamywacze.

Stosowanie tzw. „rządowych trojanów” czy też kupowanie przez agencje rządowe exploitów typu 0day nie jest niczym nowym. Incydent z Hacking Teamem pokazuje jednak kulisy tego typu handlu. Z treści ujawnionych e-maili możemy nie tylko poznać ceny na dane exploity (i porównać je z „rynkowymi”), ale i sposób przeprowadzania oraz częstotliwość transakcji. Z kolei wgląd w system obsługi błędów pokazuje, z czym nie radzą sobie nabywcy oprogramowania, a to pozwala wprost wysondować, jaką wiedzę techniczną prezentują tzw. „służby” - a przynajmniej osoby odpowiedzialne za obsługę trojana RCS po stronie jednej czy drugiej agencji rządowej.

Pamiętajmy, że Hacking Team to tylko jeden z podmiotów dostarczających agencjom rządowym oprogramowanie do inwigilacji. Należy więc spodziewać się, że poszczególnym służbom znane są inne exploity na nieupublicznione jeszcze błędy w oprogramowaniu. Chęć tworzenia nowych urządzeń przez Hacking Team (m.in. dronów atakujących Wi-Fi) pokazuje, że jest spore zapotrzebowanie na dedykowane inwigilacji rozwiązania, a lista klientów Hacking Teamu sugeruje, że nie wszystkie państwa są w stanie samodzielnie tworzyć własne projekty w tym zakresie.

Jestem pewien, że włamanie do Hacking Teamu dało do myślenia nie tylko służbom (w zakresie poufności komunikacji z kontrahentami, od których kupują exploity), ale również zwykłym firmom. Każdy powinien zadać sobie pytanie, co by było, gdyby to jego dane w takiej ilości i w takim zakresie opublikowano w internecie. Co z tego, co przechowujemy w skrzynkach pocztowych i na dyskach twardych, nas kompromituje? Czy wszystko to szyfrujemy nie tylko za pomocą tzw. FDE? Czy nasze standardy wewnętrznej komunikacji, w przypadku jej ujawnienia, nie narażą nas na wstyd albo co gorsza zarzuty karne?

Inne skutki włamania - zarówno pozytywne, jak i negatywne - dostrzega Michał Sajdak, ekspert firmy Securitum z ponaddziesięcioletnim doświadczeniem w zagadnieniach związanych z technicznymi aspektami bezpieczeństwa, założyciel Sekuraka.

Wyciek z Hacking Teamu z jednej strony pozytywnie wpłynął na stan bezpieczeństwa IT. W końcu sporo firm, których usługi są popularne (Microsoft, Adobe, Google), było w stanie załatać krytyczne luki, wcześniej znane tylko garstce osób (głównie klientom Hacking Teamu). Pojawiło się również bardzo wiele głosów przeciwko technologii Flash, której przez wiele lat Adobe nie potrafił uczynić odpowiednio bezpieczną, co jeszcze dobitniej potwierdziły zasoby Hacking Teamu. Kto wie, cały wyciek może okazać się gwoździem do trumny Flasha, który jest notorycznie wykorzystywany podczas infekcji z użyciem malware'u.

Z drugiej strony wyciekły (w formie kodów źródłowych) również całe gotowe pakiety umożliwiające choćby atakowanie oraz infekowanie użytkowników platformy Android. W tym przypadku, mimo że luki zostały w większości przypadków załatane przez Google, mało osób wykonuje aktualizacje swoich systemów. Zatem wygodny w użyciu pakiet do atakowania Androida może stać się naprawdę groźnym (i popularnym) narzędziem. Chociaż ewentualne częstsze i skuteczne ataki być może zmuszą producentów smartfonów do wypuszczania częstszych aktualizacji.

Warto przy okazji wspomnieć, że lektura danych z wycieku dostarcza również wielu ciekawostek dotyczących zakupu podatności 0day, weryfikacji jakości exploitów, negocjacji cenowych czy samych cen oferowanych po obu stronach (podatności vs gotowe produkty, które mają je zaimplementowane).

Na koniec - warto pamiętać, że Hacking Team to nie jedyna firma, która zajmowała się kupnem podatności 0day, sprzedażą całych pakietów do atakowania / infekowania systemów. Tego typu firm jest dużo - zarówno po jasnej, jak i ciemnej stronie świata bezpieczeństwa IT.

Więcej o jasnej i ciemnej stronie napisała w swoim komentarzu Ruchna Nigam, analityk ds. bezpieczeństwa z laboratoriów FortiGuard Labs firmy Fortinet.

Przypadek Hacking Teamu zachwiał obowiązującym na przestrzeni ostatnich lat porządkiem, według którego mamy do czynienia z „dobrymi” i „złymi” hakerami (ang. white hats i black hats). Okazuje się, że w cyberświecie linia dzieląca „obrońców” od działających poza prawem cyberprzestępców (lub inaczej crackerów) jest bardzo cienka.

Można uznać, że atak na Hacking Team był pierwszym atakiem na organizację „białych kapeluszy”, jednak byłoby to dużym uproszczeniem, biorąc pod uwagę specyfikę działalności włoskiej firmy. Oprócz działania na rzecz instytucji z krajów rozwiniętych, w których zamawiane oprogramowanie szpiegowskie miało najprawdopodobniej służyć walce z przestępcami (choć w pełni tego nie wiemy), Hacking Team sprzedawał trojany śledzące i inwigilujące także reżimom, co było od dawna krytykowane przez obrońców praw człowieka.

Hacking Team nie jest pierwszą organizacją tego typu. Już wcześniej odkryto, że firma Gamma International sprzedawała oprogramowanie szpiegowskie dyktatorskim rządom w Egipcie, Bahrajnie czy Etiopii.

Podział na „dobrych” i „złych” hakerów zaciera się pod wpływem różnych czynników. Informatorzy donoszą o budzących wątpliwości programach do inwigilacji społecznej, wykorzystywanych przez legalne władze. Organizacje międzynarodowe mają trudności w tworzeniu i respektowaniu jednolitych norm prawnych dotyczących cyberprzestrzeni. Na sile zyskuje też haktywizm, nie mówiąc o jego skuteczności w kilku społecznych rewolucjach i wpływie na świat rzeczywisty.

W rezultacie, w przeciwieństwie do tego, czego można było oczekiwać, to włamanie nie wywołało oburzenia środowiska związanego z bezpieczeństwem IT. Zamiast tego badacze i specjaliści wyrazili zaniepokojenie wątpliwą moralnie działalnością organizacji, wystawiającą na szwank dobre imię wszystkich walczących z cyberprzestępczością. Dlatego też narzędzia nadzoru stworzone przez Hacking Team zostały przez producentów oprogramowania antywirusowego zakwalifikowane jako niebezpieczny malware.

Zdecydowanie inaczej sytuację postrzega Maciej Kotowicz, członek drużyny Dragon Sector, która doskonale sobie radzi na międzynarodowej arenie CTF (jeżeli nie wiecie, co to CTF, zachęcam do przeczytania przeprowadzonego przeze mnie kiedyś wywiadu).

Parę tygodni temu doszło do włamania do Hacking Teamu, jednej z bardziej znanych firm zajmujących się produkcją oprogramowania szpiegowskiego. Skutkiem włamu powstał wyciek gigabajtów danych, w tym kodów źródłowych narzędzi rozwijanych przez Hacking Team oraz komunikacji mailowej prowadzonej z klientami i współpracownikami. Podczas analizy tych danych odkryto, że firma posiadała szereg exploitów wykorzystujących zarówno znane, jak i nieznane luki w popularnym oprogramowaniu, co nie powinno nikogo dziwić.

Jeżeli wziąć pod uwagę bezpieczeństwo szarego obywatela, to w zasadzie nic się nie stało. To, że exploity zostały szybko zaadaptowane przez exploit kity, nic nie zmienia - i tak większość infekcji powodowana jest naiwnością albo niewiedzą użytkownika. Ciekawy natomiast jest uchylony rąbek tajemnicy, jak takie przedsiębiorstwa działają oraz z kim prowadzą interesy.

Na początku jak działają - ano działają jak zwykła firma wytwarzająca oprogramowanie, mają helpdesk, dział sprzedaży, nawet rekrutują za pomocą popularnych firm HR. Mają też jakiś dział badawczy, który próbuje wdrażać mniej lub bardziej znane techniki (z różnym skutkiem, co świadczy o ich nie za wysokim poziomie). No i to, czego sami nie potrafią zrobić, kupują. Zauważmy, że wszystkie te groźne luki były kupione od osób trzecich.

A teraz z kim prowadzą interesy. Nie mam tu na myśli klientów, bo to sprawa sporna, co i komu można sprzedawać, i moim zdaniem jest to zupełni inny problem / temat, który - i tu coś dla miłośników teorii spiskowych - pięknie pasuje do dyskusji o tzw. porozumieniu z Wassenaar. Chodzi mi o sprzedawców exploitów, dokładnie opisanych na tsyrklevich.net, oraz osoby zatrudnione w Hacking Teamie, na które trwa nagonka, że jak to śmiały w takiej strasznej firmie pracować.

Już od jakiegoś czasu, bodajże od momentu publikacji dokumentów NSA przez Snowdena, przewijają się skargi, że oprogramowanie szpiegowskie jest wytwarzane oraz używane przez agencje wywiadowcze, służby wywiadowcze czy policyjne. A czym takie oprogramowanie różni się od kamery, aparatu fotograficznego czy zwykłego podsłuchu? Niczym, poza tym że operuje w nie wiadomo czemu uświęconej przestrzeni internetowej. Ja się cieszę, że polskie służby inwestują w taki sprzęt, być może mógłby być lepszej jakości, ale od czegoś trzeba zacząć ;] A już nieopisaną dumą napawa mnie fakt, że funkcjonariusze CBA wiedzą, jak używać PGP!

Podsumowując, według mnie, poza tym że Hacking Team może mieć problem z szeroko pojętym rozwijaniem kontaktów biznesowych, to nie stało się nic, co miałoby wpływ większy niż marginalny, co by nas dotyczyło.

A Wam która z przytoczonych opinii jest najbliższa? Z którą byście polemizowali? Zachęcam do komentowania i dzielenia się własnym zdaniem.


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031