‘Pravyy Sector’ and DNC leak as symptoms of new trend in Russian cyber operations

Hacking group Pravyy Sector (‘pravyy’ is bastardised Ukrainian for ‘right’, Right Sector is the name of Ukrainian ultranationalist party), responsible for leaking customer data of Polish ISP Netia, claimed on Twitter that they breached network of Polish Ministry of Defense. Group claimed that they gained full access to the MoD network and, what might be even more interesting, got their hands on ‘PRISM Poland logs’. Pravyy Sector then demanded $50 000 transferred to specified account or bitcoin address in exchange for not leaking the data.

To prove their access, group has posted screenshots from apparent MoD computer, photos of application to ‘PRISM service’ and xml containing information about hosts in alleged MoD network. It is worth noting that materials posted initially were hardly a proof of compromised network – attached screenshots suggests that all files were taken from single computer. MoD soon issued a statement claiming that attackers has gained only outdated documents and are trying to overestimate their success. Pravyy Sector countered with posting screenshots of emails with information related to organisation of recent NATO summit. Ultimately however, it seems that they bluffed. Alleged information coming from PRISM programme are probably just data collected by botnet with only superficial modifications made to make them more believable. Soon after, group has deleted twitts related to hack.

Read More…

Keeping up with world standards of oppressive surveillance – updated draft of Polish antiterrorist law

Few days ago Polish Government Center of Legislation has released updated draft of new act on antiterrorist measures introduced supposedly to aid Polish special services in preventing terrorist attacks and conducting efficient counter-terrorism operations in case an attack occurs. It is worth noting that original text of the act was initially released by NGO Panoptykon Foundation, who received it from an anonymous source – official document was published day later by the Ministry of Interior. Given that Poland has never been target of terrorist attack it was hard to justify introduction of such initiative based on threat level. However forthcoming World Youth Days, NATO summit and terrorist attacks in Paris and Brussels were more than enough for the government to announce the need for widening authority of special services – mainly Internal Security Agency (ABW).

Read More…

Ataki Sieciowe 2016 – relacja z pierwszego dnia konferencji

Brak aktywności na blogu w ciągu ostatnich miesięcy bynajmniej nie był spowodowany wypoczynkiem. Wręcz przeciwnie – już po raz drugi, razem z koleżankami i kolegami z Koła Naukowego Prawa Nowych Technologii UMK, byłem odpowiedzialny za organizację konferencji Ataki Sieciowe. Tegoroczna edycja była już szóstą odsłoną wydarzenia, w tym drugą podczas której gościliśmy prelegentów reprezentujących ośrodki zagraniczne. W tym roku zresztą było z nami wyjątkowo szerokie grono podmiotów – od firm z branży IT, poprzez kancelarie zajmujące się na co dzień kwestiami związanymi z regulacją nowych technologii aż do organizacji pozarządowych i międzynarodowych, i ośrodków akademickich. Niestety niektórym prelegentom nie udało się dotrzeć na konferencje, z czym zawsze trzeba się liczyć podczas organizacji takiego wydarzenia. Podczas tegorocznej edycji  sytuacja ta dotyczyła Tomasza Soczyńskiego z GIODO oraz Macieja Ziarka z Kaspersky Lab. Tematyka Ataków Sieciowych zawsze związana jest z najnowszymi trendami w dziedzinie bezpieczeństwa IT i legislacji związanej z tym tematem. W tym roku, niestety, musieliśmy również zwrócić uwagę na brak implementacji wyroku Trybunału Konstytucyjnego w zakresie dostępu do danych telekomunikacyjnych i postępujące rozszerzanie uprawnień przysłuchujących agencjom rządowym.

Konferencję otworzyło wystąpienie Profesora Andrzeja Adamskiego dotyczące zagrożeń związanych z wzrostem popularności płatności elektronicznych. Profesor opisał problem od strony kryminologicznej, ze szczególnym uwzględnieniem statystyk dotyczących skali zjawiska i metod ataków. Jak nietrudno zgadnąć z roku na rok ilość przypadków takich przestępstw wzrasta, a przestępcy chętnie wykorzystują fakt coraz powszechniejszego wykorzystania technologii NFC do dokonywania płatności za pomocą smartphonów. Kolejny wykład wygłosił Profesor Wojciech Filipkowski reprezentujący Uniwersytet w Białymstoku, który poruszył problematykę wykorzystania data miningu przez organy ścigania. Prelekcja skupiała się przedstawieniu modeli stosowania DM w zakresie wykrywania i zwalczania przestępczości oraz roli tworzenia schematów wzorów zachowań we wspomaganiu pracy organów ścigania. Co istotne, podkreślono również konieczność zachowania ograniczonego zaufania do rezultatów uzyskiwanych za pomocą DM, a także konieczność oceny proporcjonalności jego stosowania. Warto pamiętać o tym w kontekście tego jak często służby specjalne próbują uzyskać dostęp do coraz to nowych narzędzi umożliwiających tworzenie obszernych baz danych.

Następnie gościliśmy przedstawicieli dwóch organizacji pozarządowych – Amnesty International i Fundacji Panoptykon.  Fundacje Panoptykon reprezentował Wojtek Klicki, którego wystąpienie dotyczące badań nad dostępem służb specjalnych i policji do danych internetowych potwierdziło jak ważną rolę Panoptykon pełni w roli watchdoga. Liczba zapytań sięgająca i 2mln rocznie i brak implementacji mechanizmów kontrolnych których obowiązek wprowadzenia wynika z wyroku Trybunału Konstytucyjnego, sprawia, że problem retencji danych będzie aktualny w najbliższych latach. Dla mnie najbardziej zatrważająca była informacja, że Służba Kontrwywiadu Wojskowego konsekwentnie odmawia udzielenia informacji co do statystyki zapytań o dane billingowe, uzasadniając to faktem, że nie są zobowiązani do udzielenia informacji w ramach dostępu do informacji publicznej, gdyż SKW nie korzysta z pieniędzy publicznych. Doprawdy interesujące jest skąd w takim razie Służba pozyskuje fundusze na swoje funkcjonowanie. Na szczęście jednak, dowiedzieliśmy się, że w związku z tym SKW dwukrotnie przegrało sprawę przed sądem administracyjnym który zobowiązał ją do ujawnienia informacji. Agnieszka z Toruńskiej grupy Amnesty przedstawiła zarys kampanii #unfollowme, a także wytłumaczyła dla czego problem inwigilacji to problem praw człowieka. Wystąpienie połączone było z przygotowanym przez mnie i Tomka Ciborskiego (również członka Koła) krótkim wykładem dotyczącym narzędzi umożliwiających ochronę prywatności. Pierwszy blok zamknęło wystąpienie Janusza Urbanowicza z CERT Polska, który opowiedział o działaniu polskich trojanów banków. Pan Janusz przedstawił mechanizmu działania złośliwego oprogramowania,  zaprezentował ich obsługę na przykładzie paneli kontrolnych zagrożeń wykrytych przez CERT, a także opisał sposoby przechwytywania informacji wprowadzanych przez użytkownika.

Drugi panel, który miałem zresztą przyjemność poprowadzić, miał bardziej międzynarodowy charakter. Rozpoczął się od wystąpienia Billa Tupmana – kryminologa zajmującego się problematyką terroryzmu, przestępczości zorganizowanej i przestępczości transgranicznej. Bill, zainspirowany słowami Donalda Rumpsfelda o ‘nieznanych nieznanych’, postarał się zarysować cele do jakich agencje rządowe, terroryści, przestępcy i media mogą wykorzystać umiejętności hakerów. W prezentacji zostało zaznaczone również to jakie motywacje mogą mieć przyszłe pokolenia hakerów – postępujące informatyzacja biednych krajów, połączona z frustracją wynikającą z relatywnie niskiego poziomu życia sprawia, że młodzi ludzie mogą stać się docelową grupą dla rekrutacji przez grupy terrorystyczne. Następną prelekcję wygłosił Komandor Porucznik Wiesław Goździewicz z Joint Force Training Centre w Bydgoszczy. Tegoroczny wykład dotyczył faz ataku APT, a konkretnie ich zakwalifikowania jako ataku zbrojnego na gruncie prawa międzynarodowego. Rozważania teoretyczne poparte były analizą trzech przypadków – wykorzystania Stuxnetu do ataku na ośrodki wzbogacania uranu, operacji izraelskich sił powietrznych w której wykorzystano malware do unieszkodliwienia obrony przeciwlotniczej oraz ataku na hutę stali w Niemczech. Po wystąpieniu Komandor odpowiedział na szereg pytań od słuchaczy – największe zainteresowanie wzbudziła kwestia ćwiczeń jednostek wojskowych z zakresu cyberbezpieczeństwa oraz współpracy pomiędzy agencjami wojskowymi i cywilnymi. Blok zamknęło wystąpienie Profesora Arkadiusza Lacha, kierownika katedry postępowania karnego i Centrum Badań nad Cyberprzestępczością UMK. Profesor omówił kwestie implementacji dyrektywy o atakach na systemy informatyczne do prawa polskiego. Szczególną uwagę zwrócił na statystyki ilości przestępstw – niektóre czyny penalizowane przez obecny kodeks karny w rzeczywistości bowiem wcale nie występują. Kuriozalna jest zwłaszcza sytuacja art. 269b – który zakazuje posiadania właściwie wszystkich narzędzi służących do pentestingu, pomimo tego jednak jest on właściwie nie stosowany w praktyce.

Ostatni blok pierwszego dnia konferencji poświęcony był bardziej biznesowej stronie cyberbezpieczeństwa. Otworzyło go wystąpienie Mecenas Artura Piechockiego, który reprezentował Fundacje Bezpieczna Cyberprzestrzeń. Mecenas opowiedział o nadchodzących zmianach w unijnych przepisach dotyczących bezpieczeństwa sieciowego i ochrony danych osobowych. Szczególne zainteresowanie wzbudziła kwestia znacznego wzrostu potencjalnych kar finansowych (sięgających nawet kilku milionów euro, bądź kilku procent całości obrotu) które będą mogły być nałożone na podmioty nie przestrzegające przepisów ochrony danych osobowych. Drugim prelegentem był Marcin Ulikowski z Atos, który przedstawił case study dotyczące ataku polegającego na skasowaniu danych z serwerów pewnej firmy. Marcin opisał jak żmudna praca umożliwiła skuteczne zidentyfikowanie sprawcy pomimo niesprzyjających warunków (pracownicy firm w trakcie śledztwa pracowali wciąż na kontach z których przeprowadzono atak…). W końcu dzień zamknęła prezentacja Jakuba Masłowskiego z Allegro. Jakub opowiedział o zaufaniu w branży bezpieczeństwa korporacyjnego – zarówno zaufaniu do oprogramowania jak i użytkowników, a także o końcu ery antywirusów które już bardzo słabo radzą sobie z rozpoznawaniem większości zagrożeń.

I tak zakończył się pierwszy dzień o konferencji. O drugim (również wypełnionym interesującymi prezentacjami) napisze jak tylko znajdę czas.

Szabo and Vissy v Hungary as possible challange to mass surveillance in Europe

Given that everybody is already writing about Apple vs FBI case, I don’t think there is anything to be added at the moment. Especially that in European context (particularly in regard to civil law countries) it is quite hard to imagine court issuing a similar order. That is of course not even taking into account problems of jurisdiction and fact that almost every company of similar importance is located in the United States. But that might be a topic for another post.

What is however definitely worth writing about, and received relatively low media exposure, are the possible consequences of the case of Szabo and Vissy v Hungary. Case concerned two members of watchdog NGO (Eötvös Károly Közpolitikai Intézet) who claimed to be targeted by broad surveillance powers granted to Hungarian Anti-Terrorism Task Force (TEK). Case is especially interesting that ECHR implicitly granted possibility of actio popularis in the context of extensively broad legislation. Let’s head straight to the details than.

Read More…

Rząd Holandii popiera stosowanie kryptografii i przeciwstawia się obowiązkowym backdoorom (na razie)

Holenderski rząd wydał oświadczenie (angielskie tłumaczenie tutaj) w którym poparł stosowanie mocnej kryptografii przez podmioty prywatne i rządowe w celu ochrony bezpieczeństwa danych użytkowników i ochrony prywatności. Podkreślając rosnącą rolę usług elektronicznych w kontaktach pomiędzy państwem, a obywatelami, Holenderskie władze stwierdzają także, że stosowanie odpowiedniego szyfrowania zwiększa także zaufanie do państwa. Holandia planuje bowiem aby do 2017 roku mieszkańcy mogli załatwić wszelkie sprawy związane z administracją rządową przez internet – a ta przetwarza w końcu wrażliwe dane takie jak zeznania podatkowe czy informację o ubezpieczeniu zdrowotnym. Co jednak najbardziej interesujące, oświadczenie odnosi się także do kwestii potencjalnego wprowadzenia obowiązkowych backdoorów w kryptografii stosowanej na terenie kraju lub prawnego ograniczenia możliwości stosowania konkretnych algorytmów.

Read More…

Nowelizacja uprawnień organów ścigania w zakresie kontroli operacyjnej i dostępu do billingów – wyroki Trybunału Konstytucyjnego to wciąż tylko opinie

Kilka dni temu posłowie Prawa i Sprawiedliwości złożyli w Sejmie projekt nowelizacji ustawy o policji oraz ustaw dotyczących pozostałych służb specjalnych. Projektu można, a nawet należało się spodziewać, biorąc pod uwagę, że zgodnie z wyrokiem Trybunału Konstytucyjnego do 6 lutego 2016 konieczna jest nowelizacja uchylonych przepisów dotyczących dostępu do danych pozyskiwanych w wyniku stosowania retencji danych telekomunikacyjnych. Warto również wspomnieć, że w między czasie zapadł również wyrok Trybunału Sprawiedliwości UE, który orzekł o niezgodności szerokiego stosowania retencji z europejskimi standardami ochrony praw człowieka. Niestety zaproponowana nowelizacja w żaden sposób nie wypełnia wyroku TK pozostawiając iluzoryczne mechanizmy kontroli dostępu do billingów.

Read More…

Prywatność i bezpieczeństwo danych dla aktywistów na trudne czasy

Zachowanie obecnej partii rządzącej w Polsce, która poprzez próby umniejszenia roli władzy sądowniczej wydaje się zmierzać wszelkimi dostępnymi środkami w stronę rządów autorytarnych, naturalnie nie nastraja pozytywnie co do poszanowania wolności obywatelskich w tej kadencji. Bardzo niepokoi również podejście rządu do służb specjalnych – nagłe i radykalne zmiany kadrowe, a także doświadczenia w funkcjonowaniu służb z okresu 2005-2007 sugerują, że władza może traktować je instrumentalnie. Również do celów związanych z inwigilacją aktywistów i grup nieprzychylnych władzy.

Celem tego postu nie jest jednak gdybanie o tym jak może być, a oraz przedstawienie podstawowych środków które mogą być pomocne w ograniczeniu możliwości.

Read More…

When scientists go blackhat, ethics becomes turbid

When one year ago Blackhat presentation during which researches were supposed to show how they successfully conducted deanonymisation attack against Tor was cancelled, speculations gone through the roof. The most probable scenario, which I also supported, was that scientists defied ethical and legal boundaries and effectively committed an offence by conducting illegal interception of internet traffic. Now, motion filled in case of Brian Richard Farrell, owner of SilkRoad 2.0, which describes how Farrell was identified based on “information obtained by a ‘university-based research institute’ ” almost directly suggests that the research results were used in this case and that was the reason for cancelling presentation. Then, speculation concentrated on how come, or if at all, Institutional Review Board (IRB) have green lighted such research. Now, it seems that truth is far more concerning. According to Vice and Tor project, apparently FBI has paid Carnagie Melon University researchers one million dollars for executing newly developed against Tor users and passing gathered data to law enforcement. On the other the university claims that it was forced to hand out the results by subpoena.

Both scenarios seems to be equally troubling in terms of both ethical and legal considerations. First of all, I strongly believe that role of researchers and law enforcement agents has to be strictly separated. This does not mean that academic community has no rule in supporting LEAs’ efforts (through both research in areas of criminology, legal analysis and developing technical means of investigation), however once the actual operations are ongoing, they should be executed be LEOs exclusively. There are many reasons for this. First of all, scientists generally are not required to possess knowledge about criminal procedure required to collect evidence in a way that will ensure they are admissible in court. Second, scientists are not subject to the same level of disciplinary oversight that is (or should be) imposed on the members of law enforcement. Finally, civilians should not be expected to perform tasks (such as interception of traffic) that are only legal when conducted as a part of law enforcement operation.

Furthermore, there are significant problems and considerations in regards to the very process of obtaining evidence in Farrell’s case. If Carnegie Mellon was really forced to hand out research, is it possible that there was a pressure put on IRB to authorise the research? If not, how come research on subjects unable to provide consent was deemed to be acceptable?  Does obtaining information from external source of information such as academic institution means that standard procedural safeguards does not apply? How come research conducted was not offence under US law? As long as all those questions remains unanswered, this incident should be a stark warning sign of possible abuses that might result from lack of proper oversight over ‘cooperation’ between law enforcement and academic community.

Some argued that cooperation between Carnegie Mellon and the government should not be surprise to anyone, as Software Engineering Institute is known to be funded by federal government and have ties with the Department of Defense. While this might explain why study was conducted in the first place, and why it produced particular results, it provides no consolation in terms of securing procedural safeguards. Model of obtaining evidence that involves greenlighting research, which is unacceptable from the point of view of scientific ethics, and than claiming the results as “source of information” is certainly very convenient way of bypassing criminal procedure in cases that involve digital anonymity. Let’s not forger that how controversial was FBI’s story of tracking down Ross Ulbricht, owner of the original Silk Road, with some claiming that the Bureau completely made up story that was included in criminal complaint. Furthermore, the very idea of conducting massive deanonymisation operations against suspects who could be outside the US, is not straightforward when it comes to obtaining a warrant.

Involvement of SEI as quasi-governmental entity raises questions about role of CERT’s credibility in terms of they contribution to public cybersecurity as well. The fact that vulnerability was not disclosed to Tor project would indicate that potential usefulness of exploit takes priority over securing the network. While this would be in line with policy of stockpiling zerodays for offensive use, it is not something to be expected from CERT, which claims to work in the interest of community. And if the decision to publish or use particular vulnerability is made on case by case basis, then who makes the decision?

Whether scientists were forced or paid, all these questions stem from a single decision – a decision to blur the line between investigation and science, and outsource evidence gathering to a non law enforcement entity. Consequences of this decision, most importantly how materials gathered will be assessed by court, will be a significant signpost for future collaborations between academics and LEOs.

UK surveillance reform – third time’s a charm?

As NSA is preparing to end bulk collection of phone calls data in the US, on the other side of the Atlantic, UK is preparing to introduce new regulation regarding investigatory powers of British law enforcement. Presented yesterday, by Home Secretary Theresa May, Investigatory Powers Bill (already known as “snoopers’ charter”) will significantly overhaul currently existing provisions regulating targeted interception, remote search, acquisition of bulk personal datasets and retention of internet connection records by CSPs (Communication Services Providers) as well as oversight and authorisation matters. The fact that data retention is once again introduced in the UK, as it is third time British government is trying to push it through, is especially daunting. Previous attempts were neutralised by judgement of CJEU that declared Data Retention Directive illegal and by decision of the UK High Court, which ordered two sections of the Data Retention and Regulation of Investigatory Powers – apparently British government refuses to be bound by judiciary.

Read More…

Europejska trudna droga do neutralność sieci

We wtorek Parlament Europejski zdecydowaną większością głosów przyjął regulację wprowadzającą  zasady neutralności sieci w UE oraz znoszącą opłaty roamingowe, jednocześnie jednak odrzucając wszystkie poprawki –  które w opinii wielu ekspertów i organizacji pozarządowych stanowiły element niezbędny do zapewnienia prawdziwej neutralności. Poprawki bowiem, zamykały zauważone w oryginalnym tekście regulacji wyjątki i luki prawne ograniczające możliwość realnego zapewnienia równego traktowania usługodawców internetowych przez operatorów telekomunikacyjnych. Na podstawie już opublikowanych analiz, przyjęte zasady nie rozwiązują następujących problemów:

  • operatorzy telekomunikacyjni wciąż mogą stosować ‘stawki zerowe’ – oznacza to, że ISP mogą zrezygnować z pobierania opłat za dostęp do określonych usług np.: korzystanie z konkretnej aplikacji w smartphonie lub dostęp do określonego serwisu oferującego streaming muzyki. Lobbyści usługodawców internetowych, twierdzą że rozwiązanie to jest korzystne dla konsumentów którzy mogą w pewnym stopniu za darmo korzystać z internetu, jednak w istocie promuje to model podobny do stosowanego w telewizji kablowej. Promowane są konkretne pakiety usług w ramach których produkty pojedynczego dostawcy otrzymują preferencyjne warunki. ISP ma więc znaczący wpływ na sukces lub porażkę konkretnych produktów. Takie rozwiązanie w oczywisty sposób może przyczyniać się do utrudnienia nowym podmiotom konkurencji z już istniejącymi i zaburza konkurencję na rynku.
  • regulacja nie rozwiązuje problemu specjalizowanych usług – być może największego zagrożenia dla neutralności sieci. Usługi specjalizowane oznaczają możliwość przyznania preferencyjnego transferu poszczególnym dostawcom, czyli stworzenie tzw ‘fast lanes’ – lepszego dostępu do pasma transferu oferowanego przez operatora. Podobnie jak stawki zerowe, daję to dostawcom telekomunikacyjnym szerokie pole do nadużyć – np.: poprzez nie zapewnienie odpowiedniego transferu konkretnemu serwisowi streamingu filmów – który ze swej natury wymaga stabilnego i szybkiego połączenia. W sytuacji gdy już istniejące i bogate koncerny mogą zapewnić sobie dużo wyższą jakość dostępnego łącza, a operatorzy mogą żądać dodatkowych opłat za dostęp do innych produktów, taka praktyka jest zabójcza dla nowo powstających inicjatyw. Regulacje nakazują aby takie praktyki nie szkodziły pozostałym użytkownikom, jednak ich ogólne brzmienie nie zapewnia wystarczającego zawężenia kategorii usług które mogą korzystać z takich warunków.

Problem stanowią również możliwości kontroli ruchu sieciowego przez ISP:

  • regulacja wprost przyznaje operatorom telekomunikacyjnym uprawnienie do nadawania priorytetu poszczególnym rodzajom przesyłanych danych (konkretnie: do różnicowania dostępnego pasma na podstawie obiektywnych cech technicznych ruch sieciowego wymaganego przez poszczególne kategorie usług). Oznacza to, że operator może zadecydować, że np.: ruch związany z grami sieciowymi będzie miał wyższy priorytet niż ruch związany z zaszyfrowaną komunikacją. W praktyce więc konsumenci płacący te samą cenę, za tę samą usługę będą korzystali z łącza o zróżnicowanej jakości – zależnej od tego do czego wykorzystują swoje połączenie. Dostawcy telekomunikacyjni mogą również wykorzystać ten mechanizm do promowania własnych usług poprzez przyznanie niskiego priorytetu, a tym samym obniżenia jakości, usług alternatywnych dla tradycyjnej telefonii np.: VoIP. Wątpliwości budzi także praktyczne stosowanie tego rodzaju rozwiązań, gdyż ze względu na rozwój nowych usług sieciowych filtry przydzielające ruch mogą błędnie identyfikować przesyłane dane. Zdaniem EFF, takie praktyki zagrażają również swobodnemu wykorzystaniu kryptografii, gdyż mechanizmy stosowane do klasyfikacji ruchu nie będą prawidłowo klasyfikować zaszyfrowanych danych, co sprawi że będą one prawdopodobnie przydzielane do pasma niskiego priorytetu. W końcu stanowi to kolejną barierę dla wchodzących na rynek usługodawców, którzy mogą nie być w stanie ponieść kosztów związanych z ewentualnym odwołaniem się od decyzji operatora do krajowych agencji regulacji telekomunikacji.
  • ISP będą mogli zmieniać priorytet transferu nie tylko w przypadku aktualnego, ale również nadchodzącego wysokiego wykorzystania pasma. W praktyce oznacza to dużą dowolność w podejmowaniu decyzji co do zmiany obłożenia sieci, a więc możliwość preferencyjnego traktowania poszczególnych podmiotów.

Odrzucenie poprawek oznacza więc, że do prawdziwej neutralności sieci w Unii Europejskiej wiedzie jeszcze długa droga. Co więcej, w opinii niektórych posłów, regulacja nie zagwarantowała nawet prawidłowego zniesienia opłat roamingowych. To jak regulacja zostanie wprowadzona w życie zależy więc teraz od jej interpretacji i implementacji przez krajowe urzędy regulacji telekomunikacji oraz sądy. Pozostaje mieć nadzieje, że ich decyzje będą podyktowane interesem konsumentów, a nie operatorów telekomunikacyjnych.