Archive | Cybercrime / cyberprzestępczość RSS for this section

Księgowi kontra cyberprzestępcy. Relacja z Cambridge International Symposium on Economic Crime

Relacja lekko spóźniona, gdyż Sympozjum odbyło się w dniach 4 – 11 września, jednak ze względu na skalę i rangę wydarzenia, a także wnioski które nasunęły mi się w jego trakcie, nie mógłbym odpuścić komentarza. Konferencja odbyła się już po raz 34 w kampusie Jesus College Uniwersytetu Cambridge, brało w niej udział blisko 650 prelegentów (wykłady trwały codziennie od 8 do 18:30, zazwyczaj w formie kilku równoległych sesji), a łącznie ze słuchaczami około 1600 uczestników z 90 krajów. W tym roku po raz pierwszy miałem okazję w niej uczestniczyć, gdyż zostałem zaproszony do zasiadania w Sekretariacie Sympozjum.

Jak sama nazwa wskazuje, głównym tematem konferencji jest przestępczość gospodarcza, a w tym roku ściśle ‘where does the buck stop?’. Uczestnicy dyskutowali więc przede wszystkim o tym kto ostatecznie powinien ponosić odpowiedzialność za przestępstwa finansowe i jaki w tej odpowiedzialności powinien być udział tych którzy umożliwiali popełnianie przestępstw – księgowych, działów compliance i firm świadczących usługi finansowe. Z naszej perspektywy skupić należy się jednak na zagadnieniach skali, kierunków rozwoju i strategii zapobiegania cyberprzestępczości które także były przedmiotem wykładów i warsztatów – tym bardziej, że szczegółowa relacja z całego wydarzenia zajęłaby co najmniej arkusz wydawniczy.

Pierwsze co zwróciło moją uwagę to zdecydowana rozbieżność podejść do zjawiska do problemu pomiędzy przedstawicielami biznesu, a przedstawicielami nauki i instytucji rządowych. Philip Rutledge w swojej prezentacji dotyczącej skali zjawiska i reakcji ze strony rad nadzorczych podkreślał, że zagrożenie, lub nawet realne straty, ze strony przestępstw komputerowych traktowane są raczej jako uciążliwość niż problem wymagający systemowej reakcji. Szkody z nich wynikające są niemalże wliczane w koszty prowadzenia działalność, a dyrektorzy wykonawczy i członkowie rad nadzorczych nie są zbytnio zainteresowani otrzymywaniem informacji na temat nowych zagrożeń czy organizacją kompleksowej reakcji na włamanie (uwzględniającej nie tylko IT, ale też działu prawne i HR przedsiębiorstwa). Takie podejście nie jest jednak szczególnym zaskoczeniem, biorąc pod uwagę, że straty finansowe związane z atakiem są niższe niż koszty utrzymania skutecznego poziomu zabezpieczeń. Również Polska perspektywa potwierdza ten punkt widzenia. Podmioty które były celem bardzo głośnych i szkodliwych dla klientów jak Plus Bank czy Kancelaria Drzewiecki Tomaszek nie poniosły zasadniczo żadnych konsekwencji. Tak samo w krajach zachodnich, o ile wydarzenie nie jest naprawdę katastroficzne – jak włamanie do sieci POS Target – to kierownictwo zasadniczo nie ponosi odpowiedzialności za niewystarczające środki bezpieczeństwa stosowane w firmie.

Z drugiej strony środowiska akademickie i rządowe prezentowały zgoła przeciwne podejście. Szczególnie widoczne jest zaangażowanie rządu brytyjskiego w promocje stosowania skutecznych praktyk w zakresie bezpieczeństwa informacji czego przykładem jest choćby program ‘Cyber Essentials‘ polegający na darmowej certyfikacji przedsiębiorców którzy spełnią minimalne standardy ochrony informacji. Mając na uwadze, że w obszarze mniejszych przedsiębiorstw bardzo często nie są stosowane właściwie żadne zabezpieczenia, rozpowszechnienie takich standardów wśród małych i średnich przedsiębiorców mogłoby znacząco obniżyć ich atrakcyjność jako celów zautomatyzowanych ataków. Rząd zwraca również szczególną uwagę na branże w których bezpieczeństwo informacji ma wyjątkowe znaczenie – jak choćby kancelarie prawne. Co ciekawe według przedstawiciela rządu z którym miałem okazje dyskutować już po prelekcji ‘law society’ bardzo poważnie podchodzi do tych kwestii. Jak jednak w praktyce wyglądają polityki bezpieczeństwa wdrażane w brytyjskich kancelariach niestety.

Akademicy również są zaniepokojeni rozwojem wydarzeń. Tak jak przedstawiciele rządu zwracali uwagę na rosnącą skalę zjawiska i niemrawe reakcje ze strony podmiotów biznesowych, ale podkreślali również brak systemowego programu szkoleń dla osób które chciałyby zawodowe zajmować się bezpieczeństwem cybernetycznym. Rząd UK szacuje, że w najbliższych latach brakować będzie 2 milionów pracowników w owym sektorze. Tymczasem, według Profesora Barrego Ridera, nie ma programów dla osób chcących pracować w sektorze publicznym m.in. w obszarze analityki zagrożeń.

Kolejną refleksją, natury bardziej interdyscyplinarnej, jest różnica pomiędzy podejściem do regulacji dotyczącej bezpieczeństwa informacji i bezpieczeństwa transakcji finansowych. To co najbardziej mi się rzuciło w oczy podczas konferencji to skala regulacji w zakresie AML (anti-money laundering). Próg wymagań które muszą spełnić instytucje zajmujące się szeroko pojętym przepływem pieniędzy jest absolutnie nieporównywalny z jakimikolwiek wymaganiami dotyczącymi choćby ochrony danych osobowych. Naturalnie nie można stwierdzić, że ustanowienie takiego samego poziomu regulacji automatycznie rozwiązałoby problemy ochrony informacji jednak w mojej ocenie należy też odrzucić tezy typu ‘compliance chroni jedynie przed atakiem audytorów’. Realnie oceniając stan wymagań (a raczej ich śladowych ilości – tak naprawdę jedyną porównywalną instytucją jest obecnie PCI) trudno jest nawet wyobrazić sobie jaka rewolucja musiałaby nastąpić w działach compliance i IT firm gdyby wprowadzić regulacje porównywalne z regulacjami AML. I nawet jeżeli część wymagań byłaby jedynie uciążliwością to przynajmniej mogłaby powstać zestaw standardów stanowiących punkt odniesienia dla oceny rozwiązań stosowanych w poszczególnych przedsiębiorstwach. Zgadzam się tutaj z Brucem Schneierem, który twierdzi, że regulacje podnosiłyby poziom bezpieczeństwa poprzez motywacje ekonomiczne.

Czy jeżeli interesujemy się wyłącznie bezpieczeństwem IT warto odwiedzać takie wydarzenia? Według mnie zdecydowanie tak. Pomijając nawet rangę konferencji (Sympozjum to zdecydowanie jedno z najważniejszych, jeżeli nie najważniejsze wydarzenie tego rodzaju w zakresie przestępczości gospodarczej), to na pewno warto konfrontować wyobrażenia i oczekiwania co do wdrażania bezpieczeństwa w firmach z rzeczywistością w której infosec jest tylko jednym z trybów działania przedsiębiorstwa.

‘Pravyy Sector’ and DNC leak as symptoms of new trend in Russian cyber operations

Hacking group Pravyy Sector (‘pravyy’ is bastardised Ukrainian for ‘right’, Right Sector is the name of Ukrainian ultranationalist party), responsible for leaking customer data of Polish ISP Netia, claimed on Twitter that they breached network of Polish Ministry of Defense. Group claimed that they gained full access to the MoD network and, what might be even more interesting, got their hands on ‘PRISM Poland logs’. Pravyy Sector then demanded $50 000 transferred to specified account or bitcoin address in exchange for not leaking the data.

To prove their access, group has posted screenshots from apparent MoD computer, photos of application to ‘PRISM service’ and xml containing information about hosts in alleged MoD network. It is worth noting that materials posted initially were hardly a proof of compromised network – attached screenshots suggests that all files were taken from single computer. MoD soon issued a statement claiming that attackers has gained only outdated documents and are trying to overestimate their success. Pravyy Sector countered with posting screenshots of emails with information related to organisation of recent NATO summit. Ultimately however, it seems that they bluffed. Alleged information coming from PRISM programme are probably just data collected by botnet with only superficial modifications made to make them more believable. Soon after, group has deleted twitts related to hack.

Read More…

When scientists go blackhat, ethics becomes turbid

When one year ago Blackhat presentation during which researches were supposed to show how they successfully conducted deanonymisation attack against Tor was cancelled, speculations gone through the roof. The most probable scenario, which I also supported, was that scientists defied ethical and legal boundaries and effectively committed an offence by conducting illegal interception of internet traffic. Now, motion filled in case of Brian Richard Farrell, owner of SilkRoad 2.0, which describes how Farrell was identified based on “information obtained by a ‘university-based research institute’ ” almost directly suggests that the research results were used in this case and that was the reason for cancelling presentation. Then, speculation concentrated on how come, or if at all, Institutional Review Board (IRB) have green lighted such research. Now, it seems that truth is far more concerning. According to Vice and Tor project, apparently FBI has paid Carnagie Melon University researchers one million dollars for executing newly developed against Tor users and passing gathered data to law enforcement. On the other the university claims that it was forced to hand out the results by subpoena.

Both scenarios seems to be equally troubling in terms of both ethical and legal considerations. First of all, I strongly believe that role of researchers and law enforcement agents has to be strictly separated. This does not mean that academic community has no rule in supporting LEAs’ efforts (through both research in areas of criminology, legal analysis and developing technical means of investigation), however once the actual operations are ongoing, they should be executed be LEOs exclusively. There are many reasons for this. First of all, scientists generally are not required to possess knowledge about criminal procedure required to collect evidence in a way that will ensure they are admissible in court. Second, scientists are not subject to the same level of disciplinary oversight that is (or should be) imposed on the members of law enforcement. Finally, civilians should not be expected to perform tasks (such as interception of traffic) that are only legal when conducted as a part of law enforcement operation.

Furthermore, there are significant problems and considerations in regards to the very process of obtaining evidence in Farrell’s case. If Carnegie Mellon was really forced to hand out research, is it possible that there was a pressure put on IRB to authorise the research? If not, how come research on subjects unable to provide consent was deemed to be acceptable?  Does obtaining information from external source of information such as academic institution means that standard procedural safeguards does not apply? How come research conducted was not offence under US law? As long as all those questions remains unanswered, this incident should be a stark warning sign of possible abuses that might result from lack of proper oversight over ‘cooperation’ between law enforcement and academic community.

Some argued that cooperation between Carnegie Mellon and the government should not be surprise to anyone, as Software Engineering Institute is known to be funded by federal government and have ties with the Department of Defense. While this might explain why study was conducted in the first place, and why it produced particular results, it provides no consolation in terms of securing procedural safeguards. Model of obtaining evidence that involves greenlighting research, which is unacceptable from the point of view of scientific ethics, and than claiming the results as “source of information” is certainly very convenient way of bypassing criminal procedure in cases that involve digital anonymity. Let’s not forger that how controversial was FBI’s story of tracking down Ross Ulbricht, owner of the original Silk Road, with some claiming that the Bureau completely made up story that was included in criminal complaint. Furthermore, the very idea of conducting massive deanonymisation operations against suspects who could be outside the US, is not straightforward when it comes to obtaining a warrant.

Involvement of SEI as quasi-governmental entity raises questions about role of CERT’s credibility in terms of they contribution to public cybersecurity as well. The fact that vulnerability was not disclosed to Tor project would indicate that potential usefulness of exploit takes priority over securing the network. While this would be in line with policy of stockpiling zerodays for offensive use, it is not something to be expected from CERT, which claims to work in the interest of community. And if the decision to publish or use particular vulnerability is made on case by case basis, then who makes the decision?

Whether scientists were forced or paid, all these questions stem from a single decision – a decision to blur the line between investigation and science, and outsource evidence gathering to a non law enforcement entity. Consequences of this decision, most importantly how materials gathered will be assessed by court, will be a significant signpost for future collaborations between academics and LEOs.

O włamaniu do kancelarii prawnej

Niedawne włamanie do jednej z większych w Polsce kancelarii prawnych jest zdarzeniem w wielu aspektach precedensowym i wymagającym komentarza. Nie zamierzam dokonywać tutaj analizy technicznej ataku – zarys działań napastników można znaleźć u samego źródła na ToRepublic jak i na stronie CERT, ani rozstrzygać jakie prawne konsekwencje mogą spotkać kancelarie – to zostało już przedstawione przez Konrada na portalu cyberprzestępczość.pl. Chciałbym za to rozważyć znaczenie jakie incydent może mieć dla przedstawicieli zawodów prawniczych i ich klientów. Uważam bowiem, że można zaryzykować tezę, iż włamanie jakie miało miejsce to najlepsze co w obecnej sytuacji mogło się wydarzyć.

Dlaczego najlepsze? Biorąc po uwagę poziom zabezpieczeń stosowany przez wszelakie kancelarie to tego rodzaju przypadku zwyczajnie musiało dojść. Kluczową kwestią było więc nie kiedy dojdzie do takiej sytuacji, a jak bardzo klienci ucierpią kiedy do tego dojdzie. Przeanalizujmy więc po kolei wszystkie ‘zalety’ przebiegu wydarzeń:

  1. Napastnicy zaatakowali dużą, znaną i dobrze prosperującą kancelarie. Po pierwsze pokazuje to, że nawet na szczycie kwestia bezpieczeństwa informacji jest ignorowana, a wygrywają najprostsze i zapewne najtańsze rozwiązania. Po drugie, ponieważ kancelaria była odpowiedzialna za prowadzenie tak medialnych spraw jak Amber Gold, czy sprawy kredytów we frankach, incydent może zyskać rozgłos adekwatny do jego skali.
  2. Klienci, będący w istocie głównymi ofiarami, zostali potraktowani w miarę łagodnie. Ich dane nie zostały sprzedane oszustom, co więcej napastnicy umożliwili niektórym usunięcie swoich informacji z baz.
  3. Można na żywo zaobserwować chilling effect straszenia konsekwencjami prawnymi przez kancelarie prawne – czego przykładem jest usunięcie artykułu poświęconego zdarzeniu na zaufanej trzeciej stronie i radykalna zmiana treści artykułu zamieszczonego przez Gazetę Prawną .
  4. Jest szansa na zmianę podejścia do kwestii bezpieczeństwa w kancelariach prawnych o czym mowa dalej.

Skala sukcesu napastników – całkowite przejęcie kontroli nad infrastrukturą IT kancelarii i uzyskanie nieograniczonego dostępu do wszystkich informacji będących w jej posiadaniu – sprawia również, że sytuacja będzie miarą zachowania rady adwokackiej i urzędów odpowiedzialnych ze egzekwowanie standardów ochrony informacji, jak np.: GIODO. Jeżeli bowiem w przypadku tak poważnego incydentu nie zostaną zastosowane radykalne sankcje wobec kancelarii to można będzie wysunąć smutny wniosek, iż żaden przyszły przypadek również pociągnie za sobą adekwatnych sankcji. W tym kontekście najgorszym z możliwych scenariuszy byłbym cykl życia incydentów który według jednego z użytkowników Reddita jest biznesowym standardem, a mianowicie:

  1. Firma skrajnie nieodpowiedzialnie podchodzi to kwestii bezpieczeństwa i zostaje zhakowana.
  2. Firma wynajmuje najdroższych możliwych pentestrów i audytorów aby zadowolić klientów / inwestorów.
  3. Wyniki punktu 2 są ignorowane i wracamy do punktu 1.

Oczywiście pytaniem pozostaje to czy w ogóle możliwy jest nadzór nad poziomem bezpieczeństwa stosowanym przez tego rodzaju podmioty bez zastosowania rozwiązań systemowych. Trudno jest bowiem jednoznacznie stwierdzić czy brak zastosowania odpowiedniego poziomu zabezpieczeń wynika ze zwyczajnej ignorancji w sprawach funkcjonowania sieci komputerowych (co w mojej ocenie jest niedopuszczalne przy wykonywaniu tego zawodu) czy z kalkulacji kosztów i potencjalnych spraw – w końcu jest to dopiero pierwszy taki przypadek. Osobiście uważam, że obecny stan rzeczy jest wynikiem obu tych czynników, z naciskiem na pierwszy. Konkretniej rzecz ujmując – brak wiedzy na temat bezpieczeństwa informacji skutkuje stosowaniem średniej jakości rozwiązań z zakresu bezpieczeństwa, najczęściej jako usługę outsourcowaną wraz z resztą obsługi IT. Ze względu na brak podobnych incydentów brak było z kolei bodźca zarówno dla kancelarii, aby wdrażać specjalistyczne rozwiązania, jak i dla firm zajmujących się obsługą IT – aby na poważnie zająć się kwestią bezpieczeństwa. Rezultatem jest status quo w którym bardziej opłacalna jest reakcja na dokonany atak, a nie proaktywne jemu zapobieganie. I właśnie w tym aspekcie może wyniknąć najwięcej dobrego z zaistniałej sytuacji. Połączenie sankcji ze strony administracji i zwiększenie świadomości klientów co do istotności stosowania odpowiednich środków bezpieczeństwa może popchnąć sytuację na właściwe tory.

W dniu dzisiejszym kancelaria ogłosiła, że oferuje nagrodę w wysokości 100 tysięcy złotych za wskazanie osób odpowiedzialnych i dostarczenie dowodów winy. Kwestie współmierności wysokości nagrody do potencjalnej wartości wykradzionych danych (i dowodów które miałyby zostać dostarczone) pozostawiam każdemu do własnej oceny.

 

Intelligence and criminal justice – shift toward convergence?

When David Cameron announced during #WeProtectChildren summit that GCHQ will join forces with National Crime Agency in order to effectively tackle problem of child pornography in Tor he, probably unintentionally, made a rather sweeping statement about role of intelligence agencies in process of fighting crime. GCHQ’s primary function after all is spying on foreign entities and protecting national security of the UK. In fact Intelligence Service Act 1994 names three functions of the agency: mentioned national security with emphasis on foreign and defence policy, economic well-being of the UK (again with emphasis on foreign actors) and in the last place support of the prevention and detection of serious crime. Status of use of the SIGINT in domestic matters is therefore not as obvious as it could be interpreted from Cameron’s words. Even in the UK, which generally have relaxed legal boundaries regarding law enforcement authority, power to authorise interception of communication by GCHQ still lies in the hands of the Secretary of State. Note has to be made that it is not yet clear what will be the form of cooperation between GCHQ and NCA – perhaps GCHQ will provide only technical assistance (i.e. forensic service) without resorting to more aggressive capabilities.

For some types of operations this kind of cooperation is natural – for example counter intelligence efforts most often rely on work of domestic intelligence, or specialised counter intelligence, agencies which disclose gathered materials in the course of court proceedings. However, that is true for intelligence agencies operating within borders of the country by default i.e. MI5 or FBI. The problem is that nowadays governments try to shift, or at least partially redirect, focus of foreign signal intelligence into tackling local threats. This is without a doubt result of use of more sophisticated tools by criminals. It is hard to argue with Cameron’s assessment, that use of Tor requires special efforts from law enforcement as well as use of measures available only to specific entities. At the same time question remains whether already existing regulations keep up with quick changes in actual policy.

Read More…

Child pornography laws – case for reason over emotions in legislation

There are few topics as controversial and unambiguous at the same time as child pornography. While everyone agrees that sexual exploitation of children is heinous crime and lot of resources has to be concentrated on ending it, questions of what exactly constitutes of child pornography, how to fight to what extend it should be prohibited (production? possession or just gaining access?) remains unanswered. Furthermore due to sensitivity of subject it often causes knee jerk reaction and stream of emotional, rather than rational, arguments which is visible especially in public legislation debates. After all who would ever oppose laws that enables law enforcement to fight child pornography more efficiently, even if civil liberties are left behind in the process. However, even putting aside this aspect, laws often goes to far within their own frameworks or lack coordination between various bills that tries to grasp their straws. That was the case with convention on cybercrime as well as number of national laws.

Convention on cybercrime, signed in 2001 and effective for 10 years now, contains title on child pornography, defined as ‘content related offence’. Furthermore legislators went as far as providing definition of what is child pornography, definition which is rather strict as it includes “a person appearing to be a minor engaged in sexually explicit conduct” and “realistic images representing a minor engaged in sexually explicit conduct”. While reasoning behind such wording is not hard to explain – often it is hard to judge if person is really minor, the implications are quite serious. First of all, it is possible to prosecute someone for producing computer images of child pornography, which might be morally questionable but certainly no children are harmed in the process. Problem becomes even more complex given that many jurisdictions omits ‘realistic’ part in their statues. Case in Sweden, which reached Supreme Court, concerned manga translator who was fined for downloading drawings presenting minors in sexual context. As the case made its way through appeal process, important aspect was whether drawn figures could classified as a person. Prosecution argued that even specific characteristic which were common for manga characters (huge eyes, distinctive anatomy) did not change the overall qualification. While court of appeal upheld this line of reasoning, ultimately supreme court overruled the verdict, saying that drawings were not realistic enough to fall under legal definition. On the other in the US, man was given 15 moths in federal prison after pleading guilty to possession animated pornographic images of minors. While drawings were not manga characters there were not far off in terms of realism. As it is stated in plea agreement one of them depicted “Bart Simpson cartoon character (a minor) standing up and receiving oral sex from the Maggie Simpson cartoon character (a toddler) who is also nude“. Important to note that it is still plea agreement – not unlikely signed due to fear of harsher sentence. Similarly manga collection was ruled to be child pornography, after defendant entered plea bargain under advice of his lawyer.  Attorney reasoned that due to obscenity of images he would be found guilty by jury (problem of entering plea bargains out of fear is a topic for another article). These examples from two sides of the Atlantic shows how important might be such distinction. The problem of stricter approach is obvious – people have gone to jail due to committing an act where no one was even remotely harmed. Furthermore it should be questioned what such statues aims to achieve. Is it in place to catch potential child abusers – which is a stretch and in many countries probably unconstitutional one, or perhaps even thoughts about intercourse with minors deserve punishment. However if the latter is the case, even leaving out thought crime aspect, why laws are limited to drawings? Would literary description be treated the same. Ultimately victimless crime aspect makes such provisions most disturbing, and it is hard not to think about slippery slope aspect.

Second, thinking about convention on cybercrime, essential is that in many cases law enforcement is solely responsible for discovering internet child pornography rings, way before public prosecution comes into action. In such scenario it is often up to computer forensic technicians to decided whether person depicted is minor or not. Also if person has to just ‘appear’ to be minor, what about professional pornography labelled as ‘schoolgirs’ and ‘teens’. Does fact that everybody really knows that porn stars are over 18, makes it exception to the law? Danger of this kind of approach is uncertainty of law and putting too wide interpretation margins in judiciary process. In case of criminal law, where convictions significantly burdens convicted it is unacceptable, especially that there are little advantages resulting from it. Finally the very inclusion of child pornography in cybercrime convention is questionable, and in my opinion is example of poor legislation. Catalogue of ‘cybercrimes’ could extended ad infinitum, by just adding ‘committed using computer’. While it could be argued that crime such as fraud significantly changed its structure and form by including computers, in case of distributing child pornography, other than scale of possible distribution, there is hardly difference between video tape, dvd, and hosting a hidden service. Bottom line is whether there is a point in adding another piece of legislation. If the aim of convention would be to harmonize legislation of different countries, than it has to be noted that there is already in place Convention on the Protection of Children against Sexual Exploitation and Sexual Abuse. Which does include its own articles on child pornography. Furthermore in case of convention on cybercrime, there is possibility of opting out of the ‘generated images’, ‘appearing as minor’, ‘possessing child pornography in a computer system or on a computer-data storage medium’ and ‘ procuring child pornography through a computer system for oneself or for another person’ parts which make it rather poor instrument of harmonization.

Unfortunately it seems that sensitive nature of the problem seriously hinders putting effective laws in place. Moral panic which leads to convicting people of possession manga certainly does not help with adequate distribution of law enforcement resources, always limited in case of computer crimes. Also it seems unlikely that significant changes will happen in near future, as once laws are in place there are few people who would try to soften them. The sad truth is that such process is counter productive to crime detection, something that we cannot afford in this case.

Law enforcement vs TOR and Net Attacks 2014

Unfortunately I had to significantly throttle down creating this blog recently – this is partially due to stacking up of ‘usual’ responsibilities, but also partially due to the fact that I’m involved in organization of law / IT conference – Net Attacks 2014 which happens at Nicolaus Copernicus University in Torun. It might be the only event in Poland that enables discussion between lawyers, netsec professionals and government agencies – be sure to check it out at http://www.atakisieciowe.umk.pl/. Beside taking part in organizing I’m also preparing lecture on law enforcement’s struggle with anonymity provide by Tor. Here I’d like to present sneak peak of my research combined with some thoughts that probably won’t make it to the final cut of the lecture / article.

It’s indisputable that Tor bundle changed fundamentally access to Internet anonymity. Ease of use and almost foolproof mechanism were the elements which guaranteed massive popularity, as well as made it perfect platform for some forms of criminal activity. Drug dealing and child pornography exchange are primary examples of such use. Level of protection delivered by Tor is more than enough to evade law enforcement and with minimal additional knowledge and care render conventional investigation techniques completely useless. In this circumstances LEA are basically left with three options: leveraging very design of Tor, utilize 0-day exploits on software of Tor bundle and basically hack the machines of criminals or use social engineering combined with leveraging carelessness of users to gain data sufficient to capture criminals. However, it is important to remember that law enforcement is bind by law which in many cases is far behind bleeding edge of technology. This situation is especially apparent in civil law countries where often every action taken by LEA have to be strictly detailed in law acts with very little room to adjust to changing situation. Of course it is equally important to keep in mind civil liberties and human rights aspect. Such detailed instruction makes all the operations very transparent and keep agents from abusing their power. On the other hand perhaps more relaxed in terms of legislation, but based on court warrants system allows better adaptation to specific cases.

Two greatest ‘weakness by design’ aspects of Tor are vulnerability to global passive adversary and lack of encryption of data leaving exit nodes. First still seems to remain in the realm of theory and it’s not likely it will become significant option for law enforcement. Even though experiments prove their effectiveness, resources required to pull such operation off and need for basically blanket approval to sniff on extremely large chunks of network make it impossible to use in any country with even elemental privacy safeguards. Second option (exit node eavesdropping) is definitely more interesting both in technical and legal terms. First of all it does work great! Experiment presented by Swedish researcher Dan Egerstad proved that setting up even small exit nodes in various locations can yield amazing results with captured emails from various embassies and government agencies. Furthermore Egerstad claimed that both some of these accounts were already compromised be people using similar technique and that some large exit nodes are just to conveniently placed in places like Washington D.C. and have to large bandwidth not to be set up by the government. And while up to this point everything sounds great it is still probably poor method for crime fighting. First of all blatant capture and analysis of all data that leaves certain node in on par with massive blanket surveillance that we are aware of now, after Snowden’s revelation. As such it should be discouraged, and if used will face the same problems with using it as evidence as NSA programs are facing now. Also let’s not omit the fact than exit node sniffing does not reveal IP addresses, only messages sent.

However, FBI took entirely different route when trying to break child pornography circles. After capturing creator of Freedom Hosting, and at the same time gaining control of its servers, agents injected malware on services hosted by FH. Malware wasn’t anything spectacular and required carelessness on the side of Tor user, but proved to be good enough for its job. At the same time though, it opens the discussion about limits of tools LEA can use. The exploit used was a 0 day for Firefox, using it meant basically exposing every other browser with the same configuration and same version to be attacked. On the other hand exploit was already outdated when released since latest release of Firefox was already patched against it. Since use of such technologies is relatively new it is not surprising that law is far behind. In Poland doing anything similar would be probably impossible to do, not even due to harsh restrains on LEAs but because there is nothing even remotely similar discussed in Polish legislation.

Finally there is a case of Dread Pirate Robers and whole series of events that lead to his identification. However if you would like to hear about that please join me at Net Attacks 2014 🙂

Careto – Kaspersky ujawnia niezwykle zaawansowany (i hiszpańskojęzyczny) APT

Advanced Persistent Threat – termin uknuty przez analityków sił powietrznych Stanów Zjednoczonych opisujące ataki mające długofalowe założenia, korzystające z zaawansowanych technik i skierowane przeciwko konkretnym celom. Można by wręcz stwierdzić, że są przeciwieństwem ‘hacks of opportunity’ kiedy to napastnicy wykorzystują odkrytą lukę w bezpieczeństwie. W przypadku APT najpierw określany jest cel ataku a dopiero potem wyszukiwane są słabości które umożliwią konkretny rodzaj ataku. Takie działania kojarzone są najczęściej z akcjami sponsorowanymi przez rządy ze względu na konieczność zaangażowania znacznych środków. Najsłynniejszym przykładem pozostaje zapewne Stuxnet – efekt działań rządów USA i Izraela odpowiedzialny za zniszczenie irańskich wirówek służących do wzbogacania uranu.

Atak Careto opierał się w dużej mierze na spear phishingu – spreparowane emaile rozsyłane przez malware miały skłonić ofiarę do odwiedzenia zarażonej strony. W zależności od wykrytej konfiguracji stosował odpowiednie exploity. Co interesujące adresy były usuwane na bieżąco, więc nie udało się pozyskać wszystkich wersji exploitów użytych podczas ataku. Korzystały one jednak głównie z apletów Java i wtyczek Flash Player. Exploit wykorzystujący Flash Playera był przeznaczony dla konkretnej, nieaktualnej już wersji 10.3.x co oznacza, że napastnicy wykorzystywali te lukę niedługo po jej odkryciu (została odkryta w 2012 roku – wpis z NVD). Ostateczny cel działań Careto pozostaje nieznany. Znany jest jednak szeroki zakres celów – zarówno jeżeli chodzi o ilość zaatakowanych maszyn , rodzaj zbieranych danych jak i branże dotknięte atakiem. Według raportu Kaspersky Lab, Careto zaatakował instytucje rządowe, placówki dyplomatyczne, przedsiębiorstwa energetyczne i badawcze, a także firmy private equity i grupy aktywistyczne. Równie rozległy jest zakres geograficzny ataku – obejmował on ponad 1000 komputerów w 31 państwach, a większość celów znajdowała się na terytorium Hiszpanii, Maroka, Wenezueli i Francji. Wśród ofiar znalazły się również 2 cele na terytorium Polski. Najbardziej niepokojący (i być może imponujący) jest jednak zakres danych jakie były gromadzone – Careto przychwytywało ruch sieciowy, wciśnięcia klawiszy, rozmowy poprzez Skype’a, ruch w sieci WiFi, klucze PGP, wszystkie informacje z urządzeń Nokii, a wykonywał zrzuty ekranu i monitorował wszelkie operacje na plikach. Co więcej analizował pliki zgromadzone na maszynie i pozyskiwał z nich klucze kryptograficzne, klucze SSH, pliki RDP (konfiguracji zdalnego pulpitu), oraz konfiguracje VPN. Równie imponujący jest zakres systemów które zostały zaatakowane. Potwierdzone zostały już rootkity i bootkity dla Windowsa (zarówno 32 jak i 64 bitowego) oraz Mac OS X, natomiast ślady w oprogramowaniu wskazują na istnienie wersji dla Linux, iOS i Androida. Careto jest aktywne już od 2007 roku.

Read More…

Social Engineering 101 – how customer service does more harm than good

Less is more? It turns out that both in Twitter accounts names and security breaches it is true. Recent post by Naoki Hiroshima gained already a lot if attention equally because of quite daring reveals of the attacker and utter incompetence on the side of PayPal and GoDaddy security and client data protection policies. As Naoki presents the case, it all started with a message from GoDaddy informing about change in account information. Unfortunately due to changes made by attacker it was already impossible to log into the account, furthermore because of changed credit card number customer service was unable to positively verify Naoki and failed to return the account. The attacker then tried to reset twitter password which failed, due to time required to update mail exchange record. Finally he contacted Naoki informing about his interest in @N account and threatened with making GoDaddy retake domain. Soon after GoDaddy replied to earlier filled case report. However they were not able to help, due to the fact that domain registrant have to be verified in order to proceed (you can almost see how things are getting sillier with every step). As a result Naoki decide to comply to the demands and release the @N address.

Read More…

Daniel Ellsber, open Firefox, EU copyright consultations and Target follow up – news report

Unfortunately, due to approaching finals lack of time is killing, so instead of full blown post, I’d like to present ‘bits of news’ that in my opinion are worth checking out:

Whistleblower Daniel Ellsber answers questions on reddit – this just came in as I started to write this post, and even though it’s not really an information piece it is a must for anyone interested in privacy / government transparency. For those of you how are unfamiliar wit Mr Ellsber – he was the man who in 1971 released so called ‘Pentagon Papers’ which revealed that US administration knew that Vietnam war is unwinnable yet did not informed public opinion about it and continued with military operations.

Mozilla asks user to audit code of Firefox in order to prevent surveillance – it is well known that open-source software is one of many requirements for users who would like to keep their privacy. Ability to check the code and prevent installation of backdoors is, as cooperations between NSA and various software and hardware producers became known, invaluable. Mozilla is quite known now for their privacy oriented business strategy – let’s just mention project lightbeam.

European Union opens consultation program regarding changes in copyright laws (here interactive online version)  – it seems that European legal authorities become aware of massive problems arising from current state of copyright laws which are related to all sort of problems – from instrumental use of public prosecutors in war on piracy to limited access to literary works even if author is already deceased. What will be actual result of this action is yet to be known, however it’s definitely move in good direction.

Target’s data theft affects 70 millions customers – as expected story of massive data breach at American retail network unwinds. Furthermore as it turns out, Target wasn’t the only affected retailer. Neiman Marcus and maybe three others companies were also attacked, timing of the attack correlating with that of Target’s – totaling to over 100 millions possibly affected customers. Also details regarding method of the POS attack are slowly getting to light. Apparently malware used for attacks is modified version of BlackPOS – popular and available for sale designed to be installed on POS devices. As reported by Krebs on Security after installing malware attackers gained persistent access to network by logging to remote server. Analysis by McAfee labs suggests involvement of known among cybercrimes forums user ‘Rescator’. According to Seculert malware downloaded 11 GBs of data in over two weeks of its activity. Stolen data were then uploaded to FTP servers.

President Obama announces curbing NSA spying program – as planned earlier today Barack Obama made a public appearance regarding sweeping data collection programs. Unfortunately, nothing more than expected promises of limiting scope of surveillance resulted form the speech. Whether any changes towards civil liberties will happen, or just programs will be better concealed is yet to be seen (hopefully).

I hope that my timetable will allow to soon come back to ‘normal’ form of the posts. In the meantime wish me luck, and keep following lawsec.net!