Archive | New technologies / nowe technologie RSS for this section

Ataki Sieciowe 2016 – relacja z pierwszego dnia konferencji

Brak aktywności na blogu w ciągu ostatnich miesięcy bynajmniej nie był spowodowany wypoczynkiem. Wręcz przeciwnie – już po raz drugi, razem z koleżankami i kolegami z Koła Naukowego Prawa Nowych Technologii UMK, byłem odpowiedzialny za organizację konferencji Ataki Sieciowe. Tegoroczna edycja była już szóstą odsłoną wydarzenia, w tym drugą podczas której gościliśmy prelegentów reprezentujących ośrodki zagraniczne. W tym roku zresztą było z nami wyjątkowo szerokie grono podmiotów – od firm z branży IT, poprzez kancelarie zajmujące się na co dzień kwestiami związanymi z regulacją nowych technologii aż do organizacji pozarządowych i międzynarodowych, i ośrodków akademickich. Niestety niektórym prelegentom nie udało się dotrzeć na konferencje, z czym zawsze trzeba się liczyć podczas organizacji takiego wydarzenia. Podczas tegorocznej edycji  sytuacja ta dotyczyła Tomasza Soczyńskiego z GIODO oraz Macieja Ziarka z Kaspersky Lab. Tematyka Ataków Sieciowych zawsze związana jest z najnowszymi trendami w dziedzinie bezpieczeństwa IT i legislacji związanej z tym tematem. W tym roku, niestety, musieliśmy również zwrócić uwagę na brak implementacji wyroku Trybunału Konstytucyjnego w zakresie dostępu do danych telekomunikacyjnych i postępujące rozszerzanie uprawnień przysłuchujących agencjom rządowym.

Konferencję otworzyło wystąpienie Profesora Andrzeja Adamskiego dotyczące zagrożeń związanych z wzrostem popularności płatności elektronicznych. Profesor opisał problem od strony kryminologicznej, ze szczególnym uwzględnieniem statystyk dotyczących skali zjawiska i metod ataków. Jak nietrudno zgadnąć z roku na rok ilość przypadków takich przestępstw wzrasta, a przestępcy chętnie wykorzystują fakt coraz powszechniejszego wykorzystania technologii NFC do dokonywania płatności za pomocą smartphonów. Kolejny wykład wygłosił Profesor Wojciech Filipkowski reprezentujący Uniwersytet w Białymstoku, który poruszył problematykę wykorzystania data miningu przez organy ścigania. Prelekcja skupiała się przedstawieniu modeli stosowania DM w zakresie wykrywania i zwalczania przestępczości oraz roli tworzenia schematów wzorów zachowań we wspomaganiu pracy organów ścigania. Co istotne, podkreślono również konieczność zachowania ograniczonego zaufania do rezultatów uzyskiwanych za pomocą DM, a także konieczność oceny proporcjonalności jego stosowania. Warto pamiętać o tym w kontekście tego jak często służby specjalne próbują uzyskać dostęp do coraz to nowych narzędzi umożliwiających tworzenie obszernych baz danych.

Następnie gościliśmy przedstawicieli dwóch organizacji pozarządowych – Amnesty International i Fundacji Panoptykon.  Fundacje Panoptykon reprezentował Wojtek Klicki, którego wystąpienie dotyczące badań nad dostępem służb specjalnych i policji do danych internetowych potwierdziło jak ważną rolę Panoptykon pełni w roli watchdoga. Liczba zapytań sięgająca i 2mln rocznie i brak implementacji mechanizmów kontrolnych których obowiązek wprowadzenia wynika z wyroku Trybunału Konstytucyjnego, sprawia, że problem retencji danych będzie aktualny w najbliższych latach. Dla mnie najbardziej zatrważająca była informacja, że Służba Kontrwywiadu Wojskowego konsekwentnie odmawia udzielenia informacji co do statystyki zapytań o dane billingowe, uzasadniając to faktem, że nie są zobowiązani do udzielenia informacji w ramach dostępu do informacji publicznej, gdyż SKW nie korzysta z pieniędzy publicznych. Doprawdy interesujące jest skąd w takim razie Służba pozyskuje fundusze na swoje funkcjonowanie. Na szczęście jednak, dowiedzieliśmy się, że w związku z tym SKW dwukrotnie przegrało sprawę przed sądem administracyjnym który zobowiązał ją do ujawnienia informacji. Agnieszka z Toruńskiej grupy Amnesty przedstawiła zarys kampanii #unfollowme, a także wytłumaczyła dla czego problem inwigilacji to problem praw człowieka. Wystąpienie połączone było z przygotowanym przez mnie i Tomka Ciborskiego (również członka Koła) krótkim wykładem dotyczącym narzędzi umożliwiających ochronę prywatności. Pierwszy blok zamknęło wystąpienie Janusza Urbanowicza z CERT Polska, który opowiedział o działaniu polskich trojanów banków. Pan Janusz przedstawił mechanizmu działania złośliwego oprogramowania,  zaprezentował ich obsługę na przykładzie paneli kontrolnych zagrożeń wykrytych przez CERT, a także opisał sposoby przechwytywania informacji wprowadzanych przez użytkownika.

Drugi panel, który miałem zresztą przyjemność poprowadzić, miał bardziej międzynarodowy charakter. Rozpoczął się od wystąpienia Billa Tupmana – kryminologa zajmującego się problematyką terroryzmu, przestępczości zorganizowanej i przestępczości transgranicznej. Bill, zainspirowany słowami Donalda Rumpsfelda o ‘nieznanych nieznanych’, postarał się zarysować cele do jakich agencje rządowe, terroryści, przestępcy i media mogą wykorzystać umiejętności hakerów. W prezentacji zostało zaznaczone również to jakie motywacje mogą mieć przyszłe pokolenia hakerów – postępujące informatyzacja biednych krajów, połączona z frustracją wynikającą z relatywnie niskiego poziomu życia sprawia, że młodzi ludzie mogą stać się docelową grupą dla rekrutacji przez grupy terrorystyczne. Następną prelekcję wygłosił Komandor Porucznik Wiesław Goździewicz z Joint Force Training Centre w Bydgoszczy. Tegoroczny wykład dotyczył faz ataku APT, a konkretnie ich zakwalifikowania jako ataku zbrojnego na gruncie prawa międzynarodowego. Rozważania teoretyczne poparte były analizą trzech przypadków – wykorzystania Stuxnetu do ataku na ośrodki wzbogacania uranu, operacji izraelskich sił powietrznych w której wykorzystano malware do unieszkodliwienia obrony przeciwlotniczej oraz ataku na hutę stali w Niemczech. Po wystąpieniu Komandor odpowiedział na szereg pytań od słuchaczy – największe zainteresowanie wzbudziła kwestia ćwiczeń jednostek wojskowych z zakresu cyberbezpieczeństwa oraz współpracy pomiędzy agencjami wojskowymi i cywilnymi. Blok zamknęło wystąpienie Profesora Arkadiusza Lacha, kierownika katedry postępowania karnego i Centrum Badań nad Cyberprzestępczością UMK. Profesor omówił kwestie implementacji dyrektywy o atakach na systemy informatyczne do prawa polskiego. Szczególną uwagę zwrócił na statystyki ilości przestępstw – niektóre czyny penalizowane przez obecny kodeks karny w rzeczywistości bowiem wcale nie występują. Kuriozalna jest zwłaszcza sytuacja art. 269b – który zakazuje posiadania właściwie wszystkich narzędzi służących do pentestingu, pomimo tego jednak jest on właściwie nie stosowany w praktyce.

Ostatni blok pierwszego dnia konferencji poświęcony był bardziej biznesowej stronie cyberbezpieczeństwa. Otworzyło go wystąpienie Mecenas Artura Piechockiego, który reprezentował Fundacje Bezpieczna Cyberprzestrzeń. Mecenas opowiedział o nadchodzących zmianach w unijnych przepisach dotyczących bezpieczeństwa sieciowego i ochrony danych osobowych. Szczególne zainteresowanie wzbudziła kwestia znacznego wzrostu potencjalnych kar finansowych (sięgających nawet kilku milionów euro, bądź kilku procent całości obrotu) które będą mogły być nałożone na podmioty nie przestrzegające przepisów ochrony danych osobowych. Drugim prelegentem był Marcin Ulikowski z Atos, który przedstawił case study dotyczące ataku polegającego na skasowaniu danych z serwerów pewnej firmy. Marcin opisał jak żmudna praca umożliwiła skuteczne zidentyfikowanie sprawcy pomimo niesprzyjających warunków (pracownicy firm w trakcie śledztwa pracowali wciąż na kontach z których przeprowadzono atak…). W końcu dzień zamknęła prezentacja Jakuba Masłowskiego z Allegro. Jakub opowiedział o zaufaniu w branży bezpieczeństwa korporacyjnego – zarówno zaufaniu do oprogramowania jak i użytkowników, a także o końcu ery antywirusów które już bardzo słabo radzą sobie z rozpoznawaniem większości zagrożeń.

I tak zakończył się pierwszy dzień o konferencji. O drugim (również wypełnionym interesującymi prezentacjami) napisze jak tylko znajdę czas.

Advertisements

No maps for these territories – landscape of cyberwarfare reporting

In latest Edward Snowden’s profile prepared by Wired two new informations related to US cyberwarfare activity were revealed. First is that NSA caused internet blackout in Syria while trying to deploy exploit in one of Syria’s main routers. Unfortunately instead of accomplishing their goal operatives made router completely unresponsive – effectively cutting off country from foreign internet connections. Combining secret nature of NSA activities with increased rebel activity during that period (November of 2012) the narrative presented by media was naturally much different. Pretty much every major news network claimed (often backed up by source from intelligence / cyber security companies) that Syria’s government is responsible for blackout, and furthermore that it was a deliberate effort in order to prevent global coverage of atrocities that are about to happen. There are two side of this – it might be argued that given unstable situation and callousness of Al-Assad’s regime, government sponsored blackout was the most probable course of action. On the other hand this case brutally reveals how much and to what extend informations about cyberwarfare in all its aspects (be it hacker attacks, cyber espionage, ddos attacks or anything else executed from behind the keyboard) are based on speculations and probability scales. Make no mistake – it is not strictly fault of news networks, or rather it is but there is little they can do about it. In case of rising superpower of news media, the  internet outlets of various forms what matters most is page visit counter. While this phenomena is certainly not limited to cyberwarfare reporting, combination of lack of sources, clandestine nature of operations and limited technical knowledge of news staff makes reports even sketchier and more sensationalistic than usual. After all nothing makes a better headline than a cyberattack straight from Tom Clancy’s novel.

Read More…

40GB łamania praw człowieka – wyciek z Gamma Group

10 dni temu niejaki Phineas Fisher korzystając z twittera o nazwie @gammagrouppr opublikował pozornie żartobliwą wiadomość ‘Jako, że skończyli nam się klienci rządowi, Gamma International otwiera się na sprzedaż dla prywatnych użytkowników’. Niedługo potem upublicznione zostały materiały promocyjne, kody źródłowe i szczegółowe opisy narzędzi służących do inwigilacji komunikacji elektronicznej – łączenie prawie 40GB danych (magnet link torrenta z materiałami można znaleźć tutaj). Czym jest Gamma Group i dlaczego ujawnione informację wyróżniają ją spośród innych firm z branży? Założony w latach 90 konglomerat mający swoje oddziały w Europie, Azji, Afryce i na Bliskim Wschodzie oferuje szeroki zakres narzędzi i usług związanych z elektronicznym pozyskiwaniem informacji. Mowa tutaj o rozwiązaniach służących do podsłuchu zarówno ruchu sieciowego jak i komunikacji GSM, geolokalizacji, data mining, a także usługi odzyskiwania danych i pozyskiwania dowodów elektronicznych i systemy obserwacji audio-video. Gamma International Ltd i Gamma International GmbH to natomiast odpowiednio Angielska i Niemiecka spółka zależna konglomeratu które to zaangażowane były w promocję i dystrybucję narzędzia ‘FinFisher’. Celem Gamma Group zawsze byli klienci rządowi i korporacyjni – oba oddziały Gamma International (oficjalnie) sprzedawały sprzęt i oprogramowanie wyłącznie agencją rządowym. W skład ‘FinFisher’ wchodzi zestaw narzędzi służących to zdalnej obserwacji i kontroli zainfekowanych komputerów. Mówiąc wprost – FinFisher to głównie malware zapewniający zdalny pulpit + pakiet narzędzi podsłuchowych które dodatkowo szyfrowały zgromadzone dane. Wśród funkcji narzędzia jest podsłuchiwanie Skype’a, przechwytywanie emaili, chatów, VoIP, keylogger i zdalna analiza dowodowa systemu. Program umożliwiał również tworzenie botnetów – producent zapewniał dostęp do serwerów C&C i szkolenia w zakresie ich obsługi. Co więcej zakres podatnych maszyn nie ograniczał się do komputerów – podatne były również telefony komórkowe oparte na platformach Blackberry, Android, Symbian i Windows Phone.

Read More…

Pros, cons and legal problems of open WiFi

Nowadays it is hard to find a place with less than 3 WiFi networks in range of our network card. Even though most of the access points are already protected by WPA, occasionally some are either not secured at all, or are secured by WEP (basically they are not secured either). When visiting a new place, or using laptop beyond reach of our internet access it is especially tempting to ‘perform penetration testing’ of such networks and eg check email. While most of these incidents will go unnoticed by owner of the access point and does little harm – which means that there is no enough reason to involve law enforcement resources and criminal prosecution – sometimes it turns into outright stealing of bandwidth and ‘free’ source of internet. Unfortunately it is hard to define what exactly constitutes of unauthorised access as well as proving guilt of perpetrator.

Most jurisdictions, as well as convention on cybercrime, includes crime of unauthorised access to computer network. Using often included very broad definitions, which commonly states that computer network is group of interconnected devices which perform automated data processing it is easy to say that accessing someone’s WiFi falls under this definition. The problem that arises is that most of the time stealing wireless connection is completely different felony that ‘unauthorised access to computer network’. It rarely includes breaking into other machines connected to hotspot and intercepting or altering data stored there – the very core of ‘hacking’. As a result either sanctions defined in statues have to be very broad to include all possible situations on the spectrum, or adequately high punishment could be applied to rather petty crime. Much more problems in this case however rises the very definition of unauthorised.

Read More…

Bumpy roads and heavy winds of BitCoin

According to portal money.pl current value of 1 BTC is $622 with 8.2% drop. That is not surprising after recent Mt.Gox turmoil resulting in service being excluded from CoidDesk. Mt.Gox on the other hand recently announced that they discovered critical bug in BTC design, the “transaction malleability”, enabling deleting transaction information which might lead to resenting transaction. It was however not left without comment among community with claims that Mt.Gox explanation, to put it lightly, does not hold water. Today’s value is not unusually low, especially considering 50% fall when People’s Bank of China issued ban on merchants accepting Bitcoin and forbade banks and payment processors from converting Bitcoin into yuan.

Problem of volatility is constantly present since bitcoin gained significant value. What’s more important it is probably biggest thorn in paws of those who would like to see bts entering real retail and services payment. After all it is hardly comfortable to use currency which changes its value significantly on daily basis. Proponents suggests that it is just transition stage, with bts being still developed technological platform which will eventually mature into full blown currency. Opponents claim that it will be technological quirk with few option for utilizing currency, which stems from current problems, will ultimately lead to demise as the popularity will decline. The truth is that unfortunately bitcoin community does not contribute much to changing the volatile nature and lack of real uses for the currency. Let’s just take a look at reddit’s r/bitcoin – number of threads about real life applications and implementation is simply buried beneath discussions on gains from speculation. Such trend was especially visible after bts reached magical value of $1000, maybe even more visible was top link of the subreddit – phone number to suicide hotline – posted after price fall to $500. But perhaps even more disturbing is shortsightedness of supporters. Even commentators supporting bitcoin proliferation note that current state of the software is too clumsy, too unpolished to become real money instrument. Even if bts will reach such status it definitely won’t be in the current form.

Read More…