Tag Archive | malware

O włamaniu do kancelarii prawnej

Niedawne włamanie do jednej z większych w Polsce kancelarii prawnych jest zdarzeniem w wielu aspektach precedensowym i wymagającym komentarza. Nie zamierzam dokonywać tutaj analizy technicznej ataku – zarys działań napastników można znaleźć u samego źródła na ToRepublic jak i na stronie CERT, ani rozstrzygać jakie prawne konsekwencje mogą spotkać kancelarie – to zostało już przedstawione przez Konrada na portalu cyberprzestępczość.pl. Chciałbym za to rozważyć znaczenie jakie incydent może mieć dla przedstawicieli zawodów prawniczych i ich klientów. Uważam bowiem, że można zaryzykować tezę, iż włamanie jakie miało miejsce to najlepsze co w obecnej sytuacji mogło się wydarzyć.

Dlaczego najlepsze? Biorąc po uwagę poziom zabezpieczeń stosowany przez wszelakie kancelarie to tego rodzaju przypadku zwyczajnie musiało dojść. Kluczową kwestią było więc nie kiedy dojdzie do takiej sytuacji, a jak bardzo klienci ucierpią kiedy do tego dojdzie. Przeanalizujmy więc po kolei wszystkie ‘zalety’ przebiegu wydarzeń:

  1. Napastnicy zaatakowali dużą, znaną i dobrze prosperującą kancelarie. Po pierwsze pokazuje to, że nawet na szczycie kwestia bezpieczeństwa informacji jest ignorowana, a wygrywają najprostsze i zapewne najtańsze rozwiązania. Po drugie, ponieważ kancelaria była odpowiedzialna za prowadzenie tak medialnych spraw jak Amber Gold, czy sprawy kredytów we frankach, incydent może zyskać rozgłos adekwatny do jego skali.
  2. Klienci, będący w istocie głównymi ofiarami, zostali potraktowani w miarę łagodnie. Ich dane nie zostały sprzedane oszustom, co więcej napastnicy umożliwili niektórym usunięcie swoich informacji z baz.
  3. Można na żywo zaobserwować chilling effect straszenia konsekwencjami prawnymi przez kancelarie prawne – czego przykładem jest usunięcie artykułu poświęconego zdarzeniu na zaufanej trzeciej stronie i radykalna zmiana treści artykułu zamieszczonego przez Gazetę Prawną .
  4. Jest szansa na zmianę podejścia do kwestii bezpieczeństwa w kancelariach prawnych o czym mowa dalej.

Skala sukcesu napastników – całkowite przejęcie kontroli nad infrastrukturą IT kancelarii i uzyskanie nieograniczonego dostępu do wszystkich informacji będących w jej posiadaniu – sprawia również, że sytuacja będzie miarą zachowania rady adwokackiej i urzędów odpowiedzialnych ze egzekwowanie standardów ochrony informacji, jak np.: GIODO. Jeżeli bowiem w przypadku tak poważnego incydentu nie zostaną zastosowane radykalne sankcje wobec kancelarii to można będzie wysunąć smutny wniosek, iż żaden przyszły przypadek również pociągnie za sobą adekwatnych sankcji. W tym kontekście najgorszym z możliwych scenariuszy byłbym cykl życia incydentów który według jednego z użytkowników Reddita jest biznesowym standardem, a mianowicie:

  1. Firma skrajnie nieodpowiedzialnie podchodzi to kwestii bezpieczeństwa i zostaje zhakowana.
  2. Firma wynajmuje najdroższych możliwych pentestrów i audytorów aby zadowolić klientów / inwestorów.
  3. Wyniki punktu 2 są ignorowane i wracamy do punktu 1.

Oczywiście pytaniem pozostaje to czy w ogóle możliwy jest nadzór nad poziomem bezpieczeństwa stosowanym przez tego rodzaju podmioty bez zastosowania rozwiązań systemowych. Trudno jest bowiem jednoznacznie stwierdzić czy brak zastosowania odpowiedniego poziomu zabezpieczeń wynika ze zwyczajnej ignorancji w sprawach funkcjonowania sieci komputerowych (co w mojej ocenie jest niedopuszczalne przy wykonywaniu tego zawodu) czy z kalkulacji kosztów i potencjalnych spraw – w końcu jest to dopiero pierwszy taki przypadek. Osobiście uważam, że obecny stan rzeczy jest wynikiem obu tych czynników, z naciskiem na pierwszy. Konkretniej rzecz ujmując – brak wiedzy na temat bezpieczeństwa informacji skutkuje stosowaniem średniej jakości rozwiązań z zakresu bezpieczeństwa, najczęściej jako usługę outsourcowaną wraz z resztą obsługi IT. Ze względu na brak podobnych incydentów brak było z kolei bodźca zarówno dla kancelarii, aby wdrażać specjalistyczne rozwiązania, jak i dla firm zajmujących się obsługą IT – aby na poważnie zająć się kwestią bezpieczeństwa. Rezultatem jest status quo w którym bardziej opłacalna jest reakcja na dokonany atak, a nie proaktywne jemu zapobieganie. I właśnie w tym aspekcie może wyniknąć najwięcej dobrego z zaistniałej sytuacji. Połączenie sankcji ze strony administracji i zwiększenie świadomości klientów co do istotności stosowania odpowiednich środków bezpieczeństwa może popchnąć sytuację na właściwe tory.

W dniu dzisiejszym kancelaria ogłosiła, że oferuje nagrodę w wysokości 100 tysięcy złotych za wskazanie osób odpowiedzialnych i dostarczenie dowodów winy. Kwestie współmierności wysokości nagrody do potencjalnej wartości wykradzionych danych (i dowodów które miałyby zostać dostarczone) pozostawiam każdemu do własnej oceny.

 

Advertisements

40GB łamania praw człowieka – wyciek z Gamma Group

10 dni temu niejaki Phineas Fisher korzystając z twittera o nazwie @gammagrouppr opublikował pozornie żartobliwą wiadomość ‘Jako, że skończyli nam się klienci rządowi, Gamma International otwiera się na sprzedaż dla prywatnych użytkowników’. Niedługo potem upublicznione zostały materiały promocyjne, kody źródłowe i szczegółowe opisy narzędzi służących do inwigilacji komunikacji elektronicznej – łączenie prawie 40GB danych (magnet link torrenta z materiałami można znaleźć tutaj). Czym jest Gamma Group i dlaczego ujawnione informację wyróżniają ją spośród innych firm z branży? Założony w latach 90 konglomerat mający swoje oddziały w Europie, Azji, Afryce i na Bliskim Wschodzie oferuje szeroki zakres narzędzi i usług związanych z elektronicznym pozyskiwaniem informacji. Mowa tutaj o rozwiązaniach służących do podsłuchu zarówno ruchu sieciowego jak i komunikacji GSM, geolokalizacji, data mining, a także usługi odzyskiwania danych i pozyskiwania dowodów elektronicznych i systemy obserwacji audio-video. Gamma International Ltd i Gamma International GmbH to natomiast odpowiednio Angielska i Niemiecka spółka zależna konglomeratu które to zaangażowane były w promocję i dystrybucję narzędzia ‘FinFisher’. Celem Gamma Group zawsze byli klienci rządowi i korporacyjni – oba oddziały Gamma International (oficjalnie) sprzedawały sprzęt i oprogramowanie wyłącznie agencją rządowym. W skład ‘FinFisher’ wchodzi zestaw narzędzi służących to zdalnej obserwacji i kontroli zainfekowanych komputerów. Mówiąc wprost – FinFisher to głównie malware zapewniający zdalny pulpit + pakiet narzędzi podsłuchowych które dodatkowo szyfrowały zgromadzone dane. Wśród funkcji narzędzia jest podsłuchiwanie Skype’a, przechwytywanie emaili, chatów, VoIP, keylogger i zdalna analiza dowodowa systemu. Program umożliwiał również tworzenie botnetów – producent zapewniał dostęp do serwerów C&C i szkolenia w zakresie ich obsługi. Co więcej zakres podatnych maszyn nie ograniczał się do komputerów – podatne były również telefony komórkowe oparte na platformach Blackberry, Android, Symbian i Windows Phone.

Read More…

Law enforcement vs TOR and Net Attacks 2014

Unfortunately I had to significantly throttle down creating this blog recently – this is partially due to stacking up of ‘usual’ responsibilities, but also partially due to the fact that I’m involved in organization of law / IT conference – Net Attacks 2014 which happens at Nicolaus Copernicus University in Torun. It might be the only event in Poland that enables discussion between lawyers, netsec professionals and government agencies – be sure to check it out at http://www.atakisieciowe.umk.pl/. Beside taking part in organizing I’m also preparing lecture on law enforcement’s struggle with anonymity provide by Tor. Here I’d like to present sneak peak of my research combined with some thoughts that probably won’t make it to the final cut of the lecture / article.

It’s indisputable that Tor bundle changed fundamentally access to Internet anonymity. Ease of use and almost foolproof mechanism were the elements which guaranteed massive popularity, as well as made it perfect platform for some forms of criminal activity. Drug dealing and child pornography exchange are primary examples of such use. Level of protection delivered by Tor is more than enough to evade law enforcement and with minimal additional knowledge and care render conventional investigation techniques completely useless. In this circumstances LEA are basically left with three options: leveraging very design of Tor, utilize 0-day exploits on software of Tor bundle and basically hack the machines of criminals or use social engineering combined with leveraging carelessness of users to gain data sufficient to capture criminals. However, it is important to remember that law enforcement is bind by law which in many cases is far behind bleeding edge of technology. This situation is especially apparent in civil law countries where often every action taken by LEA have to be strictly detailed in law acts with very little room to adjust to changing situation. Of course it is equally important to keep in mind civil liberties and human rights aspect. Such detailed instruction makes all the operations very transparent and keep agents from abusing their power. On the other hand perhaps more relaxed in terms of legislation, but based on court warrants system allows better adaptation to specific cases.

Two greatest ‘weakness by design’ aspects of Tor are vulnerability to global passive adversary and lack of encryption of data leaving exit nodes. First still seems to remain in the realm of theory and it’s not likely it will become significant option for law enforcement. Even though experiments prove their effectiveness, resources required to pull such operation off and need for basically blanket approval to sniff on extremely large chunks of network make it impossible to use in any country with even elemental privacy safeguards. Second option (exit node eavesdropping) is definitely more interesting both in technical and legal terms. First of all it does work great! Experiment presented by Swedish researcher Dan Egerstad proved that setting up even small exit nodes in various locations can yield amazing results with captured emails from various embassies and government agencies. Furthermore Egerstad claimed that both some of these accounts were already compromised be people using similar technique and that some large exit nodes are just to conveniently placed in places like Washington D.C. and have to large bandwidth not to be set up by the government. And while up to this point everything sounds great it is still probably poor method for crime fighting. First of all blatant capture and analysis of all data that leaves certain node in on par with massive blanket surveillance that we are aware of now, after Snowden’s revelation. As such it should be discouraged, and if used will face the same problems with using it as evidence as NSA programs are facing now. Also let’s not omit the fact than exit node sniffing does not reveal IP addresses, only messages sent.

However, FBI took entirely different route when trying to break child pornography circles. After capturing creator of Freedom Hosting, and at the same time gaining control of its servers, agents injected malware on services hosted by FH. Malware wasn’t anything spectacular and required carelessness on the side of Tor user, but proved to be good enough for its job. At the same time though, it opens the discussion about limits of tools LEA can use. The exploit used was a 0 day for Firefox, using it meant basically exposing every other browser with the same configuration and same version to be attacked. On the other hand exploit was already outdated when released since latest release of Firefox was already patched against it. Since use of such technologies is relatively new it is not surprising that law is far behind. In Poland doing anything similar would be probably impossible to do, not even due to harsh restrains on LEAs but because there is nothing even remotely similar discussed in Polish legislation.

Finally there is a case of Dread Pirate Robers and whole series of events that lead to his identification. However if you would like to hear about that please join me at Net Attacks 2014 🙂