ZAPRASZA.net POLSKA ZAPRASZA KRAKÓW ZAPRASZA TV ZAPRASZA ART ZAPRASZA
Dodaj artykuł  

KIM JESTEŚMY ARTYKUŁY COVID-19 CIEKAWE LINKI 2002-2009 NASZ PATRONAT DZIŚ W KRAKOWIE DZIŚ W POLSCE

Inne artykuły

Tajniki spalania wody w kotłach grzewczych i silnikach spalinowych - Jerzy Orzeł 
3 grudzień 2018      Alina
Chińska Operacja “Nietoperz”, czyli symulowana “pandemia” podbija (dobija?) świat Zachodu – Tomasz Gabiś 
19 lipiec 2020     
Eskimoska "nauka" pobiła teorie Łysenki 
5 kwiecień 2021      Artur Łoboda
Teutonic Lies About History of „Kaliningrad” 
29 sierpień 2010      Iwo Cyprian Pogonowski
Wyjaśnienie wypadku samochodu Prezydenta na Opolszczyźnie 
16 marzec 2016      supertłumacz
Z okazji 200 lat Urodzin Wirtuoza Fryderyka Szopena 
1 marzec 2010      Zygmunt Jan Prusiński
Marek Grechuta - Władza 
7 kwiecień 2020     
Święto Polskiego Kołtuna - 4 komentarze 
19 kwiecień 2010      Marek Głogoczowski
Ucieczka Od Dolara? 
23 styczeń 2012      Iwo Cyprian Pogonowski
Dlaczego coraz więcej kobiet szuka mężczyzn przez internet? 
17 luty 2013      Anna Kowalska
Technologie umożliwiające zdalne sterowanie aktywnością ludzkiego mózgu 
12 październik 2025     
Źródła epidemii 
29 marzec 2020      Artur Łoboda
Analiza nt. wielkości strat w przesyle energii elektrycznej w Polsce 
10 marzec 2023      Rafał Rudźko
Oświadczenie 38 letniego st. kpr. Rezerwy 
6 październik 2014      www.polskawalczaca.com
List otwarty od emerytowanych generałów i admirałów 
16 maj 2021     
Podstawowy warunek wyjścia z plandemii 
20 czerwiec 2021     
Diana i masoni film j. ang. 
7 czerwiec 2010      Goska
Imperia upadają gdy... 
23 sierpień 2016      Artur Łoboda
Źródła dwudziestowiecznej Kultury polskiej - 2. Okres PRLu. 
26 maj 2015      Artur Łoboda
Polska to nasze wspólne marzenie 
20 maj 2015      Artur Łoboda

 
 

Kto nie szyfruje, ten żałuje


Rządy hakują komputery opozycjonistów wykorzystując Youtube



Rządy wielu krajów wykorzystują zaawansowane rozwiązania techniczne i włamują się do komputerów i telefonów opozycjonistów. Wyciekła dokumentacja wskazująca, że jedną ze stron, do których wstrzykiwane są złośliwe fragmenty kodu, jest Youtube.

Dwie komercyjne firmy, z usług których korzystają rządy co najmniej kilkunastu (jeśli nie kilkudziesięciu) krajów, od wielu lat reklamują swoje usługi umożliwiające zdalne włamywanie się do komputerów i urządzeń mobilnych na masową skalę. Są to Gamma International (niedawno zhakowana) oraz Hacking Team. Oprócz wspierania ataków typu spear phishing i dostarczania oprogramowania „monitorującego”, obie firmy oferują również modyfikację w locie ruchu użytkownika, umożliwiającą zainfekowanie jego komputera lub telefonu. Organizacja The Citizen Lab, opisująca działanie obu dostawców, otrzymała dostęp do dokumentacji ich najbardziej technicznie zaawansowanych platform sprzętowych przeprowadzających automatyczne ataki MiTM.

Kto nie szyfruje, ten żałuje

Większość użytkowników sieci jest przekonana, że jeżeli będzie unikać klikania w podejrzane linki, otwierania nieznanych załączników i wchodzenia na mniej popularne witryny, uniknie również infekcji złośliwym oprogramowaniem. Niestety jeśli ich przeciwnikiem jest rząd korzystający z usług operatora sieci oraz firm Gamma International lub Hacking Team, mogą zostać zainfekowani chociażby odwiedzając serwis Youtube lub panel logowania do usług Microsoftu. Urządzenia to umożliwiające kosztują ok. miliona dolarów.

Metoda infekcji, polegająca na modyfikacji ruchu użytkownika, nie jest niczym nowym i była już wielokrotnie opisywana. Szczegóły techniczne ataku znajdziecie w ostatnim paragrafie tekstu. Nowością jest potwierdzenie faktu istnienia i sposobu działania urządzeń, które umożliwiają przeprowadzanie takich ataków na masową skalę bez specjalistycznej wiedzy. „Pudełko wstrzykujące pakiety sieciowe” (network injection appliance) firmy Hacking Team wymaga wcześniejszego zainstalowania w sieci operatora internetu i zdefiniowania „celów” ataku. Celem jest identyfikator użytkownika – adres IP lub login usługi dostępu do sieci. Złośliwe urządzenie analizuje ruch użytkownika i w momencie, gdy zauważy wizytę w jednym z obsługiwanych serwisów, modyfikuje odpowiedź serwera, dołączając do niej złośliwy kod, którego zadaniem jest przejęcie kontroli nad komputerem ofiary. Jest to technika bardzo podobna do tej, z której korzysta NSA pod kryptonimem QUANTUMINSERT.

Do przeprowadzenia tego rodzaju ataku wykorzystywany jest fakt, że jeszcze do niedawna zarówno Youtube jak i pierwsza strona panelu logowania do usług Microsoftu nie korzystały z protokołu HTTPS. Powodowało to, że zawartość pakietów danych była nie tylko widoczna dla atakującego, ale także podatna na manipulację. Gdy Google i Microsoft dowiedziały się o praktyce Hacking Teamu, zintensyfikowały prace nad przeniesieniem swoich usług w całości na HTTPS.

Kto może paść ofiarą ataku

Na szczęście dla Czytelników w dotychczas ujawnionych przypadkach opisywane powyżej rozwiązania stosowane były jedynie w krajach o niższych standardach demokracji takich jak Oman, Turkmenistan, Bahrajn, ZEA, Maroko i Etiopia (choć serwery pośredniczące w odbieraniu ruchu z monitorowanych komputerów swojego czasu zlokalizowano również w Polsce). Nigdy jednak nie wiemy, kiedy służby krajów europejskich sięgną po podobny arsenał środków. Pamiętajmy, że w projekcie zmiany ustawy o Policji z 2009 roku znalazł się fragment o treści:

„stosowaniu środków elektronicznych umożliwiających niejawne i zdalne uzyskanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie.”
z uzasadnieniem nie pozostawiającym wątpliwości, o co może chodzić:

Jedyną skuteczną metodą przełamania tego typu barier jest uzyskanie przez Policję i inne służby niejawnego dostępu do treści rozmów i danych będących w zainteresowaniu tych organów przez ich zaszyfrowaniem, co jest możliwe tylko na komputerze, którym posługuje się ewentualny przestępca. Dostęp taki można uzyskać dzięki instalacji na komputerze osoby będącej w zainteresowaniu służb, specjalnego oprogramowania, które w sposób niejawny będzie monitorowało wszelkie czynności wykonywane na nim, a rezultat tego monitoringu będzie przekazywany poprzez sieć Internet do zainteresowanych służb. Niestety, w chwili obecnej stosowanie tego rodzaju narzędzi w Polsce nie jest prawnie usankcjonowane, z czego świat przestępczy doskonale zdaje sobie sprawę.
Na szczęście projektowane zapisy nie zostały uchwalone. Jeszcze.

Szczegóły techniczne ataku

Jedną z opcji urządzenia FinFly ISP , przeznaczonego do instalowania w sieciach operatorskich, jest możliwość infekowania w locie plików binarnych. Pliki PE są identyfikowane w trakcie próby ich pobrania z sieci. Dodawany jest do nich odpowiedni moduł ładujący oraz właściwy złośliwy program, z zachowaniem zarówno ikony jak i treści oryginalnie pobieranego pliku. Tak zmodyfikowany plik po jego uruchomieniu instaluje złośliwe oprogramowanie po czym automatycznie usuwa swoje ślady z „nosiciela”, dzięki czemu późniejsza analiza nie wskaże na jakiekolwiek anomalie. Znacząco utrudnia to zlokalizowanie źródła infekcji. Sam plik źródłowym wykonywany jest dopiero po tym, jak złośliwe oprogramowanie usunie swoje ślady, dzięki czemu instalatory sprawdzające swoją własną sumę kontrolną nie zgłoszą żadnego problemu.

Inną opcją jest wymuszenie fałszywej aktualizacji. Odpowiedni moduł nasłuchuje zapytań o nowe wersje popularnych programów typu iTunes czy Winamp (no dobrze, kiedyś popularnych). Jeśli trafi na takie zapytanie, fałszuje odpowiedź serwera wymuszając aktualizację z podstawionego pliku. Oczywiście mechanizm ten działa jedynie w przypadku, gdy aktualizacje pobierane są przez HTTP.



Sam proces wyboru celu i jego infekcji przebiega następująco:

wskazanie celu przez GUI
dedykacja celu na Radiusie i przekazanie IP do proxy
monitorowanie komunikacji przez proxy
w przypadku wykrycia pożądanego ruchu przekierowanie do serwera infekującego
infekcja i powrót „poprawionego” ruchu do proxy
przekazanie do użytkownika
Serwer infekujący odpowiada za przeliczenie sum kontrolnych w ramach infekowanego protokołu, by ruch mógł zostać prawidłowo wstrzyknięty ponownie do sieci.

Bardziej zaawansowane opcje oferuje usługa FinFly Web oraz FinFly Exploit Portal. FinFly Web pozwala na wstrzyknięcie odpowiedniego fragmentu kodu do każdej odwiedzanej strony WWW. Przykład takiego ataku został uchwycony w Bahrajnie.




Jest to połączenie ataku technicznego z socjotechnicznym, którego celem jest nakłonienie ofiary do zainstalowania „aktualizacji Flash Playera”. Z kolei „najwyższy” poziom ataku oferuje opcja Exploit Portal, gdzie dostawca zapewnia możliwość przeprowadzenia ataku typu 0day na przeglądarkę lub jej wtyczki. Co ciekawe, w dokumentacji znajduje się informacja, że dostawcą exploitów jest firma VUPEN. Z kolei VUPEN zarzeka się, że exploity sprzedaje jedynie rządom, a nie prywatnym firmom. Gamma International w ramach swojej oferty gwarantuje, że w użyciu zawsze będą co najmniej cztery exploity 0day a na każdy z nich daje 30 dni gwarancji skuteczności.

Z kolei „Network Injector” oferowany przez Hacking Team jest wyspecjalizowany w „obsłudze” Youtube, choć zna także inne sztuczki. Oferuje następujące możliwości:

modyfikacja plików EXE w locie
wstrzykiwanie kodu HTML do dowolnej witryny
blokowanie wyświetlania filmów w Youtube i wyświetlenie komunikatu o konieczności aktualizacji Flasha
oszukiwanie Javy i wymuszenie fałszywej aktualizacji
podmianę dowolnego fragmentu ruchu



Podsumowanie

Poinformowany przez The Citizen Lab Microsoft wymusił HTTPS na wszystkich komponentach panelu logowania do swoich usług. Z kolei Google umożliwia korzystanie z HTTPS w Youtube użytkownikom wtyczki HTTPS Everywhere i bardzo intensywnie pracuje nad przeniesieniem wszystkich funkcji serwisu na HTTPS. Wygląda na to, ze wkrótce najwięksi dostawcy usług nie będą mieli innego wyboru, jak szyfrować całość swojego ruchu, by chronić swoich użytkowników przed rządowymi zakusami.

Polecamy lekturę całego raportu Morgana Marquis-Boire’a.
https://citizenlab.org/2014/08/cat-video-and-the-death-of-clear-text/



http://zaufanatrzeciastrona.pl/post/rzady-hakuja-komputery-opozycjonistow-wykorzystujac-youtube/#more-11876





-
17 sierpień 2014

www.polskawalczaca.com 

  

Komentarze

  

Archiwum

Prusy, Ku?nia Imperiów, 1861-1871 i jej skutki
grudzień 8, 2007
Iwo Cyprian Pogonowski
Czy atak na Iran spowoduje wybuch antysemityzmu na świecie?
grudzień 29, 2005
Iwo Cyprian Pogonowski
Śmierć gen. Sikorskiego a antypolskie interesy Wielkiej Brytanii
grudzień 15, 2005
Jan Duranowski
Help those who need help
kwiecień 29, 2003
przesłała Elżbieta
Wybraliśmy do sejmu kanalie
marzec 20, 2003
zaprasza.net
Rasowy analfabeta
luty 20, 2006
Zygmunt Jan Prusiński
Plan Hausnera BEZ TAJEMNIC
marzec 9, 2004
Adrian Franczyk
Bez prawa powrotu
maj 2, 2008
przeslala Elzbieta Gawlas Toronto
Spiskowa teoria dziejów. Fakty ukrywane
grudzień 17, 2003
Tak się manipuluje społeczeństwem
sierpień 11, 2004
PAP
Gwiazdy Baletu Teatru Bolszoj w Polsce
styczeń 8, 2004
Makroconcert Sp. z o.o.
Zbrodnia Katyńska - 15.03.05 godz.15:30
marzec 8, 2005
Adam Słomka - Przewodniczący Konfederacji Polski
Fiasko Podbojów Pól Ropy Naftowej
czerwiec 18, 2008
Iwo Cyprian Pogonowski
Wojna o cywilizacje - dr Piotr Bein
marzec 12, 2008
przesłała Elzbieta Gawlas
The Iraq War: Worse than a Mistake
marzec 25, 2003
ODEZWA DO WYPADAJˇCYCH ZĘBÓW 1. Solidarność wyszła z dziury i poszła w chmury.... 2. Bo sami nadajemy sobie numery.
wrzesień 3, 2005
Wiesław Sokołowski
Instytut Analiz Bezpieczeństwa Narodowego ProPolonia.pl
marzec 4, 2009
Dariusz Kosiur
Umowa sprzedaży akcji PZU S.A.
luty 11, 2005
USA rozpracowane przez Rosję, czyli Ameryka w negliżu !
luty 11, 2007
tezlav von roya
Orły schodzą na dziady
listopad 25, 2006
Mirosław Naleziński, Gdynia
 


Kontakt

Fundacja Promocji Kultury
Copyright © 2002 - 2026 Polskie Niezależne Media