Kikerült a kormányzati kémszoftver dokumentációja
Kikerült az internetre a FinFisher kormányzati kémszoftver támogatási szerverének tartalma. A FinFisher/FinSpy a német Gamma International fejlesztése, a kormányoknak kínált szoftverrel titkos megfigyelés és adatgyűjtés végezhető. A cég tagadja, hogy nem-demokratikus rezsimekkel is együttműködne, a most kikerült adatok szerint azonban nem csak értékesít, de támogatást is nyújt a diktatúrák számára.
Mintegy 40 gigabájtnyi információt töltött le a Gamma hálózatáról a magát csak PhineasFishernek hívó támadó - jelentette be a hacker a Reddit Anarchism alredditjén. A megszerzett adatokat PhineasFisher nyilvánosságra is hozta, az adathalmaz torrent formájában letölthető bárki számára - az eredeti .torrent fájl itt érhető el (alternatív link). Valószínűleg Bahrein, Belgium, Bosznia-Hercegovina, Banglades, Hollandia, Irán, Katar, Nigéria, Vietnám, Thaiföld, Szingapúr is használja a szoftvert a kikerült támogatási információk szerint, de az adathalmazt elemző szakértők szerint a listán Magyarország, Németország és az Egyesült Királyság is megtalálható - a felhasználó országok sora várhatóan folyamatosan bővül.
Oh! Hungary is also on the list of FinFisher customers.
- Joxean Koret (@matalaz) August 6, 2014
Annyira nem is veszélyes
A FinFisher csomagot az első szivárgások óta rengeteg mítosz övezte, a most kikerült adathalmaz ezek nagy részét eloszlatta. Az előzetes elemzések szerint például a cég jobbára a szabadon elérhető, ingyenes biztonsági eszköztárak funkcióit kínálja, dobozos szoftverként, támogatással, oktatással - ez a FinFisher hozzáadott értéke. A cég tehát egészen más szinten játszik, mint a hírekbe bekerülő más állami szereplők, amelyek megkeresik a biztonsági hibákat és saját hatáskörben fejlesztik az azt kihasználó kártékony kódot is - a FinFisher nem Stuxnet.
A cég ugyanakkor használ néhány 0-day (foltozatlan) sebezhetőséget, ezeket azonban külső forrásokból, például a Vupentől szerzi be és ezeket beépíti az eszköztárába. Az említett francia biztonsági cég vállalt üzleti modellje a megtalált hibák értékesítése a legtöbbet ígérő vevő felé, bár a cég tagadja, hogy a FinFisherrel együttműködött volna, a kiszivárgott dokumentumok több helyen is ennek ellenkezőjéről tanúskodnak.
A Gamma saját, belső használatra szánt információi szerint a kihasználható, foltozatlan (zero day) hibák vásárlásánál a FinFisher elsősorban Windows Vistára és Windows 7-re fókuszál, de van néhány XP-hez használható (foltozatlan) rés is (ez az információ elavult lehet). Mobil platformokhoz, OS X-hez és Linuxhoz azonban a FinFisherben jelenleg nincsenek használható biztonsági rések, ezeket így csak célzott támadásokkal, trójaiakkal tudják az intézmények megcélozni, vagyis a felhasználónak magának kell feltelepítenie a kémprogramot, ezt a lépést távolról a megfigyelést végző nem tudja elvégezni.
Drága a megfigyelés
A fokozatosan csepegő információk szerint a támadónak a finsupport.finfisher.com szerverhez sikerült hozzáférést szerezni, ez a FinFisher csomaghoz járó szoftvertámogatás központi weboldalát szolgálta ki. A kikerült adatok között a cég részletes árlistája is elérhető, amelyekből további zamatos részletekre lehet következtetni. A taktikai (helyszíni megfigyelést lehetővé tévő) FinIntrusion Kit hardver-szoftver kombinációból áll, ennek teljes költsége 30 600 euró, ebben megtalálható a FinTrack Operation Center licenc (27 600 euró) és két, speciálisan preparált laptop (3 000 euró), nagy teljesítményű Bluetooth- és Wi-Fi adapterrel, irányított és omnidirekcionális antennával.
A cég zászlóshajója a FinSpy, a távoli megfigyelést lehetővé tévő rendszer, amely a célpontok számától függően három kiszerelésben is megvásárolható, maximum 150 célpontig. Ez utóbbi mintegy 635 ezer euróba kerül, amiben nincs benne a dedikált hardver (a legolcsóbb kiadás, maximum 10 célpontig csak 190 ezer euróba kerül). Egyik csomagban sincs benne a hangrögzítés funkció, ezért külön 30 ezret kell fizetni.
Az árlista (és a FinSpy Mobile áprilisi frissítését taglaló kézikönyv) szerint a FinSpy "támogatja" a mobil operációs rendszereket is, a megfigyelhető OS-ek listáján gyakorlatilag minden platform megtalálható. Némileg megnyugtató ugyanakkor, hogy a FinFisher is elismeri, a mobilos megfigyelés aktiválása nem nagyon megy felhasználói interakció nélkül, tipikusan egy vagy több felugró ablakot is le kell okézni ahhoz, hogy az eszköz lehallgatható legyen. Vagyis a cégnek úgy tűnik, nincsenek birtokában olyan titkos 0-day (foltozatlan) sebezhetőségek, amelyekkel ezek a védelmi mechanizmusok megkerülhetőek lennének mobil platformokon.
Az Apple esetében jailbreakre van szükség, ha ez elérhető, akkor az iOS 4.3.x-től 7.0.x-ig támogatott. Android esetében ilyesmire nincs szükség, 2.x.x-től 4.4.x.-ig figyelhető meg a platform, igen, a legutolsó, KitKat kiadás is támogatott. Érdekes módon a Windows Phone-t nem kezeli a FinFisher, a listán "not yet supported" megjegyzéssel található. Támogatott viszont a BlackBerry portfólió, 4.6-től 7.x-ig (a BB10 tehát nem), a Symbian S60 5.x és 3.x, illetve az Anna és Belle kódnevű kiadások, és a Windows Mobile utolsó két verziója, a 6.1 és a 6.5-ös. A FinSpy Mobile ötös csomagban mindössze 11 700 eurós ajánlott fogyasztói áron elérhető.
A Skype szerencsére minden asztali platformon megfigyelhető...
Talán még értékesebb a FinSpy 3.0-hoz készült felhasználói kézikönyv, amely egészen részletesen bemutatja a telepítés menetét, a szoftver képességeit és a hatékony használat gyakorlatát. A dokumentum a torrent-csomagban található, de közvetlenül a Netzpolitik oldaláról is letölthető.
A Gammának ugyanakkor némi elismerés is jár, a cég ugyanis igen hatékonyan választotta el alrendszereit egymástól, a támogatási szerverről a támadó nem tudott otvábbjutni a többi, például a forráskódokat kezelő szerver felé. Ettől függetlenül a támogatási szerveren is található volt bőséggel kormányzati malware, ezeket gondos kezek már fel is töltötték későbbi elemzés céljára a GitHubra.
Meglepően megkerülhetetlen védelem.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A szakértői elemzésekre még várni kell, a Twitteren közzétett előzetes információk szerint a FinFisher eredeti hibakeresést nem nagyon végzett, a szoftver a korábban nyilvánosságra került biztonsági réseket tudja csak kihasználni. Ez jobbára azt is jelenti, hogy a teljes körűen frissített rendszerekre a FinSpy nem telepíthető távolról, social engineering vagy spearphishing (célzott trójai) támadásra van szükség a megfigyelés megvalósításához.
Ezért fontos
A Gamma korábban tagadta, hogy nem demokratikus rezsimek számára is eladásra kínálná a FinFishert vagy más termékeket, a cég álláspontja szerint csak jogállamok felé értékesíti a szoftvercsomagot. A különbségtétel azért fontos, mert működő demokráciákban (elvben) a kormányok nem végezhetnek tetszőlegesen megfigyelést, az igazságszolgáltatási rendszer megbízható kontroll alatt tartja ezeket a tendenciákat. Ilyen kontroll a nem demokratikus államokban (elvben) nincs, így ezek könnyen visszaélhetnek egy ilyen szoftvercsomag képességeivel például az ellenzék vagy a független média elhallgattatására.
A kép természetesen a működő demokráciák esetében sem egészen világos. Mindig létezett a gyanú, hogy jogállamok esetében sem eléggé erős az igazságszolgáltatás kontrollja a kormányzati (rendőrségi, titkosszolgálati) intézmények fölött. Ezekre a félelmekre a Snowden-féle szivárogtatások is ráerősítettek, a nyilvánosságra került információk szerint például az Egyesült Államokban erősen felszínes és csupán látszat ez a kontroll, a nemzetbiztonsági hatóságok gyakorlatilag tetszés szerint végeznek megfigyelést.