Příchod hackerů: „legální“ malware

Lukáš Erben 14. 7. 2015

Data, která byla vynesena zpoza perimetru italské společnosti Hacking Team, potvrzují to, o čem se dlouho mluvilo: že některé bezpečnostní firmy se nebojí balancovat na hranici etiky, nebo se rovnou vydávat za ni. Hacking Team je ale jen jednou z řady podobných firem, o nichž se hovoří již delší dobu.

Předminulý víkend přinesl odpověď na otázku, co se stane, když někdo hackne profesionální (komerční) hackery. Ukazuje ale také, že pravidlo o účelu světícím prostředky platí bez výjimky pro bezpečnostní složky všech zemí, včetně České republiky – tedy že co není tolerováno volovi (občanu), je rozhodně dovoleno Jovovi (Útvar zvláštních činností PČR). Je to svým způsobem zpráva dobrá i špatná. Dobrá proto, neboť ukazuje, že i naše bezpečnostní složky dokáží využívat ve spolupráci se soukromým sektorem (Bull/Atos) moderní metody kybernetického boje. Potenciálně špatná pak pochopitelně s ohledem na cíle, proti nimž jsou ony prostředky používány – ať už se jedná o cíle potenciálně politické (server Parlamentních Listů, strana LEV 21) nebo velmi citlivé (portály elektronického bankovnictví).

Rozebírat aktuální kauzy nicméně není náplní našeho seriálu – proto nebudeme řešit aktuální dění kolem hacknutí Hacking Teamu (můžete si o něm přečíst například v článku na Rootu nebo u kolegů na Lupě). Podíváme se spíše do minulosti – na to jak Hacking Team před bezmála patnácti lety vznikl a jak byly jeho aktivity v letech 2011–14 postupně odhalovány. A zmíníme se také o jemu podobných firmách, kauzách a malwarových nástrojích které jsou s nimi spojovány.

Měli bychom pro vás zakázku

Historie Hacking Teamu se začala psát v roce 2001. Dvojice italských programátorů, či spíše hackerů podepisujících se zkratkami ALoR a NaGA tehdy vytvořila nástroj Ettercap, specializovanou sadu pro provádění útoků MITM (man-in-the-middle), tedy útoků, při nichž si oběť myslí, že komunikuje s cílovým serverem, ve skutečnosti je ale veškerá komunikace pod kontrolou útočníka, který ji může odposlouchávat nebo dokonce modifikovat.

Ettercap byl, coby open source program, k dispozici zdarma. Záhy se proto stal populárním jak mezi hackery, tak u bezpečnostních konzultantů pro penetrační a jiné testy. Netrvalo dlouho a italská policie se o autory Ettercapu, Marca Valleriho a Alberta Ornaghiho, začala zajímat. Ne snad proto, aby je z něčeho obvinila, policie se na ně obrátila se žádostí, aby pro ni na zakázku vytvořili podobný, ale ještě účinnější a veřejně nedostupný software.

Valleri a Ornaghi brzy založili v Miláně společnost, kterou pojmenovali příznačně Hacking Team a začali své nástroje nabízet bezpečnostním složkám po celém světě – zkrátka a dobře udělali si z bezskrupulózního hackování legální byznys. Co není dovoleno volovi…

Da Vinciho krize

Dlouhých deset let věděli o Hacking Teamu prakticky jen jeho zákazníci. V roce 2012 ale společnosti Sophos a Dr. Web objevily nového trojana, který napadal OS X a umožňoval převzít prakticky plný dohled nad děním na napadeném počítači – počínaje sledováním pohybu myši, přes odposlouchávání nejrůznějších komunikačních aplikací, webkamery, klávesnice, sledování běžících aplikací, otevíraných webových adres, snímání screenshotů nebo přenos seznamu kontaktů. 

Anglický Sophos a ruský Dr. Web se shodli prakticky na všem až na jeden podstatný detail: kdo za malwarem který byl nakonec pokřtěn „Crisis“ stojí. Lidé ze Sophosu byli toho názoru, že Crisis vytvořili kyberzločinci s cílem vydělat na něm peníze. Ani experti z Dr. Web nepochybovali o zištném motivu autorů Crisis, ukázali ale prstem přímo na italskou společnost Hacking Team. 

Existence a aktivity Hacking Teamu nebyly v roce 2012 tajemstvím. O rok dříve o společnosti psal britský The Guardian v článku, věnovaném konferenci ISS (Intelligence Support Systems) World. Ta je už řadu let jednou z nejvýznamnějších akcí svého druhu – místem kde se potkávají zástupci policejních složek, telekomunikačních operátorů a společností jako je Hacking Team. Ta měla podle Guardianu v roce 2011 35 zaměstnanců a nabízela řešení Remote Control Systém (známé také jako „Da Vinci“), které státním složkám umožní „…prolamovat se do počítačů nebo chytrých telefonů a napadené systémy na dálku ovládat – tajně aktivovat mikrofon, webovou kameru a stahovat z napadeného přístroje prakticky libovolné informace, sledovat pohyb jeho uživatele pomocí GPS…“. Hacking Team o svém řešení hrdě prohlašoval, že jej lze nasadit celostátně a sledovat i více než sto tisíc cílů současně. Zároveň ale jeden ze spoluzakladatelů David Vincenzetti prohlašoval, že jeho firma má velmi přísná interní pravidla komu software prodává a „bere v úvahu nejen rezoluce OSN, ale také doporučení organizací jako Human Rights Watch a Amnesty International“.

Sypware. Prolamování šifrování. Od Hacking Teamu vše naprosto legálně.

Spyware. Prolamování šifrování. Od Hacking Teamu vše naprosto legálně.

Proč nejdete po výrobcích aut?

Paradoxně sami organizátoři konference ISS World ve stejnou dobu redaktorům Guardianu otevřeně přiznávali, že společnosti, které se jejich akce účastní, prodávají své technologie prakticky komukoliv – a neshledávali na tom, dokonce ani v případě zemí jako je Zimbabwe či Severní Korea, nic závadného. „To byste mohli kritizovat automobilky za to, že dodávají auta libyjským rebelům a oni je používají jako zbraně? Proč stejnou měrou nejdete i po výrobcích aut? Jsme na otevřeném trhu. Nemůžete zastavit tok sledovacích nástrojů,“ řekl tehdy Guardianu Jerry Lucas, ředitel TeleStrategies, která ISS World pořádala.

Vedení organizace Reportéři bez hranic bylo nicméně jiného názoru a tak v roce 2012, zhruba v době kdy byl Hacking Team identifikován jako původce malware Crisis, zařadilo italskou firmu na seznam „nepřátel internetu“ – zejména proto, že svá řešení dodávala do zemí jako je Maroko či Spojené arabské emiráty, kde byla používána proti médiím a bloggerům. 

Postupně se také ukazovalo, že i bezpečnostní složky „spolehlivých zemí“ s oblibou používají nástroje pro kybernetické sledování a odposlech v rozporu s platnými zákony. Jednu takovou kauzu odhalili v říjnu 2011 členové Chaos Computer Clubu v Německu – podle všeho se jednalo o nástroje dodané Hacking Teamem (nebo jim podobné).

A ti druzí…

Hacking Team je pochopitelně jen jednou z řady společností (byť doposud patřil mezi ty úspěšnější), které podobná řešení pro státní silové a represivní složky nabízejí. Mezi „nejslavnějšími“ konkurenty Hacking Teamu, o nichž se hovoří v souvislosti s prodejem nástrojů pro sledování do „problematických“ zemí (tyto společnosti pochopitelně dodávají i zemím „bezproblémovým“), jsou například:

SS8

Americká společnost, která se zrodila takřka jako moderní technologický startup se proslavila díky kauze, při níž v roce 2009 v Saudské Arábii tamní operátor Etisalat nainstaloval stovce tisíc uživatelů BlackBerry speciální aktualizaci pro „zvýšení výkonu“. Ve skutečnosti se jednalo o spyware, který dával operátorovi přístup ke všem zprávám a e-mailům ve všech takto „aktualizovaných“ zařízeních. 

Společnost SS8 má motto: Safeguarding societies. Always. Někdy to ale vyžaduje instalaci spyware na všechny BlackBerry v síti operátora.

Společnost SS8 má motto: Safeguarding societies. Always. Někdy to ale vyžaduje instalaci spyware na všechny BlackBerry v síti operátora.

Gamma International

Původně britská společnost je známá zejména díky nástroji FinFisher – komerční sadě spyware nástrojů, která umožňuje monitorovat komunikaci. FinFisher je používán v řadě zemí včetně Turkmenistánu, Bahrainu či Etiopie.

VASTech

Jihoafrická společnost, která se proslavila zejména jako dodavatel režimu plukovníka Kaddáfího – vytvořila systém pro monitorování všech mezinárodních hovorů v Libyi. Za zmínku stojí, že své nástroje vyvinula i díky grantu jihoafrické vlády. 

Narus

Dceřiná společnost Boeingu začala svůj byznys v oblasti monitorování IP sítí a řešení pro billing (účtování poplatků), postupem času ale začala nabízet řešení pro sledování, řízení a selektivní blokování IP provozu – například do Saudské Arábie.

Blue Coat

Americká společnost, která podle všeho dodávala svá řešení v rozporu s embargem například do Sýrie a Iránu. Její řešení byla nalezena v provozu také v Súdánu – společnost se bránila prohlášením, že nikdy neprodávala přímo do zemí pod embargem. Zdá se, že i kybernetické zbraně mají své překupníky, podobně jako ty klasické. Jak by dnes asi vypadali legendární Žoldáci Fredericka Forsytha?

Nokia

Dokonce i známé a renomované společnosti si občas zadají – Nokia podle všeho dodala iránské vládě nástroje a řešení, které umožnily monitorovat mobilní sítě a zasáhnout proti disidentů během protestů v roce 2009. Nástroje dodané dceřinou společností Nokie navíc umožnily cenzuru sociálních sítí. Kauzou se dokonce zabýval EP.

Nad zákonem a mimo kontrolu

400 GB dat, které se před více než týdnem objevily na veřejnosti, potvrzuje řadu obav, které byly v souvislosti s Hacking Teamem a jemu podobnými společnostmi v posledních pěti letech vysloveny: nástroje pro sledování, odposlouchávání a kradení dat jsou „legálně“ vyvíjeny a prodávány komukoliv (myšleno země) a používány proti všem (myšleno zločince, občany, firmy, organizace).

widgety

Necháme-li stranou srdceryvná prohlášení zástupců Hacking Teamu o tom, že materiály zveřejněné Wikileaks jsou z valné části podvrh, navíc prošpikovaný (neexistujícími) viry, potvrzuje se jediné: kybernetické sledování se již dávno dostalo naprosto mimo jakoukoliv kontrolu nejen v diktaturách třetího světa ale dost možná i ve většině „demokratických“ společností. A co je ještě překvapivější: na vývoji podobných nástrojů se podle všeho podílí (otázka je, nakolik vědomě) také akademická sféra.

Můžeme doufat, že jde jen o snahu silových složek ochránit nás před teroristy, extrémisty a zločinci. Vsadíme si ale na to? A vsadíme si i na to, že některý z nástrojů nakoupených pro boj se „zlem“ nezpůsobí fatální bezpečnostní incident? Koneckonců mezi požadavky na exploity ze strany PČR (respektive společnosti Bull, která pro PČR tato řešení nakupovala) byly podle všeho například i stránky některých bank. 

Odkazy

Našli jste v článku chybu?
DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Insolvence LevneElektro.cz? Začíná boj o peníze

Insolvence LevneElektro.cz? Začíná boj o peníze

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!