15:41
8/12/2013

Przesyła zdjęcia w irańskim mundurze, mówi z zagranicznym akcentem i ma ciemne włosy. Tyle informacji FBI miało na temat osoby mówiącej o sobie “Mo”, która przez kilka miesięcy przesyłała pogróżki o podłożeniu bomb na uniwersytetach, hotelach i lotniskach w USA. Jego historia pokazuje, dlaczego warto zaklejać kamery w laptopach…

Zaklejenie kamery to dobry pomysł - fot. Magic Magdzik

Zaklejenie kamery to dobry pomysł – fot. Magic Magdzik

Mo maskuje się

Mo znał się na rzeczy, komunikując się z służbami skrzętnie ukrywał swoją tożsamość i lokalizację (zapewne korzystając z TOR-a i czyszcząc metadane). Telefony wykonywał przez VoIP (Google Voice).

FBI oczywiście ściągnęło logi od właścicieli usług, które wykorzystywał Mo. Dzięki temu, od Google, funkcjonariusze dowiedzieli się, że konto zostało założone na dane Mohammed Arian Far, a podana data urodzin sugerowała, że Mo ma 27 lat. Konto zarejestrowano z adresu IP w Teheranie, ale aż 3 lata temu…

Ponieważ brakowało klasycznego punktu zaczepienia (np. adresu do przeszukania na terenie USA), podjęto decyzję o zapolowaniu na Mo przy pomocy federalnego trojana, który miał być dostarczony na komputer Mo poprzez jego, dedykowaną do wysyłania pogróżek, skrzynkę na Yahoo (adres: texan.slayer@­yahoo.com). Dokumenty sądowe zdradzają jak FBI przeprowadza operacje podrzucenia trojana.

Aby użyć trojana FBI musiało zyskać zgodę sądu. Co ciekawe, jak informuje Washington Post, nie wszystkie żądania tego typu są przez sąd akceptowane. Czasem sąd tłumaczy, że brak mu jurysdykcji aby wydać nakaz przeszukania komputera który …nie wiadomo gdzie się znajduje.

Jak FBI podrzuca trojana?

FBI najczęściej podrzuca złośliwe oprogramowanie poprzez …klasyczny phishing wysyłając podejrzanym e-maile zawierające linki prowadzące do serwerów służb w Quantico. Kiedy podejrzany ulegnie namowom i klinie w podstawiony link, następuje atak drive-by-download, czyli automatyczne pobranie i wykonanie wrogiego kodu na komputerze ofiary.

Niestety nie wiadomo, z jakich podatności (i czy są to 0day’e) korzysta FBI. Jeśli jednak przypomnimy sobie ataki wykonywane przez FBI na użytkowników TOR-a, tuż po przejęciu serwerów Free Hostingu to jest wielce prawdopodobne, że FBI ma w rękawie kilka 0day’ów na specjalne okazje.

W przypadku Mo, dokumenty sądowe sugerują jednak, że jedynie, co Mo musiał zrobić aby aktywować trojana, to po prostu zalogować się na swoje konto na Yahoo. Czyżby więc FBI miało możliwość modyfikowania kodu interfejsu poczty Yahoo tylko dla jednego jej użytkownika? Yahoo zaprzecza, że współpracowało z FBI w tym zakresie.

Może więc funkcjonariusze skorzystali z zabawek NSA, tj. silnika QUANTUM? A może po prostu, w dokumentach sądowych znajduje się mocne uproszczenie procesu podrzucania trojana?

Co może trojan FBI?

Jak zdradza Marcus Thomas były dyrektor z pionu technologicznego FBI, federalny trojan jest w stanie skorzystać z kamery w laptopie podejrzanego i zrobić mu zdjęcie (por. kliknij tu i mamy twoje zdjęcie). Co ciekawe, robi to jednak ponoć bez włączania diody sygnalizującej o pracy kamery!

Tu jednak pojawia się problem natury prawnej. Włączenie takiego przechwytywania obrazu z kamery na komputerze podejrzanego może bowiem narazić postronne osoby na inwigilacje.

Dodatkowo, federalny trojan, jak każde inne złośliwe oprogramowanie, jest w stanie po cichu ściągać z komputera zainfekowanej osoby dowolne pliki; zdjęcia, dokumenty i e-maile. Analiza sądowych dokumentów nie ujawnia żadnych innych specjalnych funkcji narzędzia.

Czy Mo został schwytany?

Nie. Podrzucony na jego konto trojan nie zadziałał, tak jak powinien. Krótko przed uzyskaniem zgody z sądu FBI wprowadziło bowiem “poprawkę” do kodu… i ten nie wykonał się na komputerze Mo. Mimo wszystko komputer Mo próbował pobrać trojana, dzięki czemu w ręce FBI wpadły 2 nowe adresy IP. Niestety oba ciągle z Teheranu…

Przynajmniej wiadomo, przez jaki kraj należy się proxować, aby FBI nie wysłało eskadry helikopterów… ;)

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. “Przynajmniej wiadomo, przez jaki kraj należy się proxować” – i oczywiście pamiętać o odpowiedniej zmianie munduru ;)

  2. Nooo.. Nasi też działajo Panie.. ooo działajo, że heeej..
    http://i.imgur.com/l9O9aSg.jpg
    lol

  3. W przypadku Mo, dokumenty sądowe sugerują jednak, że jedynie, co Mo musiał zrobić aby aktywować trojana, to po prostu zalogować się na swoje konto na Yahoo. Czyżby więc FBI miało możliwość modyfikowania kodu interfejsu poczty Yahoo tylko dla jednego jej użytkownika? Yahoo zaprzecza, że współpracowało z FBI w tym zakresie.

    możne to client site obsługuje jak logowanie to aktywuj z 2 strony jak aktywować ma coś nieaktywnego ?

    • Może jak pisze to niektórzy czyta tekst rozumie? O.o

    • @”Yahoo zaprzecza, że współpracowało z FBI w tym zakresie.” – obsmialem sie, naprawde jestes taki naiwny?

  4. Pewnie używał linuksa

  5. jak admin chce niech usunie bo śmiecę troszkę, mało spałem… jutro czy jakoś wrócę i poprawie.

  6. Jak ktoś używa talis+coś na wm to FBI może go sobie zasypywać trojanami.

    • *vm

  7. …Tu jednak pojawia się problem natury prawnej. Włączenie takiego przechwytywania obrazu z kamery na komputerze podejrzanego może bowiem narazić postronne osoby na inwigilacje…
    Od kiedy to USA przejmuje się takimi problemami – drony zabijają terroryste, dzieci, rodzine, postronne osoby, etc.

    • Mała poprawka: nie USA, tylko konkretni sędziowie się
      przejmują.

    • Oczywiście masz racje zanadto uogólniamy istnieje duża grupa ludzi wspierających demokracje te dla ludzi ale bezprawie w USA sięga zenitu – wywiad z Rumsfeldem o odpowiedzialności za atak na Irak bez broni masowego rażenia w Vanity Fair by Errol Morris …he was cleary proud of the role that he played in the Bush administration!!! Ci ludzie nigdy nie przeproszą i idą dalej w swoich zamiarach „regulacji” sytuacji na bliskim wschodzie. To oni są największym zagrożeniem demokracji!

  8. “W przypadku Mo, dokumenty sądowe sugerują jednak, że jedynie, co Mo musiał zrobić aby aktywować trojana, to po prostu zalogować się na swoje konto na Yahoo”. Załóżmy, że FBI ma dostęp do QUANTUM, po co mieli by czekać, aż się zaloguje konkretnie do Yahoo? skoro mogą podmienić w locie dowolną stronę. XSS? Zastanawiające jest jednak, że jedyne co musiał koleś zrobić to zalogować się (rozumiem, że nie musiał przeczytać wiadomości zawierającej payload). To może sugerować, że FBI miało dostęp do konta Mo i w jakiś sposób zmienili ustawienia konta ew. wykorzystali XSS (nie wiem jak to się fachowo nazywa, ale chodzi mi o podatność, kiedy użytkownik możne zaatakować tylko samego siebie np. XSS przy wyświetlaniu nazwy usera w panelu), aby po zalogowaniu przeprowadzić atak drive-by-download.

  9. Ten FBI wirus to technika socjologiczna, dadzą kilka razy opinii publicznej pogłoski, że terroryści podkładający bomby są ubrani w irańskie mundury, później sami zdetonują i będą mieć pretekst do zbrojnego konfliktu w iranie i zmiany władzy na taką, która będzie ropę sprzedawać za dolary ….

  10. “Włączenie takiego przechwytywania obrazu z kamery na komputerze podejrzanego może bowiem narazić postronne osoby na inwigilacje. ”
    Troskliwość władz amerykańskich rozśmieszyła mnie w tym momencie do rozpuku :D
    Wystarczy przecież wyjść na ulicę żeby być non-stop inwigilowanym przez “władzę” i to nie tylko w USA ale także u nas …
    Prywatność w dzisiejszych czasach jest oksymoronem w języku polskim.

  11. Ponownie po raz Nty pytanie. Po co zaklejać kamerkę, nie lepiej wyłączyć ją na poziomie BIOSu?

    • Bardzo często ustawienia BIOSu da się zmienić z poziomu systemu operacyjnego. W przypadku zasłonięcia kamerki nie jest już tak łatwo.

    • Elementarne, drogi Watsonie. :^)
      Po pierwsze, jak ktoś będzie sobie chciał skorzystać z kamerki to zdejmie naklejkę i nie będzie musiał restartować komputera. Po drugie, widząc naklejkę, wiem, że mi nic nie grozi, nie muszę pamiętać, czy wyłączyłem i sprawdzać, czy mi jakiś nieproszony gość jej z powrotem nie włączył.

    • Jakoś nie chce mi się wierzyć, że po udanym włamie do OSu, nawet NSA będzie wstanie poprzez BIOS (hasło na BIOS też jest) włączyć kamerkę. Proszę o wyprowadzenie mnie z błędu, jeśli się mylę.

    • Dev0: Dlatego powstało UEFI :)

  12. Tak wygląda kamerka w moim lapku :-)
    http://www.notebookreview.com/assets/14216.jpg

  13. Ja mam kontrolkę działania kamerki, ciekawe czy mogą to ominąć.

    • A wystarczyło przeczytać komentowany artykuł: Co ciekawe, robi to jednak ponoć bez włączania diody sygnalizującej o pracy kamery!

    • Fakt jakimś cudem przoczyłem to zdanie, jednak słowo klucz to “ponoć”. Diodę można ubić, pod warunkiem, że byłaby kontrolowana przez software. W innym przypadku to raczej niemożliwe.

  14. Kamerka z diodą powinna być na poziomie schematu elektrycznego podłączona szeregowo, by kamera nie mogła się załączyć bez przepłynięcia prądu przez diodę. Ciekawe w czyim interesie jest by takie kamerki nie powstawały…

  15. Powstają. np. Acer E1-530 takową diodkę ma. Świeci na zielono obok obiektywu rzuca się w oczy od razu jak się załączy

  16. Ha! To dioda szczytuje obraz! Kamerka jest dla niepoznaki.

  17. Można samemu dorobić włącznik kamerki, taki mechaniczny pstryk i zintegrować go ładnie z obudową. To samo można zrobić z mikrofonem.

  18. “Kiedy podejrzany ulegnie namowom i klinie w podstawiony link”

    Kliknie ;))

  19. Wiecie, ale naprawdę dobra akcja.
    Skoro facet wysyła pogróżki, że chce przeprowadzić ataki bombowe, to jest chyba uzasadnionym, że organy ścigania MUSZĄ mieć jakąś broń do takiej walki?
    Przecież istotnym jest aby jednostki prewencyjne działały sprawnie.
    Tymczasem działają po omacku, niby inwigilują miliony a potem łapią małżeństwo, gdzie facet szukał plecaka a żona szybkowaru….
    W naszym interesie jest pilnować (obywateli danego kraju) aby nie dochodziło do nadużyć a ich zadaniem no cóż, jest “szpiegowanie”,
    szpieg od szpiegowania jak dupa od s***** :)

  20. 17-nastolatek z Kalisza?

  21. […] temu opisywaliśmy że FBI wygadał się, iż jest w posiadaniu trojana który potrafi niepostrzeżenie aktywować kamerę na komputerze podejrzan… (niepostrzeżenie, tzn. bez zapalania diody). Jeden z naukowców dowiódł, że nie jest to czcza […]

  22. Ja zakleiłem kamerkę i mam spokój

  23. nick meat : “…To dioda szczytuje obraz…” – chciałbym zobaczyć kiedyś szczytującą diodę. Szczytowanie to największa z przyjemności. Ale może się mylę … W każdym bądź razie powinno być – sczytuje ,w przeciwnym wypadku trochę dwuznacznie brzmi.

  24. Kamera a po co to, nonsens, rozdymane ego, etc.

Odpowiadasz na komentarz Ally45

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: