15:21
13/10/2011

Chaos Computer Club poddał analizie oprogramowanie wykorzystywane przez niemieckie agencje rządowe i policję do komputerowej inwigilacji podejrzanych. Ujawniono liczne dziury w jego kodzie.

Na wstępie zaznaczmy, że od 2008 roku niemieckie prawo dopuszcza nieautoryzowaną instalację oprogramowania komputerowego przez organa ścigania na urządzeniach podejrzanych w celu monitoringu ich komputerowej aktywności. CCC twierdzi jednak, że rządowy trojan swoim działaniem narusza inne zapisy prawa, a przede wszystkim nie jest dostatecznie zabezpieczony, przez co naraża monitorowane komputery na ataki informatyczne, a nawet może doprowadzić do sytuacji, w której na inwigilowanym komputerze zostaną “podłożone” fałszywe dowody

Niemiecki trojan rządowy

CCC poddało analizie biblioteki DLL trojana oraz wykorzystywany przez niego sterownik jądra. Pliki uzyskano z dysków twardych przesłanych przez osoby, które podejrzewały, że zostały zainfekowane rządowym trojanem. Grupa nie uzyskała dostępu do instalatora trojana, ale udało się to firmie F-Secure.

Instalator nazywa się scuinst.exe i po raz pierwszy został zauważony 9 grudnia 2010 roku (F-Secure automatycznie blokuje i blokował ten plik). Nazwa instalatora to najprawdopodobniej skrót od Skype Capture Unit Installer — co ciekawe pod taką nazwą dystrybuowane było oprogramowanie stworzone przez niemiecką firmę DigiTask, której usługi zostały zakontraktowane na 2 075 256 EUR przez niemiecką agencję celną (WikiLeaks zdobyła ciekawe dokumenty na ten temat).

Co może Bundestrojaner?

Rządowy trojan, któremu przypisano nazwy 0zapftis i R2D2 (od fragmentu kodu źródłowego: C3PO-r2d2-POE) potrafi:

  • wykonywać regularne zrzuty ekranu (aktywego okna)
  • zapisywać wciśnięte klawisze (keylogger)
  • nagrywać rozmowy na Skype

…i oczywiście wysyła zebrane przez siebie dane na policyjne serwery (83.236.140.90, 207.158.22.134), ale robi to poprzez proxy hostowane w USA, co według CCC narusza niemieckie prawo.

r2d2 trojan

r2d2 trojan - fot. Sophos

CCC zauważyło również, że wszystkie dane wysyłane przez trojana są szyfrowane AES-em, niestety przy wykorzystaniu klucza, który jest taki sam dla każdej kopii trojana (facepalm!). Ponieważ trojan nie implementuje żadnego mechanizmu uwierzytelniania, inwigilowany może łatwo “zespoofować” dane wysyłane na policyjne serwery.

Trojan posiada także możliwość zdalnej instalacji dodatkowego oprogramowania i niestety, znów ze względu na brak uwierzytelniania, każdy może z niej skorzystać. To stwarza ryzyko, że inwigilowanej osobie można złośliwie podrzucić fałszywe dowody zbrodni.

Przypadki użycia trojana

Po publikacji przez CCC analizy trojana, kilka niemieckich landów przyznało się do jego wykorzystywania. Jednemu z podejrzanych zainstalowano trojana podczas odprawy celnej na lotnisku. Niemieckie urzędy utrzymują, że wszystkie przypadki trojana zostały zatwierdzone przez sędziego.

Czy rządowy trojan to przekroczenie uprawnień?

Analiza CCC pięknie obrazuje jak trudno jest zagwarantować dopuszczalne przez prawo podsłuchiwanie i jednocześnie nie pozwolić policji na totalną kontrolę nad komputerem podejrzanego. To co w Bundestrojanie dziwi, to dość kiepskia jakość kodu — brak zastosowania uwierzytelnienia pozwala na łatwą manipulację i nie gwarantuje niepodważalności zebranego materiału dowodowego. CCC porównało zabezpieczenia rządowego trojana do ustawienia hasła na 1234… Ciekawe czy teraz inwigilowani będą wykorzystywali jako swoją obronę fakt istnienia dziur w trojanie i istniejącą dzięki temu realną możliwość naruszenia integralności danych na swoich dyskach przez “kogoś z internetu”?

Czy popierasz ideę rządowego trojana?

Zobacz wyniki ankiety

Na koniec wspomnijmy, że oficjalnie wiadomo, iż polska (i nie tylko polska) policja korzysta z podobnych narzędzi (autorstwa Microsoftu) — z tym, że nie do tajnego, zdanego inwigilowania, a do analizy danych na zarekwirowanych komputerach.

Ale może już niedługo i polski wymiar sprawiedliwości będzie wykorzystywać podobnego do niemieckiego trojana? Narodowe Centrum Badań i Rozwoju ogłosiło konkurs na:

* opracowanie narzędzi do identyfikacji tożsamości osób popełniających przestępstwa w sieci teleinformatycznej, kamuflujących swoją tożsamość przy użyciu serwera Proxy i sieci TOR,
* opracowanie narzędzi umożliwiających niejawne i zdalne uzyskiwanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie

P.S. Wszystko wskazuje na to, że Stuxnet też był “rządową” zabawką ;)


Przeczytaj także:



43 komentarzy

Dodaj komentarz
  1. “Jednemu z podejrzanych zainstalowano trojana podczas odprawy celnej na lotnisku.”

    Przy okazji zapytam, jak się przed czymś takim zabezpieczyć? Hasło na usera bez konta gościa wystarczy pod Win 7/Vista? Nie chciałbym, żeby przy wylocie z kraju jakiś koleś mi grzebał w kompie :/

    • Full Disk Encryption i suma kontrolna bootloadera przechowywana osobno, porównywana z aktualną przed startem systemu po spuszczeniu komputera z oka.

    • Chyba, że się jedzie do UK, gdzie mogą poprosić o hasło, a jak nie podasz to wsadzić na AFAIR 3 lata do więzienia…

    • Ale tylko jesli jestes podejrzany o sprawe zwiazana z bezpieczenstwem narodowym ;) wniosek: granica z czystym hdd, potem VPN z hotelu.

    • No i jeszcze hidden partition w truecrypcie chyba omija brytyjskie prawo ;)

    • Dzięki wielkie za odpowiedź!

    • Ja bym po prostu zaplombował kompa. Proste i w krótkim czasie praktycznie nie do obejścia.

    • a po co nawet tak kombinować? przed podróżą wyjmij dysk z laptopa i schowaj do kieszeni/walizki/etc. i masz luz..

  2. Mam mieszane uczucia. Z jednej strony OK – tropienie przestępców, itp. Ale z drugiej strony, jak w każdym narzędziu tego typu, cholernie łatwo o nadużycia. Ciężko jest mi się postawić po którejkolwiek stronie linii :)

    Na pewno o pomstę wołają te dziury. To dyskusji nie podlega :)

  3. ” wiadomo, iż polska (i nie tylko polska) policja korzysta z podobnych narzędzi…” – na czym według Was polega podobieństwo narzędzi z kategorii computer forensics do trojana, który przechwytuje rozmowy na skype? Chyba tylko na tym, że są one używane przez policję.

    Fajny opis funkcjonalności trojana z Niemiec można znaleźć na heise.de – wynika z niego, że jest ich jakoby kilka wersji.

    • Oba służą do zbierania materiału dowodowego i są uruchamiane na komputerze “podejrzanego” bez jego zgody. Dlatego “podobne” a nie “tożsame”. IT Forensic w żadnym przypadku nie jest niezgodny z prawem i mam nadzieję, że dość jasno podkreśliłem w tekście, że służy do analizy “po” a nie “w trakcie”.

  4. “Jednemu z podejrzanych zainstalowano trojana podczas odprawy celnej na lotnisku.”
    Znaczy, że wyjęli mu komputer, kazali włączyć, zainstalowali, wyłączyli i oddali?
    Chyba jasne, że pierwsze co by zrobił, to go usunął.
    Jak mogli go zainstalować podczas odprawy bez wiedzy właściciela?

    • Pewnie miał laptopa w bagażu zdanym podczas odprawy (nie podręcznym).

    • Tak to faktycznie się da.
      O tym nie pomyślałem.

    • W USA na lotnisku komputery w bagażu podręcznym “wyrywkowo” (tzn. jeżeli jesteś na ‘red list’) zabierają (tak, bezprawnie) pracownicy TSA i uruchamiają bez Twojej wiedzy i zgody poza Twoją obecnością, w odrębnym pomieszczeniu. Powód? Oczywiście szukanie pornografii dziecięcej. Możesz sobie wyobrażać różne scenariusze…

      Legendarne są historie np. pracowników Airbusa, latających do USA. Otóż agencje wywiadowcze wykorzystywały w ten sposób zebrane dane (chodziło o negocjacje) i przekazywały Boeingowi. Sprawa wyszła na jaw i zrobił się lekki smrodek.
      Takie same jazdy mają aktywiści polityczni, niewygodni dziennikarze itp itd. A problem dotyczy nie tylko komputerów, ale wszelkich urządzeń elektronicznych.

    • Ale jak zabiorą podręczny, to raczej żadne podsłuchowe badziewie nie ma szans, bo jak miałbym robić coś nielegalnego, to robiłbym to na innym kompie.

  5. Wystarczy sobie urwać od Internetu i trojan już nic nie wyśle. ;-)

  6. Niska jakość niemieckiego kodu wcale mnie nie dziwi.

    • Verpiss dich

  7. …dobrze że Niebezpiecznik podniósł temat, postawa = OK :-), to dobry przyczynek do dyskusji nad Etyką i Moralnością Pani Dulskiej – w tym przypadku Niemiec …

  8. na stronie niemieckiego chip-a jest do pobrania Anti-Bundestrojaner, taka ciekawostka

  9. …idąc dalej, pracujesz dla firmy z Niemeckim Kapitałem jako freelancer, masz swojego Laptopa …i okazuje się że masz coś takiego …bo dbasz o higienę i trochę się znasz. Zgłaszasz do polskiego ABI w tej firmie bo jesteś uczciwy, potem ABI zgłasza Prezesowi …i co się dzieje ?…

    • I nic. Swoją drogą to bardzo mało subtelny pomysł. Ładniej spreparować zamknięty system operacyjny z odpowiednimi ficzerami. Dziwi mnie, że jakiekolwiek państwowe instytucje używają windowsów:) I to, że us.gov gmera przy oprogramowaniu to nie jest teoria spiskowa: to fakt. Spróbujcie zeskanować dolara do fotoszopy:)

  10. Nie dobrze… :( Trzeba na wszystko uwazac… Mam nadzieje, ze nie ma backdoor’ow w TC…

  11. a mnie zastanawia cisza w tym temacie na polskim poletku. w sprawie niemieckiego
    rzadowego trojana odbyla sie kilka lat temu debata publiczna na tyle glosna, ze odbila
    sie echem nawet w polsko jezycznych mediach. w polsce z jednej strony te kwestie
    nie sa regulowane przez polskie prawo (nie jest dozwolone uzywanie trojana przez sluzby?), z drugiej mamy cos takiego jak:
    http://www.ncbir.pl/www/images/dobr/9.pdf
    “opracowanie narzędzi umożliwiających niejawne i zdalne uzyskiwanie dostępu do zapisu na informatycznym nośniku
    danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie”
    “Instytucja zgłaszająca
    projekt: Ministerstwo Spraw Wewnętrznych i Administracji
    Agencja Bezpieczeństwa Wewnętrznego”
    dlaczego w polskich mediach i branzowych i mainstreamowych (o niemcach pisze wyborcza) rozmawiamy o niemieckich trojanach a nie o polskich?

  12. afaik nie jest to uregulowane prawnie. jesli nie jest, to moga czy nie moga? (a jesli nie moga i stosuja to dlaczego nikt sie tym nie zainteresuje?)

    bo ja wiem czy dowolny trojan spelnia “wymagania”? wlasnie kwestia w tych wymaganiach.
    jesli bylo by to ureglowane prawnie to bylo by wiadomo co moga a czego nie moga. to
    ze technicznie majac roota u kogos mozesz wszytko to wiadomo, ale jest kwestia tego
    na co prawo pozwala a na co nie. no bo mozesz np komus podrzucic dowolny plik na dysk (np. pedofilskie porno). to co pokazali niemcy to to ze prawnie bylo uregulowane to co moga a czego nie, a ich trojan robil duzo wiecej niz prawo na to pozwalalo. dlatego wlasnie moze byc potrzeba napisania trojana ktory moze tylko to na co pozwala prawo. poki prawo w pl tego nie reguluje, hulaj dusza piekla niema (z punktu widzenia sluzb)

  13. @forkbomb, lepiej bym tego nie ujął. Ale jest kwestia elementarnej uczciwości co jeśli jestem normalnym uczciwym człowiekiem – ale np. pracuje w firmie gdzie np. Własciciel, Inwestor jest na widelcu. Mam trojana znalazłem go i co to uczciwe ?. Ja nie mówie o sytuacjach skrajnych bo nie chciałbym być nigdy w sytuacji jak ludzie w Hiszpanii w metrze, ale o prostych sprawach i relacjach – zwykłych uczciwych ludzi …ta a może okopać się trzeba :-D hehehehe…

  14. No dobra, ale żeby zaaplikować trojana to właściciel kompa musi choć trochę “współpracować” co policmajster zrobi jak będzie chciał zaaplikować tegoż trojana NIEBEZPIECZNIKOWI? :)

  15. Większość silników antywirusowych wykrywa tego trojana jako R2D2.

    • to już Hypponen bodajże o tym napisał na swoim blogu. kod jest podobno bardzo kiepskiej jakości i większość programów z zaawansowanym silnikiem jest bez problemu w stanie go wykryć

  16. (A mnie naszło na filozofię). Już od dawna cywilizacja gnie się pod swoim ciężarem.

  17. @koptok, masz rację stąd popularność takich programów jak “Szkoła Przetrwania” , “Fani 4 kółek” czyli jak bezpiecznie przetrwać i jak ze szrotu zrobić zysk :-D…

  18. I tak nikomu się nie uda zrobić tego projektu a jeśli nawet to internauci znajdą na niego sposób ;)

  19. […] wskazuje więc na to, że Stuxnet nie był jednostkowym przypadkiem. Do Stuxneta i Duqu dorzućmy niemieckiego R2D2 i jest już jasne, że na dobre wkroczyliśmy w erę szpiegowskich i rządowych trojanów. […]

  20. Kaspersky znalazł już nową wersję http://www.securelist.com/en/blog/208193167/Federal_Trojan_s_got_a_Big_Brother

  21. Różnice pomiędzy pierwszą a drugą wersją trojana
    http://www.h-online.com/imgs/43/7/2/9/2/2/8/BinDiff-bf7ab004122fad5f.png

  22. […] dla których prywatność czy wolność nie mają żadnego znaczenia. Znane są przypadki niemieckich czy gruzińskich manewrów rządowych, warto zwrócić uwagę, że infekowane były tylko […]

  23. […] opis używanego w Niemczech rządowego trojana, którego zdemaskowali członkowie CCC? Okazuje się, że FinFisher jest instalowany także poza […]

  24. […] temu pisaliśmy o oficjalnym, niemieckim, rządowym trojanie R2D2, a miesiąć temu wspomnieliśmy o kolejnym programie tego typu — Finfisherze. Niemiecki […]

  25. […] nie ma niczego zaskakującego. Tzw. rządowymi trojanami dysponują m.in. Niemcy, do czego oficjalnie się przyznają. Zaskakujące byłoby, gdyby polskie służby rzeczywiście dopiero teraz zabierały się do […]

  26. […] dla których prywatność czy wolność nie mają żadnego znaczenia. Znane są przypadki niemieckich czy gruzińskich manewrów rządowych, warto zwrócić uwagę, że infekowane były tylko […]

  27. […] w majestacie prawa wykorzystywane są do zbierania informacji w prowadzonych sprawach. Niemcy mają R2D2. W wielu krajach jest też wykorzystywany FinFisher lub RCS, o którym głośno było rok temu, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: