21:02
14/4/2015

Matthew Campbell to prawnik trudniący się obroną byłych policjantów, których zwolniono ze służby po tym, jak ujawnili nieprawidłowości w swoich departamentach. Jak to prawnik, w ramach przygotowań do rozpraw, wielokrotnie prosił policję o dostarczenie różnych dokumentów dotyczących jego klientów. Zazwyczaj dostawał je e-mailem lub w formie wydruków. Pewnego dnia, kurier przyniósł mu jednak …dysk twardy.

Spisek!

Nie ma mowy, nie podpinam tego do mojego komputera!

To słowa, które Matthew miał wypowiedzieć na widok dysku przesłanego mu przez policyjnego prawnika w ramach odpowiedzi na żądanie dostarczenia zbioru dowodów do rozprawy.

Matthew postanowił przesłać dysk USB do swojego znajomego speca od komputerów, a ten potwierdził, że nośnik zawiera złośliwe oprogramowanie. Ustalono też, że złośliwym oprogramowaniem są aż 3 różne trojany z funkcją m.in. wykradania haseł i udzielania zdalnego dostępu do zainfekowanego komputera.

Matthew, który podejrzewa że zawartość nośnika nie była przypadkowa, wystosował już skargę w tej sprawie. Dodatkowo, prawnik zauważył, że w materiałach, o które wnioskował (zawartości skrzynek pocztowych) brakuje niektórych z e-maili, a część z nich została celowo skasowana.

opis

Jakby tego było mało, prawnik dotarł do informacji, że policyjny informatyk, na 10 dni przed przekazaniem nośnika brał udział w konferencji, gdzie uczestniczył w warsztatach z “bezpiecznego kasowania danych” i nie wybrał innych dostępnych warsztatów dotyczących obchodzenia się z materiałem dowodowym.

A może to nie spisek?

Tyle domysłów prawnika i jego speca od IT. Ponieważ trojany są dość standardowe i jak przyznaje sam prawnik, brak jest  dowodów na to kto je umieścił na dysku, warto byłoby także rozważyć mniej korzystny dla “obrony” — a równie prawdopodobny — bieg wydarzeń.

Jeden z policyjnych komputerów jest zainfekowany. Jeśli to na nim przygotowywano nośnik, mógł on zostać zainfekowany zupełnie przypadkiem i niecelowo — albo trojany po prostu były załącznikami do e-maili, o które wnioskował prawnik (por. Ministerstwo Gospodarki wyjaśnia wczorajszy wyciek a ABW ostrzega przed złośliwym oprogramowaniem). Nie ma też nic dziwnego w przesyłaniu, w odpowiedzi na wnioski, danych na nośnikach — to że prawnik do tej pory nie otrzymywał danych, o które wnioskował w tej formie, mogło wynikać z ich rozmiaru.

Policjanci mają oficjalne trojany do dyspozycji

Na koniec warto przypomnieć, że rządy i organy ścigania coraz większej liczby krajów posiadają swoje “oficjalne” trojany, które w majestacie prawa wykorzystywane są do zbierania informacji w prowadzonych sprawach. Niemcy mają R2D2. W wielu krajach jest też wykorzystywany FinFisher lub RCS, o którym głośno było rok temu, kiedy ślady jego serwerów zarządzających odkryto także na terenie Polski.

Trojanami tymi infekuje się nie tylko zdalnie, przez internet — ale także lokalnie, np. wkraczając do domu podejrzanego pod jego nieobecność i instalując trojana na dostępnych komputerach. 2 lata temu, przy okazji afery z agentem Tomkiem, na Wyborczej pojawiły się zwierzenia jednego z byłych oficerów służb. Stwierdził on m.in., że służby wykradały dane (a może i modyfikowały system) komputerów dziennikarzy i innych gości, którzy zostawiali sprzęt w obowiązkowym depozycie w trakcie wizyt w budynku CBA.

Nie rozstawajcie się więc nigdy ze swoimi nośnikami :-)

a-geeks-toilet

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. A to WiFi w kibelku dla geeków to też wygląda mi podejrzanie… ;)

  2. Piotrze nie pij tyle pisząc artykuł. Raz prawnik dostał HDD, raz pendrive. Trochę to niespójne.

    • Panie krowasc, mniemam, że myli pan dysk USB z pendrive. Nie wiem z jakiego pan jest roczniku, ale obecnie dyski zewnętrzne podpinane są w standardzie USB 3.0. Nie potrzeba “kieszeni”, ani wyciągać kabelków z komputera ;-)

    • Trochę wcześnie na picie co :D

    • Hmm ja tam widzę dysk twardy pod USB:)

    • Nie ma nigdzie mowy o pendrive, jest mowa o nośniku, dysku USB i dysku twardym (HDD). Równie dobrze może to być HDD podłączany pod USB. Nie wyobrażam sobie przesyłania danych na “gołym” (tj bez obudowy) HDD, głównie ze względu na kłopotliwe jego podłączenie.

    • dysk HDD z kabelkiem USB

    • A może było to coś takiego:
      http://technabob.com/blog/wp-content/uploads/2012/03/mini-hard-disk-flash-drive.jpg

  3. mógł to być dysk hdd na usb ;p

  4. E tam. Jak pracowałem w Prokuraturze, to wszystkie pendrive’y, które przynosili policjanci były zarażone jakimś paściem.

    • Z mojego doświadczenia wynika, że chyba większość pendrive’ów jest czymś zarażona, a domyślne ustawienia Windows powodują, że delikwent nierzadko nie ma o tym bladego pojęcia. Wielokrotnie miałem do czynienia z sytuacjami typu ktoś podpina swojego “pędraka”, a tam w katalogu głównym oczom ukazują się pliki np. abc.jpg.exe (z ikonką sugerującą że to rzeczywiście obrazek) oraz autorun.inf (ten drugi rzecz jasna odpalający ten pierwszy, jeśli tylko aktywny jest AutoPlay), oba z ustawionymi atrybutami RHS (czyli niewidoczne, chyba że ktoś włączył wyświetlanie plików z atrybutem S).

  5. No to już możemy być pewni – Niebiezpiecznik dostał reprymendę od armii naszej niezwyciężonej i prima-aprilisowego follow-upu nie będzie.

    • Będzie, właśnie przebilismy się przez ostatnie komentarze i maile.

  6. Tak to juz jest no niestety, sluzby publiczne hakuja sie pomiedzy nami a panstwa hakuja panstwa takie juz czasy ludziska. Teraz to wojna toczy sie za pomoca klawiatury a nie realnej broni.

    • powiedz to rodzinom zamordowanych ludzi na Ukrainie :/

  7. Co do końcówki tekstu, jak zabezpieczyć się przed ingerencją w urządzenie zostawiane w depozycie, najlepiej tak, żeby potencjalny włamywacz nie wiedział o zastosowaniu zabezpieczenia? Ostatnio zdarza mi się bywać w miejscach, w których obowiązkowo trzeba zostawić telefon przed przejściem wgłąb budynku.

    • Nie ma możliwości zapobiegnięcia fizycznej ingerencji w urządzenie przez kogoś, komu je fizycznie przekazujesz. Jedyny “sposób” to zabierać ze sobą urządzenie-ściemę na którym nie ma żadnych istotnych danych (na wypadek np. zrzucenia przez “opiekunów” zawartości pamięci znajdujących się w urządzeniu) i którego po wizycie nigdy więcej nie będziesz używał (na wypadek doczepienia przez nich sprzętowych lub programowych “bonusów”).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.