12:34
21/5/2013

Każde państwo ma swoich oficerów wywiadu lub osobowe źródła informacji (potocznie zwanych “szpiegami”) pozyskujące strategiczne dla rozwoju i obronności państwa informacje poza jego granicami. Nie inaczej jest z Chinami — i jak się okazuje, przyczyną głośnego 3 lata temu włamania do Google była właśnie chęć ochrony chińskich szpiegów działających w USA.

Informacje sprzed 3 lat…

Przypomnijmy, że 13 stycznia 2010 roku Google przyznało się, że padło ofiarą ataku informatycznego. Firma ujawniła wtedy, że włamywaczami są najprawdopodobniej Chińczycy, do ataku wykorzystano 0day’a na Internet Explorera oraz technikę spear phishing, a oprócz Google ofiarą działań włamywaczy padło jeszcze 30 innych dużych amerykańskich firm (Google było pierwszą z nich, która się przyznała).

google feeling lucky?

Google feeling lucky?

Google zdradziło również, że włamywacze byli zainteresowani informacjami dotyczącymi kont aktywistów działających na rzecz praw człowieka w Chinach. Firma przyznała, że atakujący uzyskali dostęp do tematów e-maili i daty założenia niektórych kont. Już wtedy ten dość osobliwy zbiór informacji pozyskanych przez atakujących i enigmatyczny styl wypowiedzi Google sugerował niektórym, że Chińczycy mogli uzyskać nie tyle bezpośredni dostęp do poszczególnych skrzynkek aktywistów, a przejąć kontrolę nad “policyjnym” interfejsem GMaila (firmy telekomunikacyjne mają obowiązek udostępniać organom ścigania pewne informacje (np. nagłówki połączeń) dotyczące działań swoich klientów (czasem nawet bez nakazu) i w tym celu tworzą niekiedy odpowiednie iterfejsy dostępu (wyszukiwarki) dla służb — a Chiny wiedziały o takim dostępie, bo od 2008 nieoficjalnie się o niego starały).

Microsoft ujawnia prawdziwy powód ataków

Jak miesiąc temu poinformował CIO, na rządowej konferencji Dave Aucsmith, dyrektor Microsoftu, w trakcie swojej prezentacji odwołał się do ataków na Google, przyznając, że w tym sam momencie próbowano także włamać się do Microsoftu. Firma ustaliła wtedy, że atakującym chodziło o uzyskanie dostępu do listy osób, które na podstawie nakazów sądowych są podejrzewane o szpiegostwo przeciw USA (Microsoft miał obowiązek zgodnie z prawem monitorować skrzynki należące do osób z tej listy). Dave zasugerował, że taki sam cel miały i ataki na Google.

Nowatorskie działania kontrwywiadowcze Chin powodem włamań?

Sprawę pociągnął Washington Post, który w rozmowach z przedstawicielami służb (rozmawiającymi z dziennikarzami pod warunkiem zachowania anonimowości) ujawnili, że

(…) kiedy Google zajmowało się analizą incydentu, ich pracownicy odkryli, że włamywacze uzyskali dostęp do bazy danych zawierające kilkuletnie dane dotyczące nakazów monitoringu konkretnych skrzynek pocztowych. Nakazy zostały wydane przez sądy i służby, a część z nich, wydana na podstawie Foreign Intelligence Surveillance Act była tajna i dotyczyła dyplomatów i osób podejrzanych o szpiegostwo na rzecz obcych Państw lub po prostu terroryzm.

Wszystko wskazuje więc na to, że Chińczycy chcieli sprawdzić, którzy z ich agentów zostali już namierzeni przez amerykańskie służby i są monitorowani, aby móc ich ostrzec lub odpowiednio wcześniej ewakuować z USA. Być może właśnie z powodu bezpośredniego wpływu na bezpieczeństwo narodowe USA, Google nie ujawniło tej informacji 3 lata temu. Zarówno Google jak i FBI obecnie konsekwentnie odmawiają komentarza w tej sprawie.

Jak przyznaje Dave Aucsmith, zastosowana przez Chińczyków taktyka jest genialna pod kątem kontrwywiadowczym — Chiny nie mając oczywiście żadnych szans na uzyskanie informacji dotyczących swoich agentów podejrzewanych o szpiegostwo bezpośrednio od służb specjalnych USA, za źródło czerpania wiedzy na ten temat wybrały sobie firmy, do których służby dystrubuowały pożądane przez Chińczyków wiadomości (tj. m.in. Microsoft i Google).

W świetle powyżyszych rewelacji są dwa wątki; negatywny (ale nie zaskakujący) — w USA jest pełno Chińskich szpiegów oraz pozytywny — skoro Chińczycy próbowali się włamywać do Google i Microsoftu, to znaczy, że nie mieli (nie mają?) tam swoich osobowych źródeł informacji — przynajmniej w tych departamentach, które przetwarzają tak wrażliwe dane jak nakazy monitoringu. A może ten atak miał po prostu utwierdzić nas w przekonaniu, że tak jest…?

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Pozdrawiam Ciebie Piotr, kolega za szyby :>

  2. Mała uwaga do tekstu: przetwa*RZ*ają

  3. Wniosek jest jeden… O ile to możliwe, trzymać pocztę u siebie i wszystko szyfrować PGP.

    • Co to znaczy “u siebie”? Na łączu od ISP, którym sam jesteś i na maszynie którą sam zlutowałeś z wyprodukowanych przez siebie komponentów? ;-)

    • Piotrze, miałem na myśli serwer, którego jesteś adminem.
      Wtedy masz pewność, że nie istnieje żaden policyjny panel.
      Dodatkowo posiadając nietypową konfigurację i małą ilością kont
      IMHO zmniejsza się ilość zainteresowanych złamaniem zabezpieczeń.
      Oczywiście jeśli komuś podpadniesz to już inna kwestia…

    • Piotrku czyżbyś podejrzewał polskich ISP do DPI? SSL strip? Mnie sie wydaje, że lokalni dostawcy raczej nie są w stanie zafundować sobie takich cacek od BlueCoat. Dopóki daleko nam do Iranu czy Syrii to raczej do pakietów zaglądać nam nie będą. I zastanawiam się czy w przypadku white-listy na połączenia wychodzące, chiński rootkit w sterowniku karty sieciowej ma tak duże znaczenie jeśli nie będzie się w stanie podzielić zebraną wiedzą.. ;) tak sobie głośno myśle ..

    • @Janusz:

      1. Szyfrowanie *całej* poczty za pomocą PGP, S/MIME czy czegokolwiek jest nierealne – nie jesteś w stanie skłonić wszystkich Twoich (także przyszłych) korespondentów do tego. Musiałbyś bardzo mocno ograniczyć grono Twoich znajomych.

      2. Nawet jeśli masz ograniczone grono korespondentów używających zawsze szyfrowania w mailach do Ciebie, musisz im ufać, że nie ujawnią treści korespondencji, umyślnie lub nie, i że chronią ją wystarczająco dobrze.

      3. Aplikacyjne szyfrowanie (PGP itp.) chroni tylko treść. Nagłówki są przechowywane i przesyłane (SMTP) otwartym tekstem.

      4. Nawet jeśli dopuścisz tylko szyfrowane SMTP, jeszcze bardziej ograniczając grono kontaktów do tych, których serwery to wspierają, pamiętaj, że sam fakt połączenia jest jawny – i rutynowo rejestrowany do celów “policyjnych”.

      5. Żeby ominąć 4., mógłbyś jeszcze to przez TORa przepuścić. To już chyba nikt nie będzie do Ciebie maili pisać…

      Pomijam już żartobliwe uwagi Piotra K. o backdoorach w chińskich chipach.

      Jedyny zysk z własnego serwera pocztowego jest taki, że możesz sobie skonfigurować go jak chcesz i różne cuda z mailami wyprawiać – co sam robię. Hostowana usługa ma tylko takie opcje, jakie przewidział dostawca. Za to ma sporo niedogodności – trzeba samemu o wszystko zadbać, skonfigurować, aktualizować, monitorować itp. – i jest szansa trafienia na jakąś blacklistę bez własnej winy i możliwości wypisania… wiem coś o tym.

  4. “osbowych” – chyba chodziło o “osobnych źródeł”

  5. “skoro Chińczycy próbowali się włamywać do Google i Microsoftu, to znaczy, że nie mieli (nie mają?) tam swoich osbowych źródeł informacji — przynajmniej w tych departamentach, które przetwarzają tak wrażliwe dane jak nakazy monitoringu”

    A może próbowali się włamać właśnie po to by zamaskować, że takie źródła mają?

    • “A może ten atak miał po prostu utwierdzić nas w
      przekonaniu, że tak jest…?”

  6. Nowatorskie działania? :) nowatorsko to będzie, kiedy okaże się, że podzespoły produkowane w państwie środka, wykorzystywane wszędzie, okażą się w jakiś sposób zainfekowane i w odpowienim momencie zaczną działać :) bój się świecie.

  7. @qwrety: tu chodzi o OZI: http://pl.wikipedia.org/wiki/Osobowe_%C5%BAr%C3%B3d%C5%82o_informacji

  8. Może być też tak, że komórka odpowiedzialna za włamania, nie wiedziała, że mają tam osobowe źródła informacji. Bąć co bodź informacje o własnych szpiegach są chronione nawet wewnątrz własnej agencji.

  9. To, że Chińczykom chodziło o dostęp do rejestru
    “podsłuchów”, wiadomo było już ponad 3 lata temu. Teraz się WaPo
    obudził, a za nim inni…
    http://www.macworld.co.uk/digitallifestyle/news/?newsid=28293

    • No nie do konca bylo wiadomo, bo trzeba odroznic
      przedstawienie tego incydentu jako dostep do systemu “podsluchow” i
      targetowanie aktywistow (o tym pisano 3 lata temu, na
      niebezpieczniku tez, i jest o tym wspomniane nawet w tym artykule)
      od dostepu do systemu podsluchow w celu weryfikacji spalenia
      agentury, bo o tym mowi sie, a raczej sugeruje dopiero od miesiaca
      za sprawa wygadania sie goscia z microsoftu, i choc mowi sie od
      miesiaca to dopiero wczorajszy artykul to wiarygodnie choc
      anonimowo potwierdza. Ae mysle ze zrodla wposta sa
      sprawdzone.

  10. Ciekawe czy Google i Microsoft (lub inne prywatne firmy) w
    jakikolwiek sposób wspierały aktywnie działania wywiadu USA, oraz
    czy tylko w/w zasoby były celem ataku Chińczyków. Jako że Chińskie
    firmy są podejrzewane o celowe wstawianie backdoorów w swoje
    produkty, to pytanie nie jest tak zupelnie bez sensu

    • Nie chodzi mi o standardowe “Google Cię śledzi, i oddaje dane służbom”, tylko o aktywny ofens. Wyszukiwanie konkretnych wzorców działań w necie, oraz inwigilacja konkretnych, wybranych targetów (osób, firm, placówek) na świecie. Różnica między zbieraniem danych z wyszukiwarki, Czy przekazaniem kodu źródłowego IE do NSA, a ukierunkowanym atakiem na firmę Ping-Pong z Pekinu jest. Tylko czy takie koncerny takie działania wspierają (i czy miały by jak)? Pytanie laika.

  11. Coz za odkrycie… W druga strone jest tak samo.

  12. Ciekawe czy wprowadzenie protokołu ipv6 na szeroką skalę i przydzielenie adresu IP wszystkim nie pomogło by w budowie usług typu voip i mail bez pośrednictwa serwerów firm trzecich? Teoretycznie informacja przesyłana bezpośrednio do odbiorcy różnymi drogami jest cięższa do śledzenia.

    • IPv6 nic nie zmieni.

      1. Teoretycznie wszystko można zrobić w oparciu o sieci peer-to-peer – ale jak zmusisz cały Internet do przejścia na nowy, zdecentralizowany protokół? SMTP forever… zresztą on jest dość dobrze zdecentralizowany, tylko ludziska sami się pchają do jednego czy kilku dostawców… Dużo gorzej jest dla innych usług typu gagadudu, pejsbuk i in.

      2. Teoretycznie masz łączność zdecentralizowaną każdy z każdym, w praktyce niemal wszystko przelatuje przez kilka-kilkanaście IXów – wystarczy tam się zasadzić…

  13. Jedno pytanko, odnosnie “policyjnego” interfejsu google.
    Ktos orientuje sie jak wyglada w praktyce kwestia uzyskiwania przez policje dostepu do prywatnej korespondencji? Podejrzewam, ze jakas poczta wp, czy inny onet na zadanie prokuratury bez problemu udostepni tresci przechowywanych na serwerze wiadomosci, IP z ktorych zostaly wyslane, itp… A jak sprawa sie ma w przypadku usunietych danych? Jak gleboko moze siegac system backupow/przechowywania danych pozornie usunietych?

  14. Teraz się wydało….

  15. Nie wydaje się wam, że to wszystko przypomina walkę szczurów o przetrwanie na tonącym okręcie? Szczury zagryzają się wzajemnie, ale ich walka i tak jest daremna bo i tak wszystkie zginą. Zwycięzcy pożyją troszeczkę dłużej, ale nie wiadomo do końca czy lepiej jest pożyć tutaj, czy lepiej jest “nie żyć” tam. Być może zwycięzcy tak na prawdę są przegranymi.

  16. Czy to niebezpiecznik stoi za wlamaniami do google i microsoftu?

  17. Ostatnio kiedy badałem swoją stronę Inspektorem Mozilli znalazłem w źródle skrypt na dolę strony (ja go tam nie dodałem). Skrypt znajduje się na https://sc1.checkpoint.com/dev/abine/scripts/inject.js
    Jest on na każdej stronie (niebezpiecznik również).
    O co z tym chodzi?

    • To jest kod od jakiegoś Twojego toolbara ;)

  18. […] złożył żądanie dostępu do informacji publicznej w sprawie operacji Aurora, czyli głośnego zmasowanego ataku komputerowego przeprowadzonego przez chińskich rządowych hackerów (a dokładnie komórkę działającą pod nazwą Elderwood) m.in. na Google, Adobe, RSA, Junipera i […]

  19. […] Vocational, która była podejrzewana o udział w Operacji Aurora, czyli największym, zmasowanym ataku chińskich hackerów na amerykańskie firmy technologiczne i wojskowe. Czyżby zatem coś łączyło atakujących z grupy Zero Zombie z atakującymi z grup APT1 lub […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.