Berta Sándor

A németek az FBI segítségét is kérték trójai programjukhoz

Újabb információk merültek fel a német szövetségi trójai programmal kapcsolatban. Könnyen elképzelhető, hogy 50, de az is lehet, hogy 100 esetben vetették be eddig a szoftvert. A német szakemberek a kifejlesztése során az FBI-tól kértek segítséget.

Sabine Leutheusser-Schnarrenberger szövetségi igazságügyi miniszter megdicsérte a trójai programot feltörő Chaos Computer Club tagjait és közölte, hogy nagyon ritkán voltak ennyire fontosak a becsléseik a döntéshozók számára, mint most. A politikus azt akarja elérni, hogy a szövetségi hivatalok és a tartományok dolgozzanak ki egységes szabályokat a kémszoftverrel kapcsolatban.

Eközben a Spiegel arról írt, hogy az elmúlt években a német hivatalok munkatársai eddig 50 alkalommal vethették be az alkalmazást. Ugyanakkor a Neue Osnabrücker Zeitungnak Hans-Peter Uhl, a CSU belpolitikai szóvivője már úgy nyilatkozott, hogy az összes német biztonsági hivatal 2009 óta évente legalább 35 esetben használta a trójai szoftvert. Csak Bajorország 25 esetben alkalmazta ezt a módszert. Uhl felvetette az igazságügyi miniszter felelősségét is az ügyben. Hangsúlyozta, hogy az elmúlt években többször is felhívták Sabine Leutheusser-Schnarrenberger figyelmét arra, hogy a program valószínűleg nem teljesen legális, ám nem történt semmi.

Az ügy már nem csak Németországban kavar egyre nagyobb hullámokat, hanem a tengerentúlon is. A Wired cikkében rámutatott, hogy a német hatóságok 2007-ben többször is a Szövetségi Nyomozó Irodához (FBI) fordultak, hogy segítséget kérjenek a trójai kifejlesztéséhez. A Frankfurt am Mainban működő amerikai főkonzulátus egyik munkatársa e-mailben kereste meg az FBI Data Intercept Technology Unit vezetőjét és arról írt, hogy a német szakemberek az amerikai iroda által használt Computer and Internet Protocol Address Verifier (CIPAV) nevű megoldásáról kérdezték. Beleegyezett abba, hogy találkozik az illetékes német hivatal egyik képviselőjével. A levélből ugyanakkor nem derült ki, hogy pontosan melyik hivatalról volt szó és az sem, hogy az FBI végül segített-e a németeknek.

A CIPAV nevű szoftvert egyébként az FBI már 2007 óta alkalmazza és erről már 2007-ben, 2009-ben, illetve idén májusban is szivárogtak ki adatok. A CIPAV többek között továbbítja az FBI-nak a gyanúsított IP-címét, MAC-címét, a nyitott portok listáját, az éppen futó programok nevét, a használt Windows-verzió típusát és adatait, valamint a regisztráció során megadott nevet. Ezenkívül a CIPAV érdeklődik a használt böngészőkörnyezet, a böngésző típusa és verziója iránt is.

A Chaos Computer Club néhány nappal ezelőtt jelentette be, hogy feltörte a német kormány hackerprogramját, amely különböző modulokkal bővíthető és képes arra, hogy a különböző kommunikációs csatornákat lehallgassa, az azokon folytatott beszélgetéseket és adattovábbításokat rögzítse. Emellett képernyőképeket készít, rögzíti a chatbeszélgetéseket és az e-maileket, s lemásolja még a soha el nem küldött jegyzeteket is. Kibővíthető olyan modulokkal is, amelyek lehetővé teszik a billentyűleütések és a merevlemez-tevékenységek rögzítését, az adott helyiség audiovizuális megfigyelését az esetlegesen beépített webkamerák és mikrofonok segítségével. Az ügyből hatalmas botrány lett, amely már kormányszintig ér. Az elmúlt napokban kiderült, hogy a német hatóságok rendszeresen használtak trójai szoftvert, a helyi vám- és pénzügyőrség az elmúlt négy esztendőben 19 alkalommal vetette be a szoftvert Skype-beszélgetések lehallgatására.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • willcox #12
    Nem igazán vagyok biztos abban, hogy amiket leírsz, az _valóban_ úgy is van.
    Egyébként meg, akinek vaj van a fején, az sok egyéb trükköt használhat. Pl.: soha nem a saját gépét használja, hanem pl. internet kávézóból, bevásárló központokban a kiállított gépekről, stb. internetezik. Másik lehetőség: minden bekapcsolás után visszatölti a szűz rendszerét. És persze megfelelő tűzfalat kell használni.
    Nagyobb ennek az egésznek a füstje, mint a lángja. Ha valaki nagyon nem akarja, hogy megfigyeljék, akkor megtalálja a módját arra, hogy semmiféle trójaival vagy egyébbel ne tudják megfigyelni.

    PS: a 90-es években azzal hülyítették a népet, hogy akár messziről is láthatóvá tudják tenni a képernyőtartalmat, a billentyűk hangjából tudják, hogy mit gépelnek, stb. Csomó álmodozó félművelt ijesztgette már akkor is a népet. Csak amikor bizonyítani kellett volna, akkor kiderült, hogy korántsem úgy van, ahogy azt állítják.
  • kvp #11
    "Nem lenne egyszerűbb inkább azt mondani"

    Nem, az osszes hibat probaljak kikuszobolni. Hatso kapu pedig nincs rajtuk, csak a rendszerfrissitesek alairo kulcsai ismertek az usa es a nato vezetese elott. De ez soha nem volt titok, mar a 90-es evekben is igy volt.

    "mi van ha naponta frissítem a böngészőmet, vagy tkp. alapba be van kapcsolva a mostanában elég divatos automata böngészőfrissítés, amelyek rendre hash ,
    aláírási verifikációt alkalmaznak és ált. ssl-en keresztül töltődnek le?"

    Az elso letoltott oldal utan kiderul az uj verzio. Az automata frissites pedig garantalja, hogy mindig a legfrissebb, 0 day-es exploit-ok legyenek fent.

    "- mi van ha egyáltalán nincs semmilyen ekszploit a rendszeremen, mert frissen- tartott nincsenek nyitott portok, esetleg egy routert használok, és/vagy tűzfalat is?"

    Akkor jo esellyel nincs a gepen bongeszo sem, mert az exploit a kihasznalhato bug-okat jelenti a normal szoftverekben. (nezz utanna mint is jelent pontosan)

    "mi van ha TOR-t vagy egyéb anonim hálózatot (i2p) használok és a szolgáltatómnak semmi beleszólása a RONCCSÁ titkosított adatfolyamba, nemhogy beletenni nem tud semmit de nem is láthatja azt?"

    Tipikusan a tor exit point-ok jo resze tartalmaz ilyen proxy-kat, mivel a tor halozat jo resze kormanyzati megfigyeles alatt van, a masik felet pedig egy 'nevtelen' hacker csoport hasznalja arra, hogy a rosszindulatu, de amugy bena hacker-ektol lopjanak adatokat. (pl. a kinai ipari es katonai kemektol egesz erdekes dolgokat lehet beszerezni, mivel ok is tor-t hasznalnak :-) )

    "elég egyetlen szűrést , egy nyamvadt if-et berakni a böngésző kódjába , máris nem fut le, az ami nem PNG"

    Ugye tudod (valoszinuleg nem), hogy az exploit nem egy exe file, hanem egy serultnek tuno adat, ami hibas mukodesre keszteti az azt feldolgozo programot. Pl. gyakran egy hibasan letoltodott kepnek vagy java script hibanak tunik, pedig valojaban ott volt a kep vagy az oldal kozepen a tamado adat. (nem kod, mivel az exploit-ok joreszt adatok, amik kodkent viselkednek, de valojaban tobbnyire nem kell oket kozvetlenul vegrehajtani) A legjobb exploit-ok olyanok, hogy nem szall el toluk a program, tehat pl. hibatlanul betolt a kep, csak egy picivel tobbet kerreg a merevlemez mint szokott. Kozben a kep kozepen/vegen ott volt a tamadasra szolgalo adat es a hatterben mar jon is le a tenyleges kartekony kod. Mindezt ugy, hogy a rendszer mukodeset nem rontja jelentos mertekben. (lopakodo programok eseten ez alap elvaras)
  • nextman #9
    Exploit mindig van. Max nem szeles korben ismert.
  • kvp #7
    "Hozzám hogyan juttatnál be ilyesmit?"

    Megneznem a bongeszod tipusat es az altalad latogatott oldalakat (passziv adatgyujtes). Keresnek egy exploit-ot az adott bongeszohoz (ez lehet linux-os is) es a szolgaltatonal egy transzparens proxy-t berakva (pl. zorp) az egyik gyakran latogatott url-t elteritenem, azaz a keres helyett a proxy valaszolna az injektalando koddot tartalamazo payload-dal. (ez mozilla eseten lehet akar egy sima, de trukkos html oldal is) A bongeszo azt hiszi weboldalt kapott, elkezdi feldolgozni, lefut az exploit, megy be virus, az meg huzza be a trojait... Az a jo, hogy ez linux-on is mukodik, sot sok orosz csapat szakosodott ilyen exploit kezelo programok keszitesere. (a bunozok tobbnyire nem teritik el az oldalakat, hanem hamis keresesi talalatokkal csaljak oda az embereket) A biztos megoldas tenyleg a kabel kihuzasa, vagy a kritptografiai vedelem minden tcp kapcsolat eseten. Persze akkor meg a kripto library tamadhato hasonlo modszerrel...

    Egyebkent pl. az sg.hu-n a kep alapu exploit-ot erre a kepre erdemes rarakni:
    http://www.sg.hu/images/minusz.png, mivel senkinek nem tunik fel ha veletlenul nincs ott, de az alap domain resze es a png dekodolo szinte mindenutt eleg lyukas. De ez csak egy pelda...
  • Narxis #6
    Húzd ki a netkábelt.
  • willcox #5
    Ez igaz lehet msie esetén. De ha valaki nem azt használ? Meg mi van akkor, ha pl. a hirdetések blokkolva vannak, vagy ha az ember nem megy soha arra az oldalra, ahonnan az ilyen kártevőket össze lehet szedni? Tudsz olyan megoldást, ami minden esetben igaz?
    Nálam pl. a hirdetések blokkolva vannak, a statisztikai oldalak és társaik hosts szinten vannak kilőve, használok noscript-et, és nem msie-t használok. Nem vagyok rajta egyetlen közösségi oldalon sem, ismeretlentől nem fogadok levelet, csatolt állományt is tartalmazó, ismerőstől kapott levelet is csak akkor nyitok meg, ha az előző levelében jelezte az ismerős, hogy a következő levele csatolmányt fog tartalmazni. Hozzám hogyan juttatnál be ilyesmit?
  • vision5 #3
    Ne használjunk windowst. Ennyi a megolás.
  • kvp #2
    Kezdetben elkuldtek sima spam email-kent, de volt ra pelda, hogy http injection-nel, tehat mondjuk az illeto lekeri az www.sg.hu-t es az egyik hirdetesi jpeg helyett egy elteritett dns-bejegyzes miatt kap egy virusos jpeg-et, ami a passziv megfigyelesbol ismert tipusu bongeszoben okoz egy buffer tulcsordulast, ezaltal kirakva a letolto programot, ami lehuzza es felrakja a teljes trojait. Innentol zombi a gep es szabadon iranyithato. Sok orosz mukodtetesu oldal is ezt a trukkot hasznalja.
  • willcox #1
    Nevetséges. Ahhoz, hogy egy ilyen trójai az elvárásoknak megfelelően működjön, ahhoz a delikvens gépére/gépeire kell juttatni azt. Ha nincs a gépén/gépein, akkor az annyi, mint halottnak a beöntés. Egyáltalán hogyan juttatják a megfigyelendő gépére?
    Nem más ez, mint sima ijesztgetés.