Hedvig
7 °C
23 °C

Megtaláltuk a magyar titkosszolgálat fedőcégét

2015.07.10. 15:22
A Hacking Team béna tagjai lebuktatták a magyar titkosszolgálatok egyik fedőcégét. Hiába akartak biztonságosan levelezni velük, ma szinte minden kinn van a neten, és bárki olvashatja. A megvett kémprogramban ráadásul valószínűleg hátsó ajtó van, ki tudja mit csináltak vele. Szinte végtelen a furcsaságok listája.

Sajnos ellőttük a már a legjobbnak gondolt negatív jelzőket a Hacking Teamre, pedig a levelezésük mélyebb tanulmányozása után „a világ legostobább hekkerei” már enyhe kifejezésnek tűnik rájuk. Ahhoz képest, hogy kormányoknak adtak el kiberfegyvereket, olyan elképesztő hibákat követtek el, hogy csoda, miért ilyen soká hekkelték csak meg őket. Ezek közül néhányat részleteztünk előző cikkünkben, de most már látszik, hogy az csak a jéghegy csúcsa volt.

Pedig a magyar titkosszolgálat mindent megpróbált, és ez most nem irónia: a fontos információkat tartalmazó leveleket titkosították, az üzenetet így csak a feladó és a fogadó fél olvashatta (az ehhez használt PGP-titkosítás a mai napig feltörhetetlen).

A Hacking Team ügyfélkapcsolati menedzserének viszont ez így kényelmetlen volt. Úgyhogy fogta magát, 

leszedte a titkosítást a levelekről, és elküldte magának azokat újra.
 

Amikor nem ez volt, akkor egyszerűen azt írta, a Windows 8.1-re váltás miatt nem működik a titkosítása, úgyhogy mi lenne, ha a magyarok inkább lejelszavaznának egy Word dokumentumot, betömörítenék, és azt is jelszavaznák. A jelszót meg sms-ben küldték el. Ez a módszer nem túl sokat ér, tele az internet az ilyen jelszavakat percek alatt törő programokkal. Fel is törték őket, így ma mindenki olvashatja a magyar titkosszolgálatoktól jövő levelezés nagy részét is. 

Nagyjából így buktatja le a Hacking Team az Információs Hivatal egyik fedett cégét is: a magyar fél kérte, hogy az egyik fejlesztésért hadd fizessenek konspiráltan, harmadik félen keresztül. A HT ebbe bele is ment, csak azért kérték, hogy írják be a számlázót a szerződésbe. Aztán felrakták a szerverükre a szerződést, így ma már az egész világ megtudhatja a Wikileaks keresőjéből, hogy az Információs Hivatal a budapesti, V. kerületi Türr István u. 9. alá bejegyzett

KHIF Többcélú Kistérségi Társaság

nevében fizetett 90 ezer eurót (28 millió forintot) a hekkercégnek a Galileo nevű kiberfegyveréért. A szerződésben egyébként valószínűleg elírták a nevet, mert ezeket a speciális önkormányzati formákat kistérségi társulásnak, nem társaságnak nevezik. Az mondjuk biztos, hogy tényleg több célú, a KHIF rövidítésre nem találtunk magyarázatot, lehet, hogy csak kitalálták, mégis, legyen valami. Mindenesetre az interneten ezen felül semmilyen nyoma nincs a társulásnak.

OSX? Az minek?

A levelezésekből kiderül az is, hogy a magyar szolgálatok lépést tartottak a technológiai fejlődéssel: amikor szükség volt rá, mindig újabb modulokat vettek a programból. Az OSX azonban biztonságban maradt, mivel ez „Magyarországon nem népszerű, így lehet spórolni a költségeken”. 2014-ben úgy döntött az Információs Hivatal, hogy egyelőre a Windows Phone-hoz és a Linuxhoz sem vásárol kiberfegyvert. Később, egy tréningen már erre ezekre is képeztek minket, szóval lehet, hogy azóta mégis csak használjuk.

Vettünk viszont a fő program mellé még anonimizálót, meg olyat, amivel be lehet juttatni a letöltésekbe, frissítésekbe. A mobilos platformot az IH egy Samsung Galaxy S3 telefonon tesztelte. Írtak a Hacking Teamnek, hogy kell nekik egy ilyen, akik azon nyomban 

meg is rendelték az Amazonon.

Ami nem a legjobb megoldás, mióta tudjuk, hogy az NSA bármikor belenyúl a szállított hardverekbe (márpedig láthatták, hogy a Hacking Team címére rendelt valaki). A magyar titkosszolgálat közben azt hitte, teljesen biztonságosan jut hozzá a teszttelefonjához. 

A hibajegyekből az is kiderült, hogy nem működik tökéletesen a kémprogram telepítése a telefonra: elvileg egyetlen SMS-sel megoldható volt ez, amit nem is látott a júzer. Az IH tesztjén azonban kiderült, hogy a titkos SMS-t kijelezte a telefon. Mondhatni, szokásos hiba, a korábban feltört FinSpy a lehallgatás indításához használt telefonhívást jelezte ki 8888-as hívószámmal.

Lebuktunk :)

Apropó, FinSpy: az eddigi dokumentumok alapján a magyar szakszolgálat volt az egyedüli, amely mindkét, mára feltört programot megvette. Akkor ki is szivárgott B. Péter mérnök ezredes hivatalos emailcíme.

Hello, 

I want to change my contact informations, because my mail address has compromised. (I think, you know why :)

Írt is egy emailt a Hacking Teamnek, hogy mostantól másikon kommunikáljanak

(„szerintem tudjátok, miért :)"),

és a hivatalos címet két gmailesre cserélte. A Hacking Team feltörése miatt hiába, ma már ezek is nyilvánosak. A belső levelezésből az is kiderült, hogy ők is észrevették, hogy Magyarország a legnagyobb konkurensüktől is vásárol. Mondjuk, gyorsan túlléptek rajta. Ahogy azon az újságcikken is, ami Orbánról és Magyarországról cikkezett 2012-ben, miszerint egyre kevésbé vagyunk demokrácia.

Erre aztán nincs szükségünk – kommentálta a beküldő a belső listán a cikket. Szép dolog az aggodalom, de valahogy nem érezték ugyanezt amikor olyanok orszégoknak adtak el szoftverükből, akik két lábbal tiporják az emberi jogokat, mint mondjuk Szudán vagy Nigéria kormánya. Vagy amikor megpróbálták eladni a brutális bangladesi csoportnak, a gyilkosságaikról és kínzásaikról hírhedt RAB-nak a szoftverüket.

Volt néhány furcsa kérés

A segítséget adó support team levelezése is nyilvános, így kiderülhetett az is, mi foglalkoztatta a magyar titkosszolgálatokat: sok levelet megélt az a levelezés például, hogy hogyan tudnák bizonyítéknak begyűjteni, hogy valaki kinyomtatott valamit az internetről. Kérdés, hogy ez mit bizonyíthat, mindenesetre alapból nem tudta a kiberfegyver. 

A szolgálatainknak volt olyan célpontja is, akinek mindig offline a laptopja, ezért kommunikáció nélkül akarták rátenni a backdoort. „Csak havonta egyszer férünk hozzá” – írták. Először ezzel is problémák voltak, nem akarta begyűjteni az adatokat, eltűnt.

Egy másik levelezésből az látszik, hogy egy új kábelmodemes internetszolgáltatóhoz akartak telepíteni a szoftverből, ehhez online segítséget is kértek (Skype, TeamViewer), de aztán valamiért el kellett halasztani a telepítést.

Az eredeti levél

Hello, 
We would like to try your Internet Explorer exploit. We have a test target with fully upgraded Windows 7 64-bit operation system, and the default Internet Explorer 11. We have installed Adobe Flash 13.0.0.182 and Java 7.0.550.

The site for the redirection is "www.index.hu" and the silent installer is attached.

We hope everything is correct to send us a fake URL to test it. Is there any changes with available exploits?

A legártalmatlanabb, de legérdekesebb hibajegyből kiderült, hogy az IH 

az Indexen teszteli, hogy működik-e egy szoftvere.
 

Azaz, csinálnak egy támadást, ami először átirányítja egy oldalra a célpontot, ahonnan szépen csendben, a háttérben letöltődik a kiberfegyver a gépére. A titkosszolgálat ezt az átirányítást úgy tesztelte, hogy az index.hu-ra irányított (ez onnan derült ki, hogy nem működött).

Magyarul:

az Index oldalához nem fértek hozzá,

nem módosították, nem terjesztett kiberfegyvert, csak a titkosszolgálat így tesztelte, hogy működik-e az átirányítás. Mint amikor meg akarjuk nézni, hogy van-e internet és beírjuk a böngészőbe, hogy google. hu vagy épp index.hu.

Szintén a hibajegyekből derült ki, hogy egyszer azért vesztettek el egy megfigyeltet, mert tönkrement a szerveren a merevlemez. A kémprogram továbbra is futott az áldozat gépén, de, mivel elvesztek a kapcsolatfelvételes szükséges aláírások (egyfajta jelszavak), már nem tudták elérni a gépet.

Ami viszonylag jó hír, hogy Magyarország nem volt nagyon mohó: a licencünk alapján egyszerre maximum ötven embert figyelhettek meg ezzel a programmal. Igaz, mellette ott volt a FinSpy is, azzal ki tudja mennyit. De azért sokat elmond az arányokról, hogy Mexikó több száz licencet rendelt a megfigyeléseihez.

Trójai van a trójaiban?

A fentiek alapján, bár elképesztően ciki, hogy egy fedett biznisz lebukik, kiszivárog egy rakat emailcím, meg telefonszám, mégis, a szolgálatok csak a munkájukat végzik. De talán mégsem a legjobban. Túlságosan megbíztak az olaszokban: kérésre gyengébb titkosítás, Amazonról rendelt telefon. És, bár az összes levelet lehetetlen ennyi idő alatt átnézni, és a szóbeli megbeszélésekről sem tudunk pontosabbat (több tréning is volt, de az ügynökök Olaszországba is utaztak – kis városnézésre is jutott idő), elég valószínű, hogy nem voltak elég alaposak: nem kérték el, és nem nézték át rendesen a forráskódot, vagy legalább egy töredékét.

A magyar szolgálatoknál erre utaló levél nincs, máshol viszont láttunk ilyet. Valószínűleg meg is van az eredménye:

a Hacked Team hátsó ajtót rakott a kiberfegyverbe.

Arról még nem tudni részletesebben, hogy mit tehettek vele, de már többen rátaláltak a kódra. Az a minimum, hogy le tudták kapcsolni a kiberfegyvert a kliensek tudta nélkül. Márpedig, ha éppen folyamatban van egy titkosszolgálati akció, ez elég szívás. Miért volt erre szükségük? Ha valakitől kiszivárgott volna valami, feltörték volna, akkor magukat védték – mégis, ezzel átverték az ügyfeleiket. 

Bármi elképzelhető

Az eddig kiszivárgott infók alapján a trójai teljesen reális lehetőség, vagyis az olaszoknak nemcsak eszük nem volt sok, gerincük se. Nemcsak azért, mert embertelen rezsimeknek, egymásnak ellenséges katonáknak adták el a szoftverüket, de

Még szerencse, hogy az ENSZ-nek elmondták, hogy ők nem csinálnak semmi rosszat. A tiltólistán lévő országokat hivatalosan nem támogatták, de azért a szerződések, csekkek szépen kiszivárogtak. Hát így.