Je možné sa chrániť voči (FinFisher) špehovaniu? - Nethemba

BLOG

Je možné sa chrániť voči (FinFisher) špehovaniu?

2014-10-03 14:10 Pavol Lupták

Dňa 15.9.2014 Wikileaks zverejnili informáciu o tom, že Slovenská Republika nakúpila 39 licencií softvéru FinFisher v sume viac ako 5 miliónov EUR. FinFisher vyvíjaný spoločnosťou Gamma International je využívaný totalitnými vládami rôznych krajín na špehovanie a monitorovanie disidentov. Ide o extrémne účinný softvér, lebo využíva tzv. 0-day zraniteľnosti na ktoré ešte neexistujú účinné bezpečnostné záplaty.

Podľa zverejnených informácií (“support cases”), ktoré sú v češtine, nie je úplne jasné, či daný softvér nakúpila Slovenská alebo Česká republika. Pred pár dňami som kontaktoval Wikileaks, aby túto informáciu viac upresnili, zatiaľ sa ale nevyjadrili. Česká vláda sa k uvedenému nákupu zatiaľ vôbec nevyjdarila, Úrad vlády SR komentoval celý incident slovami:

Vo všeobecnosti nekomentujeme informácie Wikileaks, lebo majú kvalitu na úrovni “jedna pani povedala”.

Na mieste je otázka, či veríte viac Úradu vlády SR alebo (relatívne reputovanému) Wikileaks.

Ak uvedený software nakupovala slovenská SIS alebo česká BIS, tak je tiež nemožné využiť infozákon a z pohľadu občana zistiť, či niečo také bolo vládou skutočne zakúpené alebo nie. Nákupy týchto organizácií sú totiž úplne netransparentné a podliehajú utajeniu.

Zákernosť programu FinFisher spočíva v tom, že využíva tzv. 0-day útoky (útoky pri ktorých sú využívané 0-day exploity na zatiaľ neverejné 0-day zraniteľnosti na ktoré ešte neexistujú bezpečnostné záplaty). Vďaka tomu, možností ako sa voči uvedeným útokom brániť je značne obmedzene. To dáva výraznu výhodu vlastníkovi a používateľovi takéhoto softvéru (rôzne vlády štátov, ktoré sú primárni zákaznici Gamma International) a silne oslabuje samotnú špehovanú obeť, ktorá sa prakticky nemá ako brániť. Preto tento softvér bol a stále je s obľubou využívaný v Egypte, Etiópii, Bahrajne a iných totalitných krajinách.

Spoločnosť Gamma International dokonca na 0-day exploity poskytuje pre svojich klientov špeciálne “záruky” – napríklad, že fungujú na viacerých OS s rôznymi bezpečnostnými záplatami, tiež garantujú náhradu (vo forme aktualizovaného alebo iného exploitu) za každý 0-day exploit zakúpený na 6-mesačnú alebo 12-mesačnú dobu. Nižšie uvádzam výťah z ich marketingového materiálu:

Delivers government grade 0-day exploits: 

  • Functions on multiple systems and patch levels without further modification
  • Guarantees at least four major exploits
  • Includes 6 months (1 replacement) or 12 months (2 replacements) warranty for every exploit

Technické možnosti FinFisheru sú vizuálne znázornené v nasledujúcom videu.

Existuje teda možnosť ako sa voči nástroju FinFisher dá reálne chrániť?

FinFisher je orientovaný na najpoužívanejšie OS (primárne Windows) a najpoužívanejšie aplikácie a mobilné telefóny. Použitie akehokoľvek alternatívneho operačného systému teda štatisticky znižuje pravdepodobnosť jeho infekcie.

Vo všeobecnosti platí, že ak Vám skutočne záleží na ochrane digitálneho súkromia, tak je dobrý nápad preferovať bezpečné otvorené alternatívy – čo sa týka otvorenosti ako protokolu, tak zdrojových kódov.  Tieto bezpečné otvorené alternatívy sú veľmi dobre popísane na stránke http://prism-break.org/en/. Podobne viac informácii ako chrániť svoje digitálne súkromie na mobilnej platforme Android nájdete aj v našej prezentácii High Time for Smartphone Privacy.

Podľa posledného zverejného dokumentu Release-Notes-FinSpyMobile-4.51 vyzerá, že FinFisher nedokáže nainfikovať iOS verzie 7.1 a vyššie (bez jailbreaku), podobne má problém s verziou Blackberry 10.1 a vyššou. V prípade Android OS funguje jeho infekcia pre všetky verzie – posledná verzia 4.4 má špeciálne bezpečnostné vlastnosti, kedy skonštruovaná SMS od FinFisher master servera sa automaticky nezmaže a zostane viditeľná v zozname SMS správ.

Podľa Release-Notes-FinSpy-PC-4.51 FinFly USB dongle dokáže nainfikovať Váš MBR (Master Boot Record) aj v prípade, že používate kompletné šifrovanie diskov využitím Truecryptu alebo Microsoft Bitlockera. V uniknutých materiáloch nie je zmienka o tom, či to funguje aj na Linuxový LUKS/dm-dcrypt.

FinFisher je veľmi úspešný aj v obchádzaní existujúcich antivírových riešení, podľa Anti-Virus-Results-FinSpy-PC-4.50 mu čiastočne odoláva AVAST Internet Security 7.0 na 64-bitovom Windows 7/8 a ESET Smartsecurity 7.0 na 32-bitovom Windows 7/8. Dá sa ale predpokladať, že novšia verzia FinFishera sa dokáže vysporiadať aj s týmito konfiguráciami.

FinFisher má funkčné moduly na odpočúvanie VoIP(SIP), Skype, či WhatsApp komunikácie. V uniknutých materiáloch nie je zmienka o tom, či dokáže odpočúvať aj komunikáciu aplikácie Redphone/Signal umožňujúcej end-to-end šifrované hovory využitím protokolu ZRTP. Použitie aplikácie Redphone (na Androide), či Signal (na iOSe) totiž výrazne zvyšuje ochranu hlasovej komunikácie voči odpočúvaniu a to s úplne minimálnymi investíciami.

Podobne nie je známe, či existujú FinFisher moduly zacielené na odpočúvanie textovej komunikácie využitím aplikácií TextSecure, či Threema.

Posledná vec, ktorá stojí za zmienku – podľa FinSpy-3.10-Product_Training najmenšie množstvo FinFisher modulov existuje pre platformu Linux (najviac pre Windows a potom Mac OS). Ak teda dbáte o ochranu svojho digitálneho súkromia, tak rozhodnutie začať používať Linux na desktope nemusí byť až taký zlý nápad.

Je nevyhnutné tiež zdôrazniť, že uvedené závery a odporúčania nemusia 100% reflektovať realitu a možnosti aktuálnej verzie FinFisheru, nakoľko uniknuté materiály týkajúce sa vlastností FinFisheru môžu byť mierne zastaralé.

Dopyt zo strany vlád na účinné špehovacie nástroje je podľa uniknutných informácií obrovský – znamená to, že vývoj a biznis 0-day exploitov bude pokračovať a štáty si budú neustále udržiavať náskok nad digitálnou ochranou, ktorou disponujú bežní ľudia.

A vzhľadom k tomu, že ide o úplne netransparentný biznis tajných služieb a polície podliehajúci utajeniu, som veľmi skeptický, že tlak zo strany bežných ľudí dokáže túto situáciu v blízkej dobe zmeniť a zastaviť ďalší rast digitálnej diktatúry v našej spoločnosti.