11.6.12

Elektronička pošta ministrice Holy

Kako sada stvari stoje, prašina oko objave elektroničke pošte bivše ministrice Mirele Holy neće se skoro slegnuti. Ostaviti ću po strani politički kontekst i moguće političke implikacije, te odgovoriti na pitanja koja zanimaju "obične" čitatelje. Slučajeva krađe i neovlaštene objave elektroničkih poruka u našoj okolini ima sve više i više, pa se u ovakvim situacijama situacijama možete naći kao rukovoditelj ili zaposlenik poslovnih subjekata ili kao obični građani.

Je li moguće otkriti izvor iz kojeg je procurila elektronička pošta. Govoreći strogo tehnički - gotovo potpuno sam uvjeren da je moguće. Za razliku od slučajeva kada su curili zapisnici iz tužiteljstva ili dokumenti iz policije, elektronička pošta uz sebe veže mnoštvo popratnih informacija u različitim točkama obrade ili prijenosa koje je moguće dohvatiti i analizirati. Moglo bi se reći da na taj način elektronička pošta kompenzira svoju zavodljivost i brzopletost koja je mnoge osobe navela da u elektroničkoj pošti zapišu nešto što bi jedva izgovorili u neposrednom razgovoru te ih tako uvukla u neugodne situacije, a o čemu najbolje govori i slučaj Mirele Holy. Istraga provedena na adekvatan način morala bi rekonstruirati životni vijek problematične poruke, od nastanka pa do objave na televiziji. Istražitelji bi trebali krenuti upravo od mjesta objave, iako to možda neće biti najlakše ako novinar HRT bude inzistirao na ne-otkrivanju identiteta svojeg izvora.

Tko je mogao doći u posjed problematične elektroničke poruke?

Odmah u početku eliminirao bih hacktiviste, iako su ove grupe u svijetu poznate  po recentnim provalama u elektroničke pretince atraktivnih organizacija i tvrtki, te objavama kompromitirajućih poruka (a slučaj Sarah Palin je i neprimjereno citirati u kontekstu Mirele Holy). Timing provale i objave, selektivni pristup objavi pa i politički motivi hacktivističkih grupa čine ovu pretpostavku malo izglednom.

U slučaju da je mail objavio neki od legitimnih  primatelja (u ovom slučaju imamo samo jednu osobu - predsjednika uprave HŽ-a), tako nešto može se otkriti gore opisanom analizom računala i servera.

Postoji mogućnost i da je neko od trećih osoba poznavao korisničke račune i zaporke komunikacijskih partnera. Možda su Mirela Holy i Rene Valčić ove podatke pružili osobi od povjerenja (nekad je to bila praksa  rukovoditelja koji su svoje tajnice angažirali i za odgovoranje na elektroničku poštu, naročito u vremenima kada tehnologija nije bila mobilna kao danas ili je bila prekomplicirana za korištenje). U ovom slučaju se tijek istrage treba naprosto proširiti na ove osobe.

Postoji još jedna mogućnost: netko fizički i poslovno blizak komunikacijskim partnerima neovlašteno je došao u posjed korisničkih računa ili zaporki, te je mailove čitao ili ih distribuirao pod lažnim identitetom. To je tehnički sasvim moguće, iako zloupotreba ovisi i o posebnim mjerama kontrole pristupa koje se primjenjuju u korporacijskim okruženjima. U ovom slučaju, istraga o curenju elektroničkog maila mora se fokusirati na istragu događaja neovlaštenog pristupa serveru, mreži ili možda samog osobnog računala nekog sudionika. Upozorenje svim čitateljima: danas nije potrebno preveliko znanje da vam u standardnim poslovnim uvjetima netko otkrije lozinku za pristup računalu ili pak elektroničkoj pošti. Potrebna je tek motivacija i dobra prilika, najčešće neometan fizički pristup.

Postoji i treća mogućnost neovlaštenog pristupa: netko od administratora sustava (ili osoba koje su neovlašteno imale administartorski pristup) neovlašetno je manipulirao nekim od uključenih servera (političke strane Mirele Holiy ili tvrtke Renea Valčića). Kao profesionalcu, ovo mi uvijek izgleda zastrašujuće, naravno ne i nemoguće, no daljnje razmatranje nas vodi na tanak led političkih spekulacija, pa ću to prepustiti uključenima stranama, strankama i nadležnim tijelima.

Da bi se na otkrivanje i zloupotrebu lozinki i na neovlašten pristup efikasno odgovorilo, organizacija treba primijeniti nekoliko važnih, ne i preskupih mjera, a među njima su najznačajnije kontinuirano bilježenje događaja na sustavu, naročito onih vezanih za korištenje pristupnih prava. Ako istraga dođe do ove točke, to ujedno može biti najtanja poluga s obzirom da se ovakvi podaci u našoj okolini još uvijek rijetko bilježe a još rjeđe dugoročno pohranjuju. Ipak, vjerujem da je na drugim mjestima zabilježeno dovoljno podataka koji mogu nadomjestiti i ovaj nedostatak.

Slučaj bivše ministrice Holy smatram važnim i za senzibiliziranje javnosti za slučajeve neovlaštenog pristupa elektroničke pošte i drugih privatnih podataka, te na nekontroliranu objavu takvih podataka. Važno je ne osjećati se bespomoćnim u slučaju ako netko kompromitira vaše osobne podatke, elektroničku poštu i drugu komunikaciju. Ostaje velika nepoznanica stupanj uspješnosti rješavanja takvih slučajeva, no ako promatramo svjetske standarda, struka se na ovom području ubrzano razvija, što je sigurno i rezultat sve većih zahtjeva za takvim istragama.

Na kraju, ako se nađete u istoj situaciji kao Mirela Holy, nemojte poput nje na prvu loptu priznati krivnju. Ona je svakako postupila politički pošteno i ispravno (pomalo naivno, mnogi će dodati). No, u ovom slučaju u javnosti je objavljen tekst koji je isto tako mogao biti krivotvoren (javnost se, očigledno, nije željelo zamarati s informacijama koje bi dokazivale autentičnost objavljene poruke - prikazane adrese iz zaglavlja poruke to nisu) i Mirela Holy je imala puno pravo zanijekati autentičnost poruka i na taj način prepustiti drugim "igračima" da se razotkriju.

6.6.12

Flame: pogrešna dilema

Kao i u brojnim slučajevima u proteklim godinama, pojava "virusa" Flame popraćena je bombastičnim naslovima i katastrofičnim predviđanjima u javnim medijima. S druge strane, pojavljuju se i osporavatelji  koji smatraju da se radi samo o novom pretjeravanju industrije, medija i neobjektivnih stručnjaka. U sličnim situacijama javnost običava pojednostavljeno i kompromisno zaključiti da je istina negdje u sredini. No, slučaj Flame nije takav. Mi zaista svjedočimo moćnom malicioznom softveru koji nije prekretnica nego konačni dokaz trenda u razvoju i distribuciji malicioznih programa. Ipak, argumenti koji se u medijima koriste kako za naglašavanje opasnosti novog malicioznog programa tako i za njegovo minoriziranje nisu točni.

Tekstovi katastrofičara, a govorim o medijima okrenutim široj populaciji, ostavljaju dojam da se radi o virusu koji samo što nije poharao milijune bespomoćnih računala. Osporavatelji, s druge strane, iznose točan podatak da je program Flame osvojio tek oko tisuću računala te da je buka koja se stvorila potpuno nepotrebna.

Suprostavljene grupe koriste istu argumentaciju, no ona je u ovom slučaju potpuno pogrešna. Flame pripada kategoriji Advanced Persistant Threat malicioznih programa, a ovu kategoriju ne moraju odlikovati neki specifičan tehnološki mehanizam ili inovacija, koliko ciljevi i strategija njihovih  autora i operativnih skrbnika (je li možda neprimjereno nazvati ih  "korisnicima"?). Ciljevi koji stoje iza programa Flame, Stuxnet, te drugih sličnih događaja o kojima smo posali na ovim stranicama nije trčanje za pet minuta slave niti hranjenje ega njihovih autora. Njihovi autori nemaju namjeru bolno šokirati milijune korisnika, već, vođeni jasno postavljenim poslovnim ili političkim ciljevima, što je moguće diskretnije doći do traženih podataka. Zato Flame i slični programi izbjegavaju masovnu propagaciju koja je u pravilu nekontrolirana. Prve analize programa Flame okrenule su se i prema prošlosti, pa je tek danas utvrđeno da su se prve verzije ovog programa pojavile u 2010. godini, no cijelo ovo vrijeme ostale su neotkrivene od antivirusnih sustava (kako je navedeno neposredno po objavi prvih podataka, niti jedan od 43 antivirusnih programa nije prepoznao ovaj program - naravno, u međuvremenu su objavljeni uzorci pa danas to više nije slučaj). Kako sada izgleda, ovim programom je zaraženo oko tisuću (ili nekoliko tisuća) računala što je beznačajno ako govorimo o uobičajenom stupnju kontaminacije koju uzrokuju uobičajeni virusi. No, takav pristup je programu Flame osigurao i dugi život.

Od prvih analiza o programu Flame pa do trenutka pisanja ovog teksta, najznačajnijim momentom smatram objavu podataka o tehnici zaraze računala programom Flame. Prije nekoliko dana je objavljeno da je ovaj maliciozni program iskoristio jedan nedostatak u korištenju certifikata unutar Microsoft operativnih sustava, točnije njegove Terminal Services komponente. Uočena je slabost u konstrukciji ovog certifikata, te je otkriveno da se može koristiti ne samo za autentikaciju klijenata u Terminal Services komunikacijui nego i za potpisivanje programskog koda (što nikako nije bila namjera). Scenarij je upotpunjen krivotvorenjem Windows Update servisa kojim je računalo žrtve preuzelo update s pogrešne adrese. U kombinaciji s manipuliranim certifikatom, eto načina da sustav sa svim zakrpama (i ažurnim antivirusnim sustavom) postane zaražen malicioznim programom Flame.

Istraživači malicioznih programa su pružili osnovni profil ovog programa i prije objave uloge Microsoftovih certifikata.(za detaljnu analizu će trebati puno više vremena). Definitivno, radi se o kompleksnom i velikom programu, koji je modularno građen. Kao i kod drugih modernih i učinkovitih malicioznih programa, Flame komunicira sa komandnim sustavom (C&C). Modularana građa omogućuje primjenu različitih dodataka kojima se obogaćuje njegova funkcionalnost: Flame ima mogućnost krađe podataka, snimanja razgovora, kopiranja sadržaja ekrana, slanja svih podataka trećoj strani...

Dok se ne dozna više tehničkih detalja o funkcioniranju ovog programa, stručnu je javnost zainteresirala i njegova (politička) pozadina. Flame je otkriven na malom broju računala no zemljopisno ograničenih na područje bliskog istoka i njemu susjednih zemalja (Iran, dio Izraela pod palestinskom samoupravom, Sudan, Sirija, Egipat, Libanon...). Njegove instance u Mađarskoj i Austriji za sada se tumače kolateralnim slučajevima. Neizbježno, nameće se usporedba sa programom Stuxnet, iako sadržajno nemaju dodirnih točaka. Ipak, stručna javnost zaključuje da zbog njegove kompleksnosti (koja, pored visoke kompetencije, zahtjeva i znatnu materijalnu podršku), iza programa Flame stoje državne institucije. Po svemu sudeći, iste države (ili istih država) kao i u slučaju Stuxnet.