24.1.13

Lov na Crveni oktobar

Trebalo je tek desetak dana u 2013. godini kako bi informatički svijet obišla vijest o novom slučaju ciljanoga cyber napada. Kaspersky Lab je sredinom siječnja objavio rezultate više-mjesečne istrage napada usmjerene prema, uglavnom, državnim institucijama u zemljama bivšeg istočnog bloka ali i prema nekim zapadne Europe i drugih kontinenata. Red October - kako je nazvana ova cybercrime kampanja - započinjao je ciljanim napadima na birani krug korisnika informacijskih sustava žrtava, a potom je koristeći prisutne računalne ranjivosti na njihovim računalima izgradio složenu i izuzetno učinkovitu malicioznu aplikativnu infrastrukturu.

Kasperski Lab prati ovaj slučaj od listopada prošle godine. Utvrđeno je da, kada se jednom naseli na računala žrtava, Red October uspostavlja komunikacijsku vezu s Comand&Control centrima, te im dostavlja podatke od posebnog interesa otkrivene u mreži žrtava. Ova komunikacijska veza je uspostavljena putem nekoliko razina proxy servera smještenih u Njemačkoj i Rusiji, no krajnje destinacije su smještene u drugim državama.

Već površan pogled na Red October, podsjeća nad na slučajeve Stuxnet, Flame ili još ranije Aurora, a radi o sličnostima u modelu djelovanja ali ne i o podudarnostima ili dijeljenju programskog koda. Trenutno nema indikacija o porijeklu Red Octobera, a ne može se tvrditi niti da iza ovog programa stoje pokretači ranijih ciljanih napada.

Za razliku od Stuxneta i Flamea, Red Octobar  ne korisiti privilegiju upućenosti u inače nepozanati bug u Windowima, niti mu je za instalaciju potreban ukradeni digitalni certifikat. Žrtva je navučenana jednostavnim socijalnim inženjeringom - npr. nesmotreno otvara privitak koji sadrži maliciozno iskrojeni Word ili Excel dokument (iako to nije i jedini scenarij, npr. iskorištava se i Java ranjivost). Zanimljivo da je Red October koristi različite sigurnosne rupe za inicijalnu intoksikaciju, a scenariji se mijenjaju, birajući uvijek nove i relativno raširene manjkavosti.

Značajna inovacija ovog programa je i raznolikost programskih modula i funkcija koje se izvode na računalima žrtava - od bilježenja rada tipkovnice, preko krađe lozinki do krađe dokumenata i izvođenja drugih sofisticiranih modula. Sustav upravljanja iz središnjeg centra daje precizan nalog malicioznom programu, a rezultati se iskorištavaju za razvoj daljnjih scenarija.

Ukratko, može se reći da su Stuxnet i Flame bili inventivniji u mehanizmu inicijalnog pokretanja, no Red October ima raznolikije opcije za učinkovito djelovanje kada jednom osvoji žrtvu.

Njihovo zajedničko svojstvo je polagana propagacija, bez "pohlepnosti", pa su antivirusni programi propustili pet godina prepoznati djelovanje Red Octobera. 

Tipične žrtve crvenog oktobra bile su diplomatske misije, vladine ustanove, istraživački centri, institucije u naftnom ili nuklearnom poslovanju, vojni ciljevi... Kasperski Lab je detektirao, ali ne i identificirao, i šest žrtava iz Hrvatske. Veliko je pitanje jesu li ove organizacije uopće svjesne toga.


11.1.13

(Ne)anonimnost i novi kazneni zakon

U Hrvatskoj je s prvim danom ove godine na snagu stupio novi kazneni zakon koji je najviše pažnje izazvao u odredbama vezanim za kaznena djela protiv časti i ugleda. U mnogim se komentarima izražava zabrinutost da takve odredbe zapravo znače gušenje slobode govora, jer će biti veoma teško odrediti mjeru što je to uvreda, sramoćenje ili kleveta. Ovo, ipak političko ili pravno pitanje, ostaviti ću stručnjacima za ova područja, a želim ukazati na jedan tehnički problem koji je, kako se čini,  promakao u dosadašnjim komentarima.

Naime, da bi se određeno kazneno djelo uvrede, sramoćenja ili klevete moglo procesuirati, potrebno je utvrditi identitet počinitelja. Pobornici zakona pomalo euforično govore kako se nitko više neće skrivati iza anonimnosti Interneta jer je, zna se, tehničkim instrumentima moguće utvrditi identitet i onih osoba koji se predstavaljaju izmišljenim ili možda tuđim identitetima, ili se uopće ne predstavljaju. Optimizam pobornika novog zakona temelji se na činjenici da se svaki put kada netko postavi tekst na nekom blogu, društvenoj mreži ili medijskom portalu bilježe podaci o mrežnoj adresi računala s kojeg je stigao tekst. Pod pretpostavkom da nadležna tijela imaju odgovarajuća ovlaštenja, potrebno je samo nekoliko klikova i telefonskih pozva kako bi se utvrdio stvarni identitet tražene osobe. Prethodna pretpostavka je sve samo ne hipotetska: policijski istražitelji mogu doći do ovih podataka ne samo s domaćih poslužitelja, nego i sa najpopularnijih svjetskih socijalnih mreža.

Stvari izgledaju, dakle, idealno i nema prepreke za provedbu novog zakona. No, je li baš tako? Nisam uvjeren.

Naime, tehnički je veoma jednostavno prikriti i promijeniti IP adresu. Za to vam nije potrebno osobito tehničko priznanje, na raspolaganju vam stoji nekoliko veoma dostupnih mehanizama - od različitih izvedbi proxy servera, pa do sofisticiranih sustava kao što su TOR ili čak komercijalni servisi koji osiguravaju anonimnost. Treba ipak istaknuti da je u nekim slučajevima moguće identificirati korisnike anonimnih servisa, no to zahtjeva znatno veći tehnički napor i autoritet (anonimni mehanizmi su u pravilu smješteni izvan dosega naših sudskih tijela). I jedno upozorenje čitateljima: na raspolaganju su brojni servisi koji pružaju anonimnost, no treba ih koristiti i sa značajnim oprezom i u ograničenom opsegu, a svakako izbjegavati prenositi privatne podatke ovim kanalima.

Ako vam ovaj pristup izgleda nerealan, za što ipak nema razloga, ukazati ću i na neke druge situacije gdje će trebati znatno više truda za dokazivanje identiteta.

S obzirom da je posjećivanje društvenih mreže redovita aktivnost koja se obavlja tijekom radnog vremena, postavljanje uvreda sa računala i iz mreže vaše tvrtke, ostaviti će na serveru podatke tvrtke, a ne vaše osobne. Tumačeći kazneni zakon, pretpostavljam da će nadležna sudska tijela trebati procesuirati samu tvrtku, no prepuštam pravnicima da isprave moj zaključak. U svakom slučaju, novi zakon će biti dodatni motiv tvrtkama i organizacijama za uređenje vlastite informacijske sigurnosti i uvođenje mehanizama za utvrđivanje odgovornosti i dokazivosti korisničkih postupaka.

Nadalje, novi zakon bi svakako trebao motivirati privatne korisnika interneta koji i dalje imaju nezaštićene bežične uređaje za konačno uvođenje zaštićenih i kriptiranih pristupa. Inače, može im stići tužba za uvrede koje je njihov susjed uputio nakon što se okačio o njihov wireless uređaj. Otkrivanje pravog počnitelja može postati nemoguća misija.

Na koncu, spomenimo brojne javne WiFi točke: zlonamjerni korisnici mogu uvijek iskoristiti njihovo gostoprimstvo za nedozvoljene aktivnosti, uz ograničene mogućnosti otkrivanja počinitelja.

Stoga, možemo zaključiti da će svatko tko bude želio ostavljati zaista anonimne komentare, vrlo brzo naučiti kako se to radi. Zakon će se, izgleda, baviti samo onima naivnijima ili onima koji neće moći obuzdati afekt kada odluče odvaliti svog omraženog političkog protivnika. Moglo bi se pokazati točnim da će zakon postati značajniji kao okvir za deklarativno normiranje dozvoljenog govora. I reguliranje verbalnog delikta.