Ko koga špijunira u BiH (a i šire)? Slučaj Hacking Team

 Prati me na Facebook-u

Oni koji prate moj blog duže vremena, možda se sjećaju članaka koje sam objavio o špijunaži u političkom vrhu BiH kada je neko “leak-ovao” informacije (provalio u server i podijelio ih sa svijetom) o programu pod nazivom FinFisher. Sada, (navodno) isti haker je provalio i u kompaniju Hacking Team i opet postupio isto. Dok je prošli put BiH nađena kao jedan od rijetkih kupaca u tim informacijama, ovaj put rijetko koja država nije obuhvaćena, pa tako pored Bosne i Hercegovine tu se sada mogu pronaći i Srbija, i Hrvatska, i ostale države u regionu.

Prethodna dva članka o FinFisher slučaju su ovdje:

U to vrijeme kada sam ih objavio dao sam sve od sebe da budu što bolji, te bio prvi na našim prostorima koji je ukazao na ova otkrića. Naravno, niko od naših medija nije ni pomislio da se bavi ovome, te jedini drugi članak na našem jeziku koji sam uspio pronaći o ovome je objavila AlJazeera. U jednu ruku zadovoljan što je to bar neki novinar to objavio, u drugu ruku razočaran što nijednom “mediju” (ako se tako naše žute novine mogu uopšte nazvati) nije ni palo na pamet da napišu nešto o ovome, prestao sam da se trudim i fokusirao se na neke druge stvari.

Sada, sa malo više iskustva u pisanju, nažalost, moram da uradim isto, jer je sada dostupan još jedan dokaz da špijunaža na našim prostorima itekako postoji. Ovaj put BiH nije jedina pogođena, nego manje-više čitava regija. Srbijanski SHARE Foundation je objavio članak o ovome (“Italijanski posao” srpskih službi bezbednosti), a u Bosni i Hercegovini, ovo opet prolazi nepopraćeno od strane bilo kojeg medija (jebiga, treba napisati 50 članaka o Vučiću u Srebrenici).

Šta je Hacking Team?

Hacking Team je privatna kompanija iz Italije koja se bavi kreiranjem softvera koji omogućava pristup drugim uređajima, špijunažu, cenzurisanje interneta i sve ostale lijepe radnje koje omogućava spajanje ovih tri radnji.

Njihov softver većinom koriste državne agencije i poneka privatna kompanija. Imaju paprene cijene i nekoliko preprodavača (od kojih ću neke sa naših prostora navesti kasnije).

Ovakvu vrstu softvera koriste bezbijednosne agencije pod izgovorom da ih koriste za sigurnost države (sprječavanje terorističkih napada i slično). Naravno, u pogrešnim rukama bi se ovakav softver sasvim sigurno mogao zloupotrijebiti, a zbog tajnosti obavještanih agencija ne postoje nikakvi vidovi transparentnosti u radu, te je nama kao licima koji ne rade za državne agencije poprilično nemoguće doći do podataka o tome da li je ovakav softver zloupotrebljivan i za šta tačno se koristi(o). Osim, naravno, ukoliko ne dobijemo svog Edward-a Snowden-a koji će nam ukazati na zloupotrebe, što je pomalo teško za očekivati.

Ko je sa naših prostora koristio (ili isprobao) Hacking Team?

Zainteresovanih je kroz posljednjih par godina (od 2011. pa na vamo) bilo mnogo. U Bosni i Hercegovini tu su MUP Republike Srpske, Granična služba BiH i Obavještajno-sigurnosna/bezbijednosna agencija (OSA/OBA) Bosne i Hercegovine (ovo zadnje je upitno). Srećom, cijena je tu igrala bitnu ulogu, pa nemamo nikakvih informacija da je Hacking Team softver kupljen od strane neke vladine organizacije u BiH, ali imamo jasne indikacije da su ih neke od njih isprobale.

Postoje jasne indikacije da je Granična služba testirala Hacking Team softver i da je MUP RS bio zainteresovan da bude preprodavač (reseller) ovog softvera. Ukoliko je MUP RS uspješno postao preprodavač, to bi gotovo sigurno značilo da je ovaj softver dostupan na teritoriji BiH (pa time i korišten). Ovako, znamo da ga je testirala Granična služba i to je to što možemo da sa sigurnošću garantujemo.

Kako je softver nabavljan?

Alfatec, privatna kompanija u Hrvatskoj, je služila (možda i dalje služi) kao preprodavač za kompaniju Hacking Team. Na njihovoj stranici je moguće pronaći neke od njihovih klijenata, od kojih je jedina firma koju sam uspio povezati sa BiH Hrvatska pošta d.o.o. Mostar. Ostale funkcionišu na području Hrvatske, a uključuju neka fina imena poput Ministarstva odbrane RH, Ministarstva unutrašnjih (a i onog vanjskih) poslova RH, Sabor RH i Ured predsjednika (valjda predsjednice sada, al ajde).

E sada, u mail-ovima se javlja još jedna hrvatska kompanija pod nazivom Sedam IT, da ne ispadne da je sav teret na Alfatec-u. I oni imaju pozamašnu listu klijenata, te se i kod njih na listi klijenata nađe poneka koja je aktivna na području BiH (Raiffeisen i Intesa Sanpaolo banke).

Naravno, to što su ove kompanije i agencije klijenti Alfatec-a ili Sedam IT-a nikako ne znači da su i kupci Hacking Team softvera, te moram da istražujemo dalje.

Granična policija i OSA/OBA

1. email

U prikazanom email-u (ne kucajte link, ne radi više), kontakt iz kompanije Hacking Team je obavijestio predstavnika kompanije Alfatec (Dario) da je demo za njihov softver postao dostupan za Graničnu službu BiH, u prilogu dostavio podatke za prijavu (koji su se nalazili ne-enkriptovani u .doc formatu), te poslao link preko kojeg su ljudi iz Granične službe mogli preuzeti demo verziju softvera.

Zatim je uslijedio odgovor od Darija koji je rekao da je Granična služba zadovoljna proizvodom, međutim ne može da pokrije njegovu cijenu. U istom mail-u Dario kaže da će pokušati da predstavi Hacking Team softver Obavještajnoj sigurnosnoj/bezbijednosnoj agenciji BiH (koju ću u daljem tekstu navoditi preko skraćenice OSA/OBA).

Za vremensku referencu, oba mail-a su poslana u prvoj polovini 2012. godine.

2. email

Kao što vidite, i kosovska i hrvatska sigurnosna agencija se tu spominju pored Granične agencije BiH.

Poznavajući našu državu, nekako sam pretpostavio da zahtjevi nisu stizali samo na državnom, već i na entitetskom nivou, pa sam nekoliko puta unosio novu pretragu prilikom traženja kroz email arhive (svima dostupne zahvaljujući WikiLeaks-u).

MUP Republike Srpske

Zainteresovanost krenula od 2011. Kako kaže do sad nam već poznati Dario iz Alfatec-a, već tada MUP RS iskazuje zainteresovanost i šalje zahtjev za demo verziju.

3. email

U međuvremenu Alfatec dobija novu osobu zaduženu za saradnju sa Hacking Team-om koja se zove Igor. E sad, dotični Igor odgovara na email Dariju tražeći objašnjenje za neke pojmove. Igoru odgovara osoba iz Hacking Team-a (Massimiliano se zove) koja je takođe bila označena kao jedan od primaoca. Prva dva paragrafa su kopija dijela originalnog mail-a, dok je treći objašnjenje tog dijela poruke.

4. email

Iz mail-a se zaključuje da je Hacking Team u kontaktu sa ljudima iz MUP-a Republike Srpske, te razmišljala o tome da MUP potpiše reseller agreement kojim postaje preprodavač Hacking Team softvera (nisam pronašao indikacije o tome da li je ovaj dogovor postignut ili nije).

U čemu je problem u korišćenju ovakvog softvera?

OSA/OBA, MUP i slične agencije rade na tome da zaštite svoje građane. Kupovinom (pa i samim testiranjem) ovakvih softverskih rješenja, oni sebi pojednostavljuju posao koristeći proizvode privatnih kompanija.

E sad, osim zaštite svoje mreže, ove agencije moraju vjerovati i kompanijama sa kojima sarađuju da će dobro zaštititi njihovu mrežu. Međutim, ono što se dogodilo u FinFisher slučaju, sada se ponovilo: haker (ili više njih) je provalio u sisteme kompanija koje razvijaju ove softvere, uzeo pozamašnu količinu podataka, te objavio podatke javno na internetu bez ikakvih posljedica za sada (što se može promjeniti naravno).

Sada, zahvaljujući nesposobnosti kompanija da poprave greške u svome sistemu, javnosti su dostupne informacije o tajnim agencijama u Bosni i Hercegovini koje nisu trebale da budu dostupne javnosti. Dakle, nije bilo potrebno provaliti u sisteme obavještajnih agencija da bi se saznalo koje programe koriste, koje su mogućnosti ovih programa i njihove limitacije. Plus, objavljeni su i poneki privatni podaci od zaposlenih u ovim agencijama. U drugom FinFisher tekstu sam došao do Skype adrese zaposlenika OSA/OBA na isti način, te krenuo od toga i pokušao da ga povežem sa još nekim profilima na internetu koji koriste isto (u ovom slučaju dosta jedinstveno) ime i prezime.

Saberimo to sa kontraverzama koje okružuju generalnog direktora OSA/OBA (samo potražite ime Almin Džuvo i naćete ih, o ovome su žuti novinari redovni u izvještavanju) i cijenom ovakvih softverskih rješenja i dobićete dojam da stvari tu baš i nisu čiste.

Uzmimo u obzir i da američki NSA nije baš zapravo efektivno spriječio niti jedan teroristički napad, iako ima mnogo više resursa (o bilo kojoj vrsti resursa da pričamo). Gledajući na sve to, teško je očekivati da Bosna i Hercegovina ima neke koristi od svojih obavještajnih agencija.

Navešću još i to da za kompaniju koja se bavi iskorišćavanjem sigurnosnih propusta, Hacking Team ne radi baš dobar posao u rješavanju propusta u njihovom softveru. Na slici ispod, prikazan je kod koji koristi riječ “backdoor”. To što koriste backdoor u softveru koji kasnije kupuju državne obavještajne agencije je jedan problem. To što ga nazivaju “backdoor” i nimalo ga ne pokušavaju sakriti u kodu je drugi problem. Međutim treći, i onaj najveći problem (lako shvatljiv za one koji znaju malo više o sigurnosti i SQL bazama) predstavlja činjenica da linije 42-46 u kodu prikazanom na slici ispod omogućavaju SQL injekciju (eng. SQL Injection), što je propust koji omogućava napadaču da dođe do podataka koji se spremaju u SQL bazi.

Dakle, ne samo da ovaj softver ima backdoor (koji je jebeno nazvan backdoor), nego taj backdoor može da koristi bilo ko ko zna da izvrši napad SQL injekcijom (koji je jedan od najjednostavnijih i najpopularnijih napada na sigurnost sistema).

slika sa Twitter-a

Da malo približim to onima koji ne znaju šta to znači. Većina web servisa i programa koristi (neki) SQL za spremanje podataka (kao na primjer login informacija). Od ekstremne važnosti jeste da ova baza bude dobro osigurana i neprobojna na napade koji se mogu izvršiti u par klikova (koristeći, na primjer, sqlmap).

I sada, ovakav softver obavještajne agencije (uključujući i naše) naručuju i time plaćaju pozamašnu sumu novca kompanijama u inostranstvu. Dobar način za trošenje državnog novca? Pa i ne baš.

Pošto živimo tu gdje živimo i približavam se kraju teksta, slijedi jedan…

Disclaimer

…za svaki slučaj.

Nisam ni u šta “provalio” da bih napisao ovaj tekst. Koristio sam isključivo sada javno dostupne informacije da bih ga napisao. Nisam preuzeo arhivu ukradenih podataka da bih ovo napisao i nisam u kontaktu ni sa kim za koga bi se moglo sumnjati da je zaslužan za javnu dostupnost ovih podataka.

Poruka za one koje žele da ovaj tekst proslijede dalje

Ukoliko se neki medij na našim prostorima usudi da objavi nešto o ovome, ovdje svakako može početi.

Ovaj tekst je dozvoljeno modifikovati i redistribuirati na drugim sajtovima ukoliko je ovaj link (i ja kao njegov autor) naveden kao izvor. Takođe, modifikacije i redistribucije ovog teksta moraju biti objavljene pod istom licencom (CC BY-NA 4.0). U protivnom slučaju se krše moja prava kao njegovom autoru, te stičem mogućnost pokretanja krivičnog postupka protiv osobe (ili kompanije) koja ga je objavila (bilo to u cjelosti ili u modifikovanoj verziji).

Možete pretraživati mail-ove sami i sami pokušate kreirati priču dužu od dva paragrafa, ali teško da ćete naći nešto što ja nisam uključio. Ukoliko tražite mogućnosti ovog softvera, ima ih i previše do sada objavljenih na internetu (valjda imate nekoga ko zna engleski i otvoriti Google jebemu).

Jeste da nema tog medijskog servisa iz Bosne i Hercegovine koji bi se usudio da objavi ovako nešto, al ajde, čovjek se nada da će nekad nešto dobro istraženo i stvarno informativno tamo pronaći (a ne članke kao što su Štene bulldoga nema zadnje noge, no i dalje je sretan i razdragan psić i njemu slične).


Random sajt čiji rad podržavam

Koji je ovo đavo?

Pročitaj još

The city I write this in protected its name, so I am not legally allowed to use it

There's a certain city in the Balkan peninsula whose name I cannot type here. Some of you might know it as the capital of Bosnia & Herzeg...… Continue reading