Co umí FinSpy a jak se bránit

Na webu GreenAction.cz se objevil krátký článek o software FinSpy, sledovacím nástroji vyvinutém komerční sférou pro policii a tajné služby. Protože neobsahuje téměř nic o technické stránce věci a zároveň je velmi dobrým příkladem podobných nástrojů, přicházíme s doplňujícím technickým pohledem na věc.

Nejprve se podívejme do oficiálních (a pochopitelně tajných) materiálů výrobce: FinSpy je prodáván jako nástroj, který represivním složkám umožní „monitorovat mobilní cíle, které dbají na bezpečnost, často mění lokace, používají šifrované a anonymní komunikační kanály a sídlí v zahraničí.“

Mezi hlavní featury patří, že ho nezachytí čtyřicítka nejpoužívanějších antivirů, u kterých to je pravidelně testováno, skrytá komunikace s ústředím (schovaným za anonymní proxy), plný monitoring komunikace přes Skype (včetně videa, seznamu kontaktů a zasílaných souborů), živé sledování vestavěnou webkamerou a mikrofonem, tiché kopírování souborů z harddisku… A funkčnost jak na Windows a MacOS, tak Linuxu.

Možnosti programu nejsou nějak překvapivé a nové, jde v podstatě o klasický keylogger. Překvapením není ani to, že ho nedetekují antivirové programy: Většina výrobců antivirových programů sídlí v USA a EU a má zákonnou povinnost spolupracovat s represivními složkami. Nehledě na to je u výrobců antivirů dlouhodobě pozorováno, že cíleně neblokují komerčně distribuované programy, za kterými stojí legální subjekt – zřejmě kvůli strachu z právních následků.

Odhalený případ

V odhaleném případu využití software FinSpy na sledování politického aktivisty byl podniknut pokus nakazit jeho počítač souborem, zaslaným v příloze e-mailu. E-mail vypadal tak, jako by ho poslal jeho známý, zodpovědný za bezpečnost v organizaci, a v příloze mu posílal bezpečnostní nástroj. Po jeho spuštění by se do PC samozřejmě nainstaloval sledovací software.

Tato technika není nijak nová a klasickými spammery a hackery je využívána odnepaměti. Novinkou není ani to, že je útok vysoce individualizován; jedinou novinkou je, že podobná technika může být samozřejmě využita i na politickém poli a je tudíž na místě být opatrný při otevírání jakékoliv přílohy e-mailu, byť (zdánlivě) od důvěryhodného zdroje – tvého kamaráda. Příloha samozřejmě nemusí být hned spustitelným souborem s .exe příponou. Existuje známá technika na zfalšování přílohy souboru (pravo-levý přepis), která bývá (pro omezení detekce) využívána hlavně v zazipovaných souborech.

Obrana proti tomuto útoku není zase tak složitá. Na první úrovni je nezbytné přemýšlet nad tím, co otevírám, speciálně u spustitelných souborů, ověřovat si, zda-li soubory skutečně přichází od odesílatele (nejlépe jiným kanálem) a otevírat všechny soubory z internetu striktně v sand-box módu. Na vyšší úrovni je dobré provozovat aplikační whitelisting a whitelisting odchozích spojení.

Další možnosti nakažení počítače

Předchozí případ je popsanou a zanalyzovanou realitou. Další možnosti útoku pochází jen z uniklých materiálů výrobce. Obrany obsahují obecné řešení podobných situací a nebyly z pochopitelných důvodů odzkoušeny v praxi:

infikování PC pomocí napadení domácí wi-fi sítě. Domácí síť cíle je kompromitována ze sledovacího vozu a pomocí modulu FinFly web je nakažena jinak důvěryhodná webová stránka. Jakmile na ní cíl potvrdí vyskakovací okno, pustil si do PC FinSpy.

Obrana: nepoužívat wi-fi. Pokud není zbytí, pouze přes šifrovanou VPN (tu nabízí například i server RiseUP.net: https://help.riseup.net/en/vpn)

nakažení souboru stahovaného z internetu přes LAN. Útočník se připojí na stejnou LAN jako cíl a při stahování souborů z internetu pomocí modulu FynFly LAN nakazí stahovaný soubor. Při jeho spuštění se do PC nainstaluje FinSpy.

Obrana: nestahovat soubory na cizích LAN. Všechny soubory z internetu spouštět v sandboxu.

falešný update aplikace. Útočník sleduje komunikaci na úrovni ISP, kam si umístí svůj server. Do počítače cíle pak pošle falešný update aplikace (v demonstraci je využit update iTunes). Po jeho spuštění je nainstalován FinSpy.

Obrana: používat šifrovanou VPN.

nakažení USB klíčenkou nebo přes fire-wire. Útočník nainstaluje FinSpy z USB klíčenky nebo přes firewire port (musí mít fyzický přístup k zapnutému PC).

Obrana: nenechávejte nikdy zapnuté PC bez dozoru, a to ani „uzamčené.“ Používejte heslo do BIOSu, případně šifrujte celý HDD pomocí programu TrueCrypt.

Další možnosti programu

sledování wi-fi komunikace. FinSpy obsahuje i modul pro sledování komunikace na wi-fi síti, který umožňuje odchytávání uživatelských jmen a hesel.

Obrana: vždy používejte zabezpečené připojení přes https protokol, v případě, že využíváte cizí, nezabezpečenou a neznámou wi-fi pak i šifrovanou VPN.

nakažení internetové kavárny. Pokud cíl využívá služeb internetových kaváren, útočník nakazí všechny PC v kavárnách programem FinSpy. Pak už stačí jen čekat na příchod cíle.

Obrana: cizích PC, zvláště na veřejných místech, používat jen pokud není zbytí. V takovém případě používat vlastní systém nabootovný z donesené USB klíčenky (např. TAILS).

sledování mobilního telefonu. Do mobilu (v demonstraci je zmiňován explicitně telefon značky BlackBerry) je odeslána falešná zpráva o nutnosti upgrade software. Po potvrzení je nainstalován FinSpy.

Obrana: neinstalovat nic, o čem si nejsem 100% jistý, co je to zač. Zvláště na mobilním telefonu!