Známá italská společnost Hacking Team byla úspěšně napadena a z její sítě uniklo na 400 GB citlivých dat včetně hesel, software, kódu zneužívajícího bezpečnostní chyby nebo faktur. Do světa se tak dostalo to, co mělo zůstat skryto – informace o státech a institucích, které si služby této společnosti objednaly. Ukazuje se, že i hacker může být hacknut.
Neznámým útočníkům se ze serverů společnosti podařilo získat velké množství dat, ne-li dokonce všechna. Nejprve byl napaden twitterovský účet, poté byl přes bittorrent zveřejněn obrovský balík dat obsahující ty nejcitlivější informace, které může bezpečnostní firma ukrývat. Zatímco účet na sociální síti je zřejmě zpět v rukou původních uživatelů, data se už zpět na servery vrátit nedají.
Zneužíváme, abychom pomáhali chránit
Společnost Hacking Team o sobě tvrdí, že pomáhá vyvíjet útočné technologie, které pomáhají vytvářet bezpečnější svět. Jsou určeny především pro orgány vymáhající dodržování práva a bezpečnostní služby.
Developing effective, easy-to-use offensive technology to support the operations of the worldwide law enforcement and intelligence communities.
Společnost se dušuje, že její sledovací nástroje jsou využívány pro dobro nás všech. Tvrdí také, že své služby nikdy neprodává státům, které jsou na černé listině mezinárodních organizací včetně EU, NATO nebo Spojených států. Realita je ale úplně jiná a Reportéři bez hranic mají společnost na svém seznamu nepřátel internetu.
Tvorba exploitů a jejich zneužití je stará téměř jako internet sám, novinkou jsou ale špičkové komerční služby, které jsou bez skrupulí nabízeny vládám a jejich organizacím. Nový únik ukazuje, že zneužívání bezpečnostních děr policií a bezpečnostními službami se stalo běžnou věcí. Mají na něco takového vůbec právo? A chceme, aby ho měly?
Balík dat navíc popírá tvrzení firmy o černých listinách a dělení států na hodné a zlé. Podle uniklých dokladů mezi zákazníky firmy patří například Jižní Korea, Kazachstán, Saudská Arábie, Omán, Libanon nebo Mongolsko. Na seznamu je i Česká republika. Podporu pro sledovací software si prý platil Útvar zvláštních činností Policie ČR.
Podle uniklých faktur byl nákup služeb prováděn prostřednictvím společnosti Bull, s.r.o. v průběhu několika předchozích let. V roce 2010 byla vystavena faktura na 167 800 eur (4,5 milionů korun) za software pro dálkové řízení (Remote Control System), o rok později byla vystavena faktura na 55 600 eur (1,5 milionu korun) za přístup k bezpečnostním dírám a v letošním roce byla podpora prodloužena a rozšířena za 119 900 eur (3,2 milionu korun). Hojně o tom na Twitteru informoval Michal Špaček.
Autenticitu těchto dokladů není možné věrohodně potvrdit a chybí také odpověď na zásadní otázku: kdo a jak přesně nakoupené služby využíval a proti komu. Hacking Team každopádně prodává malware a spyware pro mnoho různých platforem od desktopových po mobilní, který je schopen odposlouchávat velkou část komunikace.
Firma prý dokáže úspěšně napadnout systémy Windows, OS X, Linux, iOS a Android, získat data ze sítě Tor (což projekt Tor popírá), sledovat komunikaci vedenou přes populární IM klienty jako Skype či Wickr a v některých případech dešifrovat poštu šifrovanou pomocí PGP. Firma také nabízí dolování dat zašifrovaných nástrojem BitLocker nebo získávání informací ze sociálních sítí Twitter a Facebook.
Stačí zaplatit a užívat si dat ve prospěch svobody a dodržování zákonů. Nebo…?
Bezpečáci s máslem na hlavě
Zdá se také, že ani odborníci na bezpečnost nejsou v bezpečí a stále platí, že kovářova kobyla chodí bosa. Průlom do sítě se totiž podařil také kvůli velmi slabým heslům a překvapivému diletantství – výjimkou nejsou hesla jako Passw0rd, wolverine, dottrokame, universo a další.
Na firemní síti se také válel profil Firefoxu, který patří jednomu ze zaměstnanců společnosti Christianu Pozzimu. V něm je možné najít další hromadu uložených hesel k nejrůznějším službám, sociálním sítím, bankovním službám nebo systémům u zákazníků. Opět velmi slabých hesel jako Passw0rd, Passw0rd!, Passw0rd!81 nebo HTPassw0rd.
Není přesně jasné, jak se útočníci k datům dostali, ale spekuluje se o průniku skrz firemní WiFi síť. Jelikož přístup k bezpečnosti byl v bezpečnostní firmě velmi špatný, je to docela možné. Stačilo prý pak už jen postupovat dál, najít další hesla a kutat a těžit. Můžeme se jen domýšlet, jak bezpečný byl provoz v sítích zákazníků a kdo všechno se pak mohl dostat k vytěženým datům „chráněných osob“.
Hacking Team: není to pravda a je v tom virus
Hacking Team předvedl ukázkovou formu nezvládnuté komunikace, začal všechny strašit žalobami a spoluprací s policií. Jsme vzhůru. Lidé za tohle zodpovědní budou zatčeni. Právě na tom spolupracujeme s policií,
napsal Christian Pozzi. Firma začala intenzivně kopat kolem sebe a dokonce se snažila hrozit všem uživatelům na Twitteru, kteří útok komentují.
Patrná je také snaha zamlžit to podstatné a strašit vymyšlenými hrozbami. Nevěřte všemu, co čtete. Mnoho věcí, které tvrdí útočníci, prostě není pravdivých. Útočníci o naší firmě šíří mnoho lží, které nejsou pravdivé. Navíc torrent obsahuje virus…,
dočtete se ve zveřejněné zprávě. Žádný virus se v torrentu nenašel.
Firma dále tvrdí, že varovala své zákazníky a samozřejmě nedělá vůbec nic špatného. Jednoduše dodáváme svým zákazníkům řešení, která jsou jim šitá na míru.
Všechna tato tvrzení se objevila na twitterovém účtu Christiana Pozziho, který byl ale později zrušen. Ovšem internet si pamatuje.
Společnost skutečně napsala všem svým zákazníkům a doporučila jim přestat používat systém Galileo. Důvod je už jen třešinkou na dortu: software totiž obsahuje backdoor a pomocí uniklých hesel je možné ho na dálku kompromitovat. Šmírák křičí: šmíráci pozor, může vás šmírovat nějaký šmírák!
Hacking Team není jediný
Jistí si můžeme být jediným: Hacking Team není jedinou firmou, která nabízí podobné služby. Určitě existují konkurenční firmy s pevnými morálními základy i ty naprosto bez jakýchkoliv zásad. Některé rozlišují „zlé“ a „hodné“ státy, jiné mezi nimi rozdíl nedělají, protože peníze přece nesmrdí. Navíc hranice mezi nimi je velmi tenká a dosti nezřetelná.
Důležité je, že tyto firmy prodávají nebezpečnou věc. Samotný Hacking Team tvrdí, že neprodává zbraně, ale realita je právě opačná. Ať tomu budeme říkat jakkoliv, jedná se o velmi nebezpečnou věc, která se může velmi snadno obrátit jakýmkoliv směrem a být zneužita. Ošklivé tajemství jedné firmy uniklo, ale ukazuje na to, že je proč se mít na pozoru.
Doplněno: Policie ČR nákup přiznává, zbytek je tajný
Policie České republiky vydala k případu oficiální prohlášení nazvané „Použití sledovacího softwaru“. V něm vysvětluje, že výše zmíněný Útvar zvláštních činností služby kriminální policie a vyšetřování byl zřízen jako specializované pracoviště k provádění sledování osob a věcí, odposlechu a záznamu telekomunikačního provozu a dalších specializovaných úkonů pro potřeby trestního řízení
.
Poté vysvětluje pravomoci této své složky: Útvar používá různé prostředky, které dokáží zjistit informace nutné pro trestní řízení. Jedná se i o speciální software, který na základě povolení soudce umožňuje prolomení soukromí. V tomto povolení musí být jasně stanovena doba, po kterou je sledování prováděno a nesmí být delší než šest měsíců.
Až poté následují informace potvrzující nákup sledovacího software: Software k zjišťování informací nakoupila Police s cílem co nejkvalitnějšího plnění úkolů, které vyplývají z trestního řízení. Celý nákup proběhl v režimu utajení v souladu se zákonem o veřejných zakázkách.
Jak se dalo čekat, vše je tajné a není možné se více vyjádřit: Vzhledem k tomu, že se použití těchto prostředků týká závažné trestné činnosti a je vedeno v utajeném režimu, není možné se k fungování softwaru, postupům a opatřením vyjadřovat. Policie České republiky v případech použití těchto prostředků vždy pracuje tak, aby nebylo ohroženo probíhajících trestních řízení. Vzhledem k charakteru celé záležitosti nemůže Policie České republiky uvolnit další informace.
Shrnuto do jedné věty: Nakoupili jsme, používáme a zbytek je tajný. Ani slovo o tom, že k datům z tajného vyšetřování má přes zadní vrátka přístup italská firma nebo že si je po úniku mohl teoreticky stáhnout kdokoliv jiný.