Как може да се шпионира Skype? Опитът от египетските протести

Standard

От няколко месеца насам, пресата нарича събитията в Близкия изток “арабската пролет”. Много усукваха защо, как и каква е ролята на интернет в тези събития. Cофтуера Skype е много обичан от египетските активисти, които обменят поверителни данни и провеждат аудио и видео комуникации на атрактивни цени.

Всичко това би било чудесно, ако египетските тайни служби не бяха подслушвали.

Предполагам, че вие си спомняте деня, в който демонстрантите влязоха в помещенията на Амн ал Доула (Подземните затвори на ДС в Египет бяха отворени), египетската Агенция за Държавна сигурност, и установиха размера на съкровището от факти и бележки, събрани със забележително усърдие. Тези листинги съдържат подробна информация за и от разговори проведени по Skype, които агенти на Амн ал Доула са заловили.

И тук вероятно биха се появили учудени погледи: Skype би трябвало да бъде напълно сигурен, тъй като използва силно криптиране по време на предаването на данни, независимо дали става въпрос за файлове или глас. WikiLeaks разкриваше преди време също, че именно заради сигурността на комуникациите, Skype е предпочитан не само в Египет и Тунис, но и във Виетнам и Саудитска Арабия.

Едно изследване на Wall Street Journal Online, което произтича от тези данни е, че съоръжения, предназначени за прихващане на Skype са били предоставени от британската компания “Гама Интернешънъл” ООД. Техният софтуер FinSpy е това, което обикновено се нарича spyware (софтуер шпионин). Според официални данни и местен представител на Gamma, FinSpy е бил тестван миналата година от специализираните служби на Агенцията за Държавна сигурност.

Журналистите от WSJ Online са поискали от  Symantec да анализират  софтуера и резултатът показва, че става въпрос за уред за отдалечен достъп (‘remote access’).

Как това би могло да се случи? За да улесним разбирането, трябва малко обяснение за това как работи Skype. Да кажем, че Мария се обажда на Ани. Предадените данни са криптирани с единствен и безподобен  ключ, известен само на участващите компютри, и след това се прехвърлят чрез една мрежа peer-to-peer. По този начин, два компютъра разговарят помежду си директно и комуникацията не минава през сървърите на Skype или някаква друга централизирана телефонна система. Именно тези две характеристики правят един разговор по Skype труден за подслушване. Най-накрая, когато компютърът на Ани получава предадените данни, той ги декриптира и Ани вижда/чува/чете какво Мария има да каже.

Няколкото компании, които продават този тип шпионски инструменти не се показват особено словоохотливи относно начина, по който софтуерите процедират. Това, което те казват е, че шпионски софтуер (spyware) първо се инсталира на един компютър или смартфон, и след това той си присвоява  данни, предадени преди или след криптиране.

Веднага след като информацията за подслушванията в Египет се разпространиха, няколко френски специалисти по компютърна сигурност се занимаха със сирийския въпрос, а именно: как властта успява да си присвои акаунти във Facebook, Twitter, Gmail на опонентите си и как успява да ги идентифицира, за да бъдат те арестувани в последствие.  Резултатът е интересен.

Това е историята на един обикновен софтуер, който прави обратното на това, което претендира да прави. Ultrasurf е софтуерен прокси сървър, който е бил широко използван от сирийски дисиденти. Очакваното поведение, а именно укриване на идентичността на потребителите си, изглежда ефективна. Но в действителност, софтуера инсталира всичко, което позволява на сирийските правителствени агенти за сигурност точната идентификация на потребителите и тяхното близо следене. Тази сифилитична  версия на Ultrasurf е изключително разпространява по електронната поща, източникът на разпространението му би било нормално използване на имейла или Facebook.

Значи, версията, която е широко разпространена в Сирия, съдържа малко подаръче. Преименуван .jpg уж за да избяга разкриване от правителствените служби, файла заразява компютрите на опонентите с едни сладки Trojan.Backdoor.Hupigon5 (Sig-Id: 41437250) (идентификация със скенера IKARUS).

Поведението изглежда относително развито: пренасочване от 80 към SSL (съкращение от Secure Sockets Layer, е криптографски протокол за връзка клиент-сървър; протоколът осигурява защита на предаваната информацията между клиента и сървъра), данни капсулирани в тунел и най-вече промяна в регистъра на всички сертификати SSL. Така потребителите си мислят, че използват сигурна сесия, докато те всъщност предлагат на другите всичките си пароли.

Фирмата, която седи зад този софтуер не е много ясна. Също така, не се знае кой е зад тази доста сложна система за шпиониране, но вирусът е обновяван…

В заключение, ако ви се налага да установите неприкосновеността на комуникациите, използвайте адаптирани VOIP софтуери като например I Hear You (IHU), който предлага криптиране Blowfish/RSA.

Целият дъмп може да бъде намерен тук: http://reflets.info/wp-content/uploads/2011/06/traffic.pcap_.zip (експлоатация с Wireshark)

Пълен анализ на Ultrasurf: http://reflets.info/wp-content/uploads/2011/06/ultrasurf.txt

Ultrasurf: http://www.ultrareach.com/

Mideast Uses Western Tools to Battle the Skype Rebellion:

http://online.wsj.com/article/SB10001424052702304520804576345970862420038.html

[Първоначално публикувано в Интидар]