A világ vezető spyware gyártóját meghakkolták, ami hírszerző hivatalokkal állt kapcsolatban

HUP cikkturkáló

Több mint 400giga belső adat(email, forráskódok, szerződések, a dolgozók útleveleinek scannelt verziója, stb) elérhető torrenten és a lenti linkeken, és githubra folyamatosan pakolják fel a forráskódokat: https://github.com/hackedteam és https://github.com/informationextraction

A ügyfelek között kettő magyar hírszerző hivatal is van: https://twitter.com/Sidragon1/status/618131378765324288
(Az egyik szerződés, amit a magyar "Special Service for National Security"-vel kötöttek - kössz @flatline: https://ht.transparencytoolkit.org/Amministrazione/01%20-%20CLIENTI/6%2…)

Cikkek:
http://motherboard.vice.com/read/spy-tech-company-hacking-team-gets-hac…
http://www.hwsw.hu/hirek/54216/hacking-team-kormanyzati-kemprogram-adat…
http://www.ibtimes.co.uk/hacking-team-sold-spy-software-blacklisted-sud…
http://motherboard.vice.com/read/hacking-team-asks-customers-to-stop-us…
http://www.theguardian.com/technology/2015/jul/06/hacking-team-hacked-f…
http://www.bbc.com/news/technology-33409594

Tag: https://twitter.com/search?q=%23HackedTeam

Ez a tweet szerint, ugyanez a hacker tört be a FinFisher-hez is: https://twitter.com/GammaGroupPR/status/617937092497178624

A cég "arcának" hazugságai twitter-en(amit letörölt pár órával ezelőtt): https://archive.is/Ca8Kz

A cég password policy-ja: https://twitter.com/Viss/status/617950211239837696

HackingTeam kémprogramja gyerekpornót telepít a célszemély számítógépére: https://twitter.com/sintheticlabs/status/618057097050259456

Mozilla bounty-t fizet, aki talál a torrentben található kódban 0day sebezhetőséget: https://twitter.com/runasand/status/618042368898531328

Hogyan is működik a Hacking Team rendszere(aka RCS): https://www.youtube.com/watch?v=x8xDYq5sn6E

Az összes fájl elérhető ezeken a siteokon:(lehet néha miaradás, mivel DDoS-olják a szervereket) https://ht.transparencytoolkit.org/ és http://ht.musalbas.com/

WikiLeaks kereshetővé tette az összes emailt - kössz @zcs : https://wikileaks.org/hackingteam/emails

FIGYELMEZTETÉS: Frissítés elérhető az Adobe Flash sebezhetőséghez: https://helpx.adobe.com/security/products/flash-player/apsb15-16.html

  • 11482 megtekintés

( gemnon v | 2015. 07. 06., h – 15:06 )

The code cannot simply be signed, it also needs to be "cross-signed" with a certificate provided by Microsoft.

Security :P

( zoner | 2015. 07. 06., h – 16:31 )

Jó lenne tudni, hogy melyiket rendelte tőlük az NBH és mire használták.

( joco01 v | 2015. 07. 06., h – 17:10 )

És ilyenkor mi van, szólnak a kollégáknak, hogy holnap már nem kell bejönni dolgozni, mert a cégnek már úgysincs értelme? :)

--

Szerintem itt már hiába magyarázkodnak, lehúzhatják a rolót, és ügyvédek fogják lemeccselni. Esetleg 1-2 érintett magyarázkodhat az ügyfelek listájáról.

Amúgy az a félelmetes, hogy nem csak ilyen titokban utazó cégeket tudnak eltörölni hekkerek. Gondoljunk egy hazai KKV-ra, ahol van egy szerver, backupot hírből sem ismerik, 5 perc alatt totálisan meg lehet semmisíteni őket.

--

Mondjuk egyszemélyes könyvelőiroda nem gyakran állít ki 480000 EUR-os számlát a szolgáltatásáért. :)

Azt is kétlem, hogy ilyeneket tárol a helyi NAS-on:
ACQUISTI CARTA CREDITO UCG BUSINESS.xlsx
Carta Credito UCG NEW.pdf
Carta Credito UCG.pdf
Carta Identitŕ.pdf
Wife's passport.jpg (??? Really)

Inkább közepestől felfelé sebezhetők: amelyik tényleg kicsi, a bizonylatait véges idő alatt át tudja nyálazni, az ügyfeleit pedig névről ismeri; persze boldog nem lesz senki.

- o -

Tudok betétgyűjtéssel engedéllyel foglalkozó cégről, ahol az adatbázis mentése meg volt ugyan oldva, de senki nem tudta, hogy az ahhoz tartozó fájlok közül mi micsoda, és hogyan kellene kezelni, így csak a szerencsén múlt, hogy a crash előtt pár napos állapotra legalább vissza lehetett állni, és csak a többit kellett papírból pótolni. Pechesebb (de megérdemelt) kimenetel tényleg csődöt és sittet jelentett volna.

( KoGa v | 2015. 07. 06., h – 21:59 )

De basszus Hacking Team?! Ilyen névvel bárki komolyan vette őket, és megrendelt tőlük valamit? Szerintem ez az egész egy nagy halom kamu adat :D

Hát nem is tudom: a Yahoo és a Google ilyen nevekkel mekkora multi lett, pedig a névválasztás nem az igazi:) Amúgy az adatokról: twitteren jó pár security researcher megerősítette, hogy valódiak, és Kevin Mitnick(nem mintha ő lenne a világ közepe, csak azért írtam ide, mert az emberek általában ismerik) is köztük van. És amúgy ki az az elvetemült aki képes 11évre visszamenőleg mail-t generálni? És sajnos vagy szerencsére, ez lesz akkora botrány, mint a WikiLeaks-é.

Azt ugye tudjuk, hogy az NBH-nak ott vannak a szerverei a szolgáltatóknál. Azt is tudtuk, hogy valószínűleg mire használják, csak azt nem, hogy hogyan. Most már ezt is
tudjuk. Amit lehet védekezni: ha egy futtatható file-t töltesz le, akkor több helyről is próbálj md5/sha1-sum-ot tölteni, és ellenőrizd.

És honnan tudja egy átlag user, hogy az "ingyenesen" letölthető Windows 7, 8, 10 ISO-ban nincs valami elrejtve? :) MD5 erre nem ad megoldást.

A kérdés persze költői, de az index-es cikkből is látni, hogy komplett ISO-kat "fertőznek" meg. De ezt vajon hogy használják? A nagy cégek (Opel Szentgotthárd, győri Audi, Cib bank, stb.) beszállítóinak kötelező ezekből az ISO-kból telepíteni a windows-okat?

Átnéztem tüzetesen a fájljaikat, példának ott van egy rakat fertőzött Adobe flash telepítő vagy osx alá messages.app vagy textedit.app vagy notepad.app satöbbi.
Vmware-ben windows alól például sima dokumentumfájlok is fertőzöttek, megnyitás után egyből bekapja a rendszer. Win alá van a Detekt nevű cucc az észreveszi, linux/osx alá nem tudom létezik e bármi hasonló.

Nem értek ehhez, de hogyan lehet egy futtatható fájlba letöltés közben beszúrni valamit? (Ez amúgy trójai akkor?)

Ha mondjuk letöltök egy szoftver csomagot, akkor OK, hogy elkapja a forgalmamat, de akkor ő on the fly kitömöríti, elemzi, hogy ez milyen architektúrára milyen módon készített szoftver (pl. bigendian/littleendian, intel, arm, alpha, sparc vagy powerpc gépikód, 32 bites vagy 64 bites, windowsra, osxre, linuxra, androidra vagy mondjuk solarisra készült, statikusan linkelt, a.out vagy elf).
Ha megvan az elemzés, akkor kiválaszt egy adott környezetre, architektúrára működő modult, keres neki valami módon egy helyet a programban (tehát valahogy elemzi, hogy merre fut a vezérlés, vagy legalábbis azt, hogy hol a belépési pont a program indításakor), beilleszti a modulját, aztán újracsomagolja a programot és azt küldi le a dróton nekem az eredeti helyett.

Ez nagyon macerásnak és hosszadalmasnak tűnik. Ha ráklikkelek valamire és azonnal elindul jó sebességgel a letöltés, akkor ez azt jelenti, hogy ilyen baromi gyorsan sikerült mindezt végigcsinálniuk?

Vagy ennél valahogy egyszerűbb ez?

Valoszinutlen, hogy ez on-the-fly tortenjen. Inkabb elore preparalnak nepszeru binarisokat (lasd pl. a sourceforge-os balhekat, ahol adware vackokat csomagolnak bele a telepitokbe), es a letoltesi linkeket iranyitjak at a sajatjukra. Mondjuk ez a tevekenyseg nehezen fer bele a 'lawful inspection' kategoriaba, amire a szolgaltatok kotelezve vannak, szoval jo esellyel celzott tamadasokkal juttatjak be a preparalt binarisokat.

Mit értesz a "lawful inspection" alatt? Nem tudom, hogy olvastad-e a cikkeket, vagy megnézted-e a videót amit linkeltem, de ahhoz, hogy a Hacked Team módszere működjön(Remote Control System aka RCS), egy szervert az adott ISP-nél kell elhelyezni. Itt van mégegyszer a videó: https://www.youtube.com/watch?v=x8xDYq5sn6E
Olyan a prezentáció, hogy még a hülye is megérti(no offense).
Ez már pár éve így működik, ha jól emlékszem egy egyik magyar hírszerző hivatal 2010-ben vásárolta meg az egész rendszert, lsd a szerződést, amit a topikban linkeltem.

OK, így már érthető.

Nem mindenkinek minden letöltését akármilyen eszközre, hanem célzottan, egy embernek, egy ismert környezetre egy előre elkészített programot kell eljuttatni.

Ez így már rendben, csak azt nem értem, honnan tudja a kattintgató ember, hogy a teljesen ismeretlen bűntárs az majd éppen windows 7 32bit desktop pc-t használ, vagy tabletet, vagy akármi. Persze ez már nem a hacked team feladata, talán ezt majd a kémehivatal ügynökei kiderítik. Bekukucskálnak az alakon, vagy akármi.

Tegyük hozzá hogy oda azt ír a böngésző amit akar, már persze ha nem zavarja hogy emiatt esetleg az oldalak kifordulnak önmagukból.

De pl. a canvas fingerprinting szokott segíteni. Vagy egy "ártalmatlan" flash bigyó. Igazság szerint van egy olyan érzésem, hogy ez a legkisebb probléma.

Te nyomsz egy letöltést, a böngésződ küld egy explicit "GET ezt_a_fájlt_kérem" kérést, ami ha egyezik azzal a fájllal, amit meg akarnak hákolni pont neked, akkor a válaszként kapott forgalmadat szépen átvakarják, oszt' jónapot. De az is elég lehet, ha ismernek a kliensben valamilyen hibát, min kerezstül a böngésző, illetve az azt futtató OS támadható, és a forgalmadat úgy módosítják, hogy a valós tartalom mellett/helyett ezt a lukat támadják.
Az ilyen átírják a forgalmat támadásokkal nem minden letöltőre lőnek, hanem meghatározott célközönségre, akár "személyre szabott" hamis tartalmat odatolva.
Szerintem...

Én ezt úgy csinálnám (és valószínűleg ők is így csinálták): megnézem, hogy mi a leggyakrabban letöltött programok listája. Ezeknek a programoknak csinálnék egy preparált
változatát, ami kb. pont annyiból áll, mint amit egy tetszőleges vírus csinál: ott is fogja, és beeszi magát az exe-be, itt annyival trükkösebbek, hogy az installerbe
másznak bele. Mivel az installerekből van pár fix verzió, ez nem nehéz, ráadásul ha van ms aláírásuk, akkor bontják, fertőzik, visszaírják. Átlag felhasználó nem szokott
md5sum-ot nézni, de ha még néz is, akkor meg a weboldalról csinálnak egy copy-t, amiben átírják az md5-öt, és az adott felhasználónak azt adják vissza.

Gyakorlatilag nincs szükség mindenféle oprendszerre, és ugye nem a profi hackert fogják ezzel támadni, hanem mondjuk Pénzmosó Gézát aki warez windows-ról ügyeskedik.

( scythe959 | 2015. 07. 07., k – 09:41 )

"HackingTeam kémprogramja gyerekpornót telepít a célszemély számítógépére: https://twitter.com/sintheticlabs/status/618057097050259456"

Ez nekem nem egyértelmű, nem inkább csak keres hülye nevű fájlokat, és aztán valamiért hash-eli őket?

Amúgy a cuccot már leszedték github-ról, tegnap csak annyit találtam benne, hogy Linux-on a rootkit az Ubuntu Whoopsie nevű dump report process-ének álcázza magát.

( Fisher v | 2015. 07. 07., k – 14:10 )

Szóljatok ha lesz majd torrent fájl, vagy magnet link :D

Elég szar összefoglaló. Van arra bármi bizonyíték, hogy ezeket az adatokat "internetre kötött gépeken" tárolták? Sokkal valószínűbb, hogy valami 0 day sebezhetőséggel megfertőzték az egyik admin gépét. Onnantól kezdve lófaszt nem ér egyik csilliárd dolláros határvédelmi megoldás sem és egyik "biztonságtechnikai berkekben alapvetőnek számító dolog" sem. Persze xls-ben nem tárolunk jelszavakat, de tárolhatta volna 12312423423 bites tikosítással ellátott saját fejlesztésű rendszerben is, az sem ért volna szart sem.

Értem, így már kicsit más, én az excelre gondoltam (bár mintha ott sem lett volna olyan hosszú jelszó).

/off
Egyébként ez jellemző, hogy az igazán fontos jelszavakat fejben tárolják? Semmi secure pendrive meg ilyesmik? Nem ismerem az idevágó protokollokat, csak kíváncsi vagyok... :)

Nekem eddig elektronikus eszközön tárolt adatból nagyságrendekkel több veszett el az eszköz hibája miatt, mint papíron tárolt dolgokból. Oké, akkor kettő darab szuper biztonságos pendrive, amihez csak az adott x dolgozó egyikének ujja kell - lehetőség szerint élő kivitelben. Viszont ebben az esetben hogyan oldod meg azt, hogy explicit csak és kizárólag az a jelszó kerüljön feloldásra, amire épp szükség van, a többi meg nem?
A biztonsági megbízott, aki ezt az eszközt tárolja/kezeli _nem_ jogosult az összes jelszó (sőt, gyakorlatilag egyetlen egynek sem) a megismerésére - csak az, akit erre a megfelelő szabályzat, vagy az illetékes vezető megjelöl. És itt is felmerül a kérdés, hogy hogyan lesz ez napra készen tartva?

Szerintem: legyen egy jelszókezelő (pl. Keepass), ami tárol mindent, backupolva van, és annak a mesterjelszava plusz domain jelszó papíron, széfben, napló jelleggel. Ez több okból jó: ha valakire rá kell bízni a jelszót, meg lehet mutatni neki a papírt, könnyebb, mint leírni neki X helyre, illetve ha régi backupból kell visszaállítani a jelszó állományt, akkor a papíron meglesz a régi mesterjelszó is.

--

Jelenleg 6 jelszavam van, nem mondom meg pontosan de 8 és 12 karakter közöttiek, kis és nagy betű és számok keveréke. Pythonal szoktam létrehozni + egy-egy karaktert átírok mindig. Csak addig van felírva amíg betanulom, ez átlagosan 2-4 nap. Na amit ezzel mondani szerettem volna, hogy ha engem megkínoznak, akkor sem tudnám lediktálni ezt a hat jelszót, viszont billentyűzeten be tudom írni, ritmusa van ahogy csinálom. :) Pl. androidon ami felugrik virtuális bill, azon nem tudnám beírni. :) Elég az első két karaktert tudni, a többi tudat-alatt. :)

( Dacr (nem ellenőrzött) | 2015. 07. 07., k – 20:36 )

/off/
Most hogy mindenki letöltötte a torrentről a cuccot, az NBSZ-nél Zoltán kaján vigyorral az arcán megnyomja a nyomkövetés gombot, majd elégedetten nyugtázza főnökeinek: "akció sikeresen végrehajtva! Igaza volt vezérünknek, ezek a f@szok ott lent tényleg mindent benyalnak!"

( toMpEr | 2015. 07. 07., k – 22:26 )

Liam ‏@liamosaur Jul 6
"Bad day? Could be worse. It's now someone at @hackingteam's job to call up the Russian secret police and inform them there's been a breach"

--------
Vultr VPS (refkódos link): SSD + 768MB RAM, 5USD/hó (benchmark), 20USD kupon: SSDVPS

( klarnorbert | 2015. 07. 08., sze – 20:27 )

Magyar TV: "A kormány nem kommentálja, hogy miért költöttek 600milliót egy kémszoftverre." :DDD

( mark7 | 2015. 07. 09., cs – 10:58 )

Ez nekem magas, valaki elmondaná hogy mondjuk Debian-on ilyenkor mi a teendő ( a flash frissítése/kikapcsolása mellett)
Ezek rootkit-ek? Rootkitet mivel keressek Linuxon?

rkhunter és clamav: rootkitek, és malware/spyware kereséshez. Elméletileg az Adobe ma adott ki egy frissítést a sebezhetőséghez, szóval illendő lenne frissíteni: https://helpx.adobe.com/security/products/flash-player/apsb15-16.html
Ha pepper flash-t használsz, azt is frissítették a mai napon.

A linux a világ legbiztonságosabb operációs rendszere, mert soha nem készült még rá vírus, ezért vírusírtóra sincs szükség, ráadásul nyílt forráskódú, ezért bárki átnézheti a többszázmillió sor kódot mielőtt letölti.

Amúgy:
https://help.ubuntu.com/community/Antivirus

Ezt azért nem mondanám. Jó lesz, ha egy kicsit utánanézel a dolgoknak, mielőtt ilyet kijelentesz, hogy a világ legbiztonságosabb rendszere:D A felhasználó a leggyengébb láncszem a gépezetben. Ha pélául letöltesz egy closed-source programot linuxra, ami ugye precompiled is, akkor honann tudod, hogy nincs benne semmi kártevő?

( peterbrasil | 2015. 07. 11., szo – 08:06 )

FreeBSD-hez árultak exploitokat? Linux disztrók ellen tudtak hatékonyan kártékonykodni? Ilyenkor a nyílt forráskódú fejlesztői közösségek mennyire gyorsan szoktak reagálni (a sebezhetőségek befoltozásával) ?

( talisker | 2015. 07. 13., h – 12:44 )

subs.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)