marți, 29 mai 2012

În spatele unui incident de securitate

În timp ce în Siria se desfășoară o tragedie, iar restul națiunilor din zonă trec printr-o stranie perioadă de reașezare pe noi baze, o știre din IT ridică serioase semne de întrebare. E vorba de un virus(un troian, ca să fiu mai specific) descoperit aparent întâmplător de experții de la Kaspersky Lab. Chiar dacă aparent avem de-a face cu o știre banală, câteva elemente ciudate atrag atenția în mod special.

Primul element care iese în evidență este targetul acestui virus, anume Orientul Mijlociu. De asemenea, este foarte interesant faptul că virusul este descoperit de o firmă rusească de securitate. Sunt cunoscute interesele strategice în zonă și monitorizarea extrem de atentă a întregului Orient de către Rusia. E o zonă care fierbe la comandă și în care se ciocnesc numeroase interese. Dacă aceste elemente pot părea întâmplătoare, ciudățeniile tehnice ale troianului Flame(căci acesta este numele de botez) sunt de-a dreptul interesante. În primul rând avem de-a face cu un virus foarte mare, având aproximativ 20MB. Cei care au legătură cu domeniul pot confirma faptul că este extrem de mare pentru un troian. Însă această greutate nu este dată de vreo greșeală de programare ci de complexitatea foarte mare a programului. După ce citești detaliile dezvăluite de cei de la Kaspersky îți dai seama că este un soft de spionaj. Flame poate asculta conexiunile criptate, are acces la mailuri și documente stocate în calculator, poate face capturi de ecran și primește comenzi remote. O noutate absolută a troianului constă în faptul că este capabil să înregistreze prin intermediul microfonului intern, funcție având ca target atât activitatea voip a posesorului cât și ceea ce se întâmplă în proximitatea sistemului infectat. De asemenea, este interesant un alt lucru: dacă sistemul este dotat cu bluetooth și acesta este activat, Flame colectează informații despre dispozitivele care sunt accesibile prin intermediul acestui tip de conexiune. Tot legat de bluetooth, în funcție de configurație, Flame poate activa automat conexiunea și poate să-și transmită criptat statusul prin intermediul informațiilor despre device. Și mai interesant e faptul că Flame comunică cu exteriorul prin intermediul a aproximativ 80 de servere către care transmite capturile de ecran, înregistrările audio, alte date sensibile precum și orice alte informații la cerere. În  ceea ce privește detaliile legate de servere, informațiile date de cei de la Kaspersky sunt destul de vagi. Se lasă însă să se înțeleagă că e vorba de o rețea globală menită a colecta rapid datele de la victime.

Flame este construit modular, având o arhitectură extensibilă. Noi module pot fi adăugate foarte ușor, troianul având integrat limbajul de scripting lua. Așa se face că, pentru operațiuni specifice, Flame poate primi plugin-uri care se integrează discret în sistem și-și fac treaba pentru care au fost programate. Vorbim deci despre un sistem extrem de complex, iar gândurile nu ne pot duce decât către serviciile secrete. Și, dacă gândim așa, nu suntem singurii care o facem, ipoteza fiind confirmată de cei de la Kaspersky: ”Currently there are three known classes of players who develop malware and spyware: hacktivists, cybercriminals and nation states. Flame is not designed to steal money from bank accounts. It is also different from rather simple hack tools and malware used by the hacktivists. So by excluding cybercriminals and hacktivists, we come to conclusion that it most likely belongs to the third group. In addition, the geography of the targets (certain states are in the Middle East) and also the complexity of the threat leaves no doubt about it being a nation state that sponsored the research that went into it”.

Este, cred, clar pentru toată lumea că avem de-a face cu un incident major de securitate. În general activitățile informative de un asemenea nivel au loc în perioada premergătoare a unui război. Să nu uităm că un asemenea sistem este unealta ideală pentru dezinformare și pentru provocarea isteriilor în masă. Implicarea Kaspersky cred că este făcută din două motive: primul pentru popularizarea informației(Kaspersky este un jucător global cu peste 100 de puncte de prezență la nivel mondial) și distribuirea rapidă a programului de curățare, iar cel de-al doilea pentru a sugera adevăraților autori că mai sunt și alții interesați prin zonă. Oricum, dincolo de ciocnirile de acest tip, este clar că zona începe să dea în clocot sub presiunea serviciilor secrete. Ce se pregătește e greu de înțeles, dar nu imposibil.

19 comentarii:

  1. de asta ai auzit domnia ta..

    inca din anii 70 exista asa ceva. cel ma mare caz este Inslaw/Promis vechi de cind lumea, folosit ca si cal troian de sua.

    http://en.wikipedia.org/wiki/Inslaw
    (dezoltat in anii 70, iese la iveala intr-un scandal de spionaj in 83 si tot in orientul mijlociu)

    RăspundețiȘtergere
  2. Prietene, nu mă pricep la asta. Dar mintea mea refuză să admită că nişte unii, care au ceva de ascuns, se leagă ca ultimul tâmpit la Internet. Presupun că-şi izolează reţelele sensibile, şi mai fac schimb de informaţii şi cu porubelul călător, metaforic vorbind.
    Toată nebunia asta seamănă mai degrabă a război psihologic. Şi nu cu viermi intestinali se rezolvă problema din Iran. Din păcate nu se rezolvă nici cu bombardeaua. Dar spune-le asta evreilor, să vedem cum au să te privească!
    Cinstit vorbind, fără un transfer tehnologic semnificativ, Iranul face fix nimic, chiar dacă are uraniu de calitate militară. Bomba e o chestie complicată, şi trebuie să mai ai şi cu ce o duce la ţintă, adică s-o miniaturizezi. Rachetele iraniene au o sarcină utilă mică.
    Aşadar, să facem o listă cu statele care pot dar tehnologii sensibile Iranului: Pakistan, Pakistan, Pakistan şi Pakistan. SUA? Israel? China, Rusia, Franţa, Marea Britanie? Doamne fereşte! Şi cine controlează Pakistanul? China şi SUA: aşadar soluţia este la Beijing şi Washington. Să se înţeleagă, deci! Şi să lase dracului istericalele!

    RăspundețiȘtergere
    Răspunsuri
    1. Iranul a recunoscut intre timp ca Flame e vinovat de scurgerile masive de informatii. Partea frumoasa abia acum urmeaza: printre tarile cu cea mai mare rata de infectare se afla si ... Israelul. Asa ca atacul pare cel putin ciudat.

      Ștergere
  3. Posibil. Dar Israelul poate juca şi aşa în războiul ăsta psihologic. Acum, capacităţi de a genera astfel de arme cibernetice au multe state. Suspecţi pot fi mulţi. Dacă vor să penetreze sistemele de comandă ale diverselor servicii publice din Iran, pentru a le face inutilizabile în cazul unui atac asupra ţării, avem şi răspunsul la întrebarea "cine a generat viermele"? Ştiu şi eu? Poate se pun bazele unui nou concept de luptă. Cum a fost bătălia aero-purtată. Acum o fi bătălia aero-virală. Că nu de imaginaţie se pot plânge militarii, când e rost de tocat bani...

    RăspundețiȘtergere
  4. Stuxnet este exact un astfel de virus, facut cu dedicatie pentru echipamentele Siemens folosite in cadrul programului nuclear iranian. Similitudinile cu Flame sunt foarte mari: complexitate ridicata (cine la creat a avut acces la aplicatiile si sistemele industriale Siemens -> client guvernamental), tinta este in Orientul Mijlociu, a fost depistat de o firma de antivirus din Belarus, iar pagubele produse sunt iarasi similare (a intarziat programul nuclear iranian cu cativa ani, prin generarea de erori false la echipamente).
    Este un articol detaliat in Stiinta&Tehnica din luna mai despre acest virus si efectele sale asupra programului nuclear iranian.

    RăspundețiȘtergere
    Răspunsuri
    1. Duqu si Stuxnet au fost troieni destul de evoluati, dar nici macar nu se compara cu Flame la capitolul complexitate. Parerea mea e ca, dincolo de buzz-ul pe care-l produce aceasta stire, odata cu Flame intram intr-un alt nivel al razboiului cibernetic.

      Ștergere
  5. Bun - cei de la Kaspersky au făcut anunțul primii, dar și iranienii au anunțat ( ulterior ) că l-au descoperit și elaborează un antivirus.

    E interesant aici de văzut care va fi pasul următor care, dacă "teoriile conspirației" sunt corect, va trebui făcut destul de repede ... că altfel ...

    RăspundețiȘtergere
  6. Si mai amuzant ar fi ca astfel de virusi sa fie introdusi pe piata tocmai de companiile producatoare de antivirusi, ca deh, trebuie sa arate ca sunt mai buni ca ceilalti, "singurii care il descopera" samd, nu? :)

    RăspundețiȘtergere
    Răspunsuri
    1. Ar trebui sa fie de-a dreptul prosti sa faca asa ceva pentru ca pur si simplu nu e nevoie. In afara resurselor vaste care pot fi gasite pe net vis a vis de construirea virusilor, statul pe forumurile producatorilor de antivirusi iti ofera documentatie de ultima generatie la greu. Trebuie doar sa ai IQ-ul sensibil mai mare decat media pentru a face un virus. La cati devianti sunt pe net, e logic pentru oricine ca se vor gasi mereu "producatori" in domeniu.

      Ștergere
    2. Eu ma refer la virusii la care apare antidotul la 2 3 ani dupa ce au fost scosi pe piata, gen "utilitarul" facut de Sony care se instala automat cand cumparai un produs de la ei, la virusi si metode care nu sunt detectate pana acum pentru ca nu stie aproape nimeni de ele.

      Zero day exploit-urile sunt asa, pentru amatori gen Anonymous arestati ieri prin Piatra Neamt samd.

      Nu e ciudat cum Windows-ul incepe sa crape cand isi da seama ca este piratat? La asta ma refer..

      Ștergere
    3. In domeniul securitatii e cunoscut faptul ca lucrezi cu necunoscute, ca la aparitia unui virus nimeni nu stie despre el. Detectia face parte din fisa postului unui analist de securitate IT si, cu cat mai repede reusesti sa detectezi o amenintare cu atat mai celebra devine firma care produce un antivirus. Insa sa pornesti de la aceasta realitate si sa consideri ca firmele sunt cele care pun in circulatie virusi mi se pare exagerat.
      P.S. Windows-ul crapa din cauza prostiei utilizatorilor. Pentru aceasta dilema am un raspus sub forma unei intrebari: De ce sa piratezi Windows-ul cand ai Linux-ul gratis??? E o chestie pe care efectiv n-o pricep.

      Ștergere
  7. Israelul a recunoscut că Flame e al lor. Deci s-a rezolvat misterul. O să avem distracţie cu bum-bum! Şi ce-i nou în asta?

    RăspundețiȘtergere
  8. >Pentru aceasta dilema am un raspus sub forma unei intrebari: De ce sa piratezi Windows-ul cand ai Linux-ul gratis???

    Buhuhu ... clasica întrebare inițială a "sectei linuxiste". :D

    Pentru că Windows-ul e totuși net mai ușor de utilizat, conectat periferice, cam toate jocurile pentru PC sunt doar pe sisteme Windows, oferă cea mai bună performață dintr-o mașină pentru un "utilizator final" etc ș.a.m.d. ? ;)

    RăspundețiȘtergere
    Răspunsuri
    1. Hahaha! Cand ai instalat ultima data un linux ca sa spui asemenea aberatii? Iti recomand sa arzi un ISO cu un Ubuntu si sa-i dai drumu' direct de pe CD. Dupa, mai vorbim.
      In ceea ce priveste jocurile, eu unul n-am simtit lipsa lor, in sensul ca am gasit destule chestii de pierdut timpul. Ce-i drept nici nu sunt mare jucator, dar oricum... As mai putea sa-ti spun ca androidu' pe care clapacesti tu la pasarelele suparate e de fapt un linux. Ma rog, nu mai intru in detalii, dar cand imi vorbesti de performanta la windows ma tavalesc pe jos de ras.

      Ștergere
    2. >Cand ai instalat ultima data un linux ca sa spui asemenea aberatii?

      Acu' vreo 2 ani - e drept.

      >In ceea ce priveste jocurile, eu unul n-am simtit lipsa lor, in sensul ca am gasit destule chestii de pierdut timpul.

      Na asta e - probabil majoritatea pentru asta preferă Windows-ul. Iar chestia cu păsărelele supărate e probabil o glumă fâsâită şi nimic altceva. :)

      >{...}dar cand imi vorbesti de performanta la windows ma tavalesc pe jos de ras.

      Tăvălire plăcută. :)
      Asta îmi aminteşte de nişte amici - linuxişti fanatici - care tot o dădeau cu mega-perfomanţele emulatorului de Windows sub Linux, care chipurile ar avea performanţe mai bune decât Windows-ul nativ şi alte abureli şi mitologii de-astea ( chestie pe care iniţial mai că am crezut-o la cât patos puneau în susţinerea teoriei ), până când au trebuit să facă efectiv un debug serios pe un program transplatformă ... moment din care au lăsat nasul jos şi nu i-am mai auzit să susţină astfel de enormităţi. Dar na ... unii încă susţin aiureli de-astea ... treaba lor. :)

      Ștergere
    3. Cine-a zis de emulator win sub lin? Am spus linux vs. windows. Daca tu cu windows reusesti sa obtii performantele similare(atentie, nici macar nu am pretentia sa fie identice) celor pe care le scoate un linux pe o configuratie hardware identica inseamna ca ma fac evanghelist Micro$oft. Hai sa nu vorbim enormitati!

      Ștergere
  9. >Hai sa nu vorbim enormitati!

    Curios îndemn din partea cuiva care le debitează constant. :)

    Ca idee de principiu - când cineva susține că un sistem de operare e cel mai și cel mai bun ... deja ar trebui să fie un semnal de alarmă că respectivul/respectiva are o atitudine așa ... nițeluș adolescentină. Iar dacă e vorba de Linux-like în ecuație ... se poate adăuga și o doză de sectarism. :)

    >Daca tu cu windows reusesti sa obtii performantele similare(atentie, nici macar nu am pretentia sa fie identice) celor pe care le scoate un linux pe o configuratie hardware identica {...}

    Dacă e să o luăm așa - unul din cele mai amuzante momente a fost când am auzit o discuție de Linux-iști fanatici despre tentativele de a încerca și rula acceptabil Diablo II. Pe segmentul de desktop/laptop e o mare doză de masochism să începi instalarea vreunei distribuții de Linux ... mai ales dacă nu ești familiarizat cu domeniul și o faci doar așa, că ai auzit de la X că știe că Y e încântat de asta.

    Cât despre performanțele similare ... e o glumă probabil - în special dacă ne referim la periferice. Microsoft investește enorm tocmai în direcția standardizării driverelor folosite, asigurarea compatibilității cu "constelația de parteneri" etc. - aspecte care se simt din plin. Dar na - mai greu de înțeles/realizat asta se pare. :)

    >{...}inseamna ca ma fac evanghelist Micro$oft

    Succes în noua carieră ( deși e una din cele mai tâmpite idei marca Microsoft ).
    Apropo - semnul de dolar pus acolo se vrea așa ... un mișto subtil, nu ?

    RăspundețiȘtergere
    Răspunsuri
    1. Ca aproape de fiecare data vorbesti prostii.
      Cred ca adolescentin esti tu in atitudine si necunostinta(ca sa nu-i spun prostie), asa ca ma voi chinui putin sa explic pe intelesul tau. Ai habar ca linux-ul iti permite recompilarea kernel-ului(ma rog, ma indoiesc sincer ca ai habar ce-i ala un compilator)? Prin chestia asta ar trebui sa intelegi si tu ca-ti poti customiza la maxim sistemul de operare astfel incat va rula la performante maxime cu hardware-ul sistemului, fara a incarca inutil memoria cu alte rahaturi. Asta e doar un aspect. Mai sunt numeroase altele legate de comenzile deosebit de puternice ale shell-ului, de capabilitatile de scripting s.a.m.d.
      Probabil pentru un nul care o freaca la greu pe joace si are impresia ca rastoarna lumea atunci cand il omoara pe vecinu' in nu stiu ce joc debil, e imposibil de inteles rolul unui sistem de operare si care-s facilitatile care fac diferenta.

      Ștergere