Publikacje

RCS - czyli rób służbo, co chcesz...

David Vincenzetti, właściciel Hacking Team, włoskiej firmy zajmującej się produkcją specjalistycznego oprogramowania szpiegowskiego oferowanego tylko instytucjom rządowym, zapewniał ostatnio w liście do FBI, że jest w stanie dostarczyć tej instytucji niezwykle efektywne oprogramowanie służące masowej inwigilacji. Zgodnie z jego zapewnieniami, ma ono położyć kres anonimowej łączności w internecie, bez względu na stosowane przez inwigilowanych metody i oprogramowanie. W nocy 5 lipca, jego firma padła ofiarą ataku hakerów, którzy wykradli z serwerów ponad 400GB danych...

W związku z tymi wydarzeniami pojawiły się w polskich mediach informacje na temat nabycia przez CBA oprogramowywania włoskiej firmy. Sprawa jest w pewnym sensie odgrzewanym kotletem, bo choć włamanie grupy hakerów, którzy ujawnili listę klientów firmy na jej serwery miało miejsce 5 lipca bieżącego roku, to pierwsze informacje na temat wykorzystywania przez polską służbę specjalną szpiegowskiego oprogramowania spod ręki niegdysiejszego hakera, David'a Vincenzetti pojawiły się już rok temu. Zakup, co prawda wywołał pewien niepokój pośród znawców tematyki, jednak ogólnie rzecz biorąc, przeszedł bez większego echa, a samo CBA, jak to mają w zwyczaju służby specjalne, nie skomentowało informacji zasłaniając się tajemnicą służbową. Nie byłoby w tym nic dziwnego - taki jest, bowiem modus operandi większości formacji zajmujących się bezpieczeństwem państwa - gdyby nie pewien z całą pewnością nie drobny szczegół. Otóż informacje na temat używania przez CBA oprogramowywania włoskiej firmy pojawiły się już w sierpniu 2014 roku, kiedy to Helsińska Fundacja Praw Człowieka zaskarżyła do sądu odmowę udzielenia przez Centralne Biuro Antykorupcyjne odpowiedzi na pytanie, czy formacja posługuje się "szpiegowskim" oprogramowaniem komputerowym Remote Control System.

W tym momencie należy zadać sobie pytanie, dlaczego HFPC zainteresowała się akurat Centralnym Biurem Antykorupcyjnym i dlaczego zrobiła to w kontekście ewentualnego używania przez nie oprogramowania firmy Hacking Team? Aby szerzej spojrzeć na zarys sytuacji, należy wyjaśnić, czym właściwie zajmuje się mająca swoją siedzibę w Mediolanie firma, której produkty budzą takie kontrowersje. Otóż Hacking Team tworzy oprogramowanie komputerowe na potrzeby tzw. LEAs (ang. Law Enforcement Agencies), czyli różnego rodzaju formacji zajmujących się zwalczaniem przestępczości i wsparciem wymiaru sprawiedliwości. Oprogramowanie to umożliwia zbieranie materiału dowodowego lub też kontrolę operacyjną dzięki przejęciu kontroli nad komputerem lub smartfonem osoby, która jest obiektem zainteresowania danej służby. Umożliwia ono w sposób skryty i zdalny przeglądanie zawartości pamięci, twardych dysków, śledzenie korespondencji, aktywowanie kamer podłączonych do zainfekowanych urządzeń i pobieranie rejestrowanego przez nie obrazu, jak również wykorzystanie mikrofonów w telefonach do bieżącego podsłuchu użytkownika lub nadajnika GPS celem jego lokalizacji. Krótko mówiąc, oferuje cały szereg możliwości, które służby i tak miały tyle, że tym razem dostają wszystko w jednym pakiecie. Czysta oszczędność czasu, miejsca i pieniędzy można by rzec i pochwalić decydentów za zmysł ekonomiczny. Można by, gdyby nie fakt, że poza wspomnianymi możliwościami, RCS daje użytkownikowi dodatkowe możliwości, które ze wsparciem wymiaru sprawiedliwości i gwarantowaniem przez niego bezpieczeństwa obywateli nie mają nic wspólnego.

Zgodnie z informacjami zawartymi w folderze dotyczącym RCS V5.1, a ujawnionym przez portal Wikileaks, Hacking Team reklamuje swój flagowy produkt jako jedyny, który pozwala nie tylko na monitorowanie aktywności zainfekowanego urządzenia, ale również na jego pełną kontrolę, w tym modyfikację zawartości. Robi to przy tym w sposób uniemożliwiający wykrycie modyfikacji przez użytkownika. W firmowej broszurze, której autentyczności włoska firma nie zaprzeczyła, znajduje się następująca informacja o produkcie:

„Remote Control System jest trudno wykrywalnym narzędziem IT dla formacji wspierających wymiar sprawiedliwości. Jednocześnie jest ofensywnym narzędziem polityki bezpieczeństwa i opiera się na technologii spyware. Jest koniem trojańskim i jest pluskwą. Jest narzędziem monitorującym, dającym także możliwość ataku i przejęcia kontroli nad punktem docelowym, czyli komputerem.” (tłum. Autora).

Nie dziwi zatem fakt, że po przejrzeniu ulotki reklamowej i odkryciu, że słynące głównie z wątpliwych (z etycznego i prawnego punktu widzenia) prowokacji CBA zostało dumnym użytkownikiem RCS, ludziom zaangażowanym w działania na rzecz praw człowieka włosy stanęły dęba na głowie. Trudno sobie, bowiem wyobrazić, jak 25 lat po obaleniu komunizmu, można dopuścić do sytuacji, w której podległa rządowi formacja mogłaby w dowolnym momencie zrobić przestępcę ze zwykłego człowieka. Mając do dyspozycji takie narzędzie nietrudno niewygodnym, bądź niezamierzającym współpracować obywatelom zafundować poranny najazd kawalerii w kominiarkach, która znajdzie na ich komputerach, obciążające w ten, czy inny sposób materiały, wgrane tam zdalnie, dzień wcześniej przez odpowiednie służby. Niezwykle istotnym z punktu widzenia zastosowania tego oprogramowania przez policję lub inne służby porządkowe jest fakt, że niemożliwe staje się określenie, czy modyfikacje zawartości twardego dysku lub pamięci komputera są dziełem jego użytkownika, czy też operatora narzędzia spyware. Tym samym, produkt pozbawiony jest najistotniejszej z punktu widzenia procesowego cechy, czyli nie gwarantuje prawdziwości dowodu. Przykładowo, najpopularniejszy program służący do analizy dysków w celu pozyskania materiału dowodowego, EnCase Forensic, tworzy sumę kontrolną dla wszystkich danych na analizowanym dysku, aby mieć gwarancję, że w toku analizy nikt nie zmienił przecinka. Dzięki temu organy ścigania zyskują skuteczne i uznawane przez prawo narzędzie, a osoby, wobec których toczy się postępowanie gwarancję rzetelnego i bezstronnego procesu. Pytanie brzmi - w jakim celu Centralne Biuro Antykorupcyjne zakupiło za ponad 200 tysięcy euro program, którego posiadanie naraża tę instytucję na zarzuty ze strony m.in. Helsińskiej Fundacji Praw Człowieka? Dlaczego w sytuacji, gdy ma ono działać w ramach ściśle określonych reguł prawnych, CBA wydaje znaczne sumy na zakup oprogramowania, którego zgodnie z tymi regułami, nie może w pełni wykorzystać? Próba odpowiedzi na to pytanie może prowadzić do wniosków na tyle szokujących, że lepiej nie wypowiadać ich głośno. Zostawmy więc rozważania dotyczące celowości zakupu programu Remote Control System i skoncentrujmy się na szczegółach technicznych.

Jak działa RCS? Tak, jak w przypadku wielu innych szkodliwych programów, rozpoczyna się od infekcji komputera poprzez nakłonienie użytkownika do wykonania określonego działania (phishing), które prowadzi do uruchomienia na jego urządzeniu szpiegowskiej aplikacji. Może to być mail z odnośnikiem do pliku, bądź załącznik go zawierający. Bardzo skuteczne jest też oprogramowanie wykorzystujące luki systemowe (exploit), gdyż powoduje ono mniejsze zaangażowanie, a tym samym ograniczoną ostrożność użytkownika. Po zainstalowaniu na zarażonym urządzeniu, RCS pozwala atakującemu przejąć nad nim kontrolę w sposób niezauważalny dla użytkownika. Do około 2012 roku oprogramowanie RCS było nie do wykrycia dla dostępnych powszechnie, komercyjnych programów antywirusowych i antyspyware'owych. Nie było również możliwe wychwycenie jego pracy w tle, ponieważ sam program nie daje żadnych oznak uruchomienia. Sytuacja zmieniła się w lipcu 2012 roku, kiedy wiele firm produkujących oprogramowanie antywirusowe otrzymało próbki złośliwego kodu. Na podstawie tych informacji, dodały one do swoich produktów sygnatury nowego spyware'a. Bardzo szybko skojarzono również jego budowę oraz sposób działania z uzyskiwanymi wcześniej, z różnych źródeł, informacjami na temat usług świadczonych przez firmę Hacking Team. Jak informuje Kaspersky Lab, obecnie jego pracownicy zidentyfikowali ponad 100 modyfikacji RCS, z których wszystkie charakteryzują się niemal identycznym celem i sposobem działania. Te natomiast są następujące: w trakcie pracy monitoruje on i przekazuje operatorowi wszystkie działania oraz procesy wykonywane na zainfekowanym komputerze, tj.: przeglądane strony, korespondencję, połączenia za pomocą komunikatorów, w tym również tych używających szyfrowania. Działa również jak keylogger, a zatem rejestruje każdy naciśnięty przez użytkownika klawisz klawiatury. Operator może zdalnie i w niezauważalny sposób uruchomić kamerę oraz mikrofon zainfekowanego urządzania. Może też przeglądać i modyfikować zawartość pamięci oraz twardego dysku. Ustanowione pomiędzy komputerem-celem, a operatorem połączenia opierają się na wielu zlokalizowanych w dowolnych miejscach serwerach proxy. Działanie takie bardzo utrudnia wykrycie lokalizacji, z której nastąpił atak i przypomina funkcjonowanie anonimizującej przeglądarki internetowej TOR. Włoscy programiści nie zapomnieli również o kwestii poboru mocy czy kosztach transferu danych, szczególnie istotnych w sytuacji zainfekowania urządzeń mobilnych. Ich użytkownicy mogliby bowiem zorientować się w nieautoryzowanej aktywności sprzętu, obserwując zwiększone zużycie baterii lub podwyższone koszty związane z wysyłaniem pakietów danych. Zainfekowany RCS smartfon, tablet lub laptop może zostać tak skonfigurowany, aby swoje szpiegowskie działania realizować tylko podczas, gdy urządzenie jest podłączone do ładowarki i zalogowane do wifi. Tym samym objawy funkcjonowania szkodliwego oprogramowania zostają bardzo skutecznie zamaskowane.

W 2014 roku informatycy z działającego przy Uniwersytecie w Toronto, Citizen-Lab, którego celem jest monitorowanie internetu pod kątem naruszenia praw człowieka, wzięli na celownik firmę Hacking Team oraz jej produkt. Ustalili oni ponad wszelką wątpliwość listę krajów, których instytucje posługiwały się programem RCS. W wielu przypadkach wykorzystywano je do kontrolowania działań osób i organizacji zaangażowanych w ochronę praw człowieka m.in. w Maroko, Etiopii oraz Zjednoczonych Emiratach Arabskich. Ponadto innymi zidentyfikowanymi użytkownikami są rządy Bahrajnu, Bangladeszu, Egiptu, Malezji, Arabii Saudyjskiej, Meksyku, Sudanu, Mongolii, Kolumbii, Rosji, Węgier, Nigerii, Włoch, Afryki Południowej, Turkmenistanu, Omanu, Turcji, Uzbekistanu, oraz USA. W zdecydowanej większości na liście tej znajdują się kraje o opresyjnym, bądź w najlepszym przypadku wątpliwym reżimie obywatelskim. I choć właściciele Hacking Team zapewniali oficjalnie, że ich produkty nigdy nie były oferowane krajom, które nie przestrzegają podstawowych zasad wolności i praw człowieka, to ujawnione przez wspomnianą na początku grupę hakerów informacje, świadczą o czymś zupełnie innym. Vincenzetti w pełni świadomie zarabiał, sprzedając swoje produkty reżimom i dyktatorom, a dane na ten temat starał się ukryć przed opinią publiczną. Swoją drogą rodzi się pytanie, na jakiego klienta liczy ktoś, kto oferuje produkt przeznaczony do naruszania prywatności i manipulowania faktami, a jednocześnie zastrzega, że nie udostępnia go krajom, które nie szanują praw swoich obywateli?

Nie sposób w tym miejscu nie wrócić na chwilę do polskiego aspektu całej sprawy. Eksperci z Citizen-Lab wykazali bowiem, że RCS był aktywnie wykorzystywany również w Polsce. Oczywiście brak jest informacji o tym, kto i gdzie był jego celem, ale skoro został użyty, to zapewne w stosunku do osób pozostającyvh w zainteresowaniu CBA. Można zatem przyjąć założenie, że na podstawie informacji zgromadzonych za pomocą włoskiego oprogramowania postawiono komuś zarzuty, lub nawet kogoś skazano. A jeśli tak było, skąd pewność, że dowody nie zostały zmanipulowane, skoro program, którego użyto do ich zgromadzenia daje taką możliwość i nie daje żadnych szans wykrycia takiego nadużycia? W takiej sytuacji ci, którzy wykażą choć cień wątpliwości, że w stosunku do nich CBA wykorzystało program RCS, mogą powołać się na zasadę „in dubio pro reo” (wątpliwości muszą być rozstrzygane na korzyść oskarżonego) i tym samym podważyć wiarygodność działań służb. Trudno nie dostrzec, że osoby, które podjęły decyzję o zakupie oprogramowania firmy Hacking Team nie rozumieją zasad funkcjonowania państwa prawa, którego wiarygodność opiera się między innymi na gwarancji, że żaden człowiek nie może zostać ukarany, jeśli swoimi działaniami nie wypełnił znamion czynu zabronionego. Postępowanie państwa, stwarzające taką możliwość powinno być zduszone w zarodku.

Pomijając kwestie natury prawnej, należy zwrócić uwagę na jeszcze jeden istotny aspekt. Każde państwo lub nawet służba powinna dążyć do tego, by swoje działania operacyjno-rozpoznawcze, jak i dochodzeniowo-śledcze opierać na własnych narzędziach i produktach. Dostęp do ich kodów źródłowych powinien być ściśle ograniczony, a doskonalenie oparte na działaniach własnych i zaufanych ekspertów. W ostatnich dniach w sieci pojawiła się informacja wskazująca na to, że włoski producent zastosował w programie tzw. „backdoor”, a więc pozostawił sobie możliwość ingerowania w pracę programu za plecami użytkowników, którzy za niego zapłacili. Jakkolwiek paradoksalnie by to nie brzmiało, mielibyśmy wtedy do czynienia z sytuacją, w której podsłuchujący jest równocześnie podsłuchiwanym. Ponadto, dzięki Wikileaks na światło dzienne wyszła również obszerna korespondencja prowadzona przez pracowników CBA oraz Hacking Team. Przykład ten pokazuje, że zakup gotowego projektu, którego szczegóły techniczne oraz dane o płatnościach i wsparciu są przechowywane w nieznany klientowi sposób, mogą doprowadzić do sytuacji, w której nie tylko okazuje się, że nasz kraj znalazł się w świetle reflektorów, w niewielkim i niezbyt chlubnym gronie. Stał się również posiadaczem drogiego i bezużytecznego narzędzia, którego kod źródłowy może mieć każdy, a sam twórca zaleca, by go obecnie nie używać...