Permanentna inwigilacja w praktyce

[Presario]

Niemcy szydzą z wolnego rynku:

Germany bans kids smartwatches, asks parents to destroy them



Garmany’s Telecoms regulator the Federal Network Agency (The Bundesnetzagentur) which oversees the country’s telecommunications has banned smartwatches for kids in the country calling them spying devices. It has also urged parents to destroy these watches mostly used by children between the ages of 5 and 12 years. (...)

“Via an app, parents can use such children’s watches to listen unnoticed to the child’s environment, and they are to be regarded as an unauthorized transmitting system,” said Homann.

According to Bundesnetzagentur’s press release, these watches have a SIM card and a limited telephony function, which are set up and controlled via an app. Such a monitoring function is often referred to as a “baby monitor” or “monitor function.” The app owner can specify that the watch, unnoticed by the carrier, calls any phone number. This enables him to listen unnoticed to the conversations of the watch wearer and his environment. Such a monitoring function is prohibited in Germany.

 

[FatBantha]

No, you’re not being paranoid. Sites really are watching your every move

Sites log your keystrokes and mouse movements in real time, before you click submit.

View attachment 4050

If you have the uncomfortable sense someone is looking over your shoulder as you surf the Web, you're not being paranoid. A new study finds hundreds of sitesincluding microsoft.com, adobe.com, and godaddy.com employ scripts that record visitors' keystrokes, mouse movements, and scrolling behavior in real time, even before the input is submitted or is later deleted. (...)

"Collection of page content by third-party replay scripts may cause sensitive information, such as medical conditions, credit card details, and other personal information displayed on a page, to leak to the third-party as part of the recording," Steven Englehardt, a PhD candidate at Princeton University, wrote. "This may expose users to identity theft, online scams, and other unwanted behavior. The same is true for the collection of user inputs during checkout and registration processes."

(...) During the process of creating an account, for instance, the scripts logged at least partial input typed into various fields. Scripts from FullStory, Hotjar, Yandex, and Smartlook were the most intrusive because, by default, they recorded all input typed into fields for names, e-mail addresses, phone numbers, addresses, Social Security numbers, and dates of birth. (...)



It's not clear what meaningful recourses Internet users have for preventing the data collection. The researcher said that ad-blockers can filter out some, but not all, of the replay scripts. Checking the "do not track" option built into some browsers also failed to stop the logging. That means every keystroke typed into a Web field may be logged, character by character, even if the visitor later deletes the field and never presses a submit button.

Until more robust protections are available, people should remember that just about anything they do while visiting a website can be logged.

---

W praktyce, jak dane dostają skrypty stron trzecich, to nawet jeśli oni sami ich nie wykorzystają, jest to dodatkowe potencjalne źródło wycieku. Skrypty mogą być wadliwe. Użytkownik nie jest świadomy, kiedy wysyła treść, a kiedy nie. Sposób interakcji ze stroną (np. szybkość przewijania jej myszą), szybkość pisania, może dzięki takim skryptom deanonimizować lub identyfikować poszczególnych ludzi i komputery z osobna.

Cóż, trzeba będzie wyrobić nawyk pisania w notatniku.

 

[kr2y510]

Jest też dobry news.

Pojedynczy piksel może oszukać sztuczną inteligencję

Technologie sztucznej inteligencji potrafią dokonywać zadziwiających rzeczy, jednak czasem okazują się bezradne jak noworodek. Naukowcy z japońskiego Kyushu University udowodnili, że zmieniając pojedyncze piksele na obrazie są w stanie oszukać algorytmy sztucznej inteligencji i zmusić je do całkowicie błędnego sklasyfikowania obiektu.

Jiawei Su, Danilo Vasconcellos Vargas i Sakurai Kouichi postawili przed sobą dwa cele. Pierwszy to oszukać w sposób przewidywalny i powtarzalny głęboką sieć neuronową, a drugi – zautomatyzować swój atak tak bardzo, jak możliwe.
Naukowcy zastanawiali się, czy uda się np. zmusić algorytmy sztucznej inteligencji wyspecjalizowane w rozpoznawaniu obrazów by uznały znajdujący się na zdjęciu samochód za psa. Okazało się, że nie tylko jest to możliwe, ale można to zrobić manipulując pojedynczym pikselem, czyli wprowadzając zmianę, której człowiek najprawdopodobniej nie wyłapie.

Podczas swojego ataku naukowcy wykorzystali technikę ewolucji różnicowej (differential evolution, DE), która posłużyła do zidentyfikowania najlepszego celu. Testowano ataki na jeden, trzy i pięć pikseli. Oczywiście, im więcej pikseli zmieniono, tym bardziej skuteczny był atak.

Podczas ataków na trzy piksele w 1024-pikselowym obrazie sztuczna inteligencja błędnie klasyfikowała obraz w 82 proc. przypadków. Przy ataku na pięć pikseli odsetek ten rósł do 87,3 proc. Przy zmianie pojedynczego piksela odsetek błędnych klasyfikacji wynosił 73,8 proc.

W czasie badań naukowcy zmusili w ten sposób algorytm sztucznej inteligencji do zaklasyfikowania zdjęcia psa do każdej z dziewięciu kategorii, którymi były samolot, samochód, ptak, kot, jeleń, żaba, koń, statek i ciężarówka.

Ze szczegółami ataku można zapoznać się w sieci (arXiv).
Autor: Mariusz Błoński​

Według mnie da się to wykorzystać do oszukiwania kamer i wielu masowych systemów identyfikacji osób.

Jeszcze jedno. Przypomniało mi się maskowanie ukraińskich czołgów i transporterów bojowych. Oni dość często używają miejsc z bardzo dużym kontrastem.

 

[bombardier]

Cóż, trzeba będzie wyrobić nawyk pisania w notatniku.

Możesz być jeszcze łatwiejszy do zidentyfikowania - raczej więcej osób ma podobny styl surfowania niż robi wklejki.

Chcąc zachować anonimowość zmieniłbym ustawienia czułości i przyśpieszenia myszy na losowe (albo przynajmniej losowe w pewnym zakresie), a do tego złapał ją lewą ręką. Klawiaturę natomiast obsługiwałbym w sposób jaki ostatnio zaprezentowała mi pani na poczcie, mianowicie przy użyciu wyłącznie palców wskazujących.

To małe piwo, pozostaje jeszcze identyfikacja stylometryczna. Tobie, gdyby to było tylko możliwe, zaleciłbym na pewno większa lakoniczność.

no albo podszyć sie pod kogoś...
wtedy ino go mogą ścigać hehe

 

[tolep]

Naukowcy z japońskiego Kyushu University udowodnili, że zmieniając pojedyncze piksele na obrazie są w stanie oszukać algorytmy sztucznej inteligencji i zmusić je do całkowicie błędnego sklasyfikowania obiektu.

Pojedyńcze błędy są nieistotne, zwłaszcza na wczesnym etapie rozwoju. Za to coś takiego wygląda już dosyć...

Nie mam już orygianalnego obrazka, ktoś wrzucił go na wypok i był to obrazek oryginalny. Jak się przyjrzycie bliżej, to może wyglądac na to że google rozpoznało najbardziej niesforne części. Ale nie. Laska miała jointa wystajacego z tyłka poza tym drugorzedowe cechy płciowe były absolutnie niewidoczne. Trzech chłopaków z paskami na oczach oraz dupa.

 

[GAZDA]

no albo podszyć sie pod kogoś...
wtedy ino go mogą ścigać hehe

dobry algorytm by wiedzioł że to nie ja

 

[FatBantha]

Google śledzi lokalizację smartfonów nawet po wyłączeniu GPS
21.11.2017 20:34
Włączając lokalizację w smartfonach, zgadzamy się na wysłanie danych o położeniu na serwery Google, a często także na serwery producenta danej aplikacji. Większość osób zdaje sobie sprawę, że wówczas jest śledzona. Niewiele jednak użytkowników smartfonów z Androidem jest świadoma, że ich lokalizacja jest udostępniana również, gdy nie korzystają z żadnej aplikacji, nie włożyli karty SIM, a nawet gdy… wyłączyli GPS i usługi lokalizacyjne w ustawieniach urządzenia.

Badania przeprowadzone przez serwis Quartz dowodzą, że od początku 2017 roku smartfony z Androidem zbierają adresy pobliskich wież telefonii komórkowej, robią to nawet jeśli wyłączyliśmy usługi lokalizacyjne. Zgromadzone dane, po połączeniu się z Internetem, wysyłane są na serwery Google.

Serwis Quartz postanowił skontaktować się z Google – otrzymał potwierdzenie stosowania tych praktyk. Rzecznik firmy informuje, że od 11 miesięcy, dane o nadajnikach sieci komórkowych przesyłane są do systemu Google, który wykorzystywany jest do zarządzenia powiadomieniami i wiadomościami na smartfonach z Androidem. Dane miały jednak nie być nigdy wykorzystywane czy przechowywane. Google ma ponadto teraz zakończyć te działania, a przynajmniej ma nie zbierać danych, gdy użytkownik nie wyrazi zgody. Zbieranie danych miało być spowodowane szukaniem metody, która pozwoliłaby Google usprawnić wydajność dostarczanych wiadomości.

Zastanawiające jest, w jaki dokładnie sposób Google chciało ulepszyć swój system dostarczania wiadomości, zbierając adresy masztów telefonii komórkowej. Przesyłane dane były ciągiem znaków, który identyfikował konkretną wieżę. Owszem można twierdzić, że zaszyfrowane dane są bezpieczniejsze, jednakże mogą być one przechwycone przez osoby trzecie. Dodatkowo przechwycone dane mogą zostać powiązane z konkretnym smartfonem – każdy telefon ma unikany numer identyfikacyjny.

Pojedyncza wieża sieci komórkowej pozwala ustalić lokalizację z mierną dokładnością. Można jednak wykorzystać kilka masztów, który umożliwią dokładniejsze określenie położenia. Wystarczy spojrzeć na mapę dużych miast i gęstość nadajników BTS, by zobaczyć z jak dużą dokładnością ustalimy położenie użytkownika, nie korzystając z nadajnika GPS.

Zebrane dane wskazują, że Google nie ogranicza się do konkretnego modelu smartfonu lub innego urządzenia z Androidem. Prawdopodobnie zbieranie informacje o lokalizacji odbywa się na wszystkich nowszych urządzeniach. Co więcej, nawet smartfony, które zostały zresetowane do ustawień fabrycznych i miały wyłączone usługi lokalizacyjne, miały wysłać dane o pobliskich wieżach sieci komórkowych.


Warszawa, nadajniki BTS jednego z głównych operatorów. Źródło: beta.btsearch.pl

Warto także zwrócić uwagę na politykę prywatności Google, gdzie znajdziemy znajdziemy zapis:

Jeśli użytkownik korzysta z usług Google, możemy gromadzić i przetwarzać informacje na temat rzeczywistego miejsca pobytu użytkownika. Stosujemy różne technologie, aby określić tę lokalizację, w tym adres IP, GPS i inne czujniki np. przekazujące Google informacje na temat pobliskich urządzeń, punktów dostępu do sieci Wi-Fi czy stacji bazowych sieci komórkowej..​

Nie ma jednak informacji, czy dane gromadzone są w przypadku wyłączenia usług lokalizacji – jeśli ktoś w tej kwestii miał jakiekolwiek wątpliwości, to odpowiedź przynoszą badania przeprowadzone przez serwis Quartz. A co, jeśli użytkownik nie życzy sobie podobnych praktyk? Można wyłączyć w smartfonie gromadzenie danych i liczyć na to, że decyzja zostanie poszanowana. Jeśli jednak naprawdę zależy nam na prywatności, to wyjściem będzie instalacja prawdziwie czystego Androida, czyli bez oprogramowania Google, na czele z Usługami.

 

[kr2y510]

Gadowski napomknął temat inwigilacji przez telefony komórkowe, wiec wklejam. Mosad w tle.

Przypuszczalnie chodzi o jakiś pośredni atak na procesor pasma.

 

[tolep]

Przypuszczalnie chodzi o jakiś pośredni atak na procesor pasma.

Gadowski odkrył w chwili trzeźwości Wikipedię?
https://en.wikipedia.org/wiki/Pegasus_(spyware) https://en.wikipedia.org/wiki/NSO_Group

 

[kr2y510]

Ja wkleiłem to wyłącznie po to, by odnotować że Gadowski też się tym interesuje. A przypuszczalnie nie chodziło o jego chwilę trzeźwości, tylko napomknął o tym, że jego to dotknęło...

 

[tolep]

Gdzieś natrafił wzmiankę o jednej z wieeeelu luk jakie się odkrywa i łata corocznie. Posłuchaj, uzbrojony w wiedzę z Wikipedii, jego pierwszych zdań. On się dzieli wiedzą wydartą Mosadowi. (! - tutaj łyk kawy i zmruzenie ślepi, widz wstrzymuje oddech). Jak dostaniesz na telefon (!) dziwny mail od nieznajomego (!) to go zeskanuj (!) i wyślij do Toronto, tam działa specjalna grupa której nazwę Gadowski przekręcia mamrocząc ją pod nosem.

Dostaję kilkadziesiąt dziwnych maili od nieznajomych dziennie, to się nazywa spam.

Bełkotanie mitomana przeznaczone dla debili.

 

[kr2y510]

Ja też dostaję spam. Tylko że spam zawsze zawiera jakąś treść i jakiegoś nadawcę. W spamie nie ma nic dziwnego, czegoś co by go technicznie odróżniało od innych maili czy SMS-ów. A że sprawa dotyczy iPhona, to się nią nie interesowałem, bo od czasu gdy Apple przeszło w kompach z procków PowerPC na Intela, z fana tej marki stałem się jej hater-em (tak samo jak jestem hater-em Sony).

 

[NoahWatson]

Automatic Number Plate Recognition System

ANPRS: rozpoznaje tablice rejestracyjne, pomaga zwalczać przemyt
Krajowa Administracja Skarbowa uruchomiła system ANPRS, który połączył w jedną sieć polski, estoński, łotewski i litewski system rozpoznawania numerów rejestracyjnych aut.

https://www.polskieradio.pl/42/259/...ice-rejestracyjne-aut-pomaga-zwalczac-przemyt

Automatyczny System Rozpoznawania Numerów Rejestracyjnych (ANPRS)
Jego działanie opiera się o urządzenia rejestrujące numery tablic pojazdów samochodowych, które rozmieszczone są na granicach zewnętrznych, na głównych szlakach komunikacyjnych, na granicach wewnętrznych, a także w samochodach operacyjnych służb celnych i skarbowych.

http://biznes.interia.pl/podatki/news/krajowa-administracja-skarbowa-uruchomila-system-anprs,2551044

 

[Presario]

W polskich miastach też działają takie systemy inwigilacyjne. Oprócz spisywania numerów robią nawet zdjęcia ludzi o nic przez to państwo nie podejrzewanych:

Monitoring warto pytać!

(...) Wiele miejskich systemów monitoringu ma możliwość rozpoznawania tablic rejestracyjnych. Ten problem zainteresował pewnego mieszkańca Łodzi, który postanowił zdobyć informacje na temat nowego systemu zarządzania ruchem w swoim mieście. Skorzystał z polecanej przez nas metody skierował do Zarządu Dróg i Transportu wniosek o udostępnienie informacji publicznej i podzielił się z nami tą wiedzą. Dzięki temu dowiedzieliśmy się, gdzie rozmieszczone zostały kamery oraz że:

- łódzki system zarządzania ruchem zapisuje, przetwarza i redystrybuuje numery rejestracyjne pojazdów wraz z ich zdjęciami, identyfikatory kraju pochodzenia, a także miejsce, datę i czas identyfikacji pojazdu; (...)

---

A lemingi nadal wierzą w "strefy schengen"...

Mnie bardzo też zastanawia zerowe zainteresowanie tą problematyką ze strony mainstreamowych mediów. A nawet mediów w ogóle.

Czy to dlatego, że żaba została już skutecznie ugotowana przez windowsy, gmaile, ubery i inne (a może większość ludzi zawsze miała takie poglądy?) czy powód jest jakiś inny?

 

[FatBantha]

Kaspersky kontrolowany przez rosyjskie służby - "The Times"
Czwartek, 25 stycznia (11:42)
Brytyjski dziennik "The Times" poinformował w czwartek, że według zeznań sygnalisty oprogramowanie antywirusowe firmy Kaspersky Lab jest kontrolowane przez rosyjski wywiad, który wykorzystał je do uzyskiwania nieautoryzowanego dostępu do tajnych plików.

Były pracownik Kaspersky ujawnił w rozmowie z łotewskim serwisem Meduza, że istotne wpływy w firmie mają współpracownicy rosyjskich służb, w tym FSB, a także ministerstwa spraw wewnętrznych Rosji. Według jego relacji mieli oni przejąć kontrolę nad działalnością firmy po tym, jak siedem lat temu porwano syna jej założyciela Jewgienija Kaspierskiego, który został uwolniony dopiero przez rosyjskie służby specjalne.

Sygnalista powiedział, że Kaspierski zdecydował wówczas o "zmianie taktyki biznesowej, odwołaniu planowanego wejścia na giełdę, pozbyciu się amerykańskich inwestorów i większości osób pochodzących z zagranicy".

Gazeta podkreśliła, że w obliczu nowych doniesień część posłów i ekspertów ds. bezpieczeństwa zaapelowała o zakazanie programu w obawie o istniejące luki, które narażają wrażliwe sektory - jak np. branżę energetyczną i usług finansowych - na wyciek istotnych dokumentów.

Jednocześnie jednak Narodowe Centrum Cyberbezpieczeństwa Wielkiej Brytanii zdecydowało o nieprzedłużaniu wydanego wcześniej ostrzeżenia dotyczącego programów Kaspersky. Cytowani przez "Timesa" krytycy tej decyzji powiedzieli, że może to utrudnić skuteczną ochronę przed poważnym cyberatakiem.

W rozmowie z "Timesem" źródła podkreśliły, że nadal istnieją poważne obawy odnośnie do działania programów Kaspersky, ale nie ma powodów, aby zakazywać ich używania przez organizacje pozarządowe, które nie mają dostępu do tajemnic państwowych.

Dziennik przypomniał, że w ubiegłym roku stosowanie oprogramowania tej firmy zostało zakazane w federalnych instytucjach w Stanach Zjednoczonych po tym, jak izraelski wywiad ostrzegł Amerykanów, że Rosjanie regularnie wykorzysują luki bezpieczeństwa do uzyskania dostępu do tajnych plików.

Rzecznik Kaspersky odrzucił w rozmowie z "Timesem" doniesienia łotewskich mediów i zapewnił, że "nigdy nie pomogliśmy ani nie pomożemy żadnemu rządowi w jego wysiłkach w zakresie cyberszpiegostwa".​

 

[MaxStirner]

Sprawa nie jest nowa przeciez, Bloomberg pisał o tym w 2015 roku
https://www.bloomberg.com/news/arti...ity-kaspersky-has-close-ties-to-russian-spies

W polskich miastach też działają takie systemy inwigilacyjne. Oprócz spisywania numerów robią nawet zdjęcia ludzi o nic przez to państwo nie podejrzewanych

Troszke nie fair jest pisanie, że tym sie nikt nie interesuje. Może nie wiemy powszechnie które miasta mają takie systemy, a które nie - ale zakładam że największe mają na pewno. Poza miastami to samo już od paru ładnych lat robi Viatoll, samo działanie tego systemu opiera sie o rozpoznawanie tablic.
Brytole mają to już u siebie niemal na każdym rogu, potem Francuzi i Niemcy. Na jakim etapie my jesteśmy, nie wiem, ale nie urodziłem sie wczoraj i nigdy nie zakładałem, że u nas tego systemu nie ma, bo niby czemu miałoby nie być?
Panptykon pisze o tym co dwa posty. Czytam ich. No i co z tego? Co to wszystko zmienia?
Nic nie maożna zrobić i tyle.

 

[MaxStirner]

Google śledzi lokalizację smartfonów nawet po wyłączeniu GPS

Właśnie przeczytałem oryginał tego arta i przypomniał mi ie twój post. Najciekawsze jes to, czego w polskim tłumaczeniu nie ma.

"Devices with WiFi connection appear to send the data to Google each time they come within range of a new cell tower.
When Android devices are connected to a WiFi network, they will send the tower addresses to Google even if they don’t have SIM cards installed."
WTF? W życiu bym nie pomyslał, że telefon bez sima (czyli w sumie działający jakby jako laptop czy zwykły tablet może przesłać adres BTS?!!
Z drugiej strony bez SIMa można przeciez zadzwonic po pogotowie..
Edit: Po godzinnym grzebaniu w necie faktycznie moje przypuszczenia sie potwiedziły - każdy telefon nawet bez SIMa łączy sie z najbliższym BTS w celu umożliwienia połączeń alarmowych. Ciekawostką jest, że przesyła też IMEI jednak operatorzy o tym nie wiedzą chyba że dany BTS ma zaimplementowaną czarną listę IMEI skradzionych lub poszukiwanych co wywołuje alert...
WTF. Człowiek sie uczy całe życie. Zawsze myślałem, że do wysłania IMEI sim musi byc włożony.

 

[bombardier]

Futurystyczne Chiny. Policja aresztuje na podstawie prognoz systemu komputerowego
27 lutego 2018, 16:10 | Aktualizacja: 27.02.2018, 16:10

Policja w niespokojnej prowincji Sinciang na zachodzie Chin aresztuje podejrzanych na podstawie prognoz systemu komputerowego, analizującego dane big data: od obrazu z miejskich kamer po wyciągi bankowe – podała we wtorek organizacja Human Rights Watch (HRW).

Według nowojorskiej organizacji broniącej praw człowieka Chiny rozwijają systemy policyjne, które na podstawie danych, gromadzonych często bez wiedzy obywateli, oceniają, które osoby stanowią potencjalne zagrożenie, i informują o tym organy bezpieczeństwa.

Według anonimowych źródeł HRW osoby wyznaczone przez system są poddawane dochodzeniu, a część z nich trafia do "centrów edukacji politycznej", gdzie mogą być przetrzymywane bezterminowo bez formalnych zarzutów ani procesu.

"Po raz pierwszy jesteśmy w stanie zademonstrować, że używanie przez chiński rząd danych big data i policyjnych systemów przewidywania jest nie tylko rażącym pogwałceniem praw człowieka, ale również pozwala funkcjonariuszom na arbitralne aresztowania" - powiedziała pracująca w HRW w Hongkongu Maya Wang, cytowana na stronie tej organizacji.

Według Wang podobne systemy wdrażane są również w innych częściach Chin, ale masowy nadzór jest na szerszą skalę stosowany w Sinciangu, ponieważ rząd obawia się niepokojów społecznych w tym regionie. W ostatnich latach wielokrotnie dochodziło tam do aktów przemocy, wynikających w dużej mierze z napięć pomiędzy zamieszkującymi Sinciang muzułmańskimi Ujgurami a Chińczykami Han.

Nie ma pewności, czy system celuje konkretnie w Ujgurów, ale formularze używane do zbierania danych osobowych zawierają rubryki dotyczące wyznawanej religii i podróży zagranicznych – wynika z raportu HRW.

Według tej organizacji rozwój systemu policyjnego w Sinciangu jest elementem rozpoczętej w 2014 roku przez Pekin specjalnej operacji "silnego uderzenia przeciwko brutalności i terroryzmowi". W ostatnich latach chińskie władze nasilają represje mające na celu przymusową asymilację Ujgurów i m.in. zbierają od mieszkańców Sinciangu na masową skalę próbki DNA, uniemożliwiają im wyjazdy za granicę i dokonują wyrywkowych inspekcji telefonów komórkowych – informuje HRW.

Według oficjalnych doniesień system pomógł policji łapać sprawców drobnych kradzieży i nielegalnych transakcji finansowych, jak również ujgurskich urzędników "o dwóch twarzach", czyli nielojalnych wobec rządzącej Komunistycznej Partii Chin.

System określany jako Wspólna Zintegrowana Platforma Operacyjna przekazuje policji listę osób stanowiących potencjalne zagrożenie, którą opracowuje m.in. na podstawie analizy monitoringu, połączeń telefonów i komputerów z sieciami WiFi oraz danych zdrowotnych, bankowych i prawnych. Konkretny algorytm tej analizy nie został ujawniony.

"Na przykład jeśli dana osoba zwykle kupuje tylko 5 kg nawozów sztucznych, a nagle (ta ilość) zwiększa się do 15 kg, wówczas wysyłamy funkcjonariuszy terenowych, by złożyli wizytę i sprawdzili przeznaczenie (nawozów). Jeśli nie ma problemu, wpisujemy sytuację do systemu i obniżamy stopień alertu" - powiedział HRW niewymieniony z nazwiska badacz związany z policyjnym projektem.

Z Kantonu Andrzej Borowiak

 

[FatBantha]

Chcieli dobre programy, a dostali złe: każde państwo może atakować internautów
11.03.2018 18:20
Pobieranie popularnego oprogramowania na Windows źle się skończyło dla tysięcy internautów z Turcji, Syrii i Egiptu – zainteresowani Avastem, CCleanerem, Operą i 7-Zipem prze wiele tygodni otrzymywali uzłośliwione wersje tych programów, z modułami szpiegowskimi i koparkami kryptowalut. Co najgorsze, pobierali je w dobrej wierze z oficjalnych stron producentów. Kolejny z dogmatów branży bezpieczeństwa okazał się mitem: oficjalne strony producentów nie są w stanie zagwarantować bezpieczeństwa, jeśli samo pobieranie odbywa się po nieszyfrowanym protokole HTTP.

Odkrycie badaczy The Citizen Lab jest naprawdę niepokojące i pokazuje, jak bardzo Google miało rację ze swoim projektem zaszyfrowania całego ruchu internetowego. Skanując sieci, badacze ci odkryli systemy głębokiej inspekcji pakietów (DPI) w infrastrukturze największych operatorów telekomunikacyjnych Turcji i Egiptu – Türk Telekom i Telecom Egypt. Zadaniem tych systemów było przechwytywanie niezaszyfrowanego ruchu sieciowego internautów.

Te tureckie systemy zajmowały się podmienianiem pobierań niegroźnych, popularnych programów na ich uzłośliwione wersje. Choć bowiem strony producentów były dostępne po HTTPS, to jednak użytkownicy domyślnie byli przekierowywani do hostów serwujących pliki po HTTP. Tak samo działo się w wypadku popularnej strony-katalogu Download.com, należącej do CNET-u.


W ten sposób użytkownicy dostawali na swoje komputery instalatory zawierające początkowo spyware FinFisher, tworzone na zamówienie klientów rządowych i jak twierdzi jego producent, przeznaczone jedynie do „zgodnej z prawem inwigilacji”. Później w tureckiej operacji zaczęto stosować autorskie spyware, przypominające ataki StrongPity z 2016 roku, wymierzone przede wszystkicm w użytkowników z Belgii i Włoch. Tym razem tureckim operatorom chodziło m.in. o przestrzeń adresową regionów kontrolowanych przede wszystkim przez kurdyjskie milicje, ale nie tylko – niektóre z ataków były wymierzone też w internautów z Syrii.

Operacja w Egipcie była technicznie podobna, choć prowadzona z wyraźnie z innych pobudek. Tam przekierowywano użytkowników z sieci dziesiątków dostawców internetowych do stron z reklamami i skryptami koparek kryptowalut, ewidentnie tylko po to, aby zarobić na nich pieniądze.

Co z tego wynika dla zwykłego internauty z Europy? Całkiem sporo. Charakterystyka tych ataków wskazuje, zdaniem badaczy z The Citizen Lab, na wykorzystanie systemów pośredniczących Packet Logic firmy Sandvine. Są one w stanie niemal dowolnie kształtować ruch internetowy na ogromną skalę – nie tylko priorytetyzując i opóźniając pakiety, ale też blokując określone typy ruchu czy wstrzykując w ruch ten własne pakiety, o logowaniu tego wszystkiego nie wspominając.

Nazwa Sandvine mało komu coś mówi, ale wystarczy spojrzeć na jej poprzednią nazwę, a wszystko stanie się jasne. Wcześniej firma ta nazywała się Procera Networks i zajmowała się sprzedażą sprzętowych narzędzi do kształtowania ruchu sieciowego dla mniejszych i większych telekomów. W 2015 roku została przejęta przez prywatny fundusz Francisco Partners i usunięta z nowojorskiej giełdy. W 2016 roku wyciekła informacja, że klientem Procery został turecki rząd, który zakupił od firmy narzędzia do głębokiej inspekcji pakietów, by wydobywać loginy, hasła i adresy IP osób odwiedzających niezaszyfrowane witryny. Protestujący przeciwko tej transakcji pracownicy firmy zostali podobno zwolnieni.

Oznacza to, że praktycznie każde niezbyt zaawansowane technicznie państwo może sobie dziś pozwolić na wielkoskalowe ataki przeciwko swoim internautom. Nie trzeba być Stanami Zjednoczonymi z ich NSA, rozwiązania skrojone na potrzeby pomniejszych państw są do kupienia za akceptowalne dla rządowego klienta pieniądze. Taki PacketLogic 15000, przeznaczony oficjalnie do „ulepszenia doświadczeń abonentów”, jest w stanie jednocześnie „obsłużyć” do 10 mln użytkowników, sterując ich ruchem internetowym.

Jak się zabezpieczyć? Polecić możemy przede wszystkim HTTPS Everywhere – rozszerzenie które wymusza tam gdzie to tylko możliwe stosowanie szyfrowanego protokołu HTTPS, a jeśli nie jest to możliwe (serwer nie wspiera szyfrowanych połączeń), to przynajmniej ostrzega o niebezpieczeństwie. Rozszerzenie to w wersjach dla Firefoksa, Chrome i Opery znajdziecie w naszej bazie oprogramowania.​

 

[bombardier]

No tak, HTTPS Everywhere, a o sprawdzaniu podpisów lub sum kontrolnych nawet się nie zająknęli.