random:press

#018

Transkrypcja i źródła

Lepszy w lipcu śmiech prywatny
Niż VPN nieprzydatny.

Witam w 18. randomowym przeglądzie prasy „random:press”, czyli podcaście o cyberbezpieczeństwie, informatyce śledczej i programowaniu. Dzisiaj trochę później, a to z powodu prac redakcyjnych nad kolejnym odcinkiem podręcznika do programowania w Clojure. Odcinek poświęcony systemom typów już doszlifowany, a teraz czas na przestrzenie nazw i powiązania – pozostało około 70%.

Ale nie przedłużając już dłużej, dzisiaj posłuchamy sobie o:

  • zamieszaniu wokół NordVPN;
  • eksfiltracji danych z użyciem diod na klawiaturach;
  • ataku na greckiego rejestratora domen krajowych;
  • aktualizacji Mac OS-a X usuwającej serwer Zooma;
  • unikatowych metadanych dodawanych do zdjęć przez Facebooka;
  • pierwszych decyzjach sądu w sprawie SIN przeciwko Facebookowi.
1.44

„97 VPN-ów jest kontrolowanych przez 23 firmy, z czego większość to firmy z Chin”, Niebezpiecznik

Nasz rodzimy i bardzo popularny serwis poświęcony bezpieczeństwu, czyli Niebiezpiecznik, opisuje wnioski z raportu przeprowadzonego przez VPNpro, który czyni poważną obserwację dotyczącą rynku usług VPN.

VPN to angielski akronim od terminu Virtual Private Network, który przetłumaczyć możemy jako wirtualna sieć prywatna. Jest to sposób tunelowania ruchu sieciowego, w którym transportowane dane są szyfrowane zanim zostaną przesłane publiczną podsiecią. Tunel to z kolei taki rodzaj połączenia między dwoma oddalonymi stacjami sieciowymi, że wydają się one bezpośrednio połączone, tak jakby należały do tej samej podsieci. Przez analogię można to porównać do transportowania samochodów pociągiem, którego wagony są osłonięte i nie widać, jakie auta znajdują się wewnątrz – nie wiadomo więc, jaki jest ich cel podróży do momentu opuszczenia składu.

Bardziej technicznie tunelowanie można zdefiniować w ten sposób, że jest to przenoszenie pakietów należących do danej warstwy modelu ISO OSI wewnątrz pakietów wyższej bądź tej samej warstwy. Pakiety to porcje danych wędrujące między węzłami sieci Internet, a warstwy to abstrakcyjne poziomy łączności, z którymi związane są pewne protokoły. Po więcej szczegółów dotyczących sieci prywatnych i tunelowania odsyłam do pierwszej części publikacji „OpenVPN bez tajemnic” w serwisie random:seed.

VPN-y służą najczęściej do tego, aby zwiększać prywatność użytkowników przez ochronę strumienia danych przed podsłuchiwaniem. Dzięki temu można na przykład bezpiecznie łączyć się do biurowej sieci (bramką wyjściową jest pracowniczy intranet), albo surfować w Sieci bez zostawiania śladów w postaci adresu IP, który dostawca internetu może powiązać z naszą osobą. W tym drugim przypadku bramką wyjściową będzie system dostawcy usługi VPN, który zazwyczaj składa nam obietnicę, że będzie strzegł naszych danych osobowych, jak oka w głowie. Warto to zaznaczyć, że operator bramy wyjściowej wirtualnej sieci prywatnej, czyli miejsca, w którym nasz ruch jest maskowany pod jego adresem IP (i tak widziany przez internetowe usługi), ma dostęp do już odszyfrowanych danych, które opuszczają tunel. Oczywiście, jeżeli korzystamy z połączeń szyfrowanych (np. HTTPS), to potencjalny podsłuchujący i tak nie zobaczy wymienianych danych, chociaż będzie wiedział z kim i kiedy się łączymy.

Ale wracając do artykułu i jego wniosków. Redakcja Niebezpiecznika zadała sobie trochę trudu i dokonała przeglądu raportu, a także porównania popularnych usług VPN. Okazuje się, że 97 marek VPN-ów znajduje się w rękach 23 firm, z których 7 rezyduje w Chinach i kontroluje 28 usług. Chiny mają bardzo propaństwowy sposób obsługi klienta i na żądanie władz każde z takich przedsiębiorstw musi dostarczyć raporty zdarzeń, czyli tzw. logi, dotyczące połączeń użytkowników. W tym względzie nie ma różnicy w porównaniu do państw Zachodu, więc zapewne chodzi o brak zaufania do Chin jako całości i ich bardziej orwellowskich, niż – jak w przypadku USA na przykład – huxleyowskich zapędów.

Ten swoisty ranking wirtualnych sieci prywatnych kończy się werdyktem, wedle którego najlepszym VPN-em jest NordVPN, m.in. z uwagi na panamską siedzibę, obietnicę kasowania logów, a także opcjonalne trasowanie ruchu przez węzły sieci Tor. Ciekawscy mogą znaleźć w artykule odnośnik afiliacyjny do strony produktu, to znaczy taki link, który pozwala taniej nabyć usługę i przy okazji podzielić się wpłatą z polecającym. Podobne wpisy, przy okazji lub wprost polecające usługę, Niebezpiecznik publikował m.in.:

  • 7 lutego 2016,
  • 10 lipca 2017,
  • 28 lipca 2017,
  • 24 listopada 2017,
  • 13 marca 2018,
  • 26 kwietnia 2018,
  • 25 maja 2018,
  • 17 lipca 2018,
  • 28 sierpnia 2018,
  • 2 września 2018,
  • 19 września 2018,
  • 31 października 2018,
  • 6 grudnia 2018,
  • 13 grudnia 2018,
  • 1 kwietnia 2019,
  • 29 kwietnia 2019,
  • 19 czerwca 2019.

Wychodzi więc na to, że NordVPN i Niebezpiecznik miziają się URL-ami już od jakiegoś czasu, bo od roku 2016. Tu byłem troszeczkę rozczarowany, bo info o afiliacji pojawiło się w treści później, tzn. już po fragmencie, w którym dowiedziałem się, że w wyniku gruntownej analizy jakiś produkt wygrał zawody o miano tego najlepszego. Wtedy też zapytałem wujka Google’a o wpisy na Niebiezpieczniku zawierające VPN-owe słowo-klucz.

Artykuł wywołał gdzieniegdzie (np. w grupie SysOps/DevOps Polska na Facebooku) niemałe zamieszanie. Przywoływano na przykład rewelacje z serwisu VPNscam.com o tym, że w Panamie rzeczywiście jest zarejestrowana spółka Tefincom S.A., która ma być oficjalnym producentem NordVPN, ale pod jej adresem znajdziemy również innych usługodawców, którzy prowadzą tam fasadowe firmy. Sam wspólny adres dla kilku spółek to nic dziwnego, szczególnie gdy jest to po prostu wirtualne biuro, jednak w tym kontekście opisywanie usługodawcy jako firmy z Panamy nie jest do końca prawdziwe, ponieważ w praktyce tam nie operuje. Zauważono dodatkowo, że płatności dla NordVPN obsługuje firma Cloudvpn, Inc., którą zarządza osoba z Litwy. Również aplikacja w sklepie Google Play jest podpisana przez wspomnianą spółkę. Dodatkowo, osoby, które korzystały z serwisu Wayback Machine, raportowały, że pierwotnie strona usługi była dostępna w dwóch językach: angielskim i litewskim. Obecnie w tym serwisie nie znajdziemy już migawek dla adresu nordvpn.com, ponieważ zażądano wykluczenia, o czym możemy się dowiedzieć, próbując to sprawdzić. Dalej, w serwisie VPNscam.com możemy przeczytać, że osoba, która zarządza Cloudvpn jest też prezesem Tesonet – serwisu, który zajmuje się eksploracją danych i który został w USA oskarżony o naruszenie prawa patentowego.

NordVPN odpiera te i podobne zarzuty i publikuje w firmowym blogu wpis zatytułowany „NordVPN: Why the false allegations are wrong”. Znajdziemy tam informację o naturze wspomnianego pozwu, a dokładniej o tym, że w procesie tzw. web scrapingu, czyli masowego pobierania zawartości stron WWW, rzekomo wykorzystano usługę NordVPN, dając dostęp osobom trzecim do adresu IP użytkownika w celu przeprowadzenia scrapingu. Przedstawiciele serwisu NordVPN zaprzeczają tym pogłoskom i zwracają uwagę, że w podobny sposób działa HolaVPN Tesonetu, a nie NordVPN – mowa więc o zupełnie innej usłudze. Zwracają też uwagę na pojawienie się w roku 2018 konta na Twitterze, z którego zaczęto publikować oskarżenia o udział NordVPN w konglomeracie zajmującym się eksplorowaniem danych. Aby oczyścić się z zarzutów i walczyć z kampaniami oszczerstw, firma wynajęła niezależną spółkę audytorską.

10.12

„Academics steal data from air-gapped systems via a keyboard’s LEDs”, ZDNet

W artykule zatytułowanym „Academics steal data from air-gapped systems via a keyboard’s LEDs” ZDNet informuje o bardzo ciekawym sposobie wykradania danych z użyciem diod elektroluminescencyjnych umieszczonych na klawiaturze. Chodzi o kontrolki LED informujące o stanie klawiszy Caps Lock, Num Lock i Scroll Lock.

Badacze z Uniwersytet Ben Guriona w Izraelu stworzyli eksperymentalny malware, który do komunikacji ze światem zewnętrznym używa właśnie świecących diod klawiatury. Odpowiednio zmodulowane impulsy świetlne są w stanie przesyłać dane z prędkością do 45 bitów na sekundę, a w szczególnych przypadkach do nawet 130 bitów. Oznacza to, że w ciągu godziny można przesłać około 162 kilobity, czyli prawie 20 kibibajtów danych. Wydaje się to niewiele, lecz w przypadku eksfiltrowania ważnych danych zupełnie wystarcza, aby np. wyciągnąć treść poufnego dokumentu czy istotne pliki kodu źródłowego oprogramowania.

Same LED-y mają rzędy większe przepustowości transmisji (dochodzące nawet do 4 kilobitów na sekundę), ale wraz ze wzrostem odległości i urządzenia używanego do odczytywania sygnałów dochodzi do powstawania błędów.

W warunkach doświadczalnych użyto kamer monitoringu biurowego, aby z odległości do 9 metrów przez szybę odbierać przesyłane dane.

Ten rodzaj wyprowadzania danych nie będzie popularnie wykorzystywany przez cyberprzestępców, jednak tematem powinni zainteresować się ci, których środowiska pracy zakładają separację sprzętu komputerowego właśnie w celu zapobiegania kopiowaniu danych.

12.00

„Κυβερνοεπίθεση υπέστη το Μητρώο Ονομάτων Internet με κατάληξη .gr και .ελ”, Techblog

Na jednym technologicznych, greckich blogów jakiś czas temu, bo w kwietniu, ukazał się alarmujący wpis pod tytułem „Κυβερνοεπίθεση υπέστη το Μητρώο Ονομάτων Internet με κατάληξη .gr και .ελ”. Okazuje się, że abonenci rejestratora domen .gr i .el otrzymali e-maila, w którym informuje się ich o incydencie bezpieczeństwa, a mówiąc wprost: ataku, w dodatku skutecznym, wymierzonym w instytucję ICS-Forth, której zadaniem jest obsługa techniczna greckich domen najwyższego poziomu. Odpowiedzią na atak było ponowne wygenerowanie kodów autoryzujących do domen i zresetowanie haseł wybranych użytkowników.

Kilka dni temu zespół Cisco Talos opublikował raport, w którym za winnego naruszeń uznaje grupę Sea Turtle, odpowiedzialną za wiele wcześniejszych, masowych przejęć domen. Zazwyczaj intruzi z Morskiego Żółwia (bo tak brzmi po polsku nazwa tej grupy) atakują podatne na występowanie usterek bezpieczeństwa, publiczne usługi firm, a potem starają się uzyskiwać dostęp do serwerów nazw domenowych. Tu scenariusz był nieco inny, ponieważ ofiarą ataku był sam rejestrator.

Istotną cechą działania tej grupy cyberprzestępców jest bardzo szybkie wejście i wyjście z systemów. Ataki trwają od kilku godzin do maksymalnie kilku dni. Utrudnia to namierzenie sprawców, szczególnie gdy weźmiemy pod uwagę, że nie każdy codziennie sprawdza systemy DNS.

Pikanterii sprawie dodaje fakt, że sondy sieciowe Cisco Talos wykrywały aktywność typową dla Sea Turtle jeszcze kilka dni po tym, gdy grecki rejestrator opublikował oświadczenie i wysłał do kilkuset tysięcy użytkowników e-maila z ostrzeżeniem.

14.02

„Silent Mac update nukes dangerous webserver installed by Zoom”, Ars Technica

Ostatnia aktualizacja zabezpieczeń systemu Mac OS X zawiera instrukcje, które usuwają nieudokumentowaną usługę sieciową instalowaną w systemach przez popularne oprogramowanie Zoom, służące do prowadzenia telekonferencji.

W zeszłym tygodniu mogliśmy obserwować, jak przez Internet przetacza się fala ostrzeżeń i wiadomości w związku ze znalezieniem poważnej luki zabezpieczeń w Zoomie – aplikacji, która umożliwia prowadzenie dwu- i wieloosobowych telekonferencji i wideokonferencji. Okazuje się, że odpowiednio spreparowana strona WWW mogła skłonić oprogramowanie do tego, aby automatycznie przyłączyło się do spotkania o podanym numerze, a następnie zaczęło transmitować to, co usłyszy mikrofon i zobaczy kamera wbudowana w laptopa.

Odkrywca tej luki zgłosił ją producentowi już ponad 3 miesiące temu, jednak błędu nie wyeliminowano, co więcej, w systemach Mac OS X aplikacja instaluje usługę sieciową, która pozostaje w systemie nawet wtedy, gdy sama aplikacja została usunięta przez użytkownika. Dzięki temu serwisowi można nakłonić Maka do cichego przywrócenia Zooma, jeżeli tylko znajdujemy się w tej samej lokalnej podsieci.

Koncern Apple zaniepokojony takim rozwojem spraw zdecydował, że najnowsza aktualizacja zabezpieczeń Mac OS-a X wyłączy i usunie potajemnie instalowany serwis, natomiast tydzień temu pojawiła się długo wyczekiwana poprawka od Zooma.

15.42

„Facebook is embedding tracking data inside the photos you download”, TechStartups

W serwisie TechStartups znajdziemy ciekawą analizę dotyczącą umieszczania przez Facebooka metadanych w przesyłanych przez użytkowników obrazach w cyfrowych formatach. Już w roku 2015 w Sieci pojawiły się pytania o celowość dodawania przez Facebooka pól znacznikowych IPTC do umieszczanych zdjęć. Pierwsze z nich to Special Instruction, a drugie to Original Transmission Reference. Ta rodzina metadanych służy zazwyczaj programom do obróbki grafiki. Można w nich zapisywać informacje autorskie, tagi, zestawy ustawień użytych podczas przetwarzania w programie graficznym, profile kolorów itp.

Okazuje się, że z dużym prawdopodobieństwem wartości tych dodatkowych pól mogą być wykorzystywane do śledzenia sieci społecznościowych użytkowników nawet poza serwisem Facebook. Zapamiętując unikatowy znacznik nadany użytkownikowi podczas umieszczania przez niego zdjęcia, a potem badać, gdzie w Internecie pojawi się jego kopia. Gdyby ktoś pobrał taką fotografię i znowu umieścił w serwisie Facebook, będzie można ustalić, że istnieją relacje między osobami przekazującymi ją sobie nawet poza serwisem.

Zastanawiającym jest, jak tego typu praktyki, jeżeli mamy z nimi do czynienia w UE, mają się do Rozporządzenia o Ochronie Danych Osobowych.

17.12

„Pierwsza decyzja sądu w sprawie SIN vs Facebook: internetowy gigant nie może utrudniać organizacji działalności w swoich portalach”, Fundacja Panoptykon

A gdy jesteśmy przy Facebooku, mamy ciekawą wiadomość z naszego podwórka. Fundacja Panoptykon informuje o decyzji Sądu Okręgowego w Warszawie w sprawie pozwu Społecznej Inicjatywy Narkopolityki przeciwko Facebookowi.

W maju Inicjatywa pozwała społecznościowego giganta o naruszenie dóbr osobistych, które miało polegać na nałożeniu blokad treści, które – zdaniem organizacji — ograniczały jej możliwość społecznej komunikacji i wyrażania poglądów. Decyzją sądu Facebook nie może na czas trwania procesu usuwać wpisów, stron, grup i kont zakładanych przez stowarzyszenie. Poza tym w ramach zabezpieczenia powództwa zobowiązano Facebooka do zachowania usuniętych materiałów, aby w razie udowodnienia racji stowarzyszenia mogły zostać przywrócone.

Temat prywatnej cenzury jest ciekawy. Z jednej strony prywatna firma może ustalać sobie regulaminy i wybierać z kim będzie współpracowała. Z drugiej strony, jeżeli ta firma jest operatorem a nie wydawcą, to czerpie korzyści z tego, że nie zajmuje się tak bardzo, nie odpowiada za treści, które użytkownicy umieszczają. Wyobraźmy sobie sytuację, w której rozmawiamy przez telefon, a nagle głos operatora informuje nas, że nie podobają mu się nasze poglądy, albo to że używamy wulgarnego języka i rozłącza nas z osobą, do której zadzwoniliśmy. Jeszcze bliższa analogia: wyobraźmy sobie, że tworzymy stronę WWW, ale właściciel hostingu tnie nam pasmo i usuwa wybrane podstrony, zastępując je komunikatem „Temat z czarnej listy, zamykam”, ponieważ ma inne zdanie na publikowane kwestie. Może platformy społecznościowe powinny być wydawcami i wtedy ta rola użytkownika, jako dostarczyciela treści, z których moderatorzy serwisu wybierają właściwe, byłaby jasna, a dodatkowo sprawa odpowiedzialności za zawartość stron dosyć uproszczona.

To już wszystko w tym odcinku cotygodniowej, losowej prasówki. Do usłyszenia niebawem.

A custodianami dzisiejszego odcinka byli Adam Ch. i Piotr K.

Pozdrawiam!

Jesteś w sekcji

comments powered by Disqus