Turcja, Syria i Egipt świadomie narażały swoich obywateli na pobieranie spyware
#1
[Obrazek: Bad-Traffic-Image-12-1024x611.png]

Znalazłem na DP interesujący artykuł, który jest na tyle ważny, że postanowiłem się informacją podzielić. To chyba jedyny szerszy opis w polskim internecie tej afery...to chyba dobre określenie...tym ważniejszy, że niestety niektórzy nasi prominentni politycy mają wyraźną sympatię dla pana R.T. Erdogana. Poniższe cytaty pochodzą z DP.
Cytat:Pobieranie popularnego oprogramowania na Windows źle się skończyło dla tysięcy internautów z Turcji, Syrii i Egiptu – zainteresowani Avastem, CCleanerem, Operą i 7-Zipem prze wiele tygodni otrzymywali uzłośliwione wersje tych programów, z modułami szpiegowskimi i koparkami kryptowalut. Co najgorsze, pobierali je w dobrej wierze z oficjalnych stron producentów. Kolejny z dogmatów branży bezpieczeństwa okazał się mitem: oficjalne strony producentów nie są w stanie zagwarantować bezpieczeństwa, jeśli samo pobieranie odbywa się po nieszyfrowanym protokole HTTP.

Odkrycie badaczy The Citizen Lab jest naprawdę niepokojące i pokazuje, jak bardzo Google miało rację ze swoim projektem zaszyfrowania całego ruchu internetowego. Skanując sieci, badacze ci odkryli systemy głębokiej inspekcji pakietów (DPI) w infrastrukturze największych operatorów telekomunikacyjnych Turcji i Egiptu – Türk Telekom i Telecom Egypt. Zadaniem tych systemów było przechwytywanie niezaszyfrowanego ruchu sieciowego internautów.

Te tureckie systemy zajmowały się podmienianiem pobierań niegroźnych, popularnych programów na ich uzłośliwione wersje. Choć bowiem strony producentów były dostępne po HTTPS, to jednak użytkownicy domyślnie byli przekierowywani do hostów serwujących pliki po HTTP. Tak samo działo się w wypadku popularnej strony-katalogu Download.com, należącej do CNET-u.

W ten sposób użytkownicy dostawali na swoje komputery instalatory zawierające początkowo spyware FinFisher, tworzone na zamówienie klientów rządowych i jak twierdzi jego producent, przeznaczone jedynie do „zgodnej z prawem inwigilacji”. Później w tureckiej operacji zaczęto stosować autorskie spyware, przypominające ataki StrongPity z 2016 roku, wymierzone przede wszystkicm w użytkowników z Belgii i Włoch. Tym razem tureckim operatorom chodziło m.in. o przestrzeń adresową regionów kontrolowanych przede wszystkim przez kurdyjskie milicje, ale nie tylko – niektóre z ataków były wymierzone też w internautów z Syrii.

Operacja w Egipcie była technicznie podobna, choć prowadzona z wyraźnie z innych pobudek. Tam przekierowywano użytkowników z sieci dziesiątków dostawców internetowych do stron z reklamami i skryptami koparek kryptowalut, ewidentnie tylko po to, aby zarobić na nich pieniądze.

Co z tego wynika dla zwykłego internauty z Europy? Całkiem sporo. Charakterystyka tych ataków wskazuje, zdaniem badaczy z The Citizen Lab, na wykorzystanie systemów pośredniczących Packet Logic firmy Sandvine. Są one w stanie niemal dowolnie kształtować ruch internetowy na ogromną skalę – nie tylko priorytetyzując i opóźniając pakiety, ale też blokując określone typy ruchu czy wstrzykując w ruch ten własne pakiety, o logowaniu tego wszystkiego nie wspominając.

Nazwa Sandvine mało komu coś mówi, ale wystarczy spojrzeć na jej poprzednią nazwę, a wszystko stanie się jasne. Wcześniej firma ta nazywała się Procera Networks i zajmowała się sprzedażą sprzętowych narzędzi do kształtowania ruchu sieciowego dla mniejszych i większych telekomów. W 2015 roku została przejęta przez prywatny fundusz Francisco Partners i usunięta z nowojorskiej giełdy. W 2016 roku wyciekła informacja, że klientem Procery został turecki rząd, który zakupił od firmy narzędzia do głębokiej inspekcji pakietów, by wydobywać loginy, hasła i adresy IP osób odwiedzających niezaszyfrowane witryny. Protestujący przeciwko tej transakcji pracownicy firmy zostali podobno zwolnieni.

Oznacza to, że praktycznie każde niezbyt zaawansowane technicznie państwo może sobie dziś pozwolić na wielkoskalowe ataki przeciwko swoim internautom. Nie trzeba mieć być Stanami Zjednoczonymi z ich NSA, rozwiązania skrojone na potrzeby pomniejszych państw są do kupienia za akceptowalne dla rządowego klienta pieniądze. Taki PacketLogic 15000, przeznaczony oficjalnie do „ulepszenia doświadczeń abonentów”, jest w stanie jednocześnie „obsłużyć” do 10 mln użytkowników, sterując ich ruchem internetowym.

Jak się zabezpieczyć? Polecić możemy przede wszystkim HTTPS Everywhere – rozszerzenie które wymusza tam gdzie to tylko możliwe stosowanie szyfrowanego protokołu HTTPS, a jeśli nie jest to możliwe (serwer nie wspiera szyfrowanych połączeń), to przynajmniej ostrzega o niebezpieczeństwie.
Źródło
https://www.dobreprogramy.pl/Chcieli-dob...86718.html

Informacja źródłowa The Citizen Lab (także źródło obrazka na początku)
https://citizenlab.ca/2018/03/bad-traffi...key-syria/

Sprawa ma swój wątek też na MT, gdzie znalazłem ciekawą informację jednego z użytkowników - Sluyguy to człowiek z Fortinet

Cytat:ISP's in the USA have been doing similar things for decades - or even longer.

Take the curious case of NebuAD, a CIA front company masking themselves as an advertising revenue booster for ISPs. NebuAD was sort of like PHORM. It uses hardware installed at the ISP to inject into packets and perform redirections. It also infected browsers with exploit kits. This went on for quite some time without any regard for customers and their privacy. Another one was Paxfire, yet again an intelligence funded organization out of Reston Virginia posing as an ad-revenue firm which utilized NX redirects on mis-typed URL's from ISP customers, redirecting to Paxfire servers for injection. Then we can't forget Room 641A fiber taps on all AT&T customers.

Don't kid yourself, almost ALL ISP's in the USA continue to do this stuff. Almost all phone providers do it. If you trust your ISP I commend you. I've been a DOCSIS Engineer Advisor for a couple ISP's, and know full well not to trust them. Unfortunately there is no real answer to the problem other than our regulators getting some guts and putting privacy first for Americans.
https://malwaretips.com/threads/turkish-...ost-717518
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Obawiam się, że Syryjczycy mają co innego na głowie a nie jakieś tam spajłer.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
Takie postępowanie w europie może budzić sprzeciw ale w tych państwach to normalka.Przypomnę że Turcja to członek NATO a pani kanclerz w swoim czasie była w głębokiej przyjaźni z przywódcą tego państwa ale pamieć bywa wybiórcza jak widać.
Ważne jest co inne ,firma Sandvine i jej powiązania z Procera Networks, dane klientów itp. w wyniku zmian właściciela stają się wykorzystywane w niecnych celach.
Odpowiedz
#4
Alee...tu nie było nic o Niemczech...no chyba, że można przypomnieć, jak kilka lat temu ich służby też montowały rządowe oprogramowanie szpiegowskie.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości