GCHQ foloseste Hacienda pentru a spiona serverele publice din 32 de tari
Potrivit ultimelor avertizari venite din partea lui Edward Snowden, GCHQ (British Spy Agency) foloseste propriul serviciu de scanare a porturilor care vizeaza servere din 27 de tari si partial din alte 5, in incercarea de a le putea exploata pentru propriile scopuri.
Probabil o parte dintre voi ati auzit de motorul de cautare Shodan. Daca nu, o puteti face acum. Shodan este un serviciu care cauta dispozitive conectate la Internet si afiseaza lista porturilor deschise prin care acestea sunt conectate, serviciile pe care le ruleaza, informatii despre ele si altele. Motorul de cautare Shodan este folosit in principal de majoritatea hackerilor, dezvoltatorilor si alte persoane curioase care cauta vulnerabilitati pe diverse sisteme cu porturi deschise conectate la Internet, precum servere, camere video cu IP, semafoare, sisteme SCADA si multe altele.
Si daca aproape „oricine” poate face asta, de ce nu ar face-o si serviciile speciale. Intr-un document top-secret dezvaluit recent de Heise, GCHQ foloseste Port-Scan ca parte a programului Hacienda pentru a scana porturile deschise (open ports) de pe toate serverele pubice din cele 32 de tari vizate pana in momentul de fata.
Foto: thehackernews.com
Open ports, sunt porti deschise catre serverul sau statiile de lucru tinta, conectate la Internet. Exista utilitare precum Nmap sau Zmap cu ajutorul carora tintele alese pot fi scanate si se poate vedea care porturi sunt deschise si care nu. Zmap de exemplu, poate scana intreaga plaja de adrese IPv4 in mai putin de o ora, cu ajutorul unui singur PC. In spatele fiecarui port deschis, exista o aplicatie sau serviciu capabil de a trimite si a primi date de la si catre client. Insa, asemenea aplicatii au multe vulnerabilitati sau bug-uri care pot fi exploatate pentru a avea acces la date sensibile sau a executa cod malitios prin atacuri de la distanta.
Ideea din spatele programului Hacienda este de a utiliza aceste vulnerabilitati pentru a transforma tintele in asa numitele ORBs (operational relay boxes). ORBs sunt folosite pentru a ascunde locatia atacatorului atunci cand sunt lansate atacuri. Astfel, GCHQ, NSA si altii asemenea lor, folosesc aceste ORBs pentru a-si ascunde urmele atunci cand doresc sa atace o tinta, sa fure date, etc.
Recentul raport secret care a iesit la iveala, arata ca inca din 2009, programul Hacienda a fost folosit pentru a scana total tintele din 27 de tari si partial din alte 5, program facut operational de „Five Eyes” Nations, incluzand pe langa GCHQ si NSA si Agentia de Spionaj din Canada, Australia si Noua Zeelanda. Tintele au inclus porturi care utilizeaza protocoale precum SSH (Secure Shell) si SNMP (Simple Network Management Protocol), folosite pentru acces remote si administrare retele. Raportul a fost scris de oamenii de incredere ai lui Edward Snowden, Jacob Appelbaum si Laura Poitras.
Accesul la baza de date Hacienda este coumun celor din „Five Eyes” si se face prin Mailorder, o cale secreta prin care acestia schimba datele colectate.
Raportul celor doi confidenti ai lui Snowden, mai sugereaza printre altele si contramasuri impotriva Hacienda. Astfel, una dintre masuri este TCP Stealth, care functioneaza prin adaugarea unei „passphrase” (formula de acces) pe dispozitivul utilizatorului si pe sistemul care are nevoie de protectie. In cazul in care formula de acces este incorecta, sistemul pur si simplu nu va mai raspunde iterogarilor.
Aceasta ultima dezvaluire nu mai impresioneaza si nici nu surprinde expertii in securitate, deoarece aceste instrumente se stie ca sunt folosite intens de hackeri, dezvoltatori si alti curiosi. Insa surprinde faptul ca Hacienda le foloseste la o scara asa de larga.