Már korábban is felmerült, hogy a magyar titkosszolgálatok is használják a Gamma nevű cég FinSpy nevű kémprogramját, most viszont egyértelmű bizonyítékokat találtunk erre. Ismeretlen hekkerek ugyanis feltörték a cég honlapját, majd mindent, amit ott találtak, feltették torrentre. A letölthető tartalmak között ott a magyar Nemzetbiztonsági Szakszolgálat levelezése is. Volt, hogy nem boldogultak a telepítéssel, vagy éppen elromlott a programhoz kapott laptop. Problémáik másoknak is voltak. Kicsengő kémhívás és követésnél megjelenő GPS-jel - ilyen egy állami kémprogram.
 |
A FinSpy és Magyarország kapcsolatáról eddig annyit lehetett biztosan tudni, hogy a programnak itthon is vannak irányítószerverei. A most kiszivárgott 38 gigás csomag dokumentumai ennél sokkal mélyebbre engednek betekintést. Bár ne tennék. A hatalmas méret egyébként abból adódik, hogy a dokumentumok, forráskódok mellett például videófájlok is voltak a szerveren, szabályos termékbemutató kisfilmek a kémprogramok használatáról, ezeket a cikkbe beágyazva is megnézheti most.
Zoltan, a kiberkém
Az egész weboldal tartalmát tömörítő torrent fájl nemcsak a program dokumentációját, de azt a levelezést tartalmazza, ami a megrendelők és a cég között folyt. Az ott hagyott levelekből egyértelműen látszik, hogy a FinSpyt használja a magyar szakszolgálat is, ők voltak az egyetlenek, akik úgy írták alá a leveleket, hogy Zoltan Hungary SSNS, ami az országon kívül azt is elárulja, hogy Zoltán az SSNS, azaz a Special Service of National Security, magyarul az Nemzetbiztonsági Szakszolgálat alkalmazottja. Felettese pedig Balogh Péter mérnök ezredes. A programot a torrentes fájl alapján több tucat ország több tucat szolgálata használja, de a kiszivárgott levelezésben ő volt az egyetlen, aki a munkahelyi, nbsz.gov.hu végű, kormányzati e-mail címét adta meg kapcsolattartásra. A névvel bukott még Nasser Alnuaimi, a katari és Sanjin Custovic, a bosznia-hercegovinai állami szolgálat munkatársa is.
Dear support, nem megy a telepítés
A kiszivárgott információk alapján Zoltan gyakori vendége volt a FinSpy helpdeskjének, a magyar szakszolgálat operatív emberi többször futottak bele problémába, amikor éppen sietősen kémkedni kellett volna.
Egyszer például nem sikerült megfelelő, fertőzött telepítőt előállítani:
Dear Support Team,
We cannot generate either bootable iso image or bootable infection dongle, I attached the error massage and our software version is 4.40.1427 Please help us find a solution,
Regards,
Zoltan Hungary SSNS
Magyarul: nem sikerült fertőző CS-t előállítani. A hibajegyhez csatoltak egy képet is, az is megvan:
 |
A "support" válaszából az is kiderül, mi volt a baj: nem írták alá a megfelelő digitális aláírással a szoftvert.
Mivel ez a telepítés részt megoldotta, nyugodtan kijelenthetjük, hogy ennyi volt a probléma. Pedig ez olyan dolog, amit rendszerint a hekkerkedő tizenévesek is tudnak: nem véletlenül írnak alá minden fontos szoftvert, pont azért, hogy ne lehessen módosított verziókkal visszaélni (mondjuk kémkedni a kémkedők után).
A telepítés után a magyar szolgálat újabb problémába ütközött, a levelezés alapján ezt már csak Skype-os beszélgetés alapján sikerült megoldani. Apropó, aki a Nemzeti Biztonsági Szolgálattal csevegne, a lego256976@gmail.com címet vegye fel Skype-on, akit pedig a kémprogram érdekel, a finsupport1 néven próbálkozhat.
A termékbemutató szerint a kémkedés tényleg úgy megy, mint a filmekben:
Tönkrement a laptop
A törpök élete nem csak játék és mese, és nincs ez máshogy a magyar titkosszolgálatoknál sem. Egy alkalommal például, amikor nagyon siettek volna a kémkedéssel, tönkrement a Lenovo laptop, amit a kémprogram gyártójától kaptak. Kicserélték a merevlemezt, de így sem boldogult a rendszer.
Alább a panaszos angol levél rövidített változata:
Dear Martin,
Today the Lenovo e520 laptop you had given us had died. Since we were/are in a hurry we pulled out the HDD and switched it into another Lenovo but L420 laptop. Windows7 started, we reinstalled the graphic drivers and chipset drivers also. [...] it cannot create infections. Ill attach a screenshot. In the meantime we started a fresh windows7 install on another laptop, but got another error. [...] Do you have any idea what should we do?
best regards, Zoltan
A megoldásról sajnos nem tudunk, nem a honlapon beszélték meg, hanem TeamVieweren, ahogy az egy másik beszélgetésből kiderül. Utóbbi szoftverről azt kell tudni, hogy a hekkerek ki-be járnak rajta, konkrétan Magyarországot is érte támadás ezen keresztül. Minden bizonnyal jó választás állami kémprogramok telepítési gondjainak megoldásához. Esetleg a leendő megfigyelt is besegíthet, ha úgy adódik.
A legfrissebb levelezés, amit a kémprogram "supportja" és a magyar szolgálat között található, 2014. május 23-án keletkezett, ami valószínűsíti, hogy a programot még mindig használják: igaz, már augusztus van, de valószínűleg a hekkelés sem volt teljesen friss, és korábban is voltak több hónapos kimaradások a kérdések között.
Az ügynöknek elég a program meg a hotel nyílt wifije, megint, mint a filmekben:
Véletlenül telefonál a lehallgató
Bár a magyarok a levelezés alapján gyakori vendégek voltak a supportnál, igazságtalanság lenne csak az ő ténykedésüket kiemelni. A legtöbb hibajelentő nem olyan problémákba ütközött, mint magyar kollégáik, főleg programhibákat jelentettek, amiket a következő kiadásban javítottak is. Akadtak azért olyan titkosügynökök is, akik ravasz álcázási trükként a 12 évesek fogalmazási készségét vették fel, akik nem tudnak tőmondatnál hosszabban írni, és halmozzák az írásjeleket. Elég rossz belegondolni, micsoda hatalom van a kezükben.
Íme egy példa:
After updating from version 4.32 to 4.40 I have noticed that you have added a new field into the meta file called Record ID, this is great !! but in some case i have some issue, for example, in a day a have multiple keylogger sessions, but in some case the record id is different for the same day, without a master reboot see attached file for more inforamtion.
A másik elképesztő dolog, hogy milyen programhibákat jelentettek a felhasználók. Nyilván minden szoftvert, így a kémprogramokat is emberek készítik, de ha mondjuk egy - divatos példával élve - terrortámadás megakadályozásáról van szó, azért elég nehéz elnézni a csúcs kémprogramnak, hogy bizonyos verzióját simán felismerte
- az AVAST vírusirtó,
- a Google Drive bépített víruskeresője,
Sőt, a Microsoft beépített vírusirtója, az Essentials is.
- az AVAST vírusirtó,
- a Google Drive bépített víruskeresője,
Sőt, a Microsoft beépített vírusirtója, az Essentials is.
Az androidos verzió pedig lehallgatásra szánt kamuhívás helyett (ami annyit tud, hogy bekapcsolja a mikrofont, talán a kamerát is) valóban kicsörgött, 8888-ként kijelzett telefonszámmal.
Már csak hab a tortán az a hiba, ami megakadályozta, hogy a speedtest.net nevű sebességmérő oldal rendesen mérje a feltöltési sebességet. Aki mostantól ebbe fut bele, kezdhet gyanakodni. Ahogy az is, akinek indokolatlanul megjelent a GPS-ikon a telefonján, ugyanis a program ezt is produkálta néha.
Elég egyetlen álcázott frissítés, és annyi a BlackBerry biztonságának:
Frissítés után többen fellélegezhettek: volt olyan, hogy a célpont gépe nem jelentett többé a szolgálatnak, miután áttértek új verzióra. Jól járt az is, aki két monitort használt, és a másodikra tette ki az érzékeny adatait: jó ideig nem tudtak róla lementeni semmit.
A jelszógenerálók sem segítenek
A FinSpy nem azért értékes szoftver, mert olyat tud, amit más programok ne tudnának, hanem mert folyamatosan dolgoznak rajta: az eddigi bizonyítékok alapján az egyébként nagyon igényesnek tartott Vupen csapattól vásárolnak friss sebezhetőségeket, amiket beleépítenek a szoftverbe.
A felhasználók pedig gyakran kérnek újításokat: például valaki olyan letöltési funkciót szeretne a programba, ami elküldhető nem online gépnek is, aztán elindul, ha a címzett felmegy a netre, és folytatódik akkor is, ha megszakadna a kapcsolat.
Kérés volt az is, hogy a program elkapja a Lastpass és társai által létrehozott jelszavakat is: ezek úgy működnek, hogy felhasználónak csak egy bonyolult mesterjelszót kell megjegyeznie, a program pedig böngészőkiegészítőként generál még bonyolultabb darabokat minden egyes regisztrációhoz, aztán be is gépeli őket, így a felhasználó anélkül tud belépni a szolgáltatásokba, hogy akár ő maga tudná a jelszót. Ezt a fejlesztést áprilisban kérték, valószínűleg már nincsenek biztonságban a programot használók a titkosszolgálatok elől.
(Index nyomán)
