Большой передел мира
267,240,283
522,444
|
DeC ( Профессионал ) |
| 09 ноя 2017 22:05:17 |
WikiLeaks: ЦРУ маскировало работу своих вирусов под «Лабораторию Касперского»
новая дискуссия Новость 718
9 ноября 2017, 20:47
Специалисты ЦРУ США создали код, который позволяет маскировать работу вредоносных программ спецслужбы под другие организации и фирмы, в частности «Лабораторию Касперского», сообщает WikiLeaks.
Инструмент ЦРУ называется Hive, его задача в том, чтобы при выявлении вируса на компьютере проверка не указала на ЦРУ. Это делается за счет того, что Hive относит работу вредоносных программ к разным доменам, арендованным спецслужбой на общедоступном сервере, передает РИА «Новости».
При этом используемые домены подозрительными не выглядят. Вся информация, которую спецслужба получает с помощью вредоносных программ, перенаправляется в базу данных ЦРУ. Весь остаточный трафик находится на «маскировочном» сервере.
При этом сертификаты аутентификации программных закладок, созданные ЦРУ, имитируют те, что используются реально существующими компаниями и организациями. Так, порталу WikiLeaks известно о трех случаях имитации работы вредоносных программ под сертификаты компании «Лаборатория Касперского».
Новые данные о ЦРУ опубликованы в рамках нового проекта WikiLeaks под названием Vault 8. В нем содержится исходный код программ ЦРУ и анализ их работы.
В марте WikiLeaks начал публикацию секретных документов ЦРУ под общим названием Vault 7, которые касаются технологий шпионажа спецслужбы в интернете.
Советник президента России по вопросам развития интернета Герман Клименко считает, что технически сообщение WikiLeaks выглядит вполне правдоподобно, «допустимо», и ЦРУ действительно могло таким образом скрывать источник вирусов. «Можно ли как-то придумать подмену и выдавать себя за другого? В интернете – да. То есть вы вскрыли серверы, получили к ним доступ. А происходило ли это на самом деле? К сожалению, ответственно заявить крайне сложно», – сказал Клименко газете ВЗГЛЯД.
Советник назвал эту ситуацию «обыкновенной», отметив, что когда государства не сотрудничают друг с другом, то совершенно невозможно «найти концы» в подобных историях.
«Если после обычного преступления мы всегда можем найти концы, куда бы ни уехал преступник, потому что существует Интерпол, то в этой сфере могут быть любые допуски, любые ответы. Ситуация настолько уже анекдотична! Если мы всерьез рассматриваем ситуацию, что на избрание Трампа можно было повлиять за 100 тысяч долларов, то, наверное, уже можно «разжигать» во все стороны. Не удивлюсь, что и этот сюжет отыграют все стороны, пользуясь тем простым обстоятельством, что никто ничего проверить и доказать не может», – предположил Клименко.
Представитель самой «Лаборатории Касперского» Андрей Булай пообещал газете ВЗГЛЯД прокомментировать сообщение WikiLeaks в пятницу.
Источник
Специалисты ЦРУ США создали код, который позволяет маскировать работу вредоносных программ спецслужбы под другие организации и фирмы, в частности «Лабораторию Касперского», сообщает WikiLeaks.
Инструмент ЦРУ называется Hive, его задача в том, чтобы при выявлении вируса на компьютере проверка не указала на ЦРУ. Это делается за счет того, что Hive относит работу вредоносных программ к разным доменам, арендованным спецслужбой на общедоступном сервере, передает РИА «Новости».
При этом используемые домены подозрительными не выглядят. Вся информация, которую спецслужба получает с помощью вредоносных программ, перенаправляется в базу данных ЦРУ. Весь остаточный трафик находится на «маскировочном» сервере.
При этом сертификаты аутентификации программных закладок, созданные ЦРУ, имитируют те, что используются реально существующими компаниями и организациями. Так, порталу WikiLeaks известно о трех случаях имитации работы вредоносных программ под сертификаты компании «Лаборатория Касперского».
Новые данные о ЦРУ опубликованы в рамках нового проекта WikiLeaks под названием Vault 8. В нем содержится исходный код программ ЦРУ и анализ их работы.
В марте WikiLeaks начал публикацию секретных документов ЦРУ под общим названием Vault 7, которые касаются технологий шпионажа спецслужбы в интернете.
Советник президента России по вопросам развития интернета Герман Клименко считает, что технически сообщение WikiLeaks выглядит вполне правдоподобно, «допустимо», и ЦРУ действительно могло таким образом скрывать источник вирусов. «Можно ли как-то придумать подмену и выдавать себя за другого? В интернете – да. То есть вы вскрыли серверы, получили к ним доступ. А происходило ли это на самом деле? К сожалению, ответственно заявить крайне сложно», – сказал Клименко газете ВЗГЛЯД.
Советник назвал эту ситуацию «обыкновенной», отметив, что когда государства не сотрудничают друг с другом, то совершенно невозможно «найти концы» в подобных историях.
«Если после обычного преступления мы всегда можем найти концы, куда бы ни уехал преступник, потому что существует Интерпол, то в этой сфере могут быть любые допуски, любые ответы. Ситуация настолько уже анекдотична! Если мы всерьез рассматриваем ситуацию, что на избрание Трампа можно было повлиять за 100 тысяч долларов, то, наверное, уже можно «разжигать» во все стороны. Не удивлюсь, что и этот сюжет отыграют все стороны, пользуясь тем простым обстоятельством, что никто ничего проверить и доказать не может», – предположил Клименко.
Представитель самой «Лаборатории Касперского» Андрей Булай пообещал газете ВЗГЛЯД прокомментировать сообщение WikiLeaks в пятницу.
Источник
ОТВЕТЫ (11)
|
k0t0b0i ( Слушатель ) |
| 09 ноя 2017 23:45:59 |
Цитата: DeC от 09.11.2017 22:05:17
Сцуко, эта бездарь из РИА "Новости" порвала мне мозг. Ну не смыслишь ты ни фига в том, о чем пишешь - так обратись за консультацией в любую профильную контору, ее пиар-служба тебя еще и отблагодарит. На хрена так-то позориться?
На самом деле сообщение вот о чем. ЦРУ создало инфраструктуру, с помощью которой "вирусы в погонах" сбрасывают информацию в Ленгли. В разных точках мира сделаны серверы с "невинным" контентом и поддержкой HTTPS. Если на сервер заходит по HTTP или HTTPS кто-то посторонний, он видит что-нибудь безобидное типа новостей, котиков или порнухи. Вирус общается только по HTTPS, и при установке соединения предъявляет свой клиентский сертификат (опциональный параметр соединения), так что сервер может убедиться, что с ним общается именно вирус, а не, например, вирусный аналитик, который пытается вскрыть схему взаимодействия.
Так вот, в программном коде демо-версии системы, попавшей в лапы WikiLeaks, в поле "O=" сертификата указана не стандартная для таких случаев "Acme, Inc", а "Kaspersky Lab". Ужос-ужос, прям вот мегапровокация. Клименко прокомментировал грамотно, но в сочетании с безграмотным журналистским текстом его комментарий выглядит, мнэ..., как будто он неесколько не в теме. Прям хоть иск за ущерб деловой репутации подавай.
Оригинал новости
|
|
Советчик ( Практикант ) |
| 10 ноя 2017 01:27:34 |
Цитата: DeC от 09.11.2017 22:05:17
С практической точки зрения это означает, что центр сертификации сидит под ЦРУ и их сертификаты ничего не значат. Просто потому что могут быть выданы кому угодно в необходимом количестве экземпляров.
|
|
k0t0b0i ( Слушатель ) |
| 10 ноя 2017 08:41:28 |
Цитата: Советчик от 10.11.2017 01:27:34
Основная слабость PKI в том, что сертификаты корневых центров сертификации самоподписанные. Если я даю вам сертификат корневого CA, у вас нет никаких гарантий, что он подлинный, кроме моего честного слова. В операционка вы верите на слово разработчикам операционок, а веб-серверу сертификат якобы корневого УЦ подсовывает его админ.
В данном случае в качестве сертификата корневого CA используется самоподписанные сертификат якобы Thawte. Сервер ЦРУшный, так что подписать и подсунуть ему такой сертификат ЦРУ могло от имени любой конторы
|
|
Советчик ( Практикант ) |
| 10 ноя 2017 10:23:00 |
Цитата: k0t0b0i от 10.11.2017 08:41:28
Я плакалЬ. Оказывается надежность всей системы сертификатов околонулевая. Чисто в силу системных проблем.
|
|
qurvax ( Слушатель ) |
| 10 ноя 2017 10:42:58 |
Цитата: k0t0b0i от 10.11.2017 08:41:28
Я извиняюсь, а у кого-то уже есть обьективные причины думать, будто бы комерческая контора-держатель CA откажется от сотрудничества со спецслужбами гос-ва, в котором она резидент/живут ее владельцы? Если нет, то об чем вообще разговор? Краеугольный камень PKI - доверие.
|
|
k0t0b0i ( Слушатель ) |
| 10 ноя 2017 10:57:53 |
Цитата: qurvax от 10.11.2017 10:42:58
А почитать оригинал публикации религия не позволяет? Никакая коммерческая контора никакой сертификат не выписывала. Такой сертификат может сделать любой человек.
Цитата$ openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt
Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: Washington, D.C.
Locality Name (eg, city) []: Langley
Organization Name (eg, company) [Internet Widgits Pty Ltd]: CIA
Organizational Unit Name (eg, section) []: Certifiation Autority
Common Name (e.g. server FQDN or YOUR name) []: cia.gov
Email Address []: devnull@cia.gov
Вау, у вас теперь есть самоподписанный "корневой сертификат удостоверяющего центра ЦРУ". Точно так же парни сгенерили самоподписанный сертификат "якобы Thawte" и подписанный его ключом сертификат "якобы Каспера".
Upd. Ого, Викиликс удалила поддельные сертификаты, которые еще час назад отображались. К чему бы это?
|
|
qurvax ( Слушатель ) |
| 10 ноя 2017 11:08:53 |
Цитата: k0t0b0i от 10.11.2017 10:57:53
Я несколько публикаций по этой теме прочел мельком, и у меня сложилось впечатление, что это тестирование. Я сам так тоже делал. И подумал я - а кто ж им мешает повесить туда нормальные сертификаты? Основываясь на моих скудных знаниях тематики спецслужб - никто особо не мешает, если будет надо. Это я так намекаю, что обсуждения "уязвимости PKI" в данном контексте выглядят, кхм, странно.
|
|
k0t0b0i ( Слушатель ) |
| 10 ноя 2017 11:35:03 |
Цитата: qurvax от 10.11.2017 11:08:53
А смысл? Основная задача разработки - создание системы публичных C&С-серверов, которые будут получать стыренные данные от вирусов и передавать их дальше в центр обработки.
ЦитатаHIVE is a back-end infrastructure malware with a public-facing HTTPS interface which is used by CIA implants to transfer exfiltrated information from target machines to the CIA and to receive commands from its operators to execute specific tasks on the targets.
Сертификаты нужны только для опознания "свой-чужой". Какие именно при этом будут использоваться сертификаты, для решения задачи неважно. Самоподписанных достаточно, обращение в сторонний сервис - это +1 ка каналам утечки информации о проекте, а как мы видим, с режимом секретности у парней и так кисло.
Для массовой же истерики самоподписанных "подложных" сертификатов хватит выше крыши: разбираться в деталях все равно никто, кроме небольшой кучки специалистов, не будет, а журналистская братия редко этих самых специалистов слушает.
Цитата: qurvax от 10.11.2017 12:08:53Основываясь на моих скудных знаниях тематики спецслужб - никто особо не мешает, если будет надо. Это я так намекаю, что обсуждения "уязвимости PKI" в данном контексте выглядят, кхм, странно.
Оно тут совершенно неуместно. Просто, как оно обычно бывает, слово за слово... :)
|
|
Наблюдающий ( Практикант ) |
| 10 ноя 2017 13:30:57 |
Цитата: k0t0b0i от 10.11.2017 08:41:28
Есть еще одна слабость. А именно - потенциальная возможность иметь удобный backdor в криптографическую уже программу. И здесь можно иметь любые, супер-пупер надежные ключевые материалы, но если в той сертифицированной спецорганами программе, которая их использует, есть такой бакдор, то...
Как пример, люди занимающиеся компьютерной безопасностью в России прекрасно знают такое СКЗИ как "Верба-О". Я многократно общался про неё на разных междусобойчиках со спецами, но ответа реально не получил. А именно - Верба-О устроена таким образом, что шифрует данные не только на того парня, но и, по неотключаемому дефолту, на себя любимого. Шифрует текст она симметрично на случайном криптографическом разовом ключе. Это гарантирует надежность самого шифрования текста. А вот этот разовый ключ шифруется уже по ассиметричной схеме (все так и делают, типовое решение) и эти зашифрованные ключики (один из которых - "сам на себя") приклеиваются к зашифрованному файлу. Так вот, я не смог добиться простого ответа - как именно шифруется ключ шифрования в режиме "сам на себя". Если точно так же, как и на других абонентов ("свой секретный ключ" *"чужой открытый"), то получаем, что ключ шифрования сам на себя там лежит в полностью открытом виде, так как преобразование "свой секретный ключ"*"СВОЙ ОТКРЫТЫЙ" = 1. Для того, чтобы иметь действительно зашифрованный сеансовый ключ "сам на себя" надо преобразовывать его только со своим открытым ключом. И на этом останавливаться.
Так вот, я так и не смог добиться - как же именно Верба работает с такими ключами. Эта информация оказалась великой тайной. Отсюда вопрос доверия к подобной программе и всем её клонам. Вполне возможно, что мы можем иметь архинадежный криптографический алгоритм, правильную и эффективную его, собственно алгоритма, реализацию, надежные и (при правильном обращении) нескомпрометированные ключи, но в конечном итоге ключик может быть просто лежать "под ковриком", быть приклееным к файлу в открытом виде. Бери и используй его для расшифрования текста.
Отсюда - в криптографии очень важен вопрос доверия. Причем, ко всему...
|
Emperor_of_Unvierse ( Слушатель ) |
| 10 ноя 2017 16:32:39 |
Никакого. В надежном алгоритме шифрования раскрытие самого алгоритма не ведет к понижению стойкости. Ну разве только в конкретной реализации плюх поналяпали.
Что касается "мы вам не скажым как оно работает" то это детский сад трусы на лямках, и это "нискажым" будет держаться ровно на неуловимоджовости этой горбухи помноженной на экспириенс исследователя с отладчиком и дизассемблером с "рентгеном". Благо оный инструментарий у всех кого надо есть.
А задача "на себя и на того парня" решается несколько иначе.