Как може да се шпионира Skype? Опитът от египетските протести

Винаги съм смятал, че Skype е сигурна технология, с която мога да водя разговори, без да бъдат следени.

Работата ми е такава, че използвам данни, които не са общодостъпни и често става дума за информация, идваща от мои информатори в Йемен, Сирия, Египет, Тунис – ако данните бъдат усвоени, опасността за човека от другата страна, който ми помага, се увеличава. Е, явно ще помисля какво говоря по Skype. Моя приятелка и колежка в Global Voices, се занимава повече с проблеми на сигурността в Интернет, отколкото аз. Затова поисках тя да напише повече за Skype и как египетските служби са следели разговори между активисти.

Райна  живее между Париж и Мюнхен и е PhD по генетика и биоинформатика. Паралелно с това учи право на интелектуалната собственост. От няколко години насам работи с неправителствени организации по въпроси, свързани с Близкия Изток, свобода в интернет-пространството и феминистките движения. Публикува статии в различни медии, основно на френски и английски. Преводач е за Global Voices France. Следва нейният текст, от който аз лично научих нови неща, надявам се и вие.

От няколко месеца насам, пресата нарича събитията в Близкия изток “арабската пролет”. Много усукваха защо, как и каква е ролята на интернет в тези събития. Cофтуера Skype е много обичан от египетските активисти, които обменят поверителни данни и провеждат аудио и видео комуникации на атрактивни цени.

Всичко това би било чудесно, ако египетските тайни служби не бяха подслушвали.

Предполагам, че вие си спомняте деня, в който демонстрантите влязоха в помещенията на Амн ал Доула (Подземните затвори на ДС в Египет бяха отворени), египетската Агенция за Държавна сигурност, и установиха размера на съкровището от факти и бележки, събрани със забележително усърдие. Тези листинги съдържат подробна информация за и от разговори проведени по Skype, които агенти на Амн ал Доула са заловили.

И тук вероятно биха се появили учудени погледи: Skype би трябвало да бъде напълно сигурен, тъй като използва силно криптиране по време на предаването на данни, независимо дали става въпрос за файлове или глас. WikiLeaks разкриваше преди време също, че именно заради сигурността на комуникациите, Skype е предпочитан не само в Египет и Тунис, но и във Виетнам и Саудитска Арабия.

Едно изследване на Wall Street Journal Online, което произтича от тези данни е, че съоръжения, предназначени за прихващане на Skype са били предоставени от британската компания “Гама Интернешънъл” ООД. Техният софтуер FinSpy е това, което обикновено се нарича spyware (софтуер шпионин). Според официални данни и местен представител на Gamma, FinSpy е бил тестван миналата година от специализираните служби на Агенцията за Държавна сигурност.

Журналистите от WSJ Online са поискали от  Symantec да анализират  софтуера и резултатът показва, че става въпрос за уред за отдалечен достъп (‘remote access’).

Как това би могло да се случи? За да улесним разбирането, трябва малко обяснение за това как работи Skype. Да кажем, че Мария се обажда на Ани. Предадените данни са криптирани с единствен и безподобен  ключ, известен само на участващите компютри, и след това се прехвърлят чрез една мрежа peer-to-peer. По този начин, два компютъра разговарят помежду си директно и комуникацията не минава през сървърите на Skype или някаква друга централизирана телефонна система. Именно тези две характеристики правят един разговор по Skype труден за подслушване. Най-накрая, когато компютърът на Ани получава предадените данни, той ги декриптира и Ани вижда/чува/чете какво Мария има да каже.

Няколкото компании, които продават този тип шпионски инструменти не се показват особено словоохотливи относно начина, по който софтуерите процедират. Това, което те казват е, че шпионски софтуер (spyware) първо се инсталира на един компютър или смартфон, и след това той си присвоява  данни, предадени преди или след криптиране.

Веднага след като информацията за подслушванията в Египет се разпространиха, няколко френски специалисти по компютърна сигурност се занимаха със сирийския въпрос, а именно: как властта успява да си присвои акаунти във Facebook, Twitter, Gmail на опонентите си и как успява да ги идентифицира, за да бъдат те арестувани в последствие.  Резултатът е интересен.

Това е историята на един обикновен софтуер, който прави обратното на това, което претендира да прави. Ultrasurf е софтуерен прокси сървър, който е бил широко използван от сирийски дисиденти. Очакваното поведение, а именно укриване на идентичността на потребителите си, изглежда ефективна. Но в действителност, софтуера инсталира всичко, което позволява на сирийските правителствени агенти за сигурност точната идентификация на потребителите и тяхното близо следене. Тази сифилитична  версия на Ultrasurf е изключително разпространява по електронната поща, източникът на разпространението му би било нормално използване на имейла или Facebook.

Значи, версията, която е широко разпространена в Сирия, съдържа малко подаръче. Преименуван .jpg уж за да избяга разкриване от правителствените служби, файла заразява компютрите на опонентите с едни сладки Trojan.Backdoor.Hupigon5 (Sig-Id: 41437250) (идентификация със скенера IKARUS).

Поведението изглежда относително развито: пренасочване от 80 към SSL (съкращение от Secure Sockets Layer, е криптографски протокол за връзка клиент-сървър; протоколът осигурява защита на предаваната информацията между клиента и сървъра), данни капсулирани в тунел и най-вече промяна в регистъра на всички сертификати SSL. Така потребителите си мислят, че използват сигурна сесия, докато те всъщност предлагат на другите всичките си пароли.

Фирмата, която седи зад този софтуер не е много ясна. Също така, не се знае кой е зад тази доста сложна система за шпиониране, но вирусът е обновяван…

В заключение, ако ви се налага да установите неприкосновеността на комуникациите, използвайте адаптирани VOIP софтуери като например I Hear You (IHU), който предлага криптиране Blowfish/RSA.

Целият дъмп може да бъде намерен тук: http://reflets.info/wp-content/uploads/2011/06/traffic.pcap_.zip (експлоатация с Wireshark)

Пълен анализ на Ultrasurf: http://reflets.info/wp-content/uploads/2011/06/ultrasurf.txt

Ultrasurf: http://www.ultrareach.com/

Mideast Uses Western Tools to Battle the Skype Rebellion:

http://online.wsj.com/article/SB10001424052702304520804576345970862420038.html

Адрес на статията
Етикети: , , ,
Абонамент за известия при нови коментари на тази публикация

5 коментара

  1. Аз имам един въпрос: Тези гадинки само Windows системи ли заразяват?

  2. Малко вероятно е да могат да ти лепнат какво и да било на UNIX машина. Въпросът е, че ако ти лепнат нещо на windows-а какъвто и софтуер да ползваш неможеш да се спасиш от „подслушване“. Така че, дали е скайп или IHU няма никакво значение. Лошото по скоро е, че скайп е вече собсвеност на M$ на които е и windows-а, така че правете си сами изводите, дали не го купиха, защото им беше неудобен за подслушване. Не е тайна, че една от ключовите фигури в M$ има участие в друга фирма, която пък е с прякото участие на ЦРУ в нея.

  3. Кажи им на тия имената, да не звучи като теория на конспирацията :)

  4. В момента скайпа се следи на 60% като целта е до 2013 да може да се следи на 100%.Всяка ваша думичка няма да остане непрочетена така че по добре минете на друга програма

  5. Не използвам Скайп от две години, но не забравяйте, че целия трафик преминава през вашите доставчици, така че винаги има начин да ви прослушат информацията.

Отговори

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*
*