Hack společnosti Hacking Team: na seznamu klientů je i česká policie

6. 7. 2015
Doba čtení: 6 minut

Sdílet

Když hacknete „Nepřítele Internetu“ (jak je Hacking Team označován Reportéry bez hranic), je to dost dobrý kousek. Jenže…

Hacknout někoho, kdo se věnuje počítačové bezpečnosti a prodává bezpečnostní (ale také šmírovací a hackovací) nástroje, by mělo být hodně složité a náročné. Jak ale ukazuje čerstvý případ hacku společnosti Hacking Team, nejspíš to vůbec zas tak složité nebylo. O to je celý příběh poučnější.

Hacking Team jsou tvůrci technologií pro šmírování, známí například tím, že je Reportéři bez hranic zahrnuli na seznam Nepřátel Internetu. Vadí jim hlavně to, že firma dodává tyto technologie represivním režimům. Software jménem DaVinci je například schopný narušit šifrování mailů a souborů, nebo zasahovat do komunikace na internetu. 

Jak hack ukazuje (dostatek podkladů je v 500/400 GB dat sdílených přes torrent), prodej služeb represivním režimům je tvrdá realita. Na seznamu zákaznických zemí je Jižní Korea, Kazachstán, Saudská Arábie, Omán, Libanon či Mongolsko. Mimochodem, najdete tu i Českou republiku.

TIP: Kompletní uniklá data najdete například na ht.transparencytoolkit.org ve volně prohlížitelné podobě

V teoretickém přehledu zákazníků, který můžete najít na Pastebinu, tak pod „EU Clients“ najdete i velmi zajímavého klienta – má jím být „UZC Cezch Police“ s datem 31. prosince 2014 a příznakem „aktivní“. 

Byť jméno obsahuje překlep, mohlo by podle zkratky jít o tuzemský Útvar zvláštních činností služby kriminální policie a vyšetřování, který „provádí ve prospěch oprávněných bezpečnostních subjektů odposlech a záznam telekomunikačního provozu, sledování osob a věcí a další specializované úkony.“ Jde o všem o nepotvrzenou informaci, kterou se nám zatím nepodařilo ověřit.

Doplněno 7.7. 16:50 – Policie ČR oficiálně potvrdila, že software ke sledování používá – viz Policie ČR: Šmírovací software jsme koupili, ale vše je tajné, nic neřekneme.

Je totiž stále otázkou, kolik z uniklých dat je reálných a co mohou být podvrhy. Ať už podvrhy záměrné (například od konkurentů), nebo podvrhy od samotného Hacking Teamu. Je zcela běžné, že obchodní databáze mohou obsahovat daleko více zbožných přání, než reality, případně nemusí být aktualizované. S ohledem na objem dat je ale pravděpodobnější, že jde o reálná data získaná skutečně ze sítí Hacking Team.

Mezi uniklými dokumenty ale najdete i stopy, které na tuzemskou policii ukazují. Jak na Twitteru upozornil bezpečnostní expert Michal Špaček, jsou tu třeba faktury pro společnost Bull s.r.o. (nedávno sloučená s firmou Atos IT Solutions and Services), která se zabývá „systémy pro monitorovací centra specializovaných útvarů, signálové zpravodajství, zpravodajskou analýzu a pro taktickou podporu operativní činnosti a ochrany osob“. A své technologie dodává mimo jiné Ministerstvu vnitra ČR.

Hackeři mimochodem získali přístup i k firemnímu účtu na Twitteru, kde postupně zveřejnili řadu informací i screenshotů. Jak dlouho bude trvat, než @hackingteam bude Twitterem odstaven, není jasné.

Bohatá historie 

Hacking Team se mediální pozornosti těší poměrně dlouho a rozhodně nejde o pozornost pozitivní. V roce 2013 se například řešilo to, že Hacking Team budou v USA pomáhat policii hackovat počítače. Hacking Team má podle zprávy kořeny v komunitě kolem open source softwaru Ettercap. Právě jeho autoři, ALor a NaGA se stali zakladateli dnešní společnosti Hacking Team.

The Verge v roce 2013 píše i o výše zmíněném softwaru DaVinci, o kterém navíc uvádí, že „soustřeďuje mnohem více dat než kontroverzní PRISM od NSA“. Samotný Hacking Team navíc vytvářel hackovací pomůcky, rootkity a další podobné věci, které umožňují odposlouchávací software dostat na cílové místo. 

V Meet Hacking Team, the company that helps the police hack you je ale řeč i o zapojení Hacking Teamu do hackování lidí, napadání aktivistů a dalších aktivit, kterými se obvykle v referencích nikdo nechlubí (viz například také Ethiopia Allegedly Used Spyware Against US-Based Journalists (Again)).

Hacknutý Twitter sloužil hackerům mnoho hodin

Hacknutý Twitter sloužil hackerům mnoho hodin

Jak se hackují hackeři?

Pokud jste od neděle do pondělí sledovali záplavu tweetů (řada z nich má hashtag #HackingTeam nebo #IsHackgTeamAwakeYet), mohli jste se dozvědět mnoho o tom, jak snadné muselo hacknutí odborníků na bezpečnostní technologie být. Atak mimo jiné značně usnadnilo absurdní ignorování pravidel pro tvorbu bezpečných hesel (Passw0rd, wolverine, dottrokame, universo, login: Neo, heslo: Passw0rd, atd).

Paradoxní je, že součástí uniklých dat je kompletní seznam hesel Christiana Pozziho, bezpečnostního inženýra u Hacking Teaam. Hackeři se k přehledu hesel dostali snadno, jsou uloženy Firefoxem a byly dostupné ve firemní síti. Obsahují hesla špatné kvality, týkající se nejenom sociálních sítí, ale také bank či přístupu do síťových zařízení.

V uniklých datech jsou ale i další hesla – ta se týkají klientů a instalací u nich. Zde se setkáte s podobně laxním přístupem – Passw0rd, Passw0rd!, Passw0rd!81, HTPassw0rd, atd.

Nechybí ani konkrétní informace o VPN používaných klienty, opět včetně všech přístupových údajů. Výjimkou nakonec není ani heslo pro SQL server, kde root byl doplněn heslem „Ht2015!“, což mělo pravděpodobně znamenat, že provozovatelé vůbec nepomysleli na to, že interní SQL server se může stát volně dostupným pro někoho zvenčí.

Jakým způsobem se hackeři dostali do interních sítí společnosti, známo konkrétně a ověřeně není není, ale jisté je, že získali přístup k souborům, e-mailům i databázím. Při pohledu na neuvěřitelně laxní přístup k heslům lze očekávat, že stejně naivně se chovali lidé z Hacking Teamu i v ostatních ohledech. 

V uniklých datech najdete i část disku, která byla šifrovaná Truecryptem (zde), ta obsahuje informace o síti, ale hlavně množství hesel. Není příliš těžké poznat, že výše zmíněni Pozzi, měl v oblibě určitá hesla. Podle některých zdrojů útočníci využili WiFi v kanceláři společnosti a podařilo se jim najít právě několik takových hesel. Pak už jenom pokračovali dál. 

Jak se k hacku staví Hacking Team

Hacking Team si hacku všiml až v pondělí 6. července ráno a zahájil něco, co lze nazvat „obvyklým FUD“: hrozbami hackerům, prohlášením, jak už spolupracují s policií a vyšetřovateli, označením uniklých dat za lži (dokonce hodně lží) nebo tvrzením, že torrent s daty obsahuje virus/malware (což neobsahuje).

Někdy těsně po poledni ale @christian_pozzi přestal existovat, chvíli poté, co se do něj také pustili hackeři. Když si uvědomíte, že přístupové údaje k tomuto účtu jsou součástí uniklých dat (viz hesla ve Firefoxu o něco výše), není to příliš překvapivé. Že Pozzi zřejmě vůbec nepovažoval za nutné v tichosti promptně hesla změnit, je dost jasná ukázka jeho přístupu.

CSO Online navíc v aktualizovaném přehledu dění uvádí, že Hacking Team začal vyhrožovat těm, kteří na Twitteru i jinde komentují zábavná hesla a jiná zjištění z balíku uniklých dat.

Zásadní problém pro všechny zákazníky

Motherboard v Hacking Team Asks Customers to Stop Using Its Software After Hack uvádí, že Hacking Team všechny zákazníky žádá o ukončení používání software – což je mimochodem velmi logické a nutné, protože pokud někdo používá jakékoliv software od Hacking Team, tak si může být jist tím, že je zcela kompromitován. Miliony korun, které prošly skrz Bull s.r.o. tak lze dost dobře považovat za vyhozené. 

Hacking Team obrat podle zemí - 689 779 Euro v Česku, to máme okolo 18 milionů korun

Hacking Team obrat podle zemí – 689 779 Euro v Česku, to máme okolo 18 milionů korun

Hacking Team by navíc měl ve svém software mít backdoor a schopnost ho dálkově ovládat i vypnout, bez vědomí a souhlasu zákazníky. Podle výše uvedeného článku je všechno software navíc označeno digitálně tak, aby Hacking Team mohl poznat kdo software používá, včetně, prý, toho na co ho používá. 

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).