HBGary: tajne operacije

Gašper Žejn

19. feb 2011 ob 18:39:06

Na dan prihajajo nove informacije o delovanju podjetja HBGary, o katerem smo že pisali. Iz epošte je razvidno, kako pester je nabor veščin, ki ga je podjetje HBGary nudilo svojim strankam.

Ukvarjali so se s povratnim inžiniringom zle kode, katere primer je bil Wordov dokument, navidezno interni Al Kajdin dokument, ki naj bi vseboval kodo. Pošiljatelj je naslovniku svetoval, da naj ne odpira šifriranega arhiva drugje kot v virtualnem sistemu in da naj ne dovoli dostopa do medmrežja, če noče obiska "ljudi v črnem".

Med bolj zanimive sodijo psihološke operacije (PSYOPS), npr. propaganda. Na tem področju je imel HBGary zaposlene risarje, ki so risali politične karikature, imeli pa so tudi razdelan načrt kako bi lahko ameriške agencije za propagando uporabile platformo Second Life.

Facebook in druga družabna omrežja so vzpodbudila zanimanje tudi pri državnih agencijah. Air Force je celo izdala javno naročilo za programsko opremo, ki omogoča upravljanje posamezniku z 10 profili naenkrat, storitev pa mora nuditi tudi VPN povezave, da omogoča upravljalcu ustvariti novo identiteto praktično kjerkoli na svetu.

V HBGary so se v želji po prehitevanju konkurence poigravali celo s poseganjem po manj legalnih postopkih, eno takih idej je bil Gregov predlog prisluškovanja GSM aparatom ruskih hekerjev, Aaron Barr pa se je kar vživel in pripravil cel načrt kako bi se z uporabo izmišljene identitete in družabnih omrežij približal cilju.

Zelo vroča tema, ki jo je možno razbrati iz arhiva pošte, so t.i. "0-day exploiti", koda, ki izkorišča še nepopravljene varnostne luknje. V e-pošti so tovrstne teme pogosto omenjane pod besedno zvezo "juicy fruit", na voljo pa so imeli nabor zle kode za kar nekaj različnih programov, med drugim tudi za Adobe Flash, Java, več verzij Windows, Solaris in VMWare. Poleg tega je HBGary nudil še rootkit, ki ga je bilo moč dobiti za 60 tisoč dolarjev. Rootkita večina protivirusnih programov ni zaznala, edini, ki mu je to uspelo, je bil TrendMicro, a je bilo obravnavano kot manjši defekt, saj ob poplavi opozorilnih sporočil protivirusnega programa navaden uporabnik ne dojame resnosti opozorila.


Greg Hoglund, avtor knjige Rootkits: Subverting the Windows Kernel, je imel v načrtu še kar nekaj zanimivih idej. Eno taka ideja ga je preblisnila aprila 2009, in sicer super-rootkit, imenovan 12 opic (12 monkeys), ki ne bi bil vezan na nobenega od objektov v operacijskem sistemu in bi se kot tak izognil zaznavi protivirusnega programa. Ti namreč običajno pregledujejo zgolj te dele operacijskega sistema. Za nameček in težjo zaznavo pa bi se ta rootkit skozi čas kriptirano preslikaval na naključne lokacije v pomnilniku - podobno kot to dela Skype (PDF). Za tak rootkit se je zanimal General Dynamics, sicer eden največjih podizvajalcev za vojsko ZDA, cena tega rootkita pa bi znesla nekje okrog 240 tisoč dolarjev.

Januarja 2011 je Greg že načrtoval nov rootkit pod kodnim imenom Magenta, ki bi bil spisan v zbirniku. Velik vsega skupaj manj kot 4KB bi se naložil v jedro operacijskega sistema, od koder bi se lahko nadalje vstavil v katerikoli program, ki teče na računalniku, tam pa počel kar koli bi želel, npr. kradel gesla.

No, zatem vemo kaj se je zgodilo. V sistem je vdrla skupina Anonymous in z javno objavo poštnega arhiva omogočila vpogled v kulturo in delovanje sodobnega podjetja, ki nudi "varnostne storitve" državnim agencijam. Postavlja pa se vprašanje: če ima HBGary kot razmeroma majhna organizacija na voljo tak pester nabor zle kode, kolikšne količine nenajdenih lukenj in zle kode za zlorabo šele hranijo vojske ZDA, Rusije in Kitajske.