Tudi slovenska policija razmišljala o nakupu Hacking Teamovega trojanca

Kot smo pisali minuli teden, je bil milanski dobavitelj policijskih trojanskih konjev Hacking Team tarča obsežnega hekerskega vdora, katerega posledica je javna objava 400 GB velikega paketa njihovih internih dokumentov, e-pošte in programske kode na torrentih. Tam notri je bil tudi seznam njihovih zdajšnjih in preteklih strank, na katerem pa Slovenije ni bilo.

Vendar pa podrobnejši pregled njihove e-pošte (Wikileaks) razkriva, da pogovori z našo policijo potekajo že kar nekaj časa.

V enem od njihovih notranjih sporočil, ki ga je 5. septembra lani svojim šefom poslal njihov tržnik Massimiliano Luppi, se tako nahaja trenutni seznam "potencialnih poslov" ("recap of open oportunities"). Med njimi je, prav pri vrhu, tudi Slovenija. Konkretni interesent je Ministrstvo za notranje zadeve (MOI Slovenija), pogovori pa potekajo posredno, preko hrvaškega podjetja Alfatec s sedežem Zagrebu.

Omenjeni Alfatec ima že dolgo zgodovino komunikacije s Hacking Team, tj. vsaj od konca leta 2010. Glede na vsebino sporočil se podjetje trudi postati nekakšen ekskluzivni zastopnik za območje Balkana. Do sedaj so že uspešno sklenili posel s hrvaško varnostno-obveščevalno službo (SOA), ki je bil septembra lani v sklepni fazi, pri urejanju plačila, v pogovorih pa so tudi s hrvaško policijo (notranjim ministrstvom), ki pa trenutno še nima sredstev za nakup ("No budget at the moment"). Prav zdaj pa intenzivno delajo s potencialnimi kupci iz Slovenije oz. Kosova.

Glede na omenjeno elektronsko sporočile se slovenska policija zanima za nakup njihovega trojanca RCS (Galileo). Septembra lani so bili pogovori sicer na čakanju, malo zato, ker takrat še nismo imeli vlade ("The issue in Slovenia is that the country is still missing a government after the last election in July."), in malo zato, ker je policija še čakala na pripravo ustrezne zakonske podlage v našem Zakonu o kazenskem postopku ("The new government will have to build a regulation for solutions like RCS"). Luppi je bil sicer glede obojega precej optimističen; demonstracija delovanja trojanca naj bi bila izvedena še isto leto, prav tako pa so želeli, da pogodba in vse potrebne priprave izvedejo že vnaprej, tako da bi naša policija lahko začela z uporabo takoj, ko bi bila na voljo želena pravna podlaga.

Dobra stran vsega tega je, da se je policija tokrat očitno odločila najprej poskrbeti za pravno podlago -- obratno kot pri IMSI-lovilcih, kjer so jih kar kupili, veselo uporabljali, potem pa vse zanikali, dokler niso bili pri tem ujeti.

Zgodba s pravno podlago pa je takšna (glej sličici). Policija si jo je nameravala zagotoviti s popravki 150. člena Zakona o kazenskem postopku, ki sicer ureja (med drugim) prisluškovanje mobilni in stacionarni telefoniji. Ti popravki so v igri že vsaj od konca predlanskega leta. Z njimi bi se uvedlo dopolnilno policijsko pooblastilo uporabe t.i. "dekoderjev", kar je po njihovo tehnična rešitev za prisluškovanje tistim uporabnikom, ki iz tega ali onega razloga nočejo telefonirati izključno preko javnega telefonskega omrežja (barabe ...). Gre za situacije, ko policija že prisluškuje tarčnemu mobilnemu telefonu, pa pri tem sliši, da se po telefonu zmenijo "gremo na Skype" (ali na kako drugo VoIP storitev). Prisluhi se s tem ustavijo, kar je očitno problem. Dekoderji bi to težavo prešli, ker bi policiji zagotovili dostop do mikrofona na računalniku od tarče, tako da bi bilo vseeno, preko katerega VoIP programa se pogovarja.

Velja dodati, da glede na izvirno besedilo predloga (7. člen predloga ZKP-M z decembra 2013, ki bi v 150. člen dodal nov 1.a odstavek) policija sicer ni razmišljala o oddaljeni namestitvi tega trojanca. Obratno, namestilo bi se ga na low-tech način, s pritajenim vstopom v osumljenčevo stanovanje. Obenem člen predvideva tudi prepoved rabe teh "dekoderjev" tudi za druge namene, npr. za oddaljeni nadzoru računalnika tarča ali za njegovo forenzično analizo.

Kako točno je policija mislila to omejitev zagotoviti, ni povsem jasno. Vendar pa njihov predlog vse do sedaj ni bil sprejet. Informacijski pooblaščenec mu je izrekel negativno mnenje in vlada ga je potem konec lanskega umaknila iz dokončnega predloga novele ZKP-M, uradno sicer zato, ker se je mudilo z uzakonitvijo nekaterih evropskih direktiv. Nova policijska pooblastila - poleg dekoderja še imsi lovilce in nadzor sorodnikov - naj bi se spet obravnavalo v okviru prihajajoče novele ZKP-N, najbrž še letos jeseni. Tiskovni predstavnik slovenske policije pa nam je v petek zatrdil, da po do sedaj opravljenem preverjanju niso potrdili poslovnega sodelovanja s Hacking Teamom.

A vprašanje je, če bomo te "dekoderje" zdaj še hoteli. Kot kažejo analize izvorne kode Hacking Teamovega trojanca RCS, gre za bolj ali manj običajen rootkit. Napadalec, v tem primeru pač policija, ima popoln nadzor nad uporabnikovim računalnikom (oz. mobilno napravo). Z njim lahko naredi bolj ali manj karkoli hoče, vključno s tem, da podtakne kakšne dokaze. Kot zanimivost: Hacking Teamov trojanec vsebuje tudi funkcijo za popis vseh datotek na računalniku, del nje pa je tudi stavek, ki v ta seznam podtakne imena datotek, ki namigujejo na otroško pornografijo. Ta stavek trenutno sicer ni aktiven (nikoli se ne izvrši) oz. naj bi šlo za neke vrste štos (v smislu "easter egga") s strani avtorjev. Vendar pa že njegov obstoj postavlja resno vprašanje, kako zelo kvalitetna je ta rešitev. Kot smo namreč že videli pri nemškem Bundestrojaneju, se niso spoštovali niti najbolj osnovni standardi informacijske varnosti. In končno, glede na to, da je zdaj njegova koda zunaj in jo praktično vsak protivirusnik zna poiskati in pobrisati, se postavi vprašanje, ali je to programje sploh še vredno svoje nekaj sto tisoč evrov visoke cene.