V Egiptu in Turčiji z DPI uporabnikom podtaknili vohunske programe
Matej Huš
10. mar 2018 ob 09:29:12
Kanadski Citizen Lab z Univerze v Torontu je ugotovil, kako so oblasti v Turčiji uporabnikom interneta prek DPI (deep packet inspection) spreminjale promet in namesto programov, kot so Skype, CCleaner ali Opera, uspele podtakniti zlonamerno programsko opremo. Na udaru so bili vsi prenosi datotek, ki niso šli prek šifriranih povezav HTTPS. To ponovno kaže, da je dandanes uporaba HTTP postala nepotrebna, neumna in ponekod kar nevarna. V Egiptu pa so bili pogosti MITM-napadi (man in the middle), ki so uporabnike preusmerjali na strani, ki so začele na njihovih računalnikih rudariti kriptovalute.
Türk Telekom je postavil vmesne postaje (middlebox), s katerimi je uporabnike v Turčiji in tudi Siriji preusmerjal do državnega spywara, kadar so ti želeli prenesti običajne in neškodljive programe. S tem spywarom so potem oblasti lahko vohunile za uporabniki. Na podoben način so v Egiptu računalnike uporabnikov vpregli v rudarjenje kriptovalut. Turške oblasti so sprva uporabljale FinFisher, kasneje pa StrongPity. Oblasti so to kodo vgradile v programe Avast Antivirus, CCleaner, Opera, Winrar, 7-zip in druge ter okužene verzije podtaknile pri prenosu. To je bilo enostavno storiti, ker proizvajalci ob prenosu preusmerijo na nešifrirano stran (HTTP), zato je nad prometom trivialno vršiti DPI in ga po potrebi manipulirati. Akcija je bila omejena na Turčijo, a ker nekateri uporabniki, ki so fizično locirani v Siriji, uporabljajo turške povezave, so bili tarče tudi ti. V Egiptu pa je kampanja AdHose delovala na dva načina. Uporabnike je množično za kratek čas preusmerila k reklamam (spray mode), v bolj specializiranem načinu (trickle mode) pa je prek JavaScripta in reklam na strani dodala ukaze za rudarjenje kriptovalut.
V obeh primerih je šlo za uporabo naprav Sandvine PacketLogic middlebox, ki analizirajo internetni promet in po potrebi manipulirajo z njim. Naprave tega podjetja so v Turčiji uporabljali tudi za blokiranje neželenih spletnih strani (npr. Wikipedije in Kurdske delavske stranke), v Egiptu pa za blokiranje strani o človekovih pravicah, politične in novičarske strani itd.
Ameriško podjetje Sandvine se je nekoč imenovalo Procera Networks, lani pa so kupili kanadski Sandvine in vse skupaj združili. Lastnik podjetja je sklad Francisco Partners, ki ima v lasti več podjetij, ki razvijajo vohunsko in nadzorno tehnološko opremo. Eno takšnih je NSO Group, podjetje iz Izraela, ki svoje pripomočke z veseljem prodaja državam z železnimi režimi, ki jih potem uporabljajo za pregon aktivistov, novinarjev, odvetnikov ipd.