:::: MENU ::::
Posts tagged with: securitate

Stop building stuff on sand – the Internet, Linux

You’ve probably heard about the big DNS attack on Dyn’s servers today, and you probably know that it was the main cause of “half the internet” not working properly today.

The attack targeted Dyn’s DNS servers and took down a shitload of websites (well, not really took down, but I’ll explain further along), including Netflix, WSJ, Imgur, Reddit, Spotify, etc. According to CNBC citing Dyn “tens of millions of IP addresses” were sending packets and causing mayhem for the U.S. based company. Continue Reading


Completări – Black Cube și Koveși

Acum că am dormit, m-am trezit și am băut și 3 cafele am apucat să diger puțin informațiile de aseară, doar că în loc să aibă mai multă logică, unele au mult mai puțină.

O să le înșir semi-schematic, în cazul în care nici voi nu sunteți foarte băgați în priză.

RISE Project au fost cei care au dat drumul știrii referitoare la “actorii” ce încercau să afle lucruri compromițătoare despre Koveși, articolul fiind postat pe 5 Martie 2016. În articolul acestora se regăsesc niște date despre întâmplare cât și un PDF embed unde găsim două pagini ce alcătuiesc mandatul de arestare preventivă. RISE aveau deja un PDF cu mandatul de arestare preventivă, la două zile de la decizie. Presupunem că RISE aveau o sursă în interior, deși dacă ai o sursă în interiorul Ministerului Justiției – statul în care te afli are o mare problemă*.

Continue Reading


Mossad tânăr, caut de muncă

Pe la 01:15 fumam o țigară liniștit și dădeam cu degetul pe ecranul telefonului citind pe diagonală diverse titluri, în cel mai plictisitor mod, până când mi-a apărut ceva de la băieții de la RISE Project. N-am neapărat o părere bună sau proastă despre ei, dar am o părere bună despre unii jurnaliști care scriu pentru ei (e.g. Ștefan Mako – lucrează și scrie la Casa Jurnalistului unele dintre cele mai bune reportaje pe care le-am citit în viața mea).

Titlul articolului era “Șefa DNA spionată de firma unui fost director Mossad”. Pe lângă titlul semi-cancanist, totuși cuvintele cheie “Mossad” “spionat” și “DNA” ar trebui să atragă atenția oricui, mai ales în vremurile ăstea ciudățele to say the least.

Pe scurt, firma Black Cube (B.C. STRATEGY LTD.) a fost angajată pentru “a găsi activități de corupție” în vederea compromiterii imagini procurorului șef al DNA. Citatul vine din decizia de arestare preventivă, pe care îl găsiți la băieții de la RISE Project. (Oarecum dezamăgit că n-am putut să-l fur [doar pentru că nu și-au menționat licența asupra materialelor, trăiască CC-BY-NC-SA] și doar să-i menționez pe ei) Ce au făcut ei în schimb a fost să folosească social engineering, phishing și în general suita aceasta pentru a reuși într-un final să intre în 3 conturi de email ale apropriaților lui Koveși, și de asemenea au reușit să fie arestați. Pe lângă dezamăgirea cruntă legată de niște mini spioni, sunt și mai dezamăgit de procurorii noștri.

Doi actori, multe capete de acuzare

david

Dacă Mossadul face ceva bine, acel ceva e să funcționeze relativ decent, prin orice mijloace posibile, și câteodată chiar “la mișto” dacă asta o să funcționeze. Presupun că așa s-a nimerit ca Ron Weiner (scenaristul Futurama, 30 Rock, Arrested Development, etc) și Geclowicz David (Actor semiobscur) să fie arestați preventiv pentru chestiile enumerate mai sus. Bine, pe de o parte am putea să o luăm direct pe bune și să zicem că tipul ăsta a fost arestat

foto
Asta e o poză cu David Geclowicz de undeva din 2002-2004, și conform mandatului de arestare preventivă, el a fost născut în ’91, în Belgia. Total întâmplător, în 2002 a jucat într-o co-producție Belgia-Olanda-Germania, în care majoritatea actorilor erau belgieni.
După raționamentul meu, arată ca o găină și măcane ca o găină, și chiar scrie găină pe tipul ăsta. Un copil actor ajuns angajat la o firmă de “securitate” israeliană prin care s-a perindat și Meir Dagan (Directorul Mossad în perioada 2002-2010).
Dacă la David e ușurică treaba, la Ron Weiner e ceva mai complicat de dovedit, dar sunt șanse destul de mari ca numele să fie extrem de fals. Un buletin fals costă în anumite locuri potrivite cam 350$, și e făcut în țară, nu afară, așa că nu o să dea în veci de bănuit.
Probabil procurorul nu a fost la fel de pasionat, dar procurorul ar fi trebuit să fie conștient că dacă indivizii ăia doi pe care i-a dus în fața judecătorului de drepturi și libertăți, lucrează pentru o firmă în care a lucrat/coordonat și Meir Dagan, probabil nu sunt chiar ultimii oameni de pe pământ și probabil că au un plan mai lung decât “eerh, DNA, Koveși, hack hack, mail mail”.

Clientul nostru, stăpânul nostru

lol

Printre numele din mandatul acela se re găsesc și Dan Zorella și Avi Yanus. Haios aici e că în mandat se specifică inabilitatea de a stabili datele complete de identificare, deși numele sunt reale și chiar cunoscute.

Dan Zorella e tipul ăsta

4197348697

și e fost ofițer în Mossad, actual co-fondator al Black Cube alături de Avi Yanus care împărtășește exact același trecut și prezent.

Adică, cineva a angajat firma asta să găsească noroi pe Koveși, și firma n-a trimis o echipă, firma s-a trimis pe întreaga firmă, inclusiv băieții cu bronz pe umeri – fondatorii. Nu pun problema de cât costă o schemă de genul ăsta, dar nu o pun doar pentru că sper că oricine citește asta își dă seama că n-are banii ăia.

Să aprofundăm

Black Cube e o firmă de consultanță înființată în 2010 de mai sus menționații Avi Yanus și Dan Zorella, cu filiale în Paris, Londra și Tel-Aviv, și o marcă înregistrată în extrem de multe zone…

Inclusiv în Populara Panamea.

panamacube

Evident, după ce tipii ăia de la mai sus menționatul RISE Project o să fie în stare să pună cap la cap un sistem de indexare și OCR pentru PanamaPapers, probabil că o să putem să găsim mai multe detalii și despre ceva offshore al celor doi acționari și cofondatori.

black cube 60 countries

Asta este pagina lor, și se laudă că au operat deja cu succes în peste 60 de țări. Vedeți România? Am făcut eu o săgeată artistică, vedeți cât de frumoasă e? E gri. Adică și la noi. Mhm. Doar zic, pe varianta cached de acum 2 luni găsim aceeași imagine – adică nu e prima oară când acționează în România.

Practic firma asta își oferă serviciile cui plătește, indiferent de motivația cumpărătorului – pentru că banii sunt bani și informațiile sunt informații.

cash

Cât despre firmă, e ca orice altă firmă a Mossadului care are 40.000 GBP în bancă, și bunuri în valoare de 250.000GBP. Deși legal vorbind, nu este a Mossadului.

Primele cazuri cu care firma s-a făcut cunoscută au fost destul de mari, printre cele mai cunoscute fiind cazul lui Vincent Tchenguiz care mulțumită Black Cube a reușit să întoarcă împotriva SFO (un fel de ANAF în Marea Britanie) un proces în așa hal încât acum Vincent cere SFO-ului 300 milioane lire sterline în daune și dobândă. Evident, nu trebuie să mai chestionăm eficiența lor, deși fix în țara lui papură vodă au fost opriți. Mai sus spuneam că banii sunt bani și informațiile sunt informații, ei bine, după toată povestea cu Vincent Tchenguiz, acesta n-a vrut să plătească facturile către Black Cube și i-a dat în judecată, dar procesul nu s-a judecat, s-a rezolvat amiabil și privat un an mai târziu.

Cu siguranță s-au întâlnit și au băut un chai latte și au căzut la pace. Nu? Sigur.

De aici ar trebui să apară multe întrebări, și să se găsească niște conturi din care au plecat niște mulți bani spre Tel-Aviv/Paris sau Londra.

E interesant cum cineva chiar a mers întreaga milă și a încercat să facă ceva, singura problemă a fost că s-a încercat prin câteva metode necurate (deși Mossadul nu e străin, chiar Meir Dagan a zis în 2002 că o să facă orice, legal sau ilegal, împotriva dușmanilor Israelului, bine, nepresupunând că Koveși e dușmanul oricui în afară de ea), altfel era doar o drăguță inițiativă cetățenească de a afla dacă procurorul șef al DNA este corupt sau nu.

Totuși, informațiile luate din căsuțele de email au ajuns undeva, rămâne să vedem unde au ajuns și ce efect vor avea.

Referințe

http://www.blackcube.com/case-studies/
http://www.independent.co.uk/news/uk/home-news/beware-the-black-cube-intelligence-agency-slaps-vincent-tchenguiz-with-a-lawsuit-8569412.html
https://en.wikipedia.org/wiki/Black_Cube
http://www.ft.com/cms/s/0/e0133cf6-cd66-11e4-9144-00144feab7de.html#axzz44zye2NYt
http://mail.digerpi.gob.pa/pls/digerpi2/varios.dato_marcas?age_wk=0&usu_wk=0&solicitud_wk=243608&secuencia_wk=01&path=Marcas%20Publicadas
https://www.endole.co.uk/company/08153977/b-c-strategy-uk-ltd?page=financials
http://www.globes.co.il/en/article-investigating-the-investigators-black-cube-1000914455
http://www.riseproject.ro/sefa-dna-spionata-de-firma-unui-director-mossad/
http://telaviv.academia.edu/DanZorella
http://www.themarker.com/wallstreet/1.2601108


“Mă ascultă” – Telefoanele și povestea lor

Ne reauzim cu această ocazie și începem să ne mutăm în cipherspace.

După cum știm, sau ar trebui să știm, telefoanele sunt principalul mod de comunicare între oameni – cu excepția cazului în care ai stat sub o piatră în ultimii 50 de ani, caz în care poți să revii la minunatul tău băț aprins.

Revenind la cei care folosesc aceste invenții, înainte de orice trebuie să înțelegem cum funcționează, așa că voi da niște mici explicații înainte de orice altceva.

Telefoanele sunt niște terminale mobile prin care poți comunica cu o a doua parte care deține la rândul ei un astfel de terminal. În momentul de față există două tipuri, dacă le putem numi așa, smartphone-urile (aici intră tot ce înseamnă iOS, Android, Blackberry OS, Firefox și orice alte derivate/fork-uri ale acestor sisteme de operare mobile) și dumbphone-urile (Nokia 3510, 3310, Motorola StarTAC și restul telefoanelor care nu pot fi considerate deștepte.) O mică notă ar fi că deși unele telefoane vechi sunt smartphone-uri după anumite criterii, alte telefoane mai noi nu sunt smartphone-uri după aceleași criterii – adică doar pentru că poți să te uiți la filme pe el, nu înseamnă că e smart.

Mai departe, aceste telefoane funcționează pe baza unor cartele (ce vorbeam mai devreme despre ISP se aseamănă foarte mult) ale unor rețele (Vodafone, Orange, T-Mobile, etc.). Trecând rapid prin asta, menționăm că totul funcționează pe baza unor celule (relee la un nivel brut) care transmit mai departe informația, acele celule la rândul lor pot fi 2G, 3G și mai nou LTE. Întregul sistem poartă numele de GSM. De regulă în majoritatea orașelor mari vom găsi rețele 3G și LTE. Problema principală a GSM-ului este că encripția este învechită, deci un individ cu voință poate să audă tot ce auzi tu, prin urmare este nesigur întregul sistem. Astfel, nici mesajele SMS, nici datele mobile și în cele din urmă nici serviciul de voce nu este sigur.

Dacă vreți mai multe informații (pentru oarecare motive) vă invit să citiți prezentarea lui David Perez și Jose Pico de la conferința BlackHat DC din 2011 aici. În principiu oamenii arată cât de ușor poți să interceptezi date GSM, cu niște unelte pe care le poți obține prin intermediul internetului. De atunci a apărut și HackRF și totul a devenit mai ușor – dar asta e altă discuție. (Merită menționat că deși oamenii de la ETSI, cei care au dezvoltat sistemul GSM, au fost avertizați în legătură cu securitatea precară a sistemelor, au ales să ignore în repetate rânduri aceste avertizări.)

Nu o să vorbim aici despre lege, mandatele de care este nevoie pentru a-ți fi ascultat telefonul și restul detaliilor legale, aici o să vorbim strict de ce trebuie să faci ca să poți evita orice astfel de întâmplare.

Pentru siguranță, niște paranoia nu strică – pleacă de la prezumția că totul este ascultat și totul este în pericol.

Acum că ești urmărit, urmărește la rândul tău câțiva pași simpli înainte să ne specializăm pe comunicare.

Te rog din suflet, schimbă-ți PIN-ul cartelei. Dacă e 1234 înseamnă că deja ai pierdut runda asta – așa că schimbă-l.

Parola telefonului. 

Fără o parolă a telefonului, poți să instalezi și mama encripției, dacă nu ai cea mai simplă metodă de protecție. Da, nu o să îți citească nimeni datele furate, dar ce faci dacă ele nu sunt furate ? Tot ce e nevoie sunt câteva sticle de bere, și îi vei da telefonul tău unui amic, care îl va da unui amic, și cineva la sfârșit va intra în telefon și va vedea la prima mână datele pe care le caută. Cred că fiecare dintre noi știm să ne setăm o parolă simplă pe telefon, așa că abuzați de această cunoaștere și instaurați o parolă. De preferat nu un cod de 4 cifre, dar chiar și acela poate să te salveze în momente critice. Pe lângă această parolă, dacă telefonul vostru are o opțiune de encripție – activați acea opțiune. Screenshot_2014-10-16-21-03-50

Spre exemplu, în meniul de Setări -> Securitate pe un Galaxy S4 găsim opțiune de criptare a întregului dispozitiv, opțiune de criptare a cardului microSD, opțiune de schimbare a PIN-ului cartelei SIM.

Practica sigură este să le folosiți pe toate, în tandem. De ce? Pentru că în principiu dacă pot să văd un fișier care nu e criptat, înseamnă că pot vedea mai multe (A minore ad majus – Dacă mai puțin, atunci mai mult). Deci nu lăsați niciun fel de portiță pe care să intre cineva.

În concluzie, folosiți orice opțiune de siguranță pe care o aveți la dispoziție pe telefon, indiferent dacă e iPhone sau un Android Generic.

Mai departe, acum că dispozitivul e criptat și aveți și o parolă, deja siguranța e în zare.

Pentru securitatea comunicațiilor per se avem nevoie de niște utilități gratuite, din fericire.

 

Android

Pentru comunicații sigure pe Android, avem o multitudine de opțiuni de unde să alegem.

TextSecure – Mesaje securizate, asemănătoare SMS-urilor dar online, un WhatsApp sigur să spunem.

RedPhone – Apeluri securizate, precum și aplicația de mai sus – online. Aplicația îți va spune când suni o persoană care de asemenea deține aplicația și te va întreba dacă nu cumva ai vrea să comunici cu ea fără să mai știe alți oameni ce vorbiți voi. Puncte-n plus pentru ingeniozitate.

Pixelknot – Fotografii sigure, dar nu în principal. Principalul scop este steganografia, mai exact trimiterea de mesaje scurte, ascunse în spatele unor fotografii, pe care le poți descifra doar cu ajutorul unei parole (ideal ar fi un One Time Pad, dar discutăm mai târziu despre asta).

ObscuraCam – Fotografii criptate, opțiuni de distrugere a unor pixeli sau de criptare a imaginii. Merită știut că este un proiect susținut de WITNESS.org.

Orbot și Orweb – Aici devine puțin mai complicat, dar mult mai sigur – în principiu. Orbot acționează ca un fel de proxy ce îți redirecționează întreg traficul prin rețeaua Tor și ți-l pierde pe acolo până când ajunge unde vrei tu. (Din nou, o să vorbim și despre Tor când ajungem la sistemele de operare ale calculatoarelor) Ideal este să folosiți în tandem și aplicația Orweb care este un browser, pe scurt, care îți blochează acele cookie-uri care îți urmăresc anumite trenduri, activități, date sau istoricul site-urilor, istoricul formularelor completate, dezactivează Flash și împiedică analiza rețelei sau metodele de pentest care te-ar putea afecta în mod direct.

În final, pentru a te proteja de ochii din cer, sau de pe fir, cam asta e tot ce trebuie și poți face dacă deții un telefon cu sistem de operare Android – cam cel mai fericit caz. Bine, ar mai fi câteva lucruri, dar din nou – le discutăm cu altă ocazie. (Am cam rămas dator cu multe văd. OTP, Tor, Android ++)

iOS

Acesta este cazul mai nefericit. Datorită restricțiilor impuse de Apple asupra celor care dezvoltă și urcă aplicații pe AppStore, majoritatea aplicațiilor sunt/au fost dezvoltate cu greu de către developeri.

Lista este scurtă, așa că voi spune direct. Pentru apeluri criptate aveți la dispoziție fratele geamăn al RedPhone, Signal (dezvoltat tot de OpenWhisper – părintele RedPhone). Funcționează pe același sistem, oferă o protecție ridicată a apelurilor de voce și desigur necesită o conexiune stabilă la internet.

În ceea ce privește mesajele text, momentan singura opțiune demnă de luat în seamă este ChatSecure. O aplicație care folosește Google Talk, Facebook, MSN sau orice alt server XMPP pe care îl aveți la dispoziție pentru a furniza comunicații text sigure din orice punct de vedere. Desigur, comunicațiile tot trec prin niște puncte, deci cel mai indicat ar fi să folosiți Google Talk drept server sau dacă informațiile sunt extrem de importante, și ar putea ridica întrebări internaționale – puneți la punct un server XMPP și folosiți-l.

Cam astea sunt opțiunile pentru iPhone/iPad. Sunt puține, știu – dați vina pe Apple nu pe mesager. Există și alte aplicații asemănătoare dar securitatea pe care o oferă ridică multe întrebări.

 

În concluzie, pentru o securitate sporită folosiți în primul rând cele mai simple opțiuni, în tandem și vorbim aici de encripția dispozitivului și a cardului microSD, parola dispozitivului și PIN-ul cartelei SIM. De asemenea încercați să activați și opțiunea de remote wipe sau instalați o aplicație gen Cerberus care vă poate reda controlul asupra unui telefon furat (multitudine de opțiuni – poză, locație, wipe, alarm, etc.) În al doilea rând, folosiți aplicațiile pe care vi le-am prezentat mai sus – pentru orice fel de comunicații sensibile.

 

Ne revedem în următoarea parte a articolului, cea legată de securitatea calculatorului !

 

 


“Mă ascultă” Cum să îți muți întreaga viață în cipherspace

Toată lumea a devenit mai mult sau mai puțin paranoică în legătură cu ascultatul telefoanelor, urmăritul traficului unui user, sau orice altă metodă prin care intimitatea (discutăm și despre conceptul ăsta mai târziu) îi este încălcată.

Merită menționat că majoritatea acestor temeri sunt destul de îndreptățite, chiar dacă nu din motivele potrivite. Da, e nasol că o să trebuiască să dăm CNP pentru a cumpăra o cartelă PrePay, dar nu e nasol pentru că “vai cât timp pierd să mai dau și CNP-ul” ci pentru că e al meu și n-am eu chef să-l dau, și nici chef să îmi explic motivele. Practic, unii oameni sunt supărați pe ce trebuie, dar din motivele greșite. Treaba asta nu e neapărat rea, dar o să explic mai încolo de ce nu e ok, și de ce nu avem ce face în legătură cu asta.

Articolul ăsta o să apară pe bucăți, pentru că e foarte mult de scris, timpul nu îmi permite în mod special, și oricum se bazează 65% pe studiul individual, în schimb aștept cu interes întrebări sau sfaturi.

Să lămurim niște lucruri înainte de toate.

Internetul este o rețea mondială de calculatoare – la un nivel ultra grosolan, teoretic. Practic, este o rețea mondială de calculatoare unde unele terminale sunt servere și servesc informații (fișiere – aici intră și site-urile web, relee de VoIP, etc. Tot ce e online, e un fișier, fie că are extensie .php sau .iso sau .mp3) și celelalte terminale sunt clienți (dar și ei servesc informații – fie că sunt sub formă de cookies sau de fișiere urcate).

ISP – Internet Service Providers, adică tipii pe care îi plătești să vină să îți tragă cablul în casă. Ei sunt oarecum Dumnezeii end-userului, adică tu. Ei pot să îți limiteze banda, să îți oprească accesul la anumite site-uri, să favorizeze anumite site-uri (ex. site-ul A de streaming merge lin, pe când site-ul B de streaming merge cu viteza mortului în coșciug), sau să îți facă viața un iad – generalistic vorbind. Complicat este că ei la rândul lor au și ei niște Dumnezei, care mai au niște Dumnezei. Tier 2 networks și Tier 1 networks, care au rolul mai mult de a asigura infrastructura necesară decât de a avea grijă să nu piratezi tu chestii – ceea ce sigur nu faci. Ei bine, și ISP-ii sunt oameni, deci sunt supuși greșelii și corupției, și curiozității. În țara noastră, încă putem să spunem că o ducem bine în ceea ce îi privește, dar asta evident din motive demne de magie neagră.

Cipherspace – Concept filosofic, utopic și ideologic al unui spațiu privat, pe internet și nu numai. Practic este vorba despre intimitate atât IRL cât și online. Nimic nu e decriptat și ușor de accesat, nimic nu e la mâna oricui. Totul este criptat, totul este ascuns.

Datalove – Alt concept filosofic. Conform căruia “Data is essential. Data must flow. Data must be used. Data is neither good nor bad. There is no illegal data. Data is free. Data can not be owned. No man, machine or system shall interrupt the flow of data. Locking data is a crime against datanity” Cu alte cuvinte, informația este esențială, trebuie să se miște, să fie folosită, să nu fie deținută. Explicația ar fi că informația iubește să existe, și că odată ce există ea este a tuturor celor ce există.

Criptografie – Ascunderea unei informații prin intermediul unei metode convenționale* sau nu. Noua definiție ar trebui să cuprindă efectiv ascunderea unei informații (inclusiv fișiere, etc.) prin diferite metode. Fie că vorbim de encripție la modul clasic, sau la utilizarea unui anume sistem.

Negare Plauzibilă – Ideea de a ascunde niște informații, și de a putea nega plauzibil în legătură cu orice element referitor la ele.

Steganografie – Trimiterea unei informații ascunse, sau deținerea ei, în așa fel încât un oarecare să nu realizeze că există ceva ascuns. (ex. folderul X se preface că e plin cu filme porno, dar de fapt unul din cele 30 de filme porno are în spate pe lângă filmul în sine, și 30 de linii de text)

 

Continuând.

În principiu am avea de ce să ne fie frică, dar asta nu înseamnă să o luăm razna. Da, Parlamentul tot votează legi care mai de care mai cretine în legătură cu intimitatea, da – trendul mondial e să se tot încalce intimitatea, da – există un catalog întreg al celor de la NSA ce conține diverse tehnologii pentru încălcarea mai sus amintitei intimități (NSA ANT Catalog, pentru cine e interesat), dar chiar și așa, PRISM urmărea doar persoanele străine, fără cetățenie SUA (mă rog, cu excepții mari), adică și pe noi probabil. În principiu dacă vreodată ai citit ceva pe vreun site mai dubios, probabil ești pe listă.

Ce poți face ? Îți faci bagajul, iei purcel, cățel și pisică dacă ai (internetul iubește pisicile, deci trebuie) și te muți în cipherspace.

Nu o să fie neapărat ușor, și probabil o să pierzi niște oameni pe drum, dar referindu-ne strict la compatibilitatea rețelelor de comunicare folosite.

Cum faci asta ?

În primul rând citește și învață, pentru că altfel o să faci niște greșeli – mai mici sau mai mari – care o să facă întreaga ta muncă de “securitate” să devină inutilă.

Un prim material (foarte bun de altfel) este handbook-ul CryptoParty, o carte scrisă de mai mulți indivizi, într-un mod colaborativ foarte bun. Îl puteți găsi aici, în format PDF sau pe site-ul CryptoParty. Vă recomand să îl citiți, măcar fugitiv dacă nu pe îndelete. În principiu o să vă intereseze secțiuni anume, așa că puteți să căutați exact ce vă interesează dacă considerați că vă descurcați.

Alte lecturi pe care vi le recomand, mai mult la un nivel filosofic ar fi asta “A Cypherpunk’s Manifesto” și “Crypto Wars”

Voi reveni curând și cu partea a doua a articolului unde o să încep să explic partea practică a întregii operațiuni de mutare în cipherspace