Stuxnet je zlonamerna programska oprema oz. računalniški virus, ki so ga prvič odkrili leta 2010. Namenjen je bil sabotaži iranskih centrifug za bogatenje urana in je za več let upočasnil razvoj iranskega jedrskega programa. Te dni pa so o virusu oz. vohunskem programu v javnost prišle nove, zanimive informacije.

Bogatenje urana je postopek, pri katerem se v običajnem uranu (U-238) poveča delež urana-235, ki se uporablja pri jedrskih reakcijah in seveda tudi pri jedrskem orožju. Eden izmed načinov za bogatenje urana je centrifugiranje. Uran se najprej raztopi v solni kislini in drugih kemičnih reagentih, nato pa se to raztopino v centrifugah vrti s hitrostjo več tisoč obratov na minuto. Težji uran-235 se nato zaradi centrifugalne sile zbere na robu centrifuge in s tem se “težji” uran loži od “lažjega” oz. se ga s tem postopkom obogati.

Ko je Stuxnet vstopil v računalnik, je začel iskati ciljno strojno opremo - konkretno Siemensove programabilne logične krmilne enote (tim. PLC), ki se uporabljajo za nadzor različnih industrijskih procesov. Ko je Stuxnet našel ustrezen PLC, je spremenil njegovo programsko opremo in sicer na način, da so se centrifuge za obogatitev urana vrtele prehitro oz. z napačno frekvenco in se poškodovale. Pri svojem početju je bil Stuxnet zelo uspešen, saj je leta 2010, ko so ga odkrili, na iranskem jedrskem programu povzročil precejšnjo škodo. Uničenih je bilo skoraj tisoč centrifug, ki so bile ključne za obogatitev urana, iranski jedrski program pa je utrpel ocenjeno zamudo več let.

Že takoj po odkritju Stuxneta se je domnevalo, da so iranski jedrski program sabotirali Izraelci in Američani. Kasneje se je razkrilo, da sta virus razvila izraelski Mossad in ameriška CIA, razvoj pa je stal med enim in dvema milijardama dolarjev. Kasneje (leta 2019) pa se je razkrilo, da je pri tej specialni operaciji sodelovala tudi nizozemska obveščevalna agencija AIVD. Pa še zanimivost: po mnenju pravnih strokovnjakov v NATO cyber warfare center iz leta 2013 je bil napad na iransko kritično infrastrukturo nezakonito “dejanje sile”.

Stuxnet danes velja za prvi primer, ko je bila zlonamerna programska oprema uporabljeno za napad na kritično infrastrukturo oz. kot del kibernetskega bojevanja. O Stuxnetu je bil leta 2016 posnet zanimiv dokumentarec Zero Days, ki se ga vsekakor splača pogledati. Enega glavnih protagonistov tega filma pa sem pred leti osebno srečal tudi sam.

Kot rečeno je Stuxnet napadel iranski jedrski obrat v Natancu. Vprašanje, ki si ga je marsikdo zastavljal pa je bilo, kako je do okužbe sploh prišlo. Jedrski objekt v Natancu je namreč zgrajen pod zemljo, dostop do njega je seveda strogo omejen, predvsem pa objekt nima aktivne povezave z internetom ali drugimi zunanjimi omrežji (za to se uporablja angleški izraz “air-gapped”).

Dolga leta se je govorilo, da naj bi do okužbe prišlo preko okuženih USB ključkov, pri čemer se je omenjalo enega oz. dva ruska znanstvenika, ki sta imela dostop do Natanca, iranskega dvojnega agenta, ki naj bi bil član organizacije Mujahideen-e Khalq, itd. Včeraj pa je nizozemski časopis Volkskrant objavil članek o tem kako je do okužbe dejansko prišlo in kdo je izvedel sabotažo.

Po poročanju Volkskranta naj bi bil to nizozemski inženir Erik van Sabben, ki je delal za prevozniško podjetje TTS v Dubaju, njegova druga žena pa je bila iz Irana. Erika van Sabbna je leta 2005 rekrutirala nizozemska tajna služba AIVD, virus pa je konec leta 2008 v jedrski obrat vnesel preko vodne črpalke, ki jih je vgrajevalo van Sabbnovo podjetje. Obstaja seveda tudi možnost, da je bil poleg tega virus v Natanc vnešen tudi preko USB ključka, saj je jedrski kompleks napadlo več verzij Stuxneta.

Erik van Sabben se je v Natanz, ki se nahaja 300 km od Teherana, kot zunanji izvajalec uspel infiltrirati leta 2007. Kot rečeno, je konec leta 2008 za deset dni poslovno in zasebno obiskal Teheran (obiskal je družino svoje iranske žene), vendar so njegovi domači in prijatelji kasneje povedali, da je že po enem dnevu želel zapustiti Iran. Deloval je zmedeno in ni želel pojasniti zakaj želi zapustiti državo. Kot je kasneje povedala njegova iranska žena je bil zelo vznemirjen in je vztrajal, da takoj odidejo.

Van Sabben je Iran uspešno zapustil, a dva tedna kasneje je komaj 36-leten umrl v prometni nesreči nesreči v Sharjahu, blizu Dubaja. 16. januarja 2009 je namreč izgubil nadzor nad svojim motociklom, se prevrnil in si zlomil vrat. Uradna preiskava ni ugotovila ničesar sumljivega in van Sabben je uradno žrtev prometne nesreče.

Nizozemske tajne službe zdaj trdijo, da so jih Američani izrabili in da niso vedeli, da bo van Sabben v iranski jedrski kompleks prenesel virus. Vedeli sicer so, da sodelujejo v projektu sabotaže iranskega jedrskega programa, niso pa vedeli, da bo sabotaža izvedena z digitalnim orodjem. Nizozemski politiki naj o dogodkih ne bi bili obveščeni, nizozemski premier naj ne bi vedel, kaj počne AIVD, AIVD pa zdaj trdi, da ima o dogodku pomanjkljivo dokumentacijo.

Ko je van Sabben leta 2009 umrl, so Američani in Izraelci razvili nove verzije Stuxneta, ki so se širile same in niso več potrebovale nekoga, ki bi jih fizično odnesel v obrat. Nove različice računalniškega virusa so povzročile zapiranje ventilov centrifug v določenem trenutku, kar je preprečilo uhajanje plina in sabotiralo bogatenje urana.

Januarja 2011 sta varnostna raziskovalca Bruce Dang in Peter Ferrie na hekerski CCC konferenci predstavila predavanje z naslovom Adventures in analyzing Stuxnet, kjer sta predstavila zanimivo tehnično analizo Stuxnetove zlonamerne kode.

A na predstavitvi je predaval samo Bruce Dang. Peter Ferrie je namreč malo pred predavanjem doživel prometno nesrečo (z manjšimi poškodbami) - na pločniku ga je zbil avto.

Konec lanskega decembra je družba Kaspersky Lab objavila podrobnosti o zelo naprednem napadu na Applove telefone. Poimenovali so jo Operacija Triangulation.

Napad je uporabljal celo verigo ranljivosti, najbolj zanimivo pa je, da so napadalci zlorabljali tudi nedokumentirano funkcijo na strojni opremi iNaprav. Konkretno, ranljivost se je nahajala na Apple A12–A16 Bionic System on Chip (SoC), ki ga sicer proizvaja tajvanski TSMC, ranljivost pa se nahaja v MMIO razhroščevalnih registrih procesorja, ki ga je za Apple razvil ameriški Coresight.

Napad, ki je izredno sofisticiran, je najverjetneje delo državnega akterja. Zanimiva je celotna veriga ranljivosti, ki se je začela s prejemom zlonamerne PDF priloge na iMessage, sledilo je izkoriščanje nedokumentirane kode v pisavi ADJUST TrueType in tako dalje, dokler napadalci niso pridobili popolnega nadzora nad napravo. Vse seveda tim. 0-click, torej brez potrebe po uporabnikovi interakciji.

Kot rečeno je posebej zanimiv napad na nedokumentirano funkcijo na Applovi strojni opremi (SoC), saj je ta napad napadalcem omogočil, da so zaobšli Applove napredne zaščite delovnega pomnilnika telefona. Na kratko, Applova napredna tim. strojna zaščita delovnega pomnilnika (angl. hardware-based memory protection) ščiti napravo tudi v primeru, če napadalec uspešno vdre v telefon. Onemogoča mu namreč, da bi napravo oziroma jedro operacijskega sistema na njej trajno okužil (tim. persistence). Če ta zaščita deluje, napadalec sicer lahko vdre v telefon, vendar nima popolnega dostopa do vseh delov sistema. Pogosto pa taka okužba tudi ne preživi ponovnega zagona telefona, zato nekateri varnostni strokovnjaki uporabnikom svetujejo da telefone vsakodnevno ponovno zaženejo.

No, napadalci iz Operacije Trianglation pa so to zaščito uspeli zaobiti in sicer s pomočjo že omenjene zlorabe nedokumentirane funkcije na Applovi strojni opremi (SoC). Nekateri se zato že sprašujejo ali gre res zgolj za napako ali pa morda kaj drugega. Mimogrede, enaka vrsta zaščite je prisotna tudi v Applovih paradnih procesorjih M1 in M2.

Več zanimivih tehničnih podrobnosti o napadu je objavljenih na blogu Kasperskega.

Za konec pa še zabavna zanimivost. NSO Group Technologies, izraelsko kibernetsko-obveščevalno podjetje, ki je znano predvsem po svoji vohunski programski opremi za mobilne telefone Pegasus, ima v Izraelu trenutno svoje poslovne prostore v isti stolpnici kot Apple. Naj pa dodamo, da Kaspersky zaenkrat ni uspel ugotoviti (ali pa ne želi razkriti) kateri državni akter se sicer skriva za tem sofisticiranim napadom.

Junija 2023 je novinarka in soustanoviteljica ruskega medija Meduza, Galina Timchenko, na svoj iPhone prejela opozorilo, je njen telefon morda tarča državno sponzoriranega hekerskega napada.

Meduza je ruski spletni medij, ki kritično poroča o Putinovemu režimu, še posebej pa so kritični do ruske invazije na Ukrajino. Novinarja Meduze Ivana Golunova je ruska policija aretirala že leta 2019, in sicer zaradi izmišljenih obtožb o posedovanju drog.

Kako vemo, da so bile obtožbe izmišljene? Ker je bil Golunov iz zapora izpuščen, vpleteni policisti pa nato zaradi nezakonite aretacije zaprti.

Leta 2021 je ruska vlada Meduzo označila za “tujega agenta, marca 2022 pa so v Rusiji blokirali njihovo spletno stran. Januarja 2023 pa Putinov režim Meduzo uradno prepovedal in jo označil za “nezaželeno organizacijo”.

In potem se je 22. junij 2023 zgodil na začetku omenjeni dogodek, ko je ruska soustanoviteljica tega medija, ki sicer živi v exilu v Latviji, na telefon prejela obvestilo o možni okužbi z vohunsko programsko opremo.

Seveda se je nemudoma obrnila na organizacijo Access Now, ta pa na kanadski Citizen Lab, ki je izvedel forenzično analizo njenega telefona. In odkril, da je bil telefon okrog 10. februarja 2023 (v tem času je bila Timchenkova v Berlinu) okužen z vohunsko programsko opremo Pegasus.

Nič posebnega, in povsem pričakovano, boste rekli. Vlade, še posebej tiste nedemokratične, pač želijo nadzorovati svoje kritike. A vseeno je tukaj zanimiva majhna podrobnost. Pegasus je namreč vohunska programska oprema za mobilne telefone, ki jo je razvilo in jo trži izraelsko podjetje NSO.

Orodje Pegasus namreč celo izraelska vlada sama opredeljuje kot orožje in za njegov izvoz mora proizvajalec (torej podjetje NSO) pridobiti tim. izvozno dovoljenje.

Pri čemer ni nepomemben podatek, da so izraelska podjetja, ki prodajajo vojaško in vohunsko tehnologijo, tesno povezana z državo. New York Times je recimo 23. marca 2022 zapisal, da “izraelska vlada že dolgo vidi Pegasus kot ključno orodje svoje zunanje politike”, podjetje NSO pa da obravnava de facto kot del države.

Incident s Pegasusom na kritičarki Putinovega režima je zanimiv zlasti zato, ker kaže, da se je do Pegasusa (končno) dokopala tudi Rusija. Ki je trenutno pod mednarodnimi sankcijami. Predvsem pa je to v luči geopolitičnih odnosov med ZDA in Izraelom… rahlo nenavadno.

Po drugi strani pa je zanimiv tudi podatek, da je ameriško ministrstvo za trgovino NSO Group novembra 2021 vključilo na seznam podjetij, ki delujejo proti ameriški nacionalni varnosti in zunanjepolitičnim interesom, kar v praksi pomeni prepoved poslovanja ameriških podjetij z NSO Group.

V sredini letošnjega leta pa so ZDA na svojo črno listo umestili tudi več podjetij, ki prodajajo vohunsko programsko opremo Predator. Predator je, podobno kot Pegasus, vohunsko orodje namenjeno prikritemu nadzoru mobilnih telefonov.

Predator je prodajalo več podjetij, med drugim tudi “makedonski” in “madžarski” Cytrox.

Zakaj v narekovajih? Ker so v ozadju obeh podjetij pravzaprav Izraelci, ki so Predator prodajali tudi v Grčijo. Kjer je grška tajna služba EYP s pomočjo tega orodja ilegalno prisluškovala več novinarjem, pa tudi politikom in drugim vplivnim osebnostim v Grčiji. In zaradi česar je potem Evropski parlament sprožil preiskavo o zlorabi orodij za vohunjenje za mobilnimi telefoni.

In zakaj so ta podjetja umestili na tim. črno listo? Uradno zaradi “ogrožanja zasebnosti in varnosti posameznikov in organizacij po vsem svetu”, neuradno pa verjetno tudi zato, ker je bil s Predatorjem leta 2021 okužen tudi mobilni telefon Artemis Seaford, ki je bila na Meta (Facebook) zaposlena kot “trust and safety manager”. In je čisto slučajno tudi ameriško-grška državljanka. No, saj - “ogrožanje zasebnosti in varnosti posameznikov in organizacij po svetu”.

Kakorkoli. Citizen Lab sicer ni mogel z gotovostjo ugotoviti kdo stoji za hekerskim napadom na rusko novinarko Timchenkovo. A objavljena analiza prinaša prvi resnejši indic, da izraelsko vohunsko tehnologijo uporablja tudi Rusija.

Kljub sankcijam. In kljub temu, da je nadzor nad izvozom tim. “obrambnih tehnologij” iz Izraela izjemno temeljit.

Leta 2021 je Jeffrey Burrill, ameriški katoliški duhovnik in generalni sekretar ameriške škofovske konference, odstopil iz svoje funkcije v cerkvi. Razlog? Katoliški medij The Pillar je objavil informacijo, da je duhovnik prekršil zapoved celibata, saj naj bi na telefonu uporabljal gejevske aplikacije in obiskoval gejevske bare in kopališča. A kako je medij pravzaprav sploh dobil podatke s katerimi je duhovnika kompromitiral? No, tukaj se zgodba šele dobro začne.

Izkazalo se je namreč, da so bili duhovnikovi podatki pridobljeni iz komercialno dostopnih baz. Medij The Pillar je iz komercialno dostopnih baz pridobil njegove podatke o uporabi aplikacij za zmenke med geji, pa tudi lokacijske podatke njegovega mobilnega telefona in brskalne navade, s čimer so odkrili, da je obiskoval gejevske bare in gejevska kopališča.

Podatki so bili pridobljeni iz sistema RTB (Real-Time Bidding). Gre za, preprosto povedano, sistem oglaševanja na spletu, ki omogoča avtomatizirano nakupovanje in prodajo oglasnega prostora v realnem času. Pri čemer pa ta sistem omogoča predvsem natančno ciljanje oglaševalskih akcij. Oglaševalci namreč lahko oglase usmerijo na zelo natančno definirane skupine ljudi, glede na želeno demografijo, lokacijo, njihove vedenjske podatke, itd. Svoje RTB sisteme oglaševalcem ponujajo številna velika tehnološka podjetja, kot so Google, Facebook, Amazon, Microsoft, itd., kot oglaševalec pa jih lahko zakupi kdorkoli. A o tem nekoliko več kasneje.

Izkazalo se je, da ta dogodek sploh ni bil osamljen primer. V ozadju tovrstnega vohunjenja za katoliškimi duhovniki je bila namreč konzervativna katoliška organizacija Catholic Laity and Clergy for Renewal, ki je investirala kar 4 milijone dolarjev v preverjanje, ali se katoliški duhovniki držijo zapovedi celibata. In tiste, ki so jih dobili grešiti, so preko medijev javno pribili na križ. Za identifikacijo Jeffreya Burrilla so potrebovali za 52 tednov RTB podatkov, nakar je bila njegova usoda zapečatena.

Zbiranje oglaševalnih podatkov na spletu

RTB sistem posameznike kategorizira na podlagi različnih podatkov, v grobem pa gre za obsežno zbirko demografskih podatkov (ki vključujejo spol, starost, izobrazbo, poklic, pa tudi informacije o družinskem stanju, itd.), podatkov o vedenju uporabnikov na spletu (iskalna zgodovina, kliki,…), posameznikove nakupne navade, lokacijske podatke (telefone vedno nosimo s seboj), podatke o uporabnikovih napravah (znamka pametnega telefona, tablice ali računalnika, operacijski sistem in spletni brskalnik,…) in še marsikaj drugega.

Na podlagi zbranih podatkov se nato v ozadju izvede obsežna segmentacija uporabnikov. Uporabnike sistem razvrsti v različne kategorije, kot na primer “Zaposleni v letalski industriji”, “Družinski član zaposlenega v vojski”, “Javni uslužbenec - izvoljeni funkcionar”, pa seveda tudi “Televizijski novinar” ali “Duhovnik”. Vsako od teh kategorij pa je nato mogoče razdeliti še na podkategorije, pač glede na njihove interese, vedenjske vzorce, demografske podatke, itd.

Bi želeli prikazati oglas zaposlenim v občinski upravi na območju Slovenije, ki so ženskega spola, stare med 20 in 30 let ter obiskujejo spletne strani z zdravo prehrano? Ni problema. Z nekaj kliki, bo vaš ciljani oglas dosegel točno to skupino uporabnic. Kaj pa če bi želeli vaš oglas prikazati duhovnikom iz Francije, ki obiskujejo gejevske spletne strani in so mlajši od 40 let? Kot smo videli, tudi to ni kakšen večji problem.

Seveda ni dvoma, da so RTB podatki zelo koristni za oglaševalce. Po drugi strani pa je jasno, da vsebujejo zelo občutljive informacije o posameznikih, vključno z lokacijskimi podatki, kaj na spletu berejo, gledajo ali poslušajo, kakšni so njihovi seksualni interesi, iz zbranih podatkov pa se da sklepati tudi na njihove osebne težave.

Kaj pa anonimnost?

Ob tem se seveda takoj zastavi vprašanje, koliko so ti podatki pravzaprav anonimni. Oglaševalci seveda trdijo da še kar, saj da so podatki anonimizirani in je zato z njimi praktično nemogoče identificirati konkretne posameznike.

Resnica pa je precej bolj preprosta. Raziskovalci iz University of Washington so namreč že leta 2017 pokazali, da je za samo 1000 ameriških dolarjev s pomočjo oglaševalskih podatkov mogoče spremljati fizično gibanje konkretnega posameznika ter uporabo občutljivih mobilnih aplikacij (na primer tistih, ki kažejo na religijo ali spolno usmerjenost posameznika). Raziskovalci Paul Vines, Franziska Roesner in Tadayoshi Kohno so si namreč v članku Exploring ADINT: Using Ad Targeting for Surveillance on a Budget — or — How Alice Can Buy Ads to Track Bob zastavili raziskovalno vprašanje: “Ali lahko tretja stran s pomočjo kupovanja spletnih oglasov pridobi zasebne informacije o konkretnih posameznikih?”. In prišli do nedvoumnega odgovora: da, to je vsekakor mogoče. In niti ne preveč zapleteno.

Pri tem pa ni nepomemben podatek, da je RTB tehnologija aktivna na praktično vseh spletnih straneh in mobilnih aplikacijah, kjer zbira dobesedno ogromne količine osebnih podatkov o uporabnikih. Trenutno je največji Googlov RTB sistem, ki je aktiven na 15,6 milijona spletnih straneh in na milijone mobilnih aplikacijah, podatke o tem kaj uporabniki počnejo na spletnih straneh in kako uporabljajo mobilne aplikacije pa prenaša 42 milijardokrat(!) na dan. In to vsak dan. Pri čemer je Google “odgovoren” za samo 21% RTB prenosov v EU. Konkretno ti podatki pomenijo, da bodo RTB omrežja o povprečnemu nemškemu uporabniku zbrala podatke enkrat na minuto, spletne aktivnosti in lokacije povprečnega uporabnika v Franciji pa bodo v RTB omrežja posredovana 340-krat na dan. Podatki za Slovenijo kažejo, da je teh posredovanj za povprečnega slovenskega uporabnika 233 na dan.

AdInt

Zgodba pa se tukaj ne konča, ampak pravzaprav šele dobro začne.

Septembra letos je izraelski medij Haaretz objavil članek, v katerem so razkrili, da so izraelska podjetja, ki razvijajo in tržijo tehnologije za kibernetsko vohunjenje, razvila tehnologijo, ki s pomočjo zlorabe globalnega oglaševalskega sistema omogoča vohunjenje za praktično komerkoli na svetu. Izraelska podjetja naj bi razvila tehnologijo vohunjenja s pomočjo oglasov, tim. AdInt (angl. advertising-based intelligence), ki naj bi omogočala ne samo spremljanje posameznikov, pač pa tudi vdore v njihove telefone in računalnike. Po trditvah Haaretza naj proti temu ne bi obstajala nikakršna obramba, tehnologijo pa naj bi v času objave članka vsaj eno izmed identificiranih podjetij (z imenom Insanet) že prodalo v eno izmed nedemokratičnih držav. Denar pač ne pozna meja.

Haaretz o tem v mesecu septembru ni objavil kaj dosti tehničnih podrobnosti, njihov članek pa je šel mimo javnosti razmeroma neopazno. Varnostni strokovnjaki s(m)o že takrat sklepali, da Izraelci oglaševalska omrežja uporabljajo tako kot sistem za identifikacijo tarč, ter kot dostavni sistem za dostavo zlonamerne programske opreme na telefone. Ko na telefon uspejo preko ozko ciljanega oglaševanja namestiti vohunsko opremo tipa Pegasus ali Predator, pa o tarči lahko izvejo praktično vse. Od tega kje točno se oseba giblje, s kom in kaj se pogovarja, kakšna elektronska sporočila piše, kakšna gesla ima, ter seveda pridobi kopije fotografij in dokumentov iz njenega telefona. Ali pa računalnika.

Patternz

Potem pa je septembra letos Irish Council for Civil Liberties objavil poročilo Europe’s hidden security crisis v katerem je razkril še dodatne razsežnosti tovrstnega nadzora.

V poročilu so razkrili kako zasebna podjetja, ki prodajajo storitve kibernetskega nadzora in vohunjenja uporabljajo (oziroma pravilneje: zlorabljajo) RTB podatke. Dostop do RTB podatkov ima namreč praktično kdorkoli. RTB podatki se brez ovir iznašajo v države kot so Kitajska in Rusija. Seveda ne neposredno vladnim agencijam, jih pa dobivajo zasebna podjetja iz teh držav, kaj potem ta podjetja počnejo s kupljenimi podatki pa si lahko le mislimo. Kot navaja Irish Council for Civil Liberties, ruska podjetja od Googla kupujejo med drugim tudi profile ruskih uporabnikov interneta, ki obiskujejo spletne strani ruske opozicije v tujini.

Dostop do podatkov imajo tudi zasebna podjetja, ki se ukvarjajo z nadzorom in obveščevalno dejavnostjo. Poročilo tako navaja primere dveh takšnih podjetij, ki sta se registrirali kot tim. oglaševalec (oziroma oglaševalska platforma na strani povpraševanja - Demand Side Platform ali DSP), kar jima omogoča neposredno pridobivanje oglaševalskih podatkov s strani ponudnikov. Podjetje Rayzone tako trži “množično zbiranje podatkov o vseh uporabnikih interneta v državi”, podjetje Near Intelligence pa se hvali s profilnimi podatki o 152 milijonih Evropejcev, vključno z identificirano lokacijo njihovega doma, delovnega mesta in krajev, ki jih pogosto obiskujejo.

Poseben biser pa je zasebno podjetje ISA, Israeli Security Academy & technologies. Podjetje je razvilo orodje Patternz, ki uporablja RTB podatke za profiliranje 5 milijard posameznikov, pri čemer se usmerjajo tudi na otroke svojih tarč. Orodje omogoča pregled nad trenutno in preteklimi lokacijami targetiranega posameznika, podatke o tem s kom se je oseba pogosto srečala, samodejno pa zna identificirati tudi njegove otroke, partnerja, sodelavce in kje se oseba običajno giblje.

In pa seveda - Patternz se je v svojem promocijskem gradivu hvalil, da omogoča tudi ciljane napade na posameznike, in sicer s pomočjo pošiljanja “usmerjenih sporočil, oglasov ali zlonamerne programske opreme neposredno skozi oglasno omrežje”. Poslovno pa je Patternz tesno povezan z izraelskim oglaševalskim podjetjem NUVIAD, ki je registrirano tudi kot DSP in je v letu 2020 pridobivalo RTB podatke od podjetij Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive/Fyber (Digital Turbine), Opera Mediaworks, itd…

A prepletenost oglaševalskega in vohunskega sektorja se tukaj ne konča. Podjetje NUVIAD je povezano tudi z drugimi podjetji, ki se ukvarjajo s kibernetskim vohunjenjem. Leta 2017 se je tako direktor NUVIAD-a pridružil upravnemu odboru izraelskega podjetja Ability, ki je specializirano za ponujanje storitev prestrezanja telefonskih komunikacij. Rešitev Patternz pa trži tudi singapursko podjetje Sovereign Systems. To podjetje je pozornost javnosti pritegnilo leta 2021, ko so mediji razkrili, da je prodalo prisluškovalno opremo Bangladešu, državi, ki nima diplomatskih vezi z Izraelom in ki svojim državljanom celo prepoveduje potovanje v Izrael in poslovanje z izraelskimi podjetji. In kje je podjetje Sovereign Systems dobilo opremo, ki so jo prodali Bangladešu? Seveda v Izraelu, kar je prostodušno priznal kar direktor Sovereign Systems James Moloney, ki je za medije izjavil, da je njegovo podjetje zgolj fasadno podjetje za izraelski PicSix. Izobraževanje bangladeških obveščevalcev so nato leta 2018 izvedli kar izraelski obveščevalni strokovnjaki, in sicer na Madžarskem, pri tem pa so svojim slušateljem demonstrirali prisluškovanje v živo. Seveda brez kakršnekoli pravne podlage in kar na naključno izbranih tarčah na Madžarskem. Ko sta v igri denar in »višji interesi«, človekove pravice pač niso pomembne.

Kompromat

Vprašanje, ki se zastavlja kar samo po sebi pa je, kdo so pravzaprav glavne tarče teh orodij? Kot kaže analiza Irish Council for Civil Liberties, so ena izmed pomembnih tarč evropski politični odločevalci in zaposleni na občutljivih delovnih mestih. To je namreč jasno razvidno iz RTB profilov, ki so na primer: “Osebe zaposlene v obveščevalni dejavnosti in na področju protiterorizma”, “Zaposleni v obrambnem sektorju”, “Osebe odgovorne za javna naročila v letalstvu in obrambi”, “Pripadniki vojske”, “Sodniki” in “Politiki” v Franciji in Nemčiji. Pa “Zaposleni na področju jedrske energije”. In “Odločevalci v političnih organizacijah”. Seveda, v vsaki evropski državi posebej. In tako dalje, in tako naprej. Vse do “Partnerji pripadnikov vojske in člani njihovih družin”.

Pri čemer profiliranje ni samo enodimenzionalno, pač pa se nad zbranimi podatki izvaja tudi tim. psihološko profiliranje. Analitična orodja skušajo identificirati osebe s finančnimi težavami, težavami ali ranljivostmi v duševnem zdravju, spolne preference teh oseb in celo ali so te osebe kdaj v preteklosti doživele spolno zlorabo.

Na tem mestu je čas, da odpremo slovar in v njem poiščemo besedo “kompromat”. Kompromat je okrajšava za “kompromitirajoč material”, torej škodljiva informacija o nekom, ki se lahko uporablja za ustvarjanje negativne publicitete ali za izsiljevanje. Beseda izvira iz ruskega jezika, v javno rabo je prišla v sovjetskih časih, njen točen izvor pa je iz žargona sovjetske tajne policije iz 1930-tih let. Wikipedija podaja precej izčrpno definicijo besede: “zaničevalne informacije, ki jih je mogoče zbirati, shranjevati, z njimi trgovati ali jih strateško uporabljati na vseh področjih: političnem, volilnem, pravnem, strokovnem, sodnem, medijskem in poslovnem”. Ter dodaja, da gre pri tem predvsem za zbiranje informacij na zalogo, za primer, ko bi bile lahko koristne kdaj kasneje.

Če je tudi vam sistem globalnega oglaševanja zadišal po sovjetskih časih, niste edini. In če ste se ob tem spomnili na Stalina, njegovo tajno policijo, čistke in gulage, tudi niste edini.

RTB podatki, ki jih kot kaže sistematično zbirajo določene zasebne organizacije, ki se ukvarjajo s kibernetskim nadzorom in vohunjenjem, lahko najbolj natančno opišemo ravno z besedo kompromat. Še posebej, ker gre za sistematično zbiranje podatkov o finančnem stanju, mentalnem ter fizičnem zdravju, in najbolj intimnih skrivnostih o evropskih voditeljih in zaposlenih v evropski kritični infrastrukturi. To evropske institucije in industrijo izpostavlja hekerskim vdorom, izsiljevanju in kompromitiranju, posledično pa to spodkopava skupno evropsko varnost.

Kaj pa lahko storite vi?

Če se ob tem še vedno tolažite, da ste itak preveč nepomembni, da bi bili lahko tarča takšnega nadzora, in da tako ali tako nimate nič za skrivat, pa se spomnite, da ni potrebno, da bi bili v kategoriji političnih odločevalcev ali zaposlenih v kritični infrastrukturi. Dovolj je, da je ena izmed “oseb interesa” vaš sodelavec, prijatelj ali sosed. Ali pa njegov sin obiskuje isti vrtec kot vaša hčerka. In sploh ni nujno, da je ta oseba visok politični funkcionar, sodnik ali direktor kakšnega strateškega podjetja. Lahko je zgolj zadolžen za javna naročila, ali pa ima zaradi svoje funkcije dostop do kakšne zanimive informacije.

Morda ste sedaj pomislili, da bi bilo vseeno pametno pobrisati zgodovino svojega spletnega brskalnika? Naj vam razkrijemo skrivnost. Za to je že zdavnaj prepozno. Oglaševalska omrežja so si bolj od vas zapomnila zgodovino vašega brskanja, katere aplikacije uporabljate in kje ste se fizično gibali v preteklosti. Na to, ali bodo vaši podatki našli pot do obveščevalnih podjetij ali tajnih služb, pa tudi ne morete vplivati. Duh je že ušel iz steklenice. Upate lahko samo da se vam ne bo zgodilo podobno kot tistemu nesrečnemu duhovniku iz začetka tega članka.

English version of this text is also available.

In 2021, Jeffrey Burrill, an American Catholic priest and general secretary of the American Bishops’ Conference, resigned from his position in the church. Reason? Catholic media outlet The Pillar published information that the priest violated the commandment of celibacy, as he allegedly used gay apps on his phone and visited gay bars and bathhouses. But how did the media actually get the information with which it compromised the priest? Well, this is where the story just begins.

The priest’s data has been obtained from commercially available databases. The Pillar obtained commercially available data on his use of gay dating apps, as well as his cell phone location data and browsing habits, revealing that he visited gay bars and gay baths.

The data has been obtained from the RTB (Real-Time Bidding) system. This is, simply put, an online advertising system that enables the automated buying and selling of advertising space in real time. However, this system primarily enables precise targeting of advertising campaigns. Namely, advertisers can direct ads to very precisely defined groups of people, according to the desired demographics, location, their behavioural data, etc. Many big tech companies like Google, Facebook, Amazon, Microsoft, etc. offer their RTB systems to advertisers, and anyone can buy the access to these data as an advertiser. But more on that a little bit later.

It turned out that this incident was not an isolated case at all. Behind this kind of spying on Catholic priests has been the conservative Catholic organization Catholic Laity and Clergy for Renewal, which invested as much as 4 million dollars in checking whether Catholic priests adhere to the commandment of celibacy. And those who were found to have sinned, were publicly nailed to the cross through the media. It took 52 weeks of RTB data to identify Jeffrey Burrill, and his fate has been sealed.

Collection of online advertising data

The RTB system categorizes individuals on the basis of various data, but roughly speaking, it is an extensive collection of demographic data (which includes gender, age, education, occupation, as well as information about family status, etc.), data about user behavior online (search history, clicks,…), individual purchasing habits, location data (we always carry our phones with us!), data about the user’s devices (smartphone, tablet or computer brand, operating system and web browser,…) and much more.

Extensive user segmentation is then carried out in the background based on the collected data. The system classifies users into various categories, such as “Industry - Manufacturing - Aerospace and Defense”, “Family member of an employee in the military”, “Civil servant - elected official”, and of course also “Television journalist” or “Cleric”. Each of these categories can then be further divided into subcategories based on their interests, behavioural patterns, demographic data, etc.

Would you like to show an ad to all municipal administration employees in Slovenia who are female, between 20 and 30 years old and frequently visit websites about healthy food? No problem. With a few clicks, your targeted ad will reach exactly this group of users. What if you wanted to show your ad to priests from France who visit gay websites and are under the age of 40? As we have seen, this is not a problem either.

There is no doubt that RTB data is very useful for advertisers. But on the other hand, it is clear that they contain very sensitive information about individuals, including location data, what they read, watch or listen to online, what their sexual interests are, etc. And from the collected data it is also possible to infer their personal problems.

What about anonymity?

The next question is, of course, how anonymous this data actually are? Advertisers claim that they are, since the data is anonymized, so it is practically impossible to identify specific individuals with them.

But the truth is much simpler. Researchers from the University of Washington in 2017 has shown, that for just US$1,000 they can monitor the physical movements of a specific individual and the use of sensitive mobile applications (for example, those that indicate an individual’s religion or sexual orientation) with these advertising data. In the article Exploring ADINT: Using Ad Targeting for Surveillance on a Budget - or - How Alice Can Buy Ads to Track Bob, researchers Paul Vines, Franziska Roesner and Tadayoshi Kohno asked themselves a simple research question: “Can a third party obtain private information about specific individuals by buying online ads?”. And they came to unanimous answer: yes, it is definitely possible. And not too complicated either.

But what is important to know is, that RTB technology is active on practically all websites and mobile applications, where it collects literally huge amounts of personal data about users. Google’s RTB system, which is currently the largest, is active on 15.6 million websites and millions of mobile applications. And it transfers data about what users do on websites and how they use mobile applications 42 billion times (!) a day. Every day. And Google is “responsible” for only 21% of RTB downloads in the EU. To be more precise, this means that the RTB networks will collect data about the average German user once per a minute, while the online activities and locations of the average user in France will be transmitted to the RTB networks 340 times a day. Data for Slovenia show that for the average Slovenian user there are 233 such broadcasts per day.

AdInt

Unfortunately, the story does not end here, but actually just begins.

In September of this year, the Israeli media outlet Haaretz published an article in which they revealed that Israeli companies that develop and market cyber-espionage technologies have developed technology that allows spying on virtually anyone in the world by abusing the global advertising system. Israeli companies are said to have developed ad-spying technology, so called AdInt (advertising-based intelligence), which can not only monitor activities of individuals, but can also hack into their phones and computers. According to Haaretz, there is no defense against this, and at the time of publication of the article, at least one of the identified companies (named Insanet) had already sold the technology to one of the non-democratic countries. Money knows no borders, of course.

Haaretz did not publish many technical details about this in September, and their article went relatively unnoticed by the public. However, security experts at that time suspected, that the Israelis were using advertising networks both as a system for identifying targets and as a delivery system for delivering malicious software to phones. And when they manage to install Pegasus or Predator spyware on the victim’s phone through very targeted advertising, they can learn practically everything about the target. Where exactly the person is moving, with who they talk and about what, what e-mails do they write, what passwords they have, and, of course, obtain copies of all photos and documents from their phone. Or a computer.

Patternz

An then, in September of this year, the Irish Council for Civil Liberties published the report titled Europe’s hidden security crisis, in which it revealed additional dimensions of this type of surveillance.

The report revealed how private companies that sell cyber surveillance and espionage services use (or rather: abuse) RTB data. Virtually anyone can get an access to RTB data. RTB data is exported without any limits to countries such as China and Russia. Of course, not directly to government agencies, but private companies from these countries can get them, and we can only imagine what these companies then do with the purchased data. According to the Irish Council for Civil Liberties, Russian companies are, among other things, buying from Google the profiles of Russian Internet users who visit Russian opposition websites abroad. Probably for marketing purposes only.

But the access to the data also have private companies that are directly involved in surveillance and intelligence. The report cites examples of two such companies registering as an advertiser (actually they are called Demand Side Platforms or DSP’s), which enables them to obtain advertising data directly from providers. The company Rayzone is offering »mass collection of all internet users in a country« while the company Near Intelligence claims to have profile data on 152 million Europeans, including the identified location of their home, workplace and places they visit frequent.

But one of the most interesting is a private company ISA, Israeli Security Academy & technologies. The company developed Patternz, a tool that uses RTB data to profile 5 billion individuals, also targeting children of their targets. The tool enables an overview of the current and past locations of the targeted individual, information about whom the person has often met, and can automatically identify his children, spouses, colleagues and where the person usually moves. And of course - Patternz also claimed in its promotional material that they can conduct targeted attacks on individuals by sending “targeted messages, ads or malware directly through an ad network”. Patternz is closely associated with the Israeli advertising company NUVIAD, which is also registered as a DSP and in 2020 it has been receiving RTB data from Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive /Fyber (Digital Turbine), Opera Mediaworks, etc…

But the intertwining of the advertising and espionage sectors does not end here. NUVIAD is also associated with other cyber espionage companies. In 2017, the director of NUVIAD joined the board of directors of the Israeli company Ability, which is specialized in offering services for the interception of telephone communications.

The Patternz solution is also sold by the Singaporean company called Sovereign Systems. This company gained public attention in 2021 when media revealed that it had sold wiretapping equipment to Bangladesh, a country that has no diplomatic ties with Israel and even bans its citizens from travelling to Israel and doing business with Israeli companies. And where did Sovereign Systems get the equipment they sold to Bangladesh? Of course, in Israel. This has been openly admitted by the director of Sovereign Systems, James Moloney, who stated to the media that his company is just a front company for the Israeli’s PicSix. In 2018, the training of Bangladeshi intelligence officers was carried out by Israeli intelligence experts in Hungary, where they demonstrated live eavesdropping. Of course, without any legal basis and on randomly selected targets in Hungary. When money and “higher interests” are at stake, human rights are not important.

Kompromat

The question that naturally arises now is, who are the main targets of these tools? As analysis by the Irish Council for Civil Liberties shows, that one of the important targets are European political decision-makers and employees in sensitive jobs. This is clearly evident from the RTB profiles, which are, for example: “Government - Intelligence And Couterterrorism”, “Government - National Security and International”, “Person being in procurement Aerospace and Defence sector”, “People who work in the military”, “People working in judiciary” and “Decision makers for the Government” in France and Germany. And “Employees in the field of nuclear energy”. And “Decision makers in political organizations”. Of course, in each European country separately. And so on, and so on. All the way to “Military spouses and family”.

And this profiling is not only one-dimensional, but is also includes psychological profiling. Analytics tools are used to identify people with financial problems, people with mental health problems or vulnerabilities, their sexual preferences, and even whether they have ever experienced sexual abuse in the past.

At this point, it is time to open the dictionary and look for the word “kompromat”. Kompromat is short for “compromising material”, that is, harmful information about someone that can be used to create negative publicity or for blackmail. The word originates from the Russian language, came into public use in Soviet times, and its exact origin is from the jargon of the Soviet secret police from the 1930’s. Wikipedia gives a rather comprehensive definition of the word: “disparaging information that can be collected, stored, traded, or used strategically across all domains: political, electoral, legal, professional, judicial, media, and business”. And it adds that Kompromat does not necessarily target individuals or groups, but rather collects information that could be useful at a later time.

If the global advertising system smells like Soviet times to you, you are not the only one. And if you now remembered Stalin, his secret police, purges and gulags, you are also not the only one.

RTB data, which seems to be systematically collected by certain private organizations engaged in cyber surveillance and espionage, can most accurately be described with the word kompromat. Especially since it involves the systematic collection of data on financial status, mental and physical health, and the most intimate secrets of European leaders and employees of European critical infrastructure. This exposes European institutions and industry to hacking, extortion and compromise, which in fact undermines European security.

And you?

If you still believe that you are too insignificant to be the target of such surveillance, and that you have nothing to hide anyway, remember that you do not need to be in the category of political decision-makers or employees of critical infrastructure. It is enough that one of the “persons of interest” is your colleague, friend or neighbour. Or his son attends the same kindergarten as your daughter. And it is not necessary that this person is a high-ranking political official, a judge or a director of a strategic company. She may only be in charge of public procurement, or he may have access to some interesting information due to his function.

Perhaps you have now thought that it would be a good idea to delete your browser history. Let us tell you a secret. It has long been too late for that. Ad networks have remembered more of your browsing history than you or your browser. They remember which apps you use, and where you have physically been in the past. You also have no control over whether your data will be sent to intelligence companies or secret services. The genie is already out of the bottle. You can only hope that you will not suffer the same fate as that unfortunate priest from the beginning of this article.

Article has been published in Sobotna priloga. Full text in Slovenian language is also available.

Ko sem se pred dobrimi tremi meseci vrnil v Makedonijo, sem v svojem telefonu aktiviral lokalno SIM kartico. A še preden sem uspel svoj predplačniški račun napolniti in aktivirati paket mobilnega interneta, sem na svoj telefon dobil zanimivo obvestilo. Aplikacija, ki jo pomagam razvijati, mi je poslala obvestilo, da sem na telefon prejel tim. tihi SMS.

V Makedoniji uporabljam predplačniško SIM kartico, vendar pa izključno za mobilni internet. Klasične telefonije praktično ne uporabljam, svoje makedonske telefonske številke nisem delil z nikomer, za vsakdanjo komunikacijo pa uporabljam Signal registriran na svojo slovensko telefonsko številko. Zato me je obvestilo o prejemu tihega SMS sporočila na mojo makedonsko številko malce presenetilo. Še posebej, ker sem tihi SMS prejel iz - madžarske telefonske številke.

Kaj so tiha SMS sporočila?

Tiho SMS sporočilo (angl. silent SMS) je poseben tip sporočila, ki ga mobilni telefon prejemnika sicer sprejme, a ga uporabniku ne prikaže. Tiha SMS sporočila so tako nevidna za prejemnika, kar pomeni, da jih je na prejemnikov telefon mogoče pošiljati brez njegove vednosti.

V resnici pa pri tem ne gre za kakšno posebno zlorabo neke varnostne ranljivosti, pač pa so tim. tiha SMS sporočila (uporablja se tudi izraz binarna SMS sporočila) del dveh mobilnih telekomunikacijskih standardov, 3GPP 23.040 (originalno GSM 03.40) in 3GPP 23.038 (originalno GSM 03.38).

Kaj je torej mogoče narediti s tihimi SMS sporočili? Napadalec, ki na neko telefonsko številko pošlje tiho SMS sporočilo, lahko ugotovi, ali je ta telefonska številka aktivna v omrežju. Ker pa sprejem tihega SMS sporočila mobilni telefon prisili v aktivno komunikacijo z mobilnim omrežjem, to pomeni, da ob prejemu tihega SMS sporočila mobilni telefon izmenja podatke z najbližjo (dostopno) bazno postajo, s čimer razkrije svojo lokacijo. Pošiljanje tihih SMS sporočil tako lahko razkrije tudi lokacijo mobilnega telefona, zato se tiha SMS sporočila uporabljajo tudi za prikrito sledenje uporabnikov mobilne telefonije. V preteklosti je tako nemška policija tiha SMS sporočila uporabljala za sledenje osumljencev kaznivih dejanj.

Kaj se je (najverjetneje) zgodilo?

Obstaja več vrst tihih SMS sporočil, in vseh brez specializirane opreme ni mogoče zaznati. Kljub temu pa je nekatera tiha (binarna) SMS sporočila mogoče zaznati. Aplikacija, ki jo pomagam razvijati (na telefonu sem imel nameščeno razvojno različico aplikacije), je na mojem telefonu zaznala sprejem enega izmed takih sporočil.

Zakaj bi nekdo na mojo makedonsko predplačniško telefonsko številko želel poslati tihi SMS? Ena možnost je, da bi nekdo želel preveriti kdaj bo moja tukajšnja telefonska številka spet povezana v mobilno omrežje. Povedano drugače - nekdo bi želel preveriti kdaj sem se vrnil nazaj iz Slovenije.

Druga možnost pa je, da nekdo - morda kakšna prevarantska kriminalna združba - naključno preverja katere mobilne številke so aktivne in potem to informacijo uporablja za izvajanje phishing napadov.

Podatki iz dekodiranega tihega SMS sporočila so pokazali, da je pošiljateljeva telefonska številka iz Madžarske. To mi je bilo zanimivo, saj te države nisem še nikoli obiskal. Vsebina sporočila je bila šestmestna (najverjetneje naključna) številka. Iskanje po spletu je nato pokazalo, da je leta 2021 nekdo iz te telefonske številke različnim uporabnikom pošiljal navadna SMS poročila z naključnimi šestmestnimi številkami. Najverjetneje zato, da je ugotavljal ali so ciljne telefonske številke aktivne.

Glede na navedeno lahko sklepam, da je bil tihi SMS, ki sem ga prejel del kakšne prevarantske (phishing) kampanje, v okviru katere ena izmed kriminalnih združb skuša ugotoviti katere telefonske številke so aktivne in katere ne. Ker je bilo pošiljanje običajnih SMS sporočil zaznano, pa so zdaj verjetno preklopili na pošiljanje tihih SMS sporočil. Sploh glede na dejstvo, da je bilo prejeto tiho SMS sporočilo tipa Class-0 in ne Type-0, a o tem malo kasneje.

Aplikacija

Aplikacija, ki jo pomagam razvijati, se imenuje Silent SMS detector in je dostopna na mojem Github računu. Gre za nadaljevanje razvoja aplikacije Android Silent SMS Ping, ki je bila razvita leta 2016, omogočala pa je pošiljanje in zaznavo tihih SMS sporočil (sicer samo točno določenega tipa).

Aplikacija se nato dlje časa ni več razvijala, originalni avtor pa je Github skladišče aplikacije dokončno arhiviral leta 2020.

V začetku leta 2023 je bilo aplikacijo še vedno mogoče namestiti preko skladišča F-Droid, vendar pa je Virustotal analiza pokazala, da je namestitvena APK datoteka na F-Droid okužena.

V začetku 2023 smo se nato s kolegi odločili, da aplikacijo posodobimo. Najprej smo posodobili SDK (na verzijo 33) in Javo (na verzijo 11), posodobili dovoljenja aplikacije, izboljšali obvestila in pričeli z implementacijo novega dizajna.

Glavni del sprememb programske kode je prispeval znanec iz IRC-a, Jure, ki ima že kar nekaj izkušenj z razvojem različnih aplikacij, na novo pa smo oblikovali tudi ikone aplikacije.

Vrste SMS sporočil

Obstaja več vrst SMS sporočil in aplikacija Silent SMS detector zna zaznavati samo določene vrste.

• Class 0 SMS: Ta SMS sporočila se prikažejo neposredno na zaslonu mobilnega telefona, vendar se ne shranijo na telefon. Za ta SMS sporočila se uporablja tudi izraz Flash SMS. Določeni parametri takega tipa SMS sporočila povzročijo, da se sporočilo na telefonu ne prikaže (niti se ne shrani na telefon), pošiljatelj pa vseeno prejme potrdilo o prejemu. Class-0 sporočila tako ob uporabi ustreznih parametrov služijo kot tiha SMS sporočila. Aplikacija Silent SMS detector ta sporočila lahko zazna.

• Class 1 SMS: Gre za običajno SMS sporočilo. To SMS sporočilo se shrani na mobilni telefon ali SIM kartico.

• Class 2 SMS: To sporočilo je namenjeno prenosu podatkov na SIM kartici. Gre za pošiljanje tim. tehničnih podatkov s strani mobilnega operaterja. Potrdilo o prejemu pomeni, da so bili podatki uspešno prenešeni na SIM kartico.

• Class 3 SMS: Gre za običajna SMS sporočila, ki pa so posredovana na zunanjo napravo.

• Type 0 SMS: Gre za prava tiha SMS sporočila, ki na telefonu ne sprožijo nobenega dogodka, vendar pa pošiljatelju vrnejo potrdilo o prejemu. Ta SMS sporočila imajo ti. TP_PID polje nastavljeno na vrednost 0x40. Namen teh sporočil je izključno eden - sledenje uporabnikom.

Maja 2010 je Google v kodi Androida naredil spremembo, ki povzroči, da Type-0 SMS sporočila ostanejo popolnoma skrita pred uporabnikom. To pomeni, da se ne prikažejo, se ne shranijo na telefonu in uporabnika ne obvestijo o prejemu. Teoretično bi bilo torej mogoče ta sporočila zaznati s spremembo Android kode. Vendar pa so raziskave pokazale, da prejem Type-0 sporočil v Androidovih dnevniških zapisnikih (angl. log) sprožijo zapis (GsmInboundSmsHandler: Received short message type 0, dont display it or store it. Send ACK.). Žal je za to potrebno imeti odklenjeno Android napravo (angl. rooted device). Aplikacija Silent SMS detector teh sporočil ne zmore zaznati, bi pa ob ustrezni spremembi programske kode in odklenjenem (tim. “rootanem”) Androidnem telefonu to bilo mogoče.

Kaj torej aplikacija dela (in česa ne)?

Aplikacija omogoča pošiljanje določene vrste tihih SMS sporočil (tim. SMS ping), s katerimi lahko ugotovimo ali je prejemnikova SIM kartica oz. telefonska številka aktivna v omrežju ali ne.

Hkrati pa ta aplikacija lahko zazna sprejem takega tihega SMS sporočila in o tem obvesti uporabnika. O tem tihem SMS sporočilu prikaže tudi cel kup podatkov, ki jih je mogoče uporabiti za tim. analitiko groženj (angl. threat analytics).

Aplikacija teče na običajnih Androidnih mobilnih telefonih in ne zahteva odklenjene naprave (angl. rooted device).

Se je pa potrebno zavedati kaj obvestilo, da smo prejeli tihi SMS pomeni in česa ne pomeni. Prejem tihega SMS ne pomeni, da je vaša telefonska številka tarča kakšnega napada. Tiha SMS sporočila se pošiljajo iz različnih (tudi povsem tehničnih) razlogov, zato prejem tihega SMS sporočila ni nujno indikator, da vam skuša kdo slediti.

Ta sporočila se namreč uporabljajo za pošiljanje binarnih podatkov, kot na primer tonov zvonenja, slik, WAP Push sporočil ter za Over The Air (OTA) programiranje in za pošiljanje konfiguracijskih podatkov. Preko tihega SMS sporočila tako na primer lahko dobite nastavitve za gostovanje (angl. roaming), itd. Na večini kartic SIM so namreč shranjene nastavitve, ki določajo prednostna omrežja. Operaterski seznam omrežij PLMN (Public Land Mobile Network), tako imenovani OPLMN, namreč operater domačega omrežja pogosto posodablja kar preko radijske povezave (tim. OTA). Do tega običajno pride, ko z vključenim mobilnim telefonom vstopite v novo državo in imate vključeno gostovanje. V tem primeru bo operater na vaš mobilni telefon poslal binarni SMS, Silent SMS detector pa ga bo zaznal in vas o tem obvestil. Seveda pa to ne pomeni, da vašo SIM kartico nekdo skuša locirati ali da vam nekdo skuša slediti.

Kot smo pokazali, pa po drugi strani obstaja več vrst tihih SMS sporočil in naša aplikacija zaznava samo določen tip le-teh. Če torej obvestila aplikacije niste prejeli, to ne pomeni, da na vašo telefonsko številko nekdo ni poslal tihega SMS sporočila (npr. kakšnega drugega tipa) ali da ni skušal izvesti kakšne druge oblike sledenja. Odsotnost obvestila torej ne pomeni, da vas nekdo ne spremlja.

Morda niste vedeli, a tudi vaša SIM kartica lahko naokrog samostojno pošilja SMS sporočila brez vaše vednosti. Leta 2021 je namreč raziskovalec David Allen Burgess ugotovil, da SIM kartice v nekaterih primerih pošiljajo SMS sporočila, ne da bi operacijski sistem telefona to sploh zaznal. O tem ni javno dostopne dokumentacije, uporabniki teh sporočil ne vidijo, operaterji pa o tem ne govorijo.

Burgess je do odkritja prišel pri preiskavi primera prometne nesreče, kjer je tožilstvo trdilo, da je do nesreče prišlo zaradi nepremišljene vožnje, saj naj bi voznik tik pred nesrečo pošiljal SMS sporočila. A izkazalo se je, da je SMS sporočila brez vednosti lastnika pošiljala njegova SIM kartica, preko SMS sporočila pa je pošiljala serijsko IMEI številko trenutnega telefona in telefona v katerega je bila vstavljena pred tem, ter še nekatere druge tehnične podatke. To vse kaže na to, da se v ozadju mobilne telefonije dogaja marsikaj, česar običajni uporabniki brez specializiranih znanj in opreme ne zmorejo zaznati. Mimogrede, to tudi pomeni, da si SIM kartica lahko zapomni v kateri mobilni telefon je bila vstavljena, kar pomeni, da menjavanje telefonov ni ravno učinkovita taktika zaščite pred sledenjem.

Če se želite popolnoma izogniti sledenju je pravzaprav edina možnost, da mobilni telefon izključite oziroma na njem vklopite tim. letalski način. Seveda pa to močno poslabša uporabniško izkušnjo, niti ni preveč praktično, zato ni pričakovati, da bodo uporabniki, ki se želijo izogniti sledenju okrog hodili z ugasnjenimi mobilnimi telefoni. Smisel in namen mobilnega telefona je vendarle v tem, da je prižgan. :) Je pa res, da obstajajo tudi druge strategije in tehnične rešitve s katerimi lahko otežimo sledenje in nadzor nad svojim mobilnim telefonom, a o tem kdaj drugič.

Aplikacija Silent SMS detector je tako predvsem zanimiv prikaz tehnologije, saj z njo lahko dobite vsaj delen vpogled v to kaj se dogaja “v ozadju”. Silent SMS detector vam namreč prikaže (nekatera) SMS sporočila, ki bi vam sicer ostala skrita. To pa je kar precej kul, kajne?

Aplikacijo si lahko namestite iz mojega Github skladišča, kdor ima čas, voljo in znanje, pa lahko pomaga tudi pri nadaljnjem razvoju in testiranju. Kot smo pokazali, bi bilo z nekaj dodatnega truda mogoče zaznavati tudi Type-0 tiha SMS sporočila, verjetno pa bi se dalo implementirati še kakšno drugo zanimivo funkcijo.

Dva tedna po prejemu prvega tihega sporočila sem obiskal Bolgarijo in za en dan izključil svojo makedonsko SIM kartico. Ko sem se vrnil domov in ponovno vključil mobilni telefon, sem čez slabih 20 minut prejel nov tihi SMS in sicer iz iste (madžarske) telefonske številke kot prvič. Drugačna je bila le naključna koda v poslanem sporočilu. Sem pa potem nazaj na pošiljateljevo telefonsko številko poslal navaden SMS z vprašanjem kaj se dogaja in od takrat naprej tihih SMS sporočil ne dobivam več… :)

Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).

Pred enaindvajsetimi leti je Jeff Moss alias Dark Tangent v Las Vegasu naredil poslovilno zabavo za kanadskega prijatelja, ki je zaradi odhoda družine v tujino zapiral svoje BBS vozlišče. Prijatelj je žal moral na pot še preden se je začelo, a zabava za okoli 100 hekerjev je vseeeno stekla. Čeprav je bila mišljena kot enkratni dogodek, je eden od udeležencev Mossu po zaključku pisal in ga vprašal, kdaj bo naslednji DEF CON. Ostalo je zgodovina.

DEF CON nikakor ni običajna konferenca. Drugačna je že registracija nanjo, ki je možna samo na licu mesta in ob plačilu dvesto dolarjev v gotovini (letos 180). Nič vnaprej, nič kreditnih kartic ali Paypala. Prijava je anonimna in na značkah ni imen – vsak se lahko predstavlja kot želi in tako zlahka ohranja svoj omrežni jaz. Od sto hekerjev je udeležba zrasla na osem do deset tisoč ljudi. Tako se namreč reče navadnim udeležencem (human), za red in gladek potek pa skrbijo goons1, ki to veliko množico ljudi usmerjajo in skrbijo za varnost. To pa ob številu udeležencev ni majhna naloga.

Za registracijo se je pametno postaviti v vrsto pred pol osmo uro zjutraj prvi dan in tako le kakšno uro in pol čakati na registracijo. Če pa mislite preskočiti uvodna predavanja, je manjša vrsta popoldne. Ne mislite pa, da se boste brez značke izmuznili goonom in registrirali kasneje! Če imate nekaj smisla za uganke in šifriranje, si lahko brezplačno udeležbo priigrate z zmago v izzivu, ki je objavljen kakšen mesec prej na spletni strani.

Prvi dan je DEF CON 101 in je namenjen vsem, ki so na konferenco prišli prvič. Razložili vam bodo osnovna pravila, nekaj zgodovine konference in ves spremljevalni program. Sledi nekaj bolj osnovnih predavanji. Vseeno je dan zapolnjen, konča se s projekcijo kakšnega relevantnega dokumentarnega filma ali zabavo ob hotelskem bazenu. Sledijo trije polni dnevi s predavanji v kar petih stezah in ob bogatem spremljevalnem programu.

“Spremljevalni program” za opis različnega DEF CON dogajanja zveni popolnoma suhoparno in neustrezno. Na konferenco nekateri sploh ne pridejo poslušat predavanj, ampak zato, da se dokažejo s svojo ekipo v hekerskem Capture the Flag tekmovanju (zadnja leta se lahko preizkusite tudi v različici za socialni inženiring). V Lockpick Village se lahko naučite odklepanja klasičnih ključavnic, na BCCC tekmujete s svojo napravo v hlajenju piva, lahko pa prvi dan preživite na toksičnem žaru (Toxic BBQ), kamor prinesete svojo hrano in recepte. Zvečer lahko na hekerskih kareokah tudi zapojete. Vsega je ogromno, organizatorji pa svojo družbeno ozaveščenost nedvomno kažejo tudi z dogodki za otroke (prej DEF CON kidz, zdaj r00tz), srečanji istospolno usmerjenih udeležencev queercon in podporo za udeležence z okvarami sluha DEAF CON.

Sem in tja lahko skočite pogledat, ali se je zaradi trenutne nepazljivosti kakšno vaše geslo ujelo na Zidu za ovce (Wall of Sheep). Tam lovijo udeležence, ki so prišli na hekersko konferenco in so tako neuki, da iz svojih naprav po brezskrbno po odprtem brezžičnem omrežju pošiljajo gesla v čisti obliki. Večina ujetih gesel je poštnih, preko IMAP ali POP3 protokola. Organizatorji ponujajo tudi varnejše brezžično omrežje s samoregistracijo, zato se velja takoj registrirati nanj in pozabiti na odprto omrežje. Ker pa se “nikoli ne ve,” si pred odhodom uredite še kakšen lastni šifrirani VPN dostop, preko katerega boste usmerjali ves svoj promet.

Letošnja predavanja

Predavanj je res veliko. Potekajo na petih, včasih celo šestih stezah. Od tega, kaj boste izbrali od predavanj, bo odvisen tudi občutek o kvaliteti predstavljenega. To boste hitro ugotovili v pogovorih med odmori, ko boste primerjali slišano vsebino. Predavanja se običajno končajo petnajst minut pred naslednjim, kar pusti dovolj časa za masovne migracije ljudi po hodnikih od ene predavateljske dvorane do druge.

Tokrat smo lahko poslušali o posebnostih IPv6 hekanja, ter uporabi Microsoftove lupine Powershell za “penetracijske teste”. No, ali pa za hekanje v tuje računalnike, ne? Oblaki so bili na tapeti, ko je bil predstavljen način pridobivanja neomejenega prostora na Dropboxu: datoteko razdelite na majhne koščke, te pa shranite kot različne verzije iste datoteke in izkoristite neomejene možnosti sledenja različic. Potem naredite svoj vmesnik, ki upravlja s tako shranjenimi podatki. Seveda boste v težavah takoj, ko bo Dropbox uvedel omejitve in zaščito pri shranjevanju različic. Prepričan sem, da kmalu.

Že prvi dan smo z odra lahko slišali nekoliko zlobno pripombo, da s seboj ne nosite androidnih naprav, ker boste pwnani!2 Tako enostavno verjetno le ni, smo pa lahko vseeno slišali kar nekaj predavanj o takšnem ali drugačnem hekanju androida in pomanjkljivosti Googlove zaščite pri podtikanju zlonamernega programja v njegovo Play trgovino. Prikazan je bil tudi način vdora v Google Apps storitev z ukradenim android telefonom. Googlovi inženirji so sigurno sedeli med publiko.

Pomanjkljiva zaščita na popularnih spletnih mestih za poslušanje glasbe je izpostavila tiste ranljive, kjer lahko MP3 datoteke z manipulacijo spletnih zahtev zastonj shranite na svoj računalnik. Predavanje o izgradnji lastnega javascript botneta, kamor porazdelite svoje šifrirane datoteke se je končalo z zanimivim pogovorom o zanesljivosti in odpornosti takšnega botneta na izpade posameznih vozlišč. Letos je kar nekaj predavateljev tudi govorilo o reverznem inženiringu avtomobilskih sistemov, ki komponente povezujejo s CAM vodilom. Vsak prikaz konkretne izrabe varnostne luknje je pospremljen z vljudnim aplavzom publike, bolj zanimivi heki pa tudi s kakšnim vzklikom.

Dobro obiskano je bilo predavanje o DoS napadih, ki izkoriščajo slabosti IPv6 implementacije na različnih operacijskih sistemih in strežnike “zamrznejo” tudi brez podatkovnih poplav velikih botnetov. V drugem delu pa smo za kontrast lahko slišali izkušnje ponudnika CloudFlare ob letošnjih napadih na njegovo stranko Spamhaus, ki so dosegli pasovno širino kar 300 Gb/s. Napad je bil izveden preko odprtih rekurzivnih DNS strežnikov in predavatelj je opisal zamisel, da bi lahko za obrambo “rekurzivce” prepričali, da se napadejo medsebojno in se zato ne bi imeli več časa ukvarjati z napadom na originalno tarčo! Njihov pravnik ob tem presenetljivo ni rekel odločnega: “Ne!” vendar nadaljnjih podrobnosti v predstavitvi nismo slišali.

Predavanje o “mrcvarjenju podatkov” je pokazalo na nepredvidljive posledice kombiniranja javno dostopnih podatkov in je podalo protiutež “open data” inciativam, ki se verjetno ne zavedajo posledic na posameznikovo zasebnost.

Nekoliko napeto vzdušje pa je spremljalo ambasadorja ZDA, nekdanjega člana skupine za pogajanja o nuklearnem programu Severne Koreje. Potegnil je nekakšno paralelo med atomskim in kibernetskim orožjem, češ, zakaj tudi računalniški virusi ne bi bili predmet kakšne omejevalne mednarodne konvencije. Ni bilo sprejeto z navdušenjem, res pa so vprašanja iz publike kmalu začela vleči v smer NSA prisluškovanja.

Na DEF CON lahko obiščete tudi (recimo temu) podporna predavanja. “Kako razkriti ali prodati izrabo ranljivosti (exploit) in pri tem ne zaiti v težave” je opisovalo uzance ameriškega pravnega sistema, predvsem zakona CFAA (Computer Fraud and Abuse Act), drugje ste slišali o etičnih vprašanjih hekanja, lahko pa ste šli na delavnico o preprečevanju samomorilnosti, ki naj bi bila v delu hekerske skupnosti še kar prisotna. Med bolj bizarnimi pa bi omenil predavanje o zgodovini ukrepov vlade ZDA ob pojavu NLP (neznanih letečih predmetov) po drugi svetovni vojni. Misli te hitro odnesejo v Area 51 tam v bližini.

Streznitev

Enaindvajset je tista zaresna polnoletnost v ZDA, ko lahko alkoholno pijačo. DEF CON je lani z dvajsetlo obletnico obrnil nov list, ko je med glavnimi predavatelji daleč najbolj izstopal direktor NSA, general Keith B. Alexander. Takrat ni skoparil s komplimenti hekerski skupnosti in v majici EFF (Electronic Frontier Foundation) na oder povabil mlado CyFi, zmagovalko na DEF CON kidz tekmovanju, ter jo predstavil kot svetlo prihodnost ZDA. Čez kakšen dan je prvi guru informacijske varnosti Bruce Schneier pred publiko dejal: “Pa mu ja niste nasedli?!”

Vseeno je lani kazalo na pričetek sožitja s “feds”, zveznimi agenti, ki že od nekdaj v civilu hodijo na DEF CON. Letos je bilo v zraku jasno čutiti težo streznitve, ki jo je prineslo Snowdenovo razkritje programa PRISM. Pred konferenco je Jeff Moss objavil javni poziv vladnim uslužbencem, da naj se vzdržijo obiska. “Potrebujemo nekaj časa narazen,” je dejal. Tako je umanjkala tudi zabavna “Spot the Fed” aktivnost prepoznavanja agentov v civilu.

DEF CON je en in edini. Kako se bo razvijal v zrela leta, bomo videli, velik del njegove privlačnosti pa je njegov širši kontekst in številni dogodki v njem. Predavanja pa so ena boljših in so v celoti posneta, zato jih kar poiščite na Youtube.

Članek je bil objavljen v septemberski številki revije Monitor.