Hlavní navigace

Jak FBI využívá spyware k chytání zločinců na síti Tor?

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 15. 7. 2015

To, že policejní složky využívají spyware pro identifikaci lidí na internetu, není žádnou novinkou. Debata o přiměřenosti takových metod je ale stále aktuální.

Letos na jaře zabavila FBI web s dětským pornem, který podle informací v médiích fungoval na „síti navržené pro podporu anonymní komunikace“, tedy velmi pravděpodobně přes Tor.

Na serveru bylo registrováno 214 898 členů a FBI nechala web – na základě soudního povolení – zhruba dva týdny běžet a nasadila na něj kód, který jí umožnil sbírat data o jeho návštěvnících. Použila přitom i „techniky, které by umožnily počítači poskytnout data při každém přihlášení“.

Což v praxi znamená použití nástrojů totožných s těmi, které si kdekdo kupoval od nedávno hacknutého Hacking Teamu: tedy „štěnic“ nasazených do počítačů uživatelů tohoto webu. Ty FBI umožnily uživatele najít, protože přímým vstupem do jejich zařízení obešla „ochranu“, kterou jim poskytovala anonymizace přes Tor (předpokládejme, že to Tor byl).

Zda byl někdo na základě získaných informací obviněn, zatím jasné není, ale v soudních materiálech je citován jeden případ, kdy získané informace přivedly FBI ke konkrétnímu člověku. NDTV nicméně uvádí, že už byli obvinění minimálně dva lidé, včetně bývalého učitele z New Yorku.

NDTV píše i některé další detaily o tom, jakým způsobem uživatelé server využívali. Například výše zmíněný bývalý pedagog na něm měl strávit přes 194 hodin v období od září 2014 do března 2015. Což zahrnovalo například získání přístupu k 400 fotografiím pětileté dívky zapojené do různorodých sexuálních aktivit. 

Jak uvádí Reuters, k zabavení webu policii přivedly předchozí zásahy, kdy zastavila činnost menších serverů s dětskou pornografií (v roce 2012 s 5 600 a 8 100 členy). V těchto případech (policie při nich mimochodem přímo zmiňovala síť Tor) razie vedly k obvinění 28 lidí, včetně Aarona McGratha, provozovatele webů, který v roce 2014 dostal 20 let vězení.

Další podrobnosti o tomto několik let starém případu se můžete dočíst v článku Former Acting HHS Cybersecurity Chief Guilty Of Child Porn. I tady najdete zmínky o síti Tor, která sloužila k „bezpečnému“ přístupu k webu, a o tom, že policie použila software, který po instalaci do počítače sledovaných odesílal informace umožňující jejich identifikaci.

Operace Torpedo a Aaron McGrath

Hromadné instalování spywaru do počítačů všech lidí, kteří určitou službu navštívili, ale také vyvolalo dotazy, zda FBI nepřekročila meze. V Operation Torpedo: Fed Tactics on Trial in Porn Case je více informací o šetření, zda Operace Torpedo (tak se jmenovala výše popsaná aktivita) nepřekročila pravomoci, kterou jí dávalo povolení k domovní prohlídce.

Případ Aaron McGratha je podle všeho také prvním případem, kdy FBI hromadné instalace „štěnic“ použila. Před využíváním tohoto postupu tehdy varovala i ACLU (American Civil Liberties Union). Upozorňovala, že jakkoliv je jeho nasazení v případě dětské pornografie zřejmě nejsnáze ospravedlnitelné (už jen její prohlížení je totiž zločinem, takže je těžké představit si, že na podobné servery přijde někdo s legitimním důvodem), používání v jiných případech už by tak bezproblémové být nemuselo. 

Pokud by totiž policie podobné techniky používala u služeb, které nejsou tak jasně za hranou zákona, dá se očekávat, že spyware skončí i v počítačích lidí, kteří mají o jejich obsah legitimní zájem – ať už jde například o žurnalisty, výzkumníky či právníky.

Jen odhalení adresy

Na Operaci Torpedo je zajímavé i to, že ve skutečnosti začala v roce 2011 v Nizozemí. Tamní kriminalisté se rozhodli napsat robota, který prohledal Tor se zaměřením na weby s dětským pornem. Což posléze vedlo k domovní prohlídce a snaze najít umístění takovýchto webů. Něco takového je v rámci sítě Tor v podstatě běžnými způsoby nemožné, ale tady byla hlavním bodem nepochopitelná chyba správce serveru Pedoboard – nechal přihlašovací údaje správce bez hesla. Policie díky tomu dokázala zjistit reálné IP adresy, vedoucí do USA a ve finále k zadržení Aarona McGratha.

Ten provozoval ještě dva další servery s totožným obsahem, jeden doma, dva tam, kde pracoval. Po zhruba roce sledování a zkoumání FBI nakonec přišla s Operací Torpedo a třemi povoleními k domovní prohlídce (na tři servery McGratha). Součástí povolení byla i výjimka, že vyrozumění sledovaných o prohlídce může být zpožděno až o 30 dní. A právě tento bod pak vyvolal právní spory, protože FBI zatkla některé lidi identifikované pomocí malwaru až za několik měsíců.

Samotný malware použitý v tomto případě sloužil pouze k získání informací o tom, odkud uživatel přistupuje. Žádné pokročilejší funkce v něm zahrnuty nebyly. Jak ale víme z hacku Hacking Teamu, zahrnuty být mohly – ať už zachycování klávesnice, získání obsahu počítače, zachycování provozu na sítích, atd.

Soud nakonec námitky obhájců obviněných za porušení podmínek příkazů k domovní prohlídce smetl ze stolu. Otázky ale zůstávají, včetně toho, nakolik soudci povolující podobné „elektronické“ domovní prohlídky vlastně rozumějí tomu, co se bude dít.

Malware skrývající se na zabavených serverech

Z hlediska bezpečnosti a počítačů je výše uvedená technika klasickým malwarem a také ji tak identifikuje antivirový či bezpečnostní software – tedy za předpokladu, že o něčem takovém ví, nebo že je využit exploit, který je známý.  Něco takového se ostatně stalo v srpnu 2013, kdy se FBI pokusila spyware opět použít, ale tentokrát se kód vložený do serverů na Tor síti prozradil.

WT100

Konkrétní Javascript se snažil využít bezpečnostní chybu v prohlížeči, který se v rámci sítě Tor používá, tedy v zásadě v upravené verzi Firefoxu. Umístěn byl do rámce (IFRAME) a právě tak ho někteří uživatelé objevili. Kvůli tomu, že Tor prohlížeč nemá automatické aktualizace, byl ale útok v řadě případů úspěšný, ačkoliv využíval bezpečnostní chybu starou několik měsíců a mezitím dávno opravenou jak ve Firefoxu, tak v aktuální verzi Toru.

Podrobnosti k tomuto útoku najdete například ve Firefox Zero-day exploited against Tor anonymity a vedl nakonec k některým změnám, které posílily bezpečnost v síti Tor. A také k otázkám, zda za tímto útokem byla skutečně jenom FBI, nebo spíše NSA. 

Našli jste v článku chybu?
Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků