Četvrtak, Jul 19, 2007
FBI daljinski instalira spyware da bi pratio pretnje od bombi
FBI je koristio najnoviji tip daljinski instaliranog spyware-a prošlog meseca da ispita ko je slao e-mail-om bombaške pretnje u srednju školu blizu Olimpije, Vašington.Federalni agenti su dobili sudsko naređenje 12. juna da pošalju spyware zvani CIPAV na MySpace nalog za koji se sumnjalo da ga je koristio lažni dojavljač koji je pretio bombom. Jednom ubačen, softver je bio dizajniran da pošalje izveštaj za FBI o Internet Protocol adresi kompjutera osumnjičenog, drugim informacijama na njegovom PC-u, i pre svega, trenutnom logu korisnikovih odlazećih veza.
Osumnjičeni, bivši učenik srednje škole Timberline, Josh Glazebrook, je osuđen ove nedelje na 90 dana u popravnoj instituciji nakon što je proglašen krivim za pretnje bombom i druge optužbe.
Iako je bilo dosta spekulacija kako je FBI mogao isporučiti spyware elektronski, ovaj slučaj je prvi koji otkriva kako se tehnika koristi u praksi. FBI je potvrdio 2001. da je radio na virusu zvanom Magic lantern (Čarobni lampion), ali tad nije mnogo govorio o tome. 2 druga slučaja u kojima je poznato da su istražitelji koristili spyware, slučajevi Scarfo i Forrester, su imali agente koji su se uvukli u kancelarije da bi postavili ključeve za logovanje (key loggers).
FBI naziva ovaj spyware CIPAV (skraćeno od Computer and Internet Protocol Address Verifier ili Verifikator kompjuterskih i IP adresa ).
“Stvarna priroda ovih komandi, procesa, mogućnosti i njihova konfiguracija je poverljiva kao i osetljiva istraživačka tehnika, čijim otkrivanjem bi se ugrozile druge tekuće istrage i korišćenje tehnike u budućnosti, “ napisao je agent Norm Sanders. Referenca ka registriju operativnog sistema pokazuje da CIPAV može ciljati Microsoft Windows. Drugi podaci poslati FBI-ju uključuju tip operativnog sistema i serijski broj, logovano korsničko ime i web URL za koji je kompjuter prethodno bio zakačen.
Bilo je nagoveštaja u prošlosti da je FBI koristio ovu tehniku. 2004. članak u Minneapolis Star Tribune-u je izvestio da je biro koristio "Verifikator IP adresa" koji je poslat osumničenom preko e-mail-a. Pretpostavlja se da je korišćena ubačena slika u HTML formatiranoj e-mail poruci, poznatija kao Web bug (internet buba).
Interesantan obrt u trenutnom slučaju je da su istražitelji saznali o profilu na MySpace-u, timberlinebombinfo, kada je njegov tvorac pokušao da ubedi druge učenike da se linkuju na njega i najmanje jedan od njihovih roditelja je zvao policiju. 33 učenika su primila zahtev da pošalju link ka "timberlinebombinfo" na nihovim stranicama MySpace-a.
Učenik koji je slao lažne pretnje bombom je takođe slao niz pretećih poruka sa Google Gmail naloga (uključujući i dougbrigs@gmail.com) 4. juna.”Imaju 4 postavljene bombe u srednjoj školi Timberline. Jedna je u matematičkom holu, holu biblioteke i jedna je prenosiva. Bombe će eksplodirati u petominutnim intervalima od 9:15 pre podne, “deo je tih poruka. FBI je odgovorio dobijanjem logova sa tih naloga sa Google-a i MySpace-a, a oba su pokazala IP adresu 80.76.80.103 za koju se ispostavilo da je kompromitovani kompjuter u Italiji.
Tad je FBI iskoristio CIPAV kao tešku artiljeriju koji je isporučio podatke o IP adresi, Ethernet MAC adresi i izvesne tipove informacija o registriju.
Pod pretpostavkom da je FBI isporučio CIPAV spyware preko e-mail-a, kako je program zaobišao anti spyware odbrane i instalirao se kao maliciozni softver? Jedna mogućnost je da je FBI ubedio tvorce sigurnosnog softvera da previde CIPAV, i da ne uzbunjuju njihove korisnike na njegovo prisustvo. Druga je da je FBI otkrio (ili platio nekom da otkrije) nepoznate ranjivosti Windowsa i sigurnosnog softvera baziranog na Windowsu, koji bi dozvolio CIPAV-u da se instalira. Iz perspektive FBI-a, to bi bilo poželjno, jer bi i drugi prodavci bezbednosnog softvera, mnogi sa centrima u drugim zemljama, morali da stave CIPAV na belu listu. Ispitivano je 13 prodavaca sigurnosnog softvera i svi su rekli da im je generalna politika da otkriju policijski spyware. Neki bi ipak poslušali naređenje suda da ignorišu policeware, a niti McAfee niti Microsof t ne bi rekli da li su dobili takvo sudsko naređenje.
Izdvajamo iz ponude: