Chcieli dobre programy, a dostali złe: każde państwo może atakować internautów

Pobieranie popularnego oprogramowania na Windows źle sięskończyło dla tysięcy internautów z Turcji, Syrii i Egiptu –zainteresowani Avastem, CCleanerem, Operą i 7-Zipem prze wieletygodni otrzymywali uzłośliwione wersje tych programów, z modułamiszpiegowskimi i koparkami kryptowalut. Co najgorsze, pobierali je wdobrej wierze z oficjalnych stron producentów. Kolejny z dogmatówbranży bezpieczeństwa okazał się mitem: oficjalne stronyproducentów nie są w stanie zagwarantować bezpieczeństwa, jeślisamo pobieranie odbywa się po nieszyfrowanym protokole HTTP.

Odkrycie badaczy The Citizen Lab jest naprawdę niepokojące ipokazuje, jak bardzo Google miało rację ze swoim projektemzaszyfrowania całego ruchu internetowego. Skanując sieci, badaczeci odkryli systemy głębokiej inspekcji pakietów (DPI) winfrastrukturze największych operatorów telekomunikacyjnych Turcjii Egiptu – Türk Telekom i Telecom Egypt. Zadaniem tych systemówbyło przechwytywanie niezaszyfrowanego ruchu sieciowego internautów.

Te tureckie systemy zajmowały się podmienianiem pobierańniegroźnych, popularnych programów na ich uzłośliwione wersje.Choć bowiem strony producentów były dostępne po HTTPS, to jednakużytkownicy domyślnie byli przekierowywani do hostów serwującychpliki po HTTP. Tak samo działo się w wypadku popularnejstrony-katalogu Download.com, należącej do CNET-u.

W ten sposób użytkownicy dostawali na swoje komputeryinstalatory zawierające początkowo spyware FinFisher,tworzone na zamówienie klientów rządowych i jak twierdzi jegoproducent, przeznaczone jedynie do „zgodnej z prawem inwigilacji”.Później w tureckiej operacji zaczęto stosować autorskie spyware,przypominające ataki StrongPityz 2016 roku, wymierzone przede wszystkicm w użytkowników z Belgii iWłoch. Tym razem tureckim operatorom chodziło m.in. o przestrzeńadresową regionów kontrolowanych przede wszystkim przez kurdyjskiemilicje, ale nie tylko – niektóre z ataków były wymierzone teżw internautów z Syrii.

Operacja w Egipcie była technicznie podobna, choć prowadzona zwyraźnie z innych pobudek. Tam przekierowywano użytkowników zsieci dziesiątków dostawców internetowych do stron z reklamami iskryptami koparek kryptowalut, ewidentnie tylko po to, aby zarobićna nich pieniądze.

Co z tego wynika dla zwykłego internauty z Europy? Całkiemsporo. Charakterystyka tych ataków wskazuje, zdaniem badaczy z TheCitizen Lab, na wykorzystanie systemów pośredniczących PacketLogic firmy Sandvine. Są one w stanie niemal dowolniekształtować ruch internetowy na ogromną skalę – nie tylkopriorytetyzując i opóźniając pakiety, ale też blokującokreślone typy ruchu czy wstrzykując w ruch ten własne pakiety, ologowaniu tego wszystkiego nie wspominając.

Nazwa Sandvine mało komu coś mówi, ale wystarczy spojrzeć najej poprzednią nazwę, a wszystko stanie się jasne. Wcześniejfirma ta nazywała się Procera Networks i zajmowała się sprzedażąsprzętowych narzędzi do kształtowania ruchu sieciowego dlamniejszych i większych telekomów. W 2015 roku została przejętaprzez prywatny fundusz Francisco Partners i usunięta z nowojorskiejgiełdy. W 2016 roku wyciekła informacja, że klientem Proceryzostał turecki rząd, który zakupił od firmy narzędzia dogłębokiej inspekcji pakietów, by wydobywać loginy, hasła iadresy IP osób odwiedzających niezaszyfrowane witryny. Protestującyprzeciwko tej transakcji pracownicy firmy zostali podobno zwolnieni.

Oznacza to, że praktycznie każde niezbyt zaawansowane techniczniepaństwo może sobie dziś pozwolić na wielkoskalowe ataki przeciwkoswoim internautom. Nie trzeba być Stanami Zjednoczonymi z ich NSA, rozwiązania skrojone napotrzeby pomniejszych państw są do kupienia za akceptowalne dlarządowego klienta pieniądze. Taki PacketLogic 15000, przeznaczonyoficjalnie do „ulepszenia doświadczeń abonentów”, jest wstanie jednocześnie „obsłużyć” do 10 mln użytkowników,sterując ich ruchem internetowym.

Jak się zabezpieczyć? Polecić możemy przede wszystkim HTTPSEverywhere – rozszerzenie które wymusza tam gdzie to tylko możliwestosowanie szyfrowanego protokołu HTTPS, a jeśli nie jest tomożliwe (serwer nie wspiera szyfrowanych połączeń), toprzynajmniej ostrzega o niebezpieczeństwie. Rozszerzenie to wwersjach dla Firefoksa, Chrome i Opery znajdziecie w naszej bazieoprogramowania.