Image
21.8.2014 0 Comments

Vlády môžu šíriť malvér cez videá na YouTube

malware2.jpeg Veľa inak dobre informovaných ľudí si myslí, že na to, aby sa niekto nabúral do ich počítača, sa musia dopustiť nejakej chyby či neopatrnosti, napr. kliknúť na infikovanú e-mailovú prílohu či navštíviť škodlivú webovú stránku.

Mnohí si takisto myslia, že NSA a jej zahraniční partneri sú jediní, ktorí menia internet na militarizovanú zónu. No podľa štúdie Citizen Lab to zďaleka nemusí byť pravda. Na to, aby ste vystavili svoje bankové informácie, súkromné fotografie či iné citlivé údaje zvedavým očiam, si stačí pozrieť video s roztomilými mačičkami na YouTube.

Napriek tomu, že povedomie o potrebe zabezpečenia internetu sa čoraz viac rozširuje, aj dnes sa veľká časť internetovej prevádzky uskutočňuje v nezašifrovanej podobe. Hoci ľudia uznávajú, že nezašifrovanú komunikáciu možno sledovať, neuvedomujú si, že môže poslúžiť aj ako priama cesta k ohrozeniu ich počítačov.

Spoločnosti ako Hacking Team či FinFisher predávajú orgánom činným v trestnom konaní zariadenia určené na špehovanie. Ide o fyzické stroje nasadené u poskytovateľov internetových služieb po celom svete, ktoré umožňujú exploity. Potom už stačí hoci aj pomocou zdanlivo nevinného videa na YouTube prepašovať do počítača používateľa škodlivý kód, ktorý si už poradí so sledovaním a odosielaním údajov na patričné miesta.

Napríklad prístroj Hacking Teamu sa zameria na používateľa a čaká, kým ten začne sledovať klip na YouTube, potom do streamu nasadí malvér, ktorý poskytne úplnú kontrolu nad cieľovým počítačom bez vedomia jeho používateľa. Okrem služby YouTube takéto stroje napadli aj webovú stránku login.live.com, ktorá slúži na prihlásenie sa do účtu Microsoftu.

Našťastie pre používateľov Google i Microsoft po zistení, že na ich služby boli použité takéto komerčné nástroje, podnikli kroky na zaplátanie chyby v zabezpečení pomocou šifrovania všetkej cielenej prevádzky. Pre firmy ako Hacking Team či FinFisher však existuje ešte veľa ďalších spôsobov, ktoré môžu využiť. Akákoľvek nešifrovaná prevádzka totiž môže byť manipulovaná tak, že priemerný používateľ to nemôže zistiť. Jediné riešenie sú plne šifrované služby ponúkané poskytovateľmi internetových služieb.

Cielené on-line sledovanie typicky zahŕňa softvér, tzv. implantát, ktorý je tajne nainštalovaný do počítača používateľa a umožňuje jeho úplnú kontrolu. V minulosti spravodajské služby v USA, Veľkej Británii, Rusku, Izraeli, Číne i v ďalších krajinách vyvinuli vlastné verzie takýchto implantátov.

V posledných piatich rokoch sa však situácia mení. Spoločnosti ako Hacking Team i ďalšie teraz ponúkajú takéto implantáty na predaj, takže sa k nim, a to pomerne lacno, dostanú aj také štáty, ktoré doposiaľ nemali schopnosť vyvinúť vlastné nástroje. Napríklad Hacking Team a FinFisher ich ponúkajú za milión dolárov (alebo aj menej). Boli použité na politické ciele napr. v Bahrajne, Maroku, Spojených arabských emirátoch, Etiópii a pod.

Obaja výrobcovia tvrdia, že svoje nástroje predávajú len vládam, no nedávno unikli dokumenty, z ktorých vyplýva, že FinFisher aspoň raz uskutočnil predaj aj súkromnej bezpečnostnej službe.

Treba si uvedomiť, že tieto nástroje nemajú za cieľ také masívne špehovanie ako zber metadát NSA (hoci je možné ich použite aj v takejto miere). Treba však diskutovať o tom, či je žiaduce použiť na vymáhanie práva takéto nástroje. Proti komu budú použité? Proti šíriteľom detskej pornografie, drogovým dílerom, daňovým podvodníkom? Či novinárom, ktorí dostávajú uniknuté dokumenty?

V digitálnom veku je prehľadávanie obsahu vášho notebooku, prezeranie on-line účtovníctva či sledovanie digitálnej komunikácie rovnako invazívne ako nazeranie do vašej spálne. No zatiaľ čo v minulosti na to bolo treba inštalovať do bytu odpočúvacie zariadenia a zamestnávať ľudí, ktorí na ne budú dohliadať, dnes možno niekoho sledovať cez kameru na notebooku, odpočúvať cez mikrofón mobilného telefónu, lacno a na diaľku čítať on-line korešpondenciu. A je ťažké odhadnúť, až kam takýto typ dozoru dospeje.

Tým, že sa tieto technológie a nástroje stávajú komerčnými, klesajú aj náklady na ich obstaranie. Preto je potrebná otvorená diskusia o tom, ktoré orgány činné v trestnom konaní majú mať oprávnenie použiť túto technológiu a za akých okolností.

Zdroj: firstlook.org


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá