Как може да се шпионира Skype? Опитът от египетските протести

Винаги съм смятал, че Skype е сигурна технология, с която мога да водя разговори, без да бъдат следени.

Работата ми е такава, че използвам данни, които не са общодостъпни и често става дума за информация, идваща от мои информатори в Йемен, Сирия, Египет, Тунис – ако данните бъдат усвоени, опасността за човека от другата страна, който ми помага, се увеличава. Е, явно ще помисля какво говоря по Skype. Моя приятелка и колежка в Global Voices, се занимава повече с проблеми на сигурността в Интернет, отколкото аз. Затова поисках тя да напише повече за Skype и как египетските служби са следели разговори между активисти.

Райна  живее между Париж и Мюнхен и е PhD по генетика и биоинформатика. Паралелно с това учи право на интелектуалната собственост. От няколко години насам работи с неправителствени организации по въпроси, свързани с Близкия Изток, свобода в интернет-пространството и феминистките движения. Публикува статии в различни медии, основно на френски и английски. Преводач е за Global Voices France. Следва нейният текст, от който аз лично научих нови неща, надявам се и вие. (Руслан Трад)

От няколко месеца насам, пресата нарича събитията в Близкия изток “арабската пролет”. Много усукваха защо, как и каква е ролята на интернет в тези събития. Cофтуера Skype е много обичан от египетските активисти, които обменят поверителни данни и провеждат аудио и видео комуникации на атрактивни цени.

Всичко това би било чудесно, ако египетските тайни служби не бяха подслушвали.

Предполагам, че вие си спомняте деня, в който демонстрантите влязоха в помещенията на Амн ал Доула (Подземните затвори на ДС в Египет бяха отворени), египетската Агенция за Държавна сигурност, и установиха размера на съкровището от факти и бележки, събрани със забележително усърдие. Тези листинги съдържат подробна информация за и от разговори проведени по Skype, които агенти на Амн ал Доула са заловили.

И тук вероятно биха се появили учудени погледи: Skype би трябвало да бъде напълно сигурен, тъй като използва силно криптиране по време на предаването на данни, независимо дали става въпрос за файлове или глас. WikiLeaks разкриваше преди време също, че именно заради сигурността на комуникациите, Skype е предпочитан не само в Египет и Тунис, но и във Виетнам и Саудитска Арабия.

Едно изследване на Wall Street Journal Online, което произтича от тези данни е, че съоръжения, предназначени за прихващане на Skype са били предоставени от британската компания “Гама Интернешънъл” ООД. Техният софтуер FinSpy е това, което обикновено се нарича spyware (софтуер шпионин). Според официални данни и местен представител на Gamma, FinSpy е бил тестван миналата година от специализираните служби на Агенцията за Държавна сигурност.

Журналистите от WSJ Online са поискали от  Symantec да анализират  софтуера и резултатът показва, че става въпрос за уред за отдалечен достъп (‘remote access’).

Как това би могло да се случи? За да улесним разбирането, трябва малко обяснение за това как работи Skype. Да кажем, че Мария се обажда на Ани. Предадените данни са криптирани с единствен и безподобен  ключ, известен само на участващите компютри, и след това се прехвърлят чрез една мрежа peer-to-peer. По този начин, два компютъра разговарят помежду си директно и комуникацията не минава през сървърите на Skype или някаква друга централизирана телефонна система. Именно тези две характеристики правят един разговор по Skype труден за подслушване. Най-накрая, когато компютърът на Ани получава предадените данни, той ги декриптира и Ани вижда/чува/чете какво Мария има да каже.

Няколкото компании, които продават този тип шпионски инструменти не се показват особено словоохотливи относно начина, по който софтуерите процедират. Това, което те казват е, че шпионски софтуер (spyware) първо се инсталира на един компютър или смартфон, и след това той си присвоява  данни, предадени преди или след криптиране.

Веднага след като информацията за подслушванията в Египет се разпространиха, няколко френски специалисти по компютърна сигурност се занимаха със сирийския въпрос, а именно: как властта успява да си присвои акаунти във Facebook, Twitter, Gmail на опонентите си и как успява да ги идентифицира, за да бъдат те арестувани в последствие.  Резултатът е интересен.

Това е историята на един обикновен софтуер, който прави обратното на това, което претендира да прави. Ultrasurf е софтуерен прокси сървър, който е бил широко използван от сирийски дисиденти. Очакваното поведение, а именно укриване на идентичността на потребителите си, изглежда ефективна. Но в действителност, софтуера инсталира всичко, което позволява на сирийските правителствени агенти за сигурност точната идентификация на потребителите и тяхното близо следене. Тази сифилитична  версия на Ultrasurf е изключително разпространява по електронната поща, източникът на разпространението му би било нормално използване на имейла или Facebook.

Значи, версията, която е широко разпространена в Сирия, съдържа малко подаръче. Преименуван .jpg уж за да избяга разкриване от правителствените служби, файла заразява компютрите на опонентите с едни сладки Trojan.Backdoor.Hupigon5 (Sig-Id: 41437250) (идентификация със скенера IKARUS).

Поведението изглежда относително развито: пренасочване от 80 към SSL (съкращение от Secure Sockets Layer, е криптографски протокол за връзка клиент-сървър; протоколът осигурява защита на предаваната информацията между клиента и сървъра), данни капсулирани в тунел и най-вече промяна в регистъра на всички сертификати SSL. Така потребителите си мислят, че използват сигурна сесия, докато те всъщност предлагат на другите всичките си пароли.

Фирмата, която седи зад този софтуер не е много ясна. Също така, не се знае кой е зад тази доста сложна система за шпиониране, но вирусът е обновяван…

В заключение, ако ви се налага да установите неприкосновеността на комуникациите, използвайте адаптирани VOIP софтуери като например I Hear You (IHU), който предлага криптиране Blowfish/RSA.

Целият дъмп може да бъде намерен тук: http://reflets.info/wp-content/uploads/2011/06/traffic.pcap_.zip (експлоатация с Wireshark)

Пълен анализ на Ultrasurf: http://reflets.info/wp-content/uploads/2011/06/ultrasurf.txt

Ultrasurf: http://www.ultrareach.com/

Mideast Uses Western Tools to Battle the Skype Rebellion:

http://online.wsj.com/article/SB10001424052702304520804576345970862420038.html

6 Replies to “Как може да се шпионира Skype? Опитът от египетските протести”

  1. Добре дошли в Министерството на Истината! 😉 Знаех си, че има нещо гнило в скайп, след като няколко пъти, по време на мой разговор, започва да се чува друг! Интересно, а?! 🙂

  2. Два-три пъти, когато съм разговаряла с леля ми в Щатите, започва да се чува друг разговор, на английски. Уговаряха се за среща единия път, друг път чувах как някакво момиче се оплаква от работата си. И с леля ми вече не се чуваме, а (и двете) слушаме техния разговор. Чуваше се много ясно, все едно си набрал да разговаряш с тях. Но, от добри обноски, съм затваряла линията. 🙂 Интересното е, че тези, които се чуват, не усещат, че разговорът им се чува от други и продължават да си говорят. Скайп-ска му работа! 😉

  3. Това е наистина нещо за размисъл. Живеех с убеждението, че не може да се хаква. Не съм специалист, но си спомням, че ръководителя на Уикилийкс Асандж даде интервя за EuroNews (или CNN, няма значение) със Скайп. Явно се е доверявал на това. Също така германската полиция загуби дело срещу Скайп, в което им искаха сорс-а. Но тази статия събуди интересът ми. Браво на Райна!

  4. Не съм сигурен, че статията е достатъчно ясна, но тук става въпрос за троянски кон, който следи скайп трафика на компютъра ви. Това не значи, че скайп няма сигурен канал за комуникация. Данните се пренасят сигурно между двамата участника в разговора, но ако някой от участниците има троянски кон на комютъра си, то тогава разговора бива следен.

    Това е универсален начин за следене. Чрез троянски коне могат да се крадат пароли за email, facebook, номера на кредитни карти и каквото се сетите още.

    За да се предпазите, ползвайте актуален антивирусен софтуер и никога не отваряйте файлове със съмнителен произход. Позването на windows също не е препоръчиелно.

Comments are closed.