Thursday, February 25, 2016

Trojans Governamentais para vigilância e investigações online: NIT e CIPAV (FBI) e Bundestrojaner (Alemanha), entre outros

[ Update 25/02/2016 ]

Muito tempo sem update.. Aqui vai uma novidade sobre este assunto:

http://news.softpedia.com/news/german-police-create-a-new-version-of-bundestrojaner-federal-trojan-500832.shtml 

"The German government has approved that a new version of the infamous Bundestrojaner (Federal Trojan) malware be used against real-life targets, after authorities have been working on an updated version for the past months."


[ Update 21/11/2014 ]

Hoje a Anestia Internacional a Eletronic Free Frontier juntamente com outras entidades ligadas à segurança e privacidade na Internet lançaram uma ferramenta de "deteção de spywares conhecidos de vigilância governamental" chamado Detekt - você pode baixar a ferramenta e o código fonte no links abaixo:


Sobre a Ferramenta: https://www.resistsurveillance.org/
Download do Executável e Código Fonte: https://github.com/botherder/detekt/releases/tag/v1.4

[ Update 19/05/2014 ]


No dia 12/05/2014, uma solicitação do FBI (código RFQ1307B) mostra o interesse da Agência americana em obter samples de malware de todo o mundo:

Detalhes relevantes:

"2.3.1 Malware Feed

The FBI seeks to obtain the malware via a feed.  The feed shall:

•    Currently exist (or system currently exists that can produce the feed)
•    Contain a rollup of sharable new malware (both unique and variants)
•    Include a malicious URL report (Reference Section 2.3.2)
•    Be organized by SHA1 signatures
•    Be updated once every 24 hours
•    Be a snapshot of the prior 24 hours
•    Be, on average, 30GB - 40GB per day
•    Be able to retrieve feed in an automated way through machine-to-machine communication
•    Initiations of accessing feed shall be pulled by FBI not pushed to FBI

2.3.2 Malicious URL Report

The FBI seeks a malicious URL report as a component of the malware feed.  The URL report shall contain a list of URLs that do not directly link to executable files, but instead lead to exploits that cause malware to be downloaded (e.g., links to drive-by downloads).

2.3.3 Malware Files

Each of the new malware files in the feed shall contain metadata, to include:

•    SHA1 signature
•    MD5 signature
•    Time

The file types required include:

•    Executable file types from Unix/Linux, Windows and Macintosh
•    Archives files
•    Image files
•    Microsoft Office documents
•    Audio and Video files
•    RTF files
•    PDF files
•    PHP files
•    JavaScript files
•    HTML files"


[ Update: 08/12/2013 ]

O Washington Post publicou hoje um artigo entitulado "FBI’s search for ‘Mo,’ suspect in bomb threats, highlights use of malware for surveillance"em que divulga um search warrant ("pedido de busca e apreensão") que detalha como a agência solicita e recebe autorização judicial para o uso de código malicioso em investigações de crimes (neste caso ameaças envolvendo bombas).

O termo "CIPAV" - presente nos demais updates deste post - não é utilizado, e é introduzido um acrônimo: NIT - "Network Investigative Technique", que tem funcionalidade muito parecida com o descrito neste post.



[ Update: 09/02/2013 ]

"Going Bright: Wiretapping without Weakening Communications Infrastructure"

http://www.crypto.com/papers/GoingBright.pdf



"Mobile IP-based communications and changes in technologies have been a subject of concern for law enforcement, which seeks to extend current wiretap design requirements for digital voice networks. 

Such an extension would create considerable security risks as well as seriously harm innovation. Exploitation of naturally occurring bugs in the platforms being used by targets may be a better alternative."


Steven M. Bellovin | Columbia University
Matt Blaze and Sandy Clark | University of Pennsylvania
Susan Landau | Privacy Ink



[ Update: 10/09/2012 ]

O Governo alemão está abertamente contratando programadores especializados em trojans, para não depender de empresas externas para desenvolver suas ferramentas de monitoração utilizadas em investigações feitas pelo governo (BundesTrojaner).

Alguns pré-requisitos para os candidados ao cargo:


  • Excelente conhecimento de C++
  • Muito bom conhecimento de padrões de software de modelagem de tecnologias de rede,
  • topologias e protocolos (especialmente sobre os protocolos da Internet utilizados)
  • Capacidade de auxílio no desenvolvimento e manutenção de software para a criação de  técnicos e táticos  requisitos para o acesso  remoto da polícia secreta
  • Identificação de vulnerabilidades em aplicações e sistemas operacionais,
  • Observação das evoluções técnicas e legais no campo da tecnologias de informação e comunicação
  • Muito bom conhecimento de programação de baixo nível e mecanismos de segurança do Windows
  • Idealmente ter conhecimento dos mecanismos de segurança de outros sistemas operacionais, bem como na programação de baixo nível em outros sistemas operacionais, bem como no desenvolvimento de drivers
Fonte e mais informações - veja este post da F-Secure: http://www.f-secure.com/weblog/archives/00002423.html

PS: Neste meio tempo foi publicado neste blog um artigo chamado "CiberGuerra e CiberEspionagem: O uso de ferramentas de invasão por Nações e Governos" - relevante ao assunto tratado neste artigo.

[ Update: 02/02/2012 ]

Uma autorização judicial de instalação do CIPAV foi provavelmente utilizada no caso da investigação que culminou com a prisão dos responsáveis pelo MegaUpload.


"While it's still not clear how federal investigators gained access to the conversations of founder Kim DotCom and other top managers, there are hints that the FBI managed to place government-issued spyware on the defendants' computers"

Mais informações na CNET:

http://news.cnet.com/8301-31001_3-57368523-261/feds-we-obtained-megaupload-conversations-with-search-warrant/

Informações do caso no site do FBI:

http://www.fbi.gov/news/pressrel/press-releases/justice-department-charges-leaders-of-megaupload-with-widespread-online-copyright-infringement

[ Update: 26/10/2011 ]

A Kaspersky achou outra variante do BundesTrojaner, que também já foi analisada pelo CCC . Um resumo pode ser visto no site H-Online (inglês). Ou a análise original/integral traduzida do alemão para o português (Google Translate).

[ Update: 17/10/2011 ]

Uma interessante análise do footprint de memória do "BundesTrojaner" utilizando a ferramenta de forense de memória volatility foi publicada recentemente - confira!

[ Update: 08/10/2011 ]

Devido às dificuldades de interceptação telemática de certos atores no cenário cibernético - devido ao crescente uso de criptografia, proxies, vpn, etc -  o uso de softwares para monitoração de suspeitos (autorizadas pela justiça ou não) é uma realidade crescente em todo o mundo. Alguns dos países em que isto já acontece são: EUA (veja o post original sobre o CIPAV abaixo), França, Egito, e agora a Alemanha (leia logo abaixo)

O grupo Chaos Computer Club (CCC) publicou hoje uma análise do "Bundestrojaner Light" (R2D2) - que numa tradução livre seria "Light Federal Trojan" - utilizado pelo governo alemão.

Abaixo são listados os nomes dos arquivos analisados (uma biblioteca e um driver de kernel windows), seus hashes md5 e taxas de detecção por antivírus (virustotal):

mfc42ul.dll (md5: 930712416770a8d5e6951f3e38548691 vt: 6/43)
winsys32.sys (md5: d6791f5aa6239d143a22b2a15f627e72  vt:  5/43)


Para mais informações, veja a página da CCC:

Mais informações sobre o assunto:



[ Update: 30/04/2011 ]

Depois de mais de dois anos sem novidades sobre o assunto, a EFF (Eletronic Frontier Foundation) publicou ontem um "dossiê" sobre o CIPAV chamado "New FBI Documents Provide Details on Government’s Surveillance Spyware".

O FBI tem utilizado a tecnologia para investigações criminais dentro dos Estados Unidos e também para investigações de suspeitos estrangeiros de acordo com os termos da FISA (Foreign Intelligence Surveillance Act).

Aos interessados em mais detalhes sobre o assunto, a EFF separou uma página de download para os 15 PDFs contendo informações sobre o CIPAV: https://www.eff.org/foia/foia-endpoint-surveillance-tools-cipav

[ Post Original: 17/04/2009 ]

Depois da divulgação de que a China que se utiliza de técnicas hacker para espionar seus adversários, a Wired acaba de publicar um artigo interessante sobre documentos que foram recentemente "desclassificados" pelo governo americano.

Agora é público o conhecimento de que o FBI utiliza em suas investigações online - há pelo menos 7 anos - um spyware desenvolvido internamente por eles chamado CIPAV - Computer and Internet Protocol Address Verifier, que faz um pouco mais do que o nome indica - ele busca as seguintes informações da máquina alvo:

• Endereço IP
• Endereços MAC (placas de rede)
• A lista de portas TCP e UDP e conexões estabelecidas (netstat)
• Lista de programas em execução
• Sistema Operacional, Versão e Número de Série e empresa que consta no Registro.
• Versão do Navegador Padrão
• Usuários (incluindo o logado) do sistema operacional
• URL visitadas

Segundo análise do CIPAV feita em 2007 por Kevin Poulsen, todas as informações coletadas são enviadas pela Internet para computadores do FBI na Virginia, possivelmente para o laboratório do FBI em na cidade de Quantico.

O modus operandi mais comum de instalação do CIPAV é fazer o alvo acessar uma página especialmente criada para explorar vulnerabilidades comuns em de navegadores.

As informações confirmadas nesta semana fazem parte do material liberado ao público devido ao "Freedom of Information Act" e indicam uma boa maturidade do governo americano ao tratar de assuntos sensíveis como a autorização legal para utilização deste tipo de tecnologia e o equilíbrio entre o sigilo destas ações e a garantia da privacidade dos usuários.

O pdf original do documento "desclasificado" descrevendo alguns casos em que o CIPAV foi utilizado foi disponibilizado.

A necessidade do uso - e controle da autorização judicial (pdf - exemplo) - deste tipo de tecnologia é claro - muitas vezes as ações de hackers e criminosos envolvem técnicas como "proxy chaining" e redes de anonimato como a Tor - que são muito difíceis de monitorar através da Internet, e exigiriam autorizações judiciais de quebra de sigilo para múltiplos provedores em diferentes países - o que na maioria das vezes é impraticável.

Entre as ações tipicamente hackers utilizadas pelo FBI, está também a exploração (cracking) de redes Wireless para obtenção de evidências.

A utilização de ferramentas como o CIPAV e outras técnicas de "contra-ataque" sempre foi (e continuará sendo) fundamental para solução de casos de investigação como ameaças a bomba, terrorismo, sabotagem, extorsão e ataques de hackers.http://translate.google.com/translate?hl=en&sl=de&u=http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf

5 comments:

  1. Isso não é tanta novidade, mas o governo admitir é... Imagina o que não acontece por trás dos panos..

    Vitor Brazil

    ReplyDelete
  2. Olá Sandro. Muito boa mais esta matéria, parabéns! Como desenvolvo um tema semelhante ao seu no meu blog - http://arquivosmaximus.blogspot.com, devido a relevância da notícia trazida a baila, tomei a liberdade de postá-la também no meu blog.Espero que não se ofenda, mantive a procedência e autoria, apenas quis ampliar para os leitores. Se puder dê uma passada por lá. Qualquer coisa entre em contato! Mais uma vez, parabéns!

    ReplyDelete
  3. Olá Bittencourt. Sem problema nenhum!

    Obrigado pela divulgação do post e do blog..

    [ ]s,

    ReplyDelete
  4. Nice blog and rarely people know about it. congr8. I like it, and i am waiting get a buzz from you.

    ReplyDelete
  5. Muito bom Sandro.

    -Jarbas

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (27) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) windows (13) ddos (12) vazamento de informações (12) china (11) criptografia (11) dns (11) exploit (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) ferramentas (8) kaspersky (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) forense corporativa (7) internet explorer (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) metasploit (6) monitoração (6) privacidade (6) skype (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) java (5) memoryze (5) modelagem de ameaças (5) métricas (5) nsa (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança (5) segurança de rede (5) siem (5) CyberCrime (4) Enscript (4) adobe reader (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backdoor (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) drive-by (4) estatísticas (4) exploit kit (4) firefox (4) fud (4) gsi (4) mandiant (4) md5 (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) ameaça (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) dsic (3) engenharia social (3) enisa (3) evidence (3) fast flux (3) forense digital (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) shodan (3) sox (3) sql injection (3) tools (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) worm (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) adobe flash (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) firmware (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sony (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) Equation (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISIS (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) TV5 (1) TV5Monde (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) Windows10 (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) angler (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) coreia do norte (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) estratégia (1) etld (1) europa (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) exportação (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) frança (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hack (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) interview (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) opm (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) powershell (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) regulamentação (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)