Biały Wywiad. System inwigilacji \”CIRCLES\”.
- Raport ujawnia, które kraje używają inwazyjnych programów szpiegujących Circles Technologies. Circles to firma monitorująca która wykorzystuje słabości globalnego systemu telefonii komórkowej do podsłuchów, kontroli SMS i lokalizacji telefonów na całym świecie. Circles jest stowarzyszona z NSO Group która rozwija oprogramowanie PEGASUS. Według Departamentu Bezpieczeństwa Wewnętrznego USA wszystkie sieci bezprzewodowe są podatne i mogą być wykorzystywane przez system Circles.
Od gwatemalskiej agencji szpiegowskiej do tajskiego wojska i aż do Najwyższej Rady Bezpieczeństwa Narodowego Zjednoczonych Emiratów Arabskich, jak również kolejne dwa tuziny krajów i organizacji: nowy raport University of Toronto The Citizen Lab ujawnia międzynarodowe działania ofensywnej cyber firmy Circles Technologies, niskoprofilowej firmy założonej przez Izraelczyków i posiadającej bliskie powiązania biznesowe z izraelską NSO Group, a według wielu raportów jest nawet pod jego kontrolą lub pod kontrolą założycieli NSO. \”Mamy nadzieję, że ten raport pozwala ludziom zadawać bardziej precyzyjne pytania, a może nawet poprawić regulację w tej dziedzinie, która dziś działa tak, jakby to był dziki zachód\”, dr Bill Marczak z Uniwersytetu Kalifornijskiego w Berkley i starszy pracownik naukowy w The Citizen Lab, który jest autorem raportu powiedział Calcalist. Zespół badawczy Citizen Lab obejmował również Johna Scotta-Railtona, Siddharatha Prakasha Rao, Sienę Anstis i Rona Deiberta.![\"Tal](\"https://images1.calcalist.co.il/PicServer3/2020/12/01/1040604/1_l.jpg\")
Tal Dilian (po lewej) i Bill Marczak.
Amit Shaal i Orel Cohen Circles Technologies została założona przez Tal Dilian, były dowódca IDF Intelligence Corps Jednostek Technologicznych, i opracowała technologię, która może \”śledzić każdy telefon w sześć sekund z tylko jego numer\”, jak Dilian powiedział Forbes. Inni partnerzy w firmie to Eric Banoun, który Calcalist wcześniej narażone jako pośrednik w sprzedaży spyware Pegasus NSO do różnych krajów. Według raportu Forensic News z kwietnia, dokumenty z Cypru, gdzie zarejestrowano Circles, potwierdzają, że firma została przejęta przez NSO w 2014 r. za pośrednictwem zarejestrowanej w Luksemburgu spółki zależnej. W przeciwieństwie do programów szpiegujących NSO, najbardziej znanym z nich jest Pegasus, który po zainstalowaniu na telefonie celu zbiera wszystkie dostępne dane na nim, a nawet może zdalnie przejąć kontrolę nad kamerą, mikrofonem i nie tylko, system Circles opiera się na sieci komórkowej i pozwala atakującemu połączyć się z infrastrukturą komórkową w pobliżu celu lub połączyć się z oddzielną siecią o nazwie Circles Cloud, która jest załatana w infrastrukturę komórkową na całym świecie. Połączenie pozwala atakującym monitorować połączenia, wiadomości tekstowe i lokalizację urządzenia, ale nie uzyskiwać dostępu do danych zapisanych na urządzeniu, a nawet śledzić zakodowane dane (takie jak wiadomości przekazywane przez WhatsApp) i zdalnie obsługiwać urządzenie. Z drugiej strony, technologia Circles nie wymaga bezpośredniego dostępu do samego urządzenia ani żadnych działań użytkownika w celu zainstalowania oprogramowania szpiegującego. Nie pozostawia żadnych śladów w telefonie i może być wdrożony na szerszą skalę. Do tej pory wszystkie znane szczegóły dotyczące Circles Technologies opierały się na dokumentach publicznych, takich jak postępowania sądowe lub informacje przekazywane przez źródła wewnętrzne w ramach dochodzeń dziennikarskich. Na przykład w 2016 roku nigeryjska gazeta Premium Times donosiła, że kilku regionalnych gubernatorów kraju kupiło platformę Circles, a jeden z nich miał ją nawet zainstalowaną w jego rezydencji. Dokumenty, które zostały złożone w ramach pozwu przeciwko NSO w Izraelu, ujawniły, że Circles rzekomo ma kilku klientów z siedzibą w ZEA. Raport Citizen Lab po raz pierwszy zawiera jednak analizę techniczną działalności Circles w 25 krajach. Dochodzenie opierało się na identyfikacji zakresów adresów IP (unikalnych identyfikatorów powiązanych z poszczególnymi komputerami lub połączonymi serwerami), które należały do circles i które śledczy zlokalizowali za pośrednictwem publicznych baz danych. Naukowcy przekazali adresy do dedykowanej wyszukiwarki o nazwie Shodan, która skanuje sieć i identyfikuje komputery i różne inne urządzenia na podstawie ich adresu IP. \”Chcieliśmy sprawdzić, czy nie ma nic ciekawego w tych zakresach adresów IP Circles\”, powiedział Marczak. \”Znaleźliśmy kilkanaście adresów IP, które miały skonfigurowane zapory Check Point (standardowy produkt obronny, który Check Point sprzedaje firmom na całym świecie. Firma nie ma żadnych powiązań z działalnością szpiegowską Circles lub NSO, Ok). Zapory wyświetlają informacje publiczne, takie jak nazwa, którą nadała jej osoba, która utworzyła zaporę, a także nazwę serwera zarządzania, którą nadała jej osoba, która utworzyła zaporę.\”.
Zapora miała serwer administracyjny skonfigurowany z witryną internetową o nazwie tracksystem.info, którą mogliśmy przypisać do circles. Ta nazwa domeny była powiązana z Circles, częściowo przez e-maile wyciekły przez firmę. Na tym etapie naukowcy przeszukali Shodan i inne wyspecjalizowane roboty indeksujące, aby sprawdzić, czy istnieją inne zapory Check Point, w których tracksystem.info została uwzględniona w nazwie serwera zarządzania. Wyszukiwanie ujawniło 240 różnych adresów IP, z których niektóre zawierały dane, które były zasilane przez organizacje lub stany obsługujące zaporę. Naukowcy doszli do listy organizacji, które połączyły się z nazwą domeny Circles, co doprowadziło ich do wniosku, że korzystają z systemu szpiegującego firmy.Z ustaleń ujawnionych przez The Citizen Lab wynika, że wśród krajów, które korzystają z platformy firmy, są kraje o wątpliwej historii, jeśli chodzi o ochronę praw człowieka i praw obywatelskich. Na przykład w Chile naukowcy zidentyfikowali system Circles używany przez najwyższą w kraju agencję ścigania, PDI, która w przeszłości kupowała systemy nadzoru od innych firm, takich jak Hacking Team. Chilijskie organy ścigania mają długą historię łamania praw człowieka i praw obywatelskich, a w przeszłości były w stanie przechwytywać połączenia i wymianę wiadomości WhatsApp dziennikarzy i liderów opozycji. Ważne jest, aby pamiętać, że kilka zachodnich krajów demokratycznych, takich jak Australia, Belgia i Dania również skorzystało z tego systemu. Kraje te najwyraźniej wykorzystują je jako część dochodzeń w sprawie zwalczania terroryzmu lub poważnych przestępstw i działają na mocy przepisów usankcjonowanych przez sąd. W Gwatemali, system był podobno używany przez DIGICI, gwatemalskiej agencji wywiadu cywilnego. Lokalna gazeta donosiła w 2018 roku, że izraelscy handlarze bronią sprzedawali agencji różne systemy szpiegowskie, w tym te opracowane przez NSO i Circles. Według raportu agencja wykorzystywała te systemy do szpiegowania dziennikarzy, biznesmenów i politycznych rywali lokalnego reżimu. Meksyk ma długą historię jako jeden z najbardziej znaczących klientów NSO i w przeszłości, wiele razy informowano, że rząd używał systemów firmy do szpiegowania dziennikarzy, działaczy na rzecz praw człowieka i członków rodziny ofiar kartelu narkotykowego. Naukowcy z Citizen Lab odkryli w kraju system opracowany przez Circles, który jest używany przez meksykańską marynarkę wojenną. Raport organizacji praw człowieka Front Line Defenders ujawnił w 2018 roku, że Nigeria wdrożyła masowy program szpiegowski przeciwko obywatelom za pośrednictwem infrastruktury telekomunikacyjnej kraju. Według The Citizen Lab, obecnie istnieją dwa systemy Circles, które są używane w Nigerii, jeden przez Nigeryjską Agencję Wywiadu Obronnego, a drugi przez nieznane źródło. Systemy kręgów są również szeroko stosowane w Tajlandii, są używane przez lokalną armię i departament narkotyków w policji Tajlandii. Jedna z jednostek wojskowych używających produktu Circle, Royal Thai Army Internal Security Operations Command, została oskarżona w przeszłości o torturowanie działaczy. W czerwcu tego roku New York Times poinformował, że co najmniej dziewięciu tajlandzkich wygnańców, znanych krytyków armii i tajskiej rodziny królewskiej, zostało porwanych z krajów, w których mieszkali. ZJEDNOCZONE EMIRATY ARABSKIE, które niedawno nawiązały pełne stosunki dyplomatyczne z Izraelem, były w przeszłości wielokrotnie wymieniane jako klient NSO i podobno wykorzystywały oprogramowanie szpiegowskie firmy do szpiegowania katarskiej rodziny królewskiej, a także saudyjskiego księcia i premiera Libanu. W kraju zidentyfikowano trzy systemy Kręgów, w tym jeden używany przez radę bezpieczeństwa kraju. Dodatkowe kraje, w których system był używany to Ekwador, Salwador, Gwinea Równikowa, Honduras, Indonezja i Kenia. System był również aktywny w Izraelu, ale może to być wynikiem faktu, że centrum rozwoju firmy jest w kraju, a nie działalności szpiegowskiej.
\”Publikacja tego raportu jest pierwszym krokiem na drodze do pociągnięcia firmy do odpowiedzialności za korzystanie z systemu\” – powiedział Marczak. \”Jak tylko wiesz, co robi firma, ludzie mogą zadawać bardziej solidne pytania, takie jak, czy niektóre transakcje muszą zostać zbadane, czy firma otrzyma licencję eksportową. Dostarcza to więcej informacji na temat podejmowanych wysiłków, tak aby przemysł ten ponosi odpowiedzialność za sposób, w jaki ich produkty są wykorzystywane.\”W tym sprawozdaniu ważne jest to, że dostarczamy metodę naukową do problemu, dla którego większość dostępnych informacji pochodzi z plotek z drugiej ręki. Ważne jest, aby tworzyć dokładne informacje, aby móc przypisać działalność niektórym firmom i rządom. Jest to bardzo cenna informacja dla organizacji praw socjalnych, decydentów i innych zainteresowanych stron. To, co najbardziej kocham w tej pracy, to to, że otrzymujemy bardzo wiarygodne i dokładne wyniki. Jest to wymagający przemysł do badań. Opiera się ona na tajemnicy, a zdolność do dostarczania wiarygodnych wyników jest ważna w wysiłkach na rzecz zapewnienia przejrzystości w branży śledzenia.\”
RAPORT CITIZENS LAB DOTYCZĄCY SYSTEMU INWILIGACJI CIRCLES.
Bill Marczak, John Scott-Railton, Siddharth Prakash Rao
1 grudnia 2020 r.
- Circles to firma nadzoru, która podobno wykorzystuje słabości w globalnym systemie telefonii komórkowej do szpiegowania połączeń, tekstów i lokalizacji telefonów na całym świecie. Circles jest powiązana z NSO Group, która rozwija nadużywane przez nas programy szpiegujące Pegasus.
- Kręgi, których produkty działają bez hakowania samego telefonu, mówią, że sprzedają tylko państwom narodowym. Według ujawnionych dokumentów, klienci Circles mogą zakupić system, który łączą się z infrastrukturą lokalnych firm telekomunikacyjnych lub mogą korzystać z oddzielnego systemu o nazwie \”Circles Cloud\”, który łączy się z firmami telekomunikacyjnymi na całym świecie.
- Według Departamentu Bezpieczeństwa Wewnętrznego USA, wszystkie amerykańskie sieci bezprzewodowe są podatne na rodzaje słabości podobno wykorzystywane przez Circles. Większość sieci na całym świecie jest równie podatna na zagrożenia.
- Korzystając ze skanowania internetowego, znaleziono unikatowy podpis związany z nazwami hostów zapór check point używanych w wdrożeniach Circles. To skanowanie umożliwiło identyfikację wdrożeń Circles w co najmniej 25 krajach.
- Ustalono, że rządy następujących krajów są prawdopodobnie klientami Circles: Australia, Belgia, Botswana, Chile, Dania, Ekwador, Salwador, Estonia, Gwinea Równikowa, Gwatemala, Honduras, Indonezja, Izrael, Kenia, Malezja, Meksyk, Maroko, Nigeria, Peru, Serbia, Tajlandia, Zjednoczone Emiraty Arabskie (ZEA), Wietnam, Zambia i Zimbabwe.
- Niektóre z konkretnych oddziałów rządowych, które identyfikowano z różnym zaufaniem, ponieważ klienci Circles w przeszłości wykorzystywali technologię cyfrową do łamania praw człowieka. W kilku konkretnych przypadkach można było w stanie przypisać wdrożenie konkretnemu klientowi, takiemu jak Dowództwo Operacji Bezpieczeństwa (ISOC) Królewskiej Armii Tajlandzkiej, które torturowało więźniów.
1. Tło
Dyskusja publiczna wokół nadzoru i śledzenia koncentruje się głównie na dobrze znanych środkach technicznych, takich jak ukierunkowane hakowanie i przechwytywanie sieci. Jednakże inne formy nadzoru są regularnie i szeroko wykorzystywane przez rządy i strony trzecie do angażowania się w transgraniczny nadzór i monitorowanie.
Jednym z najsublimniejszych używanych, ale najmniej cenionych, jest wykorzystanie słabości globalnej infrastruktury telefonii komórkowej do monitorowania i przechwytywania połączeń telefonicznych i ruchu.
Podczas gdy dobrze wyposażone rządy od dawna mają zdolność do prowadzenia takiej działalności, w ostatnich latach pojawiły się firmy, aby sprzedać te możliwości. Na przykład w marcu 2020 r. \”The Guardian\” podał, że Arabia Saudyjska wydaje się \”wykorzystywać słabości globalnej sieci telefonii komórkowej do śledzenia obywateli podróżujących po USA\”. Inne raporty śledcze wskazywały, że podobnie wymierzoni byli dziennikarze, dysydenci i politycy opozycji w Nigerii i Gwatemali.
Uważa się, że nadużywanie globalnego systemu telefonicznego do śledzenia i monitorowania jest powszechne, jednak trudno je zbadać. Gdy urządzenie jest śledzone lub wiadomości przechwycone, na urządzeniu docelowym nie muszą znajdować się ślady. Tymczasem operatorzy sieci komórkowowych mają wiele trudności technicznych w identyfikowaniu i blokowaniu nadużyć w ich infrastrukturze.
Ataki SS7
Signaling System 7 (SS7) to pakiet protokołów opracowany w 1975 roku do wymiany informacji i routingu połączeń telefonicznych między różnymi firmami telekomunikacyjnymi. W czasie rozwoju SS7 globalna sieć telefoniczna składała się z małego klubu monopolistycznych operatorów telekomunikacyjnych. Ponieważ firmy te zazwyczaj ufały sobie nawzajem, projektanci SS7 nie widzieli pilnej potrzeby dołączania uwierzytelniania lub kontroli dostępu. Jednak pojawienie się deregulacji telekomunikacji i technologii mobilnych szybko zaczęło kwestionować założenie zaufania. Mimo to, SS7 wytrzymał, dzięki pragnieniu utrzymania interoperacyjności ze starszymi urządzeniami.
Ze względu na brak uwierzytelniania SS7, każdy atakujący, który łączy się z siecią SS7 (takich jak agencja wywiadowcza, cyberprzestępca zakupu dostępu SS7, lub firmy nadzoru prowadzącej fałszywą firmę telefoniczną) może wysyłać polecenia do abonenta \”sieci domowej\” fałszywie wskazując, że abonent jest roaming. Polecenia te umożliwiają osobie atakującej śledzenie lokalizacji ofiary oraz przechwytywanie połączeń głosowych i wiadomości tekstowych SMS. Takie możliwości mogą być również wykorzystywane do przechwytywania kodów używanych do uwierzytelniania dwuskładnikowego wysyłanego za pośrednictwem wiadomości SMS. Jest to trudne i kosztowne dla operatorów telekomunikacyjnych, aby odróżnić złośliwy ruch od łagodnych zachowań, co czyni te ataki trudne do zablokowania.
Obecnie SS7 jest stosowany głównie w sieciach komórkowych 2G i 3G (sieci 4G korzystają z nowszego protokołu Diameter). Jedną z kluczowych funkcji SS7 w tych sieciach jest obsługa roamingu,gdzie abonent \”sieci domowej\” może połączyć się z inną \”odwiedzoną siecią\”, na przykład podczas podróży międzynarodowych. W tej sytuacji SS7 służy do obsługi przekazywania połączeń telefonicznych i wiadomości tekstowych SMS do \”odwiedzonych sieci\”. Chociaż protokół Średnica 4G zawiera funkcje uwierzytelniania i kontroli dostępu, są one opcjonalne. Ponadto, potrzeba sieci Średnicowych do łączenia się z sieciami SS7 wprowadza również problemy z bezpieczeństwem. Istnieje powszechne obawy, że technologia 5G i inne postępy odziedziczą ryzyko związane z tymi starszymi systemami.
Circles
Podczas gdy firmy sprzedające eksploatację globalnego systemu komórkowego mają tendencję do działania w tajemnicy, jedna firma pojawiła się jako znany gracz: Circles. Firma została założona w 2008 roku, przejęta w 2014 roku przez Francisco Partners, a następnie połączona z NSO Group. Circles jest znany ze sprzedaży systemów wykorzystujących luki w zabezpieczeniach SS7 i twierdzi, że sprzedaje tę technologię wyłącznie państwom narodowym.
W przeciwieństwie do spyware Pegasus Grupy NSO, mechanizm SS7, za pomocą którego produkt Circles podobno działa, nie ma oczywistego podpisu na telefonie docelowym, takiego jak telltale kierowania SMS opatrzone złośliwym linkiem, który jest czasami obecny na telefonie kierowanym z Pegasus.
Większość badań circles opiera się na wewnętrznych źródłach i inteligencji open source, a nie na analizie technicznej. Na przykład dochodzenie przeprowadzone w 2016 r. przez nigeryjską gazetę Premium Times poinformowało, że dwóch gubernatorów stanu Nigerii nabyło systemy Circles i wykorzystywało je do szpiegowania przeciwników politycznych. W jednym przypadku system został zainstalowany w rezydencji gubernatora. Nasze skanowanie znaleziono dwa systemy Kręgów w Nigerii(Sekcja 4).
Dokumenty złożone w ramach pozwu przeciwko NSO Group w Izraelu mają na celu pokazanie e-maili wymienianych między Circles i kilkoma klientami w ZEA. Najbardziej znany, dokumenty pokazują wysyłanie celów lokalizacje i zapisy telefoniczne (Call Detail Records lub CDRs) do ZeA Supreme Council on National Security (SCNS), najwyraźniej w ramach demonstracji produktu. Wiadomości e-mail wskazują również, że przechwytywanie połączeń telefonicznych zagranicznego celu ma większe szanse na sukces, gdy cel jest w roamingu.
![\"\"](\"https://citizenlab.ca/wp-content/uploads/2020/12/Figure-1-The-logo-of-Circles.jpg\"){kind=logo}
Te same dokumenty wyjaśniają niektóre aspekty działania systemu Circles. SCNS miał otrzymać dwa oddzielne systemy: samodzielny system, który może być używany do lokalnego przechwytywania i oddzielny system podłączony do \”Circles Cloud\” (podmiot z umowami roamingu na całym świecie), który może być używany do przechwytywania poza ZEA w razie potrzeby.
| Komponent systemu Circles | Funkcja |
|---|---|
| Wdrażanie w trybie offline, lokalne | Kierowanie na kraje |
| Chmura | Globalne kierowanie i przechwytywanie |
W 2015 roku IntelligenceOnline zasugerował, że Circles założył fałszywą firmę telefoniczną o nazwie \”Circles Bulgaria\”, aby ułatwić przechwytywanie na całym świecie. Niedawno raport Forensic News na rok 2020 wywołał pytania dotyczące prawdziwego biznesu FloLive, rzekomo firmy \”IoT connectivity\”. Forensic News stwierdził, że FloLive wydaje się być ściśle związany z Circles, i zasugerował, że firma może być \”front dla hakerów i prywatnych szpiegów za Circles.\”
Istnieją również ograniczone informacje o tym, jak system Circles integruje się z flagowym oprogramowaniem szpiegującym NSO Group Pegasus, choć były pracownik NSO Group powiedział Motherboard, że Pegasus miał \”okropną integrację z Circles\”, a Circles \”przesadził z możliwościami swojego systemu\”.
Podczas wyszukiwania Shodan, zaobserwowano ciekawe wyniki w AS200068, blok adresów IP zarejestrowanych w Circles Bułgaria (Rysunek 2). Wyniki te pokazują nazwy hostów zapór produkowanych przez Check Point, a także nazwy hostów instancji SmartCenter zapory. SmartCenter może służyć do centralnego zarządzania wieloma zaporami check point.
![\"\"](\"https://citizenlab.ca/wp-content/uploads/2020/12/Cicles-Figure-2.png\")
Nazwy hostów SmartCenter w zarejestrowanych w kręgach AS200068 zawierają nazwę domeny tracksystem.info. Wydaje się oczywiste, że tracksystem.info jest związane z Circles, jak wyciekły dokumenty pokazują circles pracowników komunikowania się z @ tracksystem.info adresy e-mail. Dodatkowo, na RiskIQ, 17 z 37 adresów IP wskazanych przez tracksystem.info lub jego poddomeny są w AS200068, jak również AS60097, również zarejestrowane w Circles Bulgaria.
Szukano zapór Check Point, których nazwa hosta SmartCenter zawierała tracksystem.info na Shodan, Censys, Fofa, i na historycznym zestawie danych sonar-ssl Rapid7. Szukano również numerów IP, które zwróciły swoiste \”losowe\” certyfikaty TLS pasujące do następującego wyrażenia regularnego, ponieważ widzieliśmy te certyfikaty zwrócone przez zapory punktu kontrolnego z tracksystem.info w nazwach hostów SmartCenter:/^C=[a-zA-Z0-9]{2}, ST=[a-zA-Z0-9]{3}, L=[a-zA-Z0-9]{3}, O=[a-zA-Z0-9]{4}, OU=[a-zA-Z0-9]{5}, CN=localhost$/
Ogólnie rzecz biorąc, zidentyfikowano 252 adresy IP . Wiele z nich miało pole \”Firewall Host\” pozornie wskazujące, że systemy były systemami klienckimi, np. W przypadkach, w których zidentyfikowano zapory punktów kontrolnych Circles w usługodawcy internetowych typu Transit/Access (tj. usługodawcy internetowych niebędących centrami danych), założyliśmy, że niektóre agencje rządu tego kraju są klientami Circles.
Niektórzy z klientów, których zidentyfikowano, mają dwuwyrazowe pseudonimy, gdzie pierwsze słowo to marka samochodów, która prawie zawsze dzieli tę samą pierwszą literę co kraj lub stan pozornego klienta. Na przykład zapory Circles, których IP zlokalizowane dla Meksyku są nazywane \”Mercedes\”, te, które mają geolokalizację dla Tajlandii są nazwane \”Toyota\”, te, które mają geolokalizację dla Abu Dhabi są nazwane \”Aston\”, a te, które mają geolokalizację dla Dubaju są nazwane \”Dutton\”.
Haaretz jako pierwszy poinformował o wykorzystywaniu marek samochodów do odwoływania się do klientów, choć raport wskazywał, że jest to praktyka Grupy NSO, w przeciwieństwie do Circles. Haaretz poinformował o następujących nazwach kodowych: Arabia Saudyjska jest \”Subaru\”, Bahrajn jest \”BMW\”, a Jordan jest \”Jaguar\”. Nasze skany nie ujawniły żadnych zapór check point związanych z Kręgami o nazwach Subaru lub Jaguar, choć zidentyfikowaliśmy zapory o nazwie \”BMW\” znajdującej się w Belgii.
3. Globalna lista wdrożeń Circles
Na podstawie 252 wykrytych adresów IP zidentyfikowano 25 rządów, które mogą być klientami Circles. Zidentyfikowano również 17 konkretnych oddziałów rządowych, które wydają się być klientami Circles, na podstawie WHOIS, pasywnego DNS i historycznych danych skanowania z serwerów IP zapory check point lub ich sąsiadów.
Australia, Belgia, Botswana (Dyrekcja Wywiadu i Bezpieczeństwa), Chile (Policja Dochodzeniowa), Dania (Dowództwo Armii), Ekwador, Salwador, Estonia, Gwinea Równikowa, Gwatemala (Generalna Dyrekcja Wywiadu Cywilnego), Honduras (Krajowa Dyrekcja Dochodzeń i Wywiadu), Indonezja, Izrael, Kenia, Malezja, Meksyk (Meksykańska Marynarka Wojenna; Durango), Maroko (Ministerstwo Spraw Wewnętrznych), Nigeria (Agencja Wywiadu Obronnego), Peru (Krajowa Dyrekcja Wywiadu), Serbia (Agencja Informacji Bezpieczeństwa), Tajlandia (Dowództwo Operacji Bezpieczeństwa Wewnętrznego; Batalion Wywiadu Wojskowego; Biuro Zwalczania Narkotyków), Zjednoczone Emiraty Arabskie (Najwyższa Rada Bezpieczeństwa Narodowego; rząd Dubaju; Royal Group), Wietnam, Zambiai Zimbabwe.
Podczas gdy analiza przyniosła wyniki krajowe z dużą pewnością, nasze wysiłki w celu określenia tożsamości klienta mają, w niektórych przypadkach, niższy stopień zaufania.
![\"\"](\"https://citizenlab.ca/wp-content/uploads/2020/12/Circles-Figure-3.jpg\")
Znaleziono również dowody co najmniej czterech systemów, których nie byliśmy w stanie połączyć z danym krajem(dodatek A).
4. W centrum uwagi dotyczące wdrożeń Circles
W naszych badaniach zidentyfikowano wdrożenia w 25 krajach. W kilku przypadkach byliśmy w stanie pójść dalej i zidentyfikować elementy techniczne wskazujące na konkretnego klienta rządowego z różnym stopniem pewności. Co niepokojące, w wielu z tych przypadków, rząd jako całość, a w szczególności klient rządowy, mają historię nadużywania technologii nadzoru i łamania praw człowieka.
Botswana
Zidentyfikowano dwa systemy Circles w Botswanie: nienazwany system i system o nazwie Bentley Bullevard, który wydaje się być obsługiwany przez Dyrekcję Wywiadu i Bezpieczeństwa Botswany (DISS), ponieważ certyfikaty TLS używane na zaporach Check Point zostały podpisane przez podpisany przez siebie certyfikat TLS dla \”CN=sid.org.bw\”, który jest nazwą domeny używaną przez Dyrekcję Wywiadu i Bezpieczeństwa. DISS jest czasami określany jako \”Dyrekcja Wywiadu i Bezpieczeństwa\” (DIS).
| Nazwa klienta | Możliwa tożsamość | Daty aktywne | Serwery IP zapory |
|---|---|---|---|
| Bentley Bullevard | Dyrekcja Służby Wywiadu i Bezpieczeństwa (DISS) | 2015/6/1 – Obecny | 129.205.243.1 – 3129.205.243.60 – 6241.79.138.17 – 19 |
| 2015/6/1 – 2020/9/10 | 168.167.45.100 – 102 |
Nadużycia nadzoru w Botswanie
Istnieje wiele ostatnich doniesień o nadużywaniu sprzętu nadzoru w Botswanie w celu powstrzymania sprawozdawczości i świadomości społecznej korupcji rządowej. W 2014 roku poinformowano, że DISS uczestniczył w wykorzystaniu technologii nadzoru i zagłuszania opracowanej przez Elbit Systems do prowadzenia \”walki elektronicznej\” przeciwko mediom. Ponadto DISS podobno zaangażował się w próby naruszenia prywatności relacji między źródłami a reporterami.
Chile
Nasze skanowanie zidentyfikowane, co wydawało się być jednym systemem Circles w Chile, kryptonim Cadillac Polaris. System wydaje się być obsługiwany przez Policję Dochodzeniową Chile (PDI), ponieważ zapory check point identyfikują klienta jako \”Chile PDI\”. PDI jest głównym organem ścigania w Chile. Chile PDI był również klientem Hacking Team Remote Control System (RCS) spyware, choć twierdzili, że spyware był używany tylko do ścigania przestępstw za uprzednią zgodą sądu.
| Nazwa klienta | Możliwa tożsamość | Daty aktywne | Serwery IP zapory |
|---|---|---|---|
| Cadillac Polaris | Dochodzenia Policja Chile (PDI) | 2015/9/12 – Present | 186.103.207.10 – 12 |
Nadużycia w zakresie nadzoru w Chile
W latach 2017-2018 inna duża krajowa agencja policyjna Chile, Carabineros, podobno nielegalnie przechwyciła połączenia, czaty WhatsApp i wiadomości Telegram wielu dziennikarzy. Chilijska policja przechwyciła również korespondencję rdzennych przywódców Mapuche i cytowała przechwycone rozmowy, aby uzasadnić aresztowania. Jednak urzędnicy byli później ścigani za sadzenie fałszywych dowodów na telefonach przywódców.
Gwatemala
Zidentyfikowaliśmy jeden system Kręgów w Gwatemali, Ginetta Galileo. System wydaje się być obsługiwany przez Generalną Dyrekcję Wywiadu Cywilnego (DIGICI), ponieważ publiczne informacje WHOIS rejestrują, że adresy IP zapory są zarejestrowane w \”Dirección General de Inteligencia Civil\”.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Ginetta Galileo | Generalna Dyrekcja Wywiadu Cywilnego (DIGICI) | 2015/6/1 – 2016/5/2 | 190.111.27.165 – 167 |
Nadużycia w zakresie nadzoru w Gwatemali
Dochodzenie przeprowadzone w 2018 r. przez gwatemalską gazetę Nuestro Diario wykazało, że izraelski handlarz bronią sprzedawał różne narzędzia szpiegowskie, w tym oprogramowanie szpiegowskie NSO Group i system Circles, tajnej jednostce w DIGICI. Jednostka podobno używała sprzętu do prowadzenia nielegalnej inwigilacji wobec dziennikarzy, biznesmenów i przeciwników politycznych rządu. Nadzór powstał w obliczu skrajnego fizycznego zagrożenia dla członków społeczeństwa obywatelskiego. W niedawnym raporcie wskazano ponad 900 ataków w latach 2017–2018 w Gwatemali, pochodzących zarówno od podmiotów rządowych, jak i niepaństwowych.
Meksyk
Zidentyfikowaliśmy, co wydaje się być dziesięć systemów Circles w Meksyku. Jeden system, Mercedes Ventura, wydaje się być używany przez Meksykańską Marynarkę Wojenną (SEMAR). Wszystkie adresy IP zapory dla systemu Mercedes Ventura były w /24s z wielu innych adresów IP, które są wskazywać przez nazwy domen i zwracać ważne certyfikaty TLS dla semar.gob.mx i innych stron internetowych związanych z Meksykańskiej Marynarki Wojennej. Nienazwany system wydaje się być używany przez państwo Durango, jako jeden z jego zapory IP został również wskazany przez dziesiątki subdomen durango.gob.mx. Dodatkowe informacje na temat systemów Mexico Circles znajdują się w dodatku A.
Raportowanie wcześniej związane meksykański rząd do zakupu innych urządzeń nadzoru SS7, takich jak ULIN przez Zdolność, jak również system o kryptonimie SkyLock sprzedawane przez Verint Systems Inc.
Nadużycia nadzoru w Meksyku
Meksyk ma bogatą historię nadużyć inwigilacji. W szczególności, nasze wcześniejsze badania wykazały, że podmioty w rządzie Meksyku seryjnie nadużywane spyware NSO Group Pegasus do kierowania ponad 25 reporterów, obrońców praw człowieka, a rodziny osób zabitych i zaginionych przez kartele. Wzorzec nadużyć rozciąga się na inne formy nadzoru cyfrowego.
Organizacje praw człowieka udokumentowały, że meksykańska marynarka wojenna jest odpowiedzialna za ofiary cywilne w konfliktach i łamanie praw człowieka, w tym nielegalne przetrzymywanie, porwanie,tortury i tortury seksualne. Meksykańska Narodowa Komisja Praw Człowieka potwierdziła niedawno ten wzorzec w zaleceniu.
Maroko
Nasze skanowanie zidentyfikowało, co wydawało się być jednym systemem Kręgów w Maroku. Adresy IP marokańskiego klienta znajdują się w tym samym /27, co kilka stron internetowych Biura Centralnego Dochodzenia (BCIJ) i znajdują się w tym samym /26 jak na stronie internetowej marokańskich sił pomocniczych (FA). Zarówno FA, jak i BCIJ znajdują się pod auspicjami Maroka Ministerstwa Spraw Wewnętrznych. Agencja rządowa w Maroku również wydaje się być klientem grupy NSO Powiązanej Circles, choć tożsamość tej marokańskiej agencji nie została ustalona.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Ministerstwo Spraw Wewnętrznych | 2018/3/14 – Present | 105.145.40.27-28 |
Nadużycia w zakresie nadzoru w Maroku
Maroko było związane z wieloma przypadkami nadużyć w zakresie nadzoru w ciągu ostatniej dekady, począwszy od kierowania organizacji praw człowieka za pomocą oprogramowania szpiegującego Hacking Team do szeregu nowszych przypadków, w których oprogramowanie szpiegujące Pegasus Grupy NSO było wykorzystywane do kierowania na społeczeństwo obywatelskie w Maroku i za granicą.
Nigeria
Nasze skanowanie zidentyfikowało dwa systemy Circles w Nigerii. Jeden system może być obsługiwany przez ten sam podmiot co jeden z nigeryjskich klientów oprogramowania szpiegującego FinFisher, który wykryliśmy w grudniu 2014 roku. Adresy IP zapory są w tym samym /27 jako adres IP serwera C&C FinFisher, który wykryliśmy w naszych skanach 2014 (41.242.50.50). Innym klientem wydaje się być Nigerii Defence Intelligence Agency (DIA), jak jego zapory IP są w AS37258, blok adresów IP zarejestrowanych do \”HQ Defence Intelligence Agency Asokoro, Nigeria, Abuja.\”
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Nigeryjska Agencja Wywiadu Obronnego (DIA) | 2015/6/1 – 2017/4/25 | 196.1.133.7 – 9 | |
| Nieznany operator FinFisher od grudnia 2014 r. | 2015/6/1 – Obecny | 41.242.50.42 – 47 |
Nadużycia nadzoru w Nigerii
Członkowie społeczeństwa obywatelskiego w Nigerii stoją w obliczu szerokiego zakresu zagrożeń cyfrowych. Niedawny raport Front Line Defenders stwierdził, że rząd Nigerii \”przeprowadził masową inwigilację telekomunikacji obywateli\”. Komitet Ochrony Dziennikarzy (CPJ) zgłosił również wiele przypadków nigeryjskiego rządu nadużywającego nadzoru telefonicznego.
Dochodzenie przeprowadzone przez nigeryjską gazetę Premium Times wykazało, że nigeryjscy gubernatorzy państw Bayelsa i Delta zakupili systemy od Circles, aby szpiegować swoich przeciwników politycznych. W stanie Delta, Premium Times donosi, że system został zainstalowany w \”governor\’s lodge\” i obsługiwany przez pracowników gubernatora, a nie policji. W stanie Bayelsa gubernator podobno używał systemu Circles do szpiegowania swojego przeciwnika w wyborach, a także żony i pomocników przeciwnika. Dochodzenie wykazało również, że dwa systemy Circles zostały przywiezione bez odpowiednich zezwoleń z Nigeryjskiego Biura Doradcy Bezpieczeństwa Narodowego.
Tajlandia
Nasze skanowanie zidentyfikowało, co wydaje się być trzema obecnymi klientami w Tajlandii. Adresy IP zapory dla Toyota Regency są w tym samym /29 jak online \”War Room\” z Royal Thai Army\’s Internal Security Operations Command (ออํนยย田田田ษ田田田มั่น田ภ田ยใน), znany jako ISOC w skrócie. Adresy IP zapory dla nienazwanego systemu są w tym samym /29 jak wiki, która wyświetla logo Batalionu Wywiadu Wojskowego (MIBn) (japอพันข่田田田อ田田田อ田田田อ田田田อ田田อ田田田อ田田田อ田田田อ ห), która wydaje się być oddziałem Wojskowego Dowództwa Wywiadu Wojskowego (หน่ยข่田田田อ田田田田田หW), główną agencją wywiadu wojskowego Tajlandii. Trzeci system, Toyota Dragon, jest identyfikowany przez jego zapory Check Point jako \”Tajlandia NSB\”, który uważamy za odniesienie do Biura Tłumienia Narkotyków.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Batalion Wywiadu Wojskowego Królewskiej Armii Tajlandzkiej (MIBn) | 2019/3/19 – Present | 110.164.191.212 – 214122.154.71.180 – 182 | |
| Toyota Regency | Royal Thai Army Internal Security Operations Command (ISOC) | 2016/7/12 – Present | 110.164.72.2 – 4 |
| Toyota Dragon | Royal Thai Police Narkotyki Tłumienie Bureau (NSB) | 2015/9/12 – Present | 203.149.46.164 – 166 |
Nadużycia nadzoru w Tajlandii
Tajlandia w przeszłości wykorzystywała szeroką gamę technologii nadzoru do monitorowania i nękania społeczeństwa obywatelskiego. Poprzednie badania Citizen Lab zidentyfikowały również operatora spyware Pegasus działającego w Tajlandii.
ISOC został oskarżony o torturowanie i waterboarding działaczyi pozywanie działaczy, którzy twierdzą, tortury z rąk wojska. Ostatnio pojawiły się niepokojące doniesienia o uprowadzeniach tajskich dysydentów, którzy mieszkają poza Tajlandią. W jednym przypadku trzech tajlandzkich dysydentów mieszkających w Laosie, którzy krytykowali wojsko Tajlandii, zniknęło, a ich ciała zostały później odkryte przez tajskiego rybaka. Ich ciała były \”pozbawione i wypchane betonowymi słupkami\”, a ich kończyny złamane. Podczas gdy te porwania i zabójstwa nie zostały jednoznacznie przypisane do Królewskiej Armii Tajskiej, zaginięcia są zgłaszane do stało się, gdy przywódca byłej junty wojskowej Tajlandii Prayut Chan-o-cha (ปยุ田ธ์中田น田田田โอช田田田) odwiedził Laos. Chan-o-cha jest obecnym premierem Tajlandii, a także dyrektorem ISOC.
Zjednoczone Emiraty Arabskie
W naszym skanowaniu zidentyfikowano trzech aktywnych klientów ze Zjednoczonych Emiratów Zjednoczonych: Najwyższą Radę Bezpieczeństwa Narodowego ZEA (SCNS) (المللس العلعلل للیمن الوونني), rząd Dubaju, a także klient, który może być związany zarówno z Grupą Królewską Szejka Tahnoona bin Zayeda al-Nahyana, jak i byłym strongmanem Fatah Mohammedem Dahlanem.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Grupa Królewska | 2019/8/27 – Present | 94.206.102.68 – 70 | |
| Aston Andromeda | Najwyższa Rada Bezpieczeństwa Narodowego ZEA | 2016/4/4 – Present | 213.42.167.106 – 10891.72.225.2 – 4 |
| Dutton Dolche | Rząd Dubaju | 2016/12/5 – Present | 151.253.54.210 – 21291.75.44.84 – 86 |
Grupa Królewska
Znaleziono nienazwany system UKA Circles, którego zapory Check Point były w tym samym /25 jak strony internetowe dla firm Royal Group, w tym Mauqah Technology, który znakomicie nabył i obsługiwał spyware RCS Hacking Team i w 2012 roku wykorzystał system do kierowania (między innymi) działacza ZEA Ahmeda Mansoora. Serwer dowodzenia i kontroli (C&C) dla tego oprogramowania szpiegującego krótko wskazał na adres IP zarejestrowany dla Szejka Tahnoona bin Zayeda Al-Nahyana, przewodniczącego Royal Group i obecnie doradcy bezpieczeństwa narodowego ZEA. Szejk Tahnoon był również ściśle związany z ToTok, popularną aplikacją do czatu, która została zakazana w sklepach Apple i Google Play po tym, jak New York Times poinformował, że jest powiązana z wywiadem ze Zjednoczonych Emiratów Zjednoczonych.
Wyciekła faktura z 2014 r. wskazuje na transakcję między Circles i Al Thuraya Consultancy and Researches LLC, która wydaje się być powiązana z Royal Group. Zapisy uzyskane przez libańską gazetę Al Akhbar z Abu Dhabi Chamber of Commerce i zapisy na companies.rafeeg.ae pokazują, że Al Thuraya dzieli numer PO Box (\”PO Box 5151, Abu Dhabi\”) i numer faksu (\”8111112\”) z Royal Group. Dodatkowo, licencja handlowa Al Thuraya pokazuje \”Dhahi Mohammed Hamad Al-Thumairi\” jako jednego z dwóch partnerów firmy. Al-Thumairi trenował w jiu-jitsu z adoptowanym synem Szejka Tahnoona Faisalem Alketbim, otrzymał zachętę jiu-jitsu od samego Szejka Tahnoona i nazwał swojego pierwszego syna \”Tahnoon\”. Inny z podopiecznych Sheikh Tahnoon jiu-jitsu pojawił się w sprawie ToTok jako jedyny dyrektor Breej Holding, firmy wymienionej jako deweloper aplikacji iOS.
![\"\"](\"https://citizenlab.ca/wp-content/uploads/2020/12/Circles-Figure-4.png\")
Al Thuraya był doradcą Mohammeda Dahlana, byłego szefa Palestyńskiego Bezpieczeństwa Prewencyjnego (المن الویایي)i byłego członka Komitetu Centralnego Fatah. Dahlan został wyrzucony z Fatah w czerwcu 2011 roku, a następnie uciekł do ZJEDNOCZONYCH Emiratów Mae. Rzeczywiście, wyciekła faktura z 2014 r. pokazuje adres Al Thurayajako \”POB 128827, Abu Dhabi, Zjednoczone Emiraty Arabskie\”, który jest wymieniony w zapisach WHOIS dla dahlan.ps dahlan stronie od września 2013 r., i był używany przez Dahlan w czerwcu 2017 r., kiedy bezskutecznie pozwał londyńską gazetę internetową Middle East Eye za zniesławienie. Dahlan podobno prowadził program zamachów na ZJEDNOCZONE EMIRATY ZJEDNOCZONE EMIRATY ZJEDNOCZONE EMIRATY ZJEDNOCZONE EMIRATY ZJEDNOCZONE EMIRATY ZJEDNOCZONE EMIRATY ŻE, który wymierzony i zabity polityków opozycji. Dahlan był również podobno zaangażowany w niedawne porozumienie, które znormalizowało stosunki między ZEA a Izraelem.
Najwyższa Rada Bezpieczeństwa Narodowego ZEA
W 2015 r. wyciekła wymiana, urzędnik Najwyższej Rady Bezpieczeństwa Narodowego ZEA (SCNS), Ahmed Ali Al-Habsi, poprosił Circles o przechwycenie połączeń na niektóre numery telefonów, najwyraźniej w ramach demonstracji produktu. Znaleźliśmy system Circles o nazwie Aston Andromeda, którego adresy IP zapory zostały zarejestrowane do tego samego urzędnika SCNS na publiczne dane WHOIS.
Ujawnione dokumenty wyszczególniają również sprzedaż Kręgów w 2016 r. do Krajowego Urzędu Bezpieczeństwa Elektronicznego ZEA (NESA) (الهيیة الوینية للیمن اللتتروني) przez DarkMatter. Chociaż NESA jest spółką zależną SCNS na prawo ZEA,nie jesteśmy pewni, czy demo SCNS i DarkMatter / NESA oferty są powiązane. Po doniesieniach Reutersa na temat kampanii hakerskiej NESA Project Raven, NESA została podzielona na kilka agencji, w tym Agencję Wywiadu Sygnałowego (ههای استتبارات الɪایرة).
Nadużycia w zakresie nadzoru w ZEA
Rząd ZEA jest udokumentowanym seryjnym sprawcą technologii inwigilacji, aby tłumić sprzeciw i prześladować krytyczne głosy. Niektórzy prominentni aktywiści, jak Ahmed Mansoor, emiracki więzień sumienia, który od 2017 r. jest więziony przez ZEA, zostali ukryci przy użyciu technologii z Hacking Team, Gamma Group\’s FinFisher, technologii opracowanej przez Project Raveni spyware NSO Group Pegasus.
Wykorzystanie przez ZEA byłych pracowników Agencji Bezpieczeństwa Narodowego USA do kierowania urządzeń dysydentów, dziennikarzy i przeciwników politycznych jest również dobrze udokumentowane,podobnie jak pozorne wykorzystanie tego celu do demaskowania i więzienia blogerów i innych krytycznych wobec rządu. W niektórych przypadkach cele obejmowały Amerykanów.
Zambia
Zidentyfikowaliśmy, co wydaje się być jednym systemem Circles w Zambii, obsługiwanym przez nieznaną agencję.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2018/1/30 – 2018/2/6 | 165.56.2.13 |
Niewłaściwe wykorzystanie nadzoru w Zambii
W 2019 r. Zambia podobno aresztowała grupę blogerów, którzy prowadzili opozycyjny serwis informacyjny za pomocą \”jednostki cyberinwigilacji w biurach regulatora telekomunikacyjnego Zambii\”, która \”wskazała lokalizacje blogerów\” i była \”w stałym kontakcie z jednostkami policji rozmieszczonych w celu ich aresztowania\”. Chociaż rozwiązanie Circles pozwala rządom śledzić telefony, nie jest jasne, czy system Kręgów Zambii był używany w tym przypadku.
Circles jest częścią dużej i rozwijającej się globalnej branży nadzoru catering dla klientów rządowych. Wielu klientów rządowych, którzy wydają się nabyć i / lub wdrożone circles technologii mają ponury zapis nadużyć praw człowieka i możliwości nadzoru technicznego. Wielu z nich nie ma publicznej przejrzystości i odpowiedzialności oraz posiada minimalny lub żaden niezależny nadzór nad działalnością swoich agencji bezpieczeństwa.
Circles: Kolejny gracz branży napędzający rozprzestrzenianie się nieodpowiedzialnego nadzoru
Trudno jest badać i śledzić firmy nadzoru, takie jak Circles, które wykorzystują wady protokołu SS7. Wiele ataków SS7 nie wymaga zaangażowania w same cele i nie pozostawia widocznych artefaktów na urządzeniach obiektów docelowych, które mogą przypadkowo ujawnić operację. Brak przejrzystości ze strony dostawców usług telekomunikacyjnych w zakresie nadużyć pomaga również firmom nadzoru i ich klientom uniknąć narażenia, co jeszcze bardziej zwiększa prawdopodobieństwo nadużycia.
Autorytarny profil niektórych pozornych klientów rządowych Circles jest niepokojący, ale nie zaskakujący. W ciągu ostatniej dekady eksplozja globalnego przemysłu nadzoru spowodowała ogromny transfer technologii szpiegowskiej do problematycznych reżimów i służb bezpieczeństwa. Ci klienci wykorzystali swoje nowo nabyte zdolności do naruszania praw człowieka i neutralizacji opozycji politycznej, nawet poza ich granicami. Kręgi są szczególnie dotyczące sprawy ze względu na ich bliskie relacje i zgłoszone integracji z NSO Group, który ma notorycznie zapis umożliwiający nadużycia nadzoru.
Rozwijający się, nieuregulowany przemysł nadzoru
Badania przeprowadzone przez Citizen Lab i inne, w tym Amnesty International i Privacy International,wykazały, że branża nadzoru jest słabo regulowana, a jej produkty są podatne na nadużycia. Wydaje się, że \”samoregulacja\”, którą przedsiębiorstwa twierdzą, że praktykuje, nie zahamowała rosnącej fali przypadków nadużyć. W sprawozdaniu z 2019 r. w sprawie branży nadzoruspecjalny sprawozdawca ONZ ds.
W miarę jak przemysł nadzoru stale rośnie w stosunkowo niezakłóconym rozwoju, przestrzenie dla legalnej działalności demokratycznej będą nadal się kurczyć. Zdolność rządów do ochrony swoich obywateli, a także ich podstawowych usług i bezpieczeństwa narodowego, będzie również nadal słabnąć. Rozwiązanie tego problemu będzie wymagało bezpośredniego skoncentrowania się na reformie sektora nadzoru, w tym między innymi:
- wprowadzenie bardziej solidnych krajowych, regionalnych i międzynarodowych ram prawnych–wyposażonych w znaczące mechanizmy przejrzystości, egzekwowania i nadzoru–w celu kontrolowania eksportu i importu technologii nadzoru;
- obowiązkowe obowiązki należytej staranności wobec firm nadzoru i mechanizmów egzekwowania prawa z surowymi karami za naruszenia takich obowiązków; I
- Zmiany legislacyjne mające na celu naprawienie wszelkich luk prawnych i regulacyjnych w taki sposób, że strony poszkodowane przez technologię nadzoru mogą wnosić roszczenia przeciwko przedsiębiorstwom za te szkody.
Oprócz tych szerszych środków ukierunkowanych na przemysł nadzoru, uważamy, że luki w światowym systemie telekomunikacyjnym wymagają pilnych działań ze strony rządów i dostawców usług telekomunikacyjnych. Globalny sektor telekomunikacyjny stwarza znaczące możliwości nadużyć ze strony sektora nadzoru i jego klientów w świetle utrzymującej się niezdolności operatorów telekomunikacyjnych i państw do zapobiegania takiej eksploatacji. W poniższej dyskusji przedstawiliśmy jasne działania, które prawodawcy i operatorzy sieci bezprzewodowych muszą podjąć, aby zapobiec ciągłemu wykorzystywaniu i nadużyciom.
Brzmiące alarm: Jasne i obecne zagrożenie dla bezpieczeństwa narodowego
Według ostatnich badań,zdecydowana większość sieci telekomunikacyjnych na całym świecie są podatne na tego rodzaju techniki podobno stosowane przez Circles. Jak powszechnie informowano, przemysł starał się bagatelizować i ukrywać te zagrożenia. Nic dziwnego, że raporty wskazują, że SS7 został nadużywany przez kraje takie jak Arabia Saudyjska do kierowania osób na całym świecie, w tym w USA.
W niedawnym badaniu bezpieczeństwa bezprzewodowego UE przeprowadzonym przez Agencję Cyberbezpieczeństwa Unii Europejskiej (ENISA) stwierdzono, że większość operatorów ma środki bezpieczeństwa, które mogą \”obejmować tylko ataki podstawowe\”. Niepokojące jest to, że zgłaszanie skali tych zagrożeń pozostaje trudne do osiągnięcia, ponieważ nadużycia ss7 nie mieszczą się w obecnych obowiązkach sprawozdawczych dla europejskiego sektora telekomunikacyjnego.
Ponadto w branży wiadomo, że niektóre kraje nie wywiązują się z podstawowych obowiązków należytej staranności i nadzoru w odniesieniu do swoich sieci, umożliwiając podmiotom zagranicznym dostęp do SS7 i Średnicy w celu prowadzenia globalnego nadzoru.
Uważamy, że historycznie ograniczone informacje publiczne na temat nadużyć umożliwiły przemysłowi telekomunikacyjnemu dalsze zminimalizowanie problemu. Większość firm telekomunikacyjnych nie informuje opinii publicznej o skali zagrożeń dla użytkowników, liczbie zidentyfikowanych i zablokowanych ataków ani o planie działania na rzecz rozwiązania tych zagrożeń w przyszłości. Ten stan rzeczy spowoduje przewidywalne, zapobiec szkody dla klientów na całym świecie.
Ryzyko w USA
W kwietniu 2017 r. Departament Bezpieczeństwa Wewnętrznego USA (DHS) przeprowadził główne badanie, w których stwierdzono:\”wszyscy amerykańscy przewoźnicy są podatni na te wyczyny, co prowadzi do zagrożeń dla bezpieczeństwa narodowego, gospodarki i zdolności rządu federalnego do niezawodnego wykonywania podstawowych funkcji krajowych\”. Według raportu DHS,\”SS7 i średnica luki mogą być wykorzystywane przez przestępców, terrorystów i podmiotów państwowych / zagranicznych organizacji wywiadowczych\” i \”wiele organizacji wydaje się być dzielenie się lub sprzedaży wiedzy i usług\”, które mogą być wykorzystane do prowadzenia takiego szpiegostwa.
W odpowiedzi na list senatora Rona Wydena z 2017 r. z prośbą o informacje na temat kroków, jakie amerykańscy przewoźnicy podejmują w celu zabezpieczenia swoich sieci, AT & T przyznał, że \”setki przewoźników mają teraz dostęp do SS7, wielu z nich w niestabilnych lub nieprzyjaznych krajach, w których poświadczenia mogą zostać naruszone … nawet sprzedawane na wolnym rynku za opłatą.\” Firma przyznała, że \”model zaufania nie jest już w pełni niezawodny\”.
W 2018 roku w liście do Federalnej Komisji Łączności (FCC) senator Wyden ujawnił, że nienazwany amerykański przewoźnik doznał naruszenia informacji o klientach związanych z SS7, które zgłosił władzom federalnym. Późniejsze raporty śledcze ujawniły, że FCC zignorowała zalecenia ekspertów DHS i zamiast tego zaproponowała dobrowolny program zgodności za namową branży bezprzewodowej. Dodatkowo, raporty wykazały, że chociaż wiadomości SMS są podatne na przechwytywanie SS7, przemysł bezprzewodowy z powodzeniem lobbował Na Narodowy Instytut Standardów i Technologii (NIST), aby zachować wiadomości tekstowe SMS jako zatwierdzoną metodę uwierzytelniania dwuskładnikowego w standardach rządu USA.
Niepokojąca niezdolność rządu USA i sektora telekomunikacyjnego do rozwiązania luk SS7 znajduje odzwierciedlenie w wielu krajach na całym świecie.
Ryzyko w Kanadzie
W 2017 r. wspólne dochodzenie przeprowadzone przez CBC News i Radio Canada, we współpracy z niemieckimi badaczami bezpieczeństwa, wykazało atak SS7 na siedzącego posła do parlamentu, Matthew Dubé. Mając tylko numer telefonu, śledczy byli w stanie wykorzystać luki WS7 do śledzenia precyzyjnych ruchów Dubé\’a i przechwytywania jego połączeń. Testy przeprowadzono zarówno w sieciach Rogers, jak i Bell.
W swoim sprawozdaniurocznym za 2018 r. kanadyjski komisarz ds. W odpowiedzi kanadyjska agencja wywiadowcza signals, Communications Security Establishment (CSE), powiedziała, że \”kwestie bezpieczeństwa wokół SS7 są znane od jakiegoś czasu\” i że współpracuje z partnerami branżowymi, aby je rozwiązać. Jednak CSE stwierdziła również, że \”nie jest w stanie omówić dalszych szczegółów spotkań z partnerami branżowymi i nie możemy ujawnić udziału indywidualnych, prywatnych partnerów telekomunikacyjnych\”.
Aby uzyskać wskazówki, CSE zasugerowała publicznej wizycie na stronie informacyjnej \”bezpieczeństwo mobilne\”, teraz dostępnej na nowo utworzonej stronie internetowej Canada Centre for Cyber Security w sekcji \”infografiki\”. Jednakże strona internetowa i załączona infografika nie wspominają wyraźnie o SS7 i dostarczają tylko podstawowych porad dotyczących praktyk w zakresie bezpieczeństwa mobilnego.
Ustawodawcy
Rządy na całym świecie powinny podjąć działania w celu ochrony swoich obywateli i ich własnych działań. Organy regulacyjne telekomunikacji powinny przeprowadzać regularne audyty sieci krajowych i upoważniać przewoźników do identyfikowania, ujawniania i eliminować luki w zabezpieczeniach.
Rząd Wielkiej Brytanii wykazał obiecujące przywództwo w rozwiązywaniu problemu bezpieczeństwa przewoźników, z niedawno proponowanym prawodawstwem, które wymaga od przewoźników zabezpieczenia swoich sieci i daje Ofcom (brytyjskiemu regulatorowi telekomunikacji) uprawnienia do zapewnienia zgodności. Nowo proponowane uprawnienia przyznane Ofcom obejmują możliwość przeprowadzania audytów i zmuszania do sporządzania dokumentacji i innych informacji związanych z działaniami przewoźnika w zakresie bezpieczeństwa. Proponowana ustawa po raz pierwszy wymagałaby również od przewoźników ujawniania swoim klientom kompromisów i w niektórych przypadkach nakładania grzywien.
Unia Europejska odnotowała również słabe punkty sieci telekomunikacyjnej i wydała niedawne zalecenia, które zachęcają państwa UE do przeprowadzania regularnych analiz krajobrazu zagrożeń, przyjmowania minimalnych standardów bezpieczeństwa i wymogu zgłaszania incydentów. Zauważamy również, że nordyckie organy regulacyjne podjęły wysiłki w celu ustanowienia najlepszych praktyk w zakresie ochrony ich infrastruktury przed atakami SS7.
Z kolei FCC USA nie wykazały woli zmuszania przewoźników do zgłaszania incydentów lub podejmowania poważnych ulepszeń w zakresie bezpieczeństwa. Biorąc pod uwagę szybkie rozprzestrzenianie się technologii eksploatacji SS7 i Diameter zarówno dla państw, jak i podmiotów niepaństwowych, wydaje się prawdopodobne, że bez pilnych działań, amerykańscy konsumenci i operacje rządowe będą kierowane przez coraz szersze potencjalne zagrożenia.
Operatorzy sieci bezprzewodowych:
Zdecydowanie zalecamy, aby firmy telekomunikacyjne zbadały ruch SS7 i średnicowy pochodzący od dostawców w krajach, w których zidentyfikowaliśmy wdrożenie Circles pod kątem wzorców nadużyć. Rynek eksploatacji SS7 i Diameter, a także bezprzewodowy krajobraz zagrożeń, stale ewoluują. Zalecenia dhs są bardzo istotne: każdy większy operator sieci bezprzewodowej powinien otrzymywać niezależną kontrolę SS7 i średnic co 12-18 miesięcy i powinien usuwać wszelkie zidentyfikowane luki w zabezpieczeniach. ENISA zawiera również szereg zaleceń dotyczących bezpieczeństwa dla przewoźników.
Zdajemy sobie sprawę, że niektórzy dostawcy, tacy jak wiele amerykańskich firm, eksperymentują z firewallami SS7, które obiecują zmniejszenie niektórych rodzajów ataków. Wzywamy dostawców do publicznego ujawniania swoich planów działania w celu wyeliminowania luk w zabezpieczeniach SS7 i średnicy oraz uważamy, że informacje o zagrożeniach SS7 powinny być w przyszłości uwzględniane w sprawozdawczości dotyczącej przejrzystości firm telekomunikacyjnych.
Alarm:Zalecenia dla użytkowników wysokiego ryzyka
Niezależnie od tego, czy jesteś dziennikarzem, obrońcą praw człowieka, czy pracownikiem rządowym, luki w sieci telekomunikacyjnej mogą umożliwić przeciwnikom przechwycenie weryfikacji i naruszenie twoich kont. Jeśli uważasz, że jesteś w obliczu zagrożeń ze względu na to, kim jesteś lub co robisz z któregokolwiek z krajów wymienionych w niniejszym raporcie, a nawet kraju niewymienione powyżej, zachęcamy do migracji z dala od sms oparte dwuskładnikowe uwierzytelnianie natychmiast dla wszystkich kont, gdzie jest to możliwe. Wskazówki dotyczące używania klucza zabezpieczeń dla niektórych kont znajdują się tutaj.
Ponadto w przypadku kont w popularnych aplikacjach, takich jak Signal, WhatsApp i Telegram, zachęcamy do natychmiastowego włączenia kodu PIN lub hasła zabezpieczającego dla twojego konta.
Potwierdzenia
Dzięki Rapid7 i Censys za zapewnienie dostępu badawczego do swoich źródeł danych.
Prace Billa Marczaka nad tym raportem zostały częściowo poparte przez Międzynarodowy Instytut Informatyki i Centrum Długoterminowego Bezpieczeństwa Cybernetycznego na Uniwersytecie Kalifornijskim w Berkeley.
Autorzy chcieliby podziękować Jeffrey knockel za wzajemną recenzję i Stephanie Tran za pomoc badawczą. Specjalne podziękowania dla kilku innych recenzentów, którzy chcą pozostać anonimowi, a także TNG.
Wsparcie finansowe dla tych badań zostało dostarczone przez John D. i Catherine T. MacArthur Foundation, Ford Foundation, Hewlett Foundation, Open Societies Foundation, Oak Foundation i Sigrid Rausing Trust.
Dodatek A: Wdrożenia Circles, ciąg dalszy
Australia
Zidentyfikowano jeden system Circles w Australii. Nie możemy zweryfikować tożsamości operatora. Zapora check point systemu była również osiągalna za pośrednictwem adresu IP w malezyjskim centrum danych (EstNOC Malaysia), które wydaje się przekazywać ruch dalej do australijskich adresów IP. Australijskie IP, na Optus i TPG, geolokalizacja dla stolicy Australii Canberry, na Max Mind.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2018/10/30 – Present | 220.101.113.194 – 19627.33.222.130 – 132220.245.33.62103.230.142.4 |
Belgia
| Nazwa klienta | Możliwa tożsamość | Daty aktywne | Serwery IP zapory |
|---|---|---|---|
| BMW Bagel | 2017/2/25 – Present | 81.246.73.98 – 10084.199.16.226 – 228 |
Dania
Zidentyfikowano jednego klienta w Danii, Dodge Diamondback, który wydaje się być duńskie dowództwo armii (Hærkommandoen). Adresy IP zapory systemu znajdują się w zakresie adresów IP o nazwie \”BSC-HOK-NET\”, a dane WHOIS pokazują powiązany numer telefonu (+45 9710 1550), który ujawnia wyszukiwarka Google jest powiązana z armią duńską. Uważamy, że \”HOK\” jest odniesieniem do duńskiego \”Dowództwa Operacyjnego Armii\”, które zostało zrestrukturyzowane w 2014 roku i jest obecnie najwyraźniej znane jako duńskie \”Dowództwo Armii\”.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Dodge Diamondback | Dowództwo Armii (Hærkommandoen) | 2015/6/1 – 2020/4/30 | 80.63.69.243 – 245 |
Ekwador
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Kosmos Excalibur | 2015/6/1 – 2019/9/17 | 181.113.61.242 – 244 | |
| 2015/6/1 – 2017/2/13 | 181.211.37.50 – 52181.39.50.66 – 68 |
Salwador
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Evoque Lempa | 2017/2/13 – Present | 201.247.172.155 – 157 |
Estonia
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2018/10/30 – Present | 193.40.226.194 – 196193.40.226.66 – 68 |
Gwinea Równikowa
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2013/10/30 – Present | 193.251.153.1 – 3 |
Honduras
Zidentyfikowano dwa systemy Circles w Hondurasie. Jeden nienazwany system wydaje się być obsługiwany przez Krajową Dyrekcję Badań i Wywiadu (DNII), ponieważ publiczne informacje WHOIS rejestrują, że adresy IP zapory są zarejestrowane w \”DNII\”.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Krajowa Dyrekcja Dochodzeń i Wywiadu (DNII) | 2017/6/29 – Present | 181.210.19.211 – 213 | |
| Honda Thor | 2016/7/12 – Present | 190.4.27.122-124 | |
| Honda Honduras | (Koła IP) |
Indonezja
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2018/9/11 – Present | 203.142.69.82 – 84 | ||
| 2018/9/4 – Present | 117.102.125.50 – 52 |
Izrael
Zidentyfikowano jeden system w Izraelu. Jednak system ten nie został oznaczony jako system \”klienta\”, a zamiast tego został oznaczony jako system \”telco\”. Dodatkowo, nazwa \”Lexus\” nie ma pierwszej litery \”I\” dla Izraela, co jest niezgodne z innymi systemami nazewnictwa klientów.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Telco Lexus Canola | 82.166.142.26 – 28 |
Kenia
Zidentyfikowano jeden system w Kenii. Chociaż MaxMind geolokalizacja adresów IP na Mauritius, \”trace route\” wskazuje, że adresy IP znajdują się w Kenii. Nazwa\”Kali\” wydaje się niezgodna z innymi schematami nazewnictwa klientów, ponieważ nie jesteśmy świadomi żadnej marki motoryzacyjnej o nazwie \”Kali\”.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Telco Kali Tęcza | 41.72.215.226 – 228 |
Malezja
Zidentyfikowano jeden system Circles w Malezji, o nazwie Pixcell Mazda Farmer. Nie możnia zweryfikować tożsamości operatora. Wierzymy, że Pixcell jest odniesieniem do urządzenia Circles,którego opis w United States Federal Communication Commission (FCC) i United States Patent and Trademark Office (USPTO) sugeruje, że jest to przenośny catcher IMSI. Podczas gdy model Pixcell, który przeszedł proces zatwierdzania FCC najwyraźniej począwszy od października 2016, ma wsparcie WCDMA (3G), zdjęcie ze stycznia 2017 roku modelu Pixcell przesłane do USPTO wydaje się wskazywać, że obsługa WCDMA została usunięta, a wsparcie dla LTE (4G) zostało dodane, w oparciu o brak światła stanu \”WCDMA\” i światło stanu \”LTE\” w jego miejscu.
![\"Image](\"https://citizenlab.ca/wp-content/uploads/2020/12/image2.png\")
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Pixcell Mazda Rolnik | 2016/9/25 – 2018/4/17 | 60.54.119.242 – 244 | |
| Mazda Niebo | (Koła IP) |
Meksyk
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2018/10/16 – Present | 189.240.115.18 – 20 | ||
| Mercedes Panda | 2015/6/1 – Obecny | 187.217.170.233 – 235189.240.245.141189.240.254.193 – 195189.240.254.202 – 204189.240.254.209 – 211189.240.254.217 – 219201.147.171.225 – 227201.147.171.233 – 235 | |
| Mercedes Koala | 2015/9/12 – 2017/10/24 | 187.174.194.23 – 28 | |
| Mercedes Dathomir | (Koła IP) | ||
| Mercedes Sirius | 2015/9/12 – 2016/8/6 | 201.157.58.162 – 164 | |
| Mercedes Camelot | 2015/6/1 – 2019/10/1 | 187.217.188.220 – 222187.217.80.162 – 164 | |
| Mercedes Ventura | SEMAR (Meksykańska Marynarka Wojenna) | 2015/6/1 – 2017/8/15 | 187.217.108.81 – 83201.116.62.192 – 194 |
| Mercedes Nightingale | (Koła IP) | ||
| punkt kontrolny | Stan Durango | 2015/6/1 – 2020/4/30 | 187.141.19.195201.139.227.74201.148.31.122 |
| cp.slp.mx | 2015/6/1 – 2017/12/5 | 187.141.246.178 |
Peru
Zidentyfikowano jeden system Circles w Peru, który wydaje się być obsługiwany przez Peru National Intelligence Directorate (DINI), ponieważ niektóre z jego adresów ZAPA były w /27 zarejestrowanym do \”DIRECCION NACIONAL DE INTELIGENCIA – DINI\” na publiczne dane Whois. System nosi nazwę Porsche Pisco. Co ciekawe, DINI został zgłoszony do projektu nadzoru o nazwie \”Pisco\”, który był w fazie rozwoju w 2015 roku. Associated Press donosiła w 2016 roku, że jednym z umów Project Pisco był izraelski przechwyt verint.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Porsche Pisco | Krajowa Dyrekcja Wywiadu (DINI) | 2015/6/8 – 2018/2/13 | 168.121.46.82 – 83 181.177.233.20 – 22 |
Serbia
Zidentyfikowano jeden system Circles w Serbii, który wydaje się być obsługiwany przez Serbię Security Information Agency (BIA), która była również klientem FinFisher.
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Shkoda Sambu | Agencja Informacji o Bezpieczeństwie (BIA) | 2015/6/1 – 2015/7/6 | 195.178.51.242 – 243195.178.51.252 |
Wietnam
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| Volvo Halogen | 2015/10/12 – Present | 113.161.106.74 – 76 |
Zimbabwe
| Nazwa klienta | Możliwa tożsamość | Widziany w skanowaniu | Serwery IP zapory |
|---|---|---|---|
| 2013/11/4 – 2014/1/6 | 196.27.103.36 – 38 | ||
| Zagato Zeus | 2015/9/12 – 2017/9/19 | 197.155.229.194 -196 | |
| Zimbabwe Telcel | 2018/3/27 – Present | 41.79.56.33 – 34 |
Nieznane kraje
Znaleziono nazwy kilku innych systemów Circles pojawiających się w zakresach IP zarejestrowanych w Circles. Ponieważ te nazwy nigdy nie zostały zarejestrowane w zakresach ADRESÓW IP, które mogą należeć do klientów Circles, nie jesteśmy pewni ich tożsamości. Nazwy to: GTR Whitehippo, Icarus Shemer, Kodik Kitei Opel Oranit.
Thomas Brewster / Forbes/ , zajmujący się cyberprzestępczością, prywatnością, bezpieczeństwem i inwigilacją.
Technologia nadzoru, która może zidentyfikować lokalizację telefonu w dowolnym miejscu na świecie w ciągu kilku sekund z tylko numer telefonu został wykryty w 25 krajach, niektóre z czekred rekordy dotyczące praw człowieka, według badań opublikowanych we wtorek.
Technologia została dostarczona przez izraelskie kręgi biznesowe, twierdził Citizen Lab, organizacja University of Toronto, która od dawna śledzić działalność firm nadzoru. Circles jest siostrzaną firmą NSO Group, programisty iPhone\’a i Androida, który jest obecnie pozwany przez Facebooka w związku z atakami na konta WhatsApp 1400 użytkowników i był krytykowany za sprzedaż do krajów, które poszły na szpiegowanie działaczy, dziennikarzy i innych obywateli.https://cb6db56a6377462a1b9af14b2e60f615.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html
Według Citizen Lab, narzędzie śledzenia kręgów zostało wykryte zarówno w krajach zachodnich, demokratycznych, jak i w krajach o słabych wynikach w zakresie praw człowieka. Pełna lista, według Citizen Lab i nie potwierdzone lub zaprzeczył przez Circles, zawarte: Australia, Belgia, Botswana, Chile, Dania, Ekwador, Salwador, Estonia, Gwinea Równikowa, Gwatemala, Honduras, Indonezja, Izrael, Kenia, Malezja, Meksyk, Maroko, Nigeria, Peru, Serbia, Tajlandia, Zjednoczone Emiraty Arabskie (UE), Wietnam, Zambia i Zimbabwe.
![\"Circles](\"https://specials-images.forbesimg.com/imageserve/5fc6277c0d75d09e6aa1249e/960x0.jpg?fit=scale\")
Technika stosowana przez Circles snooping tech jest znany jako Signaling System 7 (SS7) eksploatacji, potężne, ale trudne do wykrycia narzędzie w rządowych arsenałów szpiegowskich. Nazwa pochodzi od części sieci telekomunikacyjnej, która zajmuje się transgraniczną funkcjonalnością i rozliczeniami. Gdy na przykład podróżujesz do innego kraju, sieć SS7 jest używana do przenoszenia telefonu do partnerskiego dostawcy usług telekomunikacyjnych i odpowiedniego dostosowania rozliczeń. Ale jeśli dostawca nadzoru mają dostęp do sieci SS7, albo poprzez hacking lub nabycia go, mogą wysyłać polecenia do abonenta \”sieci domowej\” fałszywie wskazując abonenta jest roaming. To z kolei ujawni ich lokalizację, choć tylko współrzędne wieży komórkowej najbliżej telefonu. Może również być możliwe przechwytywanie połączeń i tekstów poprzez wykorzystanie SS7, choć technologia Circles jest tylko do wykrywania lokalizacji, według dwóch źródeł branżowych. (Zgodnie z zgłoszenia znaków towarowych, ma technologię o nazwie PixCell do \”podsłuchiwania lub przechwytywania celów bezprzewodowej, telefon, komputer i komunikacja internetowa.\”)
Jeśli tak duża liczba krajów kupiła dostęp do narzędzia Circles, oznaczałoby to, że wszyscy mogą zlokalizować telefon i jego właściciela z dużą prędkością. Marczak zauważył, że jednym z głównych punktów sprzedaży narzędzia Circles było to, że nie potrzebuje współpracy ze strony firmy telekomunikacyjnej. Jeśli są używane przez kraje z pobłażliwym rządów prawa i kontroli praw człowieka, może pomóc represyjnych rządowych agencji nadzoru śledzić cele ponad granicami, bez konieczności nakazu.
Wiele krajów wymienionych jako prawdopodobne klienci Circles mają doświadczenie w korzystaniu z narzędzi nadzoru przeciwko dysydentów i działaczy, Citizen Lab twierdził. Forbes wcześniej ujawnił sprzedaż Circles do Meksyku, podczas gdy inni zgłaszali transakcje z ZEA, gdzie zarzucano, że narzędzia firmy zostały wykorzystane do prowadzenia nadzoru nad emirem Kataru i premierem Libanu. Na przykład Zjednoczone Emiraty A.E. rzekomo wycelowały w uwięzionego obecnie aktywistę Ahmeda Mansoora złośliwym oprogramowaniem z co najmniej trzech różnych firm – w tym NSO Group – przed aresztowaniem go w 2017 roku. Meksyk, w międzyczasie, \”seryjnie nadużywane NSO Group Pegasus spyware\” w kierowaniu co najmniej 25 reporterów, obrońców praw człowieka, a rodziny osób zabitych lub zaginionych przez kartele, zgodnie z poprzednimi badaniami Citizen Lab. NSO zawsze stwierdził, że pracuje dla legalnych agencji rządowych w sprawie dochodzeń w sprawie najgorszych rodzajów przestępstw, i ma komisję etyczną, która przegląda umowy, choć nie może komentować tożsamości swoich klientów.
https://cb6db56a6377462a1b9af14b2e60f615.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html
\”Biorąc pod uwagę przynależność Kręgów do NSO Group i powtarzające się nadużywanie programów szpiegujących przez klientów NSO, rozczarowujące jest to, że zachodnie rządy protekcjonizują firmę\” – dodał Marczak.
Rzecznik NSO udzielił Forbesowi wspólnej odpowiedzi NSO i Circles, stwierdzając: \”NSO i Circles są oddzielnymi firmami w tej samej rodzinie korporacyjnej, które prowadzą swoje branże w zaangażowaniu w etyczny biznes i przestrzegają surowych przepisów i regulacji na każdym rynku, na którym działają. Jak już wcześniej wspomniano, Circles jest zaangażowany w poszukiwania i ratownictwa i taktycznej technologii geolokalizacji.
\”Nie możemy komentować raportu, który nie widzieliśmy. Biorąc pod uwagę osiągnięcia Citizen Lab, wyobrażamy sobie, że będzie to po raz kolejny opierać się na niedokładnych założeniach i bez pełnego polecenia faktów. Jak zawsze, jesteśmy proszeni o skomentowanie niepublikowanego raportu organizacji z wcześniej ustalonym programem.\”
Rzecznik odmówił komentarza na temat krajów wymienionych przez Citizen Lab jako klientów.
Citizen Lab powiedział, że wytropił klientów Circles, szukając unikalnego \”odcisku palca\” na serwerach na całym świecie, który pomógł im zidentyfikować, gdzie narzędzie szpiegowskie zostało wdrożone. Odcisk palca został zbudowany na wielu punktach danych, co najważniejsze, domenie internetowej, która była powiązana z działalnością Circles, zgodnie z pełnym raportem technicznym.
Szpiegostwo w Circles
https://cb6db56a6377462a1b9af14b2e60f615.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html
Circles był niezależnym dostawcą agencji wywiadowczych do 2014 roku, kiedy to został przejęty przez firmę private equity Francisco Partners za 130 milionów dolarów i połączony w większą firmę nadzoru. W skład tej organizacji wchodziła również Grupa NSO.
Ale Circles nie jest jedynym dostawcą nadzoru SS7 na rynku. Cypryjska Intellexa, założona przez byłego współzałożyciela Circles Tal Dilian,wykorzystuje wykorzystanie SS7 jako jedno z wielu narzędzi do śledzenia celu. Izraelskie firmy Verint, Rayzone i 1rstWAP oferują podobne usługi, według jednego z dyrektorów branży. Ability Inc., inna izraelska firma, próbowała podjąć tech global, ale rozbił się z Nasdaq po nie udało się zabezpieczyć klientów.
Te dni dostawców powinny teoretycznie być policzone, jeśli trzymają się wyłącznie ataków SS7. Wady, które pozwalają na ataki SS7 mieć miejsce od dawna można naprawić. Ataki są możliwe tylko dlatego, że SS7, w oryginalnej formie, nie wymaga żadnego uwierzytelniania, aby zagwarantować zasadność i bezpieczeństwo komunikatów przechodzących przez sieć. Wymagałoby to pewnych wysiłków ze strony globalnych sieci telekomunikacyjnych w celu wyeliminowania niedociągnięć, ale podjęto pewne wysiłki w celu załatania luk w zabezpieczeniach. Wielka Brytania, na przykład, niedawno zaproponowała przepisy dotyczące bezpieczeństwa telekomunikacyjnego, które dałyby organowi regulacyjnemu uprawnienia do zapewnienia, że sieci krajowe są bezpieczne przed atakami SS7.
![\"\"](\"https://mirekszczerbacom.wpcomstaging.com/wp-content/uploads/2020/12/eolk40jxcaiieqz.png?w=815\")
Niemniej jednak, podczas gdy te luki pozostają otwarte w globalnych sieciach, szpiedzy rządowi mogą nadal śledzić każdego, gdziekolwiek, tylko z ich numerem telefonu.
A jak wygląda sytuacja z zagrożeniami związanymi z systemem Circles w Europie ? Jest poważne zagrożenie dla części krajów a kraje skandynawskie już podjęły działania na rzecz ochrony przed tym systemem.
![\"\"](\"https://mirekszczerbacom.wpcomstaging.com/wp-content/uploads/2020/12/eolnmozxcaut1rg.jpg?w=851\")
Uwierzytelnianie dwuskładnikowe może być podatne na atak SS7.
DOd Od lat dwuskładnikowe jest najważniejszym doradztwem w zakresie cyberbezpieczeństwa osobistego – takie, które firmy konsumenckie zaskakująco rozpoznawały. Ruch w 2012 roku, po tym jak dziennikarz Mat Honan zobaczył, że hakerzy naruszyli jego konta na Twitterze, Amazonie i iCloud, incydent, który później szczegółowo opisał w Wired. W tym czasie, kilka firm oferowane łatwe formy dwóch czynników, pozostawiając ograniczone opcje dla użytkowników martwi się o Honan stylu hack. Rezultatem była masowa kampania publiczna, która wymagała od firm przyjęcia tej funkcji, przedstawiającego dwuskładnik jako prosty, skuteczny sposób blokowania przejęć kont.
Pięć lat później, porady zaczynają nosić cienkie. Prawie wszystkie główne usługi sieci web zapewniają teraz jakąś formę uwierzytelniania dwuskładnikowego, ale różnią się one znacznie pod względem ochrony kont. Dedykowani hakerzy mają mały problem z ominięciem słabszych implementacji, przechwytując kody lub wykorzystując systemy odzyskiwania konta. Mówimy o dwuczynnikowych, takich jak aspiryna – jednolite, uniwersalne rozwiązanie, które jest proste do zastosowania – ale rzeczywistość jest znacznie bardziej złożona. Ogólne ramy nadal oferują znaczącą ochronę, ale nadszedł czas, aby być uczciwym co do jego ograniczeń. W 2017 r. posiadanie dwóch czynników nie wystarcza.
Przez większość ostatnich pięciu lat centrum kampanii dwuskładnikowej było twofactorauth.org, witryny prowadzonej przez Carla Rosengrena, która jest poświęcona nazywaniu i zawstydzaniu każdego produktu, który nie oferuje dwóch czynników. Na pierwszy rzut oka, może powiedzieć, które strony oferują więcej niż tylko login hasłem, i oferuje łatwy sposób tweetowania. Dzisiaj strona wysyła setki tysięcy zawstydzania tweetów dziennie.
Wygląda na to, że kampania zadziałała; prawie każda firma oferuje obecnie jakąś formę dwóch czynników. Netflix jest największym holdout – \”Czuję się jak powinienem kupić ciasto lub coś, kiedy to się dzieje,\” Rosengren mówi. Spóźnieni użytkownicy, tacy jak Amazon i BitBucket, zasłaniali się wymaganiami, a każdy produkt VPN lub kryptowaluta wymieniony przez witrynę oferuje dwa czynniki. Jedynymi usługami poczty e-mail bez niego są niejasne gracze jak Migadu i Mail.com. Nadal istnieje kilka sektorów problemowych, takich jak linie lotnicze i banki, ale większość usług otrzymała wiadomość: konsumenci chcą dwóch czynników. Jeśli go nie zaoferujesz, znajdą usługę, która to robi.
Ale zwycięstwo było bardziej niechlujne niż ktokolwiek się spodziewał. Istnieją dziesiątki różnych odmian dwuskładnikowych teraz, rozszerzając się daleko poza zdolność witryny do ich katalogowania. Niektórzy wysyłają kody weryfikacyjne za pośrednictwem wiadomości SMS, podczas gdy inni korzystają z poczty e-mail lub bardziej zaostrzonych aplikacji weryfikacyjnych, takich jak Duo i Google Auth. Za $ 18, możesz uzyskać specjalny dysk USB, który będzie służył jako drugi czynnik, wspierany przez większość głównych usług. Jest to jedna z najbezpieczniejszych dostępnych opcji, o ile jej nie stracisz. Poza sprzętem, usługi mogą deponować długie ciągi kodu, które zapewniają skutecznie niewidoczny drugi czynnik — pod warunkiem, że nikt nie przechwytuje go podczas przesyłania. Niektóre z tych metod są łatwiejsze do włamania niż inne, ale nawet wyrafinowani użytkownicy często nie mogą powiedzieć, co jest lepsze. Przez pewien czas TwoFactorAuth starał się nadążyć za tym, które usługi były lepsze lub gorsze. W końcu było ich po prostu za dużo.
\”Jeśli trudno nam ocenić setki usług dwuskładnikowych\”, mówi Rosengren, \”Nie mogę sobie wyobrazić, jak trudno byłoby to konsumentowi\”.
Obietnica dwóch czynników zaczęła się rozwikłać na początku. Do 2014 r. przestępcy ukierunkowani na usługi Bitcoin znajdowali sposoby na obejście dodatkowego zabezpieczenia, przechwytując tokeny oprogramowania lub bardziej rozbudowane systemy odzyskiwania kont. W niektórych przypadkach atakujący poszli obietnica dwóch czynników zaczęła się rozwikłać na wczesnym etapie. Do 2014 r. przestępcy ukierunkowani na usługi Bitcoin konfigurując rozwiązania w ostatniej chwili przekazywania połączeń w celu przechwycenia kodów podczas przesyłania. Wylosowani przez możliwość wypłaty tysięcy dolarów, przestępcy byli gotowi pójść dalej niż przeciętny haker. Ataki nadal stanowią prawdziwy problem dla użytkowników Bitcoin: tylko w zeszłym miesiącu, przedsiębiorca Cody Brown stracił 8.000 dolarów za pośrednictwem verizon siekać obsługi klienta.
Poza Bitcoinem stało się jasne, że większość systemów dwuskładnikowych nie przeciwstawia się wyrafinowanym użytkownikom. Dokumenty opublikowane w tym miesiącu przez Intercept pokazują, że rosyjskie grupy skierowane do amerykańskich urzędników wyborczych miały gotowy plan dla kont z dwoma czynnikami,zbierając kody potwierdzające przy użyciu tych samych metod, których używali do chwytania haseł. W innym przypadku zgłoszonym przez założyciela Symbolic Software, Nadima Kobeissiego, złośliwie zarejestrowane urządzenie pozwala atakującym przebić się przez dwuskładnikową ochronę celu nawet po zresetowaniu systemu.
Nie wszystkie dwa czynniki są równe. Oto podsumowanie, które odmiany są lepsze, a których należy całkowicie unikać.
Najbezpieczniejszą formą dwuskładnikowego jest token sprzętowy. Najbardziej popularny jest Yubikey, który działa dla Google, Facebook, i kilka innych głównych usług. Dzięki specyfikacji FIDO, nie można go sfałszować, nawet jeśli przyklejasz go do niewłaściwego komputera.
Jeśli nie chcesz wyłuskać klucza bezpieczeństwa, najlepiej jest dedykowaną aplikacją, taką jak Authy lub Google Authenticator. Czasami mogą mieć problemy z resetowaniem konta, ale są łatwym sposobem na uzyskanie większości zabezpieczeń, które mają do zaoferowania.
SMS został w centrum wielu dwuskładnikowych hacków, ostatnio jako sposób na porwanie kont Telegram w Iranie. Konta o wysokim poziomie bezpieczeństwa już odsuwają się od niego, ale przerażająca liczba usług nadal utrzymuje ją jako opcję, dzięki czemu każdy, kto naruszy twoje konto przewoźnika, w łatwy sposób.
W większości przypadków problem nie jest sam w sobie dwuczynnikowy, ale wszystko wokół niego. Jeśli możesz przebić się przez wszystko, co obok tego dwuskładnikowego logowania — niezależnie od tego, czy jest to proces odzyskiwania konta, zaufane urządzenia, czy podstawowe konto przewoźnika — to jesteś wolny w domu.
Dwa czynniki najtrudniejsze słaby punkt? Operatorzy sieci bezprzewodowych. Jeśli możesz naruszyć AT & T, Verizon, lub T-Mobile konto, które obsługuje numer telefonu osoby, zazwyczaj można przejąć wszelkie połączenia lub tekst, który jest wysyłany do nich. W przypadku aplikacji mobilnych, takich jak Signal, które są całkowicie powiązane z danym numerem telefonu, może wystarczyć przejęcie całego konta. W tym samym czasie, przewoźnicy są jednymi z najwolniejszych do przyjęcia dwuczynnikowych, z najbardziej preferujących łatwo ominąć kody PIN lub nawet słabe pytania bezpieczeństwa. Z dwóch sieci kontroli większość rynku, nie było zachęty do konkurowania na bezpieczeństwo.
W tym samym czasie, to jest trudne do zabicia poszczególnych typów dwóch czynników, nawet po ich pokazano, że są niebezpieczne. Narodowy Instytut Standardów i Technologii po cichu wycofał wsparcie dla dwóch czynników opartych na SMS-ach w sierpniu, wskazując na ryzyko przechwycenia lub fałszowania, ale firmy technologiczne powoli reagowały. Jeśli w ogóle, usługi są opierając się bardziej na SMS jak Twitter i PayPal wyglądają na powiązanie kont bliżej do numerów telefonów. Jest mniej bezpieczny, ale łatwiejszy w użyciu. Tak długo, jak to jest dwuskładnikowe, niewielu posiadaczy kont zna różnicę.
![Zapisy](\"https://al-akhbar.com/Images/ArticleImages/2016526174055735635998812557351139.jpg\"){kind=link}
You must be logged in to post a comment.