1 kwi 2018

Wiemy jak wygląda w środku baza w Świadkach Iławieckich

2


 Uruchomiona w 1993 roku baza pod mazurską wsią przy granicy z obwodem kaliningradzkim o której powstało już kilkanaście reportaży spędza sen z powiek wielu miłośnikom teorii spiskowych i poszukiwaczom prawdy. Jakiś czas temu otrzymaliśmy materiały dotyczące tejże bazy od osoby, która z wiadomych względów za wszelką cenę chciała pozostać anonimowa. Część materiałów publikujemy dziś dla Was.

Czytaj więcej...

17 mar 2018

Jak wygląda korespondencja z informatorem, oferentem, agentem - na przykładzie materiałów z okresu PRL

0

Kim jest informator, oferent i agent? Rozróżniliśmy te funkcje w tytule artykułu, ale w zasadzie one się ze sobą wiążą. Według definicji słownika wywiadowczego Służby Bezpieczeństwa z 1970 r. agent jest to obywatel obcego państwa, bezpaństwowiec, obywatel obcego państwa pochodzenia polskiego, a w niektórych wypadkach obywatel polski, zamieszkały stale za granicą, planowo i w sposób tajny pozyskany do współpracy z wywiadem na zasadzie pełnej świadomości i dobrowolności. W wyjątkowych wypadkach agentem może być także osoba pozyskana do współpracy z wywiadem na zasadzie przymusu. Informator natomiast jest to obywatel obcego państwa, bezpaństwowiec bądź obywatel polski zamieszkały za granicą, który w ramach ułożonych stosunków z pracownikiem (współpracownikiem) wywiadu przekazuje materiały lub informacje interesujące wywiad. Informator może być świadomy (świadomie dostarczający wywiadowi materiały i informacje) lub nieświadomy (nieświadomie dostarczający informacje drogą rozmów oraz przez wgląd do jego dokumentów). Oferent w języku służb jest to z kolei osoba, która sama i dobrowolnie wykonała ruch i zaoferowała obcemu wywiadowi swoją współpracę. 

Czytaj więcej...

1 sty 2018

Kalendarium - przegląd wydarzeń z 2017 r.

0



2017 rok już za nami, dlatego zdecydowaliśmy się przypomnieć naszym czytelnikom ważne wydarzenia dotyczące służb specjalnych oraz branży IT, tworząc mini kalendarium 2017 roku:



Czytaj więcej...

9 lis 2017

Wikileaks opublikowało dzisiaj kod źródłowy HIVE - platformy CIA do kontroli malware

0


Niemal dwa miesiące po wydaniu aż 23 różnych narzędzi CIA do hakowania w ramach serii o nazwie "Vault 7", portal Wikileaks ogłosił w dniu dzisiejszym nową serię: "Vault 8". Seria ta ma ujawnić kody źródłowe i inne informacje o infrastrukturze backendu opracowanej przez amerykańską agencję wywiadowczą CIA.

Wikileaks opublikowała pierwszą część wycieku Vault 8, wydając kod źródłowy i niejawną dokumentację projektu o nazwie HIVE. Jest to znaczący komponent, wykorzystywany przez agencję do zdalnej kontroli złośliwego oprogramowania. 


Już w kwietniu 2017 roku portal Wikileaks ujawnił krótką informację o tym projekcie, ujawniając, że projekt jest zaawansowanym serwerem kontrolującym i sterującym (system kontroli złośliwego oprogramowania), który komunikuje się ze złośliwym oprogramowaniem, wysyłając polecenia, aby wykonać określone zadania na docelowych obiektach i odbierać przechwycone informacje z hostów.

HIVE jest zatem wielozadaniowym system typu "all-in-one", który może być używany przez pracowników CIA do zdalnej kontroli wielu złośliwych "implantów" używanych w różnych operacjach. Infrastruktura HIVE została specjalnie zaprojektowana, aby korzystać m.in. z wielostopniowej komunikacji za pośrednictwem wirtualnej sieci prywatnej (VPN). Według Wikileaks: 
  
Nawet jeśli zostanie wykryty implant na docelowym komputerze, to przypisanie go do CIA jest trudne, patrząc tylko na komunikację szkodliwego oprogramowania z innymi serwerami w Internecie.

Uproszczony schemat platformy HIVE
źródło: thehackernews.com

Jak pokazano na powyższym diagramie, implanty złośliwego oprogramowania bezpośrednio komunikują się z fałszywą witryną, działającą na komercyjnym wirtualnym serwerze prywatnym (VPS) na platformie CentOS, który wygląda niewinnie, gdy jest otwierany bezpośrednio za pomocą przeglądarki internetowej. Pakiety są filtrowane za pomocą iptables i przekierowywane do odpowiednich serwerów za pomocą połączeń VPN, w tym do specjalnego, ukrytego serwera o nazwie "Blot". Serwer Blot przekazuje następnie ruch do bramki zarządzania implantem - "Honeycomb".

Tutaj ciekawostka! Aby uniknąć wykrycia przez administratorów sieci, implanty szkodliwego oprogramowania używają fałszywych certyfikatów dla... Kaspersky Lab (sic!):

Trzy przykłady zawarte w kodzie źródłowym tworzą fałszywy certyfikat dla rosyjskiej firmy antywirusowej Kaspersky Lab, udającej podpisanie go przez Thawte Premium Server CA.

Powyższy certyfikat został wystawiony 30 września 2010 roku i ważny jest  na okres 10 lat, czyli do września 2020 roku. W udostępnionych przez Wikileaks materiałach znaleźć można również klucze prywatne i inne certyfikaty w formacie PEM. Ponadto, przeczytać można o projekcie zwanym Switchblade, który działa jako specjalne proxy wykorzystywane przez CIA:


Switchblade is an authenticating proxy for operational use with with other proxy services such as Hive and Madison. Switchblade employs self-signed public key certificates in conjunction with open-source web server Nginx and Linux IP policy routing to pass authenticated data to a tool handler and unauthenticated data on to a cover server.

Jak pewnie zauważyliście, mowa jest także o projekcie MADISON, niestety dotychczas Wikileaks nie ujawniło żadnych szczegółów z nim związanych.

Kod źródłowy opublikowany w serii Vault 8 zawiera jedynie oprogramowanie przeznaczone do działania na serwerach kontrolowanych przez CIA, podczas gdy WikiLeaks zapewnia, że ​​organizacja nie ujawni żadnych luk w zabezpieczeniach typu 0-day lub podobnych, które mogłyby zostać wykorzystane.

Repozytorium platformy HIVE można przeglądać pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/

Wspominany fałszywy certyfikat można znaleźć pod tym adresem:
https://wikileaks.org/vault8/document/repo_hive/client/ssl/CA/ca_crt/

Materiały z serii Vault 8 dostępne są pod tym adresem:
https://wikileaks.org/vault8/

Źródło:
https://wikileaks.org/vault8
https://thehackernews.com

Czytaj więcej...

7 lip 2017

Gyrfalcon i BothanSpy - implanty CIA do wykradania poświadczeń SSH

0


W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.

Czytaj więcej...

25 cze 2017

Emisja ujawniająca i przechwycenie klucza AES-256 w kilkanaście sekund

0

Każde urządzenie i obwód w którym płynie prąd staje się źródłem występowania zjawiska promieniowania elektromagnetycznego i ujawnia pewne informacje, które można odczytywać za pomocą odpowiedniej technologii i narzędzi. Odbiór, rejestracja i analiza promieniowania elektromagnetycznego, które generują możliwość odtworzenia informacji nazywamy zjawiskiem emisji ujawniającej (nazywanej także ulotem). Związek pomiędzy przepływem prądu a polem magnetycznym umożliwia odczytywanie sygnałów pola elektromagnetycznego, składających się z informacji takich jak bity i piksele, które są przesyłane jako ciąg impulsów o określonej częstotliwości. Warto wspomnieć, że zjawisko emisji ujawniającej i wykorzystanie jej do celów przechwycenia informacji zostało wykorzystane po raz pierwszy ponad 100 lat temu. W 1914 roku niemiecka armia zaczęła wykorzystywać wzmacniacze lampowe połączone z elektrodami sondującymi do podsłuchiwania sygnałów z telefonów polowych zza linii frontu. Obecnie promieniowanie z urządzeń komputerowych jest na tyle silne, że za pomocą specjalistycznego sprzętu sygnał może zostać odebrany w niektórych warunkach z odległości kilkuset metrów, nawet 1 kilometra. Urządzenia tego typu nie są ogólnodostępne, stosowane są natomiast m.in. przez szpiegów i są na tyle niewielkie, że mieszczą się w samochodzie osobowym.

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift