W minioną sobotę niemiecki klub hakerów poinformował o wykryciu konia trojańskiego R2D2, wykorzystywanego do „uprawnionego przejmowania” danych osób podejrzanych o popełnienie przestępstwa. Wkrótce po tym pięć niemieckich krajów związkowych przyznało się do stosowania oprogramowania szpiegującego własnych obywateli
Hakerzy zrzeszeni w niemieckim Chaos Computer Club (CCC) w minioną sobotę zamieścili na swojej stronie wiadomość, która zelektryzowała nie tylko niemiecką opinię publiczną, ale i całą branżę antywirusową. Badacze-amatorzy wykryli konia trojańskiego R2D2, który według nich był wykorzystywany do pozyskiwania informacji pochodzących z komputerów niemieckich obywateli. – Nie mamy powodu, by nie wierzyć CCC – stwierdził na firmowym blogu Mikko Hypponen, szef działu badań F-Secure, firmy specjalizującej się w zabezpieczeniach systemów IT. Wkrótce potem badania laboratorium F-Secure ostatecznie potwierdziły podejrzenia o rządowym pochodzeniu trojana.
Co potrafi R2D2? Według członków CCC trojan, noszący imię sympatycznego robocika z Gwiezdnych Wojen, może nie tylko przeniknąć do komputera i – używając wbudowanego keyloggera, czyli programu śledzącego „aktywność” klawiatury – wykradać hasła z Firefoxa, Skype, MSN Messengera, ICQ oraz innych aplikacji, ale także tworzyć zrzuty z ekranu i nagrywać dźwięk, w tym rozmowy prowadzone przez Skype’a. Może także uruchomić kamerę lub mikrofon połączony z komputerem, by śledzić aktywność użytkownika. Co więcej, oprogramowanie automatycznie się aktualizuje, łącząc się z serwerami zlokalizowanymi w pobliżu Duesseldorfu.
To jednak nie koniec rewelacji. Z opublikowanej przez Chaos Computer Club dokumentacji wynika, że trojan R2D2 jest programem, w którym roi się od błędów, a zastosowane w nim rozwiązania dotyczące szyfrowania danych są bardzo niedoskonałe. W praktyce oznacza to, że R2D2 może być bez większego trudu wykorzystany przez osoby postronne, nie zaś jedynie instytucje rządowe. Jak twierdzi Constanze Kurz z Chaos Computer Club, z trojana R2D2 użytek może zrobić praktycznie każdy dowolny użytkownik Internetu. – Nie mamy wątpliwości, że to władze stworzyły tego trojana. Inaczej byśmy tego nie upublicznili – zapewniła Kurz w wywiadzie dla państwowej stacji radiowej NDR
Opinię tę podziela Mikko Hypponen, szef działu badań F-Secure i jeden z najbardziej cenionych na świecie ekspertów w dziedzinie bezpieczeństwa IT. – Nie mamy żadnego powodu, by wątpić w odkrycie CCC. Wyniki badań Chaos Computer Club od lat potwierdzają swoją wiarygodność – stwierdza. Po oświadczeniu CCC, firma F-Secure zdecydowała się dodać zabezpieczenia przed R2D2 do portfolio swoich produktów.
Podsłuch za dwa miliony euro
Wkrótce po tym laboratorium F-Secure potwierdziło doniesienia CCC o stworzeniu trojana przez niemieckie władze, odnajdując plik instalacyjny trojana w portalu VirusTotal. To portal, w którym internauci umieszczają próbki potencjalnie niebezpiecznych programów w celu ich weryfikacji przez fachowców z branży antywirusowej. Kolejnym ważnym tropem w poszukiwaniach rodowodu złośliwego programu okazała się wiadomość o tym, że jeden z komputerów zarażonych trojanem R2D2 został zainfekowany podczas kontroli celno-imigracyjnej na monachijskim lotnisku. Aplikacja okazała się… komercyjnym rozwiązaniem, zakupionym przez niemieckie Biuro Śledcze Służby Celnej z siedzibą w Kolonii. Według dokumentów udostępnionych na portalu WikiLeaks, rządowa agencja kupiła program od firmy DigiTask z heskiego miasta Haiger za… ponad dwa miliony euro.
Czy użytkownicy programów antywirusowych są bezpieczni? Według Seana Sullivana, głównego doradcy ds. bezpieczeństwa F-Secure, około połowa dostępnych na rynku produktów chroni swoich użytkowników przed trojanem R2D2. – Część produktów antywirusowych, takich jak nasz F-Secure Internet Security, zawiera dodatkowe zabezpieczenia, które neutralizują nawet nieznane wcześniej groźne programy. Instalator R2D2 zostałby zablokowany przez „chmurę” serwerów F-Secure, nawet gdyby uprzednio nie został dodany do naszej bazy znanych zagrożeń – wyjaśnia Sullivan.
O czym świadczy pojawienie się próbki instalatora trojana R2D2 na dostępnym dla wszystkich portalu VirusTotal? – Być może dla jego twórców był to jedyny dostępny sposób, aby zweryfikować jego skuteczność? A może ten fakt po prostu demaskuje ignorancję niemieckiego rządu i wynajętej przezeń firmy w odniesieniu do aktywności branży antywirusowej oraz tego, jak sprawnie użytkownicy Internetu potrafią współpracować z niezależnymi ekspertami, aby się chronić? – zastanawia się Sean Sullivan.
Landy biją się w piersi, minister wzywa do śledztwa
Bawaria, Badenia-Wirtembergia, Brandenburgia, Dolna Saksonia i Szlezwik-Holsztyn – tak aktualnie przedstawia się lista landów, które dotychczas potwierdziły stosowanie oprogramowania szpiegowskiego przeciw własnym mieszkańcom. Przedstawiciele poszczególnych ministerstw spraw wewnętrznych zastrzegli jednak, że trojan R2D2 wykorzystywany był w granicach prawa, tzn. wyłącznie w pojedynczych przypadkach i w celu dotarcia do sprawców ciężkich przestępstw, np. handlu narkotykami.
Ich wyjaśnienia nie przekonują jednak Sabine Leutheusser-Schnarrenberger, ministra sprawiedliwości w rządzie Angeli Merkel. – Nie możemy bagatelizować i ukrywać tej sprawy przed opinią publiczną. Każdy obywatel – zarówno w sferze prywatnej, jak i publicznej – musi być chroniony przed szpiegującymi mechanizmami stosowanymi przez władze – stwierdziła, wzywając rządy niemieckich landów do wspólnego śledztwa w tej sprawie. Jednocześnie odcięła się od oskarżeń, jakoby z wykrytego trojana korzystał federalny rząd.
Sprawa może okazać się jednak bardzo poważna. Wyrok niemieckiego Trybunału Konstytucyjnego z 2008 roku dopuszcza nagrywanie rozmów prowadzonych przez Internet, ale wyłącznie po uzyskaniu nakazu sądowego. W związku z zaawansowanymi funkcjami trojana R2D2 może się okazać, że jego wykorzystywanie przez organy państwowe oznacza złamanie konstytucyjnych praw obywatelskich w Niemczech. Jak przypomina radio Deutsche Welle, „w kraju naznaczonym przez totalitarne reżimy – nazizm i komunizm – jest to bardzo poważne oskarżenie”.
Niemcy w jednym szeregu z dyktaturami
Trojan R2D2 nie jest pierwszym odkrytym komercyjnym programem do śledzenia obywateli przez władze. W marcu bieżącego roku, podczas rewolucji w Egipcie, w centrali sił bezpieczeństwa reżimu Hosniego Mubaraka protestujący odkryli dokumenty świadczące o chęci zakupu przez obalone władze programu FinFisher, działającego na podobnej zasadzie do R2D2 i także wyprodukowanego przez niemiecką firmę.
W 2001 roku kontrowersje natury etycznej wywołał trojan „Magic Lantern”, rzekomo wyprodukowany przez FBI lub Narodową Agencję Bezpieczeństwa USA w celu wykrywania działalności terrorystycznej. Niektórzy amerykańscy producenci programów antywirusowych zadeklarowali, że celowo zostawią dla niego otwartą furtkę. Kierownictwo F-Secure wydało wówczas oświadczenie, w którym zapewnialo, że firma będzie zabezpieczać swoich użytkowników przed jakimkolwiek szkodliwym oprogramowaniem niezależnie od źródła jego pochodzenia.
O stosowanie systemu inwigilacji własnych obywateli są także podejrzane władze Iranu. Według niepotwierdzonych informacji, irański rząd kupił infrastrukturę i oprogramowanie od fińsko-niemieckiego koncernu NokiaSiemens.
