FBI použila k vypátrání anonyma spyware ― zajímá vás jaký?

Americký Federální úřad pro vyšetřování použil v případu anonyma vyhrožujícího bombovými útoky spyware ― špehovací program, který o pachateli prozradil vše potřebné. V článku vám přinášíme jak informace o případu, tak i dnes známou charakteristiku použitého spyware.

FBI tento měsíc přiznala, že k vypátrání anonyma, který hrozil bombovými útoky americké střední škole Timberline High School ve Washingtonu, využila speciálního špionážního softwaru, který se sám nainstaloval do počítače pachatele.

Počátkem letošního června začaly do střední školy Timeberline High School v městě Lacey chodit vyhrůžky o nastražených bombách v areálu školy. Zatímco první výhrůžka byla psaná ručně, další už chodily z e-mailových adres z účtu na Gmail.com. Pachatel se v elektronických zprávách rovněž vysmíval polici, „idiotům z oddělení“ popřál hodně štěstí při pátrání a poradil jim, aby si na jeho vystopování raději najali přímo Billa Gatese, který jim ale maximálně řekne to, že stopy vedou do země v zámoří. Nakonec si ještě neodpustil poznámku o tom, že doufá, že místní policie má dobré vztahy s papežem ― čímž vlastně upřesnil „svou“ polohu. Asi nedoufal, že policie bude tušit, kde papež sídlí, tak raději napsal: „Naložte svou pr*el do letadla mířícího do Itálie, pokud chcete, aby to přestalo.“

Vyšetřování nakonec ukázalo, že stopy opravdu vedou do Itálie. Případu se ujala FBI, která se rozhodla federální soud požádat o povolení, aby mohla použít speciální špehovací program, který by anonyma dokázal vypátrat. Program dostal zkratku CIPAV ― Computer and Internet Protocol Address Verifier (Program pro ověřování adres počítačů a internetových protokolů).

Pachatel si kromě e-mailových adres zařídil i profil na portále MySpace.com, na který se hlásil ze stejného počítače a maskoval se stejně jako při logování do schránek na Gmail.com. FBI se tedy po obdržení povolení od federálního soudu rozhodla použít sledovací program CIPAV přes rozhraní MySpace. Agenti tak museli čekat, až se pachatel na svůj profil opět přihlásí, a museli spoléhat na to, že jeho prohlížeč a počítač budou dostatečně nezabezpečené, aby útok spyware proběhl nepozorovaně a infekci nic nebránilo.

Jak CIPAV funguje

Hned zkraje musíme přiznat, že to nikdo neví. Tento program, jenž vznikl pro potřeby FBI, logicky podléhá vládnímu utajení. Podrobnosti o jeho fungování veřejnosti známy nemohou být. S jistotou se ví jen to, že sbírá data potřebná k identifikaci počítače a jeho lokalizování, která pak posílá do FBI.

Z žádosti, kterou pro federální soud psal zvláštní agent Norman Sanders, vyplývá, že CIPAV sbírá (minimálně) následující údaje:

-         IP adresu počítače

-         MAC adresu síťové karty

-         Seznam otevřených TCP a UDP portů

-         Seznam běžících programů

-         Typ operačního systému, jeho verzi a sériové číslo (ve Windows je sériové číslo 25místným alfanumerickým aktivačním klíčem)

-         Výchozí prohlížeč a jeho verzi

-         Výchozí jazyk operačního systému

-         Uživatelské jméno přihlášeného uživatele a (ve Windows i případně registrované jméno společnosti)

-         Poslední navštívené stránky (URL adresy)

Spyware od FBI se poté usadí na pozadí a monitoruje veškerou odchozí komunikaci, zapisuje každou IP adresu, ke které se počítač připojuje, a přikládá k nim časové údaje. Nesbírá však žádná data z obsahu (například obsah e-mailu).

Neví se, zda se CIPAV může svévolně šířit i na další počítače, které s hostitelským strojem komunikují.  Zdá se to však nepravděpodobné. Podle FBI je samotná funkčnost tohoto spyware časově omezena. Na hostitelském počítači údajně pracuje maximálně 60 dní od první aktivace. Neví se ovšem, zda se po uplynutí této doby smaže, nebo zda čeká na další povely z počítačů FBI.

Další otázkou je, zda CIPAV existuje pouze v jedné, nebo více verzích. Podle všeho to vypadá, že typů je opravdu více (pravděpodobně v závislosti na operačních systémech a webových prohlížečích).

Jelikož FBI nemohla upřesnit, jak se CIPAV dostane do počítače hostitele, můžeme o tom jen spekulovat. S ohledem na fungování portálu MySpace se dá usuzovat, že k infikování může dojít například podvržením URL adresy do chatovacího či poštovního systému. Pokud uživatel na odkaz klikne, dostane se na stránku FBI s nastraženým spywarem, který využije zranitelnosti prohlížeče. O specifikách zranitelnosti se ale taky nic neví (že by FBI znala zranitelnosti operačních systémů a prohlížečů, které nejsou známy ještě nikomu jinému?).

Koho FBI lapila?

Program FBI do počítače hledaného anonyma s úspěchem pronikl v polovině června (dle materiálů, které k dispozici dostala média, to bylo 13. června). Trvalo jen chvíli a FBI předala policii potřebné údaje. Pachatelem byl 15letý Josh Glazebrook, teď už bývalý student téže střední školy, jíž hrozil bombovými útoky. 14. června ve dvě hodiny po půlnoci jej policie zatkla v místě jeho bydliště. Byl obviněn z trestných činů výhrůžek bombovými útoky a krádeže identity. K činům se doznal a soud jej okamžitě poslal na 90 dní do vězení pro mladistvé, zároveň mu uložil podmíněné odnětí svobody v době trvání na dva roky, zakázal mu přístup k počítačům a střední škole musí zaplatit náklady spojené s opakovanou evakuací ve výši 8 852 amerických dolarů.

8. 8. 2007

Autor: Oldřich Klimánek