ARAKIS-GOV bez tajemnic. Eksperci Exatela odpowiadają

6 października 2016, 10:58
Fot. Exatel S.A.

Wydaje się mało prawdopodobne, aby tak nieskomplikowana i przestarzała metoda była wykorzystywana przez rosyjski wywiad / kontrwywiad (choć nie można tego wykluczyć). Być może informacje przekazywane przez pracowników KNF miały trafić do zleceniodawcy komercyjnego – tłumaczy Tomasz Wodziński, członek zespołu SOC w Exatel S.A.

Metoda opisana w artykule (logowanie się na webmaila i zapisywanie kopii roboczej bez jej wysyłania) jest kalką metody stosowaną przez skandalistę generała Davida Petreausa w kontaktach ze swoją biografistką / kochanką Paulą Broadwell. Ten sposób był także podobno operacyjnie wykorzystywany przez agentów CIA do 2012 roku. Podobieństwo metody objawia się w tym, że wiadomość nie ma adresata i nie da się prosto ustalić, kto taką wiadomość mógł przeczytać. Natomiast samo umieszczenie kopii roboczej na serwerze poczty będzie wyglądało bardzo podobnie do jej wysłania.
 
Wydaje się mało prawdopodobne, aby tak nieskomplikowana i przestarzała metoda była wykorzystywana przez rosyjski wywiad / kontrwywiad (choć nie można tego wykluczyć). Być może informacje przekazywane przez pracowników KNF miały trafić do zleceniodawcy komercyjnego. Dlaczego? Po pierwsze serwery w Rosji dają polskim lub europejskich służbom znikomą kontrolę nad możliwością sprawdzenia kto i kiedy się do nich łączy. Po drugie - tego typu lokalizacja wskazuje wprost na mniej lubianego partnera. Dzięki takiemu zabiegowi komercyjny inwestor/lobbysta może czuć się bezpieczniej.  
 
Co do domniemanego sposobu wynoszenia danych. Autor artykułu wskazał, iż systemy teleinformatyczne Komisji są stale chronione przez system ARAKIS-GOV. Jest to o tyle mylące, że sam producent wskazuje w zastosowaniach wsparcie systemów ochrony, a nie zabezpieczanie sieci. W efekcie jest to pewnego rodzaju monitoring. System ARAKIS-GOV działa na podobnej zasadzie jak skryty za kamerą policjant, którego celem jest znalezienie przestępcy w tłumie na najbardziej zatłoczonej ulicy. Aby był on skuteczny, musi wiedzieć, kogo szukać. I tak jak dla policjanta kluczowy jest przybliżony opis przestępcy, tak system wymaga odpowiednio aktualnej sygnatury do skutecznego wychwytywania zagrożeń. Po fakcie można oczywiście się zastanawiać, dlaczego nie wzbudziły żadnych podejrzeń wychodzące regularnie z komputerów służbowych połączenia do rosyjskiej podsieci.

Warto jednak zdawać sobie sprawę, że nie jest to najnowszy i idealny system do walki z zagrożeniami (bo takowy zapewne nie istnieje). Powodów jest kilka, jak choćby fakt, że algorytmy detekcji coraz częściej mierzą się z szyfrowaniem komunikacji. Jeżeli problem ze złamaniem TLS ma National Security Agency (NSA, przyp. wg. informacji Edwarda Snowdena), to unikalne rozwiązanie wdrażane w polskiej administracji publicznej prawdopodobnie tak samo nie potrafi obejść tego problemu. Zatem ukrycie komunikacji w połączeniu szyfrowanym (HTTPS) sprawia, że informacje przesyłane do serwera webmail nie są już monitorowane przez polskie służby. Z technicznego punku widzenia aby „podejrzeć” zaszyfrowaną komunikację, gdzieś po drodze musiałoby nastąpić jej rozszyfrowanie. Technicznie jest to trudne i dość kosztowne, lecz praktykowane. Tego typu rozwiązania są wykorzystywane w wielu instytucjach i korporacjach, w tym również w usługach SOC Exatel.
 
Konkludując - system ARAKIS-GOV jest systemem detekcji anomalii w sieci dla których reguły wykrywania działań podejrzanych muszą być automatycznie lub ręcznie przygotowane. Trudno sobie wyobrazić, by działał jako system weryfikujący każde słowo, tzw. system DLP. I to nawet, jeżeli potrafiłby „zaglądać” do zaszyfrowanej komunikacji. Na pewno ten incydent spowoduje rozbudowę wykorzystywanych reguł. Nowe opisy dotyczące mniej lub bardziej popularnych stron z pocztą (tzw. WebMail) w różnych częściach świata automatycznie będą generowały alerty i ostrzeżenia. W tym wypadku może to jednak być broń obosieczna ze względu na dużą liczbę fałszywych alarmów (false-positive). Duża liczba takich alertów może utrudnić pracę i uśpić czujność służb nadzorujących czy organizacji korzystającej z dobrodziejstwa ARAKIS-GOV.

Czytaj też: Rosyjscy szpiedzy w Komisji Nadzoru Finansowego?

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 4
Łysy
czwartek, 6 października 2016, 15:10

Dlaczego na temat ARAKIS-GOV wyowiadają się osoby, które się na nim nie znają? Dlaczego nie został zapytany nikt z ABW albo NCCyber? Kolejny artykuł o nikłej wartości opierający się tylko na domniemaniach z cyklu "Nie znam się, to się wypowiem!"

Pp
czwartek, 6 października 2016, 23:10

Autorze, chcesz powiedziec ze umiecie złamać SSL?

ksj
wtorek, 11 października 2016, 03:50

a jeśli nie to ruscy przyślą grady :D

ksj
wtorek, 11 października 2016, 03:49

wszystko co dobre trzeba skompromitować. Poso gadać z tym gównem, poco mówić cokolwiek przecież oni poradzą sobie sami