5 preguntas y respuestas sobre el hackeo a Hacking Team y su relación con el CNI español

Como muchos ya sabéis, Hacking Team (en adelante HT), la empresa italiana conocida por vender herramientas de hacking a muchos gobiernos (incluidos a aquellos que no respetan los derechos humanos, los que persiguen a activistas e incluso a sus propios ciudadanos) fue comprometida y el pasado domingo se filtraron más de 400 gigas de datos confidenciales. El resultado fue que muchos países y agencias gubernamentales se han visto señalados por contratar sus servicios, entre ellos la Policía y el Centro Nacional de Inteligencia (CNI).

Estas son las principales preguntas que nos habéis hecho al respecto y nuestras respuestas:

1.- ¿Qué ha contratado el Gobierno español?

El Portal de exploits de la solución RCS (Remote Control System) de HT, también llamada Galileo, tiene cuatro categorías:

- Social: no se aprovecha de ninguna vulnerabilidad de aplicación si no ~~de la inocencia~~ del comportamiento de los usuarios, por ej. ejecutar un fichero que parece un documento de office, etc.
- Público: la vulnerabilidad es conocida y podría haber sido ya parcheada en las últimas versiones del software objetivo. El código del exploit es público.
- Privado: la vulnerabilidad es conocida pero el código del exploit no es público.
- Zero-Day: la vulnerabilidad no es conocida y hasta las últimas versiones de software son vulnerables. HT provee 3 exploits funcionales durante el año o el periodo de contrato. Si uno de ellos es parcheado HT facilitaría uno nuevo.

En el caso del CNI al menos hay evidencias de la contratación del uso del portal de exploits en su última categoría (vulnerabilidades de día-0) y módulos adicionales para atacar plataformas de escritorio (Win32/Win64, MacOS X) y móviles (Windows Mobile, iPhone, Symbian, BlackBerry, Android).

El CNI habría podido configurar e instalar agentes para comprometer distintos tipos de dispositivos, recopilar datos e información de forma silenciosa y enviar los resultados a una base de datos centralizada para su posterior análisis.

2.- ¿Cómo es posible infectarse con un agente RCS?

Si existe acceso físico al equipo de la víctima los vectores de infección típicos son CDs bootables o dispositivos USB en PCs de escritorio y tarjetas de memoria o cables de conexión USB en smartphones.

Si la instalación es remota existen las siguientes posibilidades:

- Melting: inserta el agente dentro de un binario (por ej. un instalador) para que se instale silenciosamente al ejecutarlo.
- Portal de exploits: se aprovecha de distintas vulnerabilidades del software del cliente para instalar el agente.
- Remote Mobile Installation (RMI): es un módulo diseñado para instalar el agente en móviles enviando un SMS.
- Network Injector: inserta el agente "al vuelo" en un fichero que se está descargando de forma transparente. Algo parecido a lo que vimos aquí con BDFProxy pero utilizando una técnica propietaria. El inyector de red es muy interesante porque puede hacerse en una red local o WiFi pero también a nivel de ISP, instalando el inyector entre el concentrador DSLAM y sus COREs... cualquier línea ADSL puede ser comprometida.... toc, toc, Telefónica?

3.- ¿Es posible detectar la presencia y actividad de estos agentes?

Ya se están recopilando aquí distintas firmas que evidencien la instalación de agentes en los principales sistemas operativos para luego poder escribir scripts nativos (powershell, bash, etc) para su detección. También existe una herramienta llamada Detekt que es capaz detectar RCS de HT y FinFisher FinSpy (otra herramienta de espionaje masivo), está escrita en Python y se basa en Yara, Volatility y Winpmem para analizar la memoria en busca de patrones. No obstante hay que tener en cuenta que probablemente no se detecten las versiones más recientes ya que se actualizan continuamente en respuesta a modificar los patrones identificados.

En cuanto a la infraestructura RCS de HT, evidentemente las comunicaciones entre los agentes y los servidores C&C son cifradas, pero es posible identificar servidores mediante el análisis de distintas muestras, coincidencias en certificados SSL e IPID secuenciales (fragmentación de paquetes IP). Kapersky hizo un estudio el año pasado y encontró más de 320 servidores C&C en más de 40 países distintos.

4.- ¿Es legal contratar y usar este tipo de ~~software~~ spyware?

El propio CNI ya ha reconocido que, efectivamente, "existe una relación contractual con Hacking Team" y que se trata de una relación "regida por la Ley de contratación pública, por un lado, y la Ley 11/2002 por otro, que regula la actividad concreta del CNI".

El texto del anteproyecto de Código Procesal Penal del Ministerio de Justicia de hace un par de años ya preveía el acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos inteligentes— para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención.

Es decir, a parte del contrato de los servicios de HT la clave es que, si lo han usado para espiar a sospechosos o incluso a ciudadanos, necesitan autorización judicial según el artículo 18.3 de la Constitución. ¿Lo han hecho?

5.- ¿Y es ético?

El uso de "ciberarmas" es lícito siempre que su uso se encuentre dentro del marco de la legalidad vigente en cada caso. Personalmente no nos extraña que Fuerzas de Seguridad utilicen este tipo de "malware" en la época en la que estamos y es preferible su adquisición a una empresa legal (que tiene sus cuentas acordes a lo que marca el fisco italiano) que su compra en la Deep web/mercado negro.

Otra cosa es la finalidad... es decir, si a instalar un backdoor a un pederasta, terrorista o narcotraficante sospechoso de forma reglamentada y tras previa autorización judicial; no a instalar backdoors para reprimir la libertad de expresión o de prensa, promover la censura o controlar a los ciudadanos mediante programas de espionaje masivo, por ejemplo.

¿Y tú que opinas?