WikiLeaks materiālos izdevies identificēt iespējamo SAB FinFisher lietotāja kontu

Kategorija: Informācijas atklātība + Izlūkošana + Operatīvā darbība + SAB + Vārda brīvība

Pateicoties no HackingTeam nopludinātajai SAB “IT Intrusion System” iepirkuma specifikācijai un WikiLeaks publicētajā FinFisher klientu atbalsta datu bāzē esošai informācijai, ir izdevies identificēt iespējamo FinFisher kontu, kura lietotājs, pēc visa spriežot, ir SAB (lietotājs ar lietotājvārdu “89EC5BB5”):

Customer ID: 58
Username: 89EC5BB5
Data Entry Date: 2012-02-14 11:13:03
Last Updated: 2014-07-09 14:22:36
Last Login: 2014-07-09 14:22:35

Lietotāja iegādāto FinFisher produktu licenses:

FinSpy Validity: 2012-02-10 – 2015-02-13
SOFTWARE NAME: FinSpyV2
AGENTS MAX NUMBER: 2
TARGETS MAX NUMBER: 10
FinIntrusion-Kit Validity: 2012-03-06  –  2015-03-09
FinFly USB Validity: 2012-02-10 – 2014-02-13
FinUSB Suite Validity: 2012-03-06 – 2014-03-09
FinFireWire Validity: 2012-03-06 – 2014-03-09

FinFly USB, FinUSB un FinFireWire produktu licences 2014. gadā nav pagarinātas.

Pieteiktie kļūdu ziņojumi sniedz priekšstatu par problēmām, ar ko SAB saskārās, izmantojot FinFisher. Pirmā problēma pēc produkta uzinstalēšanas ir Kaspersky antivīruss, kas šajos platuma grādos ir visai populārs:

Creation Date: 2012-02-16 10:52:46
ProductID: FinSpy
Summary: Kaspersky warning
Description: Trojan installs but give a warning on every boot, process id xxx is trying to inject into another process. The infected system is running windows xp 32bit service pack 3 with Kaspersky AV 6 for windows workstations. Screen shots attached Kaspersky stopped the process and tried to put it in quarantine but it fails. iexplorer.exe appears again in process list. Trojan is active and sending data to the server.
Filename: 766DBA23.zip

Creation Date: 2012-03-20 08:53:56
ProductID: FinSpy
Summary: Email alert
Description: We need new feature witch would send us email notification when new target comes online for the first time. There is only alert settings for targets which are already in the list, but none for the new one. Maybe, this feature can be added in general configuration or as another step in process of creation a new target. Thank you!

Citā biļetenā tiek lūgta iespēja ierobežot operatoru iespējas eksportēt iegūtos datus:

Creation Date: 2012-03-20 09:01:51
ProductID: FinSpy
Summary: user menagment
Description: We need aditional configuration of enabling or disabling export data button for user and power user, in the same way like this is done for delete data button. Thank you!
Response: The required feature has been implemented with version 4.10

Creation Date: 2012-03-21 22:42:45
ProductID: FinSpy
Summary: column saving
Description: Is it possible to memorize the columns shown in the table in computer systems panel, instead of the default columns which are loaded each time the agent program start. In this case we would not have to re-include interesting columns every time.
Response: Problem has been solved with the 4.10 release.

Creation Date: 2012-03-27 13:38:54
ProductID: FinSpy
Summary: Logfiles scrolling
Description: Please, it will be very nice if you change scrolling direction in Log Viewer from the oldest to the newest or add a sorting/order by option. It is really annoying to scroll down to the end of a list every time we wont to see what is new in the log list. Thank You.

Creation Date: 2012-05-28 09:49:06
ProductID: FinIntrusion Kit
Summary: certain problems
Description: While we were testing and working with your system Fin Inrusion Kit, we noticed certain difficulties, especially concerning option Network & LAN Intrusion. The system occasionally wasn’t detecting all connected users while performing wireless network scan and as far as detected users are concerned the percent of detected operating systems and MAC addresses used is very low. During abovementioned operation, in several cases the application had crashed by itself, so we had to restart it all over again and start scanning procedure from the beginning. System had problems concerning option Network Sniffer with certain domains like Yahoo, internet forums and similar things. In the same option Network Sniffer, under SSL Options from time to time comes up the warring about certificate error, even when HTTPS Emulation is chosen. In several cases system wouldn’t start the Wireshark program. Some of the perceived problems were solved after performing software updating form initial version 2.0 to version 2.4, such as problems with jamming clients and the number of application crashes was lowered as well.

Pamatojoties uz juridisku prasību, tiek lūgta iespēja uzstādīt automātisku spiegošanas pārtraukšanu pēc 3 vai 6 mēnešiem:

Creation Date: 2012-07-12 10:48:26
ProductID: FinSpy
Summary: Timeout removal
Description: We need additional values to chose from the list of values for Time-Out Removal during the creation of new target. We would like to have 3 Months and 6 Months because those are default values in judical writ.
Response: Feature has been implemented. 3 and 6 month are supported.

Creation Date: 2014-06-30 13:37:26
ProductID: FinSpy
Summary: Connection Failure
Description: –Connection to the master was terminated unexpectedly. You will need to reconnect in order to continue. — This is the error which occurs every time when there is some new data material on a target – Data on Target. Prior to this error, the agent disconnects. After again connecting the agent, it works until it encounters the same problem. Sometimes, this happens every minute depending on target activity.
Response: A corresponding email was sent.

Operatīvās darbības likumā definētie operatīvie pasākumi, kas atbilst FinFisher produktu funkcionalitātei un mērķim:

(1) Operatīvās darbības saturs ir operatīvie pasākumi un to īstenošanas metodes. Operatīvie pasākumi ir:
1) operatīvā izzināšana;
2) operatīvā novērošana (izsekošana);
3) operatīvā apskate;
4) operatīvā paraugu iegūšana un operatīvā izpēte;
5) personas operatīvā aplūkošana;
6) operatīvā iekļūšana;
7) operatīvais eksperiments;
7) kontrolētā piegāde;
8) operatīvā detektīvdarbība;
9) operatīvā korespondences kontrole;
10) operatīvā personas paustās vai uzglabātās informācijas satura iegūšana no tehniskajiem līdzekļiem;
11) operatīvā sarunu noklausīšanās;
12) operatīvā publiski nepieejamas vietas videonovērošana.

Saskaņā ar likumu šīs darbības veicamas tikai sevišķajā veidā, sākotnēji uz 3 mēnešiem, bet vajadzības gadījumā pagarināmas uz 6 mēnešiem (kas sakrīt ar “Timeout removal” kļūdu ziņojumā pausto):

(3) Operatīvās darbības pasākumi, kuru gaitā tiek būtiski aizskartas personu konstitucionālās tiesības, veicami sevišķajā veidā.
(4) Operatīvā korespondences kontrole, operatīvā personas paustās vai uzglabātās informācijas satura iegūšana no tehniskajiem līdzekļiem, operatīvā nepublisku sarunu slepena noklausīšanās (arī pa tālruni, ar elektroniskajiem un cita veida sakaru līdzekļiem), operatīvā publiski nepieejamas vietas videonovērošana un operatīvā iekļūšana veicama tikai sevišķajā veidā un ar Augstākās tiesas priekšsēdētāja vai viņa īpaši pilnvarota Augstākās tiesas tiesneša akceptu. Atļauju veikt šos operatīvās darbības pasākumus var izsniegt uz laiku līdz trim mēnešiem un pamatotas nepieciešamības gadījumā to var pagarināt, taču tikai uz to laiku, kamēr attiecībā uz personu tiek veikta operatīvā izstrāde.

(5) Operatīvās izstrādes termiņš šajās lietās ir seši mēneši, un to vēl uz sešiem mēnešiem var pagarināt ar operatīvās darbības iestādes vadītāja vai viņa vietnieka akceptu.

Interesanti, ka Operatīvās darbības likums satur normu, kas nosaka iegūtās informācijas iznīcināšanu, ja tiesneša akcepts 72 stundu laikā netiek saņemts:

(5) Gadījumos, kad jārīkojas nekavējoties, […] operatīvās darbības pasākumus var veikt ar prokurora piekrišanu. Nākamajā darbdienā, bet ne vēlāk kā 72 stundu laikā, jāsaņem tiesneša akcepts. Tiesnesis, akceptējot operatīvās darbības pasākumu, lemj par tā neatliekamas uzsākšanas pamatotību, kā arī turpināšanas nepieciešamību, ja tas nav pabeigts. Ja tiesnesis atzinis operatīvās darbības pasākuma veikšanu par nepamatotu vai prettiesisku, operatīvās darbības subjekts iegūto informāciju nekavējoties iznīcina.

Taču Satversmes aizsardzības biroja likumā, ja operatīvās darbības veiktas “izlūkošanas vai pretizlūkošanas darbības ietvaros”, šādas prasības nav:

Lai uzsāktu operatīvās darbības pasākumus, kuri veicami sevišķajā veidā izlūkošanas vai pretizlūkošanas darbības ietvaros, Satversmes aizsardzības birojam jāsaņem Augstākās tiesas priekšsēdētāja vai viņa īpaši pilnvarota Augstākās tiesas tiesneša akcepts. Atsevišķos gadījumos, kad jārīkojas nekavējoties, lai novērstu valstij svarīgu interešu apdraudējumu, Satversmes aizsardzības birojs operatīvās darbības pasākumus sevišķajā veidā var uzsākt bez tiesneša akcepta, saņemot to 24 stundu laikā pēc pasākuma uzsākšanas, taču, ja minēto 24 stundu laikā akcepts netiek saņemts, pasākuma veikšana jāpārtrauc.

Avoti:
WikiLeaks: https://wikileaks.org/spyfiles4/database.html

Follow defenselv

2015-10-21  »  edgars