El software phantom (PDI y hackers team) puede decifrar comunicaciones cifradas?

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
El software phantom, desarrollado por los italianos hackers team recientemente hackeados y comprado por la pdi para decifrar comunicaciones, puede decifrar alguna comunicación cifrada??

Aunque aún no se han aclarado los alcances de este software, en algun lugar de internet (probablemente fallawayer) leí que se utilizaba justamente para decifrar comunicaciones como skype y ese tipo de cosas, que suponemos utiliza un cifrado AES asimetrico.

Por lo demás, una vez escuché la conversación que píncharon en la pdi de unos narcos y decian que no hablaban por telefono, solo por internet, lo cual me parece logico ya que hasta skype viene cifrado.

Será que P=NP ?? Cual será la verdadera función de ese software??
 

Batou

%安全
Se incorporó
13 Julio 2008
Mensajes
497
Nope, PHATOM que en realidad es solo el DAVINCI renombrado (Segun dicen), no realiza algún tipo de sniff.

El software en realidad es un vil troyano (SÃ￾, PDI pago 2.8 millones de Dolares por un troyano lol), por lo cual todos los mensajes y contraseñas las saca directamente del teclado, el audio desde el microfono, etc.


Si no mal recuerdo soporta MAC,WINDOF,LINUX,ANDROID e IOS.


Para llegar a IOS primero infectan el MAC o WINDOWS y una vez que conectan el iphone al computador, el troyano realiza Jailbreak al iphone e instala su version para IOS.

Se han encontrado cosas interesantes como:

-Un 0day de flashplayer que funciona en firefox,IE y Chrome (si bypasea la sandbox).
-Un rootkit firmado digitalmente por Microsoft :X
-Un binario llamado exploit SELINUX :)juntenmiedo)

Tambien se han encontrado cosas vergonzosas como:

-Un script en PHP vulnerable a SQL Injection
-Una lista de Passwords bastante debiles
-Indicios de que el software trae backdoors (ALO PDI?, tienen un backdoor :p)


Quien lo ha hecho?
Hasta ahora se lo adjudicado una persona con el nick PhineasFisher (@GammaGroupPR) el mismo que el año pasado se infiltro y libero información de la empresa Gamma International que tambien se dedicaba al negocio del desarrollo de software de vigilancia para gobiernos.


Con respecto a Chile:
Al parecer no solo se ha involucrado a la PDI, tambien se habrian encontrado mails que involucran a Carabineros, al Ejercito y a la empresa mipoltec.



Saludos.
 
Última modificación:

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
Nope, PHATOM que en realidad es solo el DAVINCI renombrado (Segun dicen), no realiza algún tipo de sniff.

El software en realidad es un vil troyano (SÃ￾, PDI pago 2.8 millones de Dolares por un troyano lol), por lo cual todos los mensajes y contraseñas las saca directamente del teclado, el audio desde el microfono, etc.


Si no mal recuerdo soporta MAC,WINDOF,LINUX,ANDROID e IOS.


Para llegar a IOS primero infectan el MAC o WINDOWS y una vez que conectan el iphone al computador, el troyano realiza Jailbreak al iphone e instala su version para IOS.

Se han encontrado cosas interesantes como:

-Un 0day de flashplayer que funciona en firefox,IE y Chrome (si bypasea la sandbox).
-Un rootkit firmado digitalmente por Microsoft :X
-Un binario llamado exploit SELINUX :)juntenmiedo)

Tambien se han encontrado cosas vergonzosas como:

-Un script en PHP vulnerable a SQL Injection
-Una lista de Passwords bastante debiles
-Indicios de que el software trae backdoors (ALO PDI?, tienen un backdoor :p)


Quien lo ha hecho?
Hasta ahora se lo adjudicado una persona con el nick PhineasFisher (@GammaGroupPR) el mismo que el año pasado se infiltro y libero información de la empresa Gamma International que tambien se dedicaba al negocio del desarrollo de software de vigilancia para gobiernos.


Con respecto a Chile:
Al parecer no solo se ha involucrado a la PDI, tambien se habrian encontrado mails que involucran a Carabineros, al Ejercito y a la empresa mipoltec.



Saludos.

mmmm... ok, entonces la discusión va por otro camino.

Como se infecta uno de ese troyano?

basicamente es un "prey", y que coincidencia que justo prey se asoció con la pdi.
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
Asumo que uno no se infecta. Sino que infectan a quien quieren.

No andara dando vueltas por inet sino que es algo bien focalizado. A no ser q si ande rondando por ahi y que ellos solo vendan el cliente para realizar la conexion.

Recorde el netbus, hasta en un juego inofensivo podian pingarte el pc.
 

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
Asumo que uno no se infecta. Sino que infectan a quien quieren.

No andara dando vueltas por inet sino que es algo bien focalizado. A no ser q si ande rondando por ahi y que ellos solo vendan el cliente para realizar la conexion.

Recorde el netbus, hasta en un juego inofensivo podian pingarte el pc.

o sea ellos dicen "ya yo quiero pinchar a tal persona" y te infecta automagicamente? no creo. A no ser que también trabajen con los desarrolladores de los SO y dejen backdoors exclusivos para su producto.
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
o sea ellos dicen "ya yo quiero pinchar a tal persona" y te infecta automagicamente? no creo. A no ser que también trabajen con los desarrolladores de los SO y dejen backdoors exclusivos para su producto.

Ahí entra la ingeniería inversa supongo. Nada de automagia jajaja.
Tal cual se hace con cualquier keylogger o lo q sea.
 

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
Ahí entra la ingeniería inversa supongo. Nada de automagia jajaja.
Tal cual se hace con cualquier keylogger o lo q sea.
Puta yo creo que deben buscar algún backdoor en el objetivo y di no hay aplican ingeniería social.

Pero me parece muy extraño que, en primer lugar hayan pagado tanta plata por un troyano que se baja de Internet y también que sean tan flaites para infectar a los delincuentes po jajaja

Eso sí, igual es lógico que no se sepa como se contagia, es parte de la inteligencia que debe tener ese aspecto
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Exacto, en el secreto esta la magia
Quizás tienen algún sitio web que infiltra el troyano en el equipo objetivo o posibles objetivos
También por algún link enviado por email o mensajería

Sent by my Moto XXX
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
O sea, aca comentan q es como un troyano. Pero es meramente un comentario.

Yo a lo que voy es que si esta "amparado" por la ley, no te enviaran un mail con un link turbio para q descargues lo q sea. Todos los medios son validos asi que hasta el conectarte a internet podria ser la entrada para lo demas o crees q no tienen a los ISP abiertos de piernas para lo que ellos pidan?
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
La ingeniería social es la más efectiva.
La policía sólo puede intervenir comunicaciones previa orden judicial, aunque venga acá su :yao hace unos años se descubrió como el personal cargo usaba estos equipos, para fines personales, ocio u otros.

La manera de infiltrar, debe ser la más obvia y fácil , piensenlo a que email harían click sin pensar. Además se sabe que los SO y softwares le dejan backdoor a las policía y agencias de inteligencia.
La polémica acá es que esta empresa italiana (pero dicen subsidiaria clandestina de una más grande) le vendía sus softwares y servicios a estados vetados, que violan DDHH o cooperan con terroristas. Y que más que hackeo fue un leak.

Saludos

Enviado desde mi SM-G920I mediante Tapatalk
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Intedezante

Claro, no es llegar e infectar remotamente. algo deben hacer para generar un man in the middle o algún ataque que les permita bypassearse al router y redireccionar tráfico. :omg
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
El otro dia no le preste mucha atencion a una imagen que daba vueltas, no se si tenia relacion con esto. Pero indicaba que si alguien queria justificar un allanamiento por ej, podrian insertar codigo en algun lugar (web seguramente) que solo por entrar te bajaba un video de pedofilia al pc y 1,2,3 preso por pedofilo.


Edit: Acá encontré la imagen con la descripción...

https://twitter.com/AnonOps_CL/status/618133824216649729
 
Última modificación:

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
El otro dia no le preste mucha atencion a una imagen que daba vueltas, no se si tenia relacion con esto. Pero indicaba que si alguien queria justificar un allanamiento por ej, podrian insertar codigo en algun lugar (web seguramente) que solo por entrar te bajaba un video de pedofilia al pc y 1,2,3 preso por pedofilo.


Edit: Acá encontré la imagen con la descripción...

https://twitter.com/AnonOps_CL/status/618133824216649729

naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es fácil pedir apoyo a organizaciones como google, los isp, etc.

Quien, en la actualidad, usa una cuenta de visita o permisos restringidos en su propio pc? xD
Yo también soy super escéptico, por eso no doy nada por sentado. Solo comento lo que podría ser.
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Habría que analizar el código completo para ver qué hacía en concreto esa función
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.
El escándalo es que vendía sus productos a países que están en la lista negra de la Onu por represión o amparar terroristas..

Enviado desde mi SM-G920I mediante Tapatalk
 

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
Quien, en la actualidad, usa una cuenta de visita o permisos restringidos en su propio pc? xD
Yo también soy super escéptico, por eso no doy nada por sentado. Solo comento lo que podría ser.

desde windows vista se instauró el UAC.

Por ejemplo, para guardar cualquier archivo en C: debes si o si responder esa tipica pantallita que te pide permisos de administrador. Ná que ver con la cuenta de usuario.

Lo otro sería que ejecute un servicio como system,
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.151
desde windows vista se instauró el UAC.

Por ejemplo, para guardar cualquier archivo en C: debes si o si responder esa tipica pantallita que te pide permisos de administrador. Ná que ver con la cuenta de usuario.

Lo otro sería que ejecute un servicio como system,

Si, eso es lo que siempre te dice la gente "me puedes deshabilitar esas ventanas que salen a cada rato?"
 

Batou

%安全
Se incorporó
13 Julio 2008
Mensajes
497
Como dije anteriormente se encontró un 0day's de flash player (es decir una vulnerabilidad privada que solo ellos conocian).. basta con visitar una página manipulada para que te metan el troyano sin que te des cuenta.

Los metodos de infección no tengo idea como los haran.. si tuvieran comunicación con una ISP, bastaria con modificar alguna pagina por HTTP e inyectar un flash con el troyano, sin embargo no creo que este sea el caso, ya que por ejemplo si solo tienen un mail del objetivo, no van a inyectar a todos los clientes del ISP, ahí lo mas acertado es tecnicas de phishing.


naaa eso no es posible, tendrías que tener permisos de administrador para que funcione, y no se si por javascript se puedan escalar privilegios.

Yo soy bien escéptico a todo esto, y no creo que exista complicidad de tooodos los actores.

Doy por hecho que cuentan con la complicidad de los ISP, pero en general los routers para salir a internet utilizan firewalls.

De verdad creo que hacker team lo único que hace es vender cosas comunes y corrientes, con la diferencia que da factura y como trabaja junto a gobiernos les es facil pedir apoyo a organizaciones como google, los isp, etc.

Una vez infectado con el troyano se tiene acceso a todo el equipo...y como mencione antes tienen un rootkit firmado digitalmente por microsoft...osea los antivirus nisiquiera lo escanean ya que se hace pasar por archivo del sistema.


Lo probable es que el monto elevado se deba a los exploits que poseen (o poseian, ya todos deben estar parchados xD), por ejemplo un exploit que afecte a chrome en el mercado negro creo que valia mas de 100k usd (tenia una pdf con los valores si lo encuentro lo posteo).


Remote Control System is an IT stealth investigative tool for LEAs (It is offensive security investigative tool for LEAs.(It is offensive security technology. It is spyware. It is a trojan
horse.It is a bug. It is a monitoring tool.It is an attack tool.It is a tool for taking control of the endpoints,that is,the PCs

Como bien dicen ellos es una herramienta ofensiva, es decir atacar al objetivo al contrario de solo escuchar paquetes que no pueden decifrar.

Más Infor en:

https://www.wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf


Si miran el apartado de Invisibilidad, dice que no crea conecciones remotas, no crean nuevos procesos, ni nuevos archivos...... lo cual me hace pensar que trabaja a un nivel mas bajo es decir ring0, osea hookean las funciones del sistema y asi evitan que aparezcan por ejemplo en el administrador de procesos.

UPDATE: Wikileaks a sacado una herramienta para buscar entre los mails de hacking teams.

https://wikileaks.org/hackingteam/emails


Saludos.
 
Subir