Ce putem învăța din dezvăluirile hackerului Guccifer în urma spargerii contului de email al directorului SRI?

În urmă cu câteva săptămâni scriam despre cum domnul director al Serviciul Roman de Informații (SRI), George Maior, a avut compromis unul dintre conturile de Yahoo! Mail ce acestea le-a utilizat în trecut de hackerul ascuns în spatele pseudonimului „Guccifer”. La doar două săptămâni de atunci, DIICOT anunță că l-au prins pe cel suspectat de acest atac, Marcel Lazar Lehel sau „Micul Fum”, ce a fost condamnat în 2012 la trei ani de închisoare cu suspendarea executării pedepsei, de către Judecătoria Sectorului 3 București.

La doar câteva ore de la acest incident a apărut un folder pe Google Drive în care erau publicate toate emailurile extrase din contul domnului Maior de pe urma atacului realizat de Guccifer. Sunt câteva informații interesante în acestea, trecând peste emailurile academice – sistemul corupt de obținere a unor proiecte Europene realizate de compania Teamnet Internațional prin intermediul unor spăgi, aceeași companie ce a fost implicată în scandalul recent cu privire la accidentul aviatic din munții Apuseni despre care am și discutat dar și modul în care domnul director răspundea la aceste emailuri ce sugereaza un sistem de interceptare bazat pe cuvinte cheie.

Teamnet – lobby la Bruxelles, spagă de 5,000 de euro, comision de reușită

Riscograma a analizat deja unul din emailurile pe care domnul George Maior l-a primit în 2010 cu privire la metodele necinstite pe care compania Teamnet le folosea pentru a obține proiectele finanțate de Uniunea Europeană. Pe scurt, Nelu Neacsu, roman plecat cu politică și afaceri la Bruxelles, îi trimitea lui Maior în 2010 un e-mail cu adevărat interesant pe adresa de Yahoo. El vorbește despre compania Teamnet, care a făcut sistemele de localizare ale STS, Romatsa samd.

„Au pus la punct un sistem diabolic de lucru in Romania si mai nou in Moldova (…) Cert este ca cei de la Teamnet doresc sa aplice acelasi sistem bazat pe spagi din Romania si la Comisia Europeana”

„Lui Mircea i-a fost promis un comision de reusita, astfel pentru orice proiect pe care va reusi sa faca “lobby” si va fi aprobat spre finantare va primi o anumita suma. Cum suma primita creste direct proportional cu valoarea proiectului incerca in mod disperat sa intervina la oficialii de la Comisie.
In acest sens, va redau un schimb de e-mailuri mai jos.”

Mentionez ca in schema creata la Bruxelles este implicat si Dan Luca de la Euroactiv. Ieri am avut o intalnire interesanta cu Mircea si am aflat care este sistemul de lucru. Astfel; va incerca sa-l “atraga” de partea sa pe Bent Hauschildt, subalternul lui De Vrient si daca va fi cazul il va motiva suplimentar financiar.
Cand l-am intrebat cum se procedeaza mi-a zis ca are mana libera de pana la maxim 5000 de euro iar daca suma ceruta depaseste acest barem se va deplasa la Bruxelles Bogdan Badiu; directorul general al Teamnet Romania si va rezolva problema. Cert este ca cei de la Teamnet doresc sa aplice acelasi sistem bazat pe spagi din Romania si la Comisia Europeana.

Mai multe detalii despre această analiză puteti citi aici.

Cuvintele prescurtate folosite de directorul SRI sugerează existența unor filtre bazate pe cuvinte cheie

Un alt lucru ce mi-a atras atentia e faptul că în două dintre emailurile extrase de Guccifer din căsuța de email a domnului Maior există prescurtări doar în cazul unor cuvinte ce par a fi cheie, restul mesajului fiind scris corect și coerent.

[ No Subject ] – dInbox – Yahoo! Mail.htm

Toate actiunile economice sau de cr org derulate in exterior de firme sau org ru sunt controlate de SI ru – un exemplu elocvent este Spania
– exista o abordare „joint” firme-SI-cr org
– pol ext ru actuala se identifica cu pretul resurselor energetice si incercarea de a prelua controlul fluxului energetic in „zona de aval” (transport si furniare catre beneficiar). In acest fel se realizeaza un control complet de la extractie la destinatar in spatiul european.
– in principiu utilizeaza strategic, ca si in trecut: complexul militar, energia, legaturile externe traditionale, vulnerabilitatile societatilor deschise (incercari de infiltrare si manipulare a NGO, asociatii, think-tank etc.)
– in mediul dipl. indigen este utilizat personal cu vechi legaturi in rdg, care stapanesc f bine L ge (din 400 dipl 130 identificati). Partenerul considera ca G reprezinta o tinta predilecta a SI ru. Oamenii de afaceri prezenti pe teritoriul ru sunt supusi presiunilor care merg pana la santaj
– in combaterea sp. banilor nu se mai urmaresc filierele ci inculparea persoanelor implicate, incercand determinare eventualelor conexiuni cu oligarhi
– domenii de interes ale partenerului pe aceasta relatie:
* cooperare bil
* operarea ru in domeniul ec pe teritoriul nostru pentru a identifica germeni ai modului de abordare a Eu
* in dom ec si a stabili fluxurile financiare conexe
* companii ru care actioneaza pe teritoriul nostru
– ce domenii si firme doresc sa controleze in R
– domeniul comunicatiilor reprezinta o tinta (romtel…?)

Al doilea mesaj ([ No Subject ] – Inbox – Yahoo! Mail.htm) conține un mesaj similar ce poate ajuta la întărirea speculațiilor. Se știe de multă vreme că interceptările mobile se pot face cu ajutorul unui ordin judecătoresc și au mai multe abordări, una dintre ele fiind cea prin care sunt înregistrate conversațiile cu anumite cuvinte cheie. Până acum nu am auzit nici o discuție publică (dacă există, vă rog să lăsați un comentariu cu un link relevant) care să sugereze măcar existența unui sistem similar în cazul mediului internautic. Cu alte cuvinte, mesajul de pe adresa de email a domnului Maior mă duce cu gândul la faptul că există posibilitatea ca un astfel de sistem bazat pe interceptări ale traficului de internet bazat pe cuvinte cheie să existe.

Interceptări bazate pe filtre și în 2014?

În 2010 conexiunile criptate folosind SSL la Yahoo! Mail în mod obligatoriu erau un SF. Asta înseamnă că traficul emis de site-ul Yahoo! era plain text și implicit foarte ușor de interceptat și procesat.

Problema care se pune e acum, în 2014, dacă toți jucătorii importanți ai mediului internautic (Gmail, Yahoo, Facebook, Twitter, etc.) folosesc conexiuni criptate de tip SSL pentru a securiza comunicațiile și pentru a te proteja de eventuale interceptări (MItM), ce s-a întâmplat cu acest program? Mai există? Dacă da, cum funcționează? O simplă modificare a certificatelor se poate face dar în secunda următoare serviciile de protecție împotriva invalidării certificatelor de pe browsere ar țipa și ar crea suspiciuni utilizatorilor.

Rămâne ipoteza conform căreia instituțiile statului ce ar fi responsabile pentru interceptarea traficului ar fi creat un sistem similar cu ce a încercat Franța în urmă cu câteva luni, eșuând lamentabil și deschizând un scandal de proporții mari cu privire la invalidarea certificatelor SSL. Dacă e așa, degeaba ni se pare că avem conexiuni criptate pentru că vor fi doar de formă. Până una alta, rămâne să mai aflăm detalii, probabil din alte greșeli.