Skrivnosti »Skupine enačba«

Eno od najbolj šokantnih spoznanj o spletnem vohunjenju v zadnjem času so nedavno razkrili v podjetju Kaspersky, ki se sicer ukvarja z izdelavo računalniške protivohunske opreme. Njihovi analitiki so namreč odkrili programe, ki »presegajo vse, kar je bilo doslej znanega« in za katere so zaradi izjemne obsežnosti in težavnosti, ki so najverjetneje spremljale njihovo izdelavo, prepričani, da jih je izdelala ameriška Nacionalna varnostna agencija (NSA). 

Izdelala naj bi jih skupina, ki so jo po delu programa v laboratoriju podjetja Kaspersky poimenovali kot »Skupino enačba«. Gre za programe, ki upravljajo z delovanjem trdih diskov na računalnikih. Strokovnjaki ameriške obveščevalne službe NSA naj bi v programe vseh znanih izdelovalcev diskov (Western Digital, Seagate, Toshiba, Samsung itd.) na ta način uspeli vpisati svoje vohunske programe in to tako, da ti vohunski programi v nekaterih primeri preživijo celo »formatiranje« diska. In nato znova nadaljujejo z zbiranjem podatkov. Edina rešitev pred to vrsto vohunjenja bi bil zato nakup novega diska – toda ker ima tudi ta v sebi najverjetneje že »kompromitirano« programsko opremo, to seveda pomeni, da se tej vrsti vohunjenja preprosto ne da izogniti. To kaže, da je bil naslov knjige novinarja Glenna Greenwalda, ki je prvi pisal o Snowdenovih dokumentih, zelo dobro izbran. Naslov njegove knjige je namreč »Ni mesta za skrivanje«.

Razkritje laboratorija Kaspersky je pomembno zato, ker kaže, da lahko vohuni izdelajo tudi takšne programe, ki so odporni celo zoper »varnostne nadgradnje« računalniških sistemov. Zlonameren program so strokovnjaki na primer našli v datoteki z imenom »nls_933w.dll«. Sposoben je ustvariti za ostalo programsko opremo »neviden« prostor na disku, kjer nato shranjuje ukradene podatke, na primer gesla. Del spomina (ROM) je namreč pogosto prazen. Kjer nadzorni procesor v trdem disku vsebuje 2 MB prostora, ga programska oprema ponavadi uporablja samo 1,5 MB, ostali del prostora pa se lahko uporabi za shranjevanje ukradenih podatkov. Drug, zaščiten prostor na trdem disku, je prostor, namenjen »servisiranju«. Kaspersky navaja primer diska podjetja Western Digital, ki ima 141 MB prostora namenjenega za »servisiranje« , čeprav ga dejansko uporablja samo 12 MB. Preostali prostor vohunski programi uporabljajo za varno shranjevanje ukradenih podatkov.

Tudi kadar računalnik ni priključen na internet, lahko nato obveščevalci v določenem trenutku, ko jim je računalnik fizično dosegljiv (npr. ob prehodu meje), dostopijo do diska in tako prevzamejo nadzor nad vsemi datotekami. Kaspersky je doslej odkril okoli 500 žrtev »Skupine enačba«, toda le pet med njimi je bilo takšnih, ki so imeli program, ki je sposoben preživeti tudi formatiranje trdega diska. Po oceni strokovnjakov je ta različica programa namenjena samo »pomembnejšim« tarčam.

Vsak trdi disk ima namreč nadzorno enoto, nekakšen mini-računalnik s pomnilnikom, v katerem je vpisan operacijski sistem, ki nadzoruje delovanje samega diska. Ko je disk okužen s programom Skupine enačba, se računalnik poveže z zunanjim strežnikom, s pomočjo katerega se obstoječi program nadomesti z vohunskim. Obstajata dve različici programa, eden naj bi bil izdelan leta 2010, drugi pa leta 2013. Te spremembe nato izničijo vse morebitne »varnostne nadgradnje«. Tudi izbris vseh podatkov pri tem ne pomaga. Vse skupaj deluje tudi zato, ker programi za upravljanje z diski nikoli niso bili zamišljeni tako, da bi bili »varni« in kriptografsko zaščiteni. Zato je sprememba programov toliko lažja. Toda to ne pomeni, da je bilo delo obveščevalcev, ki so izdelali to vohunsko opremo enostavno. Da bi lahko vohunski programi »prepisali« obstoječe programe in to za številne, povsem različne trde diske številnih različnih proizvajalcev po svetu, je bilo potrebno zbrati vse njihove njihove podatke o procesorjih, arhitekturi programov in kako delujejo – in to za vsak disk posebej. V laboratoriju Kaspersky zato to delo označujejo kot »osupljiv tehničen dosežek in dokaz sposobnosti skupine«.