Funkcjonariusz jest rozwiązaniem do szybkiego kopiowania danych z wyłączonego lub zablokowanego komputera w sytuacji, gdy nie możesz uruchomić Windows, np. nie znasz hasła, albo istnieje ryzyko detekcji przez system SIEM.
Funkcjonariusz dostarczany jest w formie zewnętrznego dysku SSD, z którego uruchamiany jest osobny system:
- dla Twojego bezpieczeństwa, standardowo uruchamiany jest zwykły Kali Linux, a zebrane już dane są całkowicie niewidoczne i niedostępne
- po uruchomieniu w odpowiedni sposób, uruchamiany jest adekwatny Funkcjonariusz i rozpoczyna się kopiowanie danych
Funkcjonariusz po uruchomieniu analizuje dyski twarde i inne nośniki podłączone do komputera, rozpoznając systemy plików i kopiując wszystkie dane na własny dysk USB.
Jednocześnie możliwe jest uruchomienie na ekranie komputera np. programu diagnostycznego, testującego sprawność sieci lub samego komputera, albo dowolnego innego programu maskującego prawdziwą aktywność.
Taki sposób działania powoduje, że:
- automatycznie omijane są wszelkie programy antywirusowe, systemy DLP, SIEM i inne mające na celu wykrywanie niepożądanych aktywności
- nie potrzebujesz znać haseł do systemu Windows, czy zainstalowanych programów
- nadal możliwe jest kopiowanie zasobów sieciowych (aczkolwiek w ograniczonym zakresie)
Po co mi Funkcjonariusz, skoro mogę to wszystko zrobić manualnie albo prostym skryptem?
To prawda, Funkcjonariusz nie jest exploitem, zestawem exploitów (jak np. Pegasus), czy innym oprogramowaniem typu Proof-of-Concept, które by działało w jakiś przełomowy sposób. Wszystko, co robi Funkcjonariusz, może być krok po kroku wykonane manualnie. Przewaga Funkcjonariusza tkwi w robieniu tego wszystkiego lepiej, poprzez maksymalną koncentrację na:
- wydajności - cała operacja jest w pełni zautomatyzowana, repozytoria zawierają też ponad 400 specjalnych reguł (tzw. wyjątków), które skracają czas ataku choćby o ok. 95% poprzez omijanie plików i katalogów o niskiej wartości
- dyskrecji - operacja jest przeprowadzana poniżej systemu zainstalowanego na komputerze, a więc totalnie niewidzialna dla tego systemu, jak i dla całego zainstalowanego systemu antywirusowego, DLP, SIEM, EDR itp.
- obsłudze zaszyfrowanych dysków - Funkcjonariusz obsługuje Microsoft BitLocker, VeraCrypt, Apple FileVault i LUKS, automatycznie dopasowując adekwatny klucz szyfrujący
- bezpieczeństwie osobistym operatora - nie ma możliwości odróżnienia Funkcjonariusza od zwykłego Kali Linuxa w wersji Live, ani udowodnienia eksfiltracji danych, dopóki ktoś nie zna prawidłowego hasła (a dzięki algorytmowi PBKDF2 nie ma możliwości jego złamania)
Celem Funkcjonariusza nie jest udostępnienie żadnej nowej techniki eksfiltracji danych, ale raczej drastyczna redukcja kosztów i ryzyka, związanych z prowadzeniem ukrytych ataków, jak również obniżenie tzw. progu wejścia dla operatora, który dzięki Funkcjonariuszowi nie musi już posiadać doświadczenia w IT.
Kiedy Sherlock?
- Windows jest uruchomiony, ekran nie jest zablokowany
- masz fizyczny dostęp do klawiatury i portu USB
- zależy Ci przede wszystkim na udziałach sieciowych
- oraz:
- masz ekstremalnie mało czasu (sekundy/minuty)
- lub potencjalnie możesz namówić użytkownika do uruchomienia np. arkusza kalkulacyjnego albo odtwarzacza MP3 z Twojego pen drive’a
- lub pracujesz na czyimś komputerze (np. podczas szkolenia), ale jesteś otoczony innymi osobami i nie możesz robić niczego podejrzanego
Kiedy Funkcjonariusz?
- masz bardzo mało czasu (zobacz tą kalkulację na stronie projektu)
- komputer jest wyłączony albo zablokowany, albo ma całkowicie zablokowany port USB na poziomie systemu operacyjnego
- komputer jest bardzo mocno chroniony (SIEM itp.) i nie możesz sobie pozwolić na ryzyko odkrycia tego co robisz (również po fakcie)
Materiały dodatkowe
Od czego zacząć?
- Omówienie najważniejszych funkcjonalności
- Kwestie prawne, dot. legalności użycia przez poszczególne służby i innych użytkowników
Brzmi ciekawie, gdzie znajdę więcej materiałów technicznych?
- Rekomendowane modele sprzętu (dysków zewnętrznych SSD i pen drive’ów)
- Jak zacząć pracę z Funkcjonariuszem?
- Jak konfigurować kluce szyfrujące do atakowanych dysków?
- Fazy ataku - czyli ile czasu potrzebujesz na atak?
- Planowanie dużego ataku - czyli ile dysków i o jakiej pojemności potrzebujesz?
- Rozwiązywanie problemów specyficznych dla komputerów różnych marek
- Nowości
- Mapa drogowa projektu (po angielsku)
Licencjonowanie
Funkcjonariusz jest oprogramowaniem open source, udostępnianym na zasadach określonych w licencji MIT.
Jednocześnie, w świetle polskiego prawa jego swobodne użycie jest ograniczone do tzw. podmiotów uprawnionych:
- funkcjonariuszy policji i innych służb mundurowych, którym Ustawa przyznaje odpowiednie uprawnienia, np. Centralne Biuro Antykorupcyjne
- funkcjonariuszy służb specjalnych, np. Służba Wywiadu Wojskowego, Agencja Bezpieczeństwa Wewnętrznego
- żołnierzy Wojska Polskiego, np. Żandarmerii Wojskowej
- prywatnych detektywów - w zakresie przygotowywania sprzętu itp. czynności pomocniczych przy założeniu, iż adekwatne usługi będą świadczone poza terenem Polski
- dyplomatów i innych osób posługujących się immunitetem osobistym
- osób posiadających tytuł prawny do takich działań, nadany w innym kraju, a respektowany przez polskie prawo
- w ramach swojej firmy i ew. jej partnerów na mocy zawartych wcześniej umów - przez członków firmowych zespołów bezpieczeństwa, umocowanych do takich działań przez Zarząd lub Inspektora Ochrony Danych
- do celów badawczych, testowych i rozwojowych - przez osoby zajmujące się bezpieczeństwem systemów IT
Użycie tego systemu może być dodatkowo ograniczone przez prawo innego kraju, w którym miałoby ono zostać użyte. Użytkownik końcowy jest osobiście odpowiedzialny za wszelkie naruszenia przepisów prawa i/lub obowiązków służbowych związane z użyciem oprogramowania.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.
Czy udostępnienie tej klasy systemu jako open source jest bezpieczne?
Wierzymy iż tak.
Funkcjonariusz jest oprogramowaniem wymagającym pełnego dostępu fizycznego do atakowanych komputerów. Nie przełamuje on więc żadnych dodatkowych zabezpieczeń, a jedynie automatyzuje działania na bazie zabezpieczeń już przełamanych. W tej sytuacji może być niezwykle przydatnym narzędziem w rękach różnych służb, a zarazem ciężko wyobrazić sobie scenariusz jego wykorzystania na szerszą skalę przez osoby prywatne.
Faktem jest też, iż od lat, również w formie open source, dostępne są o wiele bardziej zaawansowane narzędzia do testowania bezpieczeństwa IT na różnych poziomach.
Dlatego też jesteśmy przekonani, iż udostępnienie pełnej wersji projektu jako open source nie stwarza realnego ryzyka nadużyć ze strony osób nieuprawnionych.