Elver Loho: Eesti kasutab spioneerimistarkvara, mille kaudu võivad luureandmed lekkida
"Hiljuti murdis tundmatu häkker sisse Gamma International Ltd. serveritesse. Kõike ta sealt kätte ei saanud, aga mida sai, pani avalikult netti üles. Tõmbasin häkitud materjalid ka endale ja leidsin, et firma klientide hulgas on ka eestlased," kirjeldas Loho oma ajaveebis.
"Kuigi ma mõnes mõttes saan aru vajadusest kokku hoida ja seetõttu koondada kõik FinSpy operatsioonid ühte serverisse, ja samuti vajadusest kasutada luuramiseks karbitoodet, sest ise samaväärse asja arendamine on kallis, siis teisest küljest jällegi tekitab see probleeme. Kui paned kõik munad ühte korvi, ja komistad, on nad ka kõik katki," leidis ta.
Vene luurel piisab Loho hinnangul ühe serveri kompromiteerimisest ja on neil üsna põhjalik ülevaade kohe olemas nii meie luure kui ka kriminaaluurimise prioriteetidest. "Karbitoote kasutamine tähendab ka, et väga paljud teised riigid kasutavad sama karbitoodet ja nemad ei pruugi olla niivõrd hoolikad. Varem või hiljem jõuab troojalase signatuur mõnda viirustõrjefirmasse ja nemad õpetavad oma tarkvara sinu luuresofti tõrjuma," lisas ta.
Loho nendib, et täpselt nii ka juhtus — antiviirus nimega ESET NOD32, millest ka tasuta versioon olemas, leiab FinSpy ilusti üles ja koristab ära. Ehk siis teisisõnu Eesti luurajate ja politsei tõrjumiseks oma arvutist piisab kui sa viirusetõrje installeerid.
Karbitoote puhul on Loho hinnangul ka teine risk. Täpselt nii nagu FinSpy tootjafirma veebitarkvara oli vigane ja üsna kergesti häkitav, võimaldades käesoleva lekke, võivad samad probleemid olla ka FinSpy tarkvara endaga.
"Jälgitavasse arvutisse installitud troojalane ühendub keskserverisse, suhtleb sellega. Säärane suhtlemine käib kindla protokolli läbi ja on äärmiselt tõenäoline, et serveritarkvaras on turvaauke, mis võimaldavad serveri enda kontrolli alla haarata," selgitas Loho.
"Kui ma töötaks Vene luures, siis ma ostaks samuti FinSpy litsentsi, analüüsiks troojalase-serveri suhtlusprotokolli, otsiks sealt turvaauke, tõenäoliselt leiaks nii mõnegi ja ehitaks tarkvara, mis jookseb taustal ning avastades, et keegi on arvutisse paigaldanud FinSpy troojalase, süstiks troojalase-serveri suhtlusse vahele õigel viisil rikutud andmed, saavutades seeläbi juurdepääsu keskserverile," kirjeldas ta.
"Kui jagada säärane anti-FinSpy tarkvara kohalikele saatkonnatöötajatele ja topeltagentidele, siis tõenäoliselt ühel hetkel Eesti luure mõne tegelase arvutisse ka FinSpy troojalase paigaldab, kukkudes nõnda lõksu ja andes venelastele ülevaate praktiliselt kogu säärasest luuretegevusest Eestis, üle kõigi asutuste. Sest kõik munad on pandud ühte korvi," leidis Loho.
"Vaadates milliseid kaebekirju Eesti luurajad hakkasid järsku 2014 märtsis FinSpy loojatele saatma (buffer overflow, mälusöömine, troojalane ei allu serveri käsule, serverist kaovad kogutud luureandmed, kogutud andmete krüptosignatuur ei klapi, ekraanisalvestus näitab üht aga nupuvajutuste salvestus hoopis teist, live-sessioonid ei funka enam jne), siis mul tekib kõhe tunne," kirjutas Loho.
"Sümptomitele peale vaadates kahtlustan ma täpselt säärast rünnakut nagu ma ülal kirjeldasin. Ja kui Vene luure on saavutanud juurdepääsu meie FinSpy keskserverile, siis see tähendab, et ka sama serveri kaudu kogutud muud andmed (näiteks kriminaaluurimise tarbeks) on kaheldava tõeväärtusega," jätkas ta.
