Podstawowe pytania

Czym jest projekt Funkcjonariusz?

Funkcjonariusz to platforma do ukrytej eksfiltracji danych - czyli do kopiowania danych z czyjegoś komputera lub telefonu na Twoje urządzenie USB. Najczęściej bez wiedzy i/lub zgody właściciela, w dyskretny sposób.

Z przyczyn technicznych, projekt Funkcjonariusz jest podzielony na 2 osobne produkty - współdzielące ten sam kod źródłowy, ale uruchamiane w inny sposób:

• Funkcjonariusz jest instalowany na Twoim dysku USB i jest nakładką na Kali Linuxa (tj. dystrybucję Linuxa służącą do testów bezpieczeństwa IT). Narzędzie to, po uruchomieniu na komputerze ofiary, wykrywa dyski twarde i inne potencjalne źródła danych, po czym automatycznie zaczyna kopiować z nich dane na Twój dysk USB.
• Funkcjonariusz Mobilny jest instalowany na Twoim komputerze (może to być komputer stacjonarny, laptop, albo nawet Raspberry Pi) i jest nakładką na Debiana, Ubuntu lub Raspbiana. Przygotowany w ten sposób komputer rozpoznaje podłączane urządzenia mobilne (Android, iPhone i inne), aparaty cyfrowe, oraz dyski USB - po czym automatycznie zaczyna kopiować z nich dane na Twój dysk USB albo na wewnętrzną kartę pamięci.

Funkcjonariusz vs Drive Badger

Projekt Funkcjonariusz jest polskim tłumaczeniem projektu Drive Badger. Wszystkie polskie instrukcje są dostosowane do specyfiki polskiego prawa, a więc w szczególności są kompatybilne z Kodeksem postępowania karnego i Kodeksem postępowania w sprawach o wykroczenia.

Oprócz nich, koniecznie przejrzyj też instrukcje w języku angielskim - są tam materiały generyczne, dotyczące każdego kraju.

W instrukcjach możesz spotkać się z dwoma nazwami produktów:

• Drive Badger - polski odpowiednik to po prostu Funkcjonariusz
• Mobile Badger - polski odpowiednik to Funkcjonariusz Mobilny

Po co mi Funkcjonariusz, skoro mogę zrobić to ręcznie albo prostym skryptem?

To prawda. W przeciwieństwie do wielu ITSEC-owych narzędzi, Funkcjonariusz nie jest narzędziem typu Proof-of-Concept, dostarczającym jakichś przełomowych, eksperymentalnych technik. Wszystko, co Funkcjonariusz robi, może być równie dobrze wykonane ręcznie, krok po kroku.

Natomiast Funkcjonariusz robi to wszystko lepiej, kładąc bardzo duży nacisk na:

• wydajność - cała operacja jest w pełni zautomatyzowana, a kopiowanie danych oparte jest o ponad 400 unikalnych reguł wykluczających, które redukują ilość danych do skopiowania średnio o ok. 95%, poprzez ominięcie katalogów i plików o niskiej wartości (np. wewnętrznych podkatalogów systemowych Windows) - dzięki temu cała operacja trwa wielokrotnie krócej, niż gdyby była realizowana przez prosty skrypt
• niewykrywalność - wszystkie działania realizowane są poniżej zainstalowanego systemu operacyjnego, a więc totalnie niewidoczne dla programów antywirusowych, DLP, SIEM, EDR i jakichkolwiek innych
• obsługę szyfrowania dysków - wspierane jest szyfrowanie BitLocker, Apple FileVault, LUKS i VeraCrypt, włączając automatyczne znajdowanie właściwego klucza odzyskującego (o ile oczywiście został wgrany)
• bezpieczeństwo operatora - bez znajomości hasła do zaszyfrowanej partycji z danymi, nie da się odróżnić Funkcjonariusza od zwykłego Kali Linuxa, ani udowodnić faktu dokonania eksfiltracji danych - zaś dzięki algorytmowi PBKDF2, odgadnięcie hasła metodą brute force jest niewykonalne

Celem, dla którego został stworzony Funkcjonariusz, jest drastyczne obniżenie kosztów i progu wejścia dla eksfiltracji danych, umożliwiając samodzielną realizację takich operacji zwykłym funkcjonariuszom, nie posiadającym wykształcenia IT.

Przecież CBA kupiło Pegasusa. Więc po co mi Funkcjonariusz?

Pegasus jest bardzo drogim i przez to w pewien sposób ekskluzywnym narzędziem: sama tylko licencja na każde kolejne śledzone urządzenie, nie licząc kosztów szkoleń dodatkowych operatorów, czy potrzebnego sprzętu, to ok. 400 tys. zł netto. Ogranicza to skalę stosowania Pegasusa, zarówno od strony potencjalnych celów, jak i operatorów.

Większość krajów kupuje licencje na od 20 do 50 śledzonych urządzeń, niezależnie czy mowa o systemie Pegasus, DevilsTongue, RCS, czy dowolnym innym systemie tego typu. CBA najprawdopodobniej kupiło 30 lub 35 licencji, aczkolwiek jest to informacja nieoficjalna i niepotwierdzona. Niezależnie od konkretnej liczby, taki przedział umożliwia śledzenie tylko najbardziej niebezpiecznych przestępców.

Z Twojej indywidualnej perspektywy jako policjanta bądź funkcjonariusza innej służby (np. CBA), oznacza to, że albo jesteś szczęśliwcem, który ma dostęp do tego systemu i może robić karierę przy jego pomocy - albo nie jesteś i masz pecha. W samej polskiej policji pracuje ok. 98 tysięcy funkcjonariuszy, co oznacza, że tylko statystycznie masz zaledwie 0.036% szans na taką karierę - a jeśli pracujesz poza Warszawą, Twoje szanse spadają dokładnie do zera.

Z drugiej strony, Funkcjonariusz to projekt open source, w pełni darmowy, którego możesz użyć samodzielnie, bez decyzji i kontroli przełożonych. Wszystko czego potrzebujesz to:

• czas na przeczytanie i zrozumienie dokumentacji
• czas na planowanie operacji przeciwko Twoim celom
• niedużych pieniędzy na sprzęt (wszystko powinno być dostępne w większości sklepów komputerowych)
• partnera (jednego lub więcej) z legitymacją (a tym samym podobnymi uprawnieniami służbowymi) - w przypadku większych realizacji

Więc o ile w przypadku dostępu do Pegasusa można mówić o wielkim szczęściu (a także o wielkich wymaganiach i oczekiwaniach ze strony przełożonych), o tyle o użyciu Funkcjonariusza decydujesz sam.

Jeśli kopiowanie danych odbywa się przy wyłączonym Windows, to nie ma dostępu do udziałów sieciowych?

Błąd. Funkcjonariusz wyposażony jest w system rozszerzeń zwanych hookami.

Hooki analizują każdą eksfiltrowaną partycję i jeśli znajdą na niej określone pliki, mogą wyciągnąć z nich informacje (najczęściej dane dostępowe do różnego typu udziałów sieciowych) i przy ich użyciu dokonać eksfiltracji również tych udziałów sieciowych.

Obecnie dostępne hooki analizują:

• dla Windows - hasła do kont FTP zapisane przez Total Commandera w plikach wcx_ftp.ini
• dla Linuxa - udziały smbfs/cifs i nfs montowane statycznie na podstawie wpisów w plikach /etc/fstab

Czy Funkcjonariusz nadaje się do podkładania dowodów?

Główną funkcjonalnością Funkcjonariusza jest eksfiltracja danych - jednakże ma on również możliwość modyfikacji podłączanych systemów plików: tworzenia plików i katalogów, zapisywania danych, zmian nazw, kasowania itd. Oczywiście pod warunkiem, że dane urządzenie i sam system plików pozwalają na zapis.

Funkcjonalność ta jest realizowana przez rozszerzenia zwane "injectorami". W repozytorium injectors-playground znajdziesz przykłady injectorów z komentarzami opisującymi ich sposób działania.

Czy oczekujesz jakichś pieniędzy za to oprogramowanie?

Nie. Stworzyłem cały ten projekt z przyczyn czysto ideologicznych. Mam za co żyć i niczego tutaj nie sprzedaję.

• Funkcjonariusz, Funkcjonariusz Mobilny, oraz dołączona do nich dokumentacja, dostarczane są całkowicie za darmo, na licencji open source
• cały kod źródłowy napisany jest w taki sposób, aby jak najbardziej ułatwić jego zrozumienie i weryfikację sposobu działania
• dystrybucja Linuxa działająca pod spodem również jest dostarczana jako open source
• jedyne za co płacisz to sprzęt komputerowy, przede wszystkim dyski USB, najlepiej SSD (oraz inny sprzęt w przypadku Funkcjonariusza Mobilnego) - to wszystko kupujesz jednak osobno w dowolnym sklepie komputerowym

Natomiast chętnie przyjmę wsparcie, zarówno dla projektu Funkcjonariusz, jak i dla innych moich projektów open source - to jednak Twoja dobrowolna decyzja.