Πέμπτη, 1 Ιουνίου 2017

CIA: Πρόγραμμα Time Stomper

Πρόσφατα η ιστοσελίδα WikiLeaks διέρρευσε ένα μεγάλο μέρος του διαδικτυακού οπλοστασίου της αμερικανικής υπηρεσίας CIA (Central Intelligence Agency, Κεντρική Υπηρεσία Πληροφοριών). Ένα από αυτά τα εργαλεία του οπλοστασίου ήταν το βοηθητικό πρόγραμμα Time Stomper που θα δούμε σε αυτό το άρθρο.
Πηγή: VOANews.com

Όπως μας έχουν συνηθίσει οι αμερικανικές υπηρεσίες πληροφοριών, τα ονόματα των προγραμμάτων τους είναι αρκετά χιουμοριστικά και αυτό δε διαφέρει. Το πρόγραμμα Time Stomper (δηλαδή αυτός που πατάει το χρόνο) είναι ένα πρόγραμμα της CIA για περιβάλλον Microsoft Windows που είναι σχεδιασμένο να αλλάζει τις ημερομηνίες των αρχείων σε όποιες επιθυμεί ο χειριστής του. Για την ακρίβεια, η επίσημη περιγραφή του προγράμματος μεταφρασμένη στα ελληνικά είναι η ακόλουθη.


Το Time Stomper είναι ένα εργαλείο που στοχεύει στη βοήθεια τροποποίησης των ημερομηνιών αρχείων και φακέλων. Αυτό βοηθάει όταν προετοιμάζετε αρχεία και συλλογές για επιχειρησιακή χρήση. Το εργαλείο σας επιτρέπει να επιλέξετε ποιες ημερομηνίες θέλετε να αλλάξετε (πρόσβασης, τροποποίησης, δημιουργίας, ή ένα συνδυασμό). Η προγραμματιστική διεπαφή SetFileTime των Windows χρησιμοποιείται για αυτές τις λειτουργίες.




Πηγή: WikiLeaks.org

Το παραπάνω είναι το έμβλημα του τμήματος Information Operations Center (Κέντρο Επιχειρήσεων Πληροφοριών) της CIA από όπου διέρρευσε και αυτό το εργαλείο. Το εργαλείο είναι μέρος του OSB (Operational Support Branch, Συλλογή Επιχειρησιακής Υποστήριξης) και όπως δηλώνει η περιγραφή, χρησιμοποιείται στη τροποποίηση των ημερομηνιών και ωρών αρχείων και φακέλων. Όπως δηλώνει, για να το επιτύχει αυτό χρησιμοποιεί τη προγραμματιστική βιβλιοθήκη της Microsoft και για την ακρίβεια τη συνάρτηση SetFileTime. Με αυτή τη γνώση οποιοσδήποτε μπορεί να ανακατασκευάσει ένα αντίστοιχο εργαλείο σχετικά εύκολα. Όπως διαβάζουμε στις διαρροές, ένα από τα σημαντικότερα μέτρα επιχειρησιακής ασφάλειας της CIA είναι να μετατρέπουν όλες τις ημερομηνίες και ώρες ώστε να μην καταδεικνύουν τις ΗΠΑ. Ο χειριστής μπορεί να χρησιμοποιήσει το πρόγραμμα Time Stomper για να αλλάξει κατά βούληση όλα τα σχετικά στοιχεία στα αρχεία συστήματος σε περιβάλλον Windows.

Πηγή: WikiLeaks.org

Το πρόγραμμα έχει χαρακτηρισμό SECRET//NOFORN (Secret & No Foreign Nationals, Απόρρητο & Όχι για Ξένα Έθνη) ενώ η πιο πρόσφατη ημερομηνία που συναντάμε στο έγγραφο που διέρρευσε είναι από τη 1 Απριλίου του 2015. Βλέπετε παρακάτω το πρόγραμμα TimeStomper.exe όταν εκτελείται χωρίς κάποια παράμετρο από τη γραμμή εντολών.

Πηγή: WikiLeaks.org

Όταν εκτελεστεί με αυτό το τρόπο δείχνει τις διαθέσιμες επιλογές. Εν συντομία αυτές είναι οι ακόλουθες.

  • -c (Αλλάζει την ώρα δημιουργίας)
  • -m (Αλλάζει την ώρα της τελευταίας τροποποίησης)
  • -a (Αλλάζει την ώρα τελευταίας πρόσβασης)
  • -t (Μορφή της Ημερομηνίας/Ώρας)
  • -rt (Εύρος ώρας)
  • -p (Αρχείο ή φάκελος)
Στη συνέχεια μπορείτε να δείτε ένα παράδειγμα που αλλάζει την ημερομηνία και ώρα τελευταίας τροποποίησης (παράμετρος -m) του αρχείου testing1.docx ώστε να είναι 5-5-2015 10:05:32:322 (η ώρα αναγράφεται ως ΩΡΕΣ:ΛΕΠΤΑ:ΔΕΥΤΕΡΟΛΕΠΤΑ:ΧΙΛΙΟΣΤΑ ΤΟΥ ΔΕΥΤΕΡΟΛΕΠΤΟΥ). Είναι αρκετά απλό και κατατοπιστικό.
Πηγή: WikiLeaks.org

Αξίζει να αναφέρουμε ότι στους περιορισμούς του προγράμματος αναφέρεται ότι εάν κάποιος δεν ορίσει την ώρα, τότε το πρόγραμμα θα επιλέξει μία τυχαία. Ωστόσο, τα χιλιοστά του δευτερολέπτου επιλέγονται πάντα τυχαία. Είτε επιλέξει κάποιος μία συγκεκριμένη ώρα, είτε όχι. Το αποτέλεσμα από τη παραπάνω αλλαγή το βλέπετε και εδώ όπου το αρχείο φαίνεται να έχει ημερομηνία και ώρα μετατροπής αυτό που όρισε το Time Stomper.

Πηγή: WikiLeaks.org

Διαβάζουμε επίσης ότι οι παράμετροι μπορούν να δοθούν με οποιαδήποτε σειρά αλλά είναι σημαντικό να γνωρίζει κανείς ότι οι ώρες που ορίζει είναι για τη ζώνη ώρας UTC πάντα. Στο επόμενο παράδειγμα ο τεχνικός της CIA μας δείχνει πως αλλάζει την ώρα πρόσβασης (παράμετρος -a), την ώρα δημιουργίας (παράμετρος -c), και την ώρα τροποποίησης (παράμετρος -c), σε 5-5-2015 10:05:32 σε οτιδήποτε περιλαμβάνει ο φάκελος (παράμετρος -p) testerclean.

Πηγή: WikiLeaks.org

Αντίστοιχα με παραπάνω, ο τεχνικός της CIA μας παρουσιάζει ότι το εργαλείο Time Stomper λειτούργησε δείχνοντας μας το εσωτερικό του φακέλου που μόλις τροποποίησε όπως ακριβώς το βλέπετε εδώ.

Πηγή: WikiLeaks.org

Το τελευταίο παράδειγμα που παρουσιάζεται χρησιμοποιεί τη παράμετρο για ορισμό εύρους (τη -rt) ώστε το πρόγραμμα τυχαία να επιλέξει ημερομηνίες και ώρες μέσα από αυτό το εύρος. Όπως βλέπετε και μόνοι σας παρακάτω, το εύρος που δόθηκε στο Time Stomper σε αυτό το παράδειγμα ήταν από 1-5-2015 έως 3-5-2015 και η ώρα που δόθηκε είναι 10:18.

Πηγή: WikiLeaks.org

Για ακόμα μία φορά, παρακάτω φαίνεται το αποτέλεσμα εκτέλεσης της παραπάνω εντολής όπως θα το έβλεπε κανείς παρατηρώντας το φάκελο testerclean.

Πηγή: WikiLeaks.org

Τέλος, θα κλείσουμε με κάτι χιουμοριστικό. Στα σχόλια της σελίδας (η σελίδα είναι ένα Wiki, και για την ακρίβεια χρησιμοποιεί το λογισμικό Confluence) υπήρχε μία διαμάχη ανάμεσα στο δημιουργό του εργαλείου (ο υπάλληλος νούμερο 71473 κατά τη CIA) και δύο άλλους συναδέλφους του (οι υπάλληλοι 524297 και 1179925). Παραθέτουμε τη συνομιλία σε ελληνική απόδοση εδώ.


2015-03-24 10:24 [Χρήστης 1179925]: Τι το χρειαζόμαστε τον ορθογραφικό έλεγχο όταν έχουμε τον Χρήστη 71473…

2015-03-30 17:17 [Χρήστης 71473]: Ρώτησε όποιον θέλεις. Μου είναι αδύνατο να βρω κάποιο ορθογραφικό λάθος όσο κείμενο και αν υπάρχει γύρω του. Είναι ένας βασικός λόγος που σιχαίνομαι να πειράζω εργαλεία που έχουν γραφτεί από μίας συγκεκριμένης χώρας περίεργους χάκερ τύπους. Επιμένουν να κάνουν τις διεπαφές χρήστη στα Αγγλικά, αλλά η ορθογραφία μέσα στις εντολές είναι φρικτή, και τα ορθογραφικά λάθη είναι σχεδόν κυριολεκτικά ΠΑΝΤΟΥ.

2015-03-31 09:05 [Χρήστης 524297]: Το σωστό είναι «It’s one…», ακόμα πιο αστείο είναι ότι το είχες σωστό τη πρώτη φορά.

2015-03-31 11:33 [Χρήστης 71473]: Δεν έχω ιδέα σε τι αναφέρεσαι…

2015-04-01 09:26 [Χρήστης 524297]: Ωραίο πράγμα που αυτά τα σχόλια έχουν ημερομηνίες… Τι κρίμα που δε μπορείς να αλλάξεις τις ημερομηνίες με το TimeStomper σου στα σχόλια του Confluence





Πηγή: TheHackerNews.com
https://defensegr.wordpress.com/2017/05/14/cia-programma-time-stomper/