امنیت

رمزنگاری در القاعده

این ماه دقیقا ۸ سال از روزی که القاعده استفاده از رمزنگاری رو برای کارهای آنلاین و رد و بدل اطلاعات شروع کرد می‌گذره. هدفشون هم امن نگاهداشتن اطلاعاتی بود که منتقل می کردند، حالا یا از طریق شبکه، اینترنت، بلوتوث و هر روش دیگه‌ای. پس از عملیاتی که منجر به کشتن بن‌لادن شد، خبرها در مورد رمزنگاریِ مورد استفاده القاعده دوباره سر زبان‌ها افتاد. کلیه اطلاعات روی کامپیوتر و لپتاپ و فلش مموری‌ها، رمز شده بود. سال ۲۰۰۹ نصیر الوحیشی، معاون بن لادن، در صحبت‌هاش به استفاده از رمزنگاری اشاره کرد. او گفته بود “ما با همه کسانی که بخواهند در جهاد به ما کمک کنند، تماس می گیریم.” و گفته بود که می تونید “با ایمیلی که به همین منظور راه اندازی شده و با استفاده از اسرار المجاهدین و ابزارهای امن دیگه، با ما تماس بگیرید.”

نسخه اول اسرار المجاهدین که با عنوان “اولین نرم افزار رمزنگاری اسلامی برای انتقال اطلاعات در اینترنت” خودش رو معرفی کرد، سال ۲۰۰۷ منتشر شده و امکان استفاده از متدهای روز رمزنگاری رو به اعضای القاعده می داد. این نرم‌افزار برای اولین بار در سال ۲۰۰۹ در سایت ویروس توتال بررسی شد. پس از آن نرم افزارها و ابزار دیگه‌ای توسط این گروه منتشر شد از جمله اسرار الدردشه که یک پلاگین برای رمزنگاری در نرم‌افزارهای پیام رسانه و سال ۲۰۱۳ منتشر شد و کمی بعد نسخه‌ای از آن در سایت ویروس توتال آپلود شد. در همین سال نسخه موبایل اسرار المجاهدین نیز منتشر شد. از سال ۲۰۱۴ شاهد نرم افزارهای رمزنگاری بیشتری برای پلتفرم های موبایل بودیم از جمله تشفیر الجوال و امن المجاهد.

در ادامه می تونید تصویری از زمان ارائه نرم افزارهای گفته شده رو ببینید.

al-qaeda-encryption-developments-timeline

استفاده از روشهای رمزنگاری در گروه القاعده پس از افشاگری‌های اسنودن تغییر کرد. سازمان‌های اطلاعاتی آمریکا به سازمان‌های مرتبط گوشزد کردند که شیوه‌های ارتباطی القاعده تنها چندماه پس از افشاگری اسنودن، تغییر کرده است. در ژانویه ۲۰۱۴، معاون سابق CIA و عضو گروه بررسی نظارت در NSA در یک مصاحبه اعلام کرد القاعده به سرعت در حال تطابق خود با اطلاعات افشا شده است و حدس می‌زنم که همکاران سابق من نیز در حال به‌روزرسانی خودشونند.

مجله انگلیسی زبان القاعده، Inspire، که همواره در شماره‌های خود اطلاعات رمزنگاری شده‌ای برای افراد مرتبط با خود منتشر می‌کرد، در اولین نسخه پس از افشاگری‌های اسنودن و در صفحه اول اعلام کرد که به بنا به دلایل تکنیکال و امنیتی، آدرس های ایمیل موقتا به حالت تعلیق در آمده. نیکولاس تیوزانت ۲۰ ساله که سال ۲۰۱۴ به جرم همکاری با افراطی‌های سوری و قصد بمبگذاری در آمریکا دستگیر شد، در اکانت اینستاگرام خود عکس از صفحه کامپیوترش منتشر کرده بود که نحوه استفاده از اسرار المجاهدین برای رمزگشایی پیام‌های Inspire را نشان می‌داد.

18925

آوریل ۲۰۱۴ شاخه رسانه‌ای القاعده، السحاب، در تبلیغ یک مصاحبه با یکی از رهبران القاعده در پاکستان، گفت می‌تونید سوال‌های خودتون رو به ما ایمیل کنید. آدرس ایمیل های ارائه شده از سرویس‌های یاهو و safe-mail.net بود. Safe mail یک سرویس ایمیل امن اسراییلی است که ادعا می کنه بالاترین امنیت رو در کنار سادگی در اختیار کاربران میگذاره.

در این میان گروه‌های تندرو دیگه از القاعده عقب نموندند. برای مثال داعش یا همون ISIS، سایت رمزنگاری خودش رو به اسم اسرار الغربا راه‌اندازی کرد. در حال حاضر که من این پست رو می‌نویسم آدرس‌های قبلی این سایت از کار افتاده. همچنین طی یک اعلام رسمی در انجمن طرفداران القاعده، استفاده از برنامه‌هایی با اسم اسرار الغربا خطرناک اعلام شده و گفته شده تنها برنامه‎های تشفیر الجوال، پلاگین اسرار الدردشه و برنامه اسرار المجاهدین رو استفاده کنید. احتمالا کسانی با استفاده از تشابه اسمی، قصد توزیع بدافزار بین طرفداران این گروه‌ها داشتند.

announce

در این اعلان، از مجاهدین خواسته شده که از طریق وبسایت gimfmedia (جبهه رسانه اسلامی جهانی) آخرین برنامه ها رو بگیرند و جالب اینکه این سایت از سرتیفیکیتی استفاده می‌کنه که خودشون صادر کرده‌اند. همچنین این سرتیفیکیت از TLS نسخه ۱.۲ پشتیبانی نمی‌کنه و باگ پودل داره. نسخه وردپرس استفاده شده در این سایت نیز در زمان نگارش این پست ۳.۵ بود درحالیکه آخرین نسخه ارائه شده وردپرس همکنون ۴.۱ است.

gimf

گراف زیر نشون دهنده نمایی کلی از موارد گفته شده است. می بینید که حدود ۴ یا ۵ ماه پس از افشاگری‌های اسنودن، القاعده و داعش نسخه‎های جدیدی از نرم‌افزارها و پلاگین‌های رمزنگاری خودشون رو منتشر کردند.

snowden-disclosure-impact-timeline

آنالیز

در بررسی نرم‌افزارها و پلاگین‌های رمزنگاری گفته شده، سه سوال مطرح می‌شه.

  1. در نرم‌افزارهای منتشر شده القاعده متدهای خودساخته رمزنگاری استفاده شده و یا از الگوریتم‌های در دسترس و عمومی استفاده کرده‌اند؟
  2. شایعه شده که این نرم‌افزارها دارای بدافزارند، حالا یا از طرف القاعده و یا دولت‌هایی مثل آمریکا. آیا این مساله تایید شده؟
  3. آیا این نرم‌افزارها به صورت گسترده استفاده می‌شن؟ یک مورد که این سوال رو به سوال بالا مربوط می‌کنه اینه که بررسی کنیم آیا این نرم‌افزارها روی سرویس‌های بررسی بدافزار مثل ویروس توتال چک شده اند یا نه.

آنالیز کد این نرم افزارها و مهندسی معکوسشون رو در جدول زیر به صورت خلاصه می تونید ببینید.

encryption-methods-table

در جدول زیر تاریخ اولین تست هر فایل در سرویس ویروس توتال رو می بینید.

encryption-indicators-table

استفاده از متدهای خونگی و یا عمومی

در این بخش بررسی می کنیم که این نرم‌افزارها از متدهای رمزنگاری خونگی استفاده می‌کنند یا متدهای عمومی. بنا بر نظر بروس اشنیر (Bruce Schneier)، متدهای خودساخته ریسک‌های بیشتری دارند.

تشریف الجوال

تشریف الجوال یه اپلیکیشن رمزنگاری موبایله که توسط شاخه رسانه‌ای القاعده تنها ۳ ماه پس از افشاگری‌های اسنودن منتشر شد. طبق اعلام GIMF (جبهه رسانه اسلامی جهانی)، این اپلیکیشن از متد Twofish استفاده می‌کنه. این متد توسط بروس اشنیر و همکارانش توسعه داده شده است. استفاده از این متد به جای متدهایی که احتمالا تحت تاثیر دولت آمریکا هستند، کاری است که اپلیکیشن مطرح Silent Circle نیز انجام داده است.

در مهندسی معکوس این اپلیکیشن، ۳ نکته جالب دیده شد:

  1. این اپلیکیشین با بسته کاملی از متدهای رمزنگاری منتشر شده، شامل Twofish (که در بالا اشاره شد) و AES, Blowfish, DES, DESede, GOST28147, IDEA, ISAAC, Noekeon, RC2, RC4, RC532, RC564, RC6, Rijndael, SKIPJACK, Serpent, TEA, Twofish, CCM, EAX, GCM
    rl-encryption-algorithms
  2. تکیه زیادی بر BouncyCastles و CryptoSMS وجود دارد.
    rl-bouncycastle-encryption
  3. احتمالا به عنوان راهی برای قانونی به نظر رسیدن، از هدرهای صریحی در پیام‌های رمزنگاری شده استفاده می‌کنند (سازگار با اسرار المجاهدین).
    encryption-message-headers

 

امن المجاهد، نسخه همراه

به گفته سازندگان این برنامه “امن المجاهد از رمزنگاری قوی استفاده کرده و با پیروی از تکنولوژی‌های پیشرفته موجود، کمک خوبی به برادران است.”

همچون تشریف الجوال، سازندگان این برنامه نیز تاکید بر استفاده از پیشرفت‌های تکنولوژی دارند نه اختراع متدهای خودشون. طبق مستندات امن المجاهد (نسخه دسکتاپ) از متدهای رمزنگاری Twofish و AES استفاده شده است:

“الگوریتم رمزنگاری را که در پایین صفحه نرم‌افزار واقع شده، انتخاب کنید (Twofish یا AES).”

و در راهنمای امن المجاهد نسخه همراه، یک سرنخ برای نوع رمزنگاری در تصویر زیر قابل مشاهد است. اشاره به کلید RSA و نه روشی خودساخته. همچنین به همخوانی کلیدها و عملکرد در نسخه همراه و دسکتاپ اشاره شده است.

“ویژگی‌های امن المجاهد نسخه همراه با نمونه‌های معادل نسخه دستکاپ، همخوانی دارد. از این رو کاربر می‌تواند کلیدهای ساخته شده در امن المجاهد نسخه دستکاپ را کپی کرده و به امن المجاهد نسخه گوشی همراه اضافه کند و یا برعکس.”

aam-mobile-encryption

اسرار الغربا

محصول داعشه که با بیانه‌ای در خصوص الگوریتم‌های خصوصی ارائه شد اما از آنجایی که به نظر می‌رسه این محصول دیگه در دسترس نیست، نمی‌شه در مورد الگوریتم‌های استفاده شده به جمع‌بندی مطمئنی رسید.

ارزیابی

در مجموع بر اساس ادعاهای خود سازندگان و مهندسی معکوس انجام شده، به نظر نمی‌رسه که این محصولات از الگوریتم‌های خودساخته استفاده کرده باشند. مسلما در ارزیابی موارد دیگه‌ای هم باید در نظر گرفت. یک برنامه ممکنه که از کتابخانه‌ها و الگوریتم‌های بررسی شده، امن و استاندارد استفاده کنه اما توی نگهداری و کنترل کلیدها و انتقال اطلاعات دچار مشکل باشه.

آلودگی به بدافزار

یکی از سوال‌های مهم اینه که آیا این نرم‌افزارها به بدافزار و در پشتی آلوده‌اند یا نه. شایعه‌های زیادی در این مورد هم بین کارشناس‌های امنیتی و هم بین خود اعضای القاعده وجود داره. این بدافزارهای احتمالی می‌تونه توسط دولت‌ها و یا هر سازمان دیگه‌ای جاسازی شده باشه.

برای بررسی، اسرار المجاهدین رو انتخاب می‌کنیم که زمان زیادی از توسعه و استفاده ازش می‌گذره. در تصویر زیر تاریخچه‌ای از این نرم‌افزار رو می بینید. از زمان انتشار تا اعلام خطر در مجله Inspire و استفاده مجدد، انتشار اسرار الدردشه، تاریخ‌های بررسی این نرم‌افزار در ویروس توتال و نهایتا استفاده مورتن استورم از اسرار المجاهدین برای پیدا کردن انوار الاولاکی، یکی از رهبران القاعده.

mujahideen-secrets-timeline

با مقایسه RSS سایت GIMF (جبهه رسانه اسلامی جهانی) می‌بینیم که دقایقی پس از انتشار اسرار الدردشه، نسخه جدید اسرار المجاهدین نیز منتشر شده که می‌تونه نشونه‌ای باشه از اشتراک منابع، متدها و حتی کدهای این دو.

gimf-rss-feed-example

یکی از نکات جالب، تاریخچه ارسال فایل Asrar_2.exe به ویروس توتال در فاصله سال‌های ۲۰۱۲ تا ۲۰۱۴ است. در نمودار زیر می‌بینید که چگونه شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۳ به بعد کاهش داشته.

rl-malware-timeline

شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۲ افزایش داشته و در سال ۲۰۱۳ به اوج رسیده که در این زمان ۵۰ درصد آنتی‌ویروس ها اون رو بدافزار می‌دونستن. اما از اون زمان به تدریج از لیست بدافزارها خارج شده تا الان که فقط ۷ آنتی‌ویروس هنوز اون رو بدافزار می‌دونن.

مسلما اسرار المجاهدین به مفهوم سنتی یک بدافزار نیست. با اینحال در دوره‌ای توسط بخش گسترده‌ای از آنتی‌ویروس‌های آمریکایی، چینی و روسی و برخی شرکت‌های کوچک به عنوان بدافزار شناخته شد. دلایل مختلفی می‌شه براش برشمرد.

  • افزایش ناگهانی استفاده از این نرم‌افزار که منجر شد دفعات زیادی این نرم‌افزار برای بررسی به آنتی‌ویروس‌ها ارسال بشه و با توجه به اینکه فایل جدید و ناشناخته‌ای بود، زنگ خطر رو به صدا درآورد. پس از مدتی آنتی‌ویروس‌ها فهمیدن که بدافزار نیست و از لیست سیاه حذفش کردند. توضیحات استفاده از اسرار المجاهدین برای اولین بار سال ۲۰۱۰ در مجله Inspire منتشر شد.
    inspire-asrar-instructions
  • سازمانی از چند آنتی‌ویروس خواسته تا اسرارالمجاهدین رو به عنوان بدافزار شناسایی کنند تا اعضای القاعده علاقه چندانی به استفاده از اون نداشته باشند. ممکنه که حتی یک آنتی‌ویروس این کار رو کرده باشه چرا که معمولا آنتی‌ویروس‌ها نتایج بررسی همدیگه رو کپی می‌کنن. تئوری توطئه خوبی به نظر می‌رسه اما بعیده که یک دولت برای یک مدت کوتاه این همه شرکت از آمریکا، چین و روسیه رو راضی به این کار کرده باشه.
  • یک فرد سعی کرده که روی نظر آنتی‌ویروس‌ها تاثیر بذاره و یک موفقیت موقت داشته. تصویر زیر نمونه‌ای از کامنت‌ها در سایت ویروس توتاله.
    virustotal-discussion-example
  • از اونجا که آنتی‌ویروس‌ها به صورت گله‌ای عمل می‌کنن، یک تشخیص شانسی از یک آنتی‌ویروس می‌ونه منجر به یک موج بشه و تا زمانی که فایل واقعا بررسی و اعلام نظر بشه، باقی بمونه.
  • ممکنه که واقعا یک بدافزار در اسرار المجاهدین وجود داشته باشه یا قبلا بوده و باعث این اخطار شده باشه.

از دیگر دلایل احتمالی می‌تونم به استفاده از دلفی برای نوشتن برنامه، اشاره کنم. دلفی زبان برنامه‌‌نویسی مورد علاقه هکرها بود. مدت‌هاست که دیگه استفاده چندانی از دلفی نمی‌شه و دیدن کتابخونه‌های دلفی در یک نرم‌افزار شک برانگیزه. بر اساس بررسی‌های که انجام دادم، به احتمال بسیار زیاد، این برنامه در محیط سیستم عامل ویندوز نوشته شده.

پست بعد به دلایل استفاده از رمزنگاریهای شخصی به جای اپلیکیشن‌ها و نرم‌افزارهای موجود می‌پردازم. همچنین جمع‌بندی و نتیجه‌گیری رو در پست بعد میارم.

منابع:

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-2/

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-1/

http://www.memri.org/report/en/0/0/0/0/0/0/7950.htm

Standard