Mujahideen Secrets – program szyfrujący dla systemu Microsoft Windows napisany dla członków Al-Kaidy. Umożliwia użytkownikom szyfrowanie wiadomości tekstowych i plików za pomocą szeregu technik. Dzięki niemu osoby trzecie nie są w stanie przechwycić wiadomości podczas jej transmisji. Autorzy oprogramowania są anonimowi. Mujahideen Secrets uważane jest za atrakcyjne, gdyż jest proste w użyciu i zapewnia 2048-bitowe szyfrowanie asymetryczne. To w porównaniu do 256-bitowego szyfrowania symetrycznego AES jest przełomem. Pod wieloma względami użycie 2048-bitowego algorytmu RSA, z kluczami prywatnymi, których nie trzeba przenosić, jest bezpieczniejsze, niż obsługa 256-bitowego AES ze współdzielonymi kodami, które mogą być zaszyfrowane hasłami.

Pytanie, dlaczego terroryści mieliby używać tego oprogramowania zamiast typowego narzędzia służącego do szyfrowania czy uwierzytelniania poczty elektronicznej, plików, katalogów oraz partycji dyskowych? Wszak oprogramowanie szyfrujące istnieje od lat jest tanie lub często bezpłatne. Czy nie mają zaufania do rozwiązań pochodzenia USA? Przeanalizujmy w jaki sposób komunikują się islamiści i jakie wybierają rozwiązania do ukrywania się w sieci.

Czasopisma islamskich ekstremistów

FBI i organy ścigania wciąż poszukują sposobów na szyfrowane przez terrorystów wiadomości. W czasopismach dżihadystów związanych z Al-Kaidą znaleźć można wiele wskazówek na temat tego, jakie polecają programy szyfrujące w celu zabezpieczenia wiadomości przed ich wyciekiem.

Ogromna skala kampanii propagandowej Państwa Islamskiego w cyberprzestrzeni jest poważnym zagrożeniem dla bezpieczeństwa państw. Od 2014 roku jej odbiorcami stały się miliony użytkowników Internetu. Produkcją materiałów propagandowych Daesz (salaficka organizacja terrorystyczna, samozwańczy kalifat) w formie filmów, magazynów, reklam, zdjęć czy muzyki zajmują się wyspecjalizowane komórki, takie jak np. al-Hayat Media Center, Amaq News Agency czy al-Furqan Media. Symbolem skuteczności tej kampanii stały się nagrania egzekucji jeńców, które wywołały poruszenie opinii publicznej na świecie. Działalność ta podnosi jej atrakcyjność wśród potencjalnych dżihadystów, ułatwia rekrutację, przyczynia się do występowania zamachów samobójczych i pozwala zastraszać oraz dezorientować społeczeństwa państw zachodnich.

Organy ścigania próbują szukać metod propagandy wykorzystywanych w dwóch najpopularniejszych, anglojęzycznych magazynach internetowych, które publikuje Daesz: Dabiq oraz Rumiyah. Powstał nawet projekt, którego celem jest zweryfikować charakter prezentowanych przez czasopisma islamskie treści, a także użytych w nich technik propagandy oraz sposobów argumentacji.

Nie tylko oficjalnie

Al-Risalah jest recenzowanym czasopismem internetowym, publikowanym dwa razy w roku przez KIRKHS (Kulliyyah of Islamic Revealed Knowledge and Human Sciences) i Międzynarodowy Uniwersytet Islamski w Malezji (International Islamic University Malaysia). Jego celem jest promowanie talentów i zainteresowań badawczych studentów studiów podyplomowych KIRKHS poprzez zapewnienie im platformy do publikowania niezależnych badań i badań we współpracy z naukowcami. Zakres Al-Risalah obejmuje różne dyscypliny związane z islamską wiedzą objawioną i naukami humanistycznymi. W 2014 roku jedno z wydań czasopisma zamieściło na swoich łamach sekcję związaną z cyberbezpieczeństwem. Znalazła się tam informacja o tym, że dżihadyści sprawdzają, które luki w oprogramowaniu należy wziąć pod uwagę przy podejmowaniu decyzji o wyborze programów do szyfrowania. Okazuje się, że zamiast polecać sprawdzone już aplikacje – rekomendują oni własne, nieoficjalne rozwiązania.

W taki sposób wykryto między innymi krytyczną lukę w TrueCrypt (popularnym, ale oficjalnie wycofanym programie do szyfrowania dysków twardych, o którym pisaliśmy tutaj). Luka umożliwiała atakującemu uzyskanie uprawnień na komputerze docelowym, co oznacza, że ​​miał on takie same uprawnienia do komputera jak administrator. „Dlatego każdy ansar czy muhajir, który używa tych dwóch aplikacji, musi być bardzo ostrożny a najlepiej powinien ich unikać” – piszą autorzy Al Risalah. Jak się jednak okazało, wykryte luki nie wpłynęły na faktyczne szyfrowanie zapewniane przez sam TrueCrypt. Wygląda więc na to, że Al Risalah sugerował dżihadystom zaprzestanie używania produktu z powodu błędu, który prawdopodobnie nie ma żadnego rzeczywistego wpływu na szyfrowanie danych.

Programy islamskich ekstremistów

Autorzy czasopisma zalecają swoim czytelnikom korzystanie z niestandardowych programów do szyfrowania wiadomości i plików. Są to programy: Asrar al-Mujahideen (arabska nazwa wspomnianego już wyżej Mujahideen Secrets), Asrar al-Dardashah, Mobile Encryption i Amn al-Mujahid, które wg dzihadystów działają tak samo jak szyfrowanie PGP. Powstawały one na przestrzeni kilku lat. Takie informacje pojawiły się także w Inspire – anglojęzycznym magazynie Al-Kaidy na Półwyspie Arabskim (AQAP).

Użycie tych programów pozostawia jednak wątpliwości, gdyż nie poddano ich szerszej analizie cyberbezpieczeństwa, w przeciwieństwie do powszechnych rozwiązań szyfrujących open source. Oznacza to, że nie są pozbawione błędów ani luk w zabezpieczeniach. Dla przykładu – każda wiadomość wysłana za pośrednictwem z Asrar al-Mujahideen jest oznaczona nazwą oprogramowania, co powoduje, że jest łatwym celem dla agencji wywiadowczych. Wg Al Risalah w miarę przyzwoitą (z punktu widzenia bezpieczeństwa) aplikacją do przesyłania wiadomości jest Telegram i Surespot do kontaktowania się z przedstawicielami Global Islamic Media Front (GIMF).

Islamscy ekstremiści zakazują wręcz stosowania sprawdzonych, przetestowanych i niezawodnych metod szyfrowania (również tych dostarczanych przez urządzenia Apple) – Al Risalah pisze: „Niezwykle ważne jest, aby zachować ostrożność podczas korzystania z aplikacji, które nie zostały opracowane przez twoich braci ani nie są przez nich promowane w mediach dżihadystów„.

Organizacje islamistyczne

GIMF to islamistyczna organizacja propagandowa powiązana z grupą terrorystyczną Al-Kaida i innymi grupami dżihadystów. FBI określa ją mianem organizacji „podziemnych mediów”. Specjalizuje się w produkcji materiałów prasowych dla dżihadystów przeznaczonych do dystrybucji. Jest to jedna z kilku organizacji, których dżihadyści używają do rozpowszechniania informacji za pośrednictwem Internetu, w tym znanego As-Sahab. Ich celem jest „obserwacja wiadomości Mudżahedinów i inspirowanie wierzących„.

GIMF ma bezpośredni precedens w dwóch platformach propagandowych Global Islamic Media Group (GIMG) i Global Islamic Media Center (GIMC). Pierwsza była listą dystrybucyjną w 2001 roku w jednej z przestrzeni grup wirtualnych oferowanych bezpłatnie przez Yahoo użytkownikom kont e-mail, później powstała strona internetowa. Dostęp do jej materiałów wymagał hasła. Szybko po utworzeniu GIMG liczba subskrybentów osiągnęła 7400, następnie zniknęła po ataku przez anonimowych hakerów. Druga grupa, GIMC ściśle związana z Ahmadem al-Wathiq Billah (autorem tekstów internetowych na temat strategii globalnego dżihadu). Global Islamic Media Front został po raz pierwszy uznany za przedłużenie Al-Kaidy w 2003 roku. Grupę nazwano Global Islamic Media (GIM), szybko zyskała ponad 7 tysięcy członków, z którymi komunikowała się Al-Kaida. Później grupę usunięto. Grupy były medium dla islamistycznej komunikacji ekstremistycznej.

Al-Kaida uznała GIM i jej zwolenników jako jedyne prawdziwe źródło komunikacji. W 2014 roku wydali wtyczkę o nazwie Asrar al-Dardashah do platform komunikacyjnych, takich jak Google Chat, Paltalk, Yahoo i MSN. Kierownictwo Al-Kaidy poinformowało wówczas swoich zwolenników, że informacje publikowane w internecie należy przesyłać przez GIM Yahoo! Group. Po jakimś czasie wtyczkę usunięto.

GIMF świadczy usługi tłumaczenia, konwertowania i rozpowszechniania filmów dżihadystów i ekstremistów. Rozpowszechnia materiały bezpośrednio z witryn macierzystych organizacji dżihadystów, a także materiały autoryzowane przez przywódców z witryn dżihadystów, gromadząc je w celu dystrybucji. Filmy są konwertowane do różnych rozmiarów i formatów, i przesyłane do bezpłatnych witryn hostujących pliki w celu łatwego pobrania dla odbiorców.

Szyfrowanie Al-Kaidy po wycieku Snowdena

Gdy dokonano analizy oprogramowania stworzonego przez Al-Kaidę, okazało się że zostało ono zainfekowane przez backdoory. Analizę przeprowadziła firma ReversingLabs, która dostarcza rozwiązania do wykrywania i analizy zagrożeń. Zwiększają one zdolność badanych organizacji do reagowania na incydenty, analizy ataków i weryfikacji oprogramowania. Innowacyjna i unikalna technologia automatycznej analizy statycznej, jaka jest stosowana przez ReversingLabs, ujawnia zagrożenia, które są niewidoczne dla konwencjonalnych produktów chroniących przed złośliwym oprogramowaniem.

W maju 2014 roku opublikowano artykuły dotyczące tego, jak Al-Kaida zmieniła sposób szyfrowania po wycieku Edwarda Snowdena w 2013 roku, co wzbudziło zainteresowanie mediów takich jak The Wall Street Journal, The Telegraph, Politico, Ars Technica, Threatpost, oraz pojawienie się komentarzy znanych ekspertów. W ciągu kolejnych 5 miesięcy zaobserwowano zwiększone tempo powstawania nowych konkurencyjnych platform dżihadystów a także nowych narzędzi szyfrowania używanych przez różne organizacje (GIMF, Komitet Techniczny Al-Fajr oraz ISIS).

Al-Fajr, jedno z medialnych ramion Al-Kaidy, opublikował na swojej stronie internetowej na początku czerwca 2014 roku nową aplikację szyfrującą na Androida, nawiązując do „najnowszych osiągnięć technologicznych”, zapewniając szyfrowanie 4096-bitowym kluczem publicznym.

GIMF również uruchomiło nową wersję swojego oprogramowania na Androida – Tashfeer al-Jawwal. Można zauważyć, że jest to kontynuacja prac na urządzenia mobilne i Androida. To oprogramowanie szyfrujące, wydane trzy miesiące po wycieku Snowdena. Prawdopodobnie w tym oprogramowaniu używany jest algorytm szyfrujący Twofish z łańcuchem bloków szyfrujących, który ma taką samą siłę jak algorytm Advanced Encryption Standard (AES). Wykorzystuje do szyfrowania krzywą eliptyczną do wymiany kluczy z kluczami zakodowanymi do 192-bitowej długości.

Członkowie AQ zachowują jednak ostrożność, zwłaszcza w obliczu szybko rozwijającej się współpracy globalnych firm z międzynarodowymi agencjami wywiadowczymi, w zakresie wykrywania danych przesyłanych przez smartfony.

Początki szyfrowania przez islamistów

Od momentu pojawienia się pierwszego iPhone’a w 2007 roku rozpoczął się dynamiczny rozwój technologii i urządzeń mobilnych. Telefony komórkowe przeszły transformację, stając się smartfonami, czyli przenośnymi urządzeniami. To one stanowią główne narzędzie używane do komunikacji przez dżihadystów.

Zanim Państwo Islamskie zaczęło używać zaawansowanych technologicznie metod komunikacji, do szerzenia swojej propagandy wśród mieszkańców zamieszkujących Syrię i Irak wykorzystywało ulotki oraz gazetki i billboardy rozprowadzane w dużych miastach. Następnie rozpoczęło nadawanie w 13 prowincjach audycji radiowych zawierających różne treści: od wiadomości po kazania, modlitwy, poezję, po emitowanie treści poradników dla dżihadystów. Ponieważ IS rosło w siłę i zwiększało swój obszar działania, trzeba było wprowadzić bardziej zaawansowane i bezpieczne środki komunikacji.

Podejrzenie o używanie szyfrowanych metod komunikacji pojawiło się po atakach w Paryżu 13. listopada 2015 roku, kiedy bojownicy Państwa Islamskiego zamordowali 130 osób. Śledczy nie znaleźli jednak żadnego śladu w mediach społecznościowych, w poczcie elektronicznej – zupełnie nic… Czy to możliwe w obecnych czasach?

Dowody na używanie szyfrowego oprogramowania przez islamskich ekstremistów

Jedni uważają, że brak śladów wynika z tego, że terroryści nie komunikowali się za pośrednictwem poczty elektronicznej ani mediów społecznościowych, gdyż porozumiewali się wyłącznie osobiście lub za pomocą tzw. burn phones, używanych często tylko do jednej rozmowy, a następnie wyrzucanych. Inni uważają, że terroryści używali szyfrowanej komunikacji. Na potwierdzenie tego istnieją dowody. Wielu świadków, ataku terrorystycznego, którym udało się uciec, zgodnie twierdzi, iż widzieli zamachowców otwierających laptopa i korzystających z niego w trakcie ataku terrorystycznego, chcąc się połączyć z Internetem. Inni świadkowie twierdzą, że widzieli na ekranie laptopa zamachowca dziwny kod. Podejrzewa się, iż chodzi o program szyfrujący TrueCrypt.

Francuski wywiad

W 2015 roku francuski wywiad roku schwytał obywatela Francji – Redę Hame’a, który opuścił Syrię aby przeprowadzić atak terrorystyczny we Francji. Hame twierdził że wyjechał do Syrii aby wstąpić do IS w celu podjęcia walki z reżimem Bashara al-Assada. Tam skierowano go na szkolenie dla bojowników przygotowywanych do przeprowadzania ataków w krajach zachodnich. Był idealnym kandydatem do tej misji – miał obywatelstwo francuskie, zaś z wykształcenia był informatykiem. Otrzymał nośnik USB zawierający program CCleaner (miał usuwać historię przeglądanych stron), oraz program TrueCrypt (wtedy jeszcze bezpieczny). Hame otrzymał też instrukcje dotyczące bezpiecznych sposobów komunikowania się. Najpierw miał zaszyfrować wiadomość przy wykorzystaniu programu TrueCrypt, następnie przenieść ją do folderu na wirtualnym dysku w komercyjnej tureckiej chmurze, do którego dostęp posiadał Abdelhamid Abaaoud (scenarzysta zamachów w Paryżu). Zabroniono mu wysyłania zaszyfrowanej wiadomości za pomocą poczty elektronicznej. Mógłby bowiem pozostawić za sobą ślad w postaci informacji kiedy i z kim się komunikował.

Reda Hame określił folder w chmurze jako martwą skrzynkę kontaktową – miejsce na pozostawianie wiadomości dla drugiej osoby. Opisał też środki bezpieczeństwa stosowanych w komórkowej łączności telefonicznej. Nakazano by kontaktował się na turecki numer telefonu komórkowego, znajdującego się na terenie Syrii w zasięgu tureckiego operatora komórkowego. IS obawiało się, że służby bezpieczeństwa skupią się na podsłuchu połączeń z Europy do Syrii niż z Turcji. Hame po przybyciu do Pragi miał wynająć pokój w hotelu kupić czeską kartę komórkową pre-paid. Następnie miał wysłać pojedynczy sygnał na wskazany turecki numer do Syrii. Dla Abaaouda miało to oznaczać, że Reda Hame osiągnął kolejny etap misji. To zainicjowałoby użycie folderu wirtualnego dysku w chmurze i przekazanie dalszych instrukcji. Francuski informatyk nie zdołał wykonać swojej misji, ponieważ inny bojownik, schwytany w Hiszpanii, zdradził plany i miejsce przebywania Hame’a. Francuska policja dotarła do mieszkania, gdzie znaleziono nośnik USB z kartką zawierającą hasło do programu TrueCrypt.

Odkrycie francuskich służb potwierdza, że dżihadyści używali szyfrowania podczas wymiany informacji. Eksperci od cyberprzestępczości po przeanalizowaniu tych faktów mają wątpliwości, czy to było możliwe. Wymagałoby to bowiem zaszyfrowania całej zawartości dysku, a następnie załadowania go do wirtualnego dysku w chmurze. Przez to pozostałyby cyfrowe ślady podczas każdego ładowania danych. New York Times opublikował informację, że według policji i przesłuchań świadków nie znaleziono żadnych śladów wymiany korespondencji elektronicznej między terrorystami.

Znalezisko w Brukseli

Dowód na to, że IS stosuje szyfrowane formy komunikacji, przyniosło także śledztwo po ataku w Brukseli. W wynajmowanym przez zamachowców mieszkaniu znaleziono laptopa. Po jego sprawdzeniu stwierdzono że był prawdopodobnie używany do planowania ataków terrorystycznych. Większość zawartości dysku trwale usunięto w taki sposób, że nie można odzyskać zapisanych na nim treści. Ponadto wszystkie dane zabezpieczono za pomocą powszechnie dostępnego programu szyfrującego. Terroryści używali oprogramowania zapewniającego anonimowość i usuwającego wszelkie ślady obecności pozostawione w sieci.

Dzięki wykorzystaniu najnowszego oprogramowania, śledczym udało się jednak odzyskać istotne dane. Uzyskali informacje na temat skasowanych plików, ich nazwy i czas kiedy ostatnio były używane. Choć większość danych pozostała poza ich zasięgiem, to odzyskany materiał dowodowy odgrywa istotną rolę w dalszych działaniach antyterrorystycznych. Na wspomnianym dysku znaleziono materiały propagandowe, zawierające m.in. nagrania Osamy bin Ladena oraz duchownego Anwara al-Awlakiego. Niektóre odzyskane pliki wskazują, iż grupa interesowała się bronią, fałszowaniem dokumentów, ładunkami wybuchowymi, inwigilacją oraz metodami jej zapobiegania. Uzyskano metadane z trwale usuniętych plików. Jeden z plików ujawniał, że datę ataku wybrano wcześniej, zawierał też opis grup bojowych.

Śledczym dodatkowo udało się odzyskać pliki audio zawierające raporty na temat postępów grupy w przygotowaniu ataków oraz ładunków wybuchowych. Odkrycie to dowodzi, że dżihadyści są świadomi, iż dane pozostawione na dyskach komputerów stanowią niebezpieczne narzędzie w walce z nimi, jeśli dostaną się w ręce służb bezpieczeństwa. Jednak mimo stosowania przez nich szczególnych środków ostrożności, śledczym udaje się dojść do niektórych śladów dzięki wykorzystaniu najnowszych technologii i oprogramowania.

Dostęp do sieci i wysyłka wiadomości – do jakich narzędzi zaczęli przekonywać się dżihadyści?

Z biegiem lat można zauważyć duży rozwój grup ekstremistycznych pod kątem używania bezpiecznego oprogramowania i narzędzi cyfrowych. W 2014 roku w raporcie grupy Flashpoint zajmującej się cyberbezpieczeństwem podano informacje o narzędziach służących do przeglądania sieci i wysyłania wiadomości używanych przez ekstremistów.

Tor – wirtualna sieć opracowana przez US Naval Research Laboratory w latach 90. XX wieku, aby pomóc jednostkom wojskowym w utrzymywaniu kontaktu podczas globalnego konfliktu. Tor anonimizuje połączenia z Internetem, utrudniając szpiegom wykrycie, kto odwiedza daną witrynę. Wg Flashpoint popularność Tora gwałtownie wzrosła na forach dżihadystów Deep and Dark Web. W 2013 roku Edward Snowden udowodnił, że NSA może szpiegować ruch sieci Tor za pomocą programu o nazwie XKEYSCORE. W 2014 roku niemiecki serwis informacyjny Tagesschau przeszukał kod źródłowy Tor i stwierdził, że NSA obserwuje dziewięć serwerów Tor. Następnie przeprowadziła inspekcję pakietów każdego, kto uzyskuje dostęp do Tor poza Australią, Wielką Brytanią, Kanadą, Nową Zelandią i Stanami Zjednoczonymi.

Grupy ekstremistów zaczęły korzystać z wirtualnych sieci prywatnych lub VPN, które szyfrują ruch między komputerami. W 2012 roku Al-Kaida o korzystała z bezpłatnej sieci VPN CyberGhost. Ale obecnie decydują się na płatną subskrypcję lepszej usługi VPN ostrzegając lojalistów, by trzymali się z daleka od tanich VPN.

Aplikacja do bezpiecznego przesyłania wiadomości Telegram nie wymaga specjalnych umiejętności technicznych aby zainstalować ją na urządzeniach. Telegram zaczął być używany między innymi przez ISILI (salaficka organizacja terrorystyczna, samozwańczy kalifat) do ukrywania działań.

Hushmail – zaszyfrowana usługa e-mail, z której stowarzyszone z Al-Kaidą Ibn Taymiyyah Media Center zaczęło korzystać w 2013 roku. Dagestańska grupa Mudżahedinów wykorzystuje je w parze z PayPal w celu zbierania funduszy.

Yopmail, telefon do nagrywania poczty elektronicznej. Udostępnia użytkownikom adres e-mail, z którego mogą korzystać przez osiem dni bez rejestracji. Po atakach w Paryżu gdy zwrócono się do ISIS, oddział al-Kaidy w Jemenie wykorzystał Yopmail do opublikowania wiadomości dźwiękowej o atakach.

Kolejny bilans Flashpointa

W 2016 roku Firma Flashpoint opublikowała kolejny raport Tech for Jihad: Dissecting Jihadists’ Digital Toolbox. Wymieniła w nim najpopularniejsze narzędzia coraz częściej wykorzystywane przez dżihadystów. Wg raportu – nie należy rozpatrywać ich wyłącznie w kontekście terroryzmu. Z podobnych metod korzysta się tam, gdzie komunikacja sieciowa została poddana rządowej cenzurze (tu znów przykład Edwarda Snowdena).

Komunikacja

Prócz forów w sieci Tor, Dark i Deep Web najczęstszym medium stosowanym do wymiany informacji jest Facebook, Twitter, oraz komunikatory (Telegram, WhatsApp, Threema, Asrar al-Dardashah).

Dla agencji wywiadowczych kontrola kont pocztowych to podstawowy sposób monitorowania przestępców. Terroryści szyfrują swoje wiadomości i korzystają z tymczasowych kont pocztowych.

Wśród najpopularniejszych tego typu usług jest Hushmail. Zwiększone bezpieczeństwo zapewnia szyfrowanie oparte na standardzie OpenPGP, plus dwuetapowa weryfikacja uwierzytelniania i nieograniczona liczba aliasów. Zidentyfikowano kilka jednostek przestępczych, które od roku 2013 korzystały z Hushmail. Jedną z nich jest grupa Ibn Taymiyyah Media Center reprezentująca zwolenników Al-Kaidy oraz Dagestani Mujahideen. Hushmail często wykorzystywany był do pozyskiwania funduszy za pośrednictwem płatności PayPal.

Dużym uznaniem cieszy się również dostawca poczty ProtonMail – szwajcarski serwis webmail oferujący szyfrowane usługi poczty elektronicznej. Pracownicy serwisu nie mają dostępu do treści wiadomości przesyłanych i odbieranych przez użytkowników ProtonMail gdyż szyfrowanie odbywa się po stronie klienta.

Do ukrywania się w sieci dżihadyści stosują serwery proxy oraz m.in oprogramowanie VPN CyberGhost. Ponieważ usługa VPN jest konieczna – najpopularniejszym tego typu programem dla urządzeń mobilnych jest F-Secure FREEDOME VPN.

Aplikacje

Najpopularniejszy antywirus wśród terrorystów to ESET Mobile Security.

Aby zmylić wbudowane w telefony GPS-y islamiści używają aplikacji Fake GPS. Do tego bloker wiadomości tekstowych i połączeń telefonicznych (Call/SMS Blocker), menadżer aplikacji (APP Manager), niszczarkę do permanentnego usuwania danych (iShredder Pro), szyfrowanie adresów DNS (DNSCrypt), firewall nie wymagający roota (Net Guard) i oczywiście VPN (F-Secure Freedome). A ponieważ wszystkie te aplikacje zjadają w bardzo szybkim tempie energię – żeby oszczędzić baterię przydaje się Battery Saver.

Wykorzystanie Internetu

Państwo Islamskie wykorzystuje Internet do swoich celów prowadząc wojnę w sieci i wykorzystując do tego urządzenia mobilne, oraz media społecznościowe. Tweety ze zdjęciami i filmami z egzekucji sieją postrach, zaś media społecznościowe służą jako narzędzie do prowadzenia rekrutacji online.

Dżihadyści wiedzą, że nie każde medium jest bezpiecznym środkiem komunikacji, dlatego do komunikowania się używają protokołu OTR (Off The Record), zapewniającego pełne szyfrowanie na całej drodze przesyłu informacji (end-to-end encryption).

Terroryści z Państwa Islamskiego są świadomi tego, że amerykańskie agencje rządowe podsłuchują ruch internetowy na amerykańskich komunikatorach (fizycznie używając amerykańskich serwerów), tj. WhatsApp czy iMessage, zatem ich unikają, koncentrując się na mniej popularnych lub bezpieczniejszych komunikatorach. Aby uniknąć niechcianej inwigilacji, potrzebują medium, które jest niezależne od USA oraz jest narzędziem open source, czyli z możliwością sprawdzenia kodu źródłowego. Istnieje podejrzenie, że Państwo Islamskie stworzyło własną aplikację do bezpiecznego komunikowania się, jednakże nie znaleziono na to żadnych dowodów.

Agencje wywiadowcze wielu krajów próbują dowiedzieć się, w jaki sposób IS wykorzystuje Internet w swojej działalności. W szeregach IS znajduje się wysoce wyspecjalizowana grupa ludzi zdolna przeprowadzać ataki hakerskie przeciwko swoim wrogom. Śledząc adresy IP, znaleziono ślady prowadzące nie tylko do Syrii czy Iraku, ale również do Turcji i Kataru. Grupa publikuje w sieci poradniki dotyczące sposobów maskowania się w Internecie, by nie zostawiać najmniejszych śladów obecności i tym samym uniemożliwić identyfikację oraz uchronić się przed namierzeniem przez służby bezpieczeństwa.

Poradnik bezpieczeństwa dla zwolenników Państwa Islamskiego

Zespół Combating Terrorism Center z Akademii Wojskowej West Point w trakcie przeszukiwania forów i mediów społecznościowych odkrył poradnik bezpieczeństwa w sieci dla zwolenników Państwa Islamskiego. Dokument został napisany w 2014 roku po arabsku przez zajmującą się bezpieczeństwem kuwejcką firmę Cyberkov. Stworzono go w celu ochrony prywatności i źródeł informacji dziennikarzy oraz działaczy politycznych ze Strefy Gazy. Jednak Państwo Islamskie zaadaptowało poradnik na swój użytek. Dokument zawiera zbiór przydatnych porad dotyczących sposobu ochrony swojej prywatności, danych, kontaktów, miejsca położenia oraz bezpiecznej komunikacji w dobie nowoczesnych technologii.

Według autorów poradnika, konta pocztowe Google są bezpieczne pod warunkiem, że są utworzone na bazie fałszywych danych użytkownika, a dostęp do nich jest realizowany dzięki sieciom Tor lub VPN, pozwalających na anonimowość w sieci. Zaleca się wyłączanie automatycznej lokalizacji GPS w smartfonach, gdyż może to zdradzić położenie bojowników. Odradza używanie Instagramu, WhatsAppa oraz Skype’a i Dropboxa, ocenianych jako mało bezpieczne. Zaleca się stosowanie mocnych haseł i nieotwieranie podejrzanych linków internetowych. W poradniku znajdziemy również wskazówki do konfiguracji sieci Wi-Fi. Do przesyłania zdjęć i krótkich wiadomości zaleca się używanie takich aplikacji, jak FireChat (jej rozwój został zakończony w 2018 roku), działającej bez łączności z Internetem. W celu prowadzenia bezpiecznej komunikacji rekomenduje się stosowanie połączeń VPN. Zaskoczeniem dla grupy badaczy z West Point było to, że w poradniku nie znaleźli śladów samodzielnie tworzonych programów do szyfrowania wiadomości.

Poradnik nie jest jedynym środkiem pomocy, jaki dżihadyści otrzymali od Państwa Islamskiego. Prawdopodobnie istnieje 24-godzinne wsparcie techniczne online, całodobowy „helpdesk”.

Najpopularniejsze narzędzia wykorzystywane przez islamskich ekstremistów do ukrywania tożsamości w sieci, komunikacji, przeglądania stron i szyfrowania danych.

Maskowanie w sieci i ochrona prywatności

Członkowie IS do ukrywania swojej aktywności w sieci, m.in. historii odwiedzanych stron, wykorzystują tzw. mroczną część internetu (Deep and Dark Web). Oczywiście w celu rozpowszechniania nielegalnych działań. Aby dostać się do tych zasobów, muszą zastosować konkretną przeglądarkę lub aplikację. Jednym z pierwszych elementów szkolenia związanego z bezpiecznym poruszaniem się w sieci jest kształcenie nowo wcielonych członków używania sieci Tor.

Aby ukryć prawdziwy adres IP, Tor wykorzystuje kryptografię, wielowarstwowo szyfrując przesyłane komunikaty i zapewniając poufność szyfrowania między routerami. Są podejrzenia, że dżihadyści zapisują sobie przeglądarkę Tor na przenośnym dysku pamięci Flash. Następnie używają jej w publicznych miejscach, jednocześnie ukrywając swoje ślady w sieci. Onion jest mobilną wersją Tora na iPhone’y i iPady. Jego odpowiednikiem na Androida są aplikacje Orweb oraz Orfox. Innymi polecanymi w poradniku bezpieczeństwa przeglądarkami internetowymi są Aviator oraz Opera Mini.

• Avast SecureLine VPN – służy do maskowania obecności w sieci
• Mappr – używany w celu zmiany danych o lokalizacji, aby nie ujawniać miejsca wykonywanych zdjęć
• Locker – automatycznie kasuje pliki i usuwa prywatne dane ze smartfona
• D-Vasive Pro – usuwa uprawnienia niektórych aplikacji do używania GPS, kamery, mikrofonu, Bluetooth i Wi-Fi aby zmniejszyć ryzyko podsłuchu
• iShredder Pro – całkowicie usuwa dane zapisane na urządzeniu mobilnym

Komunikatory internetowe używane przez islamistów

Często są bezpłatne i wygodniejsze niż np. SMS. Poza zwykłym tekstem, można wysyłać zdjęcia, gify, a nawet wideo. Wiadomości przesyłane za pomocą niektórych komunikatorów są szyfrowane.

Wymiana informacji za pomocą komunikatorów internetowych narażona jest na ataki cyberprzestępców, hakerów oraz podsłuchiwanie ze strony władz. Dlatego terroryści Państwa Islamskiego używają komunikatorów zapewniających pełne szyfrowanie.

Po atakach w Paryżu podejrzenia padły na Telegram. Za pośrednictwem tej aplikacji IS poinformowało swoich bojownikόw i zwolennikόw jak mają się chronić się przed cyberatakami zapowiadanymi przez grupę hakerόw.

• Telegram – służy do publikowania i udostępniania postów, wysyłania wiadomości, zdjęć, filmów i plików w różnym formacie nawet do 200 użytkowników
• Threema – komunikator stosujący pełne szyfrowanie (end-to-end, czyli przechowywane na urządzeniach użytkowników klucze szyfrujące)
• SureSpot – nie jest powiązany ani z numerem telefonu, ani adresem e-mail. Pozwala stworzyć wiele profili na jednym urządzeniu, np. do prowadzenia kilku konwersacji jednocześnie, z wykorzystaniem różnych tożsamości
• Wickr – pozwala użytkownikom wysyłać samoniszczące się wiadomości. Jeśli nadawca wysłanej wiadomości usunie ją na swoim urządzeniu – zostanie ona usunięta ze wszystkich innych urządzeń, na których się znajdowała. Stosuje pełne szyfrowanie
• Cryptocat – posiada mechanizm przeciwdziałania atakom hakerskim „man-in-the-middle”. Polega on na podsłuchiwaniu i modyfikacji wiadomości przesyłanych pomiędzy dwiema komunikującymi się stronami bez ich wiedzy
• IO SwissCom – posiada funkcję komunikatora internetowego, z którego można prowadzić live chat i wideoczat z innymi rozmówcami
• Post-Quantum – zapewnia bezpieczną komunikację i zabezpiecza transakcje finansowe
• Sicher – komunikator internetowy z funkcją samozniszczenia wiadomości
• KIK – komunikator, w którym nie trzeba podawać numeru telefonu do rejestracji, wystarczą tylko imię, nazwisko, adres e-mail i rok urodzenia
• iMessage – jeden z nielicznych programów amerykańskiego pochodzenia polecany do użycia przez bojowników Państwa Islamskiego
• Twitter – wykorzystywany przez Państwo Islamskie jako narzędzie do szerzenia propagandy, rekrutacji nowych zwolennikόw/bojownikόw oraz zbierania informacji
• WhatsApp – obecnie nie polecany przez dżihadystów, ale kiedyś był przez nich używany

Programy szyfrujące dane zapisane na nośnikach

• Windows BitLocker – program szyfrujący, wbudowany w wyższe wersje systemu operacyjnego Microsoft
• VeraCrypt – zapewnia szyfrowanie zarówno całego dysku, pojedynczych partycji, jak i przenośnych dysków USB

Przenośne dyski

Zaskakującym rozwiązaniem jest stosowanie przez dżihadystów przenośnych dysków USB (pendrive’ów). Do ich zawartości można się dostać po wprowadzeniu poprawnego kodu PIN.

• DatAshur – nośnik brytyjskiej firmy iStorage. Przechowywane na nim dane zabezpieczone za pomocą kodu PIN oraz mocnego szyfrowania. Nośnik datAshur jest wyposażony w akumulator, który umożliwia wprowadzenie kodu PIN za pomocą klawiatury znajdującej się na obudowie. DatAshur blokuje się automatycznie, gdy zostanie odłączony od komputera lub od zasilania.

Telefonia internetowa wykorzystywana przez dżihadystów

Skype jest jedną z najpopularniejszych aplikacji używanych do prowadzenia rozmów i wideo-rozmów przez Internet. Jednak islamiści wolą bezpieczniejsze aplikacje, takie jak Zello, Signal czy Facetime.

• Signal – połączenie RedPhone oraz TextSecure, jest jedną z najbezpieczniejszych aplikacji używanych do szyfrowanej komunikacji przez telefon przy wykorzystaniu internetu (VoIP)
• FaceTime – połączenia wideo są szyfrowane i niedostępne dla nikogo poza rozmówcami
• Zello – tworzenie kanałów (chronionych hasłem), za pomocą których można przesyłać do siebie zaszyfrowane komunikaty głosowe. Zamienia smartfona w walkie-talkie, a do jego użycia wystarczy dostęp do Internetu

Chmury internetowe

To serwisy internetowe wykorzystywane do zdalnego ładowania, przechowywania, synchronizacji i dzielenia się informacjami w postaci dokumentów, zdjęć i filmów wideo. Dzielenie się dostępem/zarządzanie uprawnieniami polega na wysłaniu linku do dokumentu zapisanego w chmurze lub przesłanie linku z hasłem.

• Mega.io – przechowywane tu dane są zaszyfrowane po stronie użytkownika i pozostają w pełni bezpieczne, niedostępne nawet dla administratorów
• SpiderOAK – ciągła i automatyczna synchronizacja danych online na nieograniczonej liczbie komputerów, wysoki poziom prywatności
• SugarSync – synchronizacja plików i folderów między urządzeniami/komputerami oraz tworzenie kopii zapasowych, wygodne zarządzanie dostępem i uprawnieniami
• Copy.com (zamknięty w 2016 roku) – synchronizacja danych na wielu urządzeniach użytkownika prosta obsługa na komputerach i smartfonach

Szyfrowana poczta elektroniczna

Szyfrowana poczta elektroniczna zapewnia bezpieczeństwo i prywatność w komunikacji. Zalecanymi dostawcami usług poczty elektronicznej dla dżihadystów są firmy nieamerykańskie. Największą popularnością cieszą się Hushmail i ProtonMail.

• Hushmail (Kanada) – nawet jej pracownicy mający fizyczny dostęp do serwerów nie są w stanie odczytać szyfrowanych maili klientów
• ProtonMail (Szwajcaria) – treść wiadomości jest w pełni bezpieczna i może ją odczytać tylko jej odbiorca. Dane są zaszyfrowane, dostęp do nich można uzyskać, posiadając hasło. Wysyłanie maili z określonym terminem ważności ulegają samodestrukcji
• Tutanota (Niemcy) – szyfrowanie maili, w których szyfrowana jest treść, załączniki i temat wiadomości

Inne komunikatory

Na rynku aplikacji dostępne są darmowe komunikatory. Można ich używać na urządzeniach mobilnych nawet bez dostępu do sieci telefonii komórkowej czy Internetu:

• FireChat (rozwój zakończony w 2018 roku) – nie łączy się ze stacją bazową/przekaźnikową telefonii komόrkowej. Szuka innych urządzeń w zasięgu anteny Wi-Fi i Bluetooth smartfona z zainstalowanym FireChatem. Po ich znalezieniu powstaje rodzaj połączenia sieciowego (mesh network). Za jego pomocą można przesyłać wiadomości tekstowe nawet na odległość do 200 metrów. Odpowiada za to funkcja retranslacji, czyli przekazywania sygnału/komunikatu przez urządzenie pośrednie.
• Tin Can – działa podobnie jak FireChat i również jest komunikatorem tekstowym, ale działa na Androidzie. Wiadomości nie ujawniają danych nadawcy i nie są szyfrowane.
• Serval Project – jest komunikatorem głosowym i tekstowym (tylko na Androida)
• CryptoPhone – produkt niemieckiej firmy GSMK, zapewnia łączność szyfrowaną dla osób prywatnych, firm, organizacji i rządów
• BlackPhone – odporny na szpiegowanie smartfon szwajcarskiej firmy Silent Circle
• Al-Bayan Radio – aplikacja mobilna stworzona przez IS dla IS. Umożliwia odsłuch radia internetowego, w którym jest szerzona propaganda dżihadystów
• Battery Saver – aplikacja wykorzystywana do wydłużania życia akumulatora w smartfonach

Nasilone kontrole w sieci

W programie unijnych przedsięwzięć znajduje się postulat wprowadzenia bardziej skutecznej kontroli islamistycznych treści rozpowszechnianych za pośrednictwem Internetu oraz mediów społecznościowych. Eksperci są zdania, że szczególnie młodzi ludzie coraz bardziej radykalizują się, oglądając przepełnione nienawiścią do Zachodu wypowiedzi islamistów. W UE trwa dyskusja o umożliwieniu tajnym służbom dostępu do zaszyfrowanych treści, przekazywanych przez określone komunikatory internetowe. Poparcie dla tego pomysłu jest jednak ograniczone, ponieważ może on prowadzić do ograniczenia swobody komunikowania się i najrozmaitszych nadużyć.

Podsumowanie

Analizując sposób, w jaki dżihadyści wykorzystują różnego rodzaju narzędzia do komunikacji, można stwierdzić, że to technologicznie rozwinięta organizacja. Potrafi wykorzystać najnowsze odkrycia technologiczne do własnych celόw. Dzięki temu członkom IS udaje się uchronić przed inwigilacją przez służby bezpieczeństwa.

Eksperci od cyberprzestępczości uważają, że członkowie IS stosują szczególne środki bezpieczeństwa wychodzące poza zwykłe szyfrowanie (patrz wyżej). Wiedzą, że aplikacje zainstalowane na serwerach amerykańskich są mniej bezpieczne. Dlatego unikają tych, których serwery mieszczą się w USA. Chcą zmniejszyć do zera ryzyko związane z kontrolowanym wyciekiem informacji i współpracą firm świadczących usługi komunikacyjne z amerykańskimi służbami. Im mniej popularna i mało znana jest dana aplikacja, tym lepiej dla bojownikόw IS. Porozumiewanie się za pomocą popularnych komunikatorόw zwiększa prawdopodobieństwo bycia „podsłuchiwanym w sieci”. Organizacje, chcące podsłuchać czaty terrorystόw, najpierw obierają za cel najpopularniejsze komunikatory.

Najgroźniejszą bronią w rękach dżihadystów stały się dostępne środki komunikacji. Mając to na uwadze, należy być świadomym, że to grupa zbrojna ery Internetu, Facebooka, smartfonów i wiadomości tekstowych. Aby wygrać walkę z Państwem Islamskim w sieci należy zadbać o międzynarodową współpracę rządów i agencji bezpieczeństwa na wszystkich możliwych szczeblach. Ponadto firmy komercyjne muszą się zaangażować przez udzielanie pomocy służbom bezpieczeństwa. Ścigani przez agencje rządowe bojownicy nie mogą znajdować schronienia w niedostępnych zakamarkach Internetu, tworzonych i utrzymywanych przez firmy komercyjne. Rządy i firmy komercyjne muszą zdecydować, czy stawiają na bezpieczeństwo, czy na wolność i swobodę w komunikowaniu się.