Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#OpSyria (Saison 5) : sur la piste des Fortigates syriens

Le Blue Cabinet de Telecomix, c'est l'observatoire des sociétés de surveillance électronique. Nous vous avions déjà parlé sur Reflets de la présence de Fortigates (appliance Fortinet) en Syrie. Nous soupçonnions cette entreprise d'avoir fourni du matériel utilisé pour du filtrage de contenus à grande échelle sur l'Internet syrien. On pourrait croire que les massacres mettraient un frein à l'exportation de ce genre de solutions par des entreprises occidentales, tout spécifiquement européennes.

Le Blue Cabinet de Telecomix, c'est l'observatoire des sociétés de surveillance électronique. Nous vous avionsdéjà parlé sur Reflets de la présence de Fortigates (appliance Fortinet) en Syrie. Nous soupçonnions cette entreprise d'avoir fourni du matériel utilisé pour du filtrage de contenus à grande échelle sur l'Internet syrien. On pourrait croire que les massacres mettraient un frein à l'exportation de ce genre de solutions par des entreprises occidentales, tout spécifiquement européennes. Mais non, le business continue de plus belles comme les Syria files de Wikileaks le montrent, par exemple avec la présence de cette entreprise italienne qui ne semble pas décidée à cesser ses activités pour le compte du régime de Bachar Al Assad. Comme nous le confions tout récemment à TV5Monde, ceci ne nous surprend pas.

(English Version Here)

Ce sont donc au moins deux FortiGate 51-B qui tournent en Syrie pour opérer une censure à l'échelle du pays. Ce matériel n'est normalement pas destiné à ce type d'usage mais plutôt pour la protection et le filtrage réseau d'entreprises de taille moyenne indique Telecomix, notamment a cause de leur capacité volumétrique limitée en terme de débits, pas adapté au traitement du flux IP de tout un pays.

Les Fortigates peuvent être configurés pour intercepter n'importe quel type de trafic en observant ses en-têtes ou sa charge utile (payload, ou contenu du paquet) avec des signatures customisables. Ce document décrit ce système de prévention d'intrusions et son mécanisme d'inspection en profondeur de paquets (DPI) de FortiOS - le système d'exploitation des FortiGates - il utilise des signatures applicatives pré-configurées, permet l'ajout de nouvelles et adapte des règles de comportement en fonction du trafic détecté. Ces équipements peuvent aussi être utilisés à des fins de traffic shaping, c'est justement l'un des points qui nous intéresse le plus car c'est cet usage qui empêche les syriens de diffuser par exemple des matériaux vidéos.

Attendu que ces équipements opèrent de manière passive sur le réseau ils ne sont pas visibles (ne disposent pas d'IP accessible), ce qui rend leur présence compliquée à détecter.

Les preuves techniques

Symptômes**  vus de l'intérieur**

Les symptômes observés en Syrie indiquent assez clairement l'utilisation d'équipement de Deep Paquet Inspection même si par nature peu de données nous permettent d'être plus précis dans nos conclusions. En dehors du blocage de certains ports en TCP comme en UDP et de certains protocoles IP, des personnes ont remarqué sur place , dans plusieurs villes, que les connexion OpenVPN ne sortaient plus du pays (peu importe les ports utilisés). Le protocole utilisé par OpenVPN peut être détecté à des fins de blocage par les premiers bits envoyés à l'établissement d'une connexion (en code hexadécimal) :

00 0E 38

Ajouter une telle signature à FortiOS est une formalité, le Fortigate 51-B sera donc en mesure, à la détection de cette signature, de décider de fermer la connexion, et donc de bloquer toute connexion OpenVPN ainsi initiée.

Symptômes vus de l'extérieur - Le 13 octobre 2011, un scan un scan de la STE (Syrian Telecommunications Establishment, dont nous vous parlions d'ailleurs hier) sur le serveur DNS primaire (82.137.192.141) semble conduire Nmap à reconnaitre la signature d'un équipement de type FortiGate. Attention, à ce stade il faut rester prudent car Nmap n'est pas infaillible dans ses détections. L'interprétation n'est pas non plus évidente mais on peut imaginer qu'un Fortigate est peut être placé en frontal du serveur DNS. - Le 5 juillet 2012 : un document d'architecture commence à tourner sous le manteau (merci OWNI), il nous permet d'avoir une vision plus claire du réseau de l'opérateur syrien, mais les IP ne sont plus à jour, il nous faut donc mettre des IP sur les machines du design de l'architecture. - Le 7 juillet 2012, un autre scan révèle la présence d'une console d'administration Fortigate sur l'IP 82.137.204.54. Cependant, cette adresse IP est assignée à une entreprise syrienne (Karkour), qui n'a probablement aucun rapport avec le backbone qui nous intéresse.

Nous ne trouverons pas d'autres traces d'appliances Fortigate, la manière dont elles opèrent (wiretaping au "cul" du réseau, sans adresse IP publique), peut probablement expliquer ceci.

Intelligence

Même si les preuves techniques demeurent pauvres, les symptomes observés de l'intérieur nous semblent matcher parfaitement avec nos théories. Ils nous a en outre été rapporté que deux FortiGates 51-B servaient à filtrer et bloquer du trafic à l'international. L'accès à leur administration, assuré par pas plus de 3 personnes, n'est pas accessible depuis le Net.

Livraison du matériel en syrie

Les Fortigates sont visiblement arrivés en Syrie avant le matériel de Bluecoat.

Des éléments, corrélés, et émanant de diverses sources semblent nous indiquer la manière dont ces appliances sont arrivées sur le territoire syrien, mais ils subsiste quelques zones d'ombre. Le matériel est probablement arrivé par les Emirats Arabes Unis, et la commande a été assurée par cette entreprise, basée aux Émirats :

Bassel Fakir company

Network Information Technology LLC

P.O. Box 23043

Dubai

United Arab Emirates

Tel: +971 4 2822522

Fax: +971 4 2827080

Cette entreprise a un site web public, et se présente comme un partenaire de Fortinet.

C'est le patron de d'INET, également patron de SCAN Syria (entreprise affiliée à une boîte malaysienne spécialisée dans la sécurité informatique, SCAN Associates). SCAN est d'ailleurs mentionnée comme un partenaire d' INET (mirroir, juste au cas où). INET se présente d'ailleurs comme le seul ISP syrien à être certifié par SCAN après avoir passé avec succès des tests d'intrusion.

Une gloriole bien amusante puisqu'il n'aura fallu à Reflets que quelques secondes pour être en mesure de recaler INET à sa certification maison...

Et si on se faisait renvoyer les passords des serveurs ?

Un whois sur la plage d'adresses IP d'INET IP (109.238.144.0 - 109.238.151.255) nous donne d'autres informations

person: Bassel Fakir

address: INET Internet Service Provider (INET)

address: Mohajreen - Damascus

address: Syrian Arab Republic

mnt-by: INETMNT-1

phone: +963 11 99 14

fax-no: +963 11 37 431 91

Bassel Fakir est probablement la personne qui a organisé la livraison des appliances Fortinet en Syrie. Il était le dirigeant d'INET jusqu'à au moins 2009 comme indiqué ici. Son nom apparait également sur les plages IP d'INET 212.11.208.0/21 et 109.238.144.0/21 dans "Charif, Fakir & Co". Son nom apparait ausis en contact de facturation sur le whois de scan.sy (en Arabe). Il est listé comme revendeur (lettre N) aux Emirats Arabes Unis pour Malaysian Scan Associates. Il a donc à la fois un pied en Syrie (INET, SCAN) et aux Émirats (NIT).

L'entreprise SCAN a les domaines scan.sy and scansyria.com. Les données de whois sont anonymisées par le registar malaysien.

Registrant Contact:

 Whoisprotection.cc 

 Domain Admin (reg_452246@whoisprotection.cc)

 Lot 2-1, Incubator 1, Technology Park Malaysia, Bukit Jalil

 Kuala Lumpur, Wilayah Persekutuan, Malaysia 57000

 P: +603.89966788 F: +0.0

Nos amis semblent aussi avoir un compte Twitter(screenshot) où ils semblent indiquer qu'ils aident les autorités syriennes (la finalité de leurs communication reste cependant incertaine, essayent-ils d'attirer l'attention sur la surveillance?). Le nom de l'un des ingénieurs est mentionné dans de récents tweets : Iyad Al Houshi. Ce nom apparait sur le site web d'une conférence datant de 2009, aux côtés de plusieurs autres personnes en relation avec le réseau syrien.

Le domaine scan.sy pointe sur 91.144.8.193, qui appartient au /24 attribué à INET.

scan.sy. 86400  IN  MX  10 mail.scan.sy.

scan.sy. 86400  IN  TXT "v=spf1 +a +mx -all"

scan.sy. 86400  IN  SOA ns6.inet.sy. iyad\.random.gmail.com. 1341447218 10800 3600 604800 10800

scan.sy. 86400  IN  NS  ns6.inet.sy.

scan.sy. 86400  IN  NS  ns5.inet.sy.

scan.sy. 86400  IN  A   91.144.8.193

Les Fortigates ont été initialement livrés et configurés pour tests dans les bureaux d'INET à Damas, actuellement situés dans le quartier de Muhajreen area (voir la carte). Ils ont été apparemment configurés par deux ingénieurs, un d'INET, l'autre de SCAN Syria.

Personnes en charge de la maintenance des appliances Fortinet

Plusieurs personnes compétentes sont en poste à SCAN Syria, certaines (toutes ?) ont étudié au Higher institute of applied Science and Technology (HIAST), un établissement dans lequel il n'est pas facile de rentrer (haut niveau, fidélité au regime et piston de gens bien placés sont des pré-requis). Voici les quelques informations disponibles sur le staff de SCAN.

Iyad Houshi

Iyad Houshi (Page Facebook) a étudié à HIAST, son profil et ses informations laissées sur  Twitter (ici et ) ne laissent aucun doute sur son support au régime et que ses compétences sont mises à disposition de ce dernier pour trouver et arrêter les opposants. Il a deux adresses email avec leur clé PGP associée : l'une de ses adresses apparait dans le  SOA de scan.sy (iyad.random@gmail.com), l'autre est hébergée par le domaine de Bassel Fakir, nit.ae (iyad@nit.ae). L'une de ses clés PGP est signée par Bassel Fakir, et vice versa, ceci indiquant qu'il se connaissent probablement et qu'ils se font mutuellement confiance. Iyad est probablement l'une des personnes les plus techniquement compétentes en Syrie. Il a participé à plusieurs conférences et donné des interview à des journaux. Il est connu comme ayant un bon niveau en cryptographie et en stéganographie.

INET et SCAN entretiennent des liens étroits, à minima les liens entre Iyad Al Houshi et Bassel Fakir. SCAN semble jouer un rôle central dans la surveillance de masse en Syrie

Fadi Almoussa

IL connait probablement Iyad (voir sa Page Facebook), il a également étudié au HIAST. Il n'est pas formellement avéré qu'il a participé à la maintenance des Fortigates, ni quelles sont ses orientations exactes vis à vis du régime syrien.

Loay Medani

Encore une  autre personne travaillant à "SCAN solutions", il a visiblement étudié au SVU (des sources contradictoires indiqueraient qu'il a également étudié au HIAST).

INET ISP Staff

Il nous a été reporté plusieurs fois qu'au moins une personne d'INET était affectée à la maintenance des appliances de Fortinet. Cette entreprise étant relativement importante, il n'est pas aisé de la localiser, on suppose toutefois qu'elle a des liens étroits avec des personnes de la société SCAN

Où se trouvent actuellement les Fortigates ?

Les Fortigates ont probablement été déplacés dans un nouveau Data Center afin d'être connectés au backbone du pays pour filtrer le trafic sortant. Certaines sources indiquent  qu'ils seraient au Muhajreen telephone exchange center (voir la carte). Cet immeuble serait l'endroit où est assuré l'interconnexion à l'international. Plus précisément, les Fortigates se trouveraient au second étage dans la partie nord de l'immeuble.

Nous soupçonnons la Branch 225 (les services de l'armée syriennes dédiés à la surveillance électronique) d'avoir des activités dans cet immeuble.

La présence de 190.sy et / ou d'un centre de terminaisons téléphoniques dans ce même bâtiment est une hypothèse, ce qui signifie que le centre d'échange 190.sy/téléphone pourrait se situer dans un autre bâtiment à proximité et que les dispositifs ont été peut-être déplacés dans le passé. Sinon, il s'agit d'un seul bâtiment, qui est partagé par plusieurs services, y compris la Branch 225 et du personnel des telcos locaux.

En outre, il est probable que les ingénieurs SCAN agissant pour améliorer la surveillance globale intervient dans l'immeuble ou opère la Branch 225 dans cette direction 225-exploité bâtiment. INET est également pas très loin (suivre la route vers l'est en direction de l'ambassade du Chili, mène directement à INET). La Branch 225 a probablement des cliens étroits avec tous les opérateurs de télécommunications dans le pays. Enfin, Bassel Fakir dispose du nom de domaine fakir.me, une adresse enregistrée qui est à quelques mètres du bâtiment des Fortigates (whois):

Registrant Name:Bassel Fakir

Registrant Organization:Inet

Registrant Address:Muhajereen, Shata, 3rd Block

Registrant City:Damascus

Registrant State/Province:Damascus

D'autres emplacements ont été suggérés ::

  • Au Baghdad street telephone exchange center (opéré par STE) (voir la carte)
  • Dans les locaux de la STE (Branch 225 - Ministry of Technology and Telecommunications) building, in Mezzeh (voir la carte)

Connexion au réseau national et international

La manière dont la connectivité est assurée demeure assez opaque attendu qu'elle doit être réalisée de telle manière à ce que les dispositifs doivent permettre d'intercepter tout le trafic. Le système autonome de Syrian Telecommunications Establishment donne de premières indication sur la connectivité internationale. Les équipements wiretapent le trafic réseau de manière passive "sans adresse IP".

Le blocage d'OpenVPN semble avoir commencé en mai 2011

Questions et zones d'ombre

  • Quand les Fortigatesont arrivés en Syrie ?
  • Quand ont-ils installé sur l'interconnexion?
  • Quelles sont les relations entre Fortinet et INET ?
  • Qui exactement est en charge de maintenir les Fortinets (avons nous ratés des ingénieurs d'INET)?

Thanks to the Telecomix's  Blue Cabinet crew

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée