<div dir="ltr">Use of sophisticated spy-ware software by NIS will invite commensurate effort among researchers, developers and others of the profession to offer anti-spyware solutions that work - all in the name of human rights and fundamental privacy protection.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 16, 2015 at 8:59 PM, Mwendwa Kivuva via kictanet <span dir="ltr"><<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Whose communication is safe? It seems nobody if the research below by CitizenLab is to go by. If you are a person of interest, the government reads everything you read and write. </p>
<p dir="ltr">Where is the threat if government uses hacking to safeguard it's citizens? Here is a short answer; "research and revelations about Hacking Team’s Remote Control System (RCS), a competitor product, have also made it clear that some government customers used these tools to target their political opponents, rather than security threats to their citizens."</p>
<p dir="ltr">This is how the government is spying on you. </p>
<p dir="ltr"><a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/" target="_blank">https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/</a></p>
<p dir="ltr">This post describes the results of Internet scanning we recently conducted to identify the users of FinFisher, a sophisticated and user-friendly spyware suite sold exclusively to governments.  We devise a method for querying FinFisher’s “anonymizing proxies” to unmask the true location of the spyware’s master servers.  Since the master servers are installed on the premises of FinFisher customers, tracing the servers allows us to identify which governments are likely using FinFisher.  In some cases, we can trace the servers to specific entities inside a government by correlating our scan results with publicly available sources.  Our results indicate 32 countries where at least one government entity is likely using the spyware suite, and we are further able to identify 10 entities by name.  Despite the 2014 FinFisher breach, and subsequent disclosure of sensitive customer data, our scanning has detected more servers in more countries than ever before.</p>
<p dir="ltr"><b>Executive Summary</b></p>
<p dir="ltr">FinFisher is a sophisticated computer spyware suite, written by Munich-based FinFisher GmbH, and sold exclusively to governments for intelligence and law enforcement purposes.  Although marketed as a tool for fighting crime,<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#1" target="_blank"><sup>1</sup></a> the spyware has been involved in a number of high-profile surveillance abuses.  Between 2010 and 2012, Bahrain’s government used FinFisher to monitor some of the country’s top law firms, journalists, activists, and opposition political leaders.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#2" target="_blank"><sup>2</sup></a> Ethiopian dissidents in exile in the United Kingdom<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#3" target="_blank"><sup>3</sup></a> and the United States<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#4" target="_blank"><sup>4</sup></a> have also been infected with FinFisher spyware.</p>
<p dir="ltr">In 2012 and 2013, Citizen Lab researchers and collaborators,<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#5" target="_blank"><sup>5</sup></a>published several reports analyzing FinFisher spyware, and conducted scanning that identified FinFisher command and control (C&C) servers in a number of countries.  In our previous research, we were not yet able to differentiate between FinFisher <i>anonymizing proxies </i>and <i>master</i> servers, a distinction that we make in this work.</p>
<p dir="ltr">When a government entity purchases FinFisher spyware, they receive a <i>FinSpy Master</i>—a C&C server that is installed on the entity’s premises.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#6" target="_blank"><sup>6</sup></a>  The entity may then set up <i>anonymizing proxies</i> (also referred to as “<i>proxies</i>” or “<i>FinSpy Relays</i>” in the FinFisher documentation), to obscure the location of their master.  Infected computers communicate with the anonymizing proxy, which is “usually”<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#7" target="_blank"><sup>7</sup></a> set up on a Virtual Private Server (VPS) provider in a third country.  The proxy then forwards communications between a victim’s computer and the Master server.</p>
<p dir="ltr">We first describe how we scanned the Internet for FinFisher servers and distinguished masters from proxies (<b>Part 1: Fishing for FinFisher</b>).  We then outline our findings regarding 32 governments and 10 specific government entities that we believe are using FinFisher (<b>Part 2: Country Findings</b>).  Finally, we highlight several cases that illuminate connections between different threat actors (<b>Part 3: A Deeper Analysis of Several Cases</b>), before concluding (<b>Conclusion</b>).<br></p>
<p dir="ltr"><b>Kenya</b></p>
<p dir="ltr"><b>National Intelligence Service</b></p>
<p dir="ltr">We found a FinFisher server in a range of IP addresses registered to a Kenyan user named “National Security Intelligence.”  Kenya’s National Intelligence Service (NIS) was formerly known as the National Security Intelligence Service (NSIS).</p>
<p dir="ltr">Kenya’s NSIS replaced the former Directorate of Security Intelligence (DSI), commonly known as the “Special Branch”.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#52" target="_blank"><sup>52</sup></a>The NIS is known as one of Kenya’s security institutions with the biggest budgetary allocation—along with the Kenya National Defence Forces and the National Police Service—and considered to be among the country’s critical security organs in the new constitution.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#53" target="_blank"><sup>53</sup></a> In 2014, Human Rights Watch named the NIS, as well as the Anti-Terrorism Police Unit and other Kenyan intelligence agencies, as being implicated in abuses including torture, disappearances, and extrajudicial killings.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#54" target="_blank"><sup>54</sup></a></p>
<p dir="ltr">The powers of the NIS were expanded significantly in December 2014 when the Parliament of Kenya rushed to pass the controversial Security Laws (Amendment) Bill.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#55" target="_blank"><sup>55</sup></a> The amendments came following a series of deadly terrorist attacks by the militant group al-Shabab, including the 2013 killing of 67 people at the Westgate shopping mall in Nairobi.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#56" target="_blank"><sup>56</sup></a>This bill expanded the powers of the NIS to monitor communications without a warrant, as well as expanding their powers to search and seize private property.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#57" target="_blank"><sup>57</sup></a> Article 62 of the amended bill authorized NIS agents to “do anything necessary to preserve national security” and to detain individuals on simply the suspicion of engaging in acts which pose a threat to national security.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#58" target="_blank"><sup>58</sup></a> Section 66 of the bill amended the National Intelligence Services Act, permitting the Director General of the NIS to monitor communications or “obtain any information, material, record, document or thing” in order to protect national security, without court oversight, leading rights organization Article 19 to argue that the amendment “effectively [gives]<i>carte blanche</i> to the Director-General to order mass surveillance of online communications”.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#59" target="_blank"><sup>59</sup></a> While a court ruling in February 2015 struck down some provisions of the amendment, the provisions enhancing the powers of the NIS remained.<a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/#60" target="_blank"><sup>60</sup></a><br></p>
<p dir="ltr">More here: <a href="https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/" target="_blank">https://citizenlab.org/2015/10/mapping-finfishers-continuing-proliferation/</a></p>
<br>_______________________________________________<br>
kictanet mailing list<br>
<a href="mailto:kictanet@lists.kictanet.or.ke">kictanet@lists.kictanet.or.ke</a><br>
<a href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a><br>
<br>
Unsubscribe or change your options at <a href="https://lists.kictanet.or.ke/mailman/options/kictanet/jkieti%40gmail.com" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/options/kictanet/jkieti%40gmail.com</a><br>
<br>
The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.<br>
<br>
KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><font color="#999999"><br>John Kieti<br>Phone: +254-735-764242 // +254-722-764242<br>Twitter: @johnKieti // Skype:  jkieti</font><span><font color="#999999"><cite><b></b></cite></font></span><font color="#999999"><cite><b><br></b></cite>Blog:</font><span><font color="#999999"> </font></span><a href="http://www.gmeltdown.com" target="_blank"><font color="#0000ff">gmeltdown.com</font></a><font color="#336666"> // </font><span><span><font color="#999999">LinkedIn: </font></span></span><a href="https://ke.linkedin.com/in/kieti" target="_blank"><font color="#0000ff"><span style="font-size:14px;line-height:16px;white-space:nowrap">https://ke.linkedin.com/in/</span><b style="font-size:14px;line-height:16px;white-space:nowrap">kieti</b></font></a></div><div><div><font color="#999999"><br>The ordinary just won't do</font></div></div></div></div></div></div>
</div>