Дългите пипала на дигиталния Биг брадър
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Дългите пипала на дигиталния Биг брадър

Shutterstock

Дългите пипала на дигиталния Биг брадър

Американската Агенция за национална сигурност (NSA) е разработила сложна автоматизирана система за превземане на компютри

Мартин Дешев
10695 прочитания

Shutterstock

© Shutterstock


Разкритията на Едуард Сноудън за шпионските практики на американската Агенция за национална сигурност (NSA) продължават и стават все по-смущаващи. Всичко започна в началото на миналото лято с разконспирирането на програмата PRISM, чиято цел беше събиране на информация от сървърите на различни компании. Оказа се обаче, че тя далеч не е единствената подобна инициатива на въпросната спецслужба. Нови документи на Сноудън разкриват, че NSA е разработвала и система за източване на данни директно от компютрите на целите си.

Тази програма на агенцията е доста амбициозна и включва създаването на множество подсистеми и програми, които да изпълняват различни функции с обща цел. Дори и от техническа гледна точка разработката е впечатляваща, а потенциалните ползи за разузнаването са огромни - тя предоставя директен достъп до изворите на информация, без посредници и необходимост от съобразяване с корпорации или организации, които не одобряват подобни практики.

Виртуалните импланти

Мащабът на програмата е толкова голям, че е предвидено тя да бъде автоматизирана и да действа с минимална човешка намеса. Новите документи на Сноудън, предадени първо на онлайн изданието The Intercept, твърдят, че чрез тази технология милиони машини по целия свят са били заразени с компютърни вируси. В документацията тези вируси са наречени импланти. Основната част от дейността по програмата се извършва в централата на NSA в САЩ, а нейни партньорски структури във Великобритания и Япония имат спомагателно участие. Центърът за правителствени комуникации (CGHQ), който е британският еквивалент на NSA, например е помагал при формулираните на използваните тактики, сочат документите. Резултатът от всичко това е мащабна програма, наречена "Притежаване на мрежата".

Най-важният компонент от инициативата, разбира се, е заразяването на компютрите. Според документите програмата е започнала още през 2004 г., като първоначално е имало само около 100-150 импланта. В следващите шест години обаче специализираното звено Tailored Access Operations (TAO) на NSA е било подсилено с още специалисти и е започнало активна разработка на нови зловредни кодове, като те са достигнали десетки хиляди вариации. Тяхната цел е да осигуряват достъп до компютри и мрежи, до които NSA няма други начин да се добере.

Първоначално тези кодове са били използвани от хакери, които са се опитвали да заразят компютрите на конкретни цели, т.е. на хора, които са обект на оперативен интерес от страна на някой разузнавач в агенцията. Това обаче е крайно недостатъчно за мащабите и целите на NSA. Затова като част от TAO е добавена и програмата TURBINE. Нейната основна цел е да намали значително човешкото участие при заразяването на компютрите на мишените. TURBINE трябва да извършва този процес самостоятелно, като "облекчава потребителя от необходимостта да знае или да се запознава с подробностите". Практически така се намалява натоварването върху т.нар. анализатори на NSA, които по-лесно могат да осигуряват поисканата им информация.

От една страна, това намалява и броя на хората, които имат пряк достъп с данните, което намалява и риска от злоупотреби с тях. От друга пък, чрез TURBINE агенцията има възможност да атакува милиони цели за много кратко време. Документите посочват, че въпросната програма работи от юли 2010 г., като ролята й постепенно става все по-важна. Те потвърждават и предишни разкрития на Сноудън, че между 85 000 и 100 000 компютъра по света са заразени с такива "импланти", като плановете са броят им да бъде увеличен, макар че няма данни дали това е направено и в какъв мащаб. Само през миналата година бюджетът на "Притежаване на мрежата" е бил 67.6 млн. долара. TURBINE от своя страна е била доразвита, направена е да поддържа по-широк спектър от мрежи, автоматизацията й при заразяването на цели е подобрена.

Безболезнена инжекция

NSA е използвала множество похвати, включително и класически хакерски тактики, за да заразява компютрите на своите цели. Първоначално всичко е започнало с изпращането на спам съобщения с линкове, които водят до заразени сайтове. Според документите на Сноудън са необходими не повече от осем секунди, за да може вирусът да бъде имплантиран на компютъра, след като въпросната страница бъде отворена. Тактиката е наречена WILLOWVIXEN, но постепенно се оказва все по-малко ефикасна, тъй като повече потребители започват отделят по-голямо внимание на съобщенията, които получават.

Затова NSA решава да прибегне до други тактики, които са доста по-ефикасни, но изискват и повече усилия. Една от тях е т.нар. man-on-the-side, при която NSA проследява интернет трафика на целите си. Когато бъде засечен уязвим сайт, TURBINE се активира и го използва като посредник за заразяване на компютъра, т.е. възползва се от пропуските в сигурността на дадена интернет страница, за да изпрати импланта си директно до целта. За да направи това, й е необходима по-малко от секунда.

Въпросната тактика има и по-дръзка версия с името QUANTUMHAND. При нея NSA е използвала фалшив сървър, който се е представял за част от мрежата на Facebook без знанието на самата социална мрежа. Той е изпращал данни до браузъра на компютъра-цел с идеята да се представи за истински Facebook сървър и да го накара да се свърже с него. Така на пръв поглед потребителят отново е във Facebook, но тъй като данните му преминават през фалшив сървър, за NSA не е никакъв проблем да се сдобие с тях, както и да инсталира някой от своите импланти за по-нататъшни цели, без ползвателят на устройството да разбере.

В свое официално изявление Facebook категорично отрича да знае за подобна практика на NSA и категорично я осъжда. Най-популярната социална мрежа в света дори изразява притеснения, че и други онлайн услуги може да са използвани по такъв начин от агенцията. В резултат на разкритията основателят на компанията Марк Зукърбърг дори се е обадил на американския президент Барак Обама и лично му споделил разочарованието и притесненията си. "Когато нашите инженери работят, за да подобрят сигурността на услугите, си мислим, че ви защитаваме срещу престъпници, а не срещу собственото си правителство", обяви по-късно Зукърбърг в изявление във Facebook.

Разкритията на Сноудън твърдят, че QUANTUMHAND работи от октомври 2010 г. Според криптографа и специалист по разузнаване и сигурност Мат Блейз от Университета на Пенсилвания тази тактика е разработена предимно с идеята да се използва за конкретни цели. В комбинация с TURBINE обаче потенциалът й става, меко казано, притеснителен. "Да оставим настрана как NSA иска да я използва. Как да знаем, че тя работи както трябва и дали действително се насочва само към когото NSA иска? А ако работи добре, което е съмнително, как се управлява", пита Блейз, като засега въпросите му остават без отговор. Официалната позиция на NSA не се различава от досегашните й изявления. Агенцията обявява, че твърденията не са точни. NSA отрича да използва фалшиви сървъри или да е заразявала милиони компютри по света. Тази позиция обаче идва няколко дни след първоначалното обявяване на информацията, а преди това агенцията отказваше какъвто и да било коментар по темата.

Друг тип интересна тактика е man-in-the-middle. Чрез нея NSA може не само да следи кореспонденцията между двама души, но и да променя нейното съдържание. Този похват носи кодовото име SECONDDATE, като освен за конкретни разузнавателни цели се използва и просто за пренасочване на компютрите на мишените към сайтове с вируси. Именно втората му функция го прави подходящ и за по-масово заразяване на устройства чрез TURBINE, като за целта се използва и комбинация с умишлено създадени мрежови "стеснения".

Обикновено NSA разчита на известни слабости в сигурността на интернет браузърите, операционните системи и софтуера като цяло. За сравнително лесното превземане на компютрите помагат и самите им притежатели, които пренебрегват сигурността на устройствата си. В подкрепа на това твърдение може да цитираме проучването на компанията SplashData, което посочва, че за миналата година най-популярната парола е била 123456. Тя е детронирала лидера от 2012 г., който е бил... password. Инсталирането на най-актуалните софтуери за сигурност също не е гаранция, че NSA не може да получи достъп до данните ви. Повечето импланти са разработени така, че да заобикалят антивирусните програми по най-различни начини. Често например се използва имплант с името VALIDATOR, който се "настанява" на компютъра, изтегля допълнителен софтуер и след това се самоизтрива.

За всеки по нещо

Както беше споменато, арсеналът от виртуални импланти на NSA надхвърля десетки хиляди различни варианти на зловреден софтуер. Агенцията разполага с програми, предназначени за най-различни цели, като повечето от тях могат да се комбинират с други и така да създават персонализирани "коктейли" от вируси. Разбира се, част от тях са по-популярни. Един от тях е CAPTIVATEDAUDIENCE и използва вградения микрофон на устройството, за да записва разговорите в близост до него. Чрез GUMFISH пък може да се гледа видео на живо с помощта на уебкамерата и да прави снимки чрез нея. FOGGYBOTTOM създава списъци с потребителските имена и пароли на потребителя, а GROK записва всеки натиснат клавиш на клавиатурата. SALVAGERABBIT пък е специализиран в копирането на информация от свързани флаш памети и други устройства.

Други импланти са създадени с цел да разбиват криптирани файлове или връзки. Най-лесно това става, като просто се осъществи достъп до компютъра и така за агенцията няма значение, че данните пътуват по криптиран канал между участниците. Документите не посочват колко импланти се използват активно нито колко компютъра са атакувани и/или заразени извън експерименталните бройки. Те обаче ясно подчертават желанието на NSA да увеличи на мащаба на програмата.

Според документите на Сноудън въпросните технологии са били прилагани за откриването на заподозрени терористи и екстремисти. В същото време обаче няма ограничения пред служителите на агенцията за какво могат да използват TURBINE. Публикация във вътрешен форум на NSA например дава съвети как да се използва програмата за атакуване на компютрите на системни администратори на компютърни мрежи. Логиката е проста. Ако имаш достъп до компютъра на админа, имаш достъп и до цялата мрежа. Това значително улеснява виртуалните шпиони да достигнат до компютрите на други мишени, включително "правителствени служители, които използват мрежата, която е под опеката на даден администратор".

NSA е разработила и два импланта, предвидени за мрежовите рутери, които се казват HAMMERCHANT и HAMMERSTEIN. Те са предназначени за прихващане на трафика по VPN, проследяване на гласови разговори чрез Skype и други VoIP услуги. Когато последните използват некриптиран канал за пренос на данните, тогава имплантите могат и да записват разговорите и да ги предоставят на останалите програми на NSA за анализ. Други два вируса пък имат за цел да създават проблеми на целите си. QUANTUMSKY например блокира достъпа до дадени сайтове. QUANTUMCOPPER пък поврежда файлове на компютъра-цел.

Реализирането на цялата тази сложна система няма да е възможно без солидна IT инфраструктура. Освен централата си в Мериленд NSA разполага с още няколко помощни центъра на различни места по света. Те се наричат сензори и са обединени под името TURMOIL. Когато имплантите на TURBINE се сдобият с информация, сензорите на TURMOIL я идентифицират автоматично и я изпращат до NSA за анализ. Ако в дадения момент компютрите-цели комуникират, TURMOIL подава сигнал към TURBINE, че ситуацията е удобна за атака и за инсталиране на имплант.

Според данните на Сноудън NSA всъщност е споделяла много от данните, с които се е сдобила по този начин, със своите партньорски служби в други държави. Конкретно става дума за т.нар. алианс "Петте очи", в който влизат САЩ, Великобритания, Канада, Нова Зеландия и Австралия. Както и при предишните разкрития на Сноудън, голяма роля се отдава на британската CGHQ, която е извършвала част от атаките, но този път е имала известни притеснения. CGHQ продължава да отказва коментар по темата, като заявява, че всичките й дейности са съобразени със закона. NSA пък обяви, че продължаващите разкрития на Сноудън, които определя като избирателни, вредят на нея, на партньорите й и на националната сигурност. В друго изявление агенцията отрича да заразява компютри масово и определя твърденията като просто неверни.

Притеснения в бъдеще време

Продължаващите разкрития на Едуард Сноудън стават все по-детайлни с всеки следващ документ. Например малко преди разкриването на PRISM стана ясно, че съществува програма, която събира метаданни за потребители на оператора Verizon. Те бяха с общ характер и включваха проведени разговори, продължителност, тип на устройство и др. След това това дойде PRISM, която събира сходни данни от сървърите на водещите интернет компании.

Последваха документи за прихващането на цялата информация, която върви по основните магистрални интернет кабели. Не бяха пропуснати и подробности за подобни дейности, извършвани от разузнавателни агенции на други държави. След това дойдоха вирусите и директните атаки, а в средата на тази седмица седмицата Сноудън обяви също така, че NSA има система, която може да записва 100% от телефонните разговори на дадена държава и ги съхранява 30 дни. При положение че по неофициални данни бившият сътрудник на ЦРУ разполага с около 2 млн. файла на NSA, можем само да гадаем какво предстои да бъде разкрито.

Разкритията на Едуард Сноудън за шпионските практики на американската Агенция за национална сигурност (NSA) продължават и стават все по-смущаващи. Всичко започна в началото на миналото лято с разконспирирането на програмата PRISM, чиято цел беше събиране на информация от сървърите на различни компании. Оказа се обаче, че тя далеч не е единствената подобна инициатива на въпросната спецслужба. Нови документи на Сноудън разкриват, че NSA е разработвала и система за източване на данни директно от компютрите на целите си.

Тази програма на агенцията е доста амбициозна и включва създаването на множество подсистеми и програми, които да изпълняват различни функции с обща цел. Дори и от техническа гледна точка разработката е впечатляваща, а потенциалните ползи за разузнаването са огромни - тя предоставя директен достъп до изворите на информация, без посредници и необходимост от съобразяване с корпорации или организации, които не одобряват подобни практики.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

8 коментара
  • 1
    l_danov avatar :-?
    l.d

    От една страна е високо убезпокоително. От друга страна не съм учуден - всяка достатъчно голяма организация се стреми да разполага ако не с данни, то поне с инструментариум за извличането им.

    Как обаче да се предпазим? Лаик съм и за това питам дали е възможно такова изграждане на ОС, което позволява криптирането на отделни процеси/програми (поне за локално ползване)? Тогава може би остава само комуникацията с външната периферия като уязвима точка.

    А в България, едва ли са нужни толкова рафинирани подходи - просто пускаш няколко модифицирани версии на по-популярните прозорци в Бг тракери и си изграждаш мрежата :)

  • 2
    geoprofi avatar :-|
    Geo

    Наивно е да се мисли, че когато друг плаща парсата, няма да се случват такива безумия. Я да видим кога и как една частна компания ще си позволи подобни щуротии и ще остане конкурентна... никога и никак...

  • 3
    zangief avatar :-|
    zangief

    Много корпорации събират инфо от преди това. Вградени backdoor в hardware, продаване на данни на трети лица.
    Само дето корпорациите може да ги осъдиш (понякога), а USA Government - Никога.

  • 4
    inmoinvestments avatar :-|
    InmoInvestments

    Който има какво да крие, да се притеснява.....Мисля, че сигурността е приоритет пред всичко останало !

  • 5
    inadilov avatar :-|
    inadilov

    Прозорливи хора са Мешерето. И Ердоган. И Ким Чен Ун. Първо забраняват социалните мрежи. После самата мрежа... В държава, в която смехът е забранен, обикновено е забранено и да се плаче.
    Скоро и в Москва...
    Забавното е, че всичко тръгва от чичо ми Сам.

  • 6
    xyha avatar :-|
    xyha

    Не им трябва да инжектират нищо. 99 % от операционните системи са американски .

  • 7
    xyha avatar :-P
    xyha

    Конкретно става дума за т.нар. алианс "Петте очи", в който влизат САЩ, Великобритания, Канада, Нова Зеландия и Австралия.

    Защо Великобритания не е на първо място :-)

  • 8
    georgi960 avatar :-|
    КМЕТ В СЯНКА

    Нищо няма да се подобри.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK