XKEYSCORE pod lupą: właśnie tak analitycy wywiadu USA podsłuchiwali świat

XKEYSCORE pod lupą: właśnie tak analitycy wywiadu USA podsłuchiwali świat06.07.2015 20:43

Ujawnione przez blog The // Intercept informacje na tematoprogramowania XKEYSCORE, wykorzystywanego przez amerykańskąAgencję Bezpieczeństwa Narodowego (NSA) do inwigilacji ruchuinternetowego i pozyskiwania wrażliwych danych na ogromną skalę zjednej strony przeraziła, z drugiej zaskoczyła. Przeraziła,ponieważ gdy o narzędziu tym napisał po raz pierwszy brytyjski TheGuardian, jego możliwości wydawały się skromniejsze. Zaskoczyła,gdyż zastosowane w XKEYSCORE rozwiązania nie były specjalniewyrafinowane. Do jego budowy w dużym stopniu wykorzystano popularneoprogramowanie Open Source, bez mechanizmów kontrolnych,pozwalających nadzorować pracę jego użytkowników.

Jak już wcześniej pisaliśmy, narzędzie NSA zbudowano na stosieotwartego oprogramowania, uruchamianego pod kontrolą serwerów RedHat. Serwer WWW Apache, baza MySQL, sieciowy system plików NFS,zarządzanie zadaniami przez crona, modyfikacja opcji poprzezdziałające z linii komend narzędzia konfiguracyjne i edytor vim,synchronizacja przez rsynca. Użytkownicy logują się za pomocąaplikacji webowej dostępnej przez Firefoksa, z wykorzystaniemuwierzytelnienia login/hasło lub za pomocą kryptografii kluczapublicznego.

Węzły z maszynami na których działa XKEYSCORE znajdowały sięw 2009 roku w 125 miejscach na świecie. Liczba serwerów zależnabyła od znaczenia danego węzła, a cały system zbudowano tak, byłatwo się skalował poprzez dodawanie kolejnych maszyn do klastra.Na przedstawionej w dokumencie sprzed sześciu lat mapce nie mażadnych lokalizacji w Polsce. Obstawione były za to kraje EuropyZachodniej i Bliskiego Wschodu, NSA zdołało także umieścić swojewęzły w Rosji i Chinach. Taki węzeł wszystkie zgromadzone daneprzetwarza lokalnie w swoich bazach MySQL, ale zarazem wspierasfederowany system wyszukiwania, tak że analityk siedzący wcentrali NSA nie musi podróżować do Chin czy Rosji – jegozapytanie wpisane do aplikacji webowej zostanie przetworzonerównolegle na wszystkich węzłach.

Mapa zasięgu XKEYSCORE z 2009 roku
Mapa zasięgu XKEYSCORE z 2009 roku

Aplikacja webowa nie jest jedynym jednak sposobem na odpytywaniebazy XKEYSCORE. Pewne założenia, jakie przyjęto w systemie wydająsię pozornie niezrozumiałe, dopóki nie uświadomimy sobie, żeoficjalnie inwigilacji nie wolno było prowadzić na terenie USAprzeciwko obywatelom tego kraju. Zwykły analityk, logując się dosystemu, pozostawiał kompletny ślad swoich działań w logach, takwięc jeśli chciałby zrobić coś nielegalnego z punktu widzeniaamerykańskiego prawa, źle by się to dla niego skończyło w razieoficjalnego śledztwa. W wypadku administratorów systemu wyglądałoto zupełnie inaczej. Używali oni wszyscy jednego wspólnego konta onazwie „oper”, dzięki czemu nie było możliwe ustalenie, ktokonkretnie wykonał daną operację. Co więcej, administratorzymogli bezpośrednio wpisywać kwerendy MySQL, całkowicie omijająclogi XKEYSCORE, co pozwalało im zadawać systemowi pytania, którychzadawać oficjalnie nie mogli.

Programistów może zainteresować, jak NSA poradziło sobie zprzetwarzaniem na bieżąco tak wielkiej ilości danych (tylko w 2009roku jeden węzeł mógł przechwytywać 20 terabajtów danychdziennie, kto wie, ile tego jest dzisiaj?). Z surowych danych sąotóż wydobywane treść i metadane, które następnie zostająotagowane według automatycznych reguł AppID, pisanych w specjalniestworzonym do tego języku o nazwie GENESIS. Oprogramowanierozpoznaje charakterystyczne cechy poszczególnych aplikacji i usług,a reguły pozwalają stworzyć z tego identyfikator, o któryanalityk może następnie odpytać bazę. W 2010 roku takich regułbyło niemal 10 tysięcy, a tworzenie kolejnych było całkiem łatwe.Razem układały się w hierarchiczną taksonomię, przypominającądrzewo katalogów. I tak komunikacja z Gmaila była określana jakomail/webmail/gmail, żądania mechanizmu Windows Update oznaczanojako update_service/windows, szyfrowane za pomocą PGP e-maile jakoencryption/pgp/message, a ruch z przeglądarki iPhone'a jakobrowser/cellphone/iphone. Wpływający do węzłów XKEYSCORE ruchsieciowy był segregowany według tych reguł i tagowany cyfrowymiodciskami, pozwalającymi wykryć określony typ treści. W tensposób analitycy dostawali do ręki możliwość wyszukiwaniazarówno podług reguł-kategorii, jak i odcisków-tagów.

W razie jeśli dany strumień danych zostałby zaklasyfikowany dowielu reguł, to wówczas używana byłaby ta najbardziej szczegółowa(o najniższym poziomie, w terminologii NSA). Oznacza to, żezałącznik przesłany przez webowego klienta poczty Yahoo zostałbyzaklasyfikowany jako mail/webmail/yahoo/attachment, a nie jakomail/webmail, nie mówiąc już o najwyższym poziomie http/response.Jak jednak teraz wszystkie te dane ze sobą powiązać? Z ujawnionychslajdów wynika, że i na to były reguły. Gdy np. używającyjęzyka arabskiego użytkownik logował się do poczty na Yahoo,XKEYSCORE łączył ze sobą regułę mail/yahoo/login (akt logowaniado Yahoo) z odciskami mail/arabic (poczta w języku arabskim) orazmail/yahoo/ymbm (ciasteczko poczty Yahoo).

Jak na razie mamy do czynienia z prostymi przykładami, alemożliwości były większe. Umiejący programować w C++ analitycymogli pisać nawet bardzo skomplikowane „mikrowtyczki”, za pomocąktórych można było zautomatyzować np. przechwytywanie ruchu zbotnetów czy ekstrahowanie adresów e-mailowych z czatówfaceboooka. Takie mikrowtyczki, rozszerzające możliwości reguł,można było w ciągu kilku godzin wdrożyć i uruchomić na dowolnymwęźle systemu. Oczywiście analityk nie musiał też za każdymrazem ręcznie zadawać systemowi pytań. Narzędzie NSA pozwalałobudować procesy automatyzujące takie operacje i wysyłającepowiadomienia zaraz w momencie przechwycenia informacji spełniającychzadane reguły.

Warto pamiętać, że przedstawione dane pochodzą sprzed sześciulat. Co dzisiaj potrafi XKEYSCORE, tego poza ludźmi z NSA nie wiechyba nikt. Jeśli jednak chcecie się zapoznać ze slajdami NSAbliżej i poznać możliwości kolejnych generacji tego narzędzia,to kilkanaście ujawnionych dokumentów znajdzieciena blogu The // Intercept. To, czy po zapoznaniu się z nimibędziecie musieli spalić swój komputer i przeciąć łącze doInternetu pozostawiamy już Waszej rozwadze. Oczywiście zawszepozostaje możliwość wysłania do NSA swojego CV – możeciepodkreślić, że już przeszliście wstępne szkolenie.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na