Η γερμανική εφημερίδα Der Spiegel είχε διαρρεύσει πληροφορίες για αυτά τα πρόγραμμα της βρετανικής υπηρεσίας πληροφοριών GCHQ (Government Communications Headquarters, Κεντρικά Κυβερνητικών Επικοινωνιών) το Δεκέμβριο του 2014. Το πρόγραμμα FLYING PIG αφορά τις ασφαλείς συνδέσεις διαδικτύου μέσω TLS, δηλαδή για τις ιστοσελίδες που χρησιμοποιούν το HTTPS αντί του HTTP. Οι επικοινωνίες μέσω TLS είναι πάρα πολύ δύσκολο να υποκλαπούν καθώς είναι κρυπτογραφημένες με ασφαλείς μεθόδους, αλλά αυτό δεν εμποδίζει μία μεγάλη υπηρεσία πληροφοριών όπως το GCHQ από το να συλλέγει τις κρυπτογραφημένες επικοινωνίες. Αυτό ακριβώς κάνει το βρετανικό GCHQ. Βλέπετε παρακάτω τη παρουσίαση που διέρρευσε η Der Spiegel που έχει διαβάθμιση TS (Top Secret, Άκρως Απόρρητο), SI (Signals Intelligence, Υποκλοπές Σημάτων) καθώς και REL (Releasable to no foreign nations, όχι για διαμοιρασμό με ξένα έθνη).

Οι υποκλοπές κρυπτογραφημένων επικοινωνιών TLS σημαίνει ότι το GCHQ δεν είναι σε θέση να ξέρει τι μεταφέρεται σε μία επικοινωνία αλλά μπορεί να ξέρει λεπτομέρειες όπως από που και προς που ήταν η επικοινωνία, τι ώρα έγινε, κτλ. Τα λεγόμενα μέτα-δεδομένα (δηλαδή δεδομένα που περιγράφουν την επικοινωνία). Όπως διαβάζουμε παρακάτω, το GCHQ είχε τότε 200 σημεία υποκλοπών με ταχύτητες της τάξης των 10Gbps ανά σημείο καθώς και υποκλοπές δορυφορικών επικοινωνιών. Αυτά τους έδιναν το 2014 που διέρρευσε αυτή στοιχεία για 10 δισεκατομμύρια κρυπτογραφημένες συνδέσεις ανά εβδομάδα, και είχαν αρκετό αποθηκευτικό χώρο για διατήρηση 6 μηνών τέτοιων δεδομένων.

Στη συνέχεια διαβάζουμε ότι με τα δεδομένα που συλλέγουν παράγουν εσωτερικά εβδομαδιαίες αναφορές που περιγράφουν τα εξής:

• Πιο δημοφιλής αλγόριθμος ανταλλαγής κλειδιών κρυπτογράφησης κατά την επικοινωνία
• Οι 40 πιο συχνά χρησιμοποιούμενες υπηρεσίες
• Πληροφορίες για τις μεθόδους κρυπτογράφησης
• Μία λίστα που ελέγχει τη κίνηση σε δημοφιλείς ιστότοπους όπως Facebook, GMail, Hotmail, κτλ.

Μπορείτε να δείτε παρακάτω ένα παράδειγμα από την εβδομαδιαία λίστα των 40 πιο συχνά χρησιμοποιούμενων κρυπτογραφημένων υπηρεσιών από τη βρετανική υπηρεσία GCHQ.

Βάσει αυτής της ανάλυσης το GCHQ είναι σε θέση να γνωρίζει π.χ. τι τεχνικές κρυπτογράφησης χρησιμοποιούν υπηρεσίες όπως το WhatsApp, το Apple iCloud, η Google, κτλ. Με αυτές τις πληροφορίες μπορεί να αρχίσει να εργάζεται στη στοχοποίηση συγκεκριμένων χαρακτηριστικών εάν αυτό απαιτείται. Όπως διαβάζουμε, το GCHQ έχει μία βάση δεδομένων με κωδική ονομασία «BROAD OAK» (Μεγάλη Βελανιδιά) που περιέχει όλους τους στόχους της. Όταν κάποια διεύθυνση από τη βάση «BROAD OAK» βρεθεί στις παραπάνω κρυπτογραφημένες (TLS) συνδέσεις, τότε αντιγράφεται σε μία άλλη βάση δεδομένων που ονομάζεται «TargeTLS» και είναι προσβάσιμη από το εργαλείο «FLYING PIG» (Ιπτάμενο Γουρούνι) για περεταίρω ανάλυση. Διαβάζουμε ότι περίπου το 15% των επικοινωνιών της βάσης «TargeTLS» ήταν χρήσιμες για την ανάλυση πληροφοριών. Σκεφτείτε το όπως είχαμε παρουσιάσει στο άρθρο μας «NSA Εναντίον Διαχειριστών Συστημάτων». Δηλαδή, εάν ο στόχος έχει συνδεθεί σε κάτι παράνομο και ταυτόχρονα στο Facebook μπορεί να γίνει συσχετισμός των δύο με αυτό το τρόπο.

Το FLYING PIG είναι ένα απλό πρόγραμμα στο οποίο ο αναλυτής πληροφοριών μπορεί να κάνει ερωτήματα όπως «τι πιστοποιητικά κρυπτογράφησης έχει χρησιμοποιήσει μία συγκεκριμένη διεύθυνση;», «ποιες διευθύνσεις έχουν συνδεθεί σε μία συγκεκριμένη υπηρεσία;», «τι άλλα TDI (Target Detection Identifier, Αναγνωριστικό Εντοπισμού Στόχου) μπορούν να συσχετιστούν από αυτή την επικοινωνία;», κτλ. Στη συνέχεια βλέπετε ένα παράδειγμα του «FLYING PIG» όπου γίνεται αναζήτηση για όλες τις σχετικές επικοινωνίες που περιέχουν το τομέα «mail.ru» κάπου στα πιστοποιητικά κρυπτογράφησης που χρησιμοποιήθηκαν κατά την επικοινωνία.

Αντίστοιχα, παρακάτω βλέπουμε ένα άλλο παράδειγμα χρήσης του «FLYING PIG» με ερώτημα βάσει της διεύθυνσης ενός εξυπηρετητή για να δουν όλο το ιστορικό των διαθέσιμων καταγεγραμμένων επικοινωνιών.

Πέρα από τη καρτέλα «FLYING PIG» βλέπουμε ότι το πρόγραμμα έχει δύο ακόμα. Η πρώτη από τα αριστερά προς τα δεξία ονομάζεται «HRA Justification» (Human Rights Act Justificaiton, Δικαιολόγηση Νόμου Ανθρωπίνων Δικαιωμάτων) και μπορούμε να κάνουμε την εικασία ότι είναι σχετική με το νόμο HRA 1998/42 περί ανθρωπίνων δικαιωμάτων της Μεγάλης Βρετανίας. Δηλαδή, μάλλον τη χρησιμοποιούν οι αναλυτές πληροφοριών για να περιγράψουν για ποιο λόγο είναι δικαιολογημένη η πρόσβαση/ανάλυση προσωπικών επικοινωνιών κατά τη διάρκεια κάποιας έρευνας. Βλέπετε τη καρτέλα αυτή μέσα στο κόκκινο πλαίσιο παρακάτω.

Η τρίτη καρτέλα έχει τίτο «Query QUICK ANT – Tor events QFD» (Ερώτημα στο πρόγραμμα Γρήγορο Μυρμήγκι – Καταγραφές QFD για το δίκτυο Tor) όπου QFD (Question Focused Dataset, Ομάδα Δεδομένων Σχετική με Ερώτημα) είναι μία συλλογή δεδομένων. Αυτό εικάζεται ότι προσφέρει αντίστοιχες λειτουργίες με το «FLYING PIG» αλλά για κρυπτογραφημένες επικοινωνίες μέσα στο δίκτυο Tor αντί για τις απλές επικοινωνίες διαδικτύου.

Κλείνοντας, η παρουσιάση αναφέρει ότι το κομμάτι της συλλογής και επεξεργασίας των δεδομένων TLS γίνεται από την ομάδα Crypt Operations (Επιχειρήσεις Κρυπτογραφίας) που έχει κωδική ονομασία «BULLRUN» ενώ το πρόγραμμα «FLYING PIG» είναι ένα εργαλείο από την ομάδα ICTR-NE (Information and Communications Technology Research – Network Exploitation, Έρευνα Τεχνολογιών Πληροφοριών και Επικοινωνίας – Εκμετάλλευση Δικτύων).

Προγράμματα όπως το «FLYING PIG» και το «QUICK ANT» είναι πολύ σημαντικά για τον εντοπισμό και συλλογή πληροφοριών για παράνομες δραστηριότητες. Π.χ. ποιος έχει συνδεθεί σε μία σελίδα παιδικής πορνογραφίας και που αλλού είχε συνδεθεί την ίδια στιγμή, ώστε να γίνει σταδιακή ταυτοποίηση του. Από την άλλη πλευρά, τέτοια προγράμματα μπορούν εύκολα να οδηγήσουν σε κατάχρηση και εισβολή στις προσωπικές ζωές νομοταγών πολιτών άρα πρέπει να χρησιμοποιούνται στοχευμένα και πάντα με αυστηρό έλεγχο και επιτήρηση.