Τη Τρίτη 28 Ιουνίου του 2016 η ηλεκτρονική εφημερίδα The Intercept έκανε μία σειρά από διαρροές τεχνικών εγγράφων της NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας) των ΗΠΑ που αφορούν τη παρακολούθηση όλων των διαδικτυακών επικοινωνιών ολόκληρων κρατών. Αυτή τη τεχνική δυνατότητα θα μελετήσουμε σε αυτό το άρθρο, και θα δούμε και πως το ένα κράτος να αποτελεί διαδικτυακό κόμβο δε βοηθά μόνο την οικονομία, αλλά και τις ικανότητες υποκλοπών διότι ένα μεγάλο μέρος ξένων επικοινωνιών περνούν από υποδομές του κράτους.
Όπως δήλωσε ο πρώην συμβασιούχος υπάλληλος της NSA και πρώην υπάλληλος της CIA, κύριος Έντουαρντ Σνόουντεν, για αυτή τη διαρροή, είναι μέρος από μία παρουσίαση που είχε κάνει ο συγγραφέας της διαρροής «NSA Εναντίον Διαχειριστών Συστημάτων» που είχαμε δημοσιεύσει στο παρελθόν. Σε πρακτικό επίπεδο, ο στόχος της παρουσίασης αυτής είναι το πως μπορεί η NSA να επηρεάσει τη δρομολόγηση των πακέτων δεδομένων σε ένα δίκτυο ώστε να οδηγήσει συγκεκριμένες συνδέσεις να περνάνε από σημεία που ελέγχει η υπηρεσία. Η τεχνική αυτή ονομάζεται «traffic shaping» (μορφοποίηση κίνησης).
Για να το κατανοήσουν καλύτερα αυτό όλοι οι αναγνώστες μας, πρέπει να κάνουμε μία πάρα πολύ επιφανειακή εισαγωγή στο πως λειτουργούν οι ψηφιακές επικοινωνίες στο διαδίκτυο. Όταν θέλουμε να ζητήσουμε ή να λάβουμε κάτι από το διαδίκτυο, το αίτημα μας χωρίζεται σε μικρότερα πακέτα δεδομένων και αυτά με τη σειρά τους στέλνονται στο διαδίκτυο. Το κάθε πακέτο έχει στοιχεία αποστολέα και παραλήπτη και ακολουθεί μία πορεία που δεν είναι απαραίτητο ότι θα είναι κοινή με τα υπόλοιπα πακέτα δεδομένων. Με αυτό το τρόπο το διαδίκτυο μπορεί να λειτουργεί ακόμα και όταν υπάρχουν βλάβες σε κυκλώματα. Επίσης, το κάθε πακέτο περνάει από κάποιες συσκευές που ονομάζονται δρομολογητές (routers) και αποφασίζουν από που θα το προωθήσουν για να φτάσει στο τελικό προορισμό του. Βλέπετε μία σχηματική αναπαράσταση εδώ.
Γνωρίζοντας τα παραπάνω πρέπει να είναι ήδη κατανοητό το πως επηρεάζοντας τις επιλογές δρομολόγησης των πακέτων δεδομένων μία υπηρεσία πληροφοριών με μεγάλες παγκόσμιες υποδομές μπορεί να οδηγήσει οποιαδήποτε διαδικτυακή επικοινωνία μίας ολόκληρης χώρας να περνάει από σημεία που ελέγχει και στα οποία μπορεί να υποκλέψει τα διερχόμενα πακέτα δεδομένων. Και τώρα που τα περιγράψαμε αυτά επιγραμματικά, πάμε να δούμε και να αναλύσουμε τις διαφάνειες που διέρρευσαν.
Στη πρώτη διαφάνεια βλέπουμε ότι η παρουσίαση είναι για Network Shaping (Μορφοποίηση Δικτύου) και έχει ημερομηνία 8 Ιανουαρίου του 2007. Επίσης, η ημερομηνία αποχαρακτηρισμού της είχε καθοριστεί να είναι 8 Ιανουαρίου του 2032. Ας συνεχίσουμε στην επόμενη διαφάνεια.
Βλέπουμε ότι η παρουσίαση ήταν άκρως απόρρητη (Top Secret) και αποκλειστικά για τις χώρες της συμμαχίας της κοινότητας υπηρεσιών πληροφοριών. Δηλαδή, ΗΠΑ, Αυστραλία, Καναδά, Μεγάλη Βρετανία και Νέα Ζηλανδία. Το γνωστό σε όσους ασχολούνται με το χώρο των υπηρεσιών πληροφοριών, FIVE EYES (Τα πέντε μάτια) ή FVEY για συντομία. Προχωράμε στην επόμενη διαφάνεια.
Στη συνέχεια βλέπουμε την ατζέντα της παρουσίασης που περιλαμβάνει τα συνηθισμένα ζητήματα, παράδειγμα των δικτύων-στόχων, το πως θα είναι στη πράξη η μορφοποίηση αυτού του δικτύου, τα βασικά προβλήματα αυτής της τακτικής, και τέλος, τα πιο προχωρημένα προβλήματα κατά την εκτέλεση τέτοιων επιχειρήσεων.
Σε αυτή τη διαφάνεια βλέπουμε τα τρία συχνά λάθη σε όσους θέλουν να μάθουν για τη μορφοποίηση δικτύων για παρακολουθήσεις κρατών. Με τη σειρά που περιγράφονται, αυτά είναι:
- Για να κατανοήσει κάποιος πότε δουλεύει και πότε δε δουλεύει αυτή η τεχνική πρέπει να πάει πίσω στις βασικές αρχές δικτύων υπολογιστών.
- Για να μπορέσει κάποιος να λάβει τη μέγιστη γνώση από αυτή τη παρουσίαση είναι καλό να κατανοεί τις έννοιες IP, εύρος CIDR και Αυτόνομα Συστήματα Δικτύων (ASN)
- Τέλος, ξεκαθαρίζει ότι μερικές από τις διευθύνσεις IP και τα γεγονότα που περιγράφονται είναι φανταστικά. Επισημαίνει ότι στη παρουσίαση χρησιμοποιείται το εθνικό δίκτυο της Υεμένης (YemenNet) ως στόχος αλλά αυτές οι πληροφορίες είναι πλέον παρωχημένες και όχι πλήρεις, άρα δε θα πρέπει κανείς να τις λάβει ως μέρος κάποιας επιχειρησιακής ανάλυσης.
Εδώ ο συγγραφέας ξεκαθαρίζει ότι δε θα μιλήσει για το Δεύτερο Επίπεδο από το μοντέλο OSI, δηλαδή το πρωτόκολλο όπου τα συστήματα καθορίζουν τη διεύθυνση τους. Σε αυτό το επίπεδο, δηλαδή αν κάποιος ελέγχει το δίκτυο σε τόσο χαμηλό επίπεδο, είναι εύκολο να κάνει τα πακέτα να πηγαίνουν όπου επιθυμεί. Ωστόσο, όπως αναφέρει η πρόσβαση τέτοιου επιπέδου δεν είναι πάντα εύκολη καθώς προϋποθέτει πρόσβαση σε συγκεκριμένες υποδομές. Άρα, παρότι γίνεται, δεν είναι πρακτικό. Έτσι, ο συγγραφέας κάνει μορφοποίηση στο επίπεδο της μεταφοράς των δεδομένων (επίπεδο 3, το επίπεδο δικτύου).
Στη συνέχεια μας ορίζει το δίκτυο-στόχο, το κράτος της Υεμένης. Στο διαδίκτυο, όλοι οι πάροχοι υπηρεσιών πρόσβασης έχουν ένα εύρος διευθύνσεων IP για να συνδέονται με το δίκτυο αλλά και να συνδέουν τους χρήστες τους. Αυτό το εύρος ομαδοποιείται στα λεγόμενα AS (Autonomous System) που είναι αριθμοί που δηλώνουν σε ποιους ιδιοκτήτες-δρομολογητές ανήκουν αυτές τις διευθύνσεις IP. Όλα αυτά τα AS ομαδοποιούνται σε έναν μοναδικό αριθμό που είναι γνωστός ως ASN (Autonomous System Number). Άρα η παραπάνω διαφάνεια μας λέει ότι το κράτος της Υεμένης έχει ένα μόνο ASN, το AS12486 και συνδέεται με έξι παρόχους με το υπόλοιπο διαδίκτυο, οι πάροχοι αυτοί είναι η Mobility που έχει AS35819, η Tata Communications που έχει AS6453, η FLAG που έχει AS15412, η PCCW Global που έχει AS3491, η Saudi Telecom Company που έχει AS39386, και τέλος, η Sprint Corporation με AS1239. Άρα μέσα από αυτές τις έξι γραμμές τηλεπικοινωνιών, η Υεμένη έχει πρόσβαση στο διαδίκτυο.
Αυτή η διαφάνεια μας δηλώνει το εύρος των διευθύνσεων IP που υπάγονται στο ASN της Υεμένης, δηλαδή στο AS12486. Ο λόγος που τις αναφέρει ο εισηγητής είναι διότι θέλει να ξεκαθαρίσει ότι όταν βλέπουμε οποιαδήποτε από αυτές τις διευθύνσεις στις επόμενες διαφάνειες, αναφέρεται στο δίκτυο της Υεμένης.
Στη παραπάνω σχηματική αναπαράσταση βλέπουμε πως η Υεμένη συνδέεται στο διαδίκτυο μέσω των έξι παρόχων που είδαμε παραπάνω. Μέσα σε κάθε κύκλο είναι το ASN και το όνομα του παρόχου της κάθε γραμμής. Έτσι έχουμε μία καλύτερη εικόνα του τι ακριβώς περιγράφεται.
Το επόμενο σχέδιο παρουσιάζει ότι ακριβώς αναφέραμε, δηλαδή ότι οποιοσδήποτε θέλει να φτάσει στο δίκτυο της Υεμένης από το διαδίκτυο, καθώς και όποιος θέλει μέσα από την Υεμένη να χρησιμοποιήσει κάποια διαδικτυακή υπηρεσία εκτός της χώρας, θα πρέπει να περάσει σίγουρα από έναν από αυτούς τους παρόχους τηλεπικοινωνιακών γραμμών.
Με βάση τη παραπάνω επεξήγηση του δικτύου της Υεμένης, του YemenNet, ο εισηγητής είναι σε θέση να βγάλει κάποια συμπεράσματα για τη τεχνική υλοποίηση του. Αυτά είναι τα εξής.
- Το YemenNet πρέπει να έχει ένα δρομολογητή που το συνδέει με τους παρόχους. Ο δρομολογητής αυτός θα έχει μία ξεχωριστή σύνδεση με μοναδική διεύθυνση IP για κάθε μία από τις έξι συνδέσεις.
- Αυτός ο δρομολογητής θα έχει καλώδια, δηλαδή διακρατικές υποθαλάσσιες γραμμές οπτικών ινών, που κάνουν αυτές τις συνδέσεις με τους παρόχους εφικτές.
- Το YemenNet είναι αυτό που επιλέγει σε ποιο πάροχο θα στείλει τα εξερχόμενα πακέτα δεδομένων καθώς ελέγχει το δρομολογητή που τα δρομολογεί προς τους παρόχους.
- Το YemenNet δεν είναι σε θέση όμως να ελέγχει από ποιον πάροχο έρχονται τα εισερχόμενα πακέτα γιατί αυτό εξαρτάται από τους πίνακες δρομολόγησης ολόκληρου του διαδικτύου.
Με αυτή τη διαφάνεια ο εισηγητής μας δείχνει με τη κατεύθυνση από τα βελάκια το πως τα δεδομένα μπορούν να κινούνται όταν εξέρχονται και εισέρχονται στο κράτος της Υεμένης.
Εδώ μας επισημαίνει ότι το YemenNet ελέγχει το που στέλνει τα δεδομένα αλλά δεν είναι σε θέση να ελέγξει από που θα λαμβάνει τα δεδομένα με αυτή τη σχηματική αναπαράσταση που βλέπετε παραπάνω.
Ώστε να είναι ακόμα πιο κατανοητό, στη παραπάνω διαφάνεια ο εισηγητής της NSA μας δείχνει που ακριβώς βρίσκονται αυτές οι γραμμές-καλώδια που συνδέουν την Υεμένη με το διαδίκτυο μέσω των έξι παρόχων που περιγράψαμε. Βλέπουμε ότι οι γραμμές προς τη Σαουδική Αραβία είναι επίγειες και όλες οι άλλες είναι υποθαλάσσιες. Αυτό μας δίνει μία καλύτερη εικόνα του από που ακριβώς περνάνε αυτά τα καλώδια.
Στη παραπάνω διαφάνεια είναι μία περίληψη όσων έχουμε μάθει έως τώρα. Δηλαδή, τη λογική του δικτύου της Υεμένης, το τρόπο φυσικής διασύνδεσης του, το ότι μπορεί να επιλέγει που θα στέλνει τα δεδομένα, αλλά οι δυναμικοί πίνακες δρομολόγησης του διαδικτύου ελέγχουν από που θα λαμβάνει τα δεδομένα. Ας προχωρήσουμε.
Εδώ ο υπάλληλος της NSA εξηγεί ότι βάσει των παραπάνω δεδομένων γνωρίζουμε τα ακόλουθα πράγματα για το δρομολογητή του YemenNet.
- Έχει τουλάχιστον 7 συνδέσεις με μοναδικές διευθύνσεις IP σε κάθε μία. Έχει 6 συνδέσεις με τους παρόχους, και μία με το εσωτερικό του δίκτυο.
- Η IP του εσωτερικού δικτύου είναι στο εύρος των εσωτερικών διευθύνσεων που σημαίνει ότι το εύρος αυτό έχει και δύο διευθύνσεις που δε χρησιμοποιούνται όπως ορίζει το πρωτόκολλο IP.
- Συνήθως τα πιο μεγάλα δίκτυα είναι αυτά που «θυσιάζουν» διευθύνσεις IP για να επικοινωνούν με μικρότερα δίκτυα.
Με βάση τα παραπάνω, μας παρουσιάζεται το επόμενο παράδειγμα που αφορά μία σύνδεση με τον πάροχο Sprint Corp.
Εδώ βλέπουμε ότι ο δρομολογητής του YemenNet στη σύνδεση του με το Sprint (έναν από τους μεγαλύτερους παρόχους των ΗΠΑ) χρησιμοποιεί το εύρος διευθύνσεων του Sprint για να μπορέσει να επικοινωνήσει μαζί του. Ας δούμε γιατί είναι σημαντική αυτή η πληροφορία για τον επιτιθέμενο.
Αυτό που μας λέει η παραπάνω διαφάνεια είναι ότι εάν από οπουδήποτε στο διαδίκτυο επισκεφθούμε κάποια διαδικτυακή υπηρεσία που βρίσκεται στην Υεμένη και δούμε ότι η σύνδεση μας πέρασε από το δρομολογητή με διεύθυνση IP 144.232.234.150, τότε γνωρίζουμε ότι χρησιμοποιήθηκε ο πάροχος Sprint μέσω του καλωδίου SMW-3 που φαίνονταν στο χάρτη στις προηγούμενες διαφάνειες. Ο λόγος είναι ότι η διεύθυνση ανήκει στο εύρος του παρόχου Sprint και ήδη έχουμε χαρτογραφήσει τις φυσικές συνδέσεις των καλωδίων. Άρα το ίδιο ισχύει για κάθε ένα εκ των έξι παρόχων στο παράδειγμα της Υεμένης.
Στη διαφάνεια που βλέπετε παραπάνω ο εισηγητής πρόσθεσε τις διευθύνσεις για όλες τις υπόλοιπες συνδέσεις ώστε το παράδειγμα να είναι ρεαλιστικό. Ας προχωρήσουμε όμως στην επόμενη διαφάνεια.
Σε αυτή τη διαφάνεια ο εισηγητής εξηγεί ότι όλα όσα θα εξηγήσει είναι για εκπαιδευτικούς λόγους και τα δεδομένα που παρουσιάζονται δε θα πρέπει να χρησιμοποιηθούν για επιχειρήσεις. Εάν κάποιος χρειάζεται κάτι τέτοιο πρέπει να εκτελέσει από την αρχή την επίθεση που παρουσιάζεται. Συνεχίζουμε στην επόμενη διαφάνεια.
Εδώ προειδοποιεί ότι η παρουσίαση κάνει κάποιες υποθέσεις. Συγκεκριμένα ότι όλες οι συνδέσεις είναι ίσης αξίας, ότι το ίδιο το YemenNet δε κάνει κάτι για να επηρεάσει τη δρομολόγηση, και ότι όλες οι συνδέσεις είναι σε λειτουργία. Ας προχωρήσουμε στο κυρίως θέμα της παρουσίασης τώρα.
Παραπάνω ο αναλυτής της NSA λέει ότι θέλει να κάνει συλλογή SIGINT (Signals Intelligence, Υποκλοπή Σημάτων) στην Υεμέμνη οπότε πρώτα πρέπει να ρωτήσει το τμήμα SSO (Special Source Operations, Επιχειρήσεις Ειδικών Πηγών) της NSA για το αν έχουν ήδη ικανότητα υποκλοπής σε κάποια από τις συνδέσεις. Ο εισηγητής υποθέτει ότι το SSO έχει ήδη πρόσβαση στη γραμμή που συνδέει το YemenNet με το Sprint καθώς και στη γραμμή YemenNet-FLAG αλλά τίποτα για όλους τους άλλους παρόχους. Αυτό θα ήτο πολύ λογικό για το SSO καθώς ο πάροχος τηλεπικοινωνιών Sprint είναι αμερικανικός, και ο πάροχος FLAG βρετανικός. Οπότε θα ήτο απολύτως λογικό να επιτρέπουν στις κρατικές υπηρεσίες τους πρόσβαση στους τηλεπικοινωνιακούς κόμβους τους, και κατ’επέκταση η NSA να είναι σε θέση να κάνει ότι βλέπουμε εδώ.
Το παραπάνω διάγραμμα δείχνει τη κατάσταση που μελετάει αυτό το σενάριο. Βλέπουμε ότι η NSA έχει ήδη πρόσβαση στις γραμμές που συνδέουν τους παρόχους FLAG και Sprint με το YemenNet. Συγκεκριμένα, το πρώτο έχει CASN (Case Notation, Περιγραφή Υπόθεσης) YM234500000 και υποκλέπτεται από το σταθμό SIGAD (SIGINT Activity Designator, Αναγνωριστικό Ενέργειας Υποκλοπής Σημάτων) υπ’αριθμόν US-9999, και το δεύτερο έχει CASN YM567800000 και υποκλέπτεται από το SIGAD US-8888. Και όπως είπαμε, η NSA δεν έχει πρόσβαση στις άλλες τέσσερις γραμμές.
Ο εισηγητής μας επισημαίνει να θυμόμαστε όσα αναφέραμε στην εισαγωγή και προχωράει με την επόμενη διαφάνεια.
Εδώ μας εξηγεί ότι εάν τα δεδομένα που αναζητά ο αναλυτής SIGINT τυχαίνει να περνάνε από τις γραμμές FLAG ή Sprint που ήδη υποκλέπτονται από τους τα SIGAD US-9999 και US-8888, τότε δε χρειάζεται να κάνει τίποτα γιατί ήδη μπορεί να δει τις επικοινωνίες, αλλά…
Όπως βλέπετε στη παραπάνω διαφάνεια, εάν η επικοινωνίες περνάνε από οποιοδήποτε άλλο πάροχο, τότε η NSA δε θα μπορέσει να τα υποκλέψει. Όπως όλες οι υπηρεσίες πληροφοριών, έτσι και η NSA δε βασίζεται στη τύχη άρα ας προχωρήσουμε για να δούμε πως θα συλλέξει όλες τις επικοινωνίες της Υεμένης σε αυτή την εκπαιδευτική παρουσίαση.
Εδώ μας λέει ότι εάν υποθέσουμε ότι όλες οι συνδέσεις είναι ισάξιες, σημαίνει ότι υποκλέπτουμε μόνο 2 από τις 6 γραμμές, δηλαδή το 33% όλων των επικοινωνιών της Υεμένης. Ας προχωρήσουμε.
Εδώ μας εξηγεί ότι πρέπει να κάνουμε «μορφοποίηση» (shaping) ώστε να κάνουμε όλες τις επικοινωνίες να πηγαίνουν από αυτές τις δύο συνδέσεις που έχουμε πρόσβαση. Υπάρχουν δύο πλευρές. Όλες οι επικοινωνίες από την Υεμένη, ή όλες τις επικοινωνίες προς την Υεμένη.
Στη διαφάνεια που βλέπετε παραπάνω μελετάμε το σενάριο υποκλοπής επικοινωνιών από την Υεμένη προς το διαδίκτυο. Μας λέει ότι εδώ χρειάζεται πρόσβαση στους δρομολογητές του YemenNet μέσω CNE (Computer Network Exploitation, Εκμετάλλευση Δικτύου Υπολογιστών), με απλά λόγια χάκινγκ. Έπειτα απλώς αλλάζουν τις ρυθμίσεις του δρομολογητή ώστε να στέλνει όλα τα δεδομένα από τους παρόχους στους οποίους το SSO κάνει παθητική συλλογή, δηλαδή Sprint και FLAG στο παράδειγμα μας. Μάλιστα τονίζει ότι αυτό είναι αδύνατο να εντοπιστεί από τους χρήστες του δικτύου, παρά μόνο από τους διαχειριστές του YemenNet.
Εδώ μας τονίζει ότι εάν βρισκόμαστε στην Υεμένη τότε είναι απολύτως στον έλεγχο του δρομολογητή του YemenNet το ποιο πάροχο θα χρησιμοποιήσει.
Οπότε παραπάνω μας λέει ότι από ατυχία έπεσες σε κάποια γραμμή που δε μπόρεσες να υποκλέψεις.
Δε πειράζει, γιατί εφόσον όλες οι επικοινωνίες από την Υεμένη προς το διαδίκτυο περνούσαν μέσω του Sprint, τότε απλώς αναζητάς τις υποκλοπές στη παθητική συλλογή US-8888 που έχει ήδη εγκαταστήσει το SSO στις υποδομές της Sprint.
Η διαφάνεια παραπάνω μας αναφέρει ότι για υποκλοπές εξερχόμενων δεδομένων από ένα κράτος πρέπει να γνωρίζεις τους παρόχους, τις υπάρχουσες ικανότητες συλλογής, τις διευθύνσεις, και πως να αναδρομολογήσεις τη κίνηση ώστε να περνάει από σημείο συλλογής της υπηρεσίας.
Και τώρα μπαίνουμε στις υποκλοπές εισερχόμενων δεδομένων σε ένα κράτος που, όπως αναφέρει, ταιριάζει πιο πολύ στον όρο «μορφοποίηση» δικτύου, απ’ότι το προηγούμενο. Επίσης, μας αναφέρει ότι υπάρχει μόνο ένας γνωστός τρόπος επίτευξης αυτής της συλλογής SIGINT.
Παραπάνω βλέπετε ότι σε αυτό το σενάριο ξεκινάμε με δεδομένο ότι κάποιος κάπου στο διαδίκτυο θέλει να στείλει κάτι προς το δίκτυο της Υεμένης, το YemenNet, το οποίο εμείς θέλουμε να υποκλέψουμε.
Και όπως διαβάζουμε, ο στόχος είναι αυτή η εισερχόμενη κίνηση να περάσει από τα δύο σημεία παθητικής συλλογής SIGINT που υπάρχουν ήδη, το FLAG και Sprint.
Ωστόσο, το από που θα εισέρθει η κάθε διαδκτυακή επικοινωνία στο δίκτυο της Υεμένης δεν είναι ελεγχόμενο, καθώς κάθε δρομολογητής στο διαδίκτυο χρησιμοποιεί το πρωτόκολλο BGP για να αποφασίζει τι να στείλει προς τα που. Οπότε, αρχικά υπάρχει η πιθανότητα να συλλέγει η NSA τη κίνηση από τις 2 εκ των έξι συνδέσεων, άρα πιθανότητα 33%.
Παραπάνω βλέπουμε ότι η εξερχόμενη κίνηση είναι πιο εύκολο να οδηγηθεί σε σημεία συλλογής, από την εισερχόμενη. Ας προχωρήσουμε…
Μας αναφέρει ότι το 33% συλλογής δε λειτούργησε για τις ανάγκες πληροφοριών, άρα τι μπορούμε να κάνουμε ώστε να είμαστε σίγουροι ότι όλη η εισερχόμενη κίνηση θα περνά από σημεία παθητικής συλλογής SIGINT;
Υπάρχουν μερικές επιλογές για να το επιτύχει κανείς αυτό.
Πρώτον, μπορούμε να ρυθμίσουμε τους πίνακες δρομολογήσεως του BGP στα σημεία που είναι υπό τον έλεγχο μας ώστε να φαίνονται ως η πιο καλή-γρήγορη επιλογή στο διαδίκτυο για να φτάσει κανείς στο YemenNet, αλλά…
Αυτό πρώτον θα ήταν ορατό σε όλους τους δρομολογητές του διαδικτύου (αλλαγή στους πίνακες του BGP), και δεύτερον, θα έπιανε όλες τις εισερχόμενες επικοινωνίες προς την Υεμένη που θα ήταν πολύ ξεκάθαρο στους διαχειριστές του YemenNet.
Άλλη επιλογή θα ήτο να γίνει δολιοφθορά σε όλες τις άλλες γραμμές με βομβιστικές επιθέσεις και κόψιμο των υποθαλλάσιων καλωδίων, που όμως δεν είναι κάτι λογικό σε πρακτικό επίπεδο.
Υπάρχει και ένας άλλος όμως τρόπος…
Παραπάνω βλέπετε το πίνακα με τις διευθύνσεις για κάθε σύνδεση με τους έξι παρόχους που η παρουσίαση είχε αναφέρει και νωρίτερα.
Μας αναφέρει παραπάνω ότι στη πράξη οι διευθύνσεις είναι όπως τις βλέπετε, όχι όπως παρουσιάστηκαν αρχικά ως μία απλοποιημένη αναπαράσταση.
Μας τονίζει ότι το σημαντικό είναι να παρατηρήσουμε ότι κάθε πάροχος έχει παραχωρήσει μία διεύθυνση IP του στο δρομολογητή του YemenNet για να γίνουν αυτές οι συνδέσεις.
Μας γράφει ότι εάν εκτελέσουμε μία εντολή «traceroute» που έχουν όλοι οι υπολογιστές προς το δίκτυο της Υεμένης, δε γνωρίζουμε από ποιο πάροχο θα δρομολογηθεί.
Και μας δείχνει ότι εκτελούμε μία εντολή «traceroute» από τον υπολογιστή μας προς τη διεύθυνση 86.51.2.110 που αντιστοιχεί στο δρομολογητή της Υεμένης για τη σύνδεση με το πάροχο Mobility.
Μας λέει προφανώς δρομολογήθηκε προς την Υεμένη, αλλά πρέπει να προσέξουμε ότι καθώς η διεύθυνση πρακτικά ανήκει στην εταιρία Mobility (που την έχει παραχωρήσει στο YemenNet για να επικοινωνούν), πριν φτάσει στο YemenNet, η κίνηση πέρασε από τους δρομολογητές του παρόχου Mobility.
Και καθώς εμείς ορίσαμε τη διεύθυνση αυτή στο «traceroute», αναγκάσαμε την επικοινωνία να περάσει από το δίκτυο της Mobility. Τι θα γίνει όταν το κάνει κάποιος αυτό με την αντίστοιχη διεύθυνση του παρόχου FLAG;
Βλέπετε παραπάνω ότι όποιος κάνει το ίδιο «traceroute» προς τη διεύθυνση 62.216.145.130 του παρόχου FLAG…

Αντίστοιχα με πριν, η κίνηση περνάει μέσω των δρομολογητών του παρόχου FLAG στον οποίο η υπηρεσία ήδη διαθέτει παθητική συλλογή SIGINT όπως είδαμε νωρίτερα. Με αυτή τη τεχνική μπορεί να γίνει «μορφοποίηση» της κίνησης από οπουδήποτε στο διαδίκτυο προς ένα συγκεκριμένο κράτος.
Υπάρχει διαφορά στην υποκλοπή εισερχόμενης ή εξερχόμενης κίνησης όπως παρουσιάστηκε παραπάνω, και εδώ θα μας δείξει ο εισηγητής τι γίνεται εάν δε δούλεψε αυτή η τεχνική που παρουσιάζεται.
Στη παραπάνω διαφάνεια μας αναφέρει ότι σε αυτή τη περίπτωση πρέπει να αναλογηστούμε τα ακόλουθα πράγματα:
- Ας υποθέσουμε ότι θέλεις να περάσεις τη κίνηση μέσω του σημείου συλλογής (SIGAD) US-9999
- Κοιτάς τις συνδέσεις που υπάρχουν στο στόχο, μάλλον με το εργαλείο BLACKPEARL (αυτό είναι ένα άκρως απόρρητο εργαλείο της NSA που έχει χάρτες με συνδέσεις, δρομολογητές, και αντίστοιχες πληροφορίες για το διαδίκτυο)
- Εντοπίζεις μία σύνδεση από το διαδίκτυο προς τη κράτος-στόχο που υπάρχει πρόσβαση της υπηρεσίας, υποθετικά είναι το CASN GE01010000
- Βλέπεις τις διευθύνσεις IP στη πλευρά του προορισμού και λες «θα στείλω εκεί τα δεδομένα και αυτά θα περάσουν μέσω του US-9999, του CASN GE010100000»
- Απογοητέυσε γιατί η συλλογή δεν είναι αξιόπιστη
- Τι πήγε στραβά; Ας δούμε τι ξέρουμε…

Πρώτον, ξέρεις εάν αυτός είναι όντως ο μοναδικός πάροχος του στόχου; Ίσως να υπάρχουν και άλλες διαδρομές. Πως θα το βρεις;
Κοιτάς του πίνακες δρομολόγησης BGP του διαδικτύου και αναζητάς παρόχους για το ASN του κράτους-στόχου.
Μπορείς να κάνεις «traceroute» εντολές από διάφορα σημεία του διαδικτύου προς τις διευθύνσεις του κράτους-στόχου για να δεις από που περνάνε.

Τώρα που είναι γνωστά τα στοιχεία δρομολόγησης, τι κάνεις;

Μία προσέγγιση θα ήταν να βρεις πρόσβαση για συλλογή σε όλους τους παρόχους, σε αυτό το παράδειγμα Cogent, Sprint, και Level 3.
Η δεύτερη επιλογή είναι να βρεις τη διεύθυνση IP του παρόχου Level 3 από τη πλευρά του κράτους-στόχου και να αναδρομολογήσεις τις επικοινωνίες του στόχου σου προς αυτή τη διεύθυνση για επικοινωνίες προς το κράτος-στόχο.

Εάν όλη η κίνηση περνάει από ένα και μόνο πάροχο, υποθετικά το Level 3, τότε τόσο εισερχόμενες όσο και εξερχόμενες θα περνάνε από το πάροχο στον οποίο ήδη γίνεται παθητική συλλογή.
Τα παραπάνω ήταν το θεωρητικό κομμάτι στο οποίο όλα λειτουργούν όπως έχουν σχεδιαστεί. Στη συνέχεια ο εισηγητής μας δείχνει προβλήματα που έχει αντιμετωπίσει στη πράξη κατά τη διενέργεια αυτής της τεχνικής για συλλογή SIGINT.
Μας αναφέρει ότι στη πράξη ο κάθε πάροχος δεν έχει μία και μοναδική γραμμή με το κράτος-στόχο. Κάποιες φορές γίνεται, αλλά άλλες φορές υπάρχουν πολλές διασυνδέσεις με κάθε πάροχο.
Στο παραπάνω παράδειγμα ο πάροχος Level 3 έχει δύο συνδέσεις για λόγους αξιοπιστίας με το κράτος στόχο.
Εάν η συλλογή US-9999 GE01010000 γίνεται μόνο σε μία από τις δύο συνδέσεις στο πάροχο Level 3, δε θα υπάρχει αξιόπιστη συλλογή.
Μας αναφέρει εδώ ότι ακόμη και εάν ρυθμίσουμε το δρομολογητή στη διασύνδεση που συλλέγουμε, τίποτα δε μας εγγυάται ότι μέρος της επικοινωνίας δε θα περάσει από τη δεύτερη διασύνδεση.
Παραπάνω ο εισηγητής αναφέρει ότι πρέπει να γίνει κατανοητό ότι για τους παρόχους οι εφεδρικές γραμμές και η κίνηση είναι χρήμα. Κάποιος πάροχος μπορεί να έχει διαφορετικές χρεώσεις από άλλον ανάλογα με τη χρήση των γραμμών του.
Εάν για παράδειγμα ήταν διπλάσιο κόστος οι γραμμές του Level 3 από αυτές των Cogent ή Sprint, θα ρύθμιζαν το δρομολογητή τους ώστε να χρησιμοποιεί όσο το δυνατόν λιγότερο τον πάροχο Level 3 σε σχέση με τους άλλους δύο.
Μία τέτοια ρύθμιση θα οδηγούσε σε πρόβλημα στη «μορφοποίηση» δικτύου που παρουσιάζεται εδώ.
Ακόμα και εάν ρυθμιστεί ο στόχος ώστε να στέλνει προς ένα συγκεκριμένο δρομολογητή του κράτους-στόχου, ίσως λόγω της παραπάνω ρυθμίσεως να πηγαίνει από τις φτηνότερες γραμμές.
Το ίδιο και για την εξερχόμενη κίνηση από το κράτος-στόχο.

Στις παραπάνω διαφάνειες μας επιστρέφει στο αρχικό σενάριο με μία διασύνδεση που περνάει από το σημείο συλλογής US-9999 στο οποίο υπάρχει πρόσβαση.
Γίνεται η «μορφοποίηση» δικτύου όπως αναλύθηκε παραπάνω, αλλά τα δεδομένα δε φαίνεται να έχουν υποκλαπεί εις το US-9999.
Ίσως το τμήμα SSO που είναι υπεύθυνο για αυτά τα σημεία συλλογής να φιλτράρει τη κίνηση που αναζητάς και να την απορρίπτει χωρίς να την αποθηκεύει ή να την επεξεργάζεται.
Αυτό το άκρως απόρρητο «μάθημα» της NSA που μοιραστήκαμε εδώ μαζί σας δείχνει κάποιες τεχνικές ικανότητες για σύγχρονη μαζική συλλογή SIGINT οι οποίες χρησιμοποιούνται ακριβώς με τον ίδιο τρόπο και σήμερα. Ελπίζουμε να σας βοήθησε να τις κατανοήσετε, όπως επίσης και να δείτε ότι όταν ένα κράτος αποτελεί διεθνή τηλεπικοινωνιακό κόμβο, έχει πολλά πλεονεκτήματα πέραν της οικονομικής ανάπτυξης. Ένα εξ’αυτών είναι και η ικανότητα διενέργειας τέτοιου είδους μυστικών επιχειρήσεων συλλογής SIGINT για παρακολούθηση άλλων κρατών.
ΗΠΑ
#NSA #Παρακολούθηση #κρατών #μέσω #δικτύων