News

News

Δευτέρα
Δεκέμβριος, 11

NSA: Παρακολούθηση κρατών μέσω δικτύων

Τη Τρίτη 28 Ιουνίου του 2016 η ηλεκτρονική εφημερίδα The Intercept έκανε μία σειρά από διαρροές τεχνικών εγγράφων της NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας) των ΗΠΑ που αφορούν τη παρακολούθηση όλων των διαδικτυακών επικοινωνιών ολόκληρων κρατών. Αυτή τη τεχνική δυνατότητα θα μελετήσουμε σε αυτό το άρθρο, και θα δούμε και πως το ένα κράτος να αποτελεί διαδικτυακό κόμβο δε βοηθά μόνο την οικονομία, αλλά και τις ικανότητες υποκλοπών διότι ένα μεγάλο μέρος ξένων επικοινωνιών περνούν από υποδομές του κράτους.

Πηγή: BBC.com

Όπως δήλωσε ο πρώην συμβασιούχος υπάλληλος της NSA και πρώην υπάλληλος της CIA, κύριος Έντουαρντ Σνόουντεν, για αυτή τη διαρροή, είναι μέρος από μία παρουσίαση που είχε κάνει ο συγγραφέας της διαρροής «NSA Εναντίον Διαχειριστών Συστημάτων» που είχαμε δημοσιεύσει στο παρελθόν. Σε πρακτικό επίπεδο, ο στόχος της παρουσίασης αυτής είναι το πως μπορεί η NSA να επηρεάσει τη δρομολόγηση των πακέτων δεδομένων σε ένα δίκτυο ώστε να οδηγήσει συγκεκριμένες συνδέσεις να περνάνε από σημεία που ελέγχει η υπηρεσία. Η τεχνική αυτή ονομάζεται «traffic shaping» (μορφοποίηση κίνησης).

Πηγή: OffTheGridNews.com

Για να το κατανοήσουν καλύτερα αυτό όλοι οι αναγνώστες μας, πρέπει να κάνουμε μία πάρα πολύ επιφανειακή εισαγωγή στο πως λειτουργούν οι ψηφιακές επικοινωνίες στο διαδίκτυο. Όταν θέλουμε να ζητήσουμε ή να λάβουμε κάτι από το διαδίκτυο, το αίτημα μας χωρίζεται σε μικρότερα πακέτα δεδομένων και αυτά με τη σειρά τους στέλνονται στο διαδίκτυο. Το κάθε πακέτο έχει στοιχεία αποστολέα και παραλήπτη και ακολουθεί μία πορεία που δεν είναι απαραίτητο ότι θα είναι κοινή με τα υπόλοιπα πακέτα δεδομένων. Με αυτό το τρόπο το διαδίκτυο μπορεί να λειτουργεί ακόμα και όταν υπάρχουν βλάβες σε κυκλώματα. Επίσης, το κάθε πακέτο περνάει από κάποιες συσκευές που ονομάζονται δρομολογητές (routers) και αποφασίζουν από που θα το προωθήσουν για να φτάσει στο τελικό προορισμό του. Βλέπετε μία σχηματική αναπαράσταση εδώ.

Πηγή: dtucker.cs.edinboro.edu

Γνωρίζοντας τα παραπάνω πρέπει να είναι ήδη κατανοητό το πως επηρεάζοντας τις επιλογές δρομολόγησης των πακέτων δεδομένων μία υπηρεσία πληροφοριών με μεγάλες παγκόσμιες υποδομές μπορεί να οδηγήσει οποιαδήποτε διαδικτυακή επικοινωνία μίας ολόκληρης χώρας να περνάει από σημεία που ελέγχει και στα οποία μπορεί να υποκλέψει τα διερχόμενα πακέτα δεδομένων. Και τώρα που τα περιγράψαμε αυτά επιγραμματικά, πάμε να δούμε και να αναλύσουμε τις διαφάνειες που διέρρευσαν.

Πηγή: EdwardSnowden.com

Στη πρώτη διαφάνεια βλέπουμε ότι η παρουσίαση είναι για Network Shaping (Μορφοποίηση Δικτύου) και έχει ημερομηνία 8 Ιανουαρίου του 2007. Επίσης, η ημερομηνία αποχαρακτηρισμού της είχε καθοριστεί να είναι 8 Ιανουαρίου του 2032. Ας συνεχίσουμε στην επόμενη διαφάνεια.

Πηγή: EdwardSnowden.com

Βλέπουμε ότι η παρουσίαση ήταν άκρως απόρρητη (Top Secret) και αποκλειστικά για τις χώρες της συμμαχίας της κοινότητας υπηρεσιών πληροφοριών. Δηλαδή, ΗΠΑ, Αυστραλία, Καναδά, Μεγάλη Βρετανία και Νέα Ζηλανδία. Το γνωστό σε όσους ασχολούνται με το χώρο των υπηρεσιών πληροφοριών, FIVE EYES (Τα πέντε μάτια) ή FVEY για συντομία. Προχωράμε στην επόμενη διαφάνεια.

Πηγή: EdwardSnowden.com

Στη συνέχεια βλέπουμε την ατζέντα της παρουσίασης που περιλαμβάνει τα συνηθισμένα ζητήματα, παράδειγμα των δικτύων-στόχων, το πως θα είναι στη πράξη η μορφοποίηση αυτού του δικτύου, τα βασικά προβλήματα αυτής της τακτικής, και τέλος, τα πιο προχωρημένα προβλήματα κατά την εκτέλεση τέτοιων επιχειρήσεων.

Πηγή: EdwardSnowden.com

Σε αυτή τη διαφάνεια βλέπουμε τα τρία συχνά λάθη σε όσους θέλουν να μάθουν για τη μορφοποίηση δικτύων για παρακολουθήσεις κρατών. Με τη σειρά που περιγράφονται, αυτά είναι:

  • Για να κατανοήσει κάποιος πότε δουλεύει και πότε δε δουλεύει αυτή η τεχνική πρέπει να πάει πίσω στις βασικές αρχές δικτύων υπολογιστών.
  • Για να μπορέσει κάποιος να λάβει τη μέγιστη γνώση από αυτή τη παρουσίαση είναι καλό να κατανοεί τις έννοιες IP, εύρος CIDR και Αυτόνομα Συστήματα Δικτύων (ASN)
  • Τέλος, ξεκαθαρίζει ότι μερικές από τις διευθύνσεις IP και τα γεγονότα που περιγράφονται είναι φανταστικά. Επισημαίνει ότι στη παρουσίαση χρησιμοποιείται το εθνικό δίκτυο της Υεμένης (YemenNet) ως στόχος αλλά αυτές οι πληροφορίες είναι πλέον παρωχημένες και όχι πλήρεις, άρα δε θα πρέπει κανείς να τις λάβει ως μέρος κάποιας επιχειρησιακής ανάλυσης.

Πηγή: EdwardSnowden.com

Εδώ ο συγγραφέας ξεκαθαρίζει ότι δε θα μιλήσει για το Δεύτερο Επίπεδο από το μοντέλο OSI, δηλαδή το πρωτόκολλο όπου τα συστήματα καθορίζουν τη διεύθυνση τους. Σε αυτό το επίπεδο, δηλαδή αν κάποιος ελέγχει το δίκτυο σε τόσο χαμηλό επίπεδο, είναι εύκολο να κάνει τα πακέτα να πηγαίνουν όπου επιθυμεί. Ωστόσο, όπως αναφέρει η πρόσβαση τέτοιου επιπέδου δεν είναι πάντα εύκολη καθώς προϋποθέτει πρόσβαση σε συγκεκριμένες υποδομές. Άρα, παρότι γίνεται, δεν είναι πρακτικό. Έτσι, ο συγγραφέας κάνει μορφοποίηση στο επίπεδο της μεταφοράς των δεδομένων (επίπεδο 3, το επίπεδο δικτύου).

Πηγή: EdwardSnowden.com

Στη συνέχεια μας ορίζει το δίκτυο-στόχο, το κράτος της Υεμένης. Στο διαδίκτυο, όλοι οι πάροχοι υπηρεσιών πρόσβασης έχουν ένα εύρος διευθύνσεων IP για να συνδέονται με το δίκτυο αλλά και να συνδέουν τους χρήστες τους. Αυτό το εύρος ομαδοποιείται στα λεγόμενα AS (Autonomous System) που είναι αριθμοί που δηλώνουν σε ποιους ιδιοκτήτες-δρομολογητές ανήκουν αυτές τις διευθύνσεις IP. Όλα αυτά τα AS ομαδοποιούνται σε έναν μοναδικό αριθμό που είναι γνωστός ως ASN (Autonomous System Number). Άρα η παραπάνω διαφάνεια μας λέει ότι το κράτος της Υεμένης έχει ένα μόνο ASN, το AS12486 και συνδέεται με έξι παρόχους με το υπόλοιπο διαδίκτυο, οι πάροχοι αυτοί είναι η Mobility που έχει AS35819, η Tata Communications που έχει AS6453, η FLAG που έχει AS15412, η PCCW Global που έχει AS3491, η Saudi Telecom Company που έχει AS39386, και τέλος, η Sprint Corporation με AS1239. Άρα μέσα από αυτές τις έξι γραμμές τηλεπικοινωνιών, η Υεμένη έχει πρόσβαση στο διαδίκτυο.

Πηγή: EdwardSnowden.com

Αυτή η διαφάνεια μας δηλώνει το εύρος των διευθύνσεων IP που υπάγονται στο ASN της Υεμένης, δηλαδή στο AS12486. Ο λόγος που τις αναφέρει ο εισηγητής είναι διότι θέλει να ξεκαθαρίσει ότι όταν βλέπουμε οποιαδήποτε από αυτές τις διευθύνσεις στις επόμενες διαφάνειες, αναφέρεται στο δίκτυο της Υεμένης.

Πηγή: EdwardSnowden.com

Στη παραπάνω σχηματική αναπαράσταση βλέπουμε πως η Υεμένη συνδέεται στο διαδίκτυο μέσω των έξι παρόχων που είδαμε παραπάνω. Μέσα σε κάθε κύκλο είναι το ASN και το όνομα του παρόχου της κάθε γραμμής. Έτσι έχουμε μία καλύτερη εικόνα του τι ακριβώς περιγράφεται.

Πηγή: EdwardSnowden.com

Το επόμενο σχέδιο παρουσιάζει ότι ακριβώς αναφέραμε, δηλαδή ότι οποιοσδήποτε θέλει να φτάσει στο δίκτυο της Υεμένης από το διαδίκτυο, καθώς και όποιος θέλει μέσα από την Υεμένη να χρησιμοποιήσει κάποια διαδικτυακή υπηρεσία εκτός της χώρας, θα πρέπει να περάσει σίγουρα από έναν από αυτούς τους παρόχους τηλεπικοινωνιακών γραμμών.

Πηγή: EdwardSnowden.com

Με βάση τη παραπάνω επεξήγηση του δικτύου της Υεμένης, του YemenNet, ο εισηγητής είναι σε θέση να βγάλει κάποια συμπεράσματα για τη τεχνική υλοποίηση του. Αυτά είναι τα εξής.

  • Το YemenNet πρέπει να έχει ένα δρομολογητή που το συνδέει με τους παρόχους. Ο δρομολογητής αυτός θα έχει μία ξεχωριστή σύνδεση με μοναδική διεύθυνση IP για κάθε μία από τις έξι συνδέσεις.
  • Αυτός ο δρομολογητής θα έχει καλώδια, δηλαδή διακρατικές υποθαλάσσιες γραμμές οπτικών ινών, που κάνουν αυτές τις συνδέσεις με τους παρόχους εφικτές.
  • Το YemenNet είναι αυτό που επιλέγει σε ποιο πάροχο θα στείλει τα εξερχόμενα πακέτα δεδομένων καθώς ελέγχει το δρομολογητή που τα δρομολογεί προς τους παρόχους.
  • Το YemenNet δεν είναι σε θέση όμως να ελέγχει από ποιον πάροχο έρχονται τα εισερχόμενα πακέτα γιατί αυτό εξαρτάται από τους πίνακες δρομολόγησης ολόκληρου του διαδικτύου.

Πηγή: EdwardSnowden.com

Με αυτή τη διαφάνεια ο εισηγητής μας δείχνει με τη κατεύθυνση από τα βελάκια το πως τα δεδομένα μπορούν να κινούνται όταν εξέρχονται και εισέρχονται στο κράτος της Υεμένης.

Πηγή: EdwardSnowden.com

Εδώ μας επισημαίνει ότι το YemenNet ελέγχει το που στέλνει τα δεδομένα αλλά δεν είναι σε θέση να ελέγξει από που θα λαμβάνει τα δεδομένα με αυτή τη σχηματική αναπαράσταση που βλέπετε παραπάνω.

Πηγή: EdwardSnowden.com

Ώστε να είναι ακόμα πιο κατανοητό, στη παραπάνω διαφάνεια ο εισηγητής της NSA μας δείχνει που ακριβώς βρίσκονται αυτές οι γραμμές-καλώδια που συνδέουν την Υεμένη με το διαδίκτυο μέσω των έξι παρόχων που περιγράψαμε. Βλέπουμε ότι οι γραμμές προς τη Σαουδική Αραβία είναι επίγειες και όλες οι άλλες είναι υποθαλάσσιες. Αυτό μας δίνει μία καλύτερη εικόνα του από που ακριβώς περνάνε αυτά τα καλώδια.

Πηγή: EdwardSnowden.com

Στη παραπάνω διαφάνεια είναι μία περίληψη όσων έχουμε μάθει έως τώρα. Δηλαδή, τη λογική του δικτύου της Υεμένης, το τρόπο φυσικής διασύνδεσης του, το ότι μπορεί να επιλέγει που θα στέλνει τα δεδομένα, αλλά οι δυναμικοί πίνακες δρομολόγησης του διαδικτύου ελέγχουν από που θα λαμβάνει τα δεδομένα. Ας προχωρήσουμε.

Πηγή: EdwardSnowden.com

Εδώ ο υπάλληλος της NSA εξηγεί ότι βάσει των παραπάνω δεδομένων γνωρίζουμε τα ακόλουθα πράγματα για το δρομολογητή του YemenNet.

  • Έχει τουλάχιστον 7 συνδέσεις με μοναδικές διευθύνσεις IP σε κάθε μία. Έχει 6 συνδέσεις με τους παρόχους, και μία με το εσωτερικό του δίκτυο.
  • Η IP του εσωτερικού δικτύου είναι στο εύρος των εσωτερικών διευθύνσεων που σημαίνει ότι το εύρος αυτό έχει και δύο διευθύνσεις που δε χρησιμοποιούνται όπως ορίζει το πρωτόκολλο IP.
  • Συνήθως τα πιο μεγάλα δίκτυα είναι αυτά που «θυσιάζουν» διευθύνσεις IP για να επικοινωνούν με μικρότερα δίκτυα.

Με βάση τα παραπάνω, μας παρουσιάζεται το επόμενο παράδειγμα που αφορά μία σύνδεση με τον πάροχο Sprint Corp.

Πηγή: EdwardSnowden.com

Εδώ βλέπουμε ότι ο δρομολογητής του YemenNet στη σύνδεση του με το Sprint (έναν από τους μεγαλύτερους παρόχους των ΗΠΑ) χρησιμοποιεί το εύρος διευθύνσεων του Sprint για να μπορέσει να επικοινωνήσει μαζί του. Ας δούμε γιατί είναι σημαντική αυτή η πληροφορία για τον επιτιθέμενο.

Πηγή: EdwardSnowden.com

Αυτό που μας λέει η παραπάνω διαφάνεια είναι ότι εάν από οπουδήποτε στο διαδίκτυο επισκεφθούμε κάποια διαδικτυακή υπηρεσία που βρίσκεται στην Υεμένη και δούμε ότι η σύνδεση μας πέρασε από το δρομολογητή με διεύθυνση IP 144.232.234.150, τότε γνωρίζουμε ότι χρησιμοποιήθηκε ο πάροχος Sprint μέσω του καλωδίου SMW-3 που φαίνονταν στο χάρτη στις προηγούμενες διαφάνειες. Ο λόγος είναι ότι η διεύθυνση ανήκει στο εύρος του παρόχου Sprint και ήδη έχουμε χαρτογραφήσει τις φυσικές συνδέσεις των καλωδίων. Άρα το ίδιο ισχύει για κάθε ένα εκ των έξι παρόχων στο παράδειγμα της Υεμένης.

Πηγή: EdwardSnowden.com

Στη διαφάνεια που βλέπετε παραπάνω ο εισηγητής πρόσθεσε τις διευθύνσεις για όλες τις υπόλοιπες συνδέσεις ώστε το παράδειγμα να είναι ρεαλιστικό. Ας προχωρήσουμε όμως στην επόμενη διαφάνεια.

Πηγή: EdwardSnowden.com

Σε αυτή τη διαφάνεια ο εισηγητής εξηγεί ότι όλα όσα θα εξηγήσει είναι για εκπαιδευτικούς λόγους και τα δεδομένα που παρουσιάζονται δε θα πρέπει να χρησιμοποιηθούν για επιχειρήσεις. Εάν κάποιος χρειάζεται κάτι τέτοιο πρέπει να εκτελέσει από την αρχή την επίθεση που παρουσιάζεται. Συνεχίζουμε στην επόμενη διαφάνεια.

Πηγή: EdwardSnowden.com

Εδώ προειδοποιεί ότι η παρουσίαση κάνει κάποιες υποθέσεις. Συγκεκριμένα ότι όλες οι συνδέσεις είναι ίσης αξίας, ότι το ίδιο το YemenNet δε κάνει κάτι για να επηρεάσει τη δρομολόγηση, και ότι όλες οι συνδέσεις είναι σε λειτουργία. Ας προχωρήσουμε στο κυρίως θέμα της παρουσίασης τώρα.

Πηγή: EdwardSnowden.com

Παραπάνω ο αναλυτής της NSA λέει ότι θέλει να κάνει συλλογή SIGINT (Signals Intelligence, Υποκλοπή Σημάτων) στην Υεμέμνη οπότε πρώτα πρέπει να ρωτήσει το τμήμα SSO (Special Source Operations, Επιχειρήσεις Ειδικών Πηγών) της NSA για το αν έχουν ήδη ικανότητα υποκλοπής σε κάποια από τις συνδέσεις. Ο εισηγητής υποθέτει ότι το SSO έχει ήδη πρόσβαση στη γραμμή που συνδέει το YemenNet με το Sprint καθώς και στη γραμμή YemenNet-FLAG αλλά τίποτα για όλους τους άλλους παρόχους. Αυτό θα ήτο πολύ λογικό για το SSO καθώς ο πάροχος τηλεπικοινωνιών Sprint είναι αμερικανικός, και ο πάροχος FLAG βρετανικός. Οπότε θα ήτο απολύτως λογικό να επιτρέπουν στις κρατικές υπηρεσίες τους πρόσβαση στους τηλεπικοινωνιακούς κόμβους τους, και κατ’επέκταση η NSA να είναι σε θέση να κάνει ότι βλέπουμε εδώ.

Πηγή: EdwardSnowden.com

Το παραπάνω διάγραμμα δείχνει τη κατάσταση που μελετάει αυτό το σενάριο. Βλέπουμε ότι η NSA έχει ήδη πρόσβαση στις γραμμές που συνδέουν τους παρόχους FLAG και Sprint με το YemenNet. Συγκεκριμένα, το πρώτο έχει CASN (Case Notation, Περιγραφή Υπόθεσης) YM234500000 και υποκλέπτεται από το σταθμό SIGAD (SIGINT Activity Designator, Αναγνωριστικό Ενέργειας Υποκλοπής Σημάτων) υπ’αριθμόν US-9999, και το δεύτερο έχει CASN YM567800000 και υποκλέπτεται από το SIGAD US-8888. Και όπως είπαμε, η NSA δεν έχει πρόσβαση στις άλλες τέσσερις γραμμές.

Πηγή: EdwardSnowden.com

Ο εισηγητής μας επισημαίνει να θυμόμαστε όσα αναφέραμε στην εισαγωγή και προχωράει με την επόμενη διαφάνεια.

Πηγή: EdwardSnowden.com

Εδώ μας εξηγεί ότι εάν τα δεδομένα που αναζητά ο αναλυτής SIGINT τυχαίνει να περνάνε από τις γραμμές FLAG ή Sprint που ήδη υποκλέπτονται από τους τα SIGAD US-9999 και US-8888, τότε δε χρειάζεται να κάνει τίποτα γιατί ήδη μπορεί να δει τις επικοινωνίες, αλλά…

Πηγή: EdwardSnowden.com

Όπως βλέπετε στη παραπάνω διαφάνεια, εάν η επικοινωνίες περνάνε από οποιοδήποτε άλλο πάροχο, τότε η NSA δε θα μπορέσει να τα υποκλέψει. Όπως όλες οι υπηρεσίες πληροφοριών, έτσι και η NSA δε βασίζεται στη τύχη άρα ας προχωρήσουμε για να δούμε πως θα συλλέξει όλες τις επικοινωνίες της Υεμένης σε αυτή την εκπαιδευτική παρουσίαση.

Πηγή: EdwardSnowden.com

Εδώ μας λέει ότι εάν υποθέσουμε ότι όλες οι συνδέσεις είναι ισάξιες, σημαίνει ότι υποκλέπτουμε μόνο 2 από τις 6 γραμμές, δηλαδή το 33% όλων των επικοινωνιών της Υεμένης. Ας προχωρήσουμε.

Πηγή: EdwardSnowden.com

Εδώ μας εξηγεί ότι πρέπει να κάνουμε «μορφοποίηση» (shaping) ώστε να κάνουμε όλες τις επικοινωνίες να πηγαίνουν από αυτές τις δύο συνδέσεις που έχουμε πρόσβαση. Υπάρχουν δύο πλευρές. Όλες οι επικοινωνίες από την Υεμένη, ή όλες τις επικοινωνίες προς την Υεμένη.

Πηγή: EdwardSnowden.com

Στη διαφάνεια που βλέπετε παραπάνω μελετάμε το σενάριο υποκλοπής επικοινωνιών από την Υεμένη προς το διαδίκτυο. Μας λέει ότι εδώ χρειάζεται πρόσβαση στους δρομολογητές του YemenNet μέσω CNE (Computer Network Exploitation, Εκμετάλλευση Δικτύου Υπολογιστών), με απλά λόγια χάκινγκ. Έπειτα απλώς αλλάζουν τις ρυθμίσεις του δρομολογητή ώστε να στέλνει όλα τα δεδομένα από τους παρόχους στους οποίους το SSO κάνει παθητική συλλογή, δηλαδή Sprint και FLAG στο παράδειγμα μας. Μάλιστα τονίζει ότι αυτό είναι αδύνατο να εντοπιστεί από τους χρήστες του δικτύου, παρά μόνο από τους διαχειριστές του YemenNet.

Πηγή: EdwardSnowden.com

Εδώ μας τονίζει ότι εάν βρισκόμαστε στην Υεμένη τότε είναι απολύτως στον έλεγχο του δρομολογητή του YemenNet το ποιο πάροχο θα χρησιμοποιήσει.

Πηγή: EdwardSnowden.com

Οπότε παραπάνω μας λέει ότι από ατυχία έπεσες σε κάποια γραμμή που δε μπόρεσες να υποκλέψεις.

Πηγή: EdwardSnowden.com

Δε πειράζει, γιατί εφόσον όλες οι επικοινωνίες από την Υεμένη προς το διαδίκτυο περνούσαν μέσω του Sprint, τότε απλώς αναζητάς τις υποκλοπές στη παθητική συλλογή US-8888 που έχει ήδη εγκαταστήσει το SSO στις υποδομές της Sprint.

Πηγή: EdwardSnowden.com

Η διαφάνεια παραπάνω μας αναφέρει ότι για υποκλοπές εξερχόμενων δεδομένων από ένα κράτος πρέπει να γνωρίζεις τους παρόχους, τις υπάρχουσες ικανότητες συλλογής, τις διευθύνσεις, και πως να αναδρομολογήσεις τη κίνηση ώστε να περνάει από σημείο συλλογής της υπηρεσίας.

Πηγή: EdwardSnowden.com

Και τώρα μπαίνουμε στις υποκλοπές εισερχόμενων δεδομένων σε ένα κράτος που, όπως αναφέρει, ταιριάζει πιο πολύ στον όρο «μορφοποίηση» δικτύου, απ’ότι το προηγούμενο. Επίσης, μας αναφέρει ότι υπάρχει μόνο ένας γνωστός τρόπος επίτευξης αυτής της συλλογής SIGINT.

Πηγή: EdwardSnowden.com

Παραπάνω βλέπετε ότι σε αυτό το σενάριο ξεκινάμε με δεδομένο ότι κάποιος κάπου στο διαδίκτυο θέλει να στείλει κάτι προς το δίκτυο της Υεμένης, το YemenNet, το οποίο εμείς θέλουμε να υποκλέψουμε.

Πηγή: EdwardSnowden.com

Και όπως διαβάζουμε, ο στόχος είναι αυτή η εισερχόμενη κίνηση να περάσει από τα δύο σημεία παθητικής συλλογής SIGINT που υπάρχουν ήδη, το FLAG και Sprint.

Πηγή: EdwardSnowden.com

Ωστόσο, το από που θα εισέρθει η κάθε διαδκτυακή επικοινωνία στο δίκτυο της Υεμένης δεν είναι ελεγχόμενο, καθώς κάθε δρομολογητής στο διαδίκτυο χρησιμοποιεί το πρωτόκολλο BGP για να αποφασίζει τι να στείλει προς τα που. Οπότε, αρχικά υπάρχει η πιθανότητα να συλλέγει η NSA τη κίνηση από τις 2 εκ των έξι συνδέσεων, άρα πιθανότητα 33%.

Πηγή: EdwardSnowden.com

Παραπάνω βλέπουμε ότι η εξερχόμενη κίνηση είναι πιο εύκολο να οδηγηθεί σε σημεία συλλογής, από την εισερχόμενη. Ας προχωρήσουμε…

Πηγή: EdwardSnowden.com

Μας αναφέρει ότι το 33% συλλογής δε λειτούργησε για τις ανάγκες πληροφοριών, άρα τι μπορούμε να κάνουμε ώστε να είμαστε σίγουροι ότι όλη η εισερχόμενη κίνηση θα περνά από σημεία παθητικής συλλογής SIGINT;

Πηγή: EdwardSnowden.com

Υπάρχουν μερικές επιλογές για να το επιτύχει κανείς αυτό.

Πηγή: EdwardSnowden.com

Πρώτον, μπορούμε να ρυθμίσουμε τους πίνακες δρομολογήσεως του BGP στα σημεία που είναι υπό τον έλεγχο μας ώστε να φαίνονται ως η πιο καλή-γρήγορη επιλογή στο διαδίκτυο για να φτάσει κανείς στο YemenNet, αλλά…

Πηγή: EdwardSnowden.com

Αυτό πρώτον θα ήταν ορατό σε όλους τους δρομολογητές του διαδικτύου (αλλαγή στους πίνακες του BGP), και δεύτερον, θα έπιανε όλες τις εισερχόμενες επικοινωνίες προς την Υεμένη που θα ήταν πολύ ξεκάθαρο στους διαχειριστές του YemenNet.

Πηγή: EdwardSnowden.com

Άλλη επιλογή θα ήτο να γίνει δολιοφθορά σε όλες τις άλλες γραμμές με βομβιστικές επιθέσεις και κόψιμο των υποθαλλάσιων καλωδίων, που όμως δεν είναι κάτι λογικό σε πρακτικό επίπεδο.

Πηγή: EdwardSnowden.com

Υπάρχει και ένας άλλος όμως τρόπος…

Πηγή: EdwardSnowden.com

Παραπάνω βλέπετε το πίνακα με τις διευθύνσεις για κάθε σύνδεση με τους έξι παρόχους που η παρουσίαση είχε αναφέρει και νωρίτερα.

Πηγή: EdwardSnowden.com

Μας αναφέρει παραπάνω ότι στη πράξη οι διευθύνσεις είναι όπως τις βλέπετε, όχι όπως παρουσιάστηκαν αρχικά ως μία απλοποιημένη αναπαράσταση.

Πηγή: EdwardSnowden.com

Μας τονίζει ότι το σημαντικό είναι να παρατηρήσουμε ότι κάθε πάροχος έχει παραχωρήσει μία διεύθυνση IP του στο δρομολογητή του YemenNet για να γίνουν αυτές οι συνδέσεις.

Πηγή: EdwardSnowden.com

Μας γράφει ότι εάν εκτελέσουμε μία εντολή «traceroute» που έχουν όλοι οι υπολογιστές προς το δίκτυο της Υεμένης, δε γνωρίζουμε από ποιο πάροχο θα δρομολογηθεί.

Πηγή: EdwardSnowden.com

Και μας δείχνει ότι εκτελούμε μία εντολή «traceroute» από τον υπολογιστή μας προς τη διεύθυνση 86.51.2.110 που αντιστοιχεί στο δρομολογητή της Υεμένης για τη σύνδεση με το πάροχο Mobility.

Πηγή: EdwardSnowden.com

Μας λέει προφανώς δρομολογήθηκε προς την Υεμένη, αλλά πρέπει να προσέξουμε ότι καθώς η διεύθυνση πρακτικά ανήκει στην εταιρία Mobility (που την έχει παραχωρήσει στο YemenNet για να επικοινωνούν), πριν φτάσει στο YemenNet, η κίνηση πέρασε από τους δρομολογητές του παρόχου Mobility.

Πηγή: EdwardSnowden.com

Και καθώς εμείς ορίσαμε τη διεύθυνση αυτή στο «traceroute», αναγκάσαμε την επικοινωνία να περάσει από το δίκτυο της Mobility. Τι θα γίνει όταν το κάνει κάποιος αυτό με την αντίστοιχη διεύθυνση του παρόχου FLAG;

Πηγή: EdwardSnowden.com

Βλέπετε παραπάνω ότι όποιος κάνει το ίδιο «traceroute» προς τη διεύθυνση 62.216.145.130 του παρόχου FLAG…

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Αντίστοιχα με πριν, η κίνηση περνάει μέσω των δρομολογητών του παρόχου FLAG στον οποίο η υπηρεσία ήδη διαθέτει παθητική συλλογή SIGINT όπως είδαμε νωρίτερα. Με αυτή τη τεχνική μπορεί να γίνει «μορφοποίηση» της κίνησης από οπουδήποτε στο διαδίκτυο προς ένα συγκεκριμένο κράτος.

Πηγή: EdwardSnowden.com

Υπάρχει διαφορά στην υποκλοπή εισερχόμενης ή εξερχόμενης κίνησης όπως παρουσιάστηκε παραπάνω, και εδώ θα μας δείξει ο εισηγητής τι γίνεται εάν δε δούλεψε αυτή η τεχνική που παρουσιάζεται.

Πηγή: EdwardSnowden.com

Στη παραπάνω διαφάνεια μας αναφέρει ότι σε αυτή τη περίπτωση πρέπει να αναλογηστούμε τα ακόλουθα πράγματα:

  • Ας υποθέσουμε ότι θέλεις να περάσεις τη κίνηση μέσω του σημείου συλλογής (SIGAD) US-9999
  • Κοιτάς τις συνδέσεις που υπάρχουν στο στόχο, μάλλον με το εργαλείο BLACKPEARL (αυτό είναι ένα άκρως απόρρητο εργαλείο της NSA που έχει χάρτες με συνδέσεις, δρομολογητές, και αντίστοιχες πληροφορίες για το διαδίκτυο)
  • Εντοπίζεις μία σύνδεση από το διαδίκτυο προς τη κράτος-στόχο που υπάρχει πρόσβαση της υπηρεσίας, υποθετικά είναι το CASN GE01010000
  • Βλέπεις τις διευθύνσεις IP στη πλευρά του προορισμού και λες «θα στείλω εκεί τα δεδομένα και αυτά θα περάσουν μέσω του US-9999, του CASN GE010100000»
  • Απογοητέυσε γιατί η συλλογή δεν είναι αξιόπιστη
  • Τι πήγε στραβά; Ας δούμε τι ξέρουμε…

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Πρώτον, ξέρεις εάν αυτός είναι όντως ο μοναδικός πάροχος του στόχου; Ίσως να υπάρχουν και άλλες διαδρομές. Πως θα το βρεις;

Πηγή: EdwardSnowden.com

Κοιτάς του πίνακες δρομολόγησης BGP του διαδικτύου και αναζητάς παρόχους για το ASN του κράτους-στόχου.

Πηγή: EdwardSnowden.com

Μπορείς να κάνεις «traceroute» εντολές από διάφορα σημεία του διαδικτύου προς τις διευθύνσεις του κράτους-στόχου για να δεις από που περνάνε.

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Τώρα που είναι γνωστά τα στοιχεία δρομολόγησης, τι κάνεις;

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Μία προσέγγιση θα ήταν να βρεις πρόσβαση για συλλογή σε όλους τους παρόχους, σε αυτό το παράδειγμα Cogent, Sprint, και Level 3.

Πηγή: EdwardSnowden.com

Η δεύτερη επιλογή είναι να βρεις τη διεύθυνση IP του παρόχου Level 3 από τη πλευρά του κράτους-στόχου και να αναδρομολογήσεις τις επικοινωνίες του στόχου σου προς αυτή τη διεύθυνση για επικοινωνίες προς το κράτος-στόχο.

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Εάν όλη η κίνηση περνάει από ένα και μόνο πάροχο, υποθετικά το Level 3, τότε τόσο εισερχόμενες όσο και εξερχόμενες θα περνάνε από το πάροχο στον οποίο ήδη γίνεται παθητική συλλογή.

Πηγή: EdwardSnowden.com

Τα παραπάνω ήταν το θεωρητικό κομμάτι στο οποίο όλα λειτουργούν όπως έχουν σχεδιαστεί. Στη συνέχεια ο εισηγητής μας δείχνει προβλήματα που έχει αντιμετωπίσει στη πράξη κατά τη διενέργεια αυτής της τεχνικής για συλλογή SIGINT.

Πηγή: EdwardSnowden.com

Μας αναφέρει ότι στη πράξη ο κάθε πάροχος δεν έχει μία και μοναδική γραμμή με το κράτος-στόχο. Κάποιες φορές γίνεται, αλλά άλλες φορές υπάρχουν πολλές διασυνδέσεις με κάθε πάροχο.

Πηγή: EdwardSnowden.com

Στο παραπάνω παράδειγμα ο πάροχος Level 3 έχει δύο συνδέσεις για λόγους αξιοπιστίας με το κράτος στόχο.

Πηγή: EdwardSnowden.com

Εάν η συλλογή US-9999 GE01010000 γίνεται μόνο σε μία από τις δύο συνδέσεις στο πάροχο Level 3, δε θα υπάρχει αξιόπιστη συλλογή.

Πηγή: EdwardSnowden.com

Μας αναφέρει εδώ ότι ακόμη και εάν ρυθμίσουμε το δρομολογητή στη διασύνδεση που συλλέγουμε, τίποτα δε μας εγγυάται ότι μέρος της επικοινωνίας δε θα περάσει από τη δεύτερη διασύνδεση.

Πηγή: EdwardSnowden.com

Παραπάνω ο εισηγητής αναφέρει ότι πρέπει να γίνει κατανοητό ότι για τους παρόχους οι εφεδρικές γραμμές και η κίνηση είναι χρήμα. Κάποιος πάροχος μπορεί να έχει διαφορετικές χρεώσεις από άλλον ανάλογα με τη χρήση των γραμμών του.

Πηγή: EdwardSnowden.com

Εάν για παράδειγμα ήταν διπλάσιο κόστος οι γραμμές του Level 3 από αυτές των Cogent ή Sprint, θα ρύθμιζαν το δρομολογητή τους ώστε να χρησιμοποιεί όσο το δυνατόν λιγότερο τον πάροχο Level 3 σε σχέση με τους άλλους δύο.

Πηγή: EdwardSnowden.com

Μία τέτοια ρύθμιση θα οδηγούσε σε πρόβλημα στη «μορφοποίηση» δικτύου που παρουσιάζεται εδώ.

Πηγή: EdwardSnowden.com

Ακόμα και εάν ρυθμιστεί ο στόχος ώστε να στέλνει προς ένα συγκεκριμένο δρομολογητή του κράτους-στόχου, ίσως λόγω της παραπάνω ρυθμίσεως να πηγαίνει από τις φτηνότερες γραμμές.

Πηγή: EdwardSnowden.com

Το ίδιο και για την εξερχόμενη κίνηση από το κράτος-στόχο.

Πηγή: EdwardSnowden.com

Πηγή: EdwardSnowden.com

Στις παραπάνω διαφάνειες μας επιστρέφει στο αρχικό σενάριο με μία διασύνδεση που περνάει από το σημείο συλλογής US-9999 στο οποίο υπάρχει πρόσβαση.

Πηγή: EdwardSnowden.com

Γίνεται η «μορφοποίηση» δικτύου όπως αναλύθηκε παραπάνω, αλλά τα δεδομένα δε φαίνεται να έχουν υποκλαπεί εις το US-9999.

Πηγή: EdwardSnowden.com

Ίσως το τμήμα SSO που είναι υπεύθυνο για αυτά τα σημεία συλλογής να φιλτράρει τη κίνηση που αναζητάς και να την απορρίπτει χωρίς να την αποθηκεύει ή να την επεξεργάζεται.

Πηγή: EdwardSnowden.com

Αυτό το άκρως απόρρητο «μάθημα» της NSA που μοιραστήκαμε εδώ μαζί σας δείχνει κάποιες τεχνικές ικανότητες για σύγχρονη μαζική συλλογή SIGINT οι οποίες χρησιμοποιούνται ακριβώς με τον ίδιο τρόπο και σήμερα. Ελπίζουμε να σας βοήθησε να τις κατανοήσετε, όπως επίσης και να δείτε ότι όταν ένα κράτος αποτελεί διεθνή τηλεπικοινωνιακό κόμβο, έχει πολλά πλεονεκτήματα πέραν της οικονομικής ανάπτυξης. Ένα εξ’αυτών είναι και η ικανότητα διενέργειας τέτοιου είδους μυστικών επιχειρήσεων συλλογής SIGINT για παρακολούθηση άλλων κρατών.

το βρήκαμε εδώ

ΗΠΑ
#NSA #Παρακολούθηση #κρατών #μέσω #δικτύων

Latest articles

Find us on

Latest articles

Related articles

Προσβολή στόχων με έμμεσα πυρά (αποστολή βολής) – commandos.gr...

Για την εκτέλεση παρατηρούμενης έμμεσης βολής ακολουθούνται τα εξής τρία στάδια: Εντοπισμός του στόχου (εξακρίβωση της θέσης του). αίτηση πυρών με...

Σχολή Υποβρύχιων Καταστροφών – commandos.gr – Ειδικές Δυνάμεις

των Περικλή Ζορζοβίλη και Δημήτρη Μανακανάτα, ΠΕΡΙΠΟΛΟΣ Ανοιξη 2006 Από την εποχή της συγκρότησής της, το 1953 μέχρι...

Σχολείο Υποβρυχίων Καταστροφών (ΣΥΚ) – Θέματα για τις Ελληνικές...

Η Ελλάδα εισήλθε στη συμμαχία ΝΑΤΟ στις 18 Φεβρουαρίου 1952 και σύντομα ξεκίνησαν οι συνεκπαιδεύσεις και ανταλλαγή...

Πυρομαχικό SMArt 155 (DM702) – commandos.gr – Ειδικές Δυνάμεις

To SMArt 155 είναι ένα έξυπνο, αυτόνομο και αποτελεσματικό πυρομαχικό Πυροβολικού τύπου «fire and forget», το...

Σωστικά μέσα ιπταμένων – commandos.gr – Ειδικές Δυνάμεις

Ατομικό Σωσίβιο Ιπταμένου LPU – 10/P Φοριέται κάτω από το life jacket, με τους ασκούς στην εξωτε­ρική μεριά...

Στρατιωτική Ελεύθερη Πτώση – commandos.gr – Ειδικές Δυνάμεις

Οι επιχειρήσεις Στρατιωτικής Ελεύθερης Πτώσης χαρακτηρί­ζονται γενικά από πτήσεις πάνω ή δίπλα από τον Αντικειμενικό Σκοπό (ΑΝΣΚ)...