Новое поколение кибершпионов

МЕНЮ


Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости


Было время, когда лидирующую роль в АНБ играли дешифровальщики – люди с математическим образованием, занимавшиеся взломом криптосистем. Они придумывали изощренные методы чтения чужой шифрованной переписки, полагаясь на свой арсенал суперкомпьютеров. Это был трудоемкий процесс. Но он приносил плоды: с помощью суперкомпьютеров дешифровальщикам удавалось отыскивать слабости в криптосистемах, которые изначально были им присущи или возникали вследствие неправильной эксплуатации.

В 2000-е годы АНБ сумело тайно или по соглашению с телекоммуникационными компаниями подключиться к магистральным каналам связи и перехватывать практически весь мировой интернет-трафик, включая транзакции по кредитным картам. Объемы перехвата были запредельными. Но АНБ обладало всеми необходимыми возможностями по быстрому поиску в нем информации, представлявшей оперативный интерес. Степень заинтересованности АНБ определялась многими сопутствующими обстоятельствами – в первую очередь, отправителем и получателем сообщений, содержанием переписки и личностями корреспондентов.

При поиске информации в гигантских базах данных, в которых АНБ хранило перехваченные электронные почтовые сообщения, онлайновые чаты и историю поисковых запросов миллионов интернет-пользователей, аналитики АНБ работали с поисковой системой под названием «XKeyscore». В учебном пособии, посвященном этой системе, она характеризовалась как «самая широкая по охвату» система для добывания разведывательной информации в Интернете. Про «XKeyscore» говорилось, что она предоставляет информацию «практически обо всем, чем рядовой пользователь занимается в Интернете», включая электронную почту, посещаемые веб-сайты и метаданные.

В одном из своих ранних интервью Сноуден сказал: «Сидя за своим рабочим столом, я мог заниматься слежкой за кем угодно— за вами, вашим бухгалтером, федеральным судьей или даже за самим президентом, если в моем распоряжении был соответствующий личный адрес электронной почты». В учебном пособии по «XKeyscore» можно отыскать подтверждение словам, сказанным Сноуденом.

Для того, чтобы с помощью «XKeyscore» порыться в накопленной АНБ информации, от аналитика требовалось заполнить простую экранную форму с указанием основания для поиска в самом общем виде. Перед исполнением запрос на поиск не подлежал утверждению ни компетентными судебными органами, ни руководством АНБ. Посредством «XKeyscore» и других подобных систем аналитик также мог следить за интернет-активностью отдельных пользователей в режиме реального времени. Таким образом, система «XKeyscore» обеспечивала техническую возможность, никак не подкрепленную контролем наличия необходимых юридических полномочий, выбирать в качестве шпионской мишени любого человека, просто зная его идентификатор— например, адрес электронной почты или сетевой адрес его компьютера.

«XKeyscore» позволяла аналитику АНБ осуществлять поиск в информации об активности интернет-пользователей, а в отсутствие известного адреса электронной почты, – просто по имени, телефонному номеру, сетевому адресу, присутствию ключевых слов в поисковых запросах или типу используемого браузера. В одном из документов АНБ по этому поводу говорилось, что «строгая идентификация[12] предоставляет слишком ограниченные возможности», поскольку «значительная часть действий в Интернете совершается анонимно».

Аналитикам АНБ не рекомендовалось задавать поиск контента по всей базе данных, поскольку в ответ было бы получено слишком много ненужной информации. Вместо этого следовало использовать имевшиеся метаданные, чтобы сузить область поиска. Сюда относились:

– «все адреса электронной почты, присутствовавшие в сессии и отобранные по имени интернет-пользователя и домену»;

– «все телефонные номера, присутствовавшие в сессии (то есть записи из адресной книги или блок подписи)»;

– активность интернет-пользователя – «работа с веб-службой электронной почты или присутствие в чате, включая пользовательские имена, списки друзей, специфические куки-файлы и прочее».

Помимо мониторинга электронной почты, система «XKeyscore» позволяла наблюдать практически за любой другой интернет-активностью. Например, аналитик АНБ мог проследить за чатом в «Фейсбуке», введя в соответствующей экранной форме имя пользователя и временной интервал, или составить список сетевых адресов компьютеров, с которых осуществлялся доступ к определенному веб-сайту, или получить информацию о работе пользователя с браузером, в том числе – о его поисковых запросах. А благодаря возможности поиска в перехваченном трафике по протоколу http, аналитик АНБ имел доступ к информации о том, что в АНБ называли «почти всей активностью обычного пользователя в Интернете».

Согласно отчету АНБ, в 2007 году базы данных АНБ насчитывали 850 миллиардов записей о телефонных звонках и почти 150 миллиардов записей об интернет-активности, которые каждый день пополнялись 1–2 миллиардами записей. По некоторым оценкам, в 2012 году общее количество записей АНБ о телефонных звонках и электронной почте достигло 20 триллионов.

При этом в АНБ осуществлялся непрерывный сбор такого количества информации, что хранить ее можно было только в течение весьма ограниченного периода времени. Контент оставался доступным от 3 до 5 дней, а метаданные – до 30 дней. Ежедневный перехват АНБ с некоторых веб-сайтов достигал 20 с лишним терабайт и хранился не более суток. Для увеличения срока хранения перехвата в АНБ была создана многоуровневая система, в которой данные были доступны сроком до пяти лет. В 2012 году посредством одной только системы «XKeyscore» можно было осуществлять поиск среди 41 миллиарда записей, хранимых 30 дней.

В феврале 2015 года стало известно, что АНБ и ЦПС совместными усилиями взломали внутреннюю компьютерную сеть компании «Гемальто»– крупнейшего мирового поставщика модулей идентификации абонентов сотовых сетей. В результате были украдены миллионы криптографических ключей, которые предназначены для защиты мобильной связи от прослушки. Система «XKeyscore» сыграла существенную роль во взломе, обеспечив взломщикам доступ к учетным записям электронной почты сотрудников «Гемальто».

Помимо США и Англии, пользоваться системой «XKeyscore» могли их ближайшие союзники в области электронной слежки – Австралия, Канада и Новая Зеландия. Последняя активно применяла «XKeyscore» для электронной слежки за кандидатами на должность генерального директора Всемирной торговой организации и за членами правительства Соломоновых Островов[13].

В качестве отправной точки при электронной слежке за интернет-пользователями при помощи «XKeyscore» аналитикам АНБ рекомендовалось использовать социальную сеть «Фейсбук». Связано это было с тем, что «Фейсбук» представлял собой самую популярную среду каждодневного общения интернет-пользователей по всему миру. Например, только в США более 70 % всех совершеннолетних граждан, подключенных к Интернету, пользовались «Фейсбуком».

Значительную проблему для АНБ представлял спам, который замусоривал базы данных информацией, не представлявшей никакого практического интереса. Например, большая часть перехватываемых в АНБ электронных почтовых сообщений была рекламной рассылкой с фиктивных адресов.

В 2010 году АНБ вознамерилось выделить для перехваченных сообщений, которыми обменивались между собой граждане США, отдельное хранилище. Однако этот способ был признан неэффективным, поскольку некоторые из таких сообщений пересылались по иностранным сетям связи, и АНБ затруднялось однозначно идентифицировать их принадлежность. Перехваченные же сообщения, которые американцы посылали иностранцам или получали от иностранцев, вполне могли обрабатываться в АНБ в отсутствие судебных решений, поскольку эти сообщения помещались в те же самые базы данных, где находились сообщения, отправителями и получателями которых были иностранные граждане.

Некоторые поисковые запросы аналитиков АНБ периодически инспектировались их руководством. По этому поводу Сноуден сказал следующее: «Нам очень редко задавали вопросы о нашем поиске, и когда это делалось, то обычно в контексте отыскания для них легального обоснования сразу всем скопом».

Но самая интересная для АНБ часть интернет-трафика передавалась по сети в зашифрованном виде. И поскольку для эффективной борьбы с терроризмом АНБ необходимо было знакомиться с содержанием перехваченных сообщений не позже их получателей, времени на трудоемкий взлом шифров уже не оставалось. Это означало, что АНБ либо надо было воровать незашифрованные сообщения непосредственно с компьютеров интернет-пользователей, либо читать перехваченную шифрпереписку по заранее сворованным криптографическим ключам. В обоих случаях достаточно было получить тайный доступ к чужим компьютерам с помощью шпионского программного обеспечения. И АНБ научилось удаленно через Интернет или напрямую путем тайного физического проникновения внедрять свои программы-шпионы в компьютеры, служившие мишенью для агентства. А чтобы у компьютерных пользователей не оставалось никаких шансов защититься от проникновения в их компьютеры, АНБ плотно работало с компаниями-производителями средств компьютерной защиты, ослабляя эту защиту известными только АНБ способами.

Атакам со стороны АНБ подвергалось и сетевое оборудование: роутеры, коммутаторы и аппаратные брандмауэры. Они уже имели в своем составе специальные средства для электронной слежки, встроенные туда производителями в целях отладки или в соответствии с законодательством, регулировавшим законный перехват в интересах правоохранительных органов. Требовалось только нужным образом активировать эти средства, что было, в общем-то, несложно, поскольку защита сетевых устройств от проникновения была рудиментарной и их программное обеспечение редко обновлялось. Успешная хакерская атака на компьютерную сеть считалась в АНБ более плодотворной, чем взлом одного компьютера: она позволяла перехватывать трафик всех подключенных к сети компьютеров в течение довольного длительного периода времени.

В итоге в 2000-е годы дешифровальщики постепенно утратили ведущие позиции в АНБ. Вместо них там на первый план вышли хакеры и взломщики. Благодаря им, за счет тайного проникновения в коммуникационные сети и компьютерные системы, АНБ добилось впечатляющих успехов во взломе чужих шифров. Недаром в более чем 50 тысячах секретных документов АНБ, переданных Сноуденом в распоряжение средств массовой информации, не было ни одного, в котором описывались бы успехи АНБ в области дешифрования.

Новоявленные кибершпионы из АНБ с дипломами инженеров и компьютерщиков проявляли чудеса находчивости, отыскивая эффективные способы обходить защиту, предоставляемую средствами шифрования. Эти способы включали кражи со взломом и встраивание «лазеек» в продаваемое компьютерное и сетевое оборудование с целью получения возможности тайно проникать в них без ведома пользователей. Но наиболее эффективным в ряду этих способов оказался хакерский взлом компьютерных систем для получения доступа к хранимой в незашифрованном виде информации. Операции по хакерскому взлому назывались в АНБ оконечными операциями, а занимавшееся ими подразделение АНБ— Оперативной службой специального доступа (ОССД).

В одном только 2011 году были проведены двести с лишним оконечных операций, на которые было потрачено более полумиллиарда долларов. Количество зараженных компьютеров исчислялось десятками тысяч в год. В последующие несколько лет планировалось довести их общее количество до нескольких миллионов. Большая часть операций по компьютерному взлому была направлена против Ирана, Китая, России и Северной Кореи. Одновременно шпионские программы были внедрены в посольстве Франции в Вашингтоне, а также в компьютеры, которыми пользовались сотрудники французской миссии при Организации Объединенных Наций (ООН). В общей сложности в списке мишеней оконечных операций АНБ фигурировали почти сорок иностранных посольств и дипломатических представительств.

В распоряжении сотрудников ОССД были типовые «шаблоны» для проведения атак против распространенных типов и конкретных моделей компьютеров, роутеров, коммутаторов и аппаратных брандмауэров – специализированные наборы хакерских инструментов, включавшие заранее написанные скрипты, программы для активации имевшихся «лазеек» и руткиты[14]. Иногда ОССД помогали ЦРУ и ФБР, которые проникали в помещения, где размещалось сетевое оборудование, и устанавливали там закладки или модифицировали программное обеспечение, чтобы заниматься электронной прослушкой.

В 2000-е годы были обнаружены уязвимости в некоторых сетевых устройствах, которые вполне могли использоваться для хакерских атак со стороны АНБ. Например, в 2005 году эксперт по компьютерной безопасности Майкл Линн нашел слабость в операционной системе компании «Циско». Под ее управлением работали миллионы роутеров по всему миру, которые применялись в магистральных сетях и в критически важных государственных системах жизнеобеспечения (водоснабжении, канализации и энергосетях). Методом обратной инженерии Линн обнаружил возможность создать компьютерного червя, который позволял злоумышленнику получить полный контроль над роутером и копировать весь проходивший через него трафик. Аналогичные уязвимости были выявлены в роутерах «Циско», предназначенных для домашнего пользования и для малого бизнеса.

АНБ тратило десятки миллионов долларов в год на негласное приобретение хакерских инструментов у сторонних разработчиков на «сером» рынке, на котором делали закупки американские спецслужбы. «Серым» он был назван, чтобы отличать его от «черного» рынка, где отоваривались киберпреступники. Цены варьировались от полусотни тысяч до нескольких миллионов долларов в зависимости от эксклюзивности покупки и широты ее применения на практике. При этом универсальные уязвимости роутеров редко появлялись в продаже: существовало множество вариантов настроек роутеров, и успешная атака против одной конфигурации необязательно срабатывала против другой. Более распространены были слабости в операционных системах роутеров, поскольку они не так сильно зависели от конфигурации. После обнаружения уязвимости производителем роутера и выпуска «заплатки» эта уязвимость теряла в стоимости, но полностью никогда не утрачивала своей ценности, поскольку многие пользователи и системные администраторы могли годами не обновлять программное обеспечение на своем сетевом оборудовании.

Внедренное в компьютеры шпионское программное обеспечение АНБ не выявлялось антивирусами, поскольку все они были скомпрометированы АНБ либо втайне от производителей, либо по секретному соглашению с ними. Шпионские программы служили для того, чтобы скрытно копировать электронные документы, которые хранились на зараженных компьютерах. Помимо этого, ОССД помогала дешифровальщикам АНБ взламывать криптосистемы, незаметно внося изменения в программные средства защиты компьютерных систем с помощью шпионского программного обеспечения, а также воруя криптографические ключи и выявляя особенности применяемых алгоритмов шифрования. Более того, шпионские программы позволяли компрометировать не только компьютер, изначально выбранный в АНБ в качестве мишени, но и другие компьютеры, с которыми он связывался по сети с использованием шифрования.

По некоторым данным, многие успешные операции АНБ по взлому зарубежных криптосистем в 2000-е годы, включая шифры России и Китая, стали возможны именно благодаря активному участию в этих операциях кибер-шпионов из ОССД. Были взломаны дипломатические криптосистемы одной из стран большой восьмерки, Египта, Сирии, Ирана и Пакистана. А еще, благодаря содействию одной из крупных американских телекоммуникационных компаний, был получен доступ к шифрованной информации со смартфонов и планшетов, работавших в коммуникационных сетях стандарта 4G. Также известно, что большая часть разведывательной информации о китайских кибератаках на различные цели в США, Западной и Центральной Европе, а также в Азии была получена только после того, как ОССД удалось проникнуть в китайские компьютерные системы, которые использовались для кибератак.

С течением времени ОССД превратилась в очень эффективное подразделение АНБ, благодаря сотрудничеству с большой тройкой американских телекоммуникационных компаний – «АТТ», «Веризон» и «Спринт», с большинством интернет-провайдеров в США, а также со многими крупными производителями средств компьютерной безопасности. Согласно документу АНБ, который стал достоянием гласности в 2013 году


Источник: vk.com

Комментарии: