Pages

5 lip 2015

XKEYSCORE - najpotężniejsze narzędzie do elektronicznej inwigilacji jakie dotychczas ujawniono

Dokładnie 31 lipca 2013 roku brytyjski The Guardian ujawnił ściśle tajną prezentację (datowaną na 2008 rok) dotyczącą narzędzia typu SIGDEV amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) pod kryptonimem XKEYSCORE. Dowiedzieliśmy się z niej wtedy o ogromnych analitycznych możliwościach tego narzędzia, rodzaju zbieranych danych czy lokalizacji serwerów. Sondy podpięte do kluczowych punktów infrastruktury sieciowej Internetu pozwalały pracownikom NSA m.in. na analizę wyszukiwań, czytanie e-maili czy też czatów Facebooka, a wszystko to na podstawie przejętych danych jak i metadanych.   


Kilka dni temu The Intercept w swoim artykule pokazał zasięg i nowe możliwości narzędzia XKEYSCORE, dużo większe niż przypuszczaliśmy, wchodzące nawet w ramy polityki międzynarodowej. Okazało się, że na celowniku narzędzia byli nie tylko podejrzani o terroryzm ale także m.in. kandydaci na nowego dyrektora Światowej Organizacji Handlu, inżynierowie europejskich firm a nawet sekretarz generalny ONZ - Ban Ki-moon. Intercept ujawnił niemal 50 niejawnych oraz niepublikowanych wcześniej prezentacji dotyczących projektu XKEYSCORE. Dowiemy się z nich m.in. jak wygląda panel kontrolny programu XKEYSCORE:



System ten od swojego uruchomienia znacząco urósł w swoich możliwościach. Jest już całkowicie rozproszonym systemem przetwarzania danych, analizującym i przechwytującym już nie tylko wiadomości pocztowe, czaty czy wpisywane słowa kluczowe w przeglądarkę, ale także dokumenty, zdjęcia (w tym z kamerek internetowych), połączenia głosowe (w tym VoIP i Skype), aktywność w serwisach społecznościowych, pliki wgrywane do dysków internetowych, hasła do urządzeń Cisco a nawet informacje o konfiguracji zwykłych ruterów. Za pomocą XKEYSCORE można wyszukać konkretne osoby, zarówno po loginie jak i po IP czy adresie MAC karty sieciowej, można znaleźć też np. wszystkich użytkowników z danej lokalizacji (np. miasta), którzy pobrali oprogramowanie klienta sieci TOR, czy wszystkich mieszkańców np. Pakistanu, którzy odwiedzają niemieckojęzyczne fora internetowe lub oglądają miasta USA poprzez Google Earth czy nawet wszystkie "dziurawe" stacje robocze z dowolnego kraju.  Możliwości wyszukiwania i zbierania danych są praktycznie nieograniczone (kolekcjonowane są z ponad 700 serwerów na całym świecie - dane z prezentacji z 2008 roku).

Nowo opublikowane prezentacje ujawniają także więcej danych o architekturze systemu. Korzysta ono z linuksowych klastrów (zwykle Red Hat), interfejs dostępny jest przez serwer Apache, dane przechowywane są w bazie MySQL, systemy plików spięte są przez rozproszony NFS i usługę autofs, zaś planowane zadania wykonywane są przez crona. Dostęp administracyjny odbywa się po SSH, w konsoli korzystają oni z edytora vim. Użytkownicy natomiast uzyskują dostęp poprzez przeglądarkę Firefox (jak się okazuje, interfejs webowy nie jest kompatybilny z IE). Więcej szczegółów, w tym schematy wyszukiwania informacji można znaleźć w nieoficjalnym podręczniku użytkownika systemu XKEYSCORE opracowanym jak się okazuje przez Booz Allen Hamilton:


XKEYSCORE może również szczegółowo analizować i archiwizować aktywność w sieci Internet dowolnego użytkownika, co przedstawiono na jednym ze slajdów:


Gromadzenie ogromnych ilości danych nie jest bardzo przydatne, chyba, że zebrane i zorganizowane są w sposób, dzięki któremu można je wygodnie analizować. Aby poradzić sobie z tym problemem, XKEYSCORE wyciąga i taguje metadane oraz treści z pobranych danych tak, że analitycy NSA mogą je łatwo znaleźć. Odbywa się to za pomocą reguł słownikowych zwanych appIDs (blisko 10 000 reguł), "fingerprints" i "microplugins", które napisane zostały w języku programowania zwanym GENESIS.

Przykład użycia appIDs
Każdy z nich może być zidentyfikowany przez unikalną nazwę, która przypomina drzewo katalogów, taką jak: “mail/webmail/gmail”, “chat/yahoo” albo “botnet/blackenergybot/command/flood.” Jeden z ujawnionych dokumentów szczegółowo opisuje appIDs i ujawnia przykłady kilku "odcisków palców". Szyfrowane wiadomości PGP wykrywane są za pomocą "encryption/pgp/message", natomiast wiadomości szyfrowane przy pomocy ASRAR El Mojahedeen Secrets 2 (typ szyfrowania popularny wśród zwolenników Al-Kaidy) wykrywane są za pomocą "encryption/mojaheden2".

Przykład zastosowania XKEYSCORE do wyszukania tekstu zaszyfrowanego za pomocą Mojahedeen Secrets 2

XKEYSCORE potrafi także wyszukiwać dowolne obrazki (np. logo firmy, organizacji) w dokumentach pakietu MS Office, czy też bezpośrednio w załącznikach wiadomości pocztowych Outlook. Sposób wyszukiwania przedstawiono w dwustronicowej instrukcji opracowanej przez Booz Allen Hamilton:


Danych z opublikowanych materiałów jest tak wiele, że potrzeba minimum kilku dni na dokładną analizę. My pokazaliśmy zaledwie niewielki wycinek możliwości narzędzia XKEYSCORE. Więcej informacji o nim możecie  uzyskać po lekturze anglojęzycznych, opublikowanych kilka dni temu materiałów:
Źródło:
https://firstlook.org/theintercept/2015/07/01/nsas-google-worlds-private-communications
https://firstlook.org/theintercept/2015/07/02/look-under-hood-xkeyscore

1 komentarz: