Pages

29 wrz 2015

Brytyjski wywiad GCHQ śledzi użytkowników specyficznych stron internetowych. Polski wątek.

Za sprawą opublikowanych w dniu 25.09.2015 r. przez The Intercept materiałów pozyskanych od Edwarda Snowdena, dowiemy się o wielu projektach i systemach agencji wywiadowczej GCHQ. Ta brytyjska służba specjalna, poprzez swoje centrum analiz sieciowych (Network Analysis Center) oraz m.in. system KARMA POLICE, kolekcjonuje dane o wizytach użytkowników Internetu w serwisach pornograficznych (YouPorn), informacyjnych (CNN, BBC, Channel 4 News, Reuters) i portalach z audycjami radiowymi online (większość powiązana z islamem). Co więcej, pod lupą agencji znajdują się także użytkownicy odwiedzający serwis cryptome.org.
KARMA POLICE przechwytuje również strumieniowe audycje internetowe (SHOUTcast, Icecast, PeerCast) powiązane w jakimś stopniu z islamem. Polska ze swoimi słuchaczami audycji online znalazła się wg GCHQ na liście TOP10, na miejscu 9.
Pierwsza strona niejawnego dokumentu GCHQ
(źródło: https://theintercept.com)
W opublikowanym kilka dni temu dokumencie z 6 listopada 2009 roku, którego pierwszą stronę umieściliśmy powyżej, znajdziemy analizę portalów z audycjami radiowymi online wraz z podziałem na:
  • kraj pochodzenia;
  • lokalizację;
  • liczbę użytkowników;
  • wykorzystywane do rozgłaszania oprogramowanie, itd.
Co więcej, znalazł się także polski akcent, bo w punkcie 7.2 powyższego dokumentu od CGHQ znaleźć można wciąż aktywny adres w domenie pionier.net.pl:
http://poznan4-2.radio.pionier.net.pl
Domena ta zarejestrowana została w Polsce i posiada adres IP:


Jednakże adres IP (202.147.163.46) podany w niejawnym dokumencie GCHQ i powiązany z adresem www: http://poznan4-2.radio.pionier.net.pl został przydzielony w Pakistanie:

inetnum:        202.147.160.0 - 202.147.191.255
netname:        LINKDOTNET
descr:          LINKdotNET Telecom Limited
descr:          Pakistan
country:        PK
admin-c:        LH1008-AP
tech-c:         LH1008-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-PK-LDN
mnt-routes:     MAINT-PK-LDN
status:         ALLOCATED PORTABLE
notify:         hostmaster@link.net.pk
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        * For abuse/spam related to this IP address block,
remarks:        * please send email to: abuse@link.net.pk
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
mnt-irt:        IRT-LINKDOTNET-PK
changed:        hm-changed@apnic.net 20050503
changed:        hm-changed@apnic.net 20060112
changed:        hm-changed@apnic.net 20070305
changed:        hm-changed@apnic.net 20080312
changed:        hm-changed@apnic.net 20080624
source:         APNIC

irt:            IRT-LINKDOTNET-PK
address:        Block 2-A, FJ Plaza,
address:        Markaz F-7, Islamabad, Pakistan
e-mail:         noc@pk.link.net
abuse-mailbox:  abuse@link.net.pk
admin-c:        LH1008-AP
tech-c:         LH1008-AP
auth:           # Filtered
mnt-by:         MAINT-PK-LDN
changed:        abuse@link.net.pk 20101127
source:         APNIC

role:           LINKdotNET Hostmaster
address:        House # 28, Agha Khan Road
address:        F-6/4, Islamabad, Pakistan
country:        PK
phone:          +92-51-111600222
fax-no:         +92-51-2650220
e-mail:         hostmaster@link.net.pk
admin-c:        IS786-AP
tech-c:         IS786-AP
nic-hdl:        LH1008-AP
notify:         hostmaster@link.net.pk
mnt-by:         MAINT-PK-LDN
changed:        faisal.hamid@pk.link.net 20080101
changed:        imtiaz.sajid@pk.link.net 20090127
changed:        imtiaz.sajid@Mobilink.net 20111026
source:         APNIC

% Information related to '202.147.163.0/24AS23966'

route:          202.147.163.0/24
descr:          DANCOM LHR Route Object
origin:         AS23966
mnt-by:         MAINT-PK-LDN
country:        PK
changed:        shiraz.malik@dancom.net.pk 20070304
changed:        hm-changed@apnic.net 20080312
source:         APNIC
Natomiast na liście TOP50 miast z serwerami portalów audycji radiowych, znajdują się także trzy miejscowości z Polski i są to Kraków, Poznań oraz Warszawa:


Uproszczony sposób działa KARMA POLICE:
Ilustracja pochodząca z prezentacji GCHQ,
pokazująca działanie KARMA POLICE. 

 (źródło: https://theintercept.com)


Według opublikowanych dokumentów, GCHQ w 2010 roku gromadziła metadane rzędu 30 miliardów rekordów dziennie. Następnie, do roku 2012 baza zwiększała się do 50 miliardów zgromadzonych rekordów w ciągu dnia, natomiast do końca 2015 roku ilość ta ma zostać podwojona. Projekt został wprowadzony przez brytyjską agencję około 7-8 lat temu, natomiast jego (meta)dane przechowywane są przez okres od 3 do 6 miesięcy. 

KARMA POLICE działa pokazując adresy IP osób odwiedzających strony internetowe. Adresy te posiadają unikatowe identyfikatory, które są przypisywane do komputerów, gdy łączą się z Internetem. Same adresy IP nie są wartościowe dla GCHQ, ponieważ są po prostu ciągami liczb. Dopiero w połączeniu z innymi danymi, stają się one bogatym źródłem osobistych informacji. Aby otrzymać tożsamość osoby lub osób o określonym adresie IP, analitycy GCHQ wprowadzają serię liczb do odseparowanego systemu o nazwie MUTANT BROTH, który jest z kolei używany do przesiewania danych zawartych w innym repozytorium o nazwie BLACK HOLE. "Czarna dziura" posiada ogromne ilości przechwyconych plików cookie, które mogą zawierać nazwę użytkownika lub adres e-mail, adres IP, a nawet szczegóły dotyczące hasła logowania i rodzaj przeglądarki internetowej.

System MUTANT BROTH w akcji.
 (źródło: https://theintercept.com)

Dla agencji GCHQ informacje tego typu są niezwykle cenne. Agencja nazywa pliki cookie "identyfikatorami do wykrywania celów", ze względu na możliwość monitorowania korzystania z Internetu przez użytkowników i odkrywania ich tożsamości. Jeżeli agencja GCHQ próbuje znaleźć jakąś osobę, skanuje pliki cookie i łączy identyfikatory z adresami IP. Podobnie działa, jeśli ma już adres IP i chce wytropić osobę: używa systemu MUTANT BROTH aby znaleźć adres e-mail, nazwę użytkownika, hasło itp.


Kolekcjonowanie plików cookie z serwisu pornograficznego YouPorn
 (źródło: https://theintercept.com)


Na podstawie tego dokumentu o klauzuli ściśle tajne oraz wielu innych, opublikowanych kilka dni temu, można wymienić znacznie więcej projektów agencji wywiadowczych GCHQ oraz NSA związanych z gromadzeniem metadanych, danych i przechwytywaniem ruchu w Internecie, mianowicie:
  • ARBLED GECKO;
  • AWKWARD TURTLE;
  • B3M;
  • BEARDED PIGGY;
  • BLACK HOLE;
  • BLAZING SADDLES;
  • DANCINGOASIS;
  • DONKEY KONG; 
  • FAIRVIEW;
  • GOOB; 
  • HALTER HITCH;
  • INFINITE MONKEYS;
  • LAUGHING HYENA;
  • LIGHTWOOD; 
  • LOOKING GLASS;
  • MARBLED GECKO;
  • MEMORY HOLE;
  • MOONRAKER;
  • MOOSE MILK; 
  • MUSCULAR (DS-200B); 
  • MUTANT BROTH;
  • MYSTIC;
  • OAKSTAR;
  • PINWALE;
  • PRISM; 
  • RAMPART-A;
  • ROUGH DIAMOND;
  • SAMUEL PEPY;
  • SOCIAL ANIMAL;
  • SOCIAL ANTHROPOID;
  • STORMBREW;
  • SWORDPLAY;
  • TEMPORA;
  • TRITON;
  • XKEYSCORE;
  • WINDSTOP.

Pochodzenie nazwy systemu KARMA POLICE nie jest opisane w dokumentach, ale nazwę tą otrzymał także utwór wydany w 1997 roku przez brytyjski zespół Radiohead, sugerujący, że szpiedzy mogą mieć fanów.

Za pomocą wymienionych przez nas systemów, brytyjska agencja wywiadowcza może wykonać tak zwany "wzór życia", czyli analizę pokazującą pory dnia i miejsca, w których osoba jest najbardziej aktywna w Internecie. Takie informacje dla wywiadu mogą się stać bardzo cenne.

Powiązane materiały:
https://theintercept.com/gchq-appendix/

Źródło:
https://theintercept.com

5 komentarzy:

  1. Zdrajca Snowden. Dobrze że Policja śledzi islamistów. Ja jestem czysty więc mi to nie przeszkadza. Tylko złoczyńcy czegoś się boją.

    OdpowiedzUsuń
  2. Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say

    OdpowiedzUsuń
  3. A po ile sprzedają te życiorysy .

    OdpowiedzUsuń
  4. Gimbaza już tu dotarła?

    Ciekaw jestem skąd czyli jak oni gromadzą te ciasteczka z komputerów użytkowników?

    OdpowiedzUsuń