keskiviikko 10. heinäkuuta 2013

Snowden kiltti, kerro meille MITEN

Vuotaja-Snowdenin paljastukset jatkuvat tasaisen tappavaa tahtia. Viimeksi on kerrottu NSA:n vakoilleen laajasti Etelä-Amerikan valtioiden puhelu- ja dataliikennettä. Se tuskin yllättää ketään.

Sen sijaan tiedot laajasta Saksan sisäisen puhelu- ja nettiliikenteen valvonnasta runsas viikko sitten yllättivät. Kansainvälisen liikenteen urkinta on loogista ja teknisesti helppoa, mutta se, että NSA:lla on pääsy myös EU-maiden (ja Kiinan!) sisäiseen viestintään, on todellinen uutinen.

Onko NSA salakuunnellut Saksan sisäisiä yhteyksiä? Vuonna 2005 paljastui, että Kreikan teleoperaattorin puhelinkeskukseen oli murtauduttu ja sinne asennettu takaovi, jonka kautta vieras valtio pystyi kuuntelemaan liikennettä. Lokeista kävi ilmi, että salakuuntelijat olivat olleet erityisen kiinnostuneita Lähi-Itään suuntautuvista puheluista. Takaovi paljastui ohjelmointivirheen vuoksi, mutta ennen kuin Ericssonin apuun lähettämät teknikot ehtivät jäljittää salakuuntelijan, jäljet hävisivät. Tekijä jäi arvoitukseksi, joskaan arvoituksen ratkaisu ei viime aikaisten tietojen valossa ole kovin vaikeaa.

Olisi megaluokan yllätys, jos Saksan puhelinkeskuksista löytyisi samanlaisia takaovia. Todennäköisempi selitys onkin, että salakuuntelu on tapahtunut yhteistyössä Saksan viranomaisten ja operaattorien kanssa. Jos tämä on totta, poliitikkojen närkästys NSA:n salakuuntelun edessä on tekopyhää. Vielä pahempi, jos päättäjät eivät ole tienneet asiasta -- silloinhan maan oma tiedustelu on toiminut lain yli ja ohi yhdessä amerikkalaisten kanssa. Eli tehnyt juuri sitä, mistä NSA:ta moitimme.

Saksan tapauksessa molemmat selitysvaihtoehdot ovat yhtä huonoja. Siksi kyse on isosta uutisesta, vaikka se onkin julkisuudessa jäänyt Snowdenin turvapaikkapohdintojen varjoon.

Kunpa Snowden paljastaisi enemmän! Tähän asti hän on paljastanut vain MITÄ on kuunneltu, mutta ei MITEN. Jälkimmäinen tieto auttaisi jäsentämään Euroopan omaa roolia urkinnassa ja toisaalta myös suojautumaan.

Erityisen kiinnostavaa olisi tietää, miten kansainvälisiä runkoyhteyksiä salakuunnellaan. Kaapelien kulkeminen Britannian kautta antaa pääsyn niiden valvontaan, mutta Googlen, Facebookin ja muiden nettipalvelujen liikenteen pitäisi kulkea SSL-salattuna. Tämän salauksen murtaminen toistuvasti olisi sekin Iso Uutinen ja pakottaisi ajattelemaan monia turvallisuuskäsityksiä uudelleen.

Mahdollisesti runkoverkon urkinta kohdistuu vain salaamattomiin yhteyksiin ja paljaaseen sähköpostiin. Tai että mobiililaitteet ovat tietoturvattomia juorukelloja tavoilla, joita emme vielä tiedä.

Mahdollista on sekin, että Snowden liioittelee. NSA ei ole kiistänyt paljastuksia, mutta se ei tarkoita että ne olisivat totta. NSAn kannalta on parasta, että kohteet eivät tiedä valvonnasta. Mikäli asia kuitenkin paljastuu on tärkeää, ettei liioiteltujakaan väitteitä kumota. Vihollisen pitää elää pelossa ja epävarmuudessa. Lisäksi jonkin valvontaväitteen kiistäminen johtaisi siihen, että oikeat terroristit alkaisivat käyttää juuri sitä.

Siispä Snowden, please, kerro meille miten valvonta käytännössä on toiminut. Sen laajuudesta tiedämme jo aivan tarpeeksi.

9 kommenttia:

Dr Jouni Laurila kirjoitti...

Vakoilu on monimutkaista.

Minua kyllä kiinnosta myös mitä Suomessa on tapahtunut. Meillähän on jopa instanssi jota ei kukaan edes valvo.

Entäs mobiilipuoli.
Onko edes teoriassa mahdollista käyttää mobiilipuhelinta johonka NSA:lla ei ole pääsy ihan laillisesti?

Pitäisikö siirtyä takaisin lankapuhelimiin?

Anonyymi kirjoitti...

@Petteri

Snowden ei välttämättä edes tiedä miten tieto kerätään, hän on melko varmasti nähnyt vain mitä on kerätty ja sen mitä lukenut dokumenteisteista jotka ovat olleet hänen saatavillaan sillä osastolla jossa hän ollut töissä.

Isoissa tiedusteluorganisaatioissa on varsin tehokas osastointi ja työnjako talon sisällä ja kun mukana on lisäksi useita yhteistyötahoja (CIA, FBI, GCHQ, ...) niin jotka eivät edes välttämättä kerro sitä mistä tieto on kaapattu. Tämä selviää useista julkaistuista tiedustelua koskevista kirjoista.

Toiseksi Snowden oli sysadmin joka teki ymmärtääkseni työtä tietojärjestelmien, kenties palvelimien ja niiden tukijärjestelmien (esim. storage) kanssa, joka selittäisi miten hän olisi päässyt ns. keittiön oven kautta kopioimaan dokumentteja.

Sysadminit eivät kuitenkaan useinkaan pääse verkon kanssa työtä tekevien Netadminien tontille, joiden dokumenteista luultavasti saisi ainakin paremmin vinkkejä siitä mistä tieto kerätään (yhteyksien ja kapasiteetti-määristä päättelemällä).

Olettaisin kuitenkin, että tiedon kaappaaminen on aivan eri osastojen tai "firmojen" heiniä ja olisin aika yllättynyt jos hänellä olisi ollut pääsyä muihin kuin korkeintaan korkean tason dokumentteihin asiasta. Korkean tason dokumenteilla tarkoitan sisäisiä johdon tekemiä päätöksiä, lakiosaston päätöksiä joilla perustellaan toimeksiantoja jne. en itse teknisiä asioita paljastavia dokumentteja muiden kuin oman ryhmän osalta. Jos hänellä olisi ollut pääsy kaikkeen tekniseen dokumentaatioon, niin siinä tapauksessa ko. firmoissa asiat ovat vielä pahemmin sekaisin kuin mitä on tähän asti ymmärretty olevan ja siellä lienee järjetön paniikki päällä ongelman paljastuttua.

Tietovarastoinnin termein, hän lienee nähnyt data-martit joita analyytikot käyttävät, ehkä myös master-dataa, mutta ei välttämättä tekniikkaa jolla master-data kerätään ja tarkkoja tekniikan asennuspaikkoja.

Omasta mielestäni mielenkiintoisinta Snowdenin kertomassa ei ole ollut niinkään suurta kohua aiheuttaneet tiedon keräyksen laajuus (filteröinti on itse asiassa vaikeaa tehdä hyvin ja työlästä ylläpitää sitä kaappausvaiheessa ...), vaan se miten (sanavalinnat) hän on sanonut ja mitä ns. rivien välistä voi lukea prosesseista, yhteistyöstä, tiedon jakamisesta ym.

Anonyymi kirjoitti...

Ehkäpä Sami Lehtisen kommentti Britannian vakoilu ei yllätä blogissasi sisältää mahdollisuuden.

SSL:n maksimissaan 256 bitin avain salataan ssl-varmenteen julkisella avaimella, joka pitäisi siis olla 15384 bittiä pitkä, että se vastaisi 256 bittistä symmetristä avainta.

Tällä hetkellä nuo avaimet ovat yleisesti ottaen 1024/1536 bittiä pitkiä. Google on tänä vuonna niitä korvaamassa 2048 bittisillä avaimilla.

http://googleonlinesecurity.blogspot.fi/2013/05/changes-to-our-ssl-certificates.html

768 bittisen avaimen primet on selvitetty (faktoroitu) vuonna 2009, joten alle 2048 bittistä avainta pidetään murrettuna, vaikka virallista tietoa ei ole.

Täällä on laskuri avaimen vahvuuteen
http://www.keylength.com/

SSL:n salausavain 256 bittiä sovitaan siten, että se suojataaan pahvilaatikolla eli 1024 bittisellä RSA-avaimella. Tämä siis lienee suurin ongelma.

Anonyymi kirjoitti...

FRAn toimet kiinnostaa tässä itseäni vieläkin enemmän.

Anonyymi kirjoitti...

Eihän niiden Googlen salausta tartte purkaa, ne kun saa Googlelta kaikki haluamansa tiedot. Sama koskee kaikki muita amerikkalaisia yhtiöitä. Ja myös kanadalaisia. Hushmailikin on päästänyt USAn viranomiset lukemaan käyttäjiensä mailejä vaikkei tuon pitänyt olla mahdollista. Ja jos NSAn jossain vaiheessa tarttee purkaa googlen tms salaus, niin nehän saa ne tarvittavat avaimet googlelta. Ei se sen vaikeampaa ole.

Petteri Järvinen kirjoitti...

SSL luo uuden salausavaimen jokaisella käyttökerralla, joten Google ei voi sitä luovuttaa. Avain luodaan varmenteen avulla, ja sen peukalointi taas näkyisi selaimessa varoituksina. Snowdenin mukaan myös GCHQ pystyy urkintaan, joten onko myös sillä pääsy suoraan jenkkipalveluiden tietoihin? Miten runkoyhteyksien salakuuntelu liittyy tähän kaikkeen? Onko puheluita salakuunneltu paikallisten viranomaisten avustuksella vai näiden tietämättä?

Tässä on paljon avoimia kysymyksiä. Ehkä Snowden ei itsekään tiedä kaikkia vastauksia, mutta luulisi hänen olleen tekniikan ihmisenä kiinnostunut siitä, miten tiedot on hankittu. Lisäksi hän on luovuttanut lehdistölle dokumentteja, joiden sisällöstä media on kertonut vain vakoilun kohteen ja laajuuden. Ehkä niistä käy ilmi myös tietojen hankintatapa?

Anonyymi kirjoitti...

@Petteri SSL -luo uuden avaimen joka kerralla, mutta se asiakas välittää käytettävän avaimen palvelimelle salattuna palvelimen varmenteen julkisella avaimella.

Palvelin käyttää samaa varmenetta vuosikausia ja kuten jo totesin niin varmenteen 1024/1536 pituisen RSA-avaimen luontiprosessi katsotaan murretuksi tänä päivänä.

Se symmetrisen salausavaimen suuruus ja monimutkaisuus ei paljon auta kun se on selvitettävissä muutamassa minuutissa/tunnissa, koska sen salaus on suoritettu 64 - 80 bittisellä salauksella jos vertaamme RSA-avaimen vahvuutta symmetrisen salauksen avaimeen.

Varmennetta ei tarvitse peukaloida, koska varmenteen mahdollistama salaus puretaan ja saadaa yhteydessä sovittu avain selville. Avainten vaihto on helppo hakea datavuosta, koska vakoilijalla on yhteyden metatiedot eli mistä, mihin ja koska.

Liikennettä ei tarvitse purkaa reaaliajassa vaan vaikka muutaman tunnin viiveellä.

Anonyymi kirjoitti...

"Erityisen kiinnostavaa olisi tietää, miten kansainvälisiä runkoyhteyksiä salakuunnellaan. Kaapelien kulkeminen Britannian kautta antaa pääsyn niiden valvontaan, mutta Googlen, Facebookin ja muiden nettipalvelujen liikenteen pitäisi kulkea SSL-salattuna."

Ei noista tarvi yhtäkään salakuunnella. Noiden kaikki tieto kun on niiden koneilla selväkielisinä. Eihän noiden käyttäjille muuten pystyttäisi mitään mainoksia kohdentamaan. Ja vaikka jotkut muuta väittää, niin kyllähän ne salaukset haluttaessa aina aukeaa. Tästä on hyvänä esimerkkinä Hushmail. Joskus myös kuullut juttua, että gsm-salauksella on kyllä pituutta, mutta kun iso osa siitä on aina nollia, niin se helpottaa purkamista ihmeesti. Amerikkalaiset on myös ihmeen huolissaan Kiinalaisista verkkovalmistajista. Yleensä eri valtiot on huolissaan niistä asioista, joita ne itse hyödyntävät vakoilussa tms isosti. USAn kohdalla se on verkot, Venäjällä ulkomaiset kansalaisjärjestöt jne. Eiköhän tuo liity jotenkin NSAn tekemisiin.

Se kaiken liikenteen tallettaminen ilmeisesti liittyy lähinä siihen, että vaikka salaukset ei aukea nyt, niin jonain päivänä ne saadaan varmasti auki ja sillon voidaan varmistaa mitä ne ja ne viestittelivät.

Snowdenilla on varmasti myös tietoa noista jutuista mistä bloggari on kiinnostunut. Neljä konetta täynnä varastettua materiaalia, joten siinä menee pikku aika kun noita käydään läpi ja niitä juttuja julkastaan tyyliin kerran viikossa. Noi voi tosin olla asioita, jotka jää julkasematta. No, niin tai näin, niin Guardian julkaisi just tommosen jutun aiheesta...

http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa-collaboration-user-data

Petteri Järvinen kirjoitti...

... ja Snowden kertoi.

Website Security Test