keskiviikko 3. heinäkuuta 2013

USA murtautui EU:n tietoverkkoon -- jo 17 vuotta sitten

Tuore uutinen USA:n suorittamasta EU-urkinnasta kuulosti jotenkin tutulta. Missä olinkaan kuullut saman aiemmin?

Pengoin vanhaa lehtileikearkistoani ja löysin oheisen Hesarin uutisen 5.8.1996:

USAlla on perinteitä EU-urkinnasta.
Teksti kuulostaa kovin tutulta: "Yhdysvaltojen salaisen palvelun agentit murtautuivat Euroopan parlamentin ja EU:n komission tietokonejärjestelmiin sadakseen salaisia poliittisia ja taloudellisia tietoja, Sunday Times -sanomalehti sanoo. Yhdysvallat käytti tietoja hyväkseen viime vuoden GATT-neuvotteluissa. Epäilykset heräsivät, kun Yhdysvalloilla näytti olevan salaiseksi luokiteltua tietoa EU:n neuvottelutavoitteista, lehti kertoo."

Mihinkäs tiikeri raidoistaan pääsisi? Uutisen mukaan järjestelmään oli murtauduttu vain muutamaa päivää ennen neuvotteluja.

Loppu on tuttua EU-toimintaa: "EU:ta ei kiinnosta eniten se, mitä kaikkea tietoja on kopioitu vaan varmistaa, että moinen ei toistu." Siis hyviä aikomuksia, mutta vähän tuloksia.

Historia toistaa itseään. USA vakoilee ja EU kauhistelee, voimatta kuitenkaan tehdä asialle mitään. Sen käyttämät "asiantuntijat" eivät pystyneet estämään urkinnan jatkumista. Yksityisyyttä ja viestintäsalaisuutta korostava EU näyttää hyväuskoiselta hölmöltä USA:n, Kiinan ja Venäjän rinnalla.

Jostain syystä kyseistä uutista ei löydy Hesarin verkkoarkistosta, vaikka sen yläpuolella oleva Sähkökatkos pimensi lähes koko Malesian 15 tunniksi kyllä löytyy. Joko arkistossa on vikaa... tai sitten NSA:n hakkerit ovat poistaneet sen (vitsi, vitsi).

Toinen salakuuntelusta mieleen tullut uutinen liittyi Irakin sotavalmisteluihin vuonna 2003. USA salakuunteli Angolan, Kamerunin, Chilen, Meksikon, Guinean ja Pakistanin YK-diplomaatteja saadakseen nämä puolelleen äänestyksessä. Ironista kyllä, kyseisen hyökkäyksen syy pantiin myöhemmin vääriksi osoittautuneiden tiedustelutietojen piikkiin.

7 kommenttia:

Anonyymi kirjoitti...

Et toki ole ainoa jolla on muistissa tuo vanha murto ja joka muistuikin heti mieleen :)

Pari vuotta tuon murron jälkeen BUGTRAQ:lla oli keskustelu, jonka jälkeen epäiltiin että se olisi ollut yksi mahdollinen käytetty murtomekanismi. EU:lla oli kuulemma myös 3Com:n kytkimiä käytössä, joissa siis nuo samat takaovet ainakin parin vuoden ajan.

Yhtä helppoja löytää takaovia harvoin enää löytyy, laitteet ovat paljon monimutkaisempia nykyään ja vaikeammin tutkittavissa.

Mutta toisaalta hallintaliittymiin pääsyjen suojaamisen ja konfiguraatioiden hallinnan ym. osalta on toimintatavat kehittyneet varsin paljon.

Täyttä varmuutta siitä kuitenkin on mahdotonta saada, että jossakin laitteessa ei ole dokumentoimattomia takaovia tai rootkittiin verrattavia ominaisuuksia. Sen todentaminen ei ole mahdollista. On vain mahdollista todentaa löydetyt asiat. Siksi suojauduttaessa on tehtävä se mikä voidaan rakentamalla puolustus kerroksittaiseksi. On käytettävä apuna eri valmistajinen laitteita ja avoimia ohjelmiakin ulkoisten kerrosten tekemiseen, eikä kannata luottaa vain laitteen sisäisiin suojamekanismeihin. Monokulttuuri ja yksittäiseen valmistajaan luottaminen ovat samoin varsin iso riski siellä missä on korkean kiinnostavuuden tietoa.

Korkean kiinnostavuuden kohteiden suojaaminen on kuitenkin aivan eri asia kuin satunnaisen yrityksen tai ISP:n verkon suojaaminen. Kun tieto jonka perässä on CIA:n ja NSA:n kaltaiset tiedustelun jättiläiset, niin heillä on aivan erilaiset mahdollisuudet panostaa kuin teollisuusvakoilua yrittävällä isollakin yrityksellä.

Moni varmasti on nähnyt verkossa myytäviä jatkoroikkia, kelloradioita ja kännyköitäkin jo yli 10v ajan joihin on ujutettu ominaisuus vakoilla ja kuunnella. No nämä ovat niin hyvin tiedossa, että tuskin ammattilaiset niihin sortuvat, elleivät sitten halua saada tekoa näyttämään amatöörien teolta joka voi olla ihan perusteluakin joissain tapauksissa. Samaan luokkaan menevät USB-tikut, hubit jne. joissa keyloggeri samoin kuin näppäimistössä sisällä jne.

Anonyymi kirjoitti...

... jatko

Mutta moniko on ajatellut että myös muut ja kaikki passiivisiltakin* laitteilta vaikuttavat verkko- tai sähkö-laitteiden komponentit, joista sähkö kulkee lävitse ovat hyviä piilopaikkoja kuuntelulaitteille taholle, jolla on isot resurssit valmistaa teollisen valmistuksen kaltaista itse tai teettää sitä luotetuilla alihankkijoilla.

*) virtajohtodon pistokekin ja verkkolaite kelpaa kuuntelulaitteelle siinä kun seinässä olevat verkko- ja sähkörasiat, seinäkellot, (energiansäästö)lamput joista ei näe lävitse jne. ihan mitä hyvänsä missä on sähköä nyysittävissä sen muutaman Watin joka tarvitaan lähetintä varten. Antennin piilotus ei ole iso ongelma GHz taajuuksilla, se on niin pieni. Vastaanotto voi sitten olla lähellä tai hyvinkin kaukana korkealla ilmakehässä tai jopa geostationäärisellä radalla, jos kohde on todella arvokas. Googlen Project Loon pallot ovat 20km korkeudessa ja niihin liikennöimiseksi riittää muutama Watti ja pieni mokkulan kokoinen lähetin, vastaanotin on isompi joten siksi tarvitaan ulkoista antennia.

Laajemmin tietoliikenteen kaappaamiseen em. menetelmät eivät suoraan sovellu. Ilmeisesti liikennettä kopioidaan suoraan ns. siirtokerrokselta, johon käsiksi pääsemiseksi on luultavasti käytetty aivan perinteisiä vakoilussa käytettyjä menetelmiä, joita CIA tuskin vieroksuu jollei muuten tehtävän hoito onnistu.

Fyysisesti laitteen ei siinäkään tarvitse olla mahdottoman iso, ollei suuruudesta ole jotain etua hämäyksessä. Eikä tarvittava sähkötehokaan ole enää kovin iso ongelma kun esim SFP+ kaltainen 'värjätty' DWDM (10Gbps ethernet) moduulikin vie sähkötehoa vain korkeintaan 2W ZR/ZW moduulina. Suurin osa tehosta tietysti tarvitaan lähettämiseen, joten 1W sähkötehoa vastaanottoon on runsaasti.

Suurin ongelma on laitteen piilotus tai naamiointi joksikin minkä olemassa oloa ei kukaan älyä kyseenalaistaa vaikka se olisi päivittäin nenän alla. Toiseksi vaikeinta on varmasti prisman väliin saanti, niin että sitä ei kukaan oivalla olevan ja mitattaessa huomata vaimennusta. Helpoitenhan tämä onnistuisi jos saisi asentajan asentamaan sen samalla kun kuituja päätetään kytkentätauluun. Silloin ei olisi edes vertailukohtaa mikä oli vaimennus ennen prismoja ja mahdollisuutta huomata muutosta.

Prismojahan käytetään yleisesti WDM:n kanssa, eikä ne ole mitenkään erityisen harvinaisia suomessakaan.

Operaattorit käyttävät WDM:ää siirtoteknologiana yleisesti ja se on hyvin toimiva tekniikka. Esim. FUNET (valopolku) verkko perustuu nykyään DWDM:n (ts. käyttää aktiivisia laitteita) ja sen yli kulkee lähes koko akateemisen verkon runkoliikenne Suomessa.

Passiivisilla CWDM:llä, joilla saadaan jaettua kuitu 4:n tai 8:n kanavaan helposti on se etu, ettei se tarvitse toimiakseen ollenkaan virtaa (siksi nimitys passiivinen laite).

Isoja toimijoita DWDM-siirtolaitepuolella ovat mm. Alcatel-Lucent, Cisco, Ciena, Ericsson (Marconi), Huawei ja NSN. CWDM:n puolella on lisäksi paljon yleisölle tuntemattomampia toimijoitakin kuten vaikka AFOP ja Smartoptics.

Tiedustelulla on varmasti suuri kiinnostus ja halu päästä siirtoteknologian valmistajien, toimittajien ja asentajien kautta saamaan kätensä hunajapurkkiin tavalla tai toisella. Jos sillä puolella on ongelmia niin kaikki muu päälle rakennettu turvallisuus-infrastuktuuri on hyödytöntä, koska verkot ja järjestelmät, jotka eivät salaa kaikkea järjestelmien välistä ja levy-liikennettä, päästään helposti kiinni siirtokerrokselta tai kopioidaan suoraan kuidusta jonnekin muualle käsittelyä varten.

Anonyymi kirjoitti...

... jatko

Ai niin, unohdin laittaa tämän linkin IEEE Spectrum lehdessä 2007 julkaistuun The Athens Affair jonka kirjoittivat Vassilis Prevelakis and Diomidis Spinellis.

Artikkeli kannattaa lukea ehdottomasti, koska siitä näkee kuinka EU:nkin kaltaista vakoilua on voitu käytännössä tehdä ja miten vakoilija onnistui minimoimaan kiinnijäämisriskinsä.

Petteri Järvinen kirjoitti...

Tämä Ateenan tapaus oli mielenkiintoinen - tekijät jäivät selvittämättä, mutta asialla oli mitä ilmeisimmin NSA.

Saksan tapahtumien jälkeen herää epäily, että NSA on tehnyt siellä jotain vastaavaa. Tai sitten maan johto ei oikeasti tiedä, minkälaista yhteistyötä sen poliisi ja oma tiedustelu jenkkien kanssa harjoittavat. Molemmat ovat pelottavia vaihtoehtoja.

Anonyymi kirjoitti...

Varmuutta Ateenan tapauksen salakuuntelun tekijöistä ei ole, mutta resurssit ja taito jota siinä tarvittiin osoittaa, että aivan varmasti kyse oli valtiollisen tason resurssit omaavasta tahosta.

Omasta kokemuksesta voi sanoa, isohkossa projektissa isolle operaattori-asiakkaalle ja silloin reilu 10v varsin ison amerikkalaisen talon myymiä järjestelmiä integroidessani olemassa oleviin, että vaikka siellä oli kohtuullisen tiukka muodollinen muutoksenhallinta prosesseineen, kulunvalvontoineen jne. Niin siitä huolimatta kaikkien esteiden kiertäminen oli kyllä mahdollista jos vain halua olisi ollut, mutta samalla siinä olisi ottanut isohkon taloudellisenkin riskin joten ei ihan turhasta sääntöjen rikkomista ei olisi edes harkinnut. Iso osa ohjelmista ei ole mitään hyllytavaraa vaan ne on kustomoituja valmistajan toimesta asiakkaalle.

Silloin käytössä ei ollut yleisesti digitaalisia allekirjoituksia ohjelmistoissa ja ohjelmat tulivat suurelta osin DAT-nauhoilla. On lukemattomia paikkoja lähtöpäässä ja toimitusketjussa, jossa joku olisi voinut päästä DHL:n tms. kuljettamiin pelkissä kuplapussi- ta pahvilaatikossa kulkeviin ohjelmistoihin ja lisätä niihin rootkitin tms. Minulla ei olisi ollut mitään mahdollsuuksia niitä todeta ennen tuotantoon asennusta. Ja koska järjestelmissä oli useita rootin salasanoja käyttäviä pakon sanelemista syistä niin jonkun ajan päästä (~2v) jälkikäteen backuppien kierrettyä ja lokien vanhettua olisi ollut mahdotonta osoittaa kuka sen rootkitin asensi ja mistä se tuli alun perin. Eikä tässä mitään ihmeellistä ole, monessa paikassahan asiat ovat edelleen näin. No, onneksi ei sentään enää kaikkialla ja virheistä on tullut matkan varrella opittua miten näitä ongelmia voi ratkoa :)

Kontrollit olivat siis lähinnä itse asetettuja (discretionary) firman politiikan mukaan, hallinnollisia (administrative), ennalta ehkäiseviä (deterrent), rankaisevia (punitive) ja oikeita teknisiä todella pakottavia (mandatory) rajoitteita, jotka estävät sysadminien väärinkäytön ja joita ei voi kiertää ei ole ollut.

Sama muuten paljastui Snowdenin kertomastakin selkeästi. Kuinka ilmeisesti johto luulee, että pelkkät kiellot ja rangaistuksen uhka estävät väärinkäytöksiä ym.

No ehkä he ymmärtävät realiteetteja hieman paremmin tämän jälkeen, että hallinnolliset kiellot tietojärjestelmissä pakottavat noudattamaan sysadmineja käytännössä yhtä paljon kuin nopeusrajoitukset maanteillä.

Tietysti on sitten lähinnä tutkimuskäyttöön ja isolla rahalla pystytettyjä muutamia erityisjärjestelmiä MAC:lla, mutta Snowdenin paljastukset kertovat että ne eivät ole edes laajassa käytössä NSA:n sisällä. Eikä syytä ole vaikea arvata, ne ovat edelleen keskeneräisiä ja liian vaikeita käyttää todellisiin tehtäviin. Ne kangistavat käyttöä niin ettei tehtäviä saada tehtyä.

Anonyymi kirjoitti...

NSA-kirjassasi on myös maininta että ehkä NSA:n hakkerit ovat poistaneet hesarin arkistosta tuon 5.8.1996 jutun, mutta siinä ei ole perässä "vitsi, vitsi". Laitoin hesarin arkistohaun palautteeseen kysymyksen miksi ei tällaista artikkelia löydy.

Hakkerit eivät sentään ole poistaneet mtv3:n samaista juttua [ http://www.mtv.fi/uutiset/ulkomaat/artikkeli/usa-n-agentit-murtautuivat-eu-n-tietokoneisiin/5377220 ].

Petteri Järvinen kirjoitti...

Varmaankin jokin virhe Hesarin vanhojen artikkelien siirrossa. Oletan lukijan ymmärtävän, että epäily on esitetty hieman kieli vyön alla.

Website Security Test