The Internet is compromisedInternet är undergrävt

The Internet is compromised, was originally written by Claudio. Read his original text, or our Swedish translation!En diagnos efter ett dramatiskt år av avslöjanden om global övervakning

Av Claudio. En översättning av Internet is compromised.

En stor mängd dokument har publicerats som avslöjar de oerhört omfattande ansträngningarna av NSA:s och dess partners, GCHQ och de andra medlemmarna i ”Five Eyes”-alliansen. Samtliga publikationer har varit av betydande värde och satt igång en viktig internationell debatt om hur långt vi bör låta vår egen och andras regeringar inskränka vårt privatliv i säkerhetens namn.

Mängden avslöjanden har växt sig så stor att det börjar bli svårt att hålla reda på dem. Efter den initiala upphetsningen, förvåningen och ilskan över publiceringarna så måste vi sätta oss ner i lugn och ro för att utvärdera vad vi har lärt oss för att på djupet förstå vilka de faktiska politiska, sociala och tekniska konsekvenserna är av dessa spionprogram som avslöjats.

Bland de många avslöjanden så finns det några läckta dokument som med extra tydlighet visar på det dramatiska läget för integriteten på och tilliten till internet.

Arkitekturen

Att kommunicera över internet är inte någon direkt-kommunikation — du är beroende av ett antal andra datorer för att få ditt meddelande från ditt hem, över gatan, tvärs genom landet och över Atlanten. Till exempel så var du antagligen tvungen att hoppa genom åtminstone tio eller femton olika noder för att nå fram till den text som du läser just nu. Det är mycket som kan gå fel på ett meddelandes resa genom nätet, vi litar helt enkelt på att det levereras korrekt.

Vetandes att du måste gå via ett okänt antal datorer som är under någon annans kontroll när du kopplar upp dig mot en tjänst på nätet, skulle du lita blint på att de för dig okända personer som sköter alla dessa datorer värnar om skyddet av ditt privata data? Det borde du antagligen inte. Den dåliga nyheten är dock att dessa okända personer faktiskt är långt ifrån ditt största problem vad gäller hotet mot ditt privatliv.

Massövervakning

Det första avslöjandet från Snowden, PRISM, kom som en blixt från klar himmel och utlöste ett ramaskri världen över. Protesterna mot detta integritetskränkande program gick snart över i en het debatt om legitimiteten i NSA:s spioneri, i takt med att fler hemliga program avslöjades.

Rapporteringen kring PRISM gjorde allmänheten uppmärksam på att man inte kan lita blint på etablerade internet-giganter som Google, Facebook och Skype eftersom de till syvende och sist lyder under lagarna i USA och har att förhålla sig till amerikanska myndigheter. PRISM var dock bara början och trots att allmänhetens intresse svalnade över tid så följde snart avslöjanden om än mer oroande försök av NSA och dess partners att spionera på internetanvändare.

För att kunna spela in pågående kommunikation över internet så måste NSA kontrollera en nod mellan källan och destinationen. Följaktligen måste NSA och GCHQ antingen själva vara de som driver noden, tvinga ägaren av den att samarbeta eller olagligen ta kontroll över noden genom att bryta sig in i och ta över den.

I fallet med TEMPORA-programmet, till exempel, lyckades GCHQ samla in enorma mängder personligt data genom att avlyssna de atlantkablar som utgör internets stamnät, troligen med ett tyst medgivande från de företag som sköter kablarna.

Ett av de mest skrämmande programmen som avslöjats hittills kallas XKEYSCORE, vilket sannolikt utgör NSA:s huvudsakliga infrastruktur för storskalig insamling av data. Genom att på ett eller annat sätt ta kontroll över nyckelpunkter på internet så har NSA genom åren lyckats etablera ett vidsträckt nätverk av passiva sensorer som i all tysthet fortlöpande samlar in den kommunikation som passerar genom dem. Genom XKEYSCORE kan NSA:s analytiker söka efter i stort sett vad som helst som transporteras över internet, från specifika e-postadresser eller telefonnummer till alla personer som passar in på ett visst beteende, t.ex. ”alla som söker på internet efter något skumt” som ett av de läckta hemliga dokumenten visar.

XKEYSCORE
Dokument som visar noder för inhämtning i XKEYSCORE-programmet.

Att ta och bibehålla kontrollen över de delar av internets stamnät som ligger utanför ”Five Eyes”-ländernas jurisdiktion är ingen lätt uppgift. Det är därför rimligt att tro att detta omfattande nätverk delvis består av hackade noder och servrar.

JETPLOW
NSA-dokument med detaljerad information om en bakdörr i en PIX/ASA-brandvägg från Cisco. (Der Spiegel)

Faktum är att Der Spiegel avslöjade att NSA i hemlighet har byggt upp förmågan att ta kontroll över sådan utrustning som används på nyckelpunkter på internet, som PIX/ASA-brandväggar från Cisco, brandväggar från Juniper, routrar från Huawei och servrar från Dell.

Och värre skall det bli.

Riktad övervakning

I takt med att kryptering blir allt mer populärt så duger inte längre traditionell avlyssning. Det blir vanligare att polis och underrättelsetjänst faller tillbaka på att bryta sig in i datorer.
Detta har varit känt i ett antal år men NSA har tagit detta till nivåer som hittills saknat motstycke. NSA och GCHQ har i praktiken saboterat internet, vänt dess egen arkitektur mot sig självt och omvandlat dess stomnät till ett globalt ramverk för intrång i datorer, allt med hjälp av ett antal hemliga program kallade QUANTUM.

Som det förklaras i en av de publicerade presentationerna så används NSA’s XKEYSCORE-sensorer även i kombination med en mängd hemliga program kallade TURBULENCE. TURBULENCE består i huvudsak av två system, TURMOIL och TURBINE. Dessa används för att identifiera personer av intresse respektive kapa deras datorer för att ta kontroll över dem.

Specifikt beskrivs TURMOIL som ”snabba, passiva insamlingssytem för att fånga upp satellit-, mikrovågs- och kabelburen kommunikation när den skickas över världen” och beskrivs målande i bilden nedan.

TURMOIL
Bild ur en presentation som visar TURMOIL’s infrastruktur. (Der Spiegel)

TURMOIL är ett distribuerat system för att fånga upp, analysera och identifiera trafik som matchar en given lista av regler. I tekniska termer kan TURMOIL jämföras med ett Deep Packet Inspection-system. Sådana används ofta i företagsnätverk för att analysera trafik och upptäcka avvikelser som virus och ej sanktionerade aktiviteter som t.ex. besök på ej godkända webbsajter.

När en regel matchar så aktiveras TURBINE som i enlighet med något som NSA kallar ”mission logic” startar en sekvens av attacker.

Genom att kombinera dessa komponenter kan NSA och GCHQ systematiskt kapa i stort sett vilken internetkommunikation som helst. Frågan är vad man siktar in sig på. Potentiellt kan vem som helst utgöra ett mål men NSA och GCHQ kan genom s.k. selektorer välja ut personer av intresse. Selektorer är identifierare som appliceras på en viss urvalsgrupp, en ”realm”. Exempel på selektorer är e-postadresser, kontonamn och cookies i webbläsare. Exempel på urvalsgrupper är Facebook och Twitter.

QUANTUM capabilities
Bild med urvalsgrupper tillgängliga för NSA genom QUANTUM-programmet. (Der Spiegel)

Intressant att notera är att GCHQ har tillgång till fler urvalsgrupper, troligen tack vare en mer förfinad uppdelning i sin övervakningsutrustning eller på grund av att det finns mer populära tjänster i de geografiska områden som den brittiska underrättelsetjänsten har smidig tillgång till.

För att hjälpa denna urvalsprocess använder NSA ett smidigt webbverktyg som heter MARINA, vilken NSA:s analytiker använder för att styra QUANTUM att leta efter vissa urvalskriterier och samla all tillgänglig information för den valda profilen, bl.a. skickade och mottagna meddelanden, ingående och utgående kontaktrelationer, inloggningsnamn och lösenord.

MARINA
Bild som visar hur man hittar och väljer mål för QUANTUM genom MARINA. (Der Spiegel)

När det behövs kan NSA:s analytiker peka ut den valda profilen som mål för QUANTUMTHEORY- eller QUANTUMNATION-attacker vilka resulterar i att målets dator, telefon eller annan utrustning får en VALIDATOR- respektive SEASONEDMOTH-bakdörr installerad, bägge kodnamn för två av spyware-implantaten i NSA:s arsenal.

QUANTUMNATION
Bild ur presentation som beskriver hur man med QUANTUMNATION väljer mål att attackera. (Der Spiegel)

Både QUANTUMTHEORY och QUANTUMNATION använder sig av en speciell nätverksattack som kallas QUANTUMINSERT.

Tack vare det ovan nämnda nätverket av noder som finns distribuerade över internet så kan NSA i många fall observera en anslutning innan den ens är fullständigt upprättad.

Till exempel, låt oss anta att du är i Tyskland och ansluter till Yahoo’s servrar i Virginia, USA. Om NSA kontrollerar en internet-nod i Nederländerna som du passerar genom så kommer de inte bara att se ditt försök att ansluta till Yahoo utan kommer även att kunna skicka dig ett svar som ser ut att komma från Yahoo, detta snabbare än vad Yahoo själva kan. Här kommer din webbläsare att öppna, istället för Yahoo’s riktiga webbsida, en sida som utan att du märker det automatiskt infekterar och tar över din dator. Sådana typer av attack-servrar är en del av en infrastruktur som kallas FOXACID. Dessa drivs av NSA’s egen grupp av angripare, Tailored Access Operations unit (TAO).

Den här processen är beskriven i en publicerad NSA-presentation.

QUANTUM
Schema över hur QUANTUM-attackerna fungerar (Der Spiegel)

En liknande typ av attack kallad QUANTUMCOPPER låter NSA automatiskt förvanska filer som man laddar ner och ger dem därmed möjlighet att få in bakdörrar i applikationer som man installerar.

I praktiken så spelar det ingen roll vad du gör — blir du utpekad som mål så kommer du att falla offer för detta bara genom att surfa på nätet.

Detta är både skrämmande och skandalöst.

Så vad betyder allt detta?

Sensmoralen i den här historien är att internet vid det här laget i all tysthet helt militariserats utan våran vetskap. Bildligt talat finns vid varje vägskäl på internet en dold kontrollpunkt där alla som utbyter information blir övervakade och potentiellt attackerade.

För att kunna etablera denna massiva kontroll över den globala kommunikationen så har man utöver detta medvetet försvagat, undergrävt och låtit bli att laga den teknik som används på internet. Detta har lämnat oss alla exponerade utan möjligheter att påverka och förbättra vår situation.

Internet har alltid ansetts som frihetens sista fäste, den plats där möjligheten att kommunicera fritt fortfarande var möjlig. Detta är inte längre sant och har antagligen inte varit det på länge.

Internet är undergrävt.

Dess grunder har blivit kränkta av en sammanslutning av olika underrättelsetjänster och andra intressenter. De har genomfört den mest aggressiva offensiven mot internets arkitektur som någonsin dokumenterats. Denna sammanslutning har upprätthållit ett sken av att arbeta i nationernas intresse medan de, på ett mycket effektivt sätt, exponerat alla användare av en tjänst som inte har någon fysisk gräns.

Vad kan du göra åt saken?

Den goda nyheten är att kryptering fungerar. Detta är faktiskt det enda realistiska sättet att förhindra de flesta av dessa attacker.

Om internetkommunikationen är krypterad i ledningarna så är det inte längre möjligt att snappa upp och rekonstruera innehållet. Därmed är det inte heller möjligt att manipulera och kapa sessioner för att slutligen kontrollera din kommunikation och utrustning. Detta skulle i praktiken kunna stoppa QUANTUM eller i alla fall markant höja kostnaden för en lyckad attack.

Att anamma kryptografi innebär alltså inte inte endast ett ökat skydd av sekretessen för din kommunikation utan hjälper även till att skydda säkerheten för din elektroniska utrustning.

Man skall dock inte glömma att en enstaka osäker session kan räcka för att användaren skall bli exponerad och utsatt för risker. Det är därför nödvändigt att nu ställa krav på de som driver internettjänster att tillhandahålla kryptering och att påbörja en ändring i inställningen till kryptografi som gör detta till ett medmänskligt ansvar snarare än ett tråkigt tillmötesgående av krav.

Som ett resultat av avslöjandena bör varje engagerad internetanvändare lära sig grundläggande självförsvar. Men tekniker och open source-utvecklare bör härmed se sig kallade till strid att förvandla användning av kryptering från att vara en del av en digitala motståndsrörelse till standardläget för internets arkitektur.

Skriven av
Claudio
Emotional Hacker
Hämtad den 28 januari 2014

4 kommentarer till “The Internet is compromisedInternet är undergrävt

    • Vi behöver mer resurser för att både kontrollera befintlig teknik och för att bygga ny. Kryptering fungerar men den måste designas och implementeras korrekt, vilket kräver mycket resurser. Rejäla satsningar på öppen mjuk- och hårdvara är vägen framåt.

Lämna ett svar

Du måste vara inloggad för att skriva en kommentar.