XKeyscore wie o Tobie wszystko

[KopalniaWiedzy.pl 318]

Edward Snowden ujawnił kolejne narzędzie wykorzystywane przez NSA do inwigilacji. Tym razem dowiadujemy się o istnieniu najprawdopodobniej najpotężniejszego programu tego typu - XKeyscore. Pozwala on na nieautoryzowany dostęp i przeszukiwanie olbrzymich baz danych zawierających e-maile, zapisy czatów i historie surfowania po sieci milionów osób. To najszerzej rozpowszechnione narzędzie inwigilacyjne w internecie.

Na początku czerwca, podczas pierwszej rozmowy przeprowadzonej z dziennikarzem Guardiana, Edward Snowden stwierdził: Siedząc przy własnym biurku mogę podsłuchiwać każdego. Od ciebie i Twojego księgowego po sędziego federalnego czy prezydenta. Wystarczy że mam adres e-mail. Teraz, dzięki ujawnieniu XKeyscore wiemy, o czym Snowden mówił.

Władze USA zaprzeczały wówczas jego słowom. Mike Rogers, przewodniczący komitetu wywiadu Izby Reprezentantów stwierdził: On kłamie. To niemożliwe by mógł to robić.

Jednak ujawnione teraz przez Snowdena materiały szkoleniowe pokazują, że wypełniając prosty formularz na ekranie komputera pracownik NSA może - bez pytania o zgodę sądu czy konieczności autoryzacji swoich działań u jakiegokolwiek innego pracownika NSA - przeszukać olbrzymią bazę danych z podsłuchu. Jeden ze slajdów szkoleniowych dotyczących XKeyscore mówi, że nadzoruje on niemal wszystko, co typowy użytkownik robi w internecie. Przechwytuje zarówno metadane jak i zawartość e-maili, witryn internetowych czy pytań zadawanych wyszukiwarkom. Co więcej XKeyscore daje możliwość śledzenia poczynań użytkownika niemal w czasie rzeczywistym.

Zgodnie z amerykańskim prawem do przechwycenia komunikacji obywatela konieczna jest indywidualna zgoda sądu. XKeyscore pozwala na szeroką inwigilację bez wcześniejszej autoryzacji. Wystarczy, że pracownik NSA zna adres IP lub e-mail interesującej go osoby. Oprogramowanie na bieżąco zbiera dane i daje do nich ciągły dostęp. Analitycy mogą wyszukiwać interesujących ich ludzi po numerze telefonu, adresie, nazwisku, słowch kluczowych, używanym języku czy typie przeglądarki. Analitycy mający dostęp do XKeyscore są uczeni, że wykorzystywanie pełnej bazy danych dostarczy im zbyt wielu trafień, zatem najpierw powinni używać metadanych i na ich podstawie zawężać obszar poszukiwań.

Program XKeyscore wyposażony jest w dodatki zwiększające jego funkcjonalność. Ze slajdu "Plug-ins" z grudnia 2012 roku dowiedujemy się, że możliwe jest przeglądanie dowolnego adresu e-mail zarówno pod kątem nazwy użytkownika jak i domeny, dowolnego numeru telefonu, aktywności na czacie czy w mailu pod kątem nazwy użytkownika, listy znajomych, ciasteczek specyficznych dla danego komputera itp.

Analityk, który chce przejrzeć e-maile dowolnej osoby, musi jedynie w formularzu wpisać jej adres, okres dla jakiego wyszukuje oraz w polu z uwagami uzasadnić, dlaczego przegląda te maile. Po chwili otrzymuje spis e-maili i zaznacza te, które chce odczytać.

Niezwykle łatwe jest też samo rozpoczęcie inwigilacji. Dodanie konkretnej osoby do zestawu śledzonych wymaga jedynie wybrania kilku pozycji z menu, opisujących podstawy prawne dla inwigilacji oraz uzasadniających ją z punktu widzenia wywiadowczego.

XKeyscore to część sieci wywiadowczej zwanej Digital Network Intelligence (DNI). Jednym z dostępnych narzędzi jest DNI Presenter, który w połączeniu z XKeyscore pozwala na odczytanie prywatnych wiadomości i czata z Facebooka. Aby uzyskać dostęp do takich danych analityk musi wpisać jedynie nazwę konta na Facebooku i interesujący go zakres dat. Jeden ze slajdów szkoleniowych wyjaśnia: Dlaczego interesuje nas protokół HTTP? Gdyż niemal wszystko, co typowy użytkownik robi w internecie jest wykonywane za pośrednictwem HTTP. Na slajdzie tym widac logo Facebooka, Twittera, CNN, Wikipedii czy Gmaila.

XKeyscore pozwala też na określenie adresu IP każdej osoby, która odwiedzi dowolną interesującą NSA witrynę. Ze slajdów dowiadujemy się, że każdego dnia do bazy XKeyscore trafia 1-2 miliardów rekordów zawierających e-maile, wykonywane połaczenia telefoniczne i inne rodzaje komunikacji.

XKeyscore zbiera tak gigantyczną ilość informacji, że nie mieszczą się one w centrach bazodanowych. Dlatego też treść komunikacji przechowywana jest średnio przez 3-5 dni, a metadane przez 30 dni. Z jednego ze slajdów dowiadujemy się: W niektórych miejscach ilość zbieranych danych (ponad 20 terabajtów dziennie), jest tak wielka, że możemy je przechowywać jedynie przez 24 godziny. NSA rozwiązała ten problem tworząc wielowarstwowy system, dzięki któremu interesujące ją dane są przechowywane w osobnych bazach danych. W jednej z nich, zwanej Pinewale, są przechowywane nawet przez pięć lat.

Zgodnie z prawem podsłuchiwanie obywateli USA wymaga za każdym razem uzyskanie indywidualnego nakazu. Prawo jednak pozwala na nieograniczone podsłuchiwanie obywateli innych krajów. Jameel Jaffer, dyrektor ds. prawnych w ACLU (Amerykańska Unia Wolności Obywatelskich) mówi, że rządzący przyjęli takie przepisy po to, by móc inwigilować własnych obywateli. Rząd nie musi teraz brać na celownik Amerykanów, by zbierać dane z ich komunikacji. Śledzi komunikację Amerykanów biorąc na cel obywateli obcych państw - stawierdził.

Co prawda od czasu do czasu przełożeni analityków dokonują audytu ich poczynań jednak, jak mówi Snowden, bardzo rzadko się zdarza by działania te zostały zakwestionowane.

Z ujawnionych dokumentów wynika też, że do roku 2008 dzięki XKeyscore udało się złapać 300 terrorystów.

[Acrux 4]

No i po cholerę im to wszystko? Nawet tego nie ograniają... Dobrze, że jestem przeciętnym "Kowalskim"...

[Mariusz Błoński 185]

Na razie. Ale może się okazać, że kiedyś będziesz pracowała z interesującej ich firmie czy zaczniesz robić karierę polityczną lub poznasz kogoś, kto ich interesuje i okaże się, że gdzieś kiedyś zadałaś wyszukiwarce nieodpowiednie zapytanie.... To niezły młot na Kowalskich, którym się nie podoba obecna rzeczywistość i zechcieliby naruszyć czyjeś interesy.

[Acrux 4]

No wiem, ale to mnie po prostu przerasta.

[thikim 117]

Czyje interesy może naruszyć Kowalski? Przecież dla tych ludzi to robak. Czy człowiek zajmuje się glistą? A jak ktoś zacznie robić interesy czy dołączy do polityki to znajdzie się w tym gronie dla których przeciętna osoba to robak. Po co sie nim interesować?

Kowalcy którym się nie podoba rzeczywistość nie mają żadnych szans naruszyć czyjeś interesy. Jak robak może naruszyć interesy słonia?

[jendrysz 3]

Kowalski nie bierze pod uwagę to, że wiedząc o nim wszystko łatwo go (nawet) zabić i obciążyć tym innego Kowalskiego, a przy okazji oskarżyć o podżeganie i tym samym przydusić potencjalnego buntownika.

Możliwości jest mnóstwo.

Jednak w praktyce wystarczy wiedzieć co interesuje Kowalskiego i jak go podpuścić lub zniechęcić do odpowiedniego "działania".

Szczególnie przydatne w razie kryzysu, by Kowalskiego całkowicie ogłupić.

Świadomych buntowników nie da się, ale Kowalskiego łatwo wpuścić w kanał i też go zaboli, ale z opóźnieniem.

[jendrysz 3]

Czyje interesy może naruszyć Kowalski? ... Jak robak może naruszyć interesy słonia?

 

Wystarczy, że robak "niechcący" postawi igłę na sztorc.

[Jack Malecki 1]

" Analitycy mogą wyszukiwać interesujących ich ludzi po numerze telefonu, adresie, nazwisku, słowch kluczowych, używanym języku czy typie przeglądarki. Analitycy mający dostęp do XKeyscore są uczeni, że wykorzystywanie pełnej bazy danych dostarczy im zbyt wielu trafień, zatem najpierw powinni używać metadanych i na ich podstawie zawężać obszar poszukiwań."

 

To już wiadomo dlaczego pierwsze uruchomienie Windows 8 potrzebuje od nas tych danych...

[wilk 103]

Czyje interesy może naruszyć Kowalski?

 

Nie żebym bronił tego systemu, choć nic nadzwyczajnego, że istnieje. Aczkolwiek Kowalski może np. http://niebezpiecznik.pl/post/googlali-plecak-i-samowar-odwiedzila-ich-policja/ szukać szybkowaru do kuchni albo na jakieś zawody.

[radar 103]

Wydaje mi się, że nie zadajecie najważniejszego pytania: JAK (oprócz podsłuchiwania wszystkich kabli podmorskich + echelony) otrzymują dostęp "niemal online" do tych danych? Nie jest napisane czy do wszystkich maili na całym świecie? Co z https itp? Co z "jakimś" logowaniem czy to F, czy gmail czy inne konta z uwierzytelnieniem. Jeśli otrzymują te dane bezpośrednio od dostawców/operatorów to współpraca tych ostatnich jest bezsporna. Istnieje możliwość, że korzystają z backdoorów w oprogramowaniu, ale przecież tego typu zapytania widać na maszynie i każdy administrator powinien widzieć obciążenie serwera. Ciekawi mnie bardzo skala zjawiska, ale pewnie i tak się nie dowiemy, a UE niewiele poradzi (to też ciekawe, jak teraz debatują/funkcjonują politycy w UE mając świadomość podsłuchu, w końcu jesteśmy uzależnieni od elektroniki?).

[Grzegorz Kraszewski 8]

Jeśli otrzymują te dane bezpośrednio od dostawców/operatorów to współpraca tych ostatnich jest bezsporna.

Myślę, że korzystają ze współpracy operatorów węzłów internetowych, oraz ze współpracy instutucji wydających certyfikaty SSL. Być może tylko w USA, ale to pozwala też śledzić ruch między USA a resztą świata. Przy takiej współpracy HTTPS można sobie... powiesić na gwoździu przy sedesie, atak man in the middle jest trywialny do przeprowadzenia i może być wykonany całkowicie automatycznie. Na temat bezpieczeństwa HTTPS i leżącego u jego (i nie tylko jego) podstaw protokołu SSL polecam https://badsector.pl...o-bani.105.html.

[Mariusz Błoński 185]

Wydaje mi się, że nie zadajecie najważniejszego pytania: JAK (oprócz podsłuchiwania wszystkich kabli podmorskich + echelony) otrzymują dostęp "niemal online" do tych danych?

 

Niemcy robią to tak: http://kopalniawiedzy.pl/DE-CIX-PRISM-Niemcy-inwigilacja,18373

[Przemek Kobel 65]

Zróbcie sobie Uruchom -> tracert facebook.com (oczywiście Windows - to samo można wpisać w okienku poleceń)

Żeby podglądać co robicie "na fejsie", wystarczy, że na dowolnym sprzęcie z wyświetlonej listy ktoś zainstaluje dodatkowe urządzenie lub oprogramowanie szpiegujące.

 

I tak to właśnie się robi. Pewnie już wszędzie. Dlatego właśnie "federalni" domagali się wydawania kluczy do SSL-a (w ten sposób nie muszą prosić o dane operatorów konkretnych witryn, tylko mogą monitorować wszystko u tych pośredników, u których już i tak siedzą).

[pogo 102]

Wniosek pozostaje prosty i niezmienny: pomyśl co wpisujesz i co chcesz aby internet o Tobie wiedział, bo każde wpisane słowo może już tam zostać i być wykorzystane przeciwko Tobie.

 

Dla mnie to naturalne, że na każdym kroku zastanawiam się, czego nie chcę mówić urzędom (z założenia śledzącym wszystko co wychodzi i wchodzi do komputera), a czego znajomym i rodzinie (tu wystarczy tryb prywatny). Może to i paranoja, ale rozsądek uważam za lepszą obronę niż oprogramowanie.

[radar 103]

Ale zauważ, że tu nie chodzi tylko o to. Funkcjonując w życiu publicznym, choćby jako firma, kontaktujesz się z dostawcami, podwykonawcami, przekazujesz (niby poufnie) pewne informacje od których może zależeć przyszłość twojej firmy czy rodziny. Przy tym poziomie zaawansowania nie da się zrezygnować z korzystania z sieci, bo to że ktoś tam wchodzi na stronki porno, albo wpisał w g jak nie zapłacić podatku to pół biedy. Drugim problemem są powszechne zapewnienia (i wynikające z tego przekonanie), że np. logując się do banku po httpsie jesteś bezpieczny, a jak widać nie jesteś. "Nie wchodź na podejrzane strony, nie instaluj niepewnego oprogramowania, korzystaj z antywirusa i firewalla..." i po co? Ludzie rozprawiają o komputerach kwantowych, jak daleko do nich, że dopiero one będą zagrożeniem dla "prywatności i bezpieczeństwa", a tu proszę, nie dość, że łatwo to jeszcze na skalę światową.

[Mariusz Błoński 185]

Dlatego też jedynym sposobem na ochronę obywateli jest stworzenie odpowiedniego systemu prawnego i politycznego. Takiego, który będzie działał dobrze niezależnie od tego, jacy ludzie będą rządzili.

Nie wiem, tylko, czy taki system da się stworzyć. Wszystko zależy od obywateli. USA miały, i ciągle mają, najdoskonalszy chyba system ochrony praw obywatelskich. Szkoda tylko że od co najmniej kilkunastu lat jest on rozmontowywany w błyskawicznym tempie przy widocznym poklasku sporej części społeczeństwa.

[radar 103]

Dlatego też jedynym sposobem na ochronę obywateli jest stworzenie odpowiedniego systemu prawnego i politycznego. Takiego, który będzie działał dobrze niezależnie od tego, jacy ludzie będą rządzili. Nie wiem, tylko, czy taki system da się stworzyć. Wszystko zależy od obywateli.

... całego świata, bo jeśli w PL będziesz miał system idealny, to i tak stany będą Cię śledzić. Mizernie.

[thikim 117]

Tak to dobre pytanie. Jedyny dobry sposób to dostęp do infrastruktury, własne urządzenia podpięte do węzłów. Zresztą część jest chyba nawet państwowa.

http://xxl-web.com/cix.html

[thikim 117]

logując się do banku po httpsie jesteś bezpieczny, a jak widać nie jesteś

 

Pewnie że nie. Kiedyś włączyłem sniffera dla własnej transakcji i wszystko było jak na dłoni.

Więc teoretycznie można tak:

1. Snifferem hasło dostępowe.

2. I wystarczy przejąć komórkę dla haseł jednorazowych.

O wiele łatwiej zabrać komuś komórkę którą każdy trzyma w widocznym miejscu niż znaleźć kartę kodów jednorazowych.

Komórkę można nawet pożyczyć jak ktoś jest znajomy, karty kodów raczej nie.

Nie słuchajcie bzdur że hasła na komórkę są bezpieczniejsze, są wygodniejsze dla banku ale nie bezpieczniejsze.

[radar 103]

Nie słuchajcie bzdur że hasła na komórkę są bezpieczniejsze, są wygodniejsze dla banku ale nie bezpieczniejsze.

Ponieważ większość smartfonów ma albo androida (co to za firma? ) albo windows phone (a to co za firma?) to bardziej niż kradzieży komórki bałbym się (nie, nie złośliwego oprogramowania, które już występuje na te systemy i ukrywa smsy z kodami z nieautoryzowanych transakcji) tego, że mają backdoory zaprojektowane na życzenie rządu. Dostęp do dźwięku, dostęp do video, do komunikatora, do kalendarza, notatek, smsów etc. Co tylko chcesz. w takim przypadku, możesz nawet sam niczego nie udostępniać w sieci jak sugeruje pogo, a i tak będzie Cię słychać (plus tv, konsole etc. z kamerami i wifi. Jak tak sobie czytam co napisałem to dochodzę do wniosku, że wszelki postęp technologiczny jest sponsorowany/kierowany przez NSA

[Przemek Kobel 65]

Zanim ktoś zaproponuje, żeby używać niby anonimowej sieci TOR: jak myślicie, gdzie się znajduje większość węzłów tej sieci? I kto mógłby być ich operatorem, jeśli wziąć pod uwagę, że jedynie operator węzła jest w stanie śledzić podłączonych użytkowników?

 

http://www.itworld.com/it-management/364242/has-tor-been-compromised-nsa?page=0,0

[Mariusz Błoński 185]

... całego świata, bo jeśli w PL będziesz miał system idealny, to i tak stany będą Cię śledzić. Mizernie.

 

Tylko, że "cały świat" może Ci skoczyć, jeśli Twoje państwo spełni wobec Ciebie swój podstawowy obowiązek - zapewni Ci bezpieczeństwo. Wtedy na jego terytorium będziesz bezpieczny, a państwo ma mechanizmy, by próby zaszkodzenia Tobie były nieopłacalne dla innego państwa.

[Mariusz Błoński 185]

Zanim ktoś zaproponuje, żeby używać niby anonimowej sieci TOR: jak myślicie, gdzie się znajduje większość węzłów tej sieci? I kto mógłby być ich operatorem, jeśli wziąć pod uwagę, że jedynie operator węzła jest w stanie śledzić podłączonych użytkowników? http://www.itworld.com/it-management/364242/has-tor-been-compromised-nsa?page=0,0

 

http://kopalniawiedzy.pl/Tor-sieci-anonimowe-atak-monitorowanie-University-of-Colorado,1968

http://kopalniawiedzy.pl/TOR-The-Farmer-s-Market-handel-narkotykami-anonimowosc,15654

[radar 103]

Tylko, że "cały świat" może Ci skoczyć, jeśli Twoje państwo spełni wobec Ciebie swój podstawowy obowiązek - zapewni Ci bezpieczeństwo. Wtedy na jego terytorium będziesz bezpieczny, a państwo ma mechanizmy, by próby zaszkodzenia Tobie były nieopłacalne dla innego państwa.

Fajnie by było. Możesz mi wyjaśnić jak to sobie wyobrażasz w praktyce? Jak nasz idealny system w PL zapewni, że służby usa nie będą podsłuchiwać polskich obywateli, albo nie będzie można odczytywać ich emaili/podłuchiwać telefonów? Można stworzyć wyizolowaną sieć i ograniczyć dostęp do "niebezpiecznych"/podłuchujących witryn... kurcze, chyba są takie kraje! Chiny i Korea Płn.

[Przemek Kobel 65]

Mariuszu, pokazałeś detalistów, a ja - hurtowników. (: