NSA ir GCHQ atima iš interneto konfidencialumą ir saugumą


Print

Amerikos ir Britanijos žvalgybos tarnybos sėkmingai apeina daugybę kriptografinės apsaugos būdų, kuriuos milijonai žmonių naudoja asmens duomenims, tiesioginėms operacijoms ir elektroniniam susirašinėjimui apsaugoti, praneša The Guardian žurnalistai Džeimsas Bolas, Džulianas Bordžeris ir Glenas Grinvoldas.

Edvardo Snoudeno pateikti dokumentai sako, kad JAV Nacionalinio saugumo agentūra (NSA) ir Didžiosios Britanijos Vyriausybinio ryšio centras (GCHQ) plačiai diskreditavo garantijas, kurias interneto kompanijos duoda vartotojams, įtikinėdamos, kad jų komunikacijos, banko operacijos ir medicininė informacija bus neprieinamos nei piktavaliams, nei vyriausybėms.

Žvalgybos tarnybos naudojo visą arsenalą priemonių kovai su šifrų naudojimu internete.

Tiems metodams priklauso slaptos operacijos, siekiant įvesti NSA kontrolę diegiant tarptautinius šifravimo standartus, superkompiuterių naudojimas įsilaužimams į šifrus ir – uoliausiai saugoma paslaptis – tiesioginis bendradarbiavimas su technikos kompanijomis bei interneto tiekėjais, sakoma straipsnyje.

Palaikydamos slaptus partnerystės santykius su tomis kompanijomis, agentūros galėjo padaryti taip, kad komercinėse šifravimo programose atsirastų pažeidžiamų vietų, vadinamųjų juodais takais arba landomis, praneša autoriai.

„Pastaruosius dešimt metų NSA agresyviai stengėsi etapais įsilaužti į paplitusias internetines šifravimo technologijas, – sakoma viename 2010 metų slaptame GCHQ dokumente. – Dideli duomenų masyvai, kurie iki šiol buvo laikomi neskaitomi, dabar yra tinkami naudoti“.

Lūžis, apie kurį kalbama ir kurio detalės neaprašytos dokumente, leido agentūroms susekti didžiulės apimties duomenis, einančius optinio pluošto kabeliais, ir sulaužyti jų kriptografinę apsaugą.

Pagrindinis NSA kovos su šifravimu elementas – bendradarbiavimas su techninėmis kompanijomis – aprašytas itin slaptame 2013 metų Amerikos žvalgybos biudžete straipsnyje „Žvalgybos aktyvinimas“ (Sigint enabling). Tam tikslui skiriami 254,9 mln. dolerių metams užtemdo PRISM programą, kuriai kasmet išleidžiama 20 mln.

Sigint enabling programos rėmuose JAV „aktyviai pritraukia Amerikos ir užsienio technikos kompanijas, kad slapta ar atvirai darytų įtaką kuriant jų komercinę produkciją“. Dokumentuose nepatikslinami kompanijų pavadinimai – tie duomenys yra dar slaptesni.

Be viso to programa skirta „pažeidžiamoms vietoms įdiegti į komercines šifravimo sistemas“. „Apie tą pažeidžiamumą nežino niekas, išskyrus NSA, taip pat ir paprasti vartotojai, kurie dokumente iškalbingai vadinami priešininkais“, – pranešama publikacijoje.

Technikos kompanijos, savo ruožtu, tvirtina, kad bendradarbiauja su žvalgybos tarnybomis tik tais atvejais, kai tam jas priverčia įstatymas.

Kriptografinės apsaugos sulaužymo programa užkoduota pavadinimu Bullrun – didelio mūšio JAV pilietiniame kare garbei. Jos analogas Britanijoje vadinamas Edgehill – pirmojo rimto mūšio Anglijos pilietiniame kare garbei.

Iš dokumentų taip pat matyti, kad NSA Komercinių sprendimų centras, formaliai – instancija, per kurią technikos kompanijos gali gauti savo produkcijos vertinimą ir pasiūlyti ją potencialiems vyriausybės klientams, atlieka dar vieną, slaptesnę funkciją. Jis naudojamas „konfidencialiems partnerystės santykiams užmegzti su atskirais industrijos atstovais“, – sakoma straipsnyje.

Dešifravimo metodų paieškos ypač svarbios GCHQ. Centro strateginiams pranašumams, kuriuos jis įgijo dėka Tempora programos, leidžiančios specialiosioms tarnyboms tiesiogiai prisijungti prie didžiausių telekomunikacijos korporacijų transatlantinių optinio pluošto kabelių, iškilo pavojus, nes vis daugiau tiekėjų užšifruoja savo srautus atsakydami į vartotojų reikalavimus garantuoti asmeninės informacijos saugumą, aiškina žurnalistai.

Iš dokumentų matyti, kad pradinis Edgehill tikslas buvo iššifruoti užšifruotą trijų didelių kompanijų, kurių pavadinimai neatskleidžiami, ir 30-ies tipų virtualių korporacinių tinklų (VPN), kuriuos įmonės naudoja nuotoliniam priėjimui prie jų sistemų pašalinti, srautų eismą. Dabar GCHQ užsibrėžia uždavinį iki 2015 metų sulaužyti 15-os didžiausių kompanijų ir 300 VPN tipų kodus.

Kad išsaugotų savo pranašumus GCHQ įsteigė „Agentūrinės žvalgybos operacinę grupę“ (Humint Operations Team, HOT). Ši grupė apdoroja informaciją, gaunamą tiesiogiai iš šaltinių ir agentų, dirbančių priedangoje. Pagal žinybos vidaus dokumentus, toji grupė „atsakinga už slaptųjų agentų paiešką, verbavimą ir palaikymą pasaulinėje telekomunikacijų industrijoje“.

Žvalgybos tarnybų vadovybė kreipėsi į The Guardian, The New York Times irProPublica,prašydama nespausdinti šitos medžiagos, motyvuodama tuo, kad užsienio taikiniai gali pereiti prie naujų šifravimo būdų, kuriuos bus sunkiau perimti ir perskaityti. Visi trys leidiniai išėmė kai kuriuos konkrečius faktus, bet nusprendė vis dėlto išspausdinti savo straipsnius, laikydamiesi nuomonės, kad ypač svarbu visuomenei apsvarstyti vyriausybės veiksmus, kurie, anot jų, silpnina veiksmingiausius interneto vartotojų JAV ir visame pasaulyje konfidencialumo apsaugos instrumentus, baigia žurnalistai.

Šaltinis: The Guardian

2013.09.12


Prisijunkite prie diskusijos