Informatyka

XKEYSCORE – najpotężniejsze narzędzie do elektronicznej inwigilacji

Dokładnie 31 lipca 2013 roku brytyjski The Guardian ujawnił ściśle tajną prezentację (datowaną na 2008 rok) dotyczącą narzędzia typu SIGDEV amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) pod kryptonimem XKEYSCORE. Dowiedzieliśmy się z niej wtedy o ogromnych analitycznych możliwościach tego narzędzia, rodzaju zbieranych danych czy lokalizacji serwerów. Sondy podpięte do kluczowych punktów infrastruktury sieciowej Internetu pozwalały pracownikom NSA m.in. na analizę wyszukiwań, czytanie e-maili czy też czatów Facebooka, a wszystko to na podstawie przejętych danych jak i metadanych. Okazało się, że na celowniku narzędzia byli nie tylko podejrzani o terroryzm ale także m.in. kandydaci na nowego dyrektora Światowej Organizacji Handlu, inżynierowie europejskich firm a nawet sekretarz generalny ONZ – Ban Ki-moon. Intercept ujawnił niemal 50 niejawnych oraz niepublikowanych wcześniej prezentacji dotyczących projektu XKEYSCORE. Dowiemy się z nich m.in. jak wygląda panel kontrolny programu XKEYSCORE:

xkey1

System ten od swojego uruchomienia znacząco urósł w swoich możliwościach. Jest już całkowicie rozproszonym systemem przetwarzania danych, analizującym i przechwytującym już nie tylko wiadomości pocztowe, czaty czy wpisywane słowa kluczowe w przeglądarkę, ale także dokumenty, zdjęcia (w tym z kamerek internetowych), połączenia głosowe (w tym VoIP i Skype), aktywność w serwisach społecznościowych, pliki wgrywane do dysków internetowych, hasła do urządzeń Cisco a nawet informacje o konfiguracji zwykłych ruterów. Za pomocą XKEYSCORE można wyszukać konkretne osoby, zarówno po loginie jak i po IP czy adresie MAC karty sieciowej, można znaleźć też np. wszystkich użytkowników z danej lokalizacji (np. miasta), którzy pobrali oprogramowanie klienta sieci TOR, czy wszystkich mieszkańców np. Pakistanu, którzy odwiedzają niemieckojęzyczne fora internetowe lub oglądają miasta USA poprzez Google Earth czy nawet wszystkie „dziurawe” stacje robocze z dowolnego kraju.  Możliwości wyszukiwania i zbierania danych są praktycznie nieograniczone (kolekcjonowane są z ponad 700 serwerów na całym świecie – dane z prezentacji z 2008 roku).

Czytaj  Niemiecki kontrwywiad sprzedał NSA metadane swoich obywateli za dostęp do XKEYSCORE

Nowo opublikowane prezentacje ujawniają także więcej danych o architekturze systemu. Korzysta ono z linuksowych klastrów (zwykle Red Hat), interfejs dostępny jest przez serwer Apache, dane przechowywane są w bazie MySQL, systemy plików spięte są przez rozproszony NFS i usługę autofs, zaś planowane zadania wykonywane są przez crona. Dostęp administracyjny odbywa się po SSH, w konsoli korzystają oni z edytora vim. Użytkownicy natomiast uzyskują dostęp poprzez przeglądarkę Firefox (jak się okazuje, interfejs webowy nie jest kompatybilny z IE). Więcej szczegółów, w tym schematy wyszukiwania informacji można znaleźć w nieoficjalnym podręczniku użytkownika systemu XKEYSCORE opracowanym jak się okazuje przez Booz Allen Hamilton:

XKEYSCORE może również szczegółowo analizować i archiwizować aktywność w sieci Internet dowolnego użytkownika, co przedstawiono na jednym ze slajdów:
xkey2
Gromadzenie ogromnych ilości danych nie jest bardzo przydatne, chyba, że zebrane i zorganizowane są w sposób, dzięki któremu można je wygodnie analizować. Aby poradzić sobie z tym problemem, XKEYSCORE wyciąga i taguje metadane oraz treści z pobranych danych tak, że analitycy NSA mogą je łatwo znaleźć. Odbywa się to za pomocą reguł słownikowych zwanych appIDs (blisko 10 000 reguł), „fingerprints” i „microplugins„, które napisane zostały w języku programowania zwanym GENESIS.
xkey4
Każdy z nich może być zidentyfikowany przez unikalną nazwę, która przypomina drzewo katalogów, taką jak: “mail/webmail/gmail”, “chat/yahoo” albo “botnet/blackenergybot/command/flood.” Jeden z ujawnionych dokumentów szczegółowo opisuje appIDs i ujawnia przykłady kilku „odcisków palców”. Szyfrowane wiadomości PGP wykrywane są za pomocą „encryption/pgp/message”, natomiast wiadomości szyfrowane przy pomocy ASRAR El Mojahedeen Secrets 2 (typ szyfrowania popularny wśród zwolenników Al-Kaidy) wykrywane są za pomocą „encryption/mojaheden2”.
xkey5
XKEYSCORE potrafi także wyszukiwać dowolne obrazki (np. logo firmy, organizacji) w dokumentach pakietu MS Office, czy też bezpośrednio w załącznikach wiadomości pocztowych Outlook. Sposób wyszukiwania przedstawiono w dwustronicowej instrukcji opracowanej przez Booz Allen Hamilton:
Danych z opublikowanych materiałów jest tak wiele, że potrzeba minimum kilku dni na dokładną analizę. My pokazaliśmy zaledwie niewielki wycinek możliwości narzędzia XKEYSCORE. Więcej informacji o nim możecie  uzyskać po lekturze anglojęzycznych, opublikowanych kilka dni temu materiałów:
Czytaj  Wirusy komputerowe: Jak rozpoznać i usunąć wirusy
Polecane wpisy
Jak zabezpieczyć system Windows
Jak zabezpieczyć system Windows

W dzisiejszych czasach ochrona systemu operacyjnego Windows jest niezwykle istotna, ponieważ nasze urządzenia są stale narażone na ataki ze strony Czytaj dalej

Protokoły składowe TCP/IP

Protokoły składowe TCP/IP Składnik TCP/IP zainstalowany w systemie jest serią połączonych ze sobą protokołów zwanych protokołami składowymi TCP/IP. Wszystkie aplikacje oraz Czytaj dalej