Риски для безопасности коммуникаций связи: потенциальные опасности Акта о Защите Америки
Новый американский закон разрешает прослушивание всякий раз, когда одна из сторон коммуникаций находится предположительно за пределами американских границ. Это создаёт серьёзный риск безопасности: опасность использования системы неуполномоченными лицами, опасность использования в криминальных целях, доверенными инсайдерами, а также опасность использования правительственными агентами.
Стивен М. Бэлловин (Колумбийский универститет)
Мэтт Блэйз (Пенсильванский университет)
Уитфилд Диффи и Сьюзан Ландау (Sun microsystems)
Питер Г. Нейман (SRI international)
Дженифер Рексфорд (Принстонский университет)
Опубликовано в IEEE COMPUTER SOCIETY
(перевод с сокращениями)
В августе 2007 года американский закон о прослушивании был изменён:
Новый Акт о Защите Америки разрешил доступ без ордера разведывательным
агенствам в США к любым коммуникациям связи, которые предположительно
включают стороны за пределами страны.
Американские системы прослушивания для внешней разведки расположенные за пределами Соединённых Штатов минимизируют доступ к трафику американских граждан на основе их местоположения. Новый акт должен выдвинуть прослушивание на беспрецендентый масштаб, который неизбежно приведёт к перехвату чисто внутренних линий связи.
Или с точки зрения озабоченности гражданскими свободами данный акт поставит американцев под риск незаконного и вторгающегося прослушивания со стороны правительства, или с точки зрения озабоченности проблемами безопасности, новый закон поставит американцев в рискованное положение из-за возможности прослушивания всеми остальными.
Встраивание технологических возможностей для прослушивания в сети связи рискованно. Случай в Греции преподнёс этот урок самым тяжёлым образом: в течении двух лет легально установленное программное обеспечение для прослушивания использовалось неизвестной стороной, в результате чего были перехвачены разговоры около сотни главных членов правительства. по крайней мере в течении года. Не лучше обстояли дела и в Италии, где некоторые сотрудники Telecom Italia были арестованы за нелегальное прослушивание и попытки шантажа.
В этой статье мы сосредоточимся на безопасности, а не на проблемах гражданских свобод. Если система перехвата работает, то важно, чтобы её архитектура не уменьшала безопасности американсих сетей. Поскольку мы описываем американские законы и их применение к безопасности американских коммуникаций, примеры Греции и Италии помогут нам прояснить международный характер проблемы.
Истоки и предпосылки
Комбинация источников данных может сделать прослушивание более мощным и создать больше рисков, чем предполагалось. Мы начнём с рассмотрения проблем закона, а затем рассмотрим техническую сторону. Столь объёмное введение потребуется поскольку существует множество архитектурных решений и способов.
Проблемы закона и политики
Американский закон о прослушивании имеет долгую и запутанную историю (детали приведены во вкладке, которая не включена в данный перевод).
Коротко, существуют различные стандарты и процедуры для прослушивания, связанного с расследованием уголовных дел и национальной безопасностью.
В последнем случае так называемый Акт о Прослушивании Внешней Разведки (FISA) требует ордеров в следующих специальных случаях:
- Для каждого лица осуществляющего связь в США по проводам (под проводами так же понимается оптоволокно)
- Для Американских граждан (включая уроженцев, постоянно проживающих и служащих американских корпораций) в США, связывающихся по радио
- Для любого лица в США связывающегося по радио с людьми также находящимися на территории США (фактически правила более сложны, но это несущественно для нашего рассмотрения).
В общем случае ордера на самом деле не требуются для перехвата радиокоммуникаций.
Акт о защите Америки (Общественный закон N 110-55) отменяет все требования получения ордеров на прослушивание на любые виды связи в случае если человек внутри страны связывается с кем-либо "про кого-есть серьёзные основания предполагать, что он находится за пределами Соединёных Штатов".
Современные коммуникационные технологии – мобильные телефоны, WiFi и Интернет часто делают трудным различие в местоположении коммуникаций внутри или за пределами страны, так что вопрос заключается в том, какие коммуникации будут перехвачены. Другими словами существует существенное противоречие между требованиеями закона и тем, что могут предоставить технологии.
Значительную роль в мотивации по смене FISA сыграла география мировых коммуникационных инфраструктур, связанная с изменениями телекоммуникационных технологий. США является ведущим узлом в нашем коммуникационно-централизованном мире, что даёт Агенству Национальной Безопасности, являющемся американским агенством сигнальной разведки, значительные преимущества доступа к транзитному траффику.
Существует множество причин для центральной роли США в мировых коммуникационных системах. Одна из них – это стоимость: США это лидирующая экономика мира и волоконно-оптические кабели, с помощью которых осуществляются современные проводные коммуникации были установлены между США и повсюду вокруг. Эти кабели позволили выиграть американским провайдерам по цене во многих регионах – например, большинство Южно-Американского траффика идёт транзитом через Майами. Другая причина является политической, которая приводит к странным путям коммуникаций. Многие годы коммуникации не проходили напрямую между Тайванем и Китайской Народной Республикой: звонки шли через Сакраменто по линиям AT&T. Третья причина – Интернет. Множество серверов, важных для связи, например Yahoo Mail, Hotmail и Gmail – находятся в США (несмотря на то что их процент падает среди мирового числа почтовых серверов, особенно со всё большим выходом в сеть Китая).
Во времена, когда был написан акт FISA, спутники связи (радио) революционизировали международные коммуникации. В последующие десятилетия произошёл массовый уход коммуникаций в оптоволоконные кабели и сокращение межконтинентальных радиолиний. Тогда исключение из положений сделало не требующее ордера занятие радиоперехватами малоприменимым. В последующие годы АНБ оказывало давление с требованием расширить список исключений. Поскольку многие в этой области были согласны с правдоподобностью проблемы, возникшей из-за внедрения волоконно-оптических кабелей, Акт о Защите Америки был принят.
Сбор данных
Сигнальная разведка организована по семишаговому принципу: доступ, сбор, обработка, использование(проработка), анализ (аналитическо-разведывательные цели), подготовка отчётов и распространение данных.
Первые три вызывают наибольшую озабоченность.
Доступ это то, что происходит в радио, волоконном делителе, подключении к проводу или телефонному свитчу. Сбор – это процесс записи сигналов для анализа. Записанные сигналы могут хранить временно или в течении долгого периода.
Обработка в простейшем случае – это выбор нужной вам информации (и отфильтровывание ненужной). Как в каждом процессе обучения, когда вы находите информацию отовсюду, у вас её накапливается слишком много и нужно извлекать интересующее вас среди ненужного. Это то место где выбор архитектуры важен и в терминах минимизации сбора данных и в терминах того, как комбинирование источников данных будет использовано. Мы вернёмся к этому пункту позже.
Главным образом, коммуникации основаны на IP-адресах. Интернет – это соединение множества сетей и эти соединения могут происходить множеством способов. Для больших сетей это может происходить путём обмена соединений: соединений между административно разделёнными доменами (такими как ISP).
Международные коммуникации проходят на территорию США по спутникам, высокочастотным радиолиниям, старым медным кабелям и новым оптическим кабелям. Существует около 25 главных кабельных узлов в США. На кабельном узле входящий сигнал разделяется различными путями. Сначала, сигналы посылаются через мультиплексоры и демультиплексоры к соответствующим доставщикам (так множество транслантических кабелей принадлежат консорциумам коммуникационных компаний). Каждый канал доставщика разделяется далее: голосовые сигналы посылаются на телефонные свитчи, Интернет сигналы на маршрутизаторы и т.д.
Возможная архитектура
АНБ не разглашает архитектуру своей системы прослушивания, так что точно узнать как их система работает невозможно. Но некоторые случаи дают возможность для предположений. В конце 2005 и весной 2006, "The New York Times" и "USA Today" показали как АНБ осуществляло прослушивание без ордера после 11 сентября. Вскоре после этого группы по защите гражданских свобод и отдельные лица судились с компанией AT&T по поводу "нелегального прослушивания телефонных и Интернет коммуникаций". Показания под присягой, в иске от Tash Hepting которые дали сотрудники корпорации AT&T раскрыли архитектуру связного узла AT&T в Сан-Франциско. AT&T подтвердила подлинность документов, описывающих расположение и конфигурацию секретной комнаты в офисе Сан-Франциско, в месте, где осуществлялось электронное прослушивание. Наше изложение основано на этих документах и показаниях под присягой, подписанных двумя свидетелями экспертами: Mark Klein (техник из AT&T оффиса Сан-Франциско) и J. Scott Marcus (создателя большой IP-сети данных, бывшем CTO и GTE Internetworking and at Genuity, и бывшим главным советником по Интернет Технологиям Федеральной Комиссии Связи США).
Оптический кабель, доставляющий траффик в узел AT&T разделялся на сплиттере, имеющим мощность 50 процентов на каждом выходе и достаточную для чтения сигнала. Один выход направлялся в секретную комнату, другой использовался в коммуникационном оборудовании AT&T. Секретная комната была оборудована анализатором траффика Narus и управляющими серверами. Narus представлял из-себя стойку устройств для сбора данных в реальном времени и записи для исследования со скоростью 10 Гигабит в секунду. Определённый траффик отбирался и направлялся по выделенной линии в "центральный узел". Офис в Сан-Франциско один из множества установленных в стране, включая Сиэттл, Сан-Хосе, Лос-Анджелес и Сан-Диего. Согласно показаниям Маркуса, отобраный траффик "представлял собой весь, или практически весь трафик в точке обмена AT&T в Сан-Франциско и "создатели данной конфигурации не делали ни малейших попыток в различении трафика внутри страны или зарубежного".
Записи о деталях звонков
Современные коммуникации позволяют конструировать слаженно работающие по всему земному шару организации. Телекоммуникации – это нервные системы этих организаций. "Обоснованно преполагаемая сторона, находящаяся за пределами США" – этот аспект Акта о Защите Америки изменяет также положения об использовании правительством записей о деталях звонков (Call Detail Records – CDRs), которые удивительным образом соотносятся с системой отношений и структурой организации (несмотря на то что эти данные не всегда включают в себя, где физически находятся стороны коммуникации). Это означает, что американское правительство имеет доступ в реальном времени к CDR без необходимости получать ордер.
CDR это обычно необработанные данные традиционных счетов оплаты за телефон. Телефонные компании создают и поддерживают всеобъемлющие базы данных, которые содержат полные данные о трафике: записи о транзакциях таких как вызываемые номера, IP-адреса и использование URL в случае VoIP, заголовки SMTP почты, время, дату и место связи, продолжительность звонка и сопутствующую информацию. Если прослушивание коммуникаций организации подобно чтению её мыслей, то исследованией образцов трафика это большой шаг в этом же направлении. CDRs предоставляют окно в прошлое. Телефонные компании используют эти данные для систем оплаты, для поддержания работы сети, в целях усовершенствований, маркетинга и обнаружения мошенничества.
В отличие от прослушивания или записей, которые предоставляют доступ в реальном времени только к содержанию текущего набранного номера, базы данных CDR содержат огромное количество данных о предыдущих коммуникациях. Что для тех из числа заинтересованных правительственных агенств, которые не имеют легального допуска или технологий, даёт возможность осуществлять поиск "сообществ по интересам" – сети людей, подозреваемых в контактах друг с другом. Как для международных, так и для полностью внутренних звонков существует две записи CDR для каждой коммуникации из исходной точки и из конечной.
Поскольку информация о звонках исторически всегда считалась менее опасной для приватности, чем содержание самих звонков, в реальности доступ к CDR может быть серьёзных риском для приватности. Corina Cortes и её коллеги из AT&T Shannon Labs показали, что после смены номера, абонента всё равно можно легко вычислить если сравнить его новые данные о сделанных звонках с базой данных, содержащей 300 Терабайт CDR-записей. В тоже время в Католическом Университете Leuven, George Danezis обнародовал историю в которой исследователи компании Интел, изучавшие фоновую Bluetooth активность в целях улучшения протокола ad-hoc маршрутизации, обнаружили особенность в Bluetooth устройствах участников. Было открыто, что пара из группы исследователей встречалась по ночам, а факт такого рода отношений не был до этого известен никому из других работников лаборатории.
CDR-записи могут быть использованы для нахождения целей более детально чем прослушивание. Чем активнее используется CDR, тем вероятнее переход к последующему прослушиванию контента.
Трудности в мониторинге международного интернет трафика
Мониторинг международного траффика требует эффективного способа идентификации какая стороны находится внутри, а какая за пределами США. Это на удивление сложная проблема в современном Интернете. Ещё более удивительно, что это также нелёгкая задача и в телефонных сетях. По данным Национальной Академии 1998 года "существующая телефонная сеть не может предоставлять информацию о пользователе с необходимой достоверностью аутентичности". (Или, иначе говоря, несмотря на всю удивительную эффективность CDR-записей в исследовании коммуникационной активности, эти данные не всегда могут предоставить ответ в реальном времени о местоположении звонка).
АНБ работает над проблемой и агенство имеет патент по использованию задержек времени для определения источника коммуникации (US Patent # 6,947,978 Метод геолокации логических сетевых адресов).
Мониторинг международного траффика требует и ограничения мониторинга только к связям по международному траффику и отфильтровывание траффика между двумя внутренними хостами. Первое требование выглядит лёгким, если мониторинг ограничен кабельными узлами, соединяющими США с другими странами. Второе требование выглядит лёгким, если знать привязку IP-адресов к их географическому положению. Оба решения ограничены.
Несмотря на то, что большинство международного траффика идёт от или к иностранным узлам, небольшое количество внутреннего траффика также проходит через них – например часть внутреннего трафика идёт через Канаду обратно в США из-за особенности Интернет-раутинга. (Это является частичным результатом генерального плана сороковых годов AT&T по интеграции США, Канады и большинства Карибских стран в единое информационное пространство без кабельных узлов или международных шлюзов между ними). Таким образом мониторинг связей на американской границе с целью перехвата международного трафика приведёт и к нежелательному перехвату своего собственного. Поскольку связи осуществляются на высокой скорости, трудно определить, сколько данных будет собрано.
В общем случае Интернет траффик необязан следовать по симметричным путям: из хоста A в хост B он может идти иначе, чем из B в A. Прослушивание линии связи в таком случае может потребовать комбинирование данных, полученных из множества мест, что делает такой тип мониторинга сложным на практике.
Мониторинг слишком близкий к посылающему или отправляющему хосту подразумевает, что они оба доступны и линия связи между ними относительно медленная для детализированного сбора данных. Но мониторинг слишком близко у точке внутри страны автоматически означает перехват траффика, которым обмениваются хосты внутри страны. Для различения и фильтрации внутреннего траффика, агенства сигнальной разведки, такие как АНБ могли бы использовать привязку удалённых IP-адресов к странам используя данные регистраторов блоков адресов. Проблема в том, что эти сведения неполные и часто устаревшие. АНБ может использовать существующие сервисы геолокации IP (например Quova, www.quova.com). Однако такие сервисы точны лишь в пределах сотен миль и большие величины ошибок являются обычным делом. Таким образом хост может выглядеть как если бы он находился по противоположную сторону границы другой страны, как в случае с Мексикой и Канадой.
Даже если сервисы геолокации точны, источник и приёмник IP пакета необязательно указывают на коммуникационные хосты. Некоторые VoIP сервисы, такие как Skype, регулярно используют ретранслирующие узлы, чтобы осуществлять звонки между хостами, которые иначе не могут осуществить коммуникацию, например из-за файрволла или транслятора сетевых адресов (NAT) – устройства, позволяющего множеству хостов в частной сети получать доступ в Интернет, используя один IP-адрес.
Ретранслирующий узел (релэй) может представлять третья машина в той же стране, в обеих или другой хост в третьей стране. В зависимости от того как траффик подвергается мониторингу, IP адрес источника или приёмника может указывать на ретранслирующий узел, вместо одного из конечных узлов, создавая впечатления, что оба узла внутренние. В дополнение к этому, некоторые пользователи применяют анонимизирующие средства, такие как Tor (The Onion Router), которые умышленно скрывают адреса источника и приёмника от пакетных сниферов. Если трафик проходит через релей или анонимайзер, мониторящая сторона будет записывать огромное количество ошибочных IP-пакетов, не связанных точным образом с источником или получателем трафика.
Даже если трафик не проходит через релэй или анонимайзер, связь IP-адреса в реальном времени с интересующей персоной это трудная задача. (Мы должны отметить, что в государствах членах ЕС предлагается использование email-адресов, даже если не связанных с IP-адресами, с персональной идентифицирующей информацией). например IP адрес может указывать на NAT-устройство, так что идентификация хоста отвечающего за трафик, требует доступа к проходящей информации доступной только для устройства NAT. Даже при отсутствии NAT IP -адрес для каждого хоста может быть назначен динамически через динамический протокол конфигурирования хостов (DHCP). Получение IP адреса хоста потребует DHCP логов с локального сайта, которые могут быть некорректными. Связь между хостом и пользователем может быть трудноопределимой, если машина находится в доступе между несколькими людьми в киберкафе или в академической лаборатории. Дополнительно, мобильные хосты такие как лэптопы или PDA часто меняют IP адреса.
Даже если конечные узлы правильно идентифицированы, трудно определить какое приложение на них запущено (знание приложения может помочь в определении важности информации; это минимум того что требуется показать в действиях внешней разведки в сценах сетевого прослушивания в последних голливудских фильмах). В простейшем случае приложения могут быть легко определены по числовым идентификаторам (например номерам портов) в пакетах данных. Однако, некоторые приложения не используют хорошо известных данных портов, другие используют номера портов, зарезервированные для других приложений, чтобы избежать обнаружения, например многие файлообменные приложения используют 80-й порт, как обычный Web-трафик. (Активно проводятся исследования по определению типа траффика с использованием другой информации). Анализ такого рода сложен в реальном времени на высокоскоростных линиях, таких как линии соединяющие США и другие страны. В довершение всего злоумышленная сторона может попытаться избежать обнаружения используя дополнения или искажения пакетов, чтобы добавить комплексности в итак сложную проблему. Наконец, некоторые приложения, такие как Skype, шифруют данные, делая сложным извлечение значимой информации между конечными хостами.
Настоящая проблема всех этих трудностей, основывается на внутриприсущих свойствах самого дизайна Интернета. Дополнительные проблемы возникают, когда VoIP начинает взаимодействовать с другими сервисами, такими как обычная коммутируемая телефоная сеть. Международные звонки могут прерывать свой путь в США и затем использовать VoIP (и наоборот), требуя связанного анализа коммуникационных сетей двух типов. Множество сложностей в аккуратном разделении внутренних и международных коммуникаций сделает маловероятным, что разведывательные агенства будут избегать прослушивания звонков внутри страны.
Риски
Технология прослушивания – это архитектурная брешь в безопасности коммуникационных сетей и является рискованным делом (поставщики коммуникаций также находятся в состоянии прослушивания для проверки качества связи. Но архитектуры перехвата более сложны: они должны быть нацелены на определённых индивидуалов, не оставляя следов. Мониторинг сетей с целью контроля качества намного проще, поскольку может использовать любое соединение и допускает неудачу во множестве случаев). Две ситуации проливают свет на различные причины для беспокойства.
Вернёмся немного назад. Прослушивание в Греции началось летом 2004, как раз перед Олимпийскими Играми в Афинах. Свыше 100 сотовых телефонов, принадлежащих в том числе премьер-министру, министру обороны, иностранных дел, юстиции, так же как и оппозиции греческого парламента были прослушаны путём активации прослушивающего модуля в сетевых телефонных коммутаторах, при помощи возможностей, которые должны быть доступны только при легальной авторизации. Возможность прослушивания предоставлялась системным обновлением, но поскольку греческая сеть Vodaphone не закупала такой возможности, в системе отстутствовал контроль управления над инсталляцией и ведением логов прослушивания. Взломщики не только включили систему прослушивания, но и установили руткит, скрывающий любую активность их обновлений в системе.
Каждый раз когда происходил сеанс связи между двумя прослушиваемыми телефонами, происходило дублирование этого сеанса на 14 телефонов, оплаченных с анонимно заведённых счетов. Всё что мы знаем, это то что прослушивание телефонов высшего правительственного звена Греции длилось до десяти месяцев, а те кто это осуществили остались неизвестными.
В США также испытывают проблемы с системами прослушивания. В соответствии с Актом о Сотрудничестве между владельцами коммуникаций и правохранительными органами (P. L. 100-667), американское Федеральное Бюро Расследований (ФБР) ответственно за подготовку технических спецификаций систем прослушивания, встраиваемых в телекоммуникационное оборудование цифровых телефонных сетей. DCS 3000, набор систем ФБР для сбора и управления данными, полученными при прослушивании в целях расследования уголовных дел, был создан в соответствии с этими требованиями. Ранее выпущенные документы ФБР раскрывают серьёзные проблемы в реализации системы. Их система аудита на удивление примитивна для системы, предназначенной для сбора улик. В системе нет непривилигированного пользователя, защита основана на паролях, не используются токены или биометрия, используется устаревший алгоритм хэширования. (MD5 фигурирует в "плане системной безопасности" 2007 года спустя годы после того, как китайские исследователи нашли серьёзные проблемы в этом и без того слабом алгоритме хэширования). Ещё серьёзнее то, что система основана на единственном общедоступном логине, вместо логина авторизованного пользователя. Возможность аудита системы ограничивается ручным просмотром логов, с тем чтобы определить кто в ней находился в определённое время. Удалённый доступ организован в небезопасном стиле и разрешён с других узлов DCS 3000, делая систему уязвимой для атак инсайдеров. Это реальный риск: вспомним наиболее опасного шпиона в истории ФБР: Роберт Хансен злоупотреблял своим авторизационным доступом к внутренним компьютерным системам ФБР, чтобы красть информацию и следить за ходом расследования, которое проводилось против него.
Проблемы реализации DCS 3000 иллюстрируют риски, связанные со встраиванием прослушивания в системы связи. Мы не знаем действительно ли DCS 3000 сделан так же плохо, как описано в его спецификации. Каковы требования к системам ФБР? Включают ли они аудит и полную идентификацию пользователей? Каковы цели проекта? Где разработчики должны достичь всех целей? Это вопросы, которые должны быть заданы разработчикам DCS3000 и всем другим разработчикам систем прослушивания.
Несмотря на то, что АНБ имеет обширный опыт в создани систем прослушивания, это не значит, что у них не может что-то пойти не так. Если вы создаёте систему для шпионажа за самим собой, вы подвергаете себя неизбежному риску. В создании системы, необходимой для Акта Защиты Америки, риск усугубляется ещё четырьмя феноменами:
- удаление защитной роли, даваемой предыдущими программами перехвата, основанными на ордерах.
- Размещение системы внутри США, а не у границ
- риск использования оппонентами
- использование записей CDR, изначально предназначенных для поддержания и обслуживания сети
Далее в статье идёт более подробное рассмотрение рисков, возможных злоупотреблений и методов улучшения ситуации. Полностью с оригиналом этой поучительной статьи можно ознакомиться здесь: http://www.crypto.com/papers/paa-ieee.pdf
Уитфилд Диффи, Сьюзан Ландау,
Питер Нейман, Дженифер Рексфорд
© 2008 Alex_B, SATtva, serzh, unknown