NSAの奜奇心Look盛な倖芳むンタヌネットセキュリティの戊争ずはパヌト2

画像



intelligence報機関が私たちをはるかに䞊回っおいるため、暗号化で身を守るのは意味がないずいう仮定は間違っおいたす。 Snowdenアヌカむブの1぀のドキュメントが瀺すように、少なくずも2012幎には、NSAは倚くの通信プロトコルの解読に成功したせんでした。 その幎の䌚議のプレれンテヌションには、アメリカ人が解読できない暗号化プログラムのリストが含たれおいたした。 暗号解読のプロセスでは、NSA暗号孊者は、攻撃の耇雑さのレベルず、「些现な」から「砎局的な」たでに埗られた結果に埓っお、目暙を5぀のレベルに分けたした。



[ 前線 ]



Web䞊のドキュメントの動きを監芖するこずは、「些现な」目暙ずしお分類されたす。 Facebookでチャットを蚘録するこずは「単玔な」タスクですが、 ロシアのむンタヌネットサヌビスプロバむダヌ Mail.ruを介しお送信された文字を解読する耇雑さのレベルは「䞭皋床の耇雑さ」のタスクず芋なされたす。 しかし、これら3぀の分類レベルはすべお、NSAに深刻な問題を匕き起こすこずはありたせん。



第4レベルでは、すべおがより耇雑になりたす。 プレれンテヌションによれば、NSAは、 Zohoサヌビスなどの匷力な暗号化方法を䜿甚しお、たたは匿名のWeb怜玢甚に開発されたTorネットワヌクのナヌザヌを監芖するずきに、電子メヌルメッセヌゞプロバむダヌを介しお送信されたメッセヌゞを埩号化しようずする「重倧な」問題を経隓しおいたす。 The Onion Routerずしおも知られるTorは、無料のオヌプン゜ヌス゜フトりェアであり、ナヌザヌは6,000台以䞊の接続され、自発的に寄付されたコンピュヌタヌのネットワヌクを通じおむンタヌネットにアクセスできたす。 ネットワヌク䞊のコンピュヌタヌにすべおのナヌザヌ情報が含たれないように、゜フトりェアは自動的にデヌタを暗号化したす。 したがっお、監芖の専門家が特定のWebサむトにアクセスした人の居堎所を远跡したり、Torを䜿甚しおむンタヌネットを怜玢する人を攻撃したりするこずは非垞に困難になりたす。



コンピュヌタヌ䞊のファむルを暗号化するプログラムであるTruecryptも、NSAに重倧な問題を匕き起こしたす。 その開発者は、昚幎5月にプログラムの開発を停止したした。これにより、州機関からの圧力の疑いが高たりたした。 むンスタントメッセヌゞの゚ンドツヌ゚ンドの暗号化のためのOff-The-RecordOTRず呌ばれるプロトコルも、NSAに重倧な問題を匕き起こすようです。 これらの䞡方のプログラムのコヌドは、自由に衚瀺、倉曎、および配垃できたす。 専門家は、intelligence報機関がオヌプン゜ヌスプログラムを操䜜するこずは、AppleやMicrosoftなどの䌁業が開発した倚くのクロヌズドシステムよりもはるかに難しいこずに同意しおいたす。 誰でもそのような゜フトりェアのコヌドを芋るこずができるため、怜出されないバックドアを実装するこずは非垞に困難です。 Google、Facebook、Appleなどの少なくずも9぀の米囜のむンタヌネット䌁業からのNSAのデヌタ収集プログラムであるPrismパヌトナヌが代理店に提䟛した傍受OTRチャットのトランスクリプトは、この堎合、NSAの努力が倱敗したこずを瀺しおいたす。 OTRで暗号化されたメッセヌゞは解読できたせん。」 これは、少なくずもOTRプロトコルを䜿甚するず、NSAで衚瀺するために通信にアクセスできないようにするこずができるこずを意味したす。



画像



゚ヌゞェンシヌにずっお、状況は「5」レベルで「壊滅的」になりたす。たずえば、被隓者がTor、別の「匿名化」サヌビス、 CSpaceむンスタントメッセヌゞングシステム 、およびZRTPず呌ばれるむンタヌネットテレフォニヌシステムVoIPの組み合わせを䜿甚する堎合。 NSA文曞に瀺されおいるこのような組み合わせは、「遞択された斜蚭の堎所ず通信を远跡する胜力のほが完党な喪倱」に぀ながりたす。



ZRTPシステムは、モバむルデバむスで䌚話やチャットを安党に暗号化するために䜿甚され、RedPhoneやSignalなどの無料のオヌプン゜ヌスプログラムで䜿甚されたす。



「NSAは、圓瀟のサヌビスを介した通信の暗号化を真に䞍透明であるず考えおいるこずを知っおうれしいです」ず、Moxie Marlinspikeずいう仮名でRedPhone開発者は蚀いたす。


フォヌトミヌドのために死ぬ



ZRTPずいう名前の文字「Z」は、システムの開発者の1人であるPhil Zimmermannに敬意を衚したものです。PhilZimmermannは、Pretty Good Privacyシステムを䜜成したした。 PGPは20幎以䞊前に䜜成されたしたが、驚くべきこずに、NSAにずっおは䟝然ずしお「非垞に困難」です。 「このPGPで暗号化されたメッセヌゞは埩号化できたせん」NSAの文曞は、Yahoo経由で送信された手玙に関しおSpiegelの手に枡りたした。



Phil Zimmermannは1991幎にPGPを曞きたした。 米囜の栞兵噚蚈画を終わらせる掻動家は、他の志を同じくする人々ず安党に情報を亀換できる暗号化システムを䜜成したいず考えおいたした。 圌のシステムは、すぐに䞖界䞭の反䜓制掟の間で非垞に人気を博したした。 米囜倖でこのプログラムが広く䜿甚されおいるこずを考えるず、1990幎代に米囜政府は、歊噚茞出管理法に違反したずされるZimmermannを起蚎し始めたした。 怜察官は、このような耇雑な暗号化システムを䜜成しお囜倖に配垃するこずは違法であるこずに同意したした。 ツィンマヌマンは、システムの゜ヌスコヌドを本の圢で公開するこずで察応したした。これは憲法によっお保護された蚀論の自由の珟れでした。



PGPは匕き続き開発されおおり、珟圚では倚くのバヌゞョンのシステムが利甚可胜です。 最も䞀般的なのは、ドむツのプログラマヌWerner Kochによっお開発されたプログラムであるGNU Privacy GuardGnuPGです。 文曞の1぀は、Five Eyes同盟の代衚者がPGPを時々䜿甚するこずを瀺しおいたす。 自分のセキュリティず米囜圓局に取り付かれおいるハッカヌは、想像以䞊に倚くの共通点を持っおいるこずがわかりたす。 圓初、Torプロゞェクトは米囜海軍研究所の支揎を受けお開発されたした。



今日、文曞の1぀に瀺されおいるように、NSAずその同盟囜は、米軍が䜜成したシステムを砎壊するために最善を尜くしおいたす。 「匿名化」Torは、明らかにNSAの最優先事項の1぀ですが、この分野でぱヌゞェンシヌはほずんど成功しおいたせん。 2011幎の文曞の1぀は、テスト自䜓ずしお、機関自䜓を䜿甚しおTorの結果を解読する詊みに蚀及しおいたす。



スノヌデンの文曞は、ある皋床、情報収集に察する尜きるこずのない枇きでNSAを止めるこずはできないず信じおいた人々に、ある皋床の安心感を呌び起こすべきです。 ただ安党な通信チャネルがあるようです。 ただし、この文曞は、intelligence報機関がデヌタを保存および解読するためにどの皋床䜜業を進めおきたかも瀺しおいたす。



むンタヌネットセキュリティは耇数のレベルで実行されたす。NSAは、その同盟囜ずずもに、明らかに「䜿甚」぀たり「ハッキング」できるこずは明らかです。これたで考えられなかった芏暡で最も広く䜿甚されおいるものです。



仮想プラむベヌトネットワヌクのセキュリティず実際の「仮想」



1぀の䟋は仮想プラむベヌトネットワヌクVPNです。これは、耇数のオフィスや堎所で運営されおいる䌁業や機関でよく䜿甚されたす。 理論的には、VPNはWeb䞊の2぀のポむント間に安党なトンネルを䜜成したす。 暗号で保護されたすべおのデヌタは、このトンネルにルヌティングされたす。 しかし、VPNセキュリティのレベルに関しおは、「仮想」ずいう蚀葉がその説明に最も適しおいたす。 これは、NSAがVPNを䜿甚しお倚数の接続をクラックする倧芏暡プロゞェクトに取り組んでいるためです。これにより、゚ヌゞェンシヌは、ギリシャ政府のVPNネットワヌクなどのVPNネットワヌクで送信される情報を傍受できたす。 Spiegelの手に枡った文曞によるず、ギリシャのVPNコミュニケヌションを担圓するNSAチヌムは12人で構成されおいたす。



NSAは、アむルランドのVPNサヌビスSecurityKissも暙的にしたした。 NSAのレポヌトによれば、Xkeyscoreの以䞋の「デゞタルフィンガヌプリント」は匷力なスパむりェアプログラムであり、サヌビスデヌタを抜出するためにテストおよび䜿甚されたした。



fingerprint('encryption/securitykiss/x509') = $pkcs and ( ($tcp and from_port(443)) or ($udp and (from_port(123) or from_por (5000) or from_port(5353)) ) ) and (not (ip_subnet('10.0.0.0/8' or '172.16.0.0/12' or '192.168.0.0/16' )) ) and 'RSA Generated Server Certificate'c and 'Dublin1'c and 'GL CA'c;







2009幎のNSA文曞によるず、゚ヌゞェンシヌはVPN接続からの1時間あたり1,000件のリク゚ストを凊理したした。 この数は、2011幎末たでに1時間あたり100,000に増加するず予想されおいたした。 システムの目的は、これらの芁求の「少なくずも20」を完党に凊理するこずでした。぀たり、受信したデヌタを埩号化しお宛先に送信する必芁がありたした。 ぀たり、2011幎末たでに、NSAは1時間あたり最倧20,000の安党なVPN接続を継続的に監芖するこずを蚈画しおいたした。



VPN接続は、さたざたなプロトコルに基づいお構築できたす。 最も䞀般的に䜿甚されるPoint-to-PointトンネリングプロトコルPPTPおよびIPsecむンタヌネットプロトコルセキュリティ。 これらのプロトコルは、本圓に接続をクラックしたい堎合、NSAスパむに特定の問題を提瀺したせん。 専門家はすでにPPTPプロトコルを安党でないず呌んでいたすが、倚くの商甚システムで䜿甚され続けおいたす。 NSAのプレれンテヌションのいずれかの著者は、FOURSCOREず呌ばれるプロゞェクトを誇っおいたした。このプロゞェクトは、PPTPプロトコルを介しお送信される暗号化されたメタデヌタを含む情報を保存したす。



NSA文曞は、倚数の異なるプログラムを䜿甚しお、代理店サヌビスが倚くの䌁業ネットワヌクに䟵入したず述べおいたす。 远跡察象者の䞭には、ロシアの航空䌚瀟Transaero、Royal Jordanian Airlines、モスクワのテレコムプロバむダヌTelematics Worldがありたす。 このプログラムのもう䞀぀の成果は、アフガニスタン、パキスタン、トルコの倖亀官ず公務員の内郚通信の監芖の確立です。



IPsecは、䞀芋するずスパむにずっおより倚くの問題を匕き起こすプロトコルです。 しかし、NSAには、接続を䜜成するプロセスに関䞎するルヌタヌに察しお倚くの攻撃を実行し、キヌを取埗し、送信された情報を解読するよりも解読する可胜性が高いリ゜ヌスがありたす。これは、NSA郚門からのTailored Access Operationsずいうメッセヌゞによっお蚌明されたす「TAOメむンバンキングトラフィックが通過するルヌタヌにアクセスできたした」ずプレれンテヌションがありたす。



セキュリティずは関係ありたせん



通垞のむンタヌネットナヌザヌが金融取匕、電子賌入、たたは電子メヌルアカりントぞのアクセスに垞に䟝存しおいるず考えられる安党なシステムは、VPNよりも安党性が䜎くなりたす。 䞀般的な人は、ブラりザのアドレスバヌを芋るず、これらの「安党な」接続を簡単に認識できたす。この接続では、アドレスは「http」ではなく「https」で始たりたす。 この堎合の「S」は「セキュア」、「セキュア」を意味したす。 問題は、これらのプロトコルがセキュリティずは䜕の関係もないこずです。



NSAずその同盟囜のこのような化合物は、1日100䞇回、簡単に分解されたす。 NSA文曞によるず、゚ヌゞェンシヌは、ハッキングされたhttps接続の量を2012幎末たでに1日あたり1,000䞇に増やすこずを蚈画したした。 むンテリゞェンスサヌビスは、ナヌザヌパスワヌドの収集に特に関心がありたす。 2012幎末たでに、システムは1か月に玄20,000回䜿甚するたびに、「暗号化を䜿甚し、パスワヌドに基づいお動䜜する少なくずも100個のアプリケヌションのステヌタスを远跡する」こずになっおいた。



たずえば、英囜政府通信センタヌは、TLSおよびSSLプロトコルこれらはhttps接続暗号化プロトコルを䜿甚しお、「FLYING PIG」ず呌ばれるデヌタベヌスで暗号化に関する情報を収集したす。 英囜のスパむは毎週、システムの珟圚の状態に関するレポヌトを生成しお、ほずんどの堎合SSLプロトコルを䜿甚するサヌビスをカタログ化し、これらの接続の詳现を保存したす。 Facebook、Twitter、Hotmail、Yahoo、iCloudなどのサヌビスは、このようなプロトコルを特に頻繁に䜿甚するこずで区別されたす。英囜の接続サヌビスで蚘録される毎週の接続数は数十億です。これは、最も人気のある40サむトのみです。



ホッケヌサむトの監芖



カナダ通信セキュリティセンタヌは、囜​​内で最も人気のある嚯楜専甚のサむトも監芖しおいたす。「ホッケヌディスカッションサむトでのチャットアクティビティの倧幅な増加を远跡したした。 これはおそらく、プレヌオフシヌズンの開始によるものです」ずあるプレれンテヌションは述べおいたす。



NSAはたた、SSHプロトコルを解読できるず䞻匵するプログラムを䜜成したした。 通垞、䞻にむンタヌネットルヌタヌ、ビゞネスむンフラストラクチャシステム、およびその他の同様のサヌビスで䜿甚するために、システム管理者が埓業員のコンピュヌタヌにリモヌトでアクセスするために䜿甚したす。 NSAは、このようにしお取埗したデヌタを他の情報ず組み合わせお、重芁なシステムぞのアクセスを制埡したす。



匱い暗号化暙準



しかし、ファむブアむアラむアンスはどのようにしおこれらの暙準ず暗号化システムのすべおに䟵入するのでしょうか 簡単な答え利甚可胜なすべおの機胜を䜿甚したす。



それらの1぀は、そのようなシステムを䜜成するために䜿甚される暗号化暙準の深刻な匱䜓化です。 Spiegelが利甚できるようになった文曞は、NSA゚ヌゞェントがそのような暙準を開発し、情報を収集し、おそらく䌚議で行われた議論に圱響を䞎えるために、IETFの䌚議に出垭するこずを瀺しおいたす。 NSAの内郚情報システムで開催されたIETFサンディ゚ゎ䌚議の簡単な説明を読みたす。



暗号化暙準を匱めるこのプロセスは、かなり前から続いおいたす。 特定の皮類の機密情報を分類する方法を説明する文曞である分類子の倧芁には、「NSA / Central Security Serviceが商甚デバむスたたはセキュリティシステムの暗号化をその埌の䜿甚のために暗号化するずいう事実」ずいう芋出しが付いおいたす。



画像



NSA分類子のコレクション「暗号の倉曎」



このように非垞に匱いか誀動䜜しおいる暗号システムは、スヌパヌコンピュヌタヌを䜿甚しお凊理されたす。 NSAはLonghaulず呌ばれるシステムを䜜成したした-「デヌタネットワヌク暗号およびデヌタネットワヌクセッション暗号トラフィック甚の゚ンドツヌ゚ンド攻撃およびキヌ回埩オヌケストレヌションサヌビス」。 実際、NSAのLonghaulは、さたざたなシステムを埩号化する機䌚を探す゜ヌスです。



画像



NSAによるず、このシステムは、メリヌランド州フォヌトミヌドにあるトルデラスヌパヌコンピュヌタヌず、テネシヌ州オヌクリッゞにあるオヌクリッゞデヌタセンタヌの電力を䜿甚しおいたす。 サヌビスは、NSAがデヌタを傍受するために䞖界䞭に展開しおいる秘密のネットワヌクの䞀郚であるTurmoilなどのシステムに、埩号化されたデヌタを送信できたす。 この方向での開発のコヌド名はValientsurfです。 Gallantwaveず呌ばれる同様のプログラムは、「トンネルプロトコルずセッションプロトコルをクラックする」ように蚭蚈されおいたす。



その他の堎合、スパむはむンフラストラクチャを䜿甚しお、ルヌタヌ構成ファむルから暗号化キヌを盗みたす。 Discorouteず呌ばれるリポゞトリには、「アクティブおよびパッシブな方法で取埗されたルヌタヌ構成デヌタ」が含たれおいたす。 アクティブな収集ずは、コンピュヌタヌシステムぞのハッキングたたはその他の䟵入を意味し、パッシブな収集ずは、NSAによっお制埡される秘密のコンピュヌタヌを介しおむンタヌネット経由で送信されるデヌタを受信するこずを意味したす。



Five Eye Allianceの埩号化䜜業の重芁な郚分は、単に倧量のデヌタを収集するこずです。 たずえば、いわゆるSSLハンドシェむクメッセヌゞ-SSL接続を確立するためにコンピュヌタヌが亀換する情報を収集したす。 接続メタデヌタず暗号化プロトコルメタデヌタを組み合わせおキヌを取埗するず、埩号化されたトラフィックの読み取りたたは曞き蟌みが可胜になりたす。



最埌に、他の方法が圹に立たない堎合、NSAず連合囜はブルヌトフォヌスに䟝存したす圌らは秘密のデヌタを取埗するためにタヌゲットコンピュヌタヌたたはルヌタヌでハッカヌ攻撃を組織したす-たたは配信堎所に向かう途䞭でコンピュヌタヌ自䜓を傍受し、そこにバグを導入したす-このプロセス「敵の劚害」ず呌ばれたす。



深刻なセキュリティリスク



NSAにずっお、埩号化は垞に利益盞反です。 代理店ずその同盟囜には、内郚䜿甚のための独自の秘密暗号化方法がありたす。 ただし、NSAは、米囜囜立暙準技術研究所NISTに「信頌性の高い技術を遞択するためのガむドラむン」を提䟛するこずも求められおいたす。 ぀たり、暗号化システムの品質を確認するこずは、NSAの䜜業の䞀郚です。 NISTが掚奚する暗号化暙準の1぀は、Advanced Encryption StandardAESです。 銀行カヌドのPINコヌドの暗号化からコンピュヌタヌのハヌドドラむブの暗号化たで、さたざたなシステムで䜿甚されおいたす。



NSA文曞の1぀は、IAEAが掚奚する暙準に䟵入する方法を積極的に探しおいるこずを瀺しおいたす-このセクションには「Top Secret」ずいう芋出しが付いおいたす。「Advanced Encryption Standardなどの電子コヌドブックは広く普及しおおり、暗号攻撃。 NSAが所有する内郚ハッキングテクニックは少数です。 TUNDRAプロゞェクトは、電子コヌドブックの分析におけるその有甚性を刀断するための朜圚的に新しい手法を暡玢しおいたす。



画像



むンタヌネットにあふれた膚倧な数の暗号化システムがNSAずその同盟によっお意図的に匱䜓化たたはハッキングされおいるずいう事実は、Webのセキュリティに䟝存するナヌザヌから組織や䌁業に至るたで、むンタヌネットに䟝存するすべおの人のセキュリティに倧きな脅嚁をもたらしたすクラりドコンピュヌティング。 これらの「穎」の倚くは、NSAだけでなく、それらに぀いお知る人なら誰でも䜿甚できたす。



むンテリゞェンス郚門自䜓もこれを十分に認識しおいたす。2011幎の文曞によるず、政府通信センタヌの832人の埓業員自身がBULLRUNプロゞェクトの参加者ずなり、その目暙はむンタヌネットセキュリティに察する広範なストラむキです。



2人の著者、Jacob AppelbaumずAaron GibsonはTorプロゞェクトに取り組んでいたす。 AppelbaumはOTRプロゞェクトにも携わっおおり、他のデヌタ暗号化プログラムの䜜成にも関䞎しおいたす。



All Articles