Slo-Tech - Sveže objavljeni dokumenti iz NSA, ki jih je lani priskrbel Edward Snowden, razkrivajo obsežen avtomatiziran sistem, ki omogoča okužiti na milijone računalnikov in jim prisluškovati. O tem pišeta Ryan Gallagher in Glenn Greenwald v včerajšnjem The Interceptu. Obseg delovanja NSA je zastrašujoč, pomagata pa jim britanska GCHQ in japonska obveščevalna agencija, ki je v tem kontekstu še nismo srečali.
NSA je razvila avtomatiziran sistem z imenom Turbine, ki poenostavlja okužbe tarč. Tako lahko NSA okuži več milijonov računalnikov, ne da bi se morali ljudje ukvarjati z vprašanjem, koga in kdaj ciljati. Računalniki to storijo sami. Projekt Turbine jim je omogočil razširiti tedanji sistem prisluškovanja, ker ni potreboval človeškega vpletanja, da je na računalnike podtaknil malware.
Pred desetimi leti je imela NSA pod nadzorom 100 do 150 implantov, kakor imenujejo okužene računalnike pod svojim nadzorom. Do danes se je ta številka, tudi zaradi delovanja elitne enote TAO (Tailored Access Operations), napihnila na nekaj milijonov. Implanti so korak dlje od običajnega zbiranja podatkov (SIGINT, signal intelligence), kjer gre za prestrezanje prometa. Pri implantih NSA računalnike okuži, da jih lahko prisili v razkrivanje in pošiljanje podatkov. Turbine je bil način, kako iz tega postopka odstraniti človeški faktor, tako da ga je mogoče enostavno razširiti na veliko večje število računalnike (scaling up). Sistem je deloval od julija 2010.
Program Turbine sodi v širši projekt Turbulence, kakor imenujejo skupek programske opreme za raznovrstno vohunjenje. Vanj sodijo še podatkovna baza XKeyScore, Unitedrake za nadzor nad okuženimi računalniki, CaptivatedAudience za nadzor nad mikrofoni in prisluškovanje pogovorom v bližini, Gumfih za nadzor nad spletno kamero, Foggybottom za zbiranje podatkov o internetni zgodovini in prijavnih podatkov, Grok za beleženje vtipkanega besedila in SalvageRabbit za zbiranje podatkov z izmenljivih medijev. Vse to je NSA omogočalo, da do šifriranih podatkov pride, še preden se ti šifrirajo. Zanimiva sta še programa QuantumSky in QuantumCopper, ki sta imela drugačen namen - uporabljali so ju za blokado dostopa do določenih strani ali za kvarjenje prenesenih datotek pri uporabnikih.
Potem je tu še operacija Socialist, ki so jo v Belgiji uporabljali za prisluškovanje mobilnim telefonom. Za prestrezanje prometa direktno na viru pa so razvili Hammerchant in Hammerstein, ki napadeta usmerjevalnike in omogočata prestrezanje prometa prek VPN, za katerega uporabniki verjamejo, da je skrit pred nepovabljenimi očmi. Bdenje nad pogovori prek Skypa in drugimi sistemi za VoIP je del železnega repertoarja.
Da vsi ti sistemi delujejo, je treba računalnike tarč okužiti. To ni problem, saj ima NSA v rokavu precej adutov. Eden je lažen strežnik za Facebook, ki pri prijavi okuži obiskovalca. Projektu se pravi QuantumHand. O FoxAcidu smo že pisali, in sicer gre za hitre spletne strežnike, ki tekmujejo z legitimnimi in kadar jih prehitijo, jih obiskovalec nevede obišče in stakne kakšno okužbo.
Nekaj mi pri tem ni čisto jasno. Vse podobne novice, ki se redno pojavljajo o delovanju NSA, bazirajo na podatkih, ki jih je lani priskrbel Snowden. Kako je s temi dokumenti - zakaj prihajajo v javnost "po delih" in na kakšen način? So vsi podatki in dokumenti že dostopni, in je potrebno le najti zgodbe za tem?
Nekaj mi pri tem ni čisto jasno. Vse podobne novice, ki se redno pojavljajo o delovanju NSA, bazirajo na podatkih, ki jih je lani priskrbel Snowden. Kako je s temi dokumenti - zakaj prihajajo v javnost "po delih" in na kakšen način? So vsi podatki in dokumenti že dostopni, in je potrebno le najti zgodbe za tem?
Taktika. Wikileaks je objavil npr. vse depeše naenkrat, ampak se je izkazalo, da je javnost izgubila interes za spremljanje zgodbe hitreje kot zlata ribica.
Sicer pa... šekr botnet, NSA! Koliko lastnikov teh računalnikov je že šlo sedet zaradi pi*darij, ki ste jih izvajali z njim?
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
snowden je dal vse info guardianu (in se nekaterim drugim, mislim da nytimes), oni pa potem prevec obcutljive podatke (podjetja...) redaktirajo in novice objavljajo. manning pa ni redaktiral niti imen informantov recimo.
Kako je to možno, ne da bi zato kdo izdelal proti orodje, da bi ugotovil ali vohljajo npr. za menoj?
google IDS random uporabnik pac nima zelo zascitenih winsev (linuxa....).
bosmla naklada, sluzbo tam ni tezko dobiti, ce si american in prestanes background check. itak so plače zelo slabe. http://www.theregister.co.uk/2011/07/14... isto je verjetno pri nsa. snowden je bil sicer zaposlen pri eni firmi, ki je delala consulting, tko da je ocitno imel visjo placo (200k baje letno)
Wireshark prikaže ves promet v hiši, to ni tak problem.
Ja analiza tega prometa v smislu odkrivanja kaznivih dejanj kriminalnih združb (aka zda, uk in drugih večjih organiziranih kriminalnih združb) je pa malo večji problem.
NSA tebe nič ne nadzoruje in ne čekira. jih boli za to in niti nimajo resursov za kaj takega. čekirajo te statistične analize spletnih štacun in strani ki ponujajo vsebino
NSA tebe nič ne nadzoruje in ne čekira. jih boli za to in niti nimajo resursov za kaj takega. čekirajo te statistične analize spletnih štacun in strani ki ponujajo vsebino
Še dobro, da imajo dovolj resursov, da lahko vdirajo milijonom teroristov v računalnike! Le zakaj bi sicer vdirali v milijone računalnikov? Zdaj se počutim varnega in pomirjenega!
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
torej se ne počutiš varnega in si nemiren, ker te skrbi, da imajo v NSA poseben tim, ki se 24/7 ukvarja s preučevanjem tebe? al kaj?
Skrbi me za prihodnost trollanja na slo-techu. Te fore "nič skrivat" in "kaj te skrbi" so nekje 6 mesecv v zaostanku spreostalim svetom, kjer so medtem že pri "razkritja ovirajo delo goodguysov in nas delajo manj varne".
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
NSA ima zajeten lasten katalog -2 day exploitov in pa vso potrebno distribucijsko arhitekturo za okuževanje uporabnikov interneta ... upoštevaje vse to bi bilo kar malo neodgovorno od njih, če ne bi tega tudi uporabljali .
Privat botnet je zmeraj kul, če ne drugega, za majnat bitcoine za v črni fond.
torej se ne počutiš varnega in si nemiren, ker te skrbi, da imajo v NSA poseben tim, ki se 24/7 ukvarja s preučevanjem tebe? al kaj?
Skrbi me za prihodnost trollanja na slo-techu. Te fore "nič skrivat" in "kaj te skrbi" so nekje 6 mesecv v zaostanku spreostalim svetom, kjer so medtem že pri "razkritja ovirajo delo goodguysov in nas delajo manj varne".
Ti še šališ, ampak takšen folk dejansko živi. Levi/desni/verski blazneži all around us.
Zakaj morajo človekove pravice biti spoštovane šele potem, ko sesujemo celo družbo v kakšni svetovni vojni?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Wintendo operativci verjamem da so lahka tarča, a za tiste, ki jih jaz poznam kot admine, bi verjetno morali uporabiti hw buge ... ker (presenetljivo) obstajajo ljudje, ki znajo urediti in zavarovati svoje digitalno delovno okolje.
Wintendo operativci verjamem da so lahka tarča, a za tiste, ki jih jaz poznam kot admine, bi verjetno morali uporabiti hw buge ... ker (presenetljivo) obstajajo ljudje, ki znajo urediti in zavarovati svoje digitalno delovno okolje.
To velja ra remote attack, tukaj te brani router ki ni sranje. Ampak, imaš tudi web exploit, tu ni web browserja ki bi te zavaroval. Če greš na "napačno" web stran si okužen.
Zakon? Zgolj povečana funkcionalnost, ne pa tudi varnost! Pri vsej paranoji sploh ne veš, kaj VARNOST je.
Stavim, da tvoj paradajz spusti ven čisto ves promet, brez vsakršne omejitve. Pa tudi, če si kaj omejeval - port 80/tcp in 443/tcp imaš 100% odprt - torej po katerem portu misliš, da bo 'NSA trojanček' ven odnašal tvoje podatke? In kaj bo tu paradajzek naredil? Rekel bo 'izvoli naprej - žal ne morem hitreje....'!
Huh, kaj je tebi? Želja je po temu da se ne okužiš, ne pa da si izklopiš internet enkrat ko imaš štalo. Ne glede kako si ti nastavil tvoj 10.000Eur router, če greš na napačno stran si fucked.
Huh, kaj je tebi? Želja je po temu da se ne okužiš, ne pa da si izklopiš internet enkrat ko imaš štalo. Ne glede kako si ti nastavil tvoj 10.000Eur router, če greš na napačno stran si fucked.
Bojda tisti dražji tudi analizirajo promet in ga "pametno" blokirajo, v teoriji bi torej to morali delat tudi na takšnih portih... spet druga stvar pa je da baje določen HW (routerji, swtichi) prepušča določene zadeve ne glede na nastavitve, pol pa zadeva nekako izgubi pomen... no seveda, odvisno pred čem se hočeš "zaščitit".
Huh, kaj je tebi? Želja je po temu da se ne okužiš, ne pa da si izklopiš internet enkrat ko imaš štalo. Ne glede kako si ti nastavil tvoj 10.000Eur router, če greš na napačno stran si fucked.
Malo se motiš, take stvari (kot jih opisujem spodaj) zmore že 'router' za 450€...
Ampak da ti razložim še nekaj tvoje zmote.
Okužbe lahko različni varnostni sistemi, od url filtrv, IPS, AV poskusijo preprečiti. Enkrat bodo uspeli, drugič ne - to je dejstvo, mimo katerega ne moreš. Dodatno lahko omejuješ tipe datotek, ki jih boš dovolil prenašati. Sem lahko dodaš vse vrste .cab, .exe, .zip in kaj vem še. Dovoliš te vrste datotek izključno iz 'zanesljivih' virov, od drugod pa izključno, če se pred tem ustrezno avtenticiraš.
Recimo, da je vse skupaj odpovedalo in si se okužil. Noben trojanec (pa tudi cryptolocker)ni škodljiv, dokler ne uspe vzpostaviti povezave ven iz tvojega omrežja, do svojega nadzornega centra. Če imaš na 'routerju' zaprte tudi navzven vse porte, razen eksplicitno dovoljenih, na tistih pa izvajaš podoben nadzor, kot pri download-u, s tem da poleg vsega navesiš še kontrolo aplikacij nad vse skupaj, potem bo večina trojancev odpovedala.
V igro potem pride še logiranje in alarmiranje - če vidiš, da ti je določen računalnik neprestano blokiralo pri poskusu vzpostavljanja povezave na določenem portu do določene skupine IP naslovov, boš šel pogledati na sam računalnik, kaj za vraga se na njemu dogaja.
No, pa zdej to dej narest s paradajzkom!
Jasno, da je 450€ večini od nas preveč za domačo rabo - nebi pa smelo biti preveč za še tako malo podjetje.
Huh, kaj je tebi? Želja je po temu da se ne okužiš, ne pa da si izklopiš internet enkrat ko imaš štalo. Ne glede kako si ti nastavil tvoj 10.000Eur router, če greš na napačno stran si fucked.
Malo se motiš, take stvari (kot jih opisujem spodaj) zmore že 'router' za 450€...
Ampak da ti razložim še nekaj tvoje zmote.
Okužbe lahko različni varnostni sistemi, od url filtrv, IPS, AV poskusijo preprečiti. Enkrat bodo uspeli, drugič ne - to je dejstvo, mimo katerega ne moreš. Dodatno lahko omejuješ tipe datotek, ki jih boš dovolil prenašati. Sem lahko dodaš vse vrste .cab, .exe, .zip in kaj vem še. Dovoliš te vrste datotek izključno iz 'zanesljivih' virov, od drugod pa izključno, če se pred tem ustrezno avtenticiraš.
V teoriji je to kul, v praksi pa verjetno ni tako enostavno.
Recimo, da je vse skupaj odpovedalo in si se okužil. Noben trojanec (pa tudi cryptolocker)ni škodljiv, dokler ne uspe vzpostaviti povezave ven iz tvojega omrežja, do svojega nadzornega centra. Če imaš na 'routerju' zaprte tudi navzven vse porte, razen eksplicitno dovoljenih, na tistih pa izvajaš podoben nadzor, kot pri download-u, s tem da poleg vsega navesiš še kontrolo aplikacij nad vse skupaj, potem bo večina trojancev odpovedala.
A cryptolocker ni škodljiv? In če ti zašfrira podatke za katere nimaš backupa? Pol tudi ni škodljiv? Škodljiv je že če enemu uporabniku onemogoči delo, ker more it njegovo boxo nekdo čistit...
V igro potem pride še logiranje in alarmiranje - če vidiš, da ti je določen računalnik neprestano blokiralo pri poskusu vzpostavljanja povezave na določenem portu do določene skupine IP naslovov, boš šel pogledati na sam računalnik, kaj za vraga se na njemu dogaja.
No, pa zdej to dej narest s paradajzkom!
Jasno, da je 450€ večini od nas preveč za domačo rabo - nebi pa smelo biti preveč za še tako malo podjetje.
Ja dokler ne delaš v večjem podjetju kjer del uporabnikov uporablja službene prenosnike tudi doma, privat. Razen če se jim zdi sprejemljivo, da jim vse zablokiraš pa 24/7 čakaš v pripravljenosti ali pa se izgovarjaš zakaj nekaj ne gre... kar so v praksi spet bolj slabe rešitve.
Ja to pa je že druge sorte problem, kaj čmo takle mamo...
Mislim, da je bil naveden zgolj hardware treh proizvajalcev, pričemur ni bilo povedano, katere verzije firmware-a so ranljive. Z rednim posodabljanjem se tu veliko naredi. Ampak v praksi vidiš po stare routerje, ki so že najmanj 5 let izven 'end of life' obdobja in zanje že toliko časa ni bilo popravkov. Ampak ker se je včasih HW delalo malo bolj solidno kot danes, ti mlinčki še kar delajo in nikomur ne pade na misel, da bi jih zamenjali za kaj novejšega, kar je še podprto s strani proizvajalca.
Dokaj podobne težave so tudi pri raznoraznih 'low cost' napravah - od routerjev, pa do pametnih telefonov. Proizvajalci, ki jih delajo, mečejo neprestano nove modele na trg, stare pa zelo hitro pozabijo posodabljati. Kdor ima pocenski pametni telefon, zagotovo ve, da je dobil mogoče še eno ali največ dve nadgradnji Androida, potem pa je bilo konec zabave.
Tak odnos proizvajalcev pa seveda gre na roke tako NSA, kot tudi raznim pokvarjencem in barabam.
SeMiNeSanja> Jasno, da je 450€ večini od nas preveč za domačo rabo - nebi pa smelo biti preveč za še tako malo podjetje.
No, sej se da tudi ceneje. Spodoben PC dobiš že za manj kot 200, gor komot poganjaš Linux in vsa orodja, ki jih potrebuješ za tako zaščito.
Za domačo in small business rabo je problem predvsem v tem, da je to neuporabno, ker v praksi na tak način ne moreš normalno uporabljat interneta.
Jype - problem 'vseh orodij', ki bijih ti naložil na Linux, je v kakovosti brezplačnih signatur. Brez plačila pač ni kvalitete, žal je tako. Drugače pa v principu dejansko lahko 'nekaj podobnega' postaviš na Linuxu - samo administracija bo pa nočna mora in boš zelo hitro ugotovil, da bi se splačalo dati še tistih 250 zraven, kolikor si mislil, da boš prihranil.
Ja to pa je že druge sorte problem, kaj čmo takle mamo...
Mislim, da je bil naveden zgolj hardware treh proizvajalcev, pričemur ni bilo povedano, katere verzije firmware-a so ranljive. Z rednim posodabljanjem se tu veliko naredi. Ampak v praksi vidiš po stare routerje, ki so že najmanj 5 let izven 'end of life' obdobja in zanje že toliko časa ni bilo popravkov. Ampak ker se je včasih HW delalo malo bolj solidno kot danes, ti mlinčki še kar delajo in nikomur ne pade na misel, da bi jih zamenjali za kaj novejšega, kar je še podprto s strani proizvajalca.
Dokaj podobne težave so tudi pri raznoraznih 'low cost' napravah - od routerjev, pa do pametnih telefonov. Proizvajalci, ki jih delajo, mečejo neprestano nove modele na trg, stare pa zelo hitro pozabijo posodabljati. Kdor ima pocenski pametni telefon, zagotovo ve, da je dobil mogoče še eno ali največ dve nadgradnji Androida, potem pa je bilo konec zabave.
Tak odnos proizvajalcev pa seveda gre na roke tako NSA, kot tudi raznim pokvarjencem in barabam.
SeMiNeSanja> Jasno, da je 450€ večini od nas preveč za domačo rabo - nebi pa smelo biti preveč za še tako malo podjetje.
No, sej se da tudi ceneje. Spodoben PC dobiš že za manj kot 200, gor komot poganjaš Linux in vsa orodja, ki jih potrebuješ za tako zaščito.
Za domačo in small business rabo je problem predvsem v tem, da je to neuporabno, ker v praksi na tak način ne moreš normalno uporabljat interneta.
Jype - problem 'vseh orodij', ki bijih ti naložil na Linux, je v kakovosti brezplačnih signatur. Brez plačila pač ni kvalitete, žal je tako. Drugače pa v principu dejansko lahko 'nekaj podobnega' postaviš na Linuxu - samo administracija bo pa nočna mora in boš zelo hitro ugotovil, da bi se splačalo dati še tistih 250 zraven, kolikor si mislil, da boš prihranil.
Hja, to gre na roko predvsem proizvajalcem te robe, kupiš Ciscota za jurja, pa bo kakih 3 do 5 let podprt, če maš srečo do 9...
Med tem pa na 10+ let stari kišti z 512mb rama bp laufaš FreeBSD pa gor FW, VPN, routing, dhcp, dns pa še kaj in tudi posodabljaš bp. Sploh glede na to kaj je začel delat Cisco z licencami te primerljiva stvar pride VSEJ jurja, ko maš malo več uporabnikov, pa še to nimaš toliko prostih rok in čez 5 let te bojo poslali nekam... pa boš mogo novo škatlico za jurja nabavit. Zakaj bi bila administracija nočna mora?
SeMiNeSanja> Drugače pa v principu dejansko lahko 'nekaj podobnega' postaviš na Linuxu - samo administracija bo pa nočna mora in boš zelo hitro ugotovil, da bi se splačalo dati še tistih 250 zraven, kolikor si mislil, da boš prihranil.
V resnici nič ne prihraniš, če plačaš 250 več - dela je enako, če želiš zagotavljati željen nivo varnosti.
A cryptolocker ni škodljiv? In če ti zašfrira podatke za katere nimaš backupa? Pol tudi ni škodljiv? Škodljiv je že če enemu uporabniku onemogoči delo, ker more it njegovo boxo nekdo čistit...
Kje sem napisal, da cryptolocker ni škodljiv?
Cryptolocker deluje tako, da po okužbi najprej kontaktira scoj komandni center, kjer dobi ključ, s katerim ti bo zakriptiral podatke. Dokler tega nima, se ne zgodi nič. Če torej uspešno blokiraš njegovo povezavo do komandnega centra, boš sicer okužen, v logih boš videl, da ima računalnik nenavadno veliko število blokad in boš lahko ukrepal, še predenj bo naredil dejansko škodo - zakriptiral tvoje datoteke.
Ja dokler ne delaš v večjem podjetju kjer del uporabnikov uporablja službene prenosnike tudi doma, privat. Razen če se jim zdi sprejemljivo, da jim vse zablokiraš pa 24/7 čakaš v pripravljenosti ali pa se izgovarjaš zakaj nekaj ne gre... kar so v praksi spet bolj slabe rešitve.
Na ta problem, ki ga BYOD prinaša s seboj se je lansko leto neprestano opozarjalo, letos pa ta tematika kar na enkrat ni več tako 'vroča', da bi se o njej še kaj na veliko pisalo, čeprav se problemi, ki so s tem niso čisto nič zmanjšali.
Toda ni vse tako črno - če imaš admine, ki vedo, kaj počno in ustrezno varnostno opremo. Tako resni accesspoint-i danes omogočajo več SSID-jev, ki se vsak poveže na svoj Vlan. Tako lahko enega narediš izključno za mobilne telefone in tablice, toliko da gredo lahko ven na internet, znotraj podjetja pa mogoče samo še do poštnega strežnika.
Prenosnike vržeš na drug Vlan, ki poleg pošte sme nadzorovano (AV, IPS, nadzor aplikacij) dostopati do izbranih nujno potrebnih resursov v omrežju podjetja, da lahko opravljajo svoje delo - vse drugo pa jim zapreš. V bistvu preceniš tveganje in poskušaš vzpostaviti najnižji možni rizik. Če potem še globlje posežeš v žep, se najdejo še razne dodatne rešitve, ki pred priklopom na firmino omrežje preverijo, če imaš posodobljen AV na prenosniku, kdaj je bil zadnji scan AV-ja,....pa celo do tega, da se na prenosniku lahko izvajajo izključno programi, ki so na whitelisti in so preverjeni z hash kodo, da niso bili modificirani.
