NSA meri na sistemske administratorje
Matej Huš
21. mar 2014 ob 22:48:13
V javnost so pricurljali novi dokumenti iz NSA, ki jih je lani iz Fort Meada odnesel Edward Snowden. Ti dokazujejo, da se je NSA sistematično lotila prisluškovanja, sledenja in napadanja skrbnikov računalniških omrežij oziroma sistemskih administratorjev. Slednji namreč držijo v rokah univerzalne ključe za dostop do računalniških omrežij, zato so priročna tarča za NSA.
Gre za dokumente, ki so bili na internem omrežju NSA objavljeni leta 2012 Napisal jih je napisal znani sodelavec NSA, ki je med drugim vodil razbijanje zasebnosti Tora. Identitete tega človeka časnik seveda ni razkril. Dokumenti z naslovom I hunt sysadmins (Lovim upravljavce omrežij) zaposlenim v NSA prikazujejo, kako je lahko sledenjem administratorjem koristno in uporabno. Nekaj dokumentov tudi opisuje vtise s konferenc Blackhat/Defcon, o katerih ima avtor slabo mnenje. Po njegovem mnenju so najave dogodkov tam prenapihnjene, iz samih predavanj pa potem ni nič konkretno novega. To lahko razumemo tudi tako, da ima NSA bistveno boljše zmožnosti od črnih hekerjev.
NSA si je prizadevala za vzpostavitev globalne podatkovne baze, v kateri bi hranili podatke o sistemskih administratorjih in omrežjih, ki jih imajo ti pod nazorom. NSA zelo dobro ve, da administratorji niso krivi ničesar in to v dokumenti jasno izpostavlja, a jim sledi in prisluškuje preprosto zato, ker imajo ključe do omrežij. NSA tako zbira o njih vse, kar lahko - uporabniška imena, gesla, sheme omrežij, prijavne podatke za družabna omrežja, poslovno korespondenco itd. NSA brska po internetu in išče morebitne administratorje, kar kaže, da vedno niso povsem prepričani, da je oseba dejansko vredna napada. Ne pozabimo, da NSA po zakonu ne sme prisluškovati Američanom, a dokumenti ne kažejo, da bi se tega posebej natančno držali.
Ko najdejo človeka, ki bi utegnil biti administrator, poiščejo njegov IP, potem pa začno zbirati in beležiti povezan promet. SIGINT (signal intelligence) vsak dan prestreže ogromno prometa na internetu. Potem je pot do elektronskega naslova ali Facebookovega računa zelo enostavna. In ko imajo enkrat to, je sezona lova na izbranega sistemskega administratorja povsem odprta. Uporabijo lahko orodje Quantum, o katerem smo že pisali, in omogoča vstavljanje ranljivosti v tuje spletne strani in postavljanje lažnih strežnikov, ki okužijo računalnik tarče.