Προγραμματισμός

Snowden: Η NSA φυτεύτηκε σε εξωτερικούς χώρους σε προϊόντα Cisco

Εάν εργαζόσασταν σε πωλήσεις πληροφορικής, μπορείτε να φανταστείτε πόσο δύσκολη θα ήταν η ζωή σας εάν οι ξένοι πελάτες σας υποθέτουν ότι το υλικό που τα πουλήσατε είχε πίσω μέρος για να επιτρέψει στην κυβέρνηση των ΗΠΑ να τους κατασκοπεύει κατά βούληση;

Δεν είναι υποθετική ερώτηση.

[Μάθετε πώς να προστατεύετε τα συστήματά σας με το ιστολόγιο του Roger Grimes 'Security Adviser και το ενημερωτικό δελτίο Security Central, και τα δύο από. ]

Απίστευτο όπως φαίνεται, οι δρομολογητές που κατασκευάζονται για εξαγωγή από τη Cisco (και πιθανώς άλλες εταιρείες) υποβάλλονται σε τακτική παρακολούθηση χωρίς τη γνώση της Cisco από την Εθνική Υπηρεσία Ασφαλείας και είναι εξοπλισμένες με κρυφά εργαλεία παρακολούθησης. Το γνωρίζουμε αυτό επειδή είναι μία από τις νέες λεπτομέρειες των τεράστιων προγραμμάτων συλλογής δεδομένων της υπηρεσίας κατασκοπείας που αποκαλύπτονται στο "No Place to Hide", ένα βιβλίο που μόλις δημοσιεύθηκε από τον Glenn Greenwald. Ο Greenwald, φυσικά, είναι ο δημοσιογράφος που έσπασε την ιστορία του Edward Snowden, του μοναδικού υπαλλήλου της NSA που έχει διαρρεύσει χιλιάδες μυστικά έγγραφα.

Μαθαίνουμε ότι η κλίμακα των επιχειρήσεων συλλογής δεδομένων της NSA ήταν πολύ, πολύ μεγαλύτερη από ό, τι θα μπορούσαμε να φανταστούμε: "Από τα μέσα του 2012, ο οργανισμός επεξεργάστηκε περισσότερα από είκοσι δισεκατομμύρια εκδηλώσεις επικοινωνίας (τόσο Διαδίκτυο όσο και τηλέφωνο) από όλο τον κόσμο μέρα, "γράφει ο Greenwald.

Η Greenwald αποκαλύπτει ότι ένα πρόγραμμα που ονομάζεται X-KEYSCORE επιτρέπει την παρακολούθηση "σε πραγματικό χρόνο" των διαδικτυακών δραστηριοτήτων ενός ατόμου, επιτρέποντας στην NSA να παρατηρεί τις ηλεκτρονικές αλληλογραφίες και τις δραστηριότητες περιήγησης καθώς συμβαίνουν, μέχρι το πάτημα του πλήκτρου. Οι αναζητήσεις που ενεργοποιούνται από το πρόγραμμα είναι τόσο συγκεκριμένες που κάθε αναλυτής της NSA μπορεί όχι μόνο να ανακαλύψει ποιους ιστότοπους έχει επισκεφθεί ένα άτομο, αλλά και να συγκεντρώσει μια ολοκληρωμένη λίστα όλων των επισκέψεων σε έναν συγκεκριμένο ιστότοπο από συγκεκριμένους υπολογιστές.

Θα σκεφτόσασταν ότι ένας αναλυτής που θέλει να παρακολουθεί τις διαδικτυακές δραστηριότητες κάποιου τόσο στενά θα χρειαζόταν, τουλάχιστον, εξουσιοδότηση από ανώτατο στέλεχος πρακτορείου. Οχι τόσο. Το μόνο που πρέπει να κάνει ο αναλυτής είναι να συμπληρώσει μια διαδικτυακή φόρμα που να "δικαιολογεί" την παρακολούθηση και το σύστημα επιστρέφει τις ζητούμενες πληροφορίες.

Τι γίνεται με ένταλμα; Μην αφελείς.

Πώς η NSA έκανε σφάλμα στους δρομολογητές της Cisco

Πολλά έχουν γίνει βιομηχανική κατασκοπεία από την Κίνα και η κυβέρνηση των ΗΠΑ έχει προειδοποιήσει επανειλημμένα τις επιχειρήσεις να μην εμπιστεύονται τεχνολογίες που αγοράζονται από αυτήν τη χώρα. Ίσως οι κινεζικές και άλλες κυβερνήσεις είναι αυτές που πρέπει να εκδίδουν προειδοποιήσεις.

"Η NSA λαμβάνει τακτικά - ή παρεμβολές - δρομολογητές, διακομιστές και άλλες συσκευές δικτύου υπολογιστών που εξάγονται από τις ΗΠΑ πριν παραδοθούν στους διεθνείς πελάτες", γράφει ο Greenwald. "Το πρακτορείο στη συνέχεια εμφυτεύει εργαλεία παρακολούθησης πόρτας, ανασυσκευάζει τις συσκευές με εργοστασιακή σφραγίδα και τις στέλνει. Η NSA αποκτά έτσι πρόσβαση σε ολόκληρα δίκτυα και σε όλους τους χρήστες τους."

Οι δρομολογητές, οι διακόπτες και οι διακομιστές που κατασκευάζονται από τη Cisco είναι παγιδευμένοι με εξοπλισμό παρακολούθησης που παρεμποδίζει την κίνηση που διαχειρίζεται αυτές οι συσκευές και το αντιγράφει στο δίκτυο της NSA, αναφέρει το βιβλίο. Η Greenwald σημειώνει ότι δεν υπάρχουν στοιχεία ότι η Cisco ή άλλες εταιρείες γνώριζαν το πρόγραμμα.

"Έχουμε δηλώσει προηγουμένως ότι η Cisco δεν συνεργάζεται με καμία κυβέρνηση για να αποδυναμώσει τα προϊόντα μας για εκμετάλλευση", δήλωσε εκπρόσωπος της Cisco στο Wall Street Journal. "Φυσικά, θα ανησυχούσαμε βαθιά με οτιδήποτε θα μπορούσε να βλάψει την ακεραιότητα των προϊόντων μας ή των δικτύων των πελατών μας".

Εκτός από τυχόν ανησυχίες που μπορεί να έχετε σχετικά με το απόρρητο, αυτό το είδος δημοσιότητας είναι πολύ κακό για τις επιχειρήσεις των ΗΠΑ. Γιατί θα αγοράζατε ένα προϊόν που χειρίζεται ευαίσθητα εταιρικά ή κυβερνητικά δεδομένα, αν πιστεύετε ότι η συσκευή έχει υποστεί σφάλμα;