quinta-feira, 13 de março de 2014

Como a NSA planeja infectar "Milhões" de computadores com malware

Foto em destaque - Como a NSA Planos para infectar "Milhões" de computadores com malware Uma apresentação descreve como a NSA realiza "exploração em escala industrial" de redes de computadores em todo o mundo.
Documentos ultra-secretos revelam que a Agência de Segurança Nacional está expandindo dramaticamente sua capacidade de invadir secretamente em computadores em uma escala de massa, utilizando sistemas automatizados que reduzem o nível de supervisão humana no processo.
Os arquivos secretos - fornecidas anteriormente pela NSA denunciante Edward Snowden - ". Implantes" conter novos detalhes sobre inovadora tecnologia de vigilância a agência desenvolveu para infectar potencialmente milhões de computadores em todo o mundo com malware A iniciativa permite que a NSA clandestina para invadir computadores de destino e sifão fora os dados de Internet e redes de telefonia estrangeiras.
A infra-estrutura secreta que apoia os esforços de hackers opera a partir da sede da agência, em Fort Meade, Maryland, e de bases de espionagem no Reino Unido e no Japão. GCHQ, a agência de inteligência britânica, parece ter desempenhado um papel fundamental para ajudar a desenvolver a tática implantes.
Em alguns casos, a NSA tem disfarçou como um servidor falso Facebook, usando o site de mídia social como uma plataforma de lançamento para infectar o computador de um alvo e exfiltrate arquivos de um disco rígido. Em outros, ele enviou e-mails de spam atado com o malware, que podem ser adaptados para gravar secretamente áudio do microfone do computador e tirar fotos com a sua webcam. Os sistemas de hackers também têm permitido a NSA para lançar ciberataques corrompendo e interromper downloads de arquivos ou negar o acesso a sites.
Os implantes sendo implantados eram reservados para algumas centenas de alvos de difícil alcance, cujas comunicações não pode ser monitorada através de escutas telefônicas tradicionais. Mas os documentos analisados ​​pelo O Intercept mostrar como a NSA acelerou agressivamente suas iniciativas de hackers na última década por informatizar alguns processos anteriormente tratados por seres humanos. O sistema automatizado - TURBINA codinome - é projetada para "permitir que a rede implante atual de escala para tamanho grande (milhões de implantes) através da criação de um sistema que não automatizado implantes de controle por grupos em vez de individualmente."
Em uma apresentação ultra-secreto, de agosto de 2009, a ANS descreve uma parte pré-programada da infra-estrutura secreta chamada de "Expert System", que é projetado para operar ", como o cérebro." O sistema gerencia as aplicações e funções do implantes e "decide" o que as ferramentas que eles precisam para melhor extrair dados de máquinas infectadas.
Mikko Hypponen, especialista em malwares que atua como chefe de pesquisa da empresa de segurança finlandesa F-Secure , chama as revelações "perturbador". técnicas de vigilância da NSA, adverte, pode, inadvertidamente, estar a minar a segurança da Internet.
"Quando eles implantar malware em sistemas", diz Hypponen ", eles têm potencial para criar novas vulnerabilidades nesses sistemas, tornando-os mais vulneráveis ​​a ataques por parte de terceiros."
Hypponen acredita que os governos poderiam justificar o uso de malware, sem dúvida, em um pequeno número de casos direcionados contra adversários. Mas milhões de implantes de malware que está sendo implantado pela ANS, como parte de um processo automatizado, diz ele, seria "fora de controle".
"Isso definitivamente não seria proporcional", diz Hypponen. "Não poderia ser alvo e nomeado. Parece que a infecção por atacado e vigilância por atacado. "
A NSA recusou-se a responder a perguntas sobre a sua implantação dos implantes, apontando para uma nova directiva política presidencial anunciada pelo presidente Obama. "Como o presidente deixou claro em 17 de janeiro", disse a agência em um comunicado, "os sinais de inteligência serão recolhidos exclusivamente onde existe uma inteligência estrangeira ou a finalidade de contra-espionagem para apoiar missões nacionais e departamentais, e não para outros fins."

"Possuir a Net"

O NSA começou a rápida escalada seus esforços de hacking uma década atrás. Em 2004, de acordo com secretos registros internos , a agência estava administrando uma pequena rede de apenas 100 a 150 implantes. Mas ao longo dos próximos seis a oito anos, como uma unidade de elite chamado Tailored Acesso Operações (TAO) recrutou novos hackers e desenvolveu novas ferramentas de malware, o número de implantes subiu para dezenas de milhares.
Para penetrar redes de computadores e monitorar as comunicações estrangeiras que não têm acesso a através de outros meios, a NSA queria ir além dos limites tradicionais sinais de inteligência, ou SIGINT, termo da agência para a intercepção de comunicações electrónicas. Em vez disso, procurou-se ampliar os métodos de vigilância "activos" - táticas projetadas para se infiltrar em computadores diretamente um alvo ou dispositivos de rede.
Nos documentos, a agência descreve técnicas como "uma abordagem mais agressiva para SIGINT" e diz que a missão da unidade TAO é "agressivamente escala" estas operações.
Mas a NSA reconhecido que a gestão de uma rede massiva de implantes é muito grande de um trabalho para o ser humano sozinho.
"Um dos maiores desafios para o ativo SIGINT / ataque é escala", explica a apresentação ultra-secreto a partir de 2009. "A capacidade limite 'pilotos Humanos para a exploração em grande escala (os seres humanos tendem a operar dentro de seu próprio ambiente, não levando em conta a foto maior)."
A solução da agência foi TURBINA. Desenvolvido como parte da unidade de TAO, ele é descrito nos documentos vazados como uma "capacidade de comando e controle inteligente" que permite "a exploração em escala industrial."
TURBINA foi concebido para tornar a implantação de malware muito mais fácil para os hackers da NSA, reduzindo o seu papel na supervisão de suas funções. O sistema iria "aliviar o usuário da necessidade de saber / cuidado com os detalhes", Direcção Tecnologia da NSA observa em um documento secreto de 2009. "Por exemplo, um usuário deve ser capaz de pedir para 'todos os detalhes sobre a aplicação X' e não precisa saber como e onde o aplicativo mantém arquivos, entradas de registro, dados de aplicativos do usuário, etc"
Na prática, isso significava que TURBINA seria automatizar processos cruciais que anteriormente tinham que ser realizada manualmente - incluindo a configuração dos implantes, bem como coleta de vigilância, ou "tasking", de dados dos sistemas infectados. Mas automatizar estes processos foi muito mais do que uma questão técnica simples. O movimento representou uma grande mudança tática dentro da NSA que era esperado para ter um impacto profundo - o que permite a agência a empurrar para a frente em uma nova fronteira de operações de vigilância.
As ramificações são nitidamente ilustrado em um documento NSA ultra-secreta, sem data, que descreve como a agência previsto para TURBINA "aumentar a capacidade atual de implantar e gerenciar centenas de Computer Network Exploração (CNE) e Computer Network Ataque (CNA) implantes de potencialmente milhões de implantes ". (minas CNE inteligência a partir de computadores e redes; CNA visa perturbar, danos ou destruí-los.)
Eventualmente, os arquivos secretos indicam, os planos da NSA para TURBINA chegaram a ser concretizadas. O sistema está em operação em alguma capacidade, pelo menos desde Julho de 2010, e seu papel tornou-se cada vez mais central para as operações de hackers da NSA.
Anteriores relatórios com base nos arquivos Snowden indicam que a NSA já implantado entre 85.000 e 100.000 de seus implantes contra computadores e redes em todo o mundo , com planos para manter em ampliação desses números.
Top-secret "orçamento negro" da comunidade de inteligência em 2013, obtido por Snowden, lista TURBINA como parte de uma iniciativa mais ampla de vigilância da NSA chamado "Possuir o líquido."
A agência procurou $ 67600000 em financiamento do contribuinte para sua Possuir o programa Net no ano passado. Parte do dinheiro foi destinada a turbina, a expansão do sistema para incluir "uma ampla variedade" de redes e "permitindo uma maior automatização de exploração de rede de computadores."

Engana Encryption

A NSA tem um arsenal diversificado de ferramentas de malware, cada altamente sofisticados e customizável para diferentes fins.
Um implante, codinome UNITEDRAKE, pode ser usado com uma variedade de "plug-ins" que permitam a agência para obter controle total de um computador infectado.
Um plug-in CAPTIVATEDAUDIENCE chamado implante, por exemplo, é usado para assumir o microfone de um computador de destino e gravar conversas que ocorrem perto do dispositivo. Outra, GUMFISH, pode levar secretamente sobre a webcam de um computador e tirar fotografias. FOGGYBOTTOM registra registros de histórias de navegação na Internet e coleta dados de login e senhas usadas para acessar sites e contas de e-mail. GROK é usado para registrar as teclas digitadas. E exfiltrates SALVAGERABBIT de dados de pen drives removíveis que se conectam a um computador infectado.
Os implantes podem permitir que a NSA para burlar ferramentas de criptografia de reforço da privacidade que são usados ​​para navegar na Internet anonimamente ou embaralhar o conteúdo de e-mails como eles estão sendo enviadas através das redes. Isso porque o malware do NSA dá a agência de acesso irrestrito ao computador de um alvo antes que o usuário proteja suas comunicações com criptografia.
Não está claro quantos dos implantes estão sendo implantados em uma base anual ou que as variantes deles estão ativos atualmente em sistemas de computador em todo o mundo.
Relatórios anteriores alegaram que a NSA trabalhou com Israel para desenvolver o malware Stuxnet, que foi usado para sabotar as instalações nucleares iranianas. A agência também teria trabalhado com Israel para implantar malwares chamado Flame para se infiltrar computadores e espionar as comunicações nos países em todo o Oriente Médio.
De acordo com os arquivos de Snowden, a tecnologia tem sido usada para procurar suspeitos de terrorismo, bem como indivíduos considerados pela NSA como "extremista". Mas o mandato de hackers da NSA não se limita a invadir os sistemas de aqueles que representam uma ameaça para segurança nacional.
Em um post secreto em um quadro de mensagens interno, um agente de Sinais da NSA Inteligência Direcção descreve o uso de ataques de malware contra os administradores de sistemas que trabalham em operadoras de telefonia e serviços de internet estrangeiras. Por hackear o computador de um administrador, a agência pode ter acesso secreto para as comunicações que são processados ​​por sua empresa. "Administradores de sistemas são um meio para um fim", disse o agente da NSA escreve.
O posto interno - intitulado "Eu caço administradores de sistemas" - deixa claro que os terroristas não são os únicos alvos de tais ataques NSA. Comprometer um administrador de sistemas, as fichas operatórias, torna mais fácil para chegar a outros alvos de interesse, incluindo qualquer "funcionário do governo, que passa a ser através da rede algum administrador cuida."
Táticas similares foram adotadas pela sede comunicações governamentais, homólogo britânico da NSA. Como o jornal alemão Der Spiegel relatou em setembro, GCHQ invadido computadores pertencentes a engenheiros de rede em Belgacom, a operadora de telecomunicações belga.
A missão, de codinome "Operação Socialista," foi projetado para permitir que GCHQ para monitorar telefones móveis conectados à rede da Belgacom. Os arquivos secretos consideram a missão de "sucesso", e indicam que a agência teve a capacidade de acessar os sistemas da Belgacom secretamente, pelo menos desde 2010.
Infiltrando redes de celulares, no entanto, não é tudo o que o malware pode ser usado para realizar. A NSA especificamente adaptados alguns de seus implantes de infectar roteadores de rede de larga escala utilizados por prestadores de serviços de Internet em países estrangeiros. Ao comprometer roteadores - os dispositivos que se conectam redes de computadores e pacotes de dados de transporte através da Internet - a agência pode ter acesso secreto para monitorar o tráfego de Internet, gravar as sessões de navegação dos usuários, e interceptar comunicações.
Dois implantes da NSA injeta em roteadores de rede, HAMMERCHANT e Hammerstein, ajudar a agência de interceptar e realizar "ataques" contra exploração de dados que são enviados através de uma Rede Privada Virtual , uma ferramenta que usa criptografados "túneis" para aumentar a segurança e privacidade de uma sessão de Internet.
Os implantes também rastrear telefonemas enviados pela rede via Skype e outros softwares de voz sobre IP, revelando o nome de usuário da pessoa que efectua a chamada. Se o áudio da conversa VOIP é enviado pela Internet usando não criptografadas pacotes "em tempo real Protocolo de transporte", os implantes podem secretamente gravar os dados de áudio e, em seguida, devolvê-lo à NSA para análise.
Mas nem todos os implantes da NSA são usados ​​para coletar informações, os arquivos secretos mostram. Às vezes, o objetivo da agência é a interrupção, em vez de vigilância. QUANTUMSKY, um pedaço de malware NSA desenvolvido em 2004, é usado para bloquear as metas de acessar determinados sites. QUANTUMCOPPER, testado pela primeira vez em 2008, corrompe downloads de arquivos de um alvo. Estas duas técnicas "ataque" são revelados em uma lista de classificados que conta com nove NSA ferramentas de hacking, seis dos quais são usados ​​para a coleta de informações. Apenas um é usado para fins "defensivas" - para proteger as redes do governo dos EUA contra invasões.

"Potencial de exploração em massa"

Antes que possa extrair dados de um implante ou usá-lo para atacar um sistema, a NSA deve primeiro instalar o malware em um computador ou rede alvo.
De acordo com um documento ultra-secreto a partir de 2012, a agência pode implantar malwares através do envio de e-mails de spam que visa enganar a clicar em um link malicioso. Uma vez ativado, um "implante de back-door" infecta seus computadores dentro de oito segundos.
Só há um problema com esta tática, WILLOWVIXEN codinome: De acordo com os documentos, o método de spam tornou-se menos bem sucedido nos últimos anos, como os usuários da Internet tornaram-se cautelosos com e-mails não solicitados e menos propensos a clicar em qualquer coisa que pareça suspeito.
Consequentemente, a NSA se transformou a técnicas novas e mais avançadas de hacking. Estes incluem a execução de chamada "man-in-the-middle" e ataques "homem-a-lado o", que secretamente forçar navegador de internet de um usuário a rota para servidores de computadores da NSA que tentam infectá-las com um implante.
Para executar um ataque de homem-a--lado, a ANS observa o tráfego da Internet de um alvo usando sua rede global de encoberta "acessos" aos dados que flui através de cabos de fibra ótica ou satélites. Quando o alvo visita um site que a NSA é capaz de explorar, os sensores de vigilância da agência alertar o sistema de turbina , que então "brotos" pacotes de dados no endereço IP do computador de destino dentro de uma fração de segundo.
Em uma técnica de homem-a-lado a, codinome QUANTUMHAND, a agência se disfarça como um servidor Facebook falso. Quando um alvo tenta fazer login no site de mídia social, a NSA transmite pacotes de dados maliciosos que enganar o computador do alvo em pensar que eles estão sendo enviados a partir do verdadeiro Facebook. Ao esconder sua malwares dentro do que se parece com uma página de Facebook ordinária, a NSA é capaz de invadir o computador de destino e secretamente sifão fora dados de seu disco rígido. A animação ultra-secreta demonstra a tática em ação.
Os documentos mostram que QUANTUMHAND entrou em funcionamento em Outubro de 2010, depois de ter sido testado com sucesso pela NSA contra cerca de uma dúzia de alvos.
De acordo com Matt Blaze, um especialista em vigilância e criptografia na Universidade da Pensilvânia, parece que a técnica QUANTUMHAND que contempla indivíduos específicos. Mas ele expressa preocupações sobre como tem sido secretamente integrado dentro das redes de Internet como parte do sistema de turbina automatizado da NSA.
"Assim que você colocar essa capacidade na infra-estrutura de backbone, o engenheiro de software e segurança em mim diz que é terrível", diz chama.
"Esqueça sobre como a NSA tem a intenção de usá-lo. Como sabemos que ele está funcionando corretamente e só visando que a NSA quer? E mesmo que ela não funciona corretamente, o que é por si só uma suposição muito duvidosa, como é controlado? "
Em uma declaração e-mail para a interceptação , porta-voz do Facebook Jay Nancarrow disse que a empresa tinha "nenhuma evidência desta alegada atividade". Ele acrescentou que o Facebook implementou criptografia HTTPS para usuários no ano passado, fazendo sessões de navegação menos vulnerável a ataques de malware.
Nancarrow também apontou que outros serviços além do Facebook pode ter sido comprometida pela NSA. "Se as agências governamentais de fato ter acesso privilegiado aos prestadores de serviços de rede", disse ele, "qualquer site funcionando apenas [sem criptografia] HTTP poderia concebivelmente ter seu tráfego mal direcionada."
Um ataque man-in-the-middle é um método semelhante, mas um pouco mais agressivo que pode ser usada pela NSA para implantar seu malware. Trata-se de uma técnica de hacking em que a agência coloca-se secretamente entre computadores como eles estão se comunicando uns com os outros.
Isso permite que a NSA não só para observar e redirecionar sessões de navegação, mas para modificar o conteúdo dos pacotes de dados que passam entre os computadores.
A tática man-in-the-middle pode ser usado, por exemplo, para mudar secretamente o conteúdo de uma mensagem, uma vez que está a ser enviado entre duas pessoas, sem que nenhum sabendo que qualquer alteração foi feita por um terceiro. A mesma técnica é por vezes utilizado por hackers criminosos para fraudar pessoas.
A apresentação ultra-secreta NSA a partir de 2012, revela que a agência desenvolveu uma capacidade de man-in-the-middle chamado SECONDDATE a "influência comunicação em tempo real entre cliente e servidor" e "calmamente redirecionar navegadores da web" para os servidores de malware NSA chamados FOXACID. Em outubro, os detalhes sobre o sistema FOXACID foram relatadas pelo The Guardian , que revelou suas ligações com os ataques contra os usuários do serviço Internet Tor anonimato.
Mas SECONDDATE é adaptado, não só para "cirúrgicos" ataques de vigilância sobre suspeitos individuais. Ele também pode ser usado para lançar ataques de malware em massa contra computadores.
De acordo com a apresentação de 2012, a tática tem "potencial de exploração em massa para os clientes que passam pelos pontos de estrangulamento da rede."
Blaze, o especialista em vigilância Universidade da Pensilvânia, diz que o uso potencial de man-in-the-middle ataques em tal escala "parece muito perturbador." Essa abordagem envolveria indiscriminadamente monitorar redes inteiras ao invés de visar suspeitos individuais.
"O que levanta uma bandeira vermelha para mim é a referência a" pontos de estrangulamento da rede '", diz ele. "Esse é o último lugar que deveríamos estar permitindo que agências de inteligência para comprometer a infra-estrutura - porque essa é, por definição, uma técnica de vigilância em massa".
Para implantar alguns de seus implantes de malware, a NSA explora vulnerabilidades de segurança em navegadores de Internet comumente utilizados, como o Mozilla Firefox e Internet Explorer.
Hackers da agência também explorar falhas de segurança em roteadores de rede e em plugins de software populares, como Flash e Java para entregar um código malicioso em máquinas alvo.
Os implantes podem contornar programas anti-vírus, ea NSA tem ido a extremos para garantir que sua tecnologia clandestino é extremamente difícil de detectar. Um implante chamado VALIDATOR, utilizado pela NSA para upload e download de dados de e para uma máquina infectada, pode ser configurado para se autodestruir - excluindo-se a partir de um computador infectado após um tempo definido expirar.
Em muitos casos, firewalls e outras medidas de segurança não parecem representar muito de um obstáculo para a NSA. Na verdade, os hackers da agência parece confiante em sua capacidade de contornar qualquer mecanismo de segurança que está entre eles e comprometer um computador ou rede. "Se conseguirmos que o alvo a visitar-nos em algum tipo de navegador, provavelmente podemos possuí-los", um hacker de agência possui em um documento secreto. "A única limitação é o 'como'."

Infra-estrutura Covert

O sistema de implantes TURBINA não opera isoladamente.
Ela está ligada a, e baseia-se, uma grande rede de vigilância clandestinas "sensores" que a agência tenha instalado em diversos locais do mundo .
A sede da NSA, em Maryland, fazem parte desta rede, assim como as bases de espionagem usado pela agência em Misawa, Japão e Menwith Hill, Inglaterra.
Os sensores, o tumulto codinome, funcionam como uma espécie de arrastão vigilância de alta tecnologia, monitoramento de pacotes de dados que são enviados através da Internet.
Quando os implantes TURBINA exfiltrate dados de sistemas de computador infectado, os sensores de tumulto identificar automaticamente os dados e devolvê-lo à NSA para análise. E quando as metas estão se comunicando, o sistema TURMOIL pode ser usado para enviar alertas ou "dicas" a turbina, permitindo o início de um ataque de malware.
A NSA identifica alvos de vigilância com base em uma série de dados "seletores", como eles fluem através de cabos de internet. Estes seletores, de acordo com documentos internos, podem incluir endereços de email, endereços IP, ou as "cookies" únicas contendo um nome de usuário ou outras informações de identificação, que são enviados para o computador de um usuário por sites como o Google, Facebook, Hotmail, Yahoo e Twitter .
Outros seletores os usos da NSA pode ser adquirida a partir de cookies de publicidade do Google únicas que rastreiam os hábitos de navegação, impressões digitais de chave de criptografia únicas que podem ser rastreados para um usuário específico, e os IDs de computador que são enviados através da Internet quando um computador trava do Windows ou atualizações.
Além do mais, o sistema de turbina opera com o conhecimento e apoio de outros governos, alguns dos quais têm participado nos ataques de malware.
Classificação marcações nos documentos Snowden indicam que NSA compartilhou muitos de seus arquivos sobre o uso de implantes com os seus homólogos no chamado Cinco Olhos aliança vigilância - o Reino Unido, Canadá, Nova Zelândia e Austrália.
GCHQ, a agência britânica, assumiu um papel particularmente importante para ajudar a desenvolver as táticas de malware. O Menwith Colina base de espionagem por satélite que faz parte da rede de tumulto, localizado numa zona rural do norte da Inglaterra, é operado pela NSA em estreita cooperação com GCHQ.
Documentos ultra-secretos mostram que a base britânica - referida pela NSA como "MHS" para Hill Station Menwith - é um componente integral da infra-estrutura de malwares turbina e tem sido usado para experimentar com implantes ataques "exploração" contra usuários do Yahoo e Hotmail.
Em um documento datado de 2010, pelo menos cinco variantes do método de hackear QUANTUM foram listados como sendo "operacional" no Menwith Hill. O mesmo documento também revela que GCHQ ajudou a integrar três das capacidades de malware Quantum - teste e outros dois - como parte de um sistema de vigilância que atua INSENSER codinome.
GCHQ cooperou com os ataques de hackers, apesar de ter reservas sobre a sua legalidade. Um dos arquivos de Snowden, anteriormente divulgadas pela emissora sueca SVT, revelou que recentemente, em abril de 2013, GCHQ foi aparentemente relutantes em se envolver na implantação de malware QUANTUM devido a "restrições legal / política." Um representante de uma unidade da britânica agência de vigilância, em reunião com um comitê de padrões de telecomunicações obscuro em 2010, separadamente expressaram preocupações que a realização de "activos" ataques de hackers para a vigilância "pode ​​ser ilegal" sob a lei britânica.
Em resposta a perguntas de O Intercept , GCHQ se recusou a comentar sobre o seu envolvimento nas operações de hacking secretas. Citando a sua resposta padrão a investigações, disse a agência em um comunicado que "todo o trabalho de GCHQ é realizada de acordo com um quadro legal e política rigorosa que garante que nossas atividades são autorizadas, necessárias e proporcionais, e que não há fiscalização rigorosa. "
Sejam quais forem os assuntos legais do Reino Unido e dos Estados Unidos infiltrando redes de computadores, os arquivos Snowden trazer em foco as implicações mais amplas. Sob o manto de sigilo e sem debate público, tem havido uma proliferação sem precedentes de técnicas de vigilância agressivos. Uma das principais preocupações da NSA, de fato, parece ser que suas táticas clandestinas estão agora sendo adotada por concorrentes estrangeiros, também.
"Hacking roteadores tem sido um bom negócio para nós e nossos parceiros de cinco-olhos por algum tempo", observa um analista da NSA em um documento ultra-secreto datado de Dezembro de 2012. "Mas é cada vez mais evidente que outros Estados-nação estão aprimorando suas skillz [sic] e juntando a cena."
---
Documentos publicados com este artigo:
FONTE:
https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/
Share:

0 comentários:

Postar um comentário

Faça seu comentário aqui ou deixe sua opinião.

Observação: somente um membro deste blog pode postar um comentário.

SUA LOCALIZAÇÃO, EM TEMPO REAL.

Blogger Themes

Total de visualizações de página

Seguidores deste canal

Arquivo Geral do Blog

Minha lista de Sites e Blogs Parceiros

Translate this page

Hora Certa