بی‌استفاده بودن انگشت‌نگاری سنتی

قبلا در نوشته شفافیت حکومتی در زیرساخت‌ها در مورد گزارش‌های Daily Open Source Infrastructure گفته بودم. تغییراتی که ۱۱ سپتامبر در زیرساخت دولتی آمریکا (خارج از حکومت حزبی جاری) در طول ۳ دوره گذشته داشته، به نظر من برای خیلی از کشورها (و حتی سازمان ها) می تواند اثر بخش باشد.

امروز (همزمان با استفاده از سیستم اضطراری اطلاع رسانی بی‌سیم بر روی همان لیست پستی ایمیل دیگری ارسال شد با محتوای نقص در سیستم انگشت نگاری فدرال و استفاده ۸۵۸ نفر از این نقصان امنیتی و ورود به آمریکا بعد از اینکه برخی از آن ها با هویت دیگر دیپورت شده بودند. باز هم نکته ای که برای من جالب بود ارایه اطلاعات تقریبا کامل، بیان علت مشکل و ذکر راه حل در نظر گرفته شده برای کم کردن خسارت بود.

کلیات داستان این بوده که بخش زیادی از انگشت نگاری هایی که به صورت سنتی (کاغذی) پیش از سال ۲۰۰۸ اسکن شده بودند به خوبی دیجیتالی نشده بودند و در نتیجه توانایی پیدا کردن افراد رو نداشتند. البته این روزها خوب اثر انگشت خیلی بهتر در آیفون‌ها ذخیره می شود :)) بعدا باید در مورد پروژه پر سر و صدای Next Generation Identification بنویسم.

دوست داشتید بخونید: Potentially Ineligible Individuals Have Been Granted U.S. Citizenship Because of Incomplete Fingerprint Records

rcmp-c216-c-fingerprinting-example

داده‌های منتشر شده از vDOS

سرویس های که vDOS در وب سایت های زیر زمینی و بسیاری از فروم های اینتنرتی مدت ها در حال تبلیغ بود در دو هفته گذشته خبرهای زیادی درست کرده است. درآمد حداقلی ۶۰۰هزار دلاری در دو سال گذشته (از آب کره گرفته) و احتمالا خیلی بیشتر از این (سرویس از سال ۲۰۱۱ در حال خرابکاری بوده است.) باعث اعتماد به نفس صاحبان سرویس شده بود و بعد از اینکه در خصوص روش های DDOS مقاله ای منتشر کردند باعث شروع ردیابی و بعد هم دستگیری اولیه برای خودشون شدند. هفته گذشته Krebs on Security مطلبی در این خصوص منتشر کرد و با حمایت Cloudflare بخشی از لاگ فایل های این سایت رو نیز منتشر کرد. این لاگ فایل ها برای ۴ ۵ ماه گذشته است و نام کاربری سفارش دهنده، زمان سفارش و آدرس ارسال ترافیک رو در این فایل می تونید پیدا کنید.

متاسفانه این مطلب به روش عجیبی در یک بلاگ فارسی به روشی عجیب بیان شده است و بدون تحلیل کافی فقط چند نام در آن استفاده شده است. خیلی مهمه که توی این مدل افشای اطلاعات بیشتر به دلایل تجاری این کارها فکر کنید (دقت کنید فقط موضوع kiddo بازی نبوده) و مراقب سو استفاده رسانه های خبری هم باشید.

آدرس‌ها و زمان اجرا نیاز به بررسی خیلی دقیق‌تری داره، ولی شاید لازم باشه به جز احتمال حمله و خرابکاری، هدایت ترافیک رو هم در نظر گرفت. به عنوان یک نمونه یک ارتباط غیرقابل اثبات رو حداقل در تاریخ ها میشه دید:

1

نظارت کاربران موبایل و IMSI Catcher

بعد از نوشته جاسوسی همه جانبه به نظرم رسید، در خصوص تکنولوژی‌ها، قوانین و محدودیت‌های مرتبط با جاسوسی و جمع‌آوری اطلاعات بیشتر بنویسم. در این سری نوشته‌ها ابتدا از زیرساخت‌های قانونی و بعد هم در خصوص تکنولوژی‌های مورد استفاده صحبت خواهم کرد. لازم به ذکر است این نوشته‌ها به صورت شخصی و برای آشنایی با زیرساخت‌های امنیت اطلاعات نگارش می‌شوند و غیر قابل استناد، استفاده و تحلیل می‌باشند. اولین بخش با عنوان زیرساخت‌ رهگیری قانونی بود. نوشته دوم با عنوان هزینه‌ی نظارت را در ادامه می‌توانید مطالعه کنید.

هزینه‌ی نظارت

مجله‌ی حقوق آنلاین ییل، به تازگی مقاله‌ای در مورد هزینه‌های نظارت و مکان‌یابی افراد منتشر کرده است.  مقاله‌ی Tiny Constables and the Cost of Surveillance: MakingCents Out of United States v. Jones در ادامه حکم چند دادگاه آمریکایی در مخالفت با ردیایی طولانی مدت افراد و نقض حریم خصوصی‌ آن‌ها نگارش شده است.  در این مقاله با بررسی چند روش نظارت افراد مانند تعقیب با ماشین، تعقیب با پای پیاده، استفاده از GPS Tracker ها و یا استفاده از تلفن‌های همراه هزینه‌های حدودی هر یک از این روش‌ها به همراه سربارهای رایج پیش‌بینی شده است.

ادامه‌ی خواندن

CALEA و رهگیری و شنود قانونی

بعد از نوشته جاسوسی همه جانبه به نظرم رسید، در خصوص تکنولوژی‌ها، قوانین و محدودیت‌های مرتبط با جاسوسی و جمع‌آوری اطلاعات بیشتر بنویسم. در این سری نوشته‌ها ابتدا از زیرساخت‌های قانونی و بعد هم در خصوص تکنولوژی‌های مورد استفاده صحبت خواهم کرد. لازم به ذکر است این نوشته‌ها به صورت شخصی و برای آشنایی با زیرساخت‌های امنیت اطلاعات نگارش می‌شوند و غیر قابل استناد، استفاده و تحلیل می‌باشند. اولین بخش با عنوان زیرساخت‌ رهگیری قانونی را در ادامه می‌توانید مطالعه کنید.

زیرساخت رهگیری قانونی

در دهه‌های ۸۰ و ۹۰ میلادی، دولت آمریکا برای کنترل، تسلط و پیگیری از قدرت اطلاعاتی در شبکه‌های تلفنی (که در آن زمان شبکه‌های مبتنی بر سوییچ‌های مخابراتی بودند) قوانین متعددی ایجاد کرد. این قوانین پس از تغییرات و آزمون و خطاهای بسیاری به تصویب قانون تسهیلات ارتباطی برای اعمال قانون، تبدیل شد. در سال ۱۹۹۴ با تصویب Communications Assistance for Law Enforcement Act کلیه‌ی شرکت‌های مخابراتی و فراهم‌کننده‌ی خدمات دسترسی (بدون هیچ استثنایی)  موظف شدند، روش‌هایی برای امکان ایجاد دسترسی به اطلاعات مشتریان و کاربران به مقصود اعمال قانون و یا دلایل دیگر اقدام کنند. با اینکه این قانون به صورت خاص برای استفاده در ایالات متحده‌ی آمریکا تدوین شده است، اما بیشتر کشورها تقریبا از مفادی شبیه به همین قانون استفاده می‌کنند. همچنین با توجه به استفاده‌ی گسترده از محصولات شرکت‌های آمریکایی و همچنین درخواست شرکت‌ها برای عرضه‌ی محصولات در سطح آمریکا، پشتیبانی از CALEA به یک عادت گسترده در سطح دنیا تبدیل شده است.  CALEA این موضوع را در متن قانون به این صورت بیان می‌کند:

To amend title 18, United States Code, to make clear a telecommunications carrier’s duty to cooperate in the interception of communications for Law Enforcement purposes, and for other purposes.

نکته‌ای که CALEA را به موضوع مهمی تبدیل می‌کند، استفاده از دو عبارت است:

  • carrier’s duty اشاره‌ای دارد به وظیفه‌ی شرکت‌ها، اپراتورها، فراهم‌کننده‌های سرویس‌های مخابراتی و دیتا و هر سازمان دیگری که ارتباطات را فراهم می‌کند، برای ایجاد دسترسی. به عبارت دیگر، دولت آمریکا، سازمان‌های جاسوسی،  FBI و یا هر دادگاهی که به این اطلاعات نیاز داشته باشد، دخالتی در روش جمع‌آوری این اطلاعات نخواهد داشت و فقط دسترسی به اطلاعات را نیاز خواهد داشت. باز هم به عبارت دیگر این وظیفه‌ی شرکت‌هاست تا به روش مطمئنی امکان ایجاد دسترسی را فراهم کنند.
  • other purposes امکان هر استفاده‌ای در جهت نیاز کشور آمریکا (نه تنها دولت آمریکا) را فراهم می‌کند. این نیاز می‌تواند لزوما به دلیل اعمال قانون نباشد.

ادامه‌ی خواندن

سیگنال‌های اطلاعات مکانی درون ویدیوها

تصاویر تعقیب و گریز توسط پلیس که معمولا با هلی‌کوپترهای خبری ضبط می‌شوند طرفدارهای خاصی دارد. خانم Oona Räisänen (یک چیزی شبیه رایزنِن به فارسی) توی یکی از این ویدیوهای یوتیوب الگوی صوتی غیرعادی می‌شوند و بر اساس مطلبی که تحت عنوان  Mystery signal from a helicopter در بلاگش منتشر کرده، می‌تواند یک جریان صوتی رو از این فیلم جدا کند.

bitteja ادامه‌ی خواندن

شش منظره – مناطقی که وجود ندارند

پایان سال ۲۰۱۳ شاهد یکی از جنجالی‌ترین کنگره‌های CCC بود. کلوب کامپیوتری آشوب سال‌هاست که در اوخر سال میلادی در یکی از شهرهای هامبورگ یا برلین کنگره‌ای را با حضور هکرهای علاقه مند به آزادی جریان اطلاعات برگزار می‌کند. سی‌امین کنگره CCC به صورت عمده تحت تاثیر افشاگری‌های اسنودن و ماجراجویی‌های گروه‌های مختلف طرفدار آزادی جریان‌های اطلاعاتی بود.

یکی از ارایه‌های متفاوت کنگره‌ی امسال توسط آقای Trevor Paglen با عنوان Six Landscapes برگزار شد. آقای پگلن یک هنرمند و عکاس است که در کتاب و پروژه‌ای تحت نام Invisible: Covert Operations and Classified Landscapes تلاش کرده است عملیات‌ها و فعالیت‌های مخفی و نیمه مخفی سازمان‌های مختلف اطلاعاتی را به تصویر بکشد. سفر به کابل و شهرهای مختلف برای آدرس‌هایی که حدس می‌زده است به عنوان زندان‌های غیرقانونی فعالیت می‌کنند و همچنین عکاسی از سایت‌های منطقه ۵۱ با لنز‌های تلسکوپ بخشی از ارایه‌ی آقای پگلن در این کنگره است.

یکی از تصاویری که جالب بود مربوط به عملیات آماده سازی Boeing X-37 است. X-37 یکی از گران قیمت‌ترین پروژه‌های مشترک DARPA، NASA و US Air Force است که توسط شرکت بویینگ در حال انجام است. این پهپاد نیمه‌فضایی تا به حال در ۳ پروازی که داشته است نزدیک به ۲۰۰ میلیون دلار از سال ۲۰۰۲ بودجه داشته است.

Boeing X-37-uav-paglen

همکاری NSA با تولیدکنندگان IT و CNCI

Comprehensive National Cybersecurity Initiative

اوایل سال ۲۰۰۸ یکی از اقدامات نهایی آقای جرج بوش، برنامه‌ی محرمانه‌ای بود تحت عنوان طرح جامع امنیت فضای مجازی ملی. (اسمش آشنا نیست؟‌ :دی) این طرح در سال ۲۰۱۰ توسط اوباما از محرمانگی خارج شد، و به صورت مختصر در مورد آن توضیحاتی داده شد. به صورت خلاصه، اهداف این طرح در ۱۲ ایده گنجانده شده است:

  1. مدیریت یکپارچه شبکه دولت فدرال تحت یک شبکه قابل اطمینان و ایمن به صورت اینترانت
  2. به کارگیری سنسورهای تشخیص نفوذ در سطح شبکه و سیستم‌های فدرال
  3. پیگیری برای بهره‌برداری از سیستم‌های مقابله با نفوذ در سطح شبکه و سیستم‌های فدرال
  4. هماهنگی و هدایت تلاش‌های مرتبط با تحقیق و توسعه
  5. متمرکزسازی و اتصال مراکز مدیریت عملیات سایبری به منظور افزایش آگاهی و موقعیت سنجی بهتر
  6. توسعه و پیاده سازی طرح‌های ضدجاسوسی سایبری (cyber counterintelligence) در سطح دولت و حاکمیت
  7. افزایش امنیت شبکه‌ی اطلاعات محرمانه و طبقه‌بندی شده
  8. گسترش آموزش سایبری
  9. تعریف و توسعه پایدار “جهش به جلو” برای فن آوری‌ها، راهبردها، و برنامه ها
  10. تعریف و توسعه استراتژی ها و برنامه‌های بازدارندگی پایدار
  11. توسعه یک رویکرد چند جانبه برای مدیریت ریسک زنجیره تامین جهانی
  12. تعریف نقش دولت فدرال برای توسعه امنیت در حوزه های زیرساخت های حیاتی

عمده‌ی انتقاداتی که در زمان علنی شدن این طرح مطرح شد، در خصوص کلی بودن و مشخص نبودن جزییات طرح بود. همانطور که خواندن این ۱۲ ایده، خاطره‌ی زیادی از طرح‌های وطنی در یاد زنده می‌کند، نتیجه‌ی این برنامه نیز مانند خیلی از پروژه‌های وطنی پوچ بود و تاثیر عمده‌ای در افزایش امنیت برقرار نکرد. همانطور که از ابتدا در خصوص نفوذ شرکت‌های فروشنده محصولات بر روی این طرح مشخص بود، هدف عمده‌ی این طرح، خرید محصولات بیشتر از تولیدکننده‌های آمریکایی بود. (مانند طرح‌های وطنی، اما با جایگزینی محصولات چینی!)

نقش NSA‌ در CNCI

مجهول بودن فعالیت آژانس امنیت ملی در طرح جامع امنیت فضای مجازی ملی با بخشی از مستنداتی که توسط گاردین منتشر شده است، کمرنگ‌تر شده است. بر اساس این مستندات و طی پروژه‌ای که نام The SIGINT Enabling برای آن انتخاب شده است، دولت فدرال از سال ۲۰۱۱ عددی در حدود ۸۰۰ میلیون دلار به صورت مستقیم برای پرداخت به شرکت‌های آمریکایی و غیر آمریکایی جهت تسهیل امکانات جاسوسی برای NSA هزینه کرده است. بخشی از اهدافی که در این پروژه مشخص شده است، عبارت است از:

  • قراردادن آسیب‌پذیری‌های قابل استفاده در محصولات رمزنگاری
  • جمع‌آوری اطلاعات اصلی و فرعی از شبکه‌های مهم (Carriers) و افزایش قدرت نفوذ به شبکه‌های مرکزی (Core Networks)
  • ایجاد قابلیت‌های تجاری برای تسهیل و امکان‌پذیری دسترسی از راه دور به تجهیزات کاربران (Endpoints)
  • حمله و نفوذ به زیرساخت‌های پردازشی خارجی (از دولت آمریکا)
  • تاثیرگذاری بر روی استانداردها و زیرساخت‌های کلید عمومی
  • ایجاد قابلیت نفوذ و سرمایه‌گذاری عمده برای امکان دسترسی به شبکه‌های بی‌سیم نسل بعدی (Next Generation Wireless)
  • حفظ روابط با شرکت‌های IT و ایجاد قابلیت دسترسی به رمز‌نگاری‌های دولتی (در سند اصلی احتمالا نام کشور و یا مدل‌های حکومتی ذکر شده است.)
  • کامل کردن دسترسی به چیپ‌های رمزنگاری که در محصولات VPN و Web استفاده می‌شوند.
  • تاثیر بر روی بازار جهانی رمزنگاری برای ایجاد امکان ردیابی توسط NSA

sigintenabling-clean-1بر اساس همین اطلاعات، بیشتر از ۷۰٪ هزینه‌ی ۸۲۰ میلیون دلاری از سال ۲۰۱۱ تا کنون، هزینه‌ی خدمات پیمان‌کاری شده است (یعنی به خارج از NSA پرداخت شده است.) و هیچ تاکیدی بر اینکه این هزینه‌ها برای شرکت‌های آمریکایی اختصاص یافته است، ذکر نشده است. به عبارت دیگر ممکن است قسمتی از این هزینه و طرح برای شرکت‌هایی خرج شده باشد که خارج از آمریکا فعالیت می‌کنند (اروپایی‌ها؟ تایوان؟ کره؟)

sigintenabling-clean-3