Od Anonymous k spravodajským službám

Trocha o pozadí „útoku“ na koreňové DNS servery

„Anonymous“ je „obchodná značka“, podobne ako Al Kajda. Ktokoľvek sa ráno môže zobudiť a nazvať sa Anonymous. Ak ho to po obede prestane baviť, môže sa premenovať na Al Kajda. A večer si vymyslieť novú „obchodnú značku“. Od Anonymous existuje spústa rôzne pomenovaných „odnoží“ („splinter cells“) a za tou značkou sa skrýva všelikto od 12ročných detí až po spravodajské služby.

Napríklad kým je jasné, že za DDoS „demonštráciami“ budú predovšetkým aktivisti a script kiddies, v niektorých prípadoch nie je až tak jednoduché rozlíšiť. Stačí vzať humbuk okolo nedávneho „Anonymous útoku“ na koreňové DNS servery: tipujem, že to ohlásili buď nejaké deti, čo nevedia význam „anycast“, alebo za tým bola niektorá „agentúra s trojpísmennou skratkou“ z USA – im veľmi vadí necenzurovaný internet, ako je dosť často vidieť z vyhlásení NSA a US administratívy.

Prečo by to nejaká NSA robila? Pretože operácia pod „falošnou vlajkou“ je už dlho obľúbenou a hlavne efektívnou taktikou. Ironicky tak všetky strany používajú teroristické praktiky a obviňujú z terorizmu oponenta. Rozdiel je len v množste „pocukrovania“ zdaním legitimity v zákonoch apod. Zákony nikdy neboli prekážkou plošnému odpočúvaniu. Typicky to funguje tak, že sa to robí tajne a až keď to praskne v nejakých novinách, vytvorí sa zákon, aby to bolo právne „v poriadku“.

Najväčšie demokracie na svete – Rusko, Čína a ďalšie – údajne zašli až tak ďaleko, že chcú ovládnuť internetovú infraštruktúru cez United Nations spolu s orgánmi ako Internet Society a Internet Engineering Task Force (v skratke sa mnohým nepáči, že najviac vplyvu nad DNS a internetom má USA cez IANA a ICANN). Na druhej strane článok The Register spochybňuje faktuálnosť predchádzajúceho článku. Ale netreba byť „raketovým chirurgom“, aby človek prišiel na to, že po pokusoch ako COICA, SOPA, PIPA, ACTA, PCIP to zďaleka nekončí. Štyria jazdci infokalypsy (teroristi, díleri dog, pedofilovia a organizovaný zločin) poskytnú vždy vhodnú zámienku na cenzúru nezávisle od krajiny.

Anonymous „opravuje“ internet v Afrike a na Blízkom východe

Táto časť príbehu sa príliš neobjavovala v mainstreamových médiách, pretože je zrejme „nedostatočne bulvarizovateľná“. Krátko po vypuknutí revolúcie v Egypte vláda vypla internet. Anonymous našli niekoľko ciest od distribúcie pašovaných satelitných telefónov („satfon“) až po používanie „prastarých“ metód ako analógové modemy. Pašované satfony sa stali takmer „modus operandi“ pri podobných udalostiach v regióne. Jeden z neočakávaných dôsledkov je, že Sýria používa signál zo satfonov na hľadanie cieľov pre delostrelectvo.

Keď už Vodafone nedávno predviedol tú PR piruetu s FUP, tak prisadím ako Vodafone obhajoval vypnutie internetu v Egypte: dookola opakoval „My vždy jednáme podľa platných zákonov.“ (štvorminútový excerpt z 28C3 prednášky „How governments have tried to block Tor“, výrok Vodafonu začína o 3:40).

V archívoch egyptskej tajnej polície sa našli ďalšie zaujímavé materiály, trebárs o Finfisher trojane. Trojan je určený na „zákonné sledovanie“, pre „inštaláciu“ sa využívajú niektoré diery, napr. nechválne známy bug v iTunes, ktorého oprava trvala asi 3 roky. PR video Finfisheru je tiež celkom vtipné (začiatok cca 25:20).

V Sýrii sa pre zmenu objavili Blue Coat zariadenia na filtrovanie internetu. „Vtipné“ je to o to viac, že na ich vývoz do Sýrie je embargo. To ale ešte nikdy nikoho nezastavilo. Kým aktivisti dokázali ich existenciu a našli dokonca anonymné FTP s logmi, firma Blue Coat dlho zatĺkala – aj keď každý Blue Coat „volá pravidelne domov“ s unikátnym ID. Sýria údajne má najrozsiahlejší data retention systém – ukladá absolútne všetky dáta na sieti. Vzhľadom na počet užívateľov to nie je až tak problematické. Nepríjemný dôsledok je, že ak niekto napr. ukradne RSA/DSA/ECC kľúč, tak ním môže spätne dešifrovať protokoly, ktoré nepoužívajú cipher suites zaručujúce perfect forward secrecy. V paródii na Star Wars – Spaceballs – má prezident rovnaké heslo 12345 ako Bashar al-Assad (prezident Sýrie). Assadovci majú bombardovanie civilného obyvateľstva v rodine – Basharov otec Hafez al-Assad v 1982 nechal zbombardovať dedinu Hama.

Prípad hacknutý STRATFOR

STRATFOR je súkromná spravodajská služba, dalo by sa povedať ekvivalent CIA Directorate of Intelligence, akurát súkromný. Každý, kto si zaplatí, môže odoberať správy a analýzy. Tiež som tam mal účet asi rok pred tým než ho hackli v decembri 2011, predplatné som zrušil asi dva mesiace pred hackom. V „obyčajných“ platených službách nebolo nič extra tajné, ale bolo to dosť zaujímavé pre každého, kto sa zaujíma o aktuálne dianie vo svete a paralely s históriou. Až na občasné strašenie Hizbaláhom, Iránom, AQAP, „fandenie“ USA a Izraelu to boli väčšinou veľmi dobré analýzy. Na rozdiel od analýz sa asi nič dobré o ich IT bezpečnosti povedať nedá, tá bola na prvý pohľad úplne odfláknutá (šetrili na blbom mieste). Dokonca FBI ich pár dní pred hackom varovala, ale nedali si povedať.

Po hacku vyšlo najavo mnoho vecí, ako je previazanosť na vládne organizácie v US a s „klasickými“ spravodajskými službami ako Mossad. Čo nie je nič prekvapivé. Oveľa zaujímavejšia je ich sieť „insiderov“ (informátorov), neverejné informácie a ich praktiky v získavaní informácií. Od vydierania cez podplácanie až po založenie fondu StratCap, ktorý je defacto založený na insider tradingu, ktorý je trestný.

Dáta z hacku (databáza mailov atď.) predali Anonymous do rúk Wikileaks, ktoré ich postupne zverejňujú. Kvôli spolupráci Sabu s FBI bol zatknutý Jeremy Hammond, ktorý má byť zodpovedný za Stratfor hack. Tu si myslím že sa s veľkou pravdepodobnosťou trafili do skutočného páchateľa. Súkromní kontraktori pravdepodobne tie dáta už „potichu“ získali dávno, v Číne aj inde zistili, že je to veľmi výnosný biznis – nekazili by si ho publikovaním.

V rôznych firmách, kde pôsobili „insideri“, je teraz pravdepodobne „veselo“.

Bonus: za Stuxnet-om je Mossad

Za Stuxnet-om je Mossad, ako priznal bývalý šéf Mossadu Meir Dagan (plus časť vývoja „spáchalo“ US Idaho National Laboratories). Ten fakt je dávno verejne známy, aj keď možno nie príliš rozšírený. Nie že by to bolo prekvapivé, ale v tomto prípade zvolili „rozumnú“ cestu: Dagan sa chcel vyhnúť otvorenej vojne. Nie je to rozhodne čisté riešenie (v tomto „biznise“ čisté riešenie neexistuje), ale v tomto prípade nie je veľa možností (vyhnutie sa otvorenej vojne má vysokú prioritu). V súčasnej situácii sa Izrael snaží vyzerať „trigger-happy“, Irán sa snaží tváriť „že útok je príliš nákladný“ a US sa snaží tváriť „už vedieme dve vojny a ďalšiu by sme žiadnym ďalším klamaním neutiahli a nedofinancovali“. Viz analýzu od hacknutého Stratforu.

Z internetu bude stále väčšie bojisko (v technickom i právnickom zmysle)

V roku 2011 bolo výrazných niekoľko trendov:

• revolúcie (Tunisko, Egypt, Líbya)
• pokusy o revolúcie (Sýria, Jemen, Bahrajn, Irán, Alžírsko, …)
• mnohé demonštrácie (štýlu „Occupy Wallstreet“ v rôznych krajinách vrátane USA, Izraela a západnej Európy)
• pokusy o zákony na cenzúru/kontrolu internetu (spomínané SOPA, PIPA, ACTA, PCIP, a ďalšie artefakty „honu na sťahovačov“)
• …ale predovšetkým bol rok 2011 bezprecedentný v miere hacktivizmu: počet incidentov už nejde ani z hlavy spočítať (mnohé v réžii LulzSec/AntiSec)

O dopade tohoto hacktivizmu na IT security napísal Matthew Green zhrnutie Why Antisec matters. Najskôr bude „prituhovať“ na všetkých frontách, hlavne na internete, pretože všetky uvedené body majú internet ako dôležité pojítko.

NSA už „dlho a tvrdo“ pracuje na „riešení problému s komunikáciou“, stavajú obrovské datacetrum pre skladovanie a krytoanalýzu exabajtov dát. Bruce Schneier napísal komentár k schopnosti NSA lámať AES a iné šifry (v skratke: správ so starým slabým kľúčom je mnoho a na silnejšie pôjdu asi cez postranné kanály).