ה-NSA והמפגש עם האירוניה

מי שנמצא בתחום אבטחת מידע ועוקב אחרי החדשות, יזכור בוודאי את הסיפור שהיה לפני כשנתיים עם חברת Huawei וחברת ZTE הסיניות. מדובר ב-2 חברות סיניות גדולות שרצו למכור בארה"ב ציוד תקשורת בכל הרמות – החל מהרמה הביתית (מודמים DSL וכבלים) ועד לרמה של נתבי תקשורת לסיבים, מתגים חכמים וכו' – וכל זאת במחיר זול משמעותית ממחיר מהציוד שמיוצר ע"י חברות אמריקאיות.

מכיוון שחברות אמריקאיות לא אהבו את הרעיון, הם שכרו לוביסטים והחלו לפמפם כל מיני חששות. אחרי הכל, אם הממשל הסיני משקיע כספים באותן חברות תקשורת גדולות, מה מונע מהממשל לבקש מהיצרניות ליצור "דלתות אחוריות" כך שהממשל הסיני בעת רצון יוכל להאזין לתקשורת היוצאת והנכנסת? לא עזרו כל נסיונות ההסברה של נציגי אותן חברות סיניות שהסבירו שוב ושוב שכל בקשה כזו מהממשל הסיני משולה להתאבדות פיננסית, ואם יש משהו אחד שהממשל הסיני לא אוהב – זה לראות את כספו יורד לטמיון. הסנאט בארה"ב בראשות הסנטור מייק רוג'רס הקימו ועדה ש"חקרה" את הנושא והם הוציאו דו"ח מיוחד, אתם יכולים לקרוא אותו כאן (זה קובץ PDF)..

בסופו של דבר אותן חברות סיניות החליטו שהם יתמקדו בשוק הפרטי ולא יכנסו לשוק הארגוני ושוק ה-Telco.

אבל, אתם יודעים, החיים – מלאים באירוניה.

תודות לאדוארד סנואדן (שהוא הכאב ראש הכי גדול שהיה עד כה לסוכנות ביון כלשהי) בשיתוף דר ספיגל והניו יורק טיימס – היום נחשף מסמך שבהחלט גרם לכמה אנשים גבה. מתברר שבזמן שהסנאט האשים את Huawei ו-ZTE בכל מיני האשמות, ה-NSA כבר פרץ לשרתים של Huawei, ניטר שיחות בין בכירים וכבר הגיע לשלב שהם (ה-NSA) רצו להתקין על אותן נתבים ש-Huawei תמכור – דלתות אחוריות כך שה-NSA יוכל להאזין ישירות ללקוחות ש-Huawei מוכרת להן ציוד, כלומר בזמן שהאמריקאים מאשימים את אותן חברות, ה-NSA בדיוק עושה הפוך.

אני משער שכבר היום הסינים יתחילו לבצע Auditing ברמת הביט לכל קובץ שקיים וציודים יוחלפו במהירות. הלכה הפריצה של ה-NSA.

לפחות בשנתיים שלוש האחרונות מפמפמים לנו כמה הסינים הם הנבלות שמתקיפים התקפות סייבר את ארה"ב ושאר מדינות. זה כנראה נכון, אבל ה-NSA עוקף את הסינים בכל מובן אפשרי. הסינים מסוגלים ליזום התקפות סייבר, אבל רק לאחרונה דווח של-NSA יש יכולת חדשה מעניינת: את היכולת להקליט שיחות של מדינה שלמה!! לא מדובר על איזה Meta Data, אלא הקלטה קולית של כל השיחות!

ל-NSA אין גבולות. פעם הם היו עושים את הדברים תחת כסות של "פעילות לחיסול הטרור", אבל כפי שההדלפות מראות, ה-NSA ממזמן כבר שכח את עניין הטרור והוא עסוק בלהאזין ולחפש איך לפרוץ לכל מיני מדינות גם כשאין שום קשר לטרור. פעם האשימו את הסינים בפריצה ובריגול מסחרי, ומתברר עתה שהאמריקאים מקדימים בהרבה את הסינים ועושים זאת בצורה הרבה יותר גדולה.

ועוד משהו אחד שלא כך כך קשור: שר הבטחון שלנו, האיש והפה-שלא-נסגר – בוגי יעלון הצליח בשבוע האחרון שוב להעליב את האמריקאים ושוב לזלזל בהם. חבל ששר הבטחון שוכח שחלק מהפרוייקטים שיחידה 8200 מקבלת מהדוד סם – הוא DATA לעשות עליו כל מיני פעולות וללמוד איך אפשר להוציא ממנו נתונים משמעותיים (ה-NSA לא יכול לעשות את זה על אזרחים אמריקאיים, אז הם נותנים לישראלים, לבריטים ועוד 3 מדינות – לעשות את העבודה הזו. עקיפה של הקונגרס).

על שקרים, פראנויה, מחשבים וריגול סיני

ID-100101196בשנתיים האחרונות התפרסמו הרבה מאמרים וחדשות לגבי כל מיני חברות היי-טק שחשודות בכך שמוצריהן מכילים כל מיני "דלתות אחוריות" המאפשרות לכל מיני גורמים לחדור אל המערכות החשובות של הלקוחות, אותם לקוחות שרכשו בכספים רבים מערכות תקשורת ועוד.

לפני כשנה היה הסיפור על 2 חברות הענק הסיניות ZTE ו-Huawei שרצו למכור ציוד תקשורת לארגונים ממשלתיים ולחברות תקשורת ממשלתיות, אך הפוליטיקאים בוושינגטון החליטו לפתוח בציד מכשפות תוך האשמות שאותן חברות מחפשות בעצם לרגל מתוך המערכות של הלקוחות. ההאשמה המרכזית? מכיוון שבהנהלות של ZTE ו-Huawei יושבים אנשים שהם בכירים במפלגה השלטת בסין, הממשל הסיני (שגם מושקע כספית באותן חברות, אגב) ילחץ על אותן חברות להתחיל לרגל. כל נסיונות 2 החברות הסיניות להסביר לנציגי הוועדת שרותי בטחון כי הוראה כזו מצד הממשל תהיה התאבדות של אותן חברות, ובסופו של דבר אותה ועדה המליצה כי גופים ממשלתיים לא ירכשו מאותן חברות ציוד תקשורת, מחשבים וכו'.

thinkpad w530מ-ZTE ו-Huawei נעבור לחברת ענק סינית אחרת שכולם מכירים: Lenovo. דו"ח חדש שפורסם באוסטרליה מגלה כי ארגונים רבים לא מוכנים להשתמש במחשבי לנובו אם התוכן שמוכנס במחשב הוא תחת הגדרה של "סודי", "סודי ביותר" ומעלה בשל החשד ש… ניחשתם נכון, שהממשל הסיני מחפש לחדור דרך המחשבים הללו אל אותם ארגונים ו"לשתות" את המידע הסודי. לנובו, שגם כך נחקרת ע"י האמריקאים על אותו חשד, טוענת כי היא בודקת את הנושא.

אז מה יש לנו כאן בעצם? גופי בטחון שחושדים בחברות ענק סיניות שמוצריהן יאפשרו לממשל הסיני לחדור, להעתיק ולרגל אחר סוכנויות הביון וגופים אחרים.

האם יש בעצם "בשר" לחשדות האלו? האם יש בהם ממש או שהפראנויה כאן תופסת גבהים חדשים?

בוא נתחיל עם עניין הריגול. האם הסינים באמת מרגלים אחרי האמריקאים? התשובה הפשוטה היא בהחלט. הסינים מרגלים כבר שנים רבות אחרי האמריקאים והם מנסים לפרוץ כל דבר שאפשרי לפרוץ, ובדרך גם להעתיק, לגנוב, איך שתרצו לקרוא לזה. זה לא שמדינות אחרות לא עושות את אותו דבר, גם האמריקאים בהחלט מרגלים אחרי הסינים וגם הרוסים מרגלים אחרי הסינים והאמריקאים והאירופאים מרגלים אחרי המדינות הנ"ל ומדינות אחרות וגם אנחנו בקלחת הזו. ההבדל הגדול? הסינים פיתחו את זה לדרגת אמנות. קחו לדוגמא את המאמר הזה, בו מתאר חוקר האבטחה קייל ווילהולט איך צבא הפורצים הסיני ניסה לפרוץ למערכות מים (המערכות הן היו מערכות דמה) ושימו לב מה קייל מציין – לא מדובר בנסיון פריצה של איזה ילד משועמם, הפורצים הסינים ידעו בדיוק לאיזו מערכת הם נכנסים ומה הם צריכים לעשות מבחינת שימוש בחורי אבטחה וכו', כלומר אותו צבא פורצים סיני עובד במספר "שכבות" של איסוף מידע, מחקר לגבי אותו מידע וכו' וכו'.

מהריגול נחזור למחשבים של לנובו. האם באמת יש בהם איזו "דלת אחורית" שדרכה הממשל הסיני יוכל לחדור ו"לשתות" את המידע הסודי במחשבים? אני מאמין שלא מסיבה פשוטה אחת: המחשבים הללו הם בסופו של דבר כמו של המתחרים. לנובו לא מייצרים את כל חלקי המחשב, הם מייצרים את המעטפת, הלוח וחלק קטן מאוד מהשבבים (במיוחד את ה-TPM שמיוצר עדיין ע"י IBM). שאר השבבים נרכשים ע"י לנובו מספקים חיצוניים אחרים בדיוק כמו שהמתחרים רוכשים. אני יכול להבין שעניין אחסון חומרים סודיים וכו' הוא דבר בעייתי על מחשבים, אבל זה כבר לא קשור ללנובו. מה שמחשב PC מתוצרת חברה X נותן לך, גם מחשב מתחרה יכול לתת לך.

טכנית, ניתן כמובן לשלב "דלתות אחוריות" בתוך הדרייברים ואולי באפליקציות שמגיעות איתו, כמו שניתן לשלב "דלתות אחוריות" גם במתגים, נתבים וכו'. לא צריך להיות גאון כדי לבצע זאת, אך גם לא צריך להיות גאון כדי להציע משהו פשוט כדי לסיים את החשדות בין אותם ארגוני בטחון וחברות לבין אותם יצרניות – ניתן להקים גוף עצמאי לחלוטין שיקבל את קוד המקור מהיצרן, יעבור עליו ויבדוק אם יש דלתות אחוריות, יקמפל את הקוד, יחתום עליו והיצרנים יצטרכו להתקין אך ורק את אותו קוד חתום. כל תיקון ועדכון יעבור דרך אותו גוף שיוציא טלאים חתומים עם מפתחות מוצפנים – ואותו גוף יעביר את הקבצים לאותם לקוחות. 

לפני מספר שנים האשימו גופי ממשל כמו רוסיה ומדינות אחרות את מיקרוסופט בכך שקוד ה-Windows שלה כולל דלתות אחרות סודיות ואותן ממשלות איימו להפסיק לרכוש את מוצרי מיקרוסופט. מיקרוסופט נעמדה על הרגליים האחוריות ונלחמה בהאשמות הללו. אחד מהצעדים שמיקרוסופט נקטה – היא שלחה לגופי הבטחון של ממשלות רבות את קוד המקור של Windows כדי שיוכלו לראות בעצמם שאין שום קוד לדלת אחורית, והפרשה הסתיימה. נחזור ל-2013 ולמדליף הסדרתי סנאודן שגילה לעולם משהו פשוט: ה-NSA לדוגמא, לא ממש צריך את הדלתות האחוריות במערכת ההפעלה של מיקרוסופט. הוא מגיש למיקרוסופט צו שחתום ע"י שופט שקשור ל-FISA ומיקרוסופט אפילו לא מערערת. להיפך – מיקרוסופט פיתחה כלים כדי של-NSA וגופים אחרים יהיה קל לשלוף כל דבר שקשור אליה. משתמש ב-Outlook.com? סקייפ? אולי XBOX או שלל שרותים נוספים? מיקרוסופט תשמח לתת כל מידע על איזה אזרח שה-NSA תרצה בלי למצמץ. ה-NSA לעומת זאת לקח את זה הרבה יותר קדימה – כל חברת תקשורת חויבה להקים חדר במרכז התקשורת (של אותה חברה) ול-NSA תהיה גישה תוך 30 דקות מרגע בקשת ההאזנה ומנהלי החברה אפילו לא יכולים לדעת על כך. כך ה-NSA יכולים בקלות לצוטט לכל תקשורת נכנסת ויוצאת מארה"ב. 

אז מה יש לנו כאן בסופו של דבר? ריגול קיים בכל מקום בין מדינות, אויבות או ידידות. ה-NSA ושאר גורמים כבר ממזמן מאזינים בלי שום בעיה לאזרחי ארה"ב (מצריך צו אבל השופט משמש כחותמת גומי בין כה), וכמובן לשאר תושבי העולם תוך שיתוף ארגוני ביון אחרים במקרים מסויימים (ובמקרים אחרים – מתחת לאף של אותם ארגוני ביון). הסינים ממזמן מרגלים והם לא צריכים את גישת המתגים ונתבים של Huawei או ZTE, הם יודעים לנצל פרצות אחרות. האמריקאים לא סומכים על החברות הנ"ל, אבל אם תסתכלו על תוכנית הצנזורה של ממשלת בריטניה, החברה שתשלוט בתקשורת האינטרנט שיוצאת ונכנסת כדי לממש צנזורה ("פורנוגרפיית ילדים"… כן, בוודאי…) היא … Huawei! אותה חברה שהאמריקאים חושדים בה, הבריטים נותנים לה את השאלטר הראשי לתקשורת האינטרנט בבריטניה. 

ניתן לסגור פרצות רבות שימנעו מגורמים כמו הסינים לחדור ובעתיד להרוס תשתית, אולם לשם כך יש צורך בהסברה ובדברים יותר אקטיביים כדי לבדוק שהפריצות לא קיימות, ואת זה רבים לא עושים. לאו דווקא מתוך עצלנות, אלא יותר מבורות. "יש לי Firewall, הוא בטח מגן עליי מכל בעיה ופריצה" – את המשפט הזה שמעתי פעמים רבות מאנשים שאמורים היו להבין ש-Firewall לא יכול לחסום את רוב הפריצות הידועות כיום. הבעיה היא לא במתגים או נתבים של החברות הסיניות והם לא המחשבים של לנובו, הבעיה היא בצורת ההגנה (אם נעשית הגנה רצינית בכלל), ההשגחה והכי חשוב – האכפתיות (לתשומת לב משרד האוצר: השכרת אנשים דרך חברות "גולגלות" שטוענים שהם "מומחי אבטחה" בשעה שחתול רחוב מבין יותר מהם – זו לא דרך להגן על התשתיות!). עד שארגונים וחברות לא יקחו את הדברים ברצינות וישקיעו באנשים ובהגנות רציניות – הם יהיו פתוחים לריגול של הסינים ושלל גורמים אחרים.