Aમેરિકન અને બ્રિટિશ જાસૂસોએ વિશ્વના સૌથી મોટા સિમ કાર્ડ ઉત્પાદકના આંતરિક કોમ્પ્યુટર નેટવર્કમાં હેક કર્યું, વિશ્વભરમાં સેલફોન સંદેશાવ્યવહારની ગોપનીયતાને સુરક્ષિત રાખવા માટે ઉપયોગમાં લેવાતી એન્ક્રિપ્શન કીની ચોરી કરી, એમને પૂરા પાડવામાં આવેલ ટોચના ગુપ્ત દસ્તાવેજો અનુસાર અંતરાલ રાષ્ટ્રીય સુરક્ષા એજન્સી વ્હિસલબ્લોઅર એડવર્ડ સ્નોડેન દ્વારા.
NSA અને તેના બ્રિટિશ સમકક્ષ ગવર્નમેન્ટ કોમ્યુનિકેશન હેડક્વાર્ટર અથવા GCHQ ના ઓપરેટિવ્સ ધરાવતા સંયુક્ત એકમ દ્વારા હેક કરવામાં આવ્યું હતું. આ ઉલ્લંઘન, ગુપ્ત 2010 GCHQ માં વિગતવાર છે દસ્તાવેજ, સર્વેલન્સ એજન્સીઓને અવાજ અને ડેટા બંને સહિત વિશ્વના સેલ્યુલર સંચારના મોટા ભાગ પર ગુપ્ત રીતે દેખરેખ રાખવાની ક્ષમતા આપી.
ગુપ્તચર એજન્સીઓ દ્વારા નિશાન બનાવવામાં આવેલી કંપની, Gemalto, નેધરલેન્ડ્સમાં સમાવિષ્ટ એક બહુરાષ્ટ્રીય ફર્મ છે જે મોબાઇલ ફોન અને નેક્સ્ટ જનરેશન ક્રેડિટ કાર્ડ્સમાં વપરાતી ચિપ્સ બનાવે છે. તેના ગ્રાહકોમાં AT&T, T-Mobile, Verizon, Sprint અને વિશ્વભરના લગભગ 450 વાયરલેસ નેટવર્ક પ્રદાતાઓ છે. કંપની 85 દેશોમાં કાર્યરત છે અને 40 થી વધુ ઉત્પાદન સુવિધાઓ ધરાવે છે. તેના ત્રણ વૈશ્વિક મુખ્ય મથકોમાંથી એક ઓસ્ટિન, ટેક્સાસમાં છે અને તેની પેન્સિલવેનિયામાં મોટી ફેક્ટરી છે.
એકંદરે, Gemalto વર્ષમાં લગભગ 2 બિલિયન સિમ કાર્ડ્સનું ઉત્પાદન કરે છે. તેનું સૂત્ર છે "સુરક્ષા ટૂ બી ફ્રી."
આ ચોરાયેલી એન્ક્રિપ્શન કી વડે, ઈન્ટેલિજન્સ એજન્સીઓ ટેલિકોમ કંપનીઓ અને વિદેશી સરકારોની મંજૂરી લીધા વગર કે મેળવ્યા વગર મોબાઈલ કોમ્યુનિકેશન્સ પર નજર રાખી શકે છે. ચાવીઓ રાખવાથી વોરંટ અથવા વાયરટેપ મેળવવાની જરૂરિયાત પણ દૂર થઈ જાય છે, જ્યારે વાયરલેસ પ્રદાતાના નેટવર્ક પર સંદેશાવ્યવહાર અટકાવવામાં આવ્યો હોય તેવા કોઈ નિશાન છોડતા નથી. જથ્થાબંધ કીની ચોરી ગુપ્તચર એજન્સીઓને અગાઉના કોઈપણ એન્ક્રિપ્ટેડ સંચારને અનલૉક કરવામાં સક્ષમ બનાવે છે જે તેઓએ પહેલાથી જ અટકાવ્યા હતા, પરંતુ હજુ સુધી તેમની પાસે ડિક્રિપ્ટ કરવાની ક્ષમતા નથી.
જેમાલ્ટો સામેની અપ્રગટ કામગીરીના ભાગરૂપે, GCHQ ના જાસૂસો — NSA ના સમર્થનથી — બહુવિધ દેશોમાં અજાણતા એન્જિનિયરો અને અન્ય કંપનીના કર્મચારીઓના ખાનગી સંચારનું ખાણકામ કર્યું.
ગેમાલ્ટો તેની સિસ્ટમના ઘૂંસપેંઠ - અને તેના કર્મચારીઓની જાસૂસી માટે સંપૂર્ણપણે અજાણ હતો. જેમાલ્ટોના એક્ઝિક્યુટિવ વાઇસ પ્રેસિડેન્ટ પોલ બેવર્લીએ જણાવ્યું હતું કે, "હું પરેશાન છું, ખૂબ જ ચિંતિત છું કે આ બન્યું છે." અંતરાલ. “મારા માટે સૌથી મહત્વની બાબત એ છે કે આ કેવી રીતે કરવામાં આવ્યું હતું તે બરાબર સમજવું, જેથી તે ફરીથી ન થાય તેની ખાતરી કરવા માટે અમે દરેક પગલાં લઈ શકીએ છીએ અને એ પણ સુનિશ્ચિત કરવા માટે કે અમે સેવા આપી છે તે ટેલિકોમ ઓપરેટરો પર કોઈ અસર નથી. ઘણા વર્ષોથી ખૂબ જ વિશ્વસનીય રીત. હું જે સમજવા માંગુ છું તે એ છે કે તે અમારા કોઈપણ ગ્રાહકો પર કેવા પ્રકારના પ્રભાવ ધરાવે છે અથવા હોઈ શકે છે.” તેમણે ઉમેર્યું કે "અમારા માટે હવે સૌથી મહત્વની બાબત એ છે કે ઉલ્લંઘનની ડિગ્રી સમજવી".
અગ્રણી ગોપનીયતા હિમાયતીઓ અને સુરક્ષા નિષ્ણાતો કહે છે કે મોટા વાયરલેસ નેટવર્ક પ્રદાતાઓ પાસેથી એન્ક્રિપ્શન કીની ચોરી એ બિલ્ડીંગ સુપરિન્ટેન્ડન્ટની માસ્ટર રિંગ મેળવવા માટે ચોર સમાન છે જે દરેક એપાર્ટમેન્ટની ચાવીઓ ધરાવે છે. અમેરિકન સિવિલ લિબર્ટીઝ યુનિયનના મુખ્ય ટેક્નોલોજિસ્ટ, ક્રિસ્ટોફર સોગોઈઅન કહે છે, "એકવાર તમારી પાસે ચાવીઓ આવી જાય, પછી ટ્રાફિકને ડિક્રિપ્ટ કરવું તુચ્છ છે." "આ કી ચોરીના સમાચાર સુરક્ષા સમુદાયમાં આઘાતની લહેર મોકલશે."
દ્વારા સંપર્ક કરવામાં આવ્યા બાદ બેવરલીએ જણાવ્યું હતું અંતરાલ, Gemalto ની આંતરિક સુરક્ષા ટીમે બુધવારે તપાસ કરવાનું શરૂ કર્યું કે તેમની સિસ્ટમ કેવી રીતે ઘૂસી ગઈ હતી અને હેક્સનો કોઈ પત્તો શોધી શક્યો ન હતો. જ્યારે પૂછવામાં આવ્યું કે શું NSA અથવા GCHQ એ ક્યારેય Gemalto-નિર્મિત એન્ક્રિપ્શન કીની ઍક્સેસની વિનંતી કરી છે, ત્યારે બેવરલીએ કહ્યું, “હું સંપૂર્ણપણે અજાણ છું. મારી શ્રેષ્ઠ જાણકારી મુજબ, ના.”
એક ગુપ્ત GCHQ મુજબ સ્લાઇડ, બ્રિટીશ ગુપ્તચર એજન્સીએ ગેમલ્ટોના આંતરિક નેટવર્ક્સમાં ઘૂસીને, GCHQ ને ગુપ્ત ઍક્સેસ આપીને કેટલાક કમ્પ્યુટર્સ પર માલવેર રોપ્યા. અમે "માનીએ છીએ કે અમારી પાસે તેમનું આખું નેટવર્ક છે," સ્લાઇડના લેખકે જેમલ્ટો સામેના ઓપરેશન વિશે બડાઈ કરી.
વધુમાં, જાસૂસી એજન્સીએ અનામી સેલ્યુલર કંપનીઓના કોર નેટવર્ક્સને લક્ષ્યાંકિત કર્યા, તેને "ગ્રાહકની માહિતી માટે સેલ્સ સ્ટાફ મશીનો અને નેટવર્ક નકશા માટે નેટવર્ક એન્જીનીયર મશીનો" ની ઍક્સેસ આપી. GCHQ એ વ્યક્તિના ફોન સામે જાસૂસી એજન્સીની ગુપ્ત ક્રિયાઓને છૂપાવવાના પ્રયાસમાં ચાર્જીસને "દબાવવા" માટે સેલ કંપનીઓના બિલિંગ સર્વર સાથે ચાલાકી કરવાની ક્ષમતાનો પણ દાવો કર્યો હતો. સૌથી વધુ નોંધપાત્ર રીતે, GCHQ એ "ઓથેન્ટિકેશન સર્વર્સ" માં પણ પ્રવેશ કર્યો, જે તેને લક્ષ્યાંકિત વ્યક્તિના ફોન અને તેના અથવા તેણીના ટેલિકોમ પ્રદાતાના નેટવર્ક વચ્ચે ડેટા અને વૉઇસ સંચારને ડિક્રિપ્ટ કરવાની મંજૂરી આપે છે. સ્લાઇડ સાથેની એક નોંધ ભારપૂર્વક જણાવે છે કે જાસૂસી એજન્સી "અત્યાર સુધીના ડેટાથી ખૂબ જ ખુશ છે અને [તે] ઉત્પાદનના વિશાળ જથ્થામાં કામ કરી રહી છે."
મોબાઈલ હેન્ડસેટ એક્સપ્લોઈટેશન ટીમ (MHET), જેનું અસ્તિત્વ અગાઉ ક્યારેય જાહેર થયું નથી, સેલફોનમાં નબળાઈઓને લક્ષ્ય બનાવવા માટે એપ્રિલ 2010 માં રચવામાં આવી હતી. તેના મુખ્ય મિશનમાંનું એક સીમ કાર્ડ બનાવતી કોર્પોરેશનો તેમજ વાયરલેસ નેટવર્ક પ્રદાતાઓના કોમ્પ્યુટર નેટવર્કમાં ગુપ્ત રીતે પ્રવેશ કરવાનું હતું. ટીમમાં GCHQ અને NSA બંનેના ઓપરેટિવ સામેલ હતા.
જ્યારે એફબીઆઈ અને અન્ય યુએસ એજન્સીઓ યુએસ સ્થિત ટેલિકોમ કંપનીઓને તેમના ગ્રાહકોના સંદેશાવ્યવહારને વાયરટેપ કરવા અથવા અટકાવવાની મંજૂરી આપવા માટે દબાણ કરતા કોર્ટના આદેશો મેળવી શકે છે, આંતરરાષ્ટ્રીય મોરચે આ પ્રકારનો ડેટા સંગ્રહ વધુ પડકારજનક છે. જ્યાં સુધી વિદેશી ટેલિકોમ અથવા વિદેશી સરકાર યુએસ ગુપ્તચર એજન્સીને તેમના નાગરિકોના ડેટાની ઍક્સેસ આપે છે, ત્યાં સુધી NSA અથવા CIA ને નેટવર્કમાં હેક કરવું પડશે અથવા ખાસ કરીને વપરાશકર્તાના ઉપકરણને વધુ જોખમી દેખરેખના "સક્રિય" સ્વરૂપ માટે લક્ષ્ય બનાવવું પડશે. અત્યાધુનિક લક્ષ્યો દ્વારા શોધાયેલ. તદુપરાંત, વિદેશી ગુપ્તચર એજન્સીઓ યુએસ અથવા યુકેની જાસૂસી એજન્સીઓને તેમના રાજ્યના વડા અથવા અન્ય સરકારી અધિકારીઓના મોબાઇલ સંદેશાવ્યવહારને ઍક્સેસ કરવાની મંજૂરી આપશે નહીં.
"તે અવિશ્વસનીય છે. અવિશ્વસનીય,” ડચ સંસદના સભ્ય ગેરાર્ડ સ્કાઉએ કહ્યું, જ્યારે જાસૂસી એજન્સીઓની ક્રિયાઓ વિશે કહેવામાં આવ્યું. નેધરલેન્ડની સૌથી મોટી વિપક્ષી પાર્ટી ડી66ના ગુપ્તચર પ્રવક્તા શોઉએ જણાવ્યું અંતરાલ, "અમે નથી ઇચ્છતા કે અન્ય દેશોની ગુપ્ત સેવાઓ આવી વસ્તુઓ કરે." શોઉએ ઉમેર્યું હતું કે તે અને અન્ય ધારાશાસ્ત્રીઓ ડચ સરકારને સત્તાવાર સમજૂતી આપવા અને સ્પષ્ટ કરવા માટે કહેશે કે શું દેશની ગુપ્તચર સેવાઓ ગેમલ્ટોને લક્ષ્ય બનાવવાથી વાકેફ હતી કે કેમ, જેનું સત્તાવાર મુખ્ય મથક એમ્સ્ટરડેમમાં છે.
ગત નવેમ્બરમાં ડચ સરકાર પ્રસ્તાવિત મોબાઇલ ઉપકરણો પર બનેલા સંચાર સહિત, ડિજિટલ સંચારની ગોપનીયતા માટે સ્પષ્ટ સુરક્ષાનો સમાવેશ કરવા માટે તેના બંધારણમાં સુધારો. "અમારી પાસે, નેધરલેન્ડ્સમાં, ગુપ્ત સેવાઓની [પ્રવૃત્તિઓ] પર કાયદો છે. અને હેકિંગની મંજૂરી નથી, ”શોઉએ કહ્યું. ડચ કાયદા હેઠળ, આંતરિક મંત્રીએ વિદેશી સરકારોની ગુપ્તચર એજન્સીઓ દ્વારા આવા ઓપરેશન પર સહી કરવી પડશે. "હું માનતો નથી કે તેણે આ પ્રકારની ક્રિયાઓ માટે તેની પરવાનગી આપી છે."
યુએસ અને બ્રિટિશ ગુપ્તચર એજન્સીઓએ એન્ક્રિપ્શન કીની ચોરીને ખૂબ જ ચોરીછૂપીથી દૂર કરી, તેમને વાયરલેસ નેટવર્ક પ્રદાતા, વિદેશી સરકાર અથવા વ્યક્તિગત વપરાશકર્તાને ચેતવણી આપ્યા વિના સંદેશાવ્યવહારને અટકાવવાની અને ડિક્રિપ્ટ કરવાની ક્ષમતા આપી કે તેઓને નિશાન બનાવવામાં આવ્યા છે. જોન્સ હોપકિન્સ ઇન્ફર્મેશન સિક્યુરિટી ઇન્સ્ટિટ્યૂટના ક્રિપ્ટોગ્રાફી નિષ્ણાત મેથ્યુ ગ્રીન કહે છે, "સેલ્યુલર એન્ક્રિપ્શન માટે કીના ડેટાબેઝની ઍક્સેસ મેળવવી એ ખૂબ જ રમત છે." જંગી કી ચોરી એ "ફોન સુરક્ષા માટે ખરાબ સમાચાર છે. ખરેખર ખરાબ સમાચાર.”
જેમ જેમ ગ્રાહકો શરૂ થયા 1990 ના દાયકાના મધ્યમાં સેલ્યુલર ફોનને એકસાથે અપનાવવા માટે, ત્યાં કોઈ અસરકારક ગોપનીયતા સંરક્ષણો ન હતા. કોઈપણ વ્યક્તિ રેડિયોશેકમાંથી એક સસ્તું ઉપકરણ ખરીદી શકે છે જે મોબાઈલ ફોન પર કરાયેલા કૉલ્સને અટકાવી શકે છે. એનાલોગથી ડિજીટલ નેટવર્ક તરફના પરિવર્તને મૂળભૂત એન્ક્રિપ્શન ટેક્નોલોજીનો પરિચય કરાવ્યો, જોકે તે હજુ પણ ટેક-સેવી કોમ્પ્યુટર સાયન્સ સ્નાતક વિદ્યાર્થીઓ, તેમજ એફબીઆઈ અને અન્ય કાયદા અમલીકરણ એજન્સીઓ દ્વારા સરળતાથી ઉપલબ્ધ સાધનોનો ઉપયોગ કરીને ક્રેક કરી શકાય તેવું હતું.
આજે, સેકન્ડ જનરેશન (2G) ફોન ટેક્નોલોજી, જે ઊંડી ખામીયુક્ત એન્ક્રિપ્શન સિસ્ટમ પર આધાર રાખે છે, તે વૈશ્વિક સ્તરે પ્રબળ પ્લેટફોર્મ છે, જોકે યુએસ અને યુરોપિયન સેલફોન કંપનીઓ હવે શહેરી વિસ્તારોમાં 3G, 4G અને LTE ટેક્નોલોજીનો ઉપયોગ કરે છે. આમાં વધુ સુરક્ષિત, અદમ્ય ન હોવા છતાં, એન્ક્રિપ્શનની પદ્ધતિઓનો સમાવેશ થાય છે અને સમગ્ર વિશ્વમાં વાયરલેસ કેરિયર્સ આ નવી તકનીકોનો ઉપયોગ કરવા માટે તેમના નેટવર્કને અપગ્રેડ કરી રહ્યાં છે.
ડેટા એકત્રીકરણ માટેના આવા વધતા જતા ટેકનિકલ પડકારોના સંદર્ભમાં જ NSA જેવી ગુપ્તચર એજન્સીઓએ સેલ્યુલર એન્ક્રિપ્શન કી મેળવવામાં રસ દાખવ્યો છે. જોન્સ હોપકિન્સ ક્રિપ્ટોગ્રાફર, ગ્રીન કહે છે, “જૂના જમાનાના [2G] સાથે, તે કી વિના સેલફોન સુરક્ષાની આસપાસ કામ કરવાની અન્ય રીતો છે. "નવા 3G, 4G અને LTE પ્રોટોકોલ્સ સાથે, જો કે, એલ્ગોરિધમ્સ એટલા સંવેદનશીલ નથી, તેથી તે કી મેળવવી જરૂરી રહેશે."
તમામ મોબાઈલ કોમ્યુનિકેશન્સની ગોપનીયતા — વૉઇસ કૉલ્સ, ટેક્સ્ટ સંદેશાઓ અને ઈન્ટરનેટ એક્સેસ — સેલફોન અને વાયરલેસ કૅરિઅરના નેટવર્ક વચ્ચેના એનક્રિપ્ટેડ કનેક્શન પર આધાર રાખે છે, જેમાં સિમ પર સંગ્રહિત કીનો ઉપયોગ કરવામાં આવે છે, જે પોસ્ટેજ સ્ટેમ્પ કરતાં નાની ચિપમાં શામેલ કરવામાં આવે છે. ફોન. ફોન પરના તમામ મોબાઇલ સંચાર સિમ પર આધાર રાખે છે, જે Gemalto જેવી કંપનીઓ દ્વારા બનાવવામાં આવેલી એન્ક્રિપ્શન કીને સ્ટોર કરે છે અને તેનું રક્ષણ કરે છે. સિમ કાર્ડનો ઉપયોગ સંપર્કો, ટેક્સ્ટ સંદેશાઓ અને અન્ય મહત્વપૂર્ણ ડેટા, જેમ કે કોઈનો ફોન નંબર સંગ્રહિત કરવા માટે થઈ શકે છે. કેટલાક દેશોમાં, સિમ કાર્ડનો ઉપયોગ પૈસા ટ્રાન્સફર કરવા માટે થાય છે. તરીકે અંતરાલ અહેવાલ ગયા વર્ષે, ખોટા સિમ કાર્ડ રાખવાથી તમે ડ્રોન હડતાલનું લક્ષ્ય બનાવી શકો છો.
સિમ કાર્ડની શોધ વ્યક્તિગત સંદેશાવ્યવહારને સુરક્ષિત રાખવા માટે કરવામાં આવી ન હતી - તેઓ કંઈક વધુ સરળ કરવા માટે ડિઝાઇન કરવામાં આવ્યા હતા: યોગ્ય બિલિંગની ખાતરી કરો અને છેતરપિંડી અટકાવો, જે સેલફોનના શરૂઆતના દિવસોમાં વ્યાપક હતું. Soghoian આજે જે રીતે સામાજિક સુરક્ષા નંબરોનો ઉપયોગ થાય છે તેની સાથે SIM કાર્ડ્સ પર એન્ક્રિપ્શન કીના ઉપયોગની તુલના કરે છે. "સામાજિક સુરક્ષા નંબરો 1930 માં તમારા સરકારી પેન્શનમાં તમારા યોગદાનને ટ્રૅક કરવા માટે ડિઝાઇન કરવામાં આવ્યા હતા," તે કહે છે. "આજે તેઓ અર્ધ રાષ્ટ્રીય ઓળખ નંબર તરીકે ઉપયોગમાં લેવાય છે, જે તેમનો હેતુ હેતુ ક્યારેય ન હતો."
કારણ કે સિમ કાર્ડ કોલની ગુપ્તતાને ધ્યાનમાં રાખીને બનાવવામાં આવ્યું ન હતું, ઉત્પાદકો અને વાયરલેસ કેરિયર્સ તેમની સપ્લાય ચેઇનને સુરક્ષિત કરવા માટે કોઈ શ્રેષ્ઠ પ્રયાસ કરતા નથી. પરિણામે, સિમ કાર્ડ એ મોબાઇલ ફોનનો અત્યંત સંવેદનશીલ ઘટક છે. ગ્રીન કહે છે, "મને શંકા છે કે કોઈ પણ વ્યક્તિ આ વસ્તુઓની ખૂબ જ કાળજીપૂર્વક સારવાર કરી રહી છે." “સેલ કંપનીઓ કદાચ તેમને આવશ્યક સુરક્ષા ટોકન્સ તરીકે માનતી નથી. તેઓ કદાચ એટલું જ ધ્યાન રાખે છે કે કોઈ તેમના નેટવર્કને છેતરતું નથી. ACLU ના Soghoian ઉમેરે છે, "આ ચાવીઓ એટલી મૂલ્યવાન છે કે ઇન્ટેલ એજન્સીઓ માટે તેમની પાછળ જવું અર્થપૂર્ણ છે."
સામાન્ય નિયમ તરીકે, ફોન કંપનીઓ સિમ કાર્ડ બનાવતી નથી, ન તો તેને ગુપ્ત એન્ક્રિપ્શન કી વડે પ્રોગ્રામ કરતી નથી. સિમ કાર્ડ ઉત્પાદન પ્રક્રિયામાં આ સંવેદનશીલ પગલાને આઉટસોર્સ કરવું તેમના માટે સસ્તું અને વધુ કાર્યક્ષમ છે. તેઓ અન્ય કોર્પોરેશનો દ્વારા પ્રી-લોડ કરેલી ચાવીઓ વડે જથ્થાબંધ ખરીદી કરે છે. આ સિમ "વ્યક્તિકરણ" કંપનીઓમાંથી Gemalto સૌથી મોટી છે.
સિમ કાર્ડ બનાવ્યા પછી, એન્ક્રિપ્શન કી, જેને "કી" તરીકે ઓળખવામાં આવે છે, તે સીધી ચિપ પર બળી જાય છે. કીની એક નકલ સેલ્યુલર પ્રદાતાને પણ આપવામાં આવે છે, જે તેના નેટવર્કને વ્યક્તિના ફોનને ઓળખવાની મંજૂરી આપે છે. ફોન વાયરલેસ કેરિયરના નેટવર્ક સાથે જોડાઈ શકે તે માટે, ફોન — સિમની મદદથી — સિમ પર પ્રોગ્રામ કરેલ કીનો ઉપયોગ કરીને પોતાને પ્રમાણિત કરે છે. ફોન ગુપ્ત "હેન્ડશેક" કરે છે જે પ્રમાણિત કરે છે કે સિમ પરની કી મોબાઇલ કંપની દ્વારા રાખવામાં આવેલી કી સાથે મેળ ખાય છે. એકવાર તે થઈ જાય, ફોન અને નેટવર્ક વચ્ચેના સંદેશાવ્યવહારને એન્ક્રિપ્ટ કરવામાં આવે છે. જો GCHQ અથવા NSA એ ફોનના સિગ્નલને હવા દ્વારા પ્રસારિત કરવામાં આવે તો તેને અટકાવવાનું હોય, તો પણ ઇન્ટરસેપ્ટેડ ડેટા એક અવ્યવસ્થિત ગરબડ હશે. તેને ડિક્રિપ્ટ કરવું પડકારરૂપ અને સમય માંગી લે તેવું બની શકે છે. બીજી બાજુ, ચાવીઓની ચોરી કરવી, ગુપ્તચર એજન્સીઓના દૃષ્ટિકોણથી સુંદર રીતે સરળ છે, કારણ કે SIM કાર્ડના ઉત્પાદન અને વિતરણ માટેની પાઇપલાઇન ક્યારેય સામૂહિક દેખરેખના પ્રયાસોને નિષ્ફળ બનાવવા માટે બનાવવામાં આવી ન હતી.
એન્ક્રિપ્શન પ્રોટોકોલના નિર્માતાઓમાંના એક કે જે આજે ઈમેલને સુરક્ષિત કરવા માટે વ્યાપકપણે ઉપયોગમાં લેવાય છે, આદિ શમીરે, પ્રખ્યાતપણે ભારપૂર્વક કહ્યું: "ક્રિપ્ટોગ્રાફી સામાન્ય રીતે બાયપાસ કરવામાં આવે છે, ઘૂસણખોરી થતી નથી." બીજા શબ્દોમાં કહીએ તો, જડ બળનો ઉપયોગ કરીને દરવાજો તોડી નાખવા કરતાં જ્યારે તમારી પાસે ચાવી હોય ત્યારે લૉક કરેલું દરવાજો ખોલવાનું વધુ સરળ (અને સ્નીકીર) છે. NSA અને GCHQ પાસે એનક્રિપ્શનને તોડવા માટે સમર્પિત નોંધપાત્ર સંસાધનો હોવા છતાં, તેઓ ઇચ્છતા ડેટા મેળવવા માટે - અને ચોક્કસપણે હંમેશા સૌથી વધુ કાર્યક્ષમ નથી - તે એકમાત્ર રસ્તો નથી. ACLU ના Soghoian કહે છે, "US માં અન્ય કોઈપણ એન્ટિટી કરતાં NSA પાસે તેના પગારપત્રક પર વધુ ગણિતશાસ્ત્રીઓ છે." "પરંતુ NSA ના હેકર્સ તેના ગણિતશાસ્ત્રીઓ કરતા વધુ વ્યસ્ત છે."
GCHQ અને NSA એ સિમ એન્ક્રિપ્શન કી અને અન્ય ડેટાની ચોરી કરવા માટે ગમે તેટલા માર્ગો અપનાવ્યા હશે. તેઓ મેન્યુફેક્ચરિંગ પ્લાન્ટમાં શારીરિક રીતે તૂટી શકે છે. તેઓ વાયરલેસ કેરિયરની ઓફિસમાં ઘૂસી શક્યા હોત. તેઓ ઉત્પાદક અથવા સેલફોન પ્રદાતાના કર્મચારીને લાંચ આપી શકે છે, બ્લેકમેલ કરી શકે છે અથવા બળજબરી કરી શકે છે. પરંતુ તે બધા એક્સપોઝરના નોંધપાત્ર જોખમ સાથે આવે છે. Gemalto ના કિસ્સામાં, GCHQ માટે કામ કરતા હેકરો વાયરલેસ નેટવર્ક પ્રદાતાઓ તરફ જતા હતા ત્યારે જથ્થાબંધ કીની ચોરી કરવા માટે કંપનીના કમ્પ્યુટર નેટવર્કમાં દૂરસ્થ રીતે ઘૂસી ગયા હતા.
સિમ કાર્ડ "વ્યક્તિકરણ" કંપનીઓ જેમ કે ગેમલ્ટો વિશ્વભરના મોબાઇલ ફોન ઓપરેટરોને એક સમયે હજારો સિમ કાર્ડ મોકલે છે. દ્વારા મેળવેલ આંતરરાષ્ટ્રીય શિપિંગ રેકોર્ડ્સ અંતરાલ બતાવો કે 2011 માં, જેમલ્ટોએ મેક્સિકોમાં તેના પ્લાન્ટમાંથી જર્મનીની ડોઇશ ટેલિકોમને માત્ર એક જ શિપમેન્ટમાં 450,000 સ્માર્ટ કાર્ડ મોકલ્યા હતા.
કાર્ડ કામ કરે તે માટે અને ફોનના સંદેશાવ્યવહાર સુરક્ષિત રહે તે માટે, ગેમલ્ટોએ મોબાઇલ કંપનીને દરેક નવા સિમ કાર્ડ માટે એન્ક્રિપ્શન કી ધરાવતી ફાઇલ પ્રદાન કરવાની પણ જરૂર છે. આ માસ્ટર કી ફાઇલો FedEx, DHL, UPS અથવા અન્ય ગોકળગાય મેઇલ પ્રદાતા દ્વારા મોકલી શકાય છે. વધુ સામાન્ય રીતે, તેઓ ઈમેલ દ્વારા અથવા ફાઈલ ટ્રાન્સફર પ્રોટોકોલ, FTP દ્વારા મોકલી શકાય છે, જે ઈન્ટરનેટ પર ફાઈલો મોકલવાની પદ્ધતિ છે.
માસ્ટર કી સેટ જેમાલ્ટો અથવા અન્ય પર્સનલાઇઝેશન કંપની દ્વારા જનરેટ કરવામાં આવે તે ક્ષણ, પરંતુ તે વાયરલેસ કેરિયરને મોકલવામાં આવે તે પહેલાં, ઇન્ટરસેપ્શન માટે સૌથી સંવેદનશીલ ક્ષણ છે. ક્રિપ્ટોગ્રાફર ગ્રીન કહે છે, "તેને ઉત્પાદનના તબક્કે મેળવવાનું મૂલ્ય એ છે કે તમે એક જ વારમાં ઘણી બધી ચાવીઓ મેળવી શકો છો, કારણ કે સિમ ચિપ્સ મોટા બેચમાં બનાવવામાં આવે છે." "સિમ કાર્ડ એક સુવિધામાં ઘણાં વિવિધ કેરિયર્સ માટે બનાવવામાં આવે છે." જેમાલ્ટોના કિસ્સામાં, GCHQ એ જેકપોટ ફટકાર્યો, કારણ કે કંપની સેંકડો વાયરલેસ નેટવર્ક પ્રદાતાઓ માટે સિમનું ઉત્પાદન કરે છે, જેમાં તમામ અગ્રણી યુએસ- અને ઘણી મોટી યુરોપિયન કંપનીઓનો સમાવેશ થાય છે.
પરંતુ એન્ક્રિપ્શન કીઓ મેળવવા માટે જ્યારે Gemalto હજુ પણ તેમને પકડી રાખે છે ત્યારે કંપનીની આંતરિક સિસ્ટમમાં માર્ગ શોધવાની જરૂર હતી.
Tઓપી-સીક્રેટ જીસીએચક્યુ દસ્તાવેજો દર્શાવે છે કે ગુપ્તચર એજન્સીઓએ મોટી ટેલિકોમ કોર્પોરેશનો અને સિમ કાર્ડ ઉત્પાદકોના એન્જિનિયરો અને અન્ય કર્મચારીઓના ઈમેલ અને ફેસબુક એકાઉન્ટ્સને ગુપ્ત રીતે માહિતી મેળવવાના પ્રયાસમાં એક્સેસ કર્યા હતા જે તેમને લાખો એન્ક્રિપ્શન કીઝ સુધી એક્સેસ આપી શકે. તેઓએ NSA ના X-KEYSCORE પ્રોગ્રામનો ઉપયોગ કરીને આ કર્યું, જેણે તેમને SIM કાર્ડ અને મોબાઈલ કંપનીઓના સર્વર તેમજ Yahoo અને Google સહિતની મોટી ટેક કોર્પોરેશનો દ્વારા હોસ્ટ કરાયેલ ખાનગી ઈમેઈલની ઍક્સેસની મંજૂરી આપી.
અસરમાં, GCHQ ગુપ્ત રીતે cyberstalked કંપનીના કોર નેટવર્ક્સ અને કી-જનરેટિંગ સિસ્ટમ્સની ઍક્સેસ ધરાવતા હોય તેવા લોકોને શોધવાના પ્રયાસમાં જેમલ્ટોના કર્મચારીઓ, તેમના ઈમેઈલની તપાસ કરે છે. ગુપ્તચર એજન્સીનો ધ્યેય એવી માહિતી શોધવાનો હતો કે જે જેમાલ્ટોની સિસ્ટમનો ભંગ કરવામાં મદદ કરે, જેનાથી મોટી માત્રામાં એન્ક્રિપ્શન કીની ચોરી કરવાનું શક્ય બને. એજન્સીને આશા હતી કે ચાવીઓ ધરાવતી ફાઈલો જેમલ્ટો અને તેના વાયરલેસ નેટવર્ક પ્રદાતા ગ્રાહકો વચ્ચે પ્રસારિત કરવામાં આવી હતી તેને અટકાવશે.
GCHQ ઓપરેટિવ્સે Gemalto માં મુખ્ય વ્યક્તિઓ અને તેમની સ્થિતિને ઓળખી અને પછી તેમના ઈમેલ્સમાં ખોદકામ કર્યું. એક ઉદાહરણમાં, GCHQ એ થાઇલેન્ડમાં એક Gemalto કર્મચારીને શૂન્ય કર્યું કે જેણે PGP-એનક્રિપ્ટેડ ફાઇલો મોકલવાનું અવલોકન કર્યું, નોંધ્યું કે જો GCHQ તેના Gemalto કામગીરીને વિસ્તૃત કરવા માંગે છે, તો "તે ચોક્કસપણે શરૂ કરવા માટે એક સારું સ્થાન હશે." તેઓએ કર્મચારીના સંદેશાવ્યવહારને ડિક્રિપ્ટ કર્યા હોવાનો દાવો કર્યો ન હતો, પરંતુ નોંધ્યું હતું કે PGP ના ઉપયોગનો અર્થ એ થઈ શકે છે કે સમાવિષ્ટો સંભવિત રીતે મૂલ્યવાન હતા.
સાયબરસ્ટોકિંગ માત્ર ગેમલ્ટો પૂરતું મર્યાદિત નહોતું. GCHQ ઓપરેટિવ્સે એક સ્ક્રિપ્ટ લખી હતી જેણે એજન્સીને મોબાઇલ ફોન ગ્રાહકોને ગુપ્ત ચાવીઓ સોંપવામાં ઉપયોગમાં લેવાતી તકનીકી શરતો માટે મુખ્ય ટેલિકમ્યુનિકેશન્સ અને સિમ "વ્યક્તિકરણ" કંપનીઓના કર્મચારીઓના ખાનગી સંદેશાવ્યવહારની ખાણકામ કરવાની મંજૂરી આપી હતી. સિમ કાર્ડ ઉત્પાદકો અને વાયરલેસ નેટવર્ક પ્રદાતાઓ માટેના કર્મચારીઓને ટોપ-સિક્રેટ GCHQ દસ્તાવેજમાં "જાણીતા વ્યક્તિઓ અને ઓપરેટરો લક્ષિત" તરીકે લેબલ કરવામાં આવ્યા હતા.
તે મુજબ એપ્રિલ 2010 દસ્તાવેજ, “PCS હાર્વેસ્ટિંગ એટ સ્કેલ,” GCHQ માટે કામ કરતા હેકર્સે જેમાલ્ટો જેવા “મોબાઇલ નેટવર્ક ઓપરેટરો અને સિમ કાર્ડ પર્સનલાઇઝેશન કેન્દ્રો વચ્ચેના પરિવહનમાં” વ્યક્તિગત એન્ક્રિપ્શન કીના મોટા પ્રમાણમાં “લણણી” પર ધ્યાન કેન્દ્રિત કર્યું. જાસૂસોએ "આ કીને અટકાવવા માટે એક પદ્ધતિ વિકસાવી છે કારણ કે તે વિવિધ નેટવર્ક ઓપરેટરો અને સિમ કાર્ડ પ્રદાતાઓ વચ્ચે ટ્રાન્સફર થાય છે." તે સમય સુધીમાં, GCHQ એ "લણણી કરી શકાય તેવી ચાવીઓના જથ્થાને વધારવાના ઉદ્દેશ્ય સાથે સ્વયંસંચાલિત તકનીક વિકસાવી હતી."
PCS હાર્વેસ્ટિંગ દસ્તાવેજે સ્વીકાર્યું છે કે, એન્ક્રિપ્શન કી પરની માહિતીની શોધમાં, GCHQ ઓપરેટિવ્સ નિઃશંકપણે લક્ષિત કર્મચારીઓના ખાનગી સંદેશાવ્યવહારમાંથી "મોટી સંખ્યામાં બિનસંબંધિત વસ્તુઓ" ખાલી કરશે. "[H]જો કે સામેલ ઓપરેટરોની સારી જાણકારી ધરાવતો વિશ્લેષક નિયમિતપણે આ ટ્રોલ કરી શકે છે અને [કી]ના મોટા બેચના ટ્રાન્સફરને શોધી શકે છે."
દસ્તાવેજે નોંધ્યું છે કે ઘણા સિમ કાર્ડ ઉત્પાદકોએ એન્ક્રિપ્શન કીને વાયરલેસ નેટવર્ક પ્રદાતાઓને "ઇમેઇલ અથવા FTP દ્વારા સરળ એન્ક્રિપ્શન પદ્ધતિઓ સાથે ટ્રાન્સફર કરી છે જે તોડી શકાય છે ... અથવા ક્યારેક કોઈ એન્ક્રિપ્શન વિના." એન્ક્રિપ્શન કીની જથ્થાબંધ ઍક્સેસ મેળવવા માટે, NSA અથવા GCHQ ને ઇન્ટરનેટ પર મોકલવામાં આવતાં ઇમેઇલ્સ અથવા ફાઇલ ટ્રાન્સફરને અટકાવવાની જરૂર હતી - જે બંને એજન્સીઓ પહેલાથી જ દિવસમાં લાખો વખત કરે છે. 2010ના દસ્તાવેજમાં એક ફૂટનોટ નોંધવામાં આવી છે કે ચાવીઓ ટ્રાન્સફર કરવા માટે "મજબૂત એન્ક્રિપ્શન ઉત્પાદનો … નો ઉપયોગ વધુને વધુ સામાન્ય બની રહ્યો છે".
2010 ના પ્રથમ ક્વાર્ટરમાં તેની મુખ્ય લણણી "ટ્રાયલ" કામગીરીમાં, GCHQ સફળતાપૂર્વક અટકાવેલ ઈરાન, અફઘાનિસ્તાન, યમન, ભારત, સર્બિયા, આઇસલેન્ડ અને તાજિકિસ્તાનમાં વાયરલેસ નેટવર્ક પ્રદાતાઓ દ્વારા ઉપયોગમાં લેવાતી કી. પરંતુ, એજન્સીએ નોંધ્યું હતું કે, GCHQ પાસે દેશમાં બે પ્રદાતાઓ, Mobilink અને Telenor તરફથી Kis નો સ્ટોર હોવા છતાં, દસ્તાવેજમાં "પ્રાધાન્યતા લક્ષ્યો" તરીકે દર્શાવવામાં આવેલા પાકિસ્તાની નેટવર્ક સામે તેની સ્વચાલિત કી હાર્વેસ્ટિંગ સિસ્ટમ પરિણામ લાવવામાં નિષ્ફળ રહી હતી. "[હું] શક્ય છે કે આ નેટવર્ક્સ હવે કિસને સ્થાનાંતરિત કરવા માટે વધુ સુરક્ષિત પદ્ધતિઓનો ઉપયોગ કરે છે," દસ્તાવેજ નિષ્કર્ષ પર આવ્યો.
ડિસેમ્બર 2009 થી માર્ચ 2010 સુધી, મોબાઇલ હેન્ડસેટ શોષણ ટીમની રચનાના એક મહિના પહેલા, GCHQ એ વ્યક્તિગત ફોન માટે એન્ક્રિપ્શન કી અને અન્ય વ્યક્તિગત ડેટા કાઢવાના હેતુથી સંખ્યાબંધ ટ્રાયલ હાથ ધર્યા હતા. એક બે અઠવાડિયાના સમયગાળામાં, તેઓએ વાયરલેસ નેટવર્ક પ્રદાતાઓ અથવા સિમ કાર્ડ ઉત્પાદન અને વ્યક્તિગતકરણ સાથે સંકળાયેલા 130 લોકોના ઇમેઇલ્સ ઍક્સેસ કર્યા. આ ઓપરેશને 8,000 દેશોમાં ચોક્કસ ફોન સાથે મેળ ખાતી લગભગ 10 કીઓ બનાવી. બીજા બે-અઠવાડિયાના સમયગાળામાં, માત્ર છ ઈમેલ એડ્રેસને માઈનિંગ કરીને, તેઓએ 85,000 કીઓ બનાવી. માર્ચ 2010 માં એક તબક્કે, GCHQ એ સોમાલિયામાં મોબાઈલ ફોન વપરાશકર્તાઓ માટે લગભગ 100,000 કી અટકાવી હતી. જૂન સુધીમાં, તેઓ કરશે સંકલિત 300,000. "સોમાલી પ્રદાતાઓ GCHQ ની રુચિની સૂચિમાં નથી," દસ્તાવેજમાં નોંધ્યું છે. "[H]જો કે, આ NSA સાથે ઉપયોગી રીતે શેર કરવામાં આવ્યું હતું."
GCHQ દસ્તાવેજોમાં માત્ર 2010 માં ત્રણ મહિનાની એન્ક્રિપ્શન કી ચોરીના આંકડાઓ છે. આ સમયગાળા દરમિયાન, લાખો ચાવીઓ લેવામાં આવી હતી. દસ્તાવેજો સ્પષ્ટપણે જણાવે છે કે GCHQ એ પહેલાથી જ ચાવીઓના બલ્ક હાર્વેસ્ટિંગ માટે સતત વિકસિત સ્વચાલિત પ્રક્રિયા બનાવી છે. તેઓ સમગ્ર વિશ્વમાં જેમલ્ટોના વૈયક્તિકરણ કેન્દ્રો તેમજ અન્ય મુખ્ય સિમ કાર્ડ ઉત્પાદકો અને તેમના કર્મચારીઓના ખાનગી સંદેશાવ્યવહારને લક્ષિત કરતી સક્રિય કામગીરીનું વર્ણન કરે છે.
ટોચના ગુપ્ત NSA દસ્તાવેજે ભારપૂર્વક જણાવ્યું હતું કે, 2009 સુધીમાં, યુએસ જાસૂસી એજન્સી પાસે પહેલાથી જ સર્વેલન્સ લક્ષ્યો સામે પાછળથી ઉપયોગ માટે પ્રતિ સેકન્ડ 12 થી 22 મિલિયન કીની પ્રક્રિયા કરવાની ક્ષમતા હતી. ભવિષ્યમાં, એજન્સીએ આગાહી કરી છે, તે પ્રતિ સેકન્ડ 50 મિલિયનથી વધુ પ્રક્રિયા કરવા સક્ષમ હશે. દસ્તાવેજમાં જણાવવામાં આવ્યું નથી કે ખરેખર કેટલી કી પર પ્રક્રિયા કરવામાં આવી હતી, માત્ર એટલું જ કે NSA પાસે આવા ઝડપી, બલ્ક ઓપરેશન્સ કરવા માટેની તકનીક હતી. NSA અને GCHQ દ્વારા આજની તારીખમાં કેટલી ચાવીઓ ચોરાઈ છે તે જાણવું અશક્ય છે, પરંતુ, રૂઢિચુસ્ત ગણિતનો ઉપયોગ કરીને પણ, સંખ્યાઓ આશ્ચર્યજનક છે.
GCHQ એ 150 થી વધુ વ્યક્તિગત ઇમેઇલ સરનામાંઓને "સ્કોર" સોંપ્યા છે તેના આધારે વપરાશકર્તાઓએ કેટલીક તકનીકી શરતોનો કેટલી વાર ઉલ્લેખ કર્યો છે, અને પછી તે વ્યક્તિઓના ખાતાના ખાણકામને પ્રાથમિકતાના આધારે તીવ્ર બનાવ્યું છે. સૌથી વધુ સ્કોર કરનાર ઈમેલ સરનામું ચીની ટેક જાયન્ટ Huawei ના કર્મચારીનું હતું, જેના પર યુએસએ વારંવાર ચાઈનીઝ ઈન્ટેલિજન્સ સાથે સહયોગ કરવાનો આરોપ લગાવ્યો છે. એકંદરે, GCHQ એ એરિકસન અને નોકિયા જેવી ફોનનું ઉત્પાદન કરતી હાર્ડવેર કંપનીઓના કર્મચારીઓના ઈમેઈલનો સંગ્રહ કર્યો; મોબાઇલ નેટવર્કના ઓપરેટરો, જેમ કે MTN Irancell અને Belgacom; SIM કાર્ડ પ્રદાતાઓ, જેમ કે Bluefish અને Gemalto; અને લક્ષિત કંપનીઓના કર્મચારીઓ કે જેમણે Yahoo અને Google જેવા ઇમેઇલ પ્રદાતાઓનો ઉપયોગ કર્યો હતો. ત્રણ મહિનાની અજમાયશ દરમિયાન, સૌથી વધુ સંખ્યામાં ઈમેલ એડ્રેસ હ્યુઆવેઈના કર્મચારીઓના હતા, ત્યારબાદ MTN ઈરાનસેલ આવે છે. અજમાયશમાં લણવામાં આવેલ ઈમેલનો ત્રીજો સૌથી મોટો વર્ગ ખાનગી જીમેલ એકાઉન્ટ્સ હતા, જે સંભવતઃ લક્ષિત કંપનીઓના કર્મચારીઓના હતા.
Gemalto ને લક્ષ્યાંકિત કરતા GCHQ પ્રોગ્રામને ડાપિનો ગામા કહેવામાં આવતું હતું. 2011 માં, GCHQ એ ફ્રાન્સ અને પોલેન્ડમાં Gemalto કર્મચારીઓના ઈમેલ એકાઉન્ટની ખાણકામ કરવા માટે ઓપરેશન HIGHLAND FLING શરૂ કર્યું. ઓપરેશન પરના એક ટોપ-સિક્રેટ દસ્તાવેજમાં જણાવવામાં આવ્યું હતું કે જેમાલ્ટોના "ફ્રેન્ચ હેડક્વાર્ટરમાં પ્રવેશવું" "કોર ડેટા રિપોઝીટરીઝમાં પ્રવેશ કરવાનો" એક ઉદ્દેશ્ય હતો. ફ્રાન્સ, જેમાલ્ટોના વૈશ્વિક મુખ્ય મથકનું ઘર છે, તે કંપનીની વિશ્વવ્યાપી કામગીરીનું જ્ઞાનતંતુ કેન્દ્ર છે. અન્ય ધ્યેય પોલેન્ડમાં કર્મચારીઓના ખાનગી સંદેશાવ્યવહારને અટકાવવાનું હતું જે "એક અથવા વધુ વૈયક્તિકરણ કેન્દ્રોમાં ઘૂંસપેંઠ તરફ દોરી શકે છે" - ફેક્ટરીઓ જ્યાં એન્ક્રિપ્શન કીઝને સિમ કાર્ડ્સ પર બાળવામાં આવે છે.
આ કામગીરીના ભાગ રૂપે, GCHQ ઓપરેટિવ્સે Gemalto લક્ષ્યોના Facebook એકાઉન્ટ્સ માટે વપરાશકર્તાનામ અને પાસવર્ડ પ્રાપ્ત કર્યા. મે 2011 થી પ્રોગ્રામ પર આંતરિક ટોપ-સિક્રેટ GCHQ વિકીએ સૂચવ્યું હતું કે GCHQ જર્મની, મેક્સિકો, બ્રાઝિલ, કેનેડા, ચીન, ભારત, ઇટાલી સહિત વિશ્વભરમાં એક ડઝનથી વધુ જેમલ્ટો સુવિધાઓને "લક્ષ્ય" કરવાની પ્રક્રિયામાં છે. રશિયા, સ્વીડન, સ્પેન, જાપાન અને સિંગાપોર.
દસ્તાવેજમાં એમ પણ જણાવવામાં આવ્યું છે કે GCHQ ગેમલ્ટોના એક સ્પર્ધક, જર્મની સ્થિત સિમ કાર્ડ જાયન્ટ ગીસેકે અને ડેવરિએન્ટ સામે સમાન મુખ્ય ચોરીની કામગીરી તૈયાર કરી રહ્યું હતું.
17 જાન્યુઆરી, 2014 ના રોજ, રાષ્ટ્રપતિ બરાક ઓબામાએ NSA જાસૂસી કૌભાંડ પર મુખ્ય સંબોધન આપ્યું હતું. “બોટમ લાઇન એ છે કે વિશ્વભરના લોકોએ, તેમની રાષ્ટ્રીયતાને ધ્યાનમાં લીધા વિના, જાણવું જોઈએ કે યુનાઇટેડ સ્ટેટ્સ સામાન્ય લોકોની જાસૂસી કરતું નથી જે અમારી રાષ્ટ્રીય સુરક્ષાને જોખમમાં મૂકતા નથી અને અમે અમારી નીતિઓ અને પ્રક્રિયાઓમાં તેમની ગોપનીયતાની ચિંતાઓને ધ્યાનમાં લઈએ છીએ. ," તેણે કીધુ.
મોટા આંતરરાષ્ટ્રીય કોર્પોરેશનોના કર્મચારીઓના કાયદેસરના સંદેશાવ્યવહારનું નિરીક્ષણ દર્શાવે છે કે ઓબામા, અન્ય યુએસ અધિકારીઓ અને બ્રિટિશ નેતાઓના આવા નિવેદનો - કે તેઓ માત્ર જાણીતા અથવા શંકાસ્પદ ગુનેગારો અથવા આતંકવાદીઓના સંદેશાવ્યવહારને અટકાવે છે અને તેનું નિરીક્ષણ કરે છે - અસત્ય હતા. "NSA અને GCHQ આ કંપનીઓ માટે કામ કરતા લોકોના ખાનગી સંદેશાવ્યવહારને વાજબી રમત તરીકે જુએ છે," ACLU ના Soghoian કહે છે. "આ લોકો ખાસ કરીને ગુપ્તચર એજન્સીઓ દ્વારા શિકાર અને નિશાન બનાવવામાં આવ્યા હતા, કારણ કે તેઓએ કંઈ ખોટું કર્યું નથી, પરંતુ કારણ કે તેઓનો અંત લાવવાના સાધન તરીકે ઉપયોગ થઈ શકે છે."
Tઅહીં બે છે ઇલેક્ટ્રોનિક અથવા ડિજિટલ સર્વેલન્સના મૂળભૂત પ્રકારો: નિષ્ક્રિય અને સક્રિય. તમામ ઇન્ટેલિજન્સ એજન્સીઓ વ્યાપક નિષ્ક્રિય દેખરેખમાં વ્યસ્ત છે, જેનો અર્થ છે કે તેઓ ફાઇબર-ઓપ્ટિક કેબલ, રેડિયો તરંગો અથવા વાયરલેસ ઉપકરણો પર મોકલવામાં આવતા સંદેશાવ્યવહારને અટકાવીને બલ્ક ડેટા એકત્રિત કરે છે.
ઇન્ટેલિજન્સ એજન્સીઓ તેમના દેશોના દૂતાવાસ અને કોન્સ્યુલેટની ટોચ પર "જાસૂસ માળખાં" તરીકે ઓળખાતા ઉચ્ચ-શક્તિવાળા એન્ટેના મૂકે છે, જે આસપાસના વિસ્તારમાં મોબાઇલ ફોન પર મોકલવામાં આવતા ડેટાને વેક્યૂમ કરવામાં સક્ષમ છે. સંયુક્ત NSA/CIA સ્પેશિયલ કલેક્શન સર્વિસ એ મુખ્ય સંસ્થા છે જે યુનાઇટેડ સ્ટેટ્સ માટે આ માળખાઓને ઇન્સ્ટોલ કરે છે અને તેનું સંચાલન કરે છે. સંસદ અથવા સરકારી એજન્સીની નજીક સ્થિત દૂતાવાસ વિદેશી સરકારી અધિકારીઓ દ્વારા ઉપયોગમાં લેવાતા મોબાઇલ ફોનના ફોન કૉલ્સ અને ડેટા ટ્રાન્સફરને સરળતાથી અટકાવી શકે છે. બર્લિનમાં યુએસ એમ્બેસી, દાખલા તરીકે, બુન્ડેસ્ટાગથી પથ્થર ફેંકવા સ્થિત છે. પરંતુ જો વાયરલેસ કેરિયર્સ મજબૂત એન્ક્રિપ્શનનો ઉપયોગ કરી રહ્યાં છે, જે આધુનિક 3G, 4G અને LTE નેટવર્ક્સમાં બનેલ છે, તો ઇન્ટરસેપ્ટેડ કૉલ્સ અને અન્ય ડેટાને ક્રેક કરવું વધુ મુશ્કેલ હશે, ખાસ કરીને બલ્કમાં. જો ઇન્ટેલિજન્સ એજન્સી વાસ્તવમાં જે પ્રસારિત થઈ રહ્યું છે તે સાંભળવા અથવા વાંચવા માંગે છે, તો તેણે એન્ક્રિપ્ટેડ ડેટાને ડિક્રિપ્ટ કરવાની જરૂર પડશે.
સક્રિય દેખરેખ એ બીજો વિકલ્પ છે. આના માટે સરકારી એજન્સીઓને 3G અથવા 4G નેટવર્કને "જામ" કરવાની જરૂર પડશે, નજીકના ફોનને 2G પર દબાણ કરવું પડશે. એકવાર ઓછી સુરક્ષિત 2G ટેક્નોલૉજી માટે ફરજ પાડવામાં આવ્યા પછી, ફોનને ગુપ્તચર એજન્સી દ્વારા સંચાલિત નકલી સેલ ટાવર સાથે કનેક્ટ કરવા માટે છેતરવામાં આવી શકે છે. દેખરેખની આ પદ્ધતિ, અસરકારક હોવા છતાં, જોખમી છે, કારણ કે તે ડિજિટલ ટ્રેસ છોડી દે છે જે વિદેશી સરકારોના પ્રતિ-નિગરાની નિષ્ણાતો શોધી શકે છે.
કિસ ચોરી કરવાથી આ બધી સમસ્યાઓ હલ થાય છે. આ રીતે, ગુપ્તચર એજન્સીઓ ડેટાને ડિક્રિપ્ટ કર્યા વિના અને કોઈપણ નિશાન છોડ્યા વિના નિષ્ક્રિય, બલ્ક સર્વેલન્સમાં સુરક્ષિત રીતે જોડાઈ શકે છે.
ACLU ના Soghoian કહે છે, "મુખ્ય ચોરી એન્ક્રિપ્ટેડ કોમ્યુનિકેશન્સની બલ્ક, ઓછા જોખમની દેખરેખને સક્ષમ કરે છે." “એજન્સીઓ તમામ સંદેશાવ્યવહાર એકત્રિત કરી શકે છે અને પછી તે પછીથી જોઈ શકે છે. ચાવીઓ વડે, તેઓ જ્યારે પણ ઇચ્છે ત્યારે તેઓ જે ઇચ્છે છે તેને ડિક્રિપ્ટ કરી શકે છે. તે એક ટાઈમ મશીન જેવું છે, જે કોઈને લક્ષ્ય બનાવતા પહેલા સંચારની દેખરેખને સક્ષમ કરે છે."
NSA કે GCHQ બેમાંથી કોઈ પણ મુખ્ય ચોરીની કામગીરી પર ખાસ ટિપ્પણી કરશે નહીં. ભૂતકાળમાં, તેઓએ વધુ વ્યાપક રીતે દલીલ કરી છે કે એન્ક્રિપ્શનને તોડવું એ આતંકવાદીઓ અને અન્ય ગુનેગારોને ટ્રેક કરવા માટે જરૂરી ભાગ છે. "તે લાંબા સમયથી ચાલતી નીતિ છે કે અમે ગુપ્તચર બાબતો પર ટિપ્પણી કરતા નથી," એક GCHQ અધિકારીએ એક ઇમેઇલમાં જણાવ્યું, ઉમેર્યું કે એજન્સીનું કાર્ય "કડક કાયદાકીય અને નીતિ માળખા" માં હાથ ધરવામાં આવે છે જે ખાતરી કરે છે કે તેની પ્રવૃત્તિઓ "અધિકૃત, જરૂરી અને પ્રમાણસર છે. ,” યોગ્ય દેખરેખ સાથે, જે એજન્સી દ્વારા પ્રકાશિત થયેલ અગાઉની વાર્તાઓ માટે પ્રમાણભૂત પ્રતિસાદ છે અંતરાલ. એજન્સીએ એમ પણ કહ્યું હતું કે, "[T]તે યુકેની વિક્ષેપ શાસન માનવ અધિકારો પરના યુરોપિયન કન્વેન્શન સાથે સંપૂર્ણપણે સુસંગત છે." NSA એ કોઈ ટિપ્પણી કરવાનો ઇનકાર કર્યો હતો.
તે અસંભવિત છે કે તેની કામગીરીની કાયદેસરતા વિશે GCHQ ની ઘોષણા યુરોપમાં સાર્વત્રિક રીતે સ્વીકારવામાં આવશે. યુરોપીયન સંસદના ડચ સભ્ય સોફી ઇનટ વેલ્ડ કહે છે, "તે સરકારો મોટા પાયે ગેરકાયદેસર પ્રવૃત્તિઓમાં સામેલ છે." "જો તમે સરકાર નથી અને તમે વિદ્યાર્થી છો, તો તમે 30 વર્ષ સુધી જેલમાં જશો." વેલ્ડ, જેમણે સ્નોડેન દ્વારા જાહેર કરાયેલા સામૂહિક દેખરેખ અંગે યુરોપિયન સંસદની તાજેતરની તપાસની અધ્યક્ષતા કરી હતી, તેમણે જણાવ્યું હતું અંતરાલ: “ગુપ્ત સેવાઓ ફક્ત કાઉબોયની જેમ વર્તે છે. સરકારો કાઉબોયની જેમ વર્તી રહી છે અને કોઈ તેમને જવાબદાર ઠેરવતું નથી.
અંતરાલની લૌરા પોઇટ્રાસ ધરાવે છે અગાઉ અહેવાલ કે 2013 માં ઑસ્ટ્રેલિયાની સિગ્નલ ઇન્ટેલિજન્સ એજન્સી, NSAની નજીકની ભાગીદાર, ઇન્ડોનેશિયન વાયરલેસ કેરિયરમાંથી લગભગ 1.8 મિલિયન એન્ક્રિપ્શન કીની ચોરી કરી હતી.
થોડા વર્ષો પહેલા એફ.બી.આઈ અહેવાલ વોશિંગ્ટન, ડીસી વિસ્તારની આસપાસ વિદેશી ગુપ્તચર એજન્સીઓ દ્વારા ગોઠવવામાં આવેલા કેટલાક ટ્રાન્સમીટરને તોડી પાડ્યા, જેનો ઉપયોગ સેલફોન સંચારને અટકાવવા માટે થઈ શકે છે. રશિયા, ચીન, ઈઝરાયેલ અને અન્ય રાષ્ટ્રો સમગ્ર વિશ્વમાં NSA જેવી જ ટેકનોલોજીનો ઉપયોગ કરે છે. જો તે સરકારો પાસે મોટી યુએસ સેલફોન કંપનીઓના ગ્રાહકો માટે એન્ક્રિપ્શન કી હોય, જેમ કે જેમલ્ટો દ્વારા ઉત્પાદિત, સામૂહિક સ્નૂપિંગ સરળ હશે. "તેનો અર્થ એવો થશે કે વોશિંગ્ટન, ડીસીની આસપાસ થોડા એન્ટેના મુકવામાં આવ્યા બાદ, ચીન અથવા રશિયન સરકારો કોંગ્રેસના સભ્યો, યુએસ એજન્સીના વડાઓ, પત્રકારો, લોબીસ્ટ્સ અને નીતિ ઘડતરની પ્રક્રિયામાં સામેલ અન્ય દરેક વ્યક્તિના સંદેશાવ્યવહારને સ્વીપ અને ડિક્રિપ્ટ કરી શકે છે. ટેલિફોન વાર્તાલાપ,” સોગોઇયન કહે છે.
“યુએનની સામે એક ઉપકરણ મૂકો, તમે હવામાં જતી દરેક વસ્તુને રેકોર્ડ કરો. જોન્સ હોપકિન્સ ક્રિપ્ટોગ્રાફર ગ્રીન કહે છે કે કેટલીક ચાવીઓ ચોરી લો, તમારી પાસે તે બધી વાતચીતો છે. અને તે માત્ર જાસૂસી એજન્સીઓ નથી કે જે એન્ક્રિપ્શન કી ચોરી કરવાથી ફાયદો થશે. "હું ફક્ત કલ્પના કરી શકું છું કે જો તમે વોલ સ્ટ્રીટની આસપાસ કરવામાં આવેલા કૉલ્સની ઍક્સેસ ધરાવતા હોત તો તમે કેટલા પૈસા કમાઈ શકો," તે ઉમેરે છે.
THE BREACH OF GCHQ દ્વારા Gemaltoનું કમ્પ્યુટર નેટવર્ક દૂરગામી વૈશ્વિક અસરો ધરાવે છે. કંપની, જેણે 2.7 માં $2013 બિલિયનની આવક મેળવી હતી, તે ડિજિટલ સિક્યોરિટી, બેંકિંગ કાર્ડ્સ, મોબાઈલ પેમેન્ટ સિસ્ટમ્સ, ઓનલાઈન સુરક્ષા માટે ઉપયોગમાં લેવાતા દ્વિ-પરિબળ પ્રમાણીકરણ ઉપકરણો, ઈમારતો અને ઓફિસોને સુરક્ષિત કરવા માટે વપરાતા હાર્ડવેર ટોકન્સ, ઈલેક્ટ્રોનિક પાસપોર્ટનું ઉત્પાદન કરતી વૈશ્વિક અગ્રણી છે. અને ઓળખ કાર્ડ. તે યુરોપમાં વોડાફોન અને ફ્રાન્સની ઓરેન્જ તેમજ ફ્રાન્સ ટેલિકોમ અને ડોઇશ ટેલિકોમ વચ્ચે યુકેમાં સંયુક્ત સાહસ EEને ચિપ્સ પ્રદાન કરે છે. રોયલ KPN, સૌથી મોટી ડચ વાયરલેસ નેટવર્ક પ્રદાતા, પણ Gemalto ટેકનોલોજીનો ઉપયોગ કરે છે.
એશિયામાં, ગેમલ્ટોની ચિપ્સનો ઉપયોગ ચીન યુનિકોમ, જાપાનની એનટીટી અને તાઈવાનની ચુંગવા ટેલિકોમ તેમજ સમગ્ર આફ્રિકા અને મધ્ય પૂર્વમાં વાયરલેસ નેટવર્ક પ્રદાતાઓ દ્વારા કરવામાં આવે છે. કંપનીની સુરક્ષા ટેકનોલોજીનો ઉપયોગ 3,000 થી વધુ નાણાકીય સંસ્થાઓ અને 80 સરકારી સંસ્થાઓ દ્વારા કરવામાં આવે છે. તેના ગ્રાહકોમાં વિઝા, માસ્ટરકાર્ડ, અમેરિકન એક્સપ્રેસ, જેપી મોર્ગન ચેઝ અને બાર્કલેઝ છે. તે ઓડી અને બીએમડબ્લ્યુ દ્વારા બનાવેલી લક્ઝરી કારમાં ઉપયોગ માટે ચિપ્સ પણ પ્રદાન કરે છે.
2012 માં, જેમલ્ટોએ ઇલેક્ટ્રોનિક યુએસ પાસપોર્ટ માટે કવર બનાવવા માટે યુએસ સરકાર પાસેથી $175 મિલિયનનો મોટો કોન્ટ્રાક્ટ જીત્યો હતો, જેમાં ચિપ્સ અને એન્ટેના હોય છે જેનો ઉપયોગ પ્રવાસીઓને વધુ સારી રીતે પ્રમાણિત કરવા માટે થઈ શકે છે. તેના કોન્ટ્રાક્ટના ભાગ રૂપે, Gemalto પાસપોર્ટમાં રોપવામાં આવેલી માઇક્રોચિપ્સ માટે વ્યક્તિગતકરણ અને સોફ્ટવેર પ્રદાન કરે છે. યુ.એસ. ગેમલ્ટોના એકમાત્ર સૌથી મોટા બજારનું પ્રતિનિધિત્વ કરે છે, જે તેના કુલ વ્યવસાયના લગભગ 15 ટકા હિસ્સો ધરાવે છે. આનાથી પ્રશ્ન ઊભો થાય છે કે શું GCHQ, જે મોબાઇલ નેટવર્ક્સ પર એન્ક્રિપ્શનને બાયપાસ કરવામાં સક્ષમ હતું, તેની પાસે બેંકો અને સરકારો માટે બનાવેલ અન્ય Gemalto ઉત્પાદનો દ્વારા સુરક્ષિત ખાનગી ડેટાને ઍક્સેસ કરવાની ક્ષમતા છે.
જેમ જેમ સ્માર્ટ ફોન વધુ સ્માર્ટ બનતા જાય છે તેમ તેમ તેઓ સામાન અને સેવાઓ માટે ચૂકવણી કરવાના સાધન તરીકે ક્રેડિટ કાર્ડ અને રોકડને વધુને વધુ બદલી રહ્યા છે. જ્યારે વેરાઇઝન, AT&T અને T-Mobile એ 2010 માં Google Wallet અને Apple Pay ને પડકારવા માટે સંયુક્ત રીતે ઇલેક્ટ્રોનિક પે સિસ્ટમ બનાવવા માટે જોડાણ કર્યું, ત્યારે તેઓએ તેમના પ્રોગ્રામ માટે Gemaltoની ટેક્નોલોજી ખરીદી, જે સોફ્ટકાર્ડ તરીકે ઓળખાય છે. (જુલાઈ 2014 સુધી, તે અગાઉ "ISIS મોબાઈલ વોલેટ" ના કમનસીબ નામથી ચાલતું હતું.) GCHQ અને NSA દ્વારા તેનાથી સંબંધિત ડેટા અને અન્ય Gemalto સુરક્ષા ઉત્પાદનો સાથે ચેડા કરવામાં આવ્યા છે કે કેમ તે અસ્પષ્ટ છે. બંને ગુપ્તચર એજન્સીઓએ આ વાર્તા માટે કોઈ ચોક્કસ પ્રશ્નોના જવાબ આપવાનો ઇનકાર કર્યો હતો.
Pરિવેસી એડવોકેટ્સ અને સુરક્ષા નિષ્ણાતો કહે છે કે NSA, GCHQ અને અન્ય ગુપ્તચર એજન્સીઓ નિયમિતપણે શોષણ કરે છે તે વર્તમાન મોબાઇલ ફોન સિસ્ટમમાં મૂળભૂત સુરક્ષા ખામીઓને સુધારવા માટે અબજો ડોલર, નોંધપાત્ર રાજકીય દબાણ અને ઘણા વર્ષોનો સમય લાગશે.
મોબાઈલ કોમ્યુનિકેશનના રક્ષણમાં વર્તમાન અંતરાલ એ છે કે સેલફોન અને વાયરલેસ નેટવર્ક પ્રદાતાઓ પરફેક્ટ ફોરવર્ડ સિક્રસી (PFS) ના ઉપયોગને સમર્થન આપતા નથી, જે એન્ક્રિપ્શન કીની ચોરી અથવા જાહેરાતને કારણે થતા નુકસાનને મર્યાદિત કરવા માટે રચાયેલ એન્ક્રિપ્શનનું એક સ્વરૂપ છે. PFS, જે હવે આધુનિક વેબ બ્રાઉઝર્સમાં બનેલ છે અને Google અને Twitter જેવી સાઇટ્સ દ્વારા ઉપયોગમાં લેવાય છે, દરેક સંદેશાવ્યવહાર અથવા સંદેશ માટે અનન્ય એન્ક્રિપ્શન કી જનરેટ કરીને કામ કરે છે, જે પછી કાઢી નાખવામાં આવે છે. વર્ષોના મૂલ્યના ડેટાને સુરક્ષિત રાખવા માટે સમાન એન્ક્રિપ્શન કીનો ઉપયોગ કરવાને બદલે, જેમ કે SIM કાર્ડ્સ પર કાયમી કિસ કરી શકે છે, એક નવી કી દર મિનિટે, કલાક કે દિવસે જનરેટ થઈ શકે છે અને પછી તરત જ તેનો નાશ થઈ શકે છે. કારણ કે સેલફોન સંચાર PFS નો ઉપયોગ કરતું નથી, જો કોઈ ગુપ્તચર એજન્સી "નિષ્ક્રિય રીતે" એક વર્ષ સુધી કોઈના સંદેશાવ્યવહારને અટકાવે છે અને પછીથી કાયમી એન્ક્રિપ્શન કી મેળવી લે છે, તો તે પાછા જઈ શકે છે અને તે તમામ સંચારને ડિક્રિપ્ટ કરી શકે છે. જો મોબાઇલ ફોન નેટવર્ક્સ PFS નો ઉપયોગ કરી રહ્યા હોય, તો તે શક્ય બનશે નહીં — પછીથી કાયમી ચાવીઓ ચોરાઈ ગઈ હોય તો પણ.
વ્યક્તિઓ માટે કી ચોરી-સક્ષમ દેખરેખથી પોતાને બચાવવાનો એકમાત્ર અસરકારક રસ્તો એ છે કે સિમ કાર્ડ-આધારિત સુરક્ષા પર આધાર રાખવાને બદલે સુરક્ષિત સંચાર સોફ્ટવેરનો ઉપયોગ કરવો. સિક્યોર સોફ્ટવેરમાં ઈમેલ અને અન્ય એપ્સનો સમાવેશ થાય છે જે ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી (TLS) નો ઉપયોગ કરે છે, જે સુરક્ષિત HTTPS વેબ પ્રોટોકોલ અંતર્ગત મિકેનિઝમ છે. યાહૂ અને ગૂગલ જેવા મોટા ઈમેઈલ પ્રદાતાઓની જેમ એન્ડ્રોઈડ ફોન અને આઈફોન સાથે સમાવિષ્ટ ઈમેલ ક્લાયન્ટ TLSને સપોર્ટ કરે છે.
TextSecure અને Silent Text જેવી એપ્લિકેશનો SMS સંદેશાઓના સુરક્ષિત વિકલ્પો છે, જ્યારે સિગ્નલ, રેડફોન અને સાયલન્ટ ફોન એન્ક્રિપ્ટ વૉઇસ કૉલ્સ. સરકારો હજુ પણ સંદેશાવ્યવહારને અટકાવી શકે છે, પરંતુ તેમને વાંચવા અથવા સાંભળવા માટે ચોક્કસ હેન્ડસેટને હેક કરવા, ઇમેઇલ પ્રદાતા પાસેથી આંતરિક ડેટા મેળવવા અથવા વાતચીત રેકોર્ડ કરવા માટે રૂમમાં બગ ઇન્સ્ટોલ કરવાની જરૂર પડશે.
"અમારે એમ માનવાનું બંધ કરવાની જરૂર છે કે ફોન કંપનીઓ અમને કૉલ કરવા અથવા ટેક્સ્ટ સંદેશાઓની આપલે કરવાની એક સુરક્ષિત પદ્ધતિ પ્રદાન કરશે," સોગોઇયન કહે છે.
એન્ડ્રુ ફિશમેન અને રાયન ગેલાઘર દ્વારા વધારાની રિપોર્ટિંગ. શીલાઘ મેકનીલ, મોર્ગન માર્ક્વિસ-બોયર, એલીન બ્રાઉન, માર્ગોટ વિલિયમ્સ, રેયાન ડેવેરોક્સ અને એન્ડ્રીયા જોન્સે આ વાર્તામાં ફાળો આપ્યો. એરિન ઓ'રોર્કે વધારાની સહાય પૂરી પાડી હતી.
ZNetwork ને ફક્ત તેના વાચકોની ઉદારતા દ્વારા ભંડોળ પૂરું પાડવામાં આવે છે.
દાન