La guerra informatica era oggetto di film di fantascienza ed esercitazioni militari. Ma con l'avvento del worm Stuxnet, l'hacking della Sony Pictures, presumibilmente effettuato con il sostegno del governo nordcoreano, e l'assalto di questa settimana ai siti web del governo tedesco, stanno crescendo gli attacchi informatici su larga scala con sospetti legami con gli Stati nazionali. sempre più prevalente.

Poche persone hanno sollevato il velo sulla guerra informatica come Edward Snowden, un ex appaltatore della NSA che ha fatto trapelare un enorme numero di documenti alla stampa.

James Bamford: Grazie mille per essere venuto. Lo apprezzo davvero. Ed è davvero interessante: proprio il giorno in cui ci incontreremo, è uscito questo articolo Il New York Times, sembravano minimizzare il danno potenziale, che in realtà sembravano aver esagerato nella stima originale. Cosa ne pensi di questo articolo oggi?

Edward Snowden: Quindi questo è davvero interessante. È il nuovo direttore della NSA che dice che il presunto danno derivante dalle fughe di notizie era decisamente esagerato. In realtà, lasciamelo fare di nuovo.

Quindi questo è davvero interessante. Il capo della NSA che ha sostituito Keith Alexander, l'ex direttore della NSA, ritiene che il presunto danno derivante dalle rivelazioni dell'anno scorso sia molto più insignificante di quanto sia stato rappresentato pubblicamente l'anno scorso. Siamo stati portati a credere che il cielo sarebbe caduto, che gli oceani sarebbero evaporati, che l’atmosfera si sarebbe incendiata, che il mondo sarebbe finito come lo conosciamo. Ma quello che dice è che questo non lo porta alla conclusione che il cielo stia cadendo.

E questo è un significativo allontanamento dalle affermazioni dell'ex direttore della NSA, Keith Alexander. Ed è una sorta di schema quello che abbiamo visto in cui gli unici funzionari statunitensi che affermano che queste rivelazioni causano danni piuttosto che servire il bene pubblico sono stati i funzionari che ne erano personalmente imbarazzati. Ad esempio, i presidenti delle commissioni di sorveglianza del Congresso, lo stesso ex direttore della NSA.

Ma d'altro canto abbiamo anche i funzionari dei gruppi di revisione indipendenti della Casa Bianca che hanno affermato che questi programmi non hanno mai dimostrato di poter fermare nemmeno un singolo attacco terroristico imminente negli Stati Uniti, e che non avevano alcun valore. Allora come è possibile che questi programmi fossero così preziosi che parlarne e rivelarli al pubblico avrebbe fatto finire il mondo se non avessero fermato alcun attacco?

Ma ciò che stiamo vedendo e ciò che questo articolo rappresenta è che le affermazioni sui danni che abbiamo ricevuto l'anno scorso non erano accurate e potrebbero in effetti essere ritenute fuorvianti, e penso che sia una preoccupazione. Ma è bello vedere che lo stesso direttore della NSA oggi, con pieno accesso alle informazioni riservate, sta cominciando ad avvicinarsi un po' di più alla verità, avvicinandosi un po' di più al punto di vista del Presidente su questo, che è questa discussione che abbiamo avuto nell'ultimo anno non ci fa male. Ci rende più forti. Quindi grazie per averlo dimostrato.

Bamford: Grazie. Un'altra cosa che l'articolo approfondisce, di cui stiamo parlando qui oggi, è che l'articolo cita il nuovo direttore della NSA, che è anche il comandante del Cyber ​​Command, che sostanzialmente dice che è possibile in futuro che questi cyber le armi diventeranno una sorta di normali armi militari e saranno trattate come missili guidati o missili da crociera e così via.

Snowden: Missili da crociera o droni.

Bamford: Cosa ne pensi, avendo dedicato del tempo a questo tipo di lavoro?

Snowden: Penso che l'opinione pubblica non sia ancora consapevole della frequenza con cui questi attacchi informatici, come vengono chiamati dalla stampa, vengono utilizzati dai governi di tutto il mondo, non solo dagli Stati Uniti. Ma è importante sottolineare che abbiamo davvero dato il via a questa tendenza in molti modi quando abbiamo lanciato la campagna Stuxnet contro il programma nucleare iraniano. In realtà ha dato il via ad una risposta, una sorta di azione di ritorsione da parte dell’Iran, dove si sono resi conto di essere stati colti impreparati. Erano molto indietro rispetto alla curva tecnologica rispetto agli Stati Uniti e alla maggior parte degli altri paesi. E questo sta accadendo in tutto il mondo oggigiorno, dove si rendono conto di essere stati colti di sorpresa. Sono vulnerabili. Non hanno la capacità di reagire a qualsiasi tipo di campagna informatica portata contro di loro.

Gli iraniani hanno preso di mira le società commerciali aperte degli alleati degli Stati Uniti. Saudi Aramco, la compagnia petrolifera locale, ha inviato quello che viene chiamato un virus wiper, che in realtà è una specie di Fisher Price, la prima campagna informatica di hacking del bambino. Non è sofisticato. Non è elegante. Basta inviare un worm, fondamentalmente un software dannoso autoreplicante, nella rete presa di mira. Quindi si replica automaticamente attraverso la rete interna e poi cancella semplicemente tutte le macchine. Quindi le persone vanno al lavoro il giorno dopo e non succede nulla. E li mette fuori mercato per un periodo di tempo.

Ma con le capacità IT aziendali, non è banale, ma non è impossibile ripristinare l'operatività di un'azienda in un tempo abbastanza breve. Puoi immaginare tutte le postazioni di lavoro. Puoi ripristinare i tuoi backup da nastro. Puoi eseguire quelli che vengono chiamati ripristini bare metal, in cui ottieni hardware completamente nuovo che corrisponde al tuo vecchio hardware, se l'hardware stesso era rotto, e praticamente dipingilo, ripristina i dati proprio come lo era la destinazione originale e sei tornato in chiaro. Stai andando avanti.

Ora, questo è qualcosa che le persone non comprendono appieno riguardo agli attacchi informatici, ovvero che la maggior parte di essi sono dirompenti, ma non necessariamente distruttivi. Uno dei principali elementi di differenziazione del nostro livello di sofisticazione e degli attori a livello nazionale è che stanno perseguendo sempre più la capacità di lanciare attacchi informatici distruttivi, in contrapposizione a quelli dirompenti che normalmente si vedono online, attraverso manifestanti, attivisti, negazione di attacchi ai servizi e così via. E questo è un perno che sarà molto difficile per noi da percorrere.

Bamford: Lasciate che vi chieda questo, perché questo è il fulcro del programma qui. È un punto focale perché pochissime persone ne hanno mai discusso prima, ed è un punto centrale perché gli Stati Uniti hanno lanciato il loro primo vero attacco informatico distruttivo, l'attacco Stuxnet, come hai menzionato, in Iran. Potete semplicemente dirmi che tipo di pietra miliare è stata per gli Stati Uniti lanciare il loro primo vero attacco informatico distruttivo?

Snowden: Beh, è ​​difficile dire che sia la prima in assoluto, perché l'attribuzione è sempre difficile con questo tipo di campagne. Ma è giusto dire che si è trattato dell’attacco informatico più sofisticato che qualcuno avesse mai visto all’epoca. E il fatto che sia stato lanciato come parte di una campagna autorizzata dagli Stati Uniti ha segnato un cambiamento radicale rispetto alla nostra tradizionale analisi dei livelli di rischio che vogliamo assumerci in caso di ritorsione.

Quando si utilizza qualsiasi tipo di funzionalità basata su Internet, qualsiasi tipo di funzionalità elettronica, per causare danni a un ente privato, a una nazione straniera o a un attore straniero, si tratta di potenziali atti di guerra. Ed è fondamentale tenerlo a mente quando discutiamo su come vogliamo utilizzare questi programmi, queste capacità, dove vogliamo tracciare il limite e chi dovrebbe approvare questi programmi, queste decisioni e a quale livello, per impegnarsi in operazioni che potrebbero portarci come nazione in una guerra.

La realtà è che se ci sediamo e permettiamo ad alcuni funzionari a porte chiuse di lanciare attacchi offensivi senza alcuna supervisione contro nazioni straniere, contro persone che non ci piacciono, contro gruppi politici, radicali ed estremisti con le cui idee potremmo non essere d'accordo, e potrebbe essere ripugnante o addirittura violento: se lasciamo che ciò accada senza il consenso pubblico, non avremo alcun posto al tavolo del governo per decidere se è appropriato o meno che questi funzionari ci trascinino in qualche tipo di attività bellica che non vogliamo, ma di cui non eravamo consapevoli in quel momento.

Bamford: E quello di cui sembra che tu stia parlando è anche l'effetto contraccolpo. In altre parole, se lanciamo un attacco utilizzando la guerra cibernetica, un attacco distruttivo, corriamo il rischio di essere il paese più industrializzato e connesso elettronicamente al mondo, e questo è un grosso problema per gli Stati Uniti. È questo il tuo pensiero?

Snowden: Sono d’accordo sul fatto che quando si tratta di guerra informatica, abbiamo più da perdere di qualsiasi altra nazione sulla terra. Il settore tecnico è la spina dorsale dell'economia americana, e se cominciamo ad adottare questo tipo di comportamenti, in questo tipo di attacchi, stiamo stabilendo uno standard, stiamo creando una nuova norma internazionale di comportamento che dice che questo è ciò che le nazioni lo fanno. Questo è ciò che fanno le nazioni sviluppate. Questo è ciò che fanno le nazioni democratiche. Quindi altri paesi che non rispettano le regole quanto noi andranno ancora oltre.

E la realtà è che quando si tratta di conflitti informatici tra, ad esempio, l’America e la Cina o anche una nazione del Medio Oriente, una nazione africana, una nazione dell’America Latina, una nazione europea, abbiamo più da perdere. Se attacchiamo un’università cinese e rubiamo i segreti del loro programma di ricerca, quanto è probabile che ciò avrà più valore per gli Stati Uniti rispetto a quando i cinesi reagiranno e ruberanno segreti da un’università americana, da un appaltatore della difesa americano, da un'agenzia militare americana?

Spendiamo di più in ricerca e sviluppo rispetto a questi altri paesi, quindi non dovremmo rendere Internet un territorio più ostile e più aggressivo. Dovremmo raffreddare le tensioni, renderlo un ambiente più affidabile, renderlo un ambiente più sicuro, renderlo un ambiente più affidabile, perché questo è il fondamento della nostra economia e del nostro futuro. Dobbiamo poter contare su una rete Internet sicura e interconnessa per poter competere.

Bamford: Dove pensi che andrà tutto questo in termini di distruzione? In Iran, ad esempio, hanno distrutto le centrifughe. Ma quali altri tipi di cose potrebbero essere prese di mira? Centrali elettriche o dighe? Quale ritiene che sia il danno potenziale finale che potrebbe derivare da un attacco di guerra informatica?

Snowden: Quando le persone concettualizzano un attacco informatico, tendono a pensare a parti delle infrastrutture critiche come centrali elettriche, forniture idriche e tipi simili di infrastrutture pesanti, aree di infrastrutture critiche. E potrebbero essere colpiti, purché siano connessi alla rete, purché abbiano qualche tipo di sistema che interagisce con loro e che possa essere manipolato dalla connessione Internet.

Tuttavia, ciò che trascuriamo e che ha un valore molto maggiore per noi come nazione è Internet stesso. Internet è un’infrastruttura fondamentale per gli Stati Uniti. Usiamo Internet per ogni comunicazione su cui le aziende fanno affidamento ogni giorno. Se un avversario non prendesse di mira le nostre centrali elettriche ma prendesse di mira i router principali, le dorsali che collegano insieme le nostre connessioni Internet, intere parti degli Stati Uniti potrebbero essere tagliate fuori. Potrebbero essere messi offline e noi rimarremmo nell’oscuro della nostra economia e dei nostri affari per minuti, ore, giorni. Ciò avrebbe un impatto enorme su di noi come società e avrebbe una reazione politica.

La soluzione, tuttavia, non è quella di dare al governo più autorità segrete per mettere kill switch, monitor e dispositivi di spionaggio su Internet. Si tratta di riordinare le nostre priorità su come affrontiamo le minacce alla sicurezza della nostra infrastruttura critica, per la nostra infrastruttura elettronica. E ciò significa prendere organismi come la National Security Agency che tradizionalmente si occupano di proteggere la nazione e assicurarsi che questo sia il loro obiettivo principale.

Negli ultimi 10 anni, abbiamo visto... negli ultimi 10 anni, abbiamo visto un allontanamento dal ruolo tradizionale di raccolta di informazioni di intelligence all'estero, correlato alla risposta alle minacce che sono...

Bamford: Prenditi il ​​tuo tempo.

Snowden: Giusto. Ciò che abbiamo visto negli ultimi dieci anni è che abbiamo assistito ad un allontanamento dal lavoro tradizionale della National Security Agency. Sono diventati una specie di agenzia nazionale di hacking, di sorveglianza nazionale. E hanno perso di vista il fatto che tutto ciò che fanno dovrebbe renderci più sicuri come nazione e società.

L'Agenzia per la sicurezza nazionale è composta da due metà, una che si occupa della difesa e l'altra che si occupa dell'offesa. Michael Hayden e Keith Alexander, gli ex direttori della NSA, hanno spostato quelle priorità, perché quando sono andati al Congresso, hanno visto che avrebbero potuto ottenere più soldi dal budget se avessero pubblicizzato il loro successo nell'attacco, perché nessuno è mai veramente interessato a fare il duro opera di difesa.

Ma il problema è che quando si riduce la priorità della difesa, si mettono tutti noi a rischio. All’improvviso, politiche che sarebbero state incredibili e incomprensibili anche 20 anni fa sono oggi all’ordine del giorno. Vedi decisioni prese da queste agenzie che le autorizzano a installare backdoor nella nostra infrastruttura critica, che consentono loro di sovvertire gli standard tecnici di sicurezza che mantengono sicura la tua comunicazione quando visiti un sito web bancario online o invii un'e-mail a un amico o accedi a Facebook .

E la realtà è che quando rendi questi sistemi vulnerabili in modo da poter spiare altri paesi e condividere gli stessi standard che quei paesi hanno per i loro sistemi, stai anche rendendo il tuo paese più vulnerabile agli stessi attacchi. Ci stiamo aprendo agli attacchi. Stiamo abbassando i nostri scudi per permetterci di avere un vantaggio quando attacchiamo altri paesi all'estero, ma la realtà è che quando si confronta una delle nostre vittorie con una delle loro vittorie, il valore dei dati, la conoscenza, le informazioni ottenute da questi attacchi sono molto più gravi per loro che per noi, perché siamo già in cima. È molto più facile trascinarci giù che prendere da loro qualche conoscenza incrementale e costruirci.

Bamford: Parli in particolare della Cina?

Snowden: Sto parlando della Cina e di ogni paese che dispone di un solido programma di raccolta di informazioni ben finanziato nel campo dell’intelligence dei segnali. Ma il punto è che dobbiamo riportare la sicurezza nella National Security Agency. Non possiamo avere l'agenzia di sorveglianza nazionale. Dobbiamo andare, guarda, la cosa più importante per noi è non poter attaccare i nostri avversari, la cosa più importante è saperci difendere. E non possiamo farlo finché sovvertiamo i nostri standard di sicurezza per motivi di sorveglianza.

Bamford: Si tratta di una combinazione molto strana, in cui metà della NSA, la direzione per la garanzia delle informazioni, che ha il compito di proteggere il paese dagli attacchi informatici, coesiste con la direzione della Signals Intelligence e il Cyber ​​Command, che è praticamente concentrato su creando debolezze. Puoi dirmi qualcosa su come funziona, sull'uso delle vulnerabilità, degli impianti e degli exploit?

Snowden: In generale, esistono numerosi termini diversi utilizzati nel CNO, il mondo delle operazioni delle reti di computer.

In generale, esistono numerosi termini diversi utilizzati per definire il gergo nel mondo delle operazioni di rete di computer. C'è CNA, attacco di rete informatica, che consiste nel negare, degradare o distruggere il funzionamento di un sistema. C'è CND, difesa della rete informatica, che protegge i sistemi, che rileva le vulnerabilità, nota le intrusioni, le interrompe e le ripara, tappando i buchi. E c'è il CNE, lo sfruttamento delle reti informatiche, che irrompe in un sistema e lascia qualcosa dietro, questa sorta di orecchio elettronico che ti permetterà di monitorare tutto ciò che accadrà da quel momento in poi. Il CNE viene tipicamente utilizzato per lo spionaggio, per spiare.

Per raggiungere questi obiettivi, utilizziamo cose come exploit, impianti, vulnerabilità e così via. Una vulnerabilità è una debolezza in un sistema, in cui un programma per computer ha un difetto nel suo codice che, quando pensa di eseguire una normale attività di routine, in realtà è stato indotto con l'inganno a fare qualcosa che l'aggressore gli chiede di fare. Ad esempio, invece di caricare un file per visualizzare un'immagine online, potresti caricare un po' di codice che verrà poi eseguito dal sito web.

 

Oppure, invece di accedere a un sito web, potresti inserire un codice nel campo del nome utente o della password, e questo sfonderebbe i confini della memoria, che avrebbe dovuto proteggere il programma, nello spazio eseguibile delle istruzioni del computer. Ciò significa che quando il computer esegue i passaggi di ciò che dovrebbe accadere, va, sto cercando l'accesso dell'utente. Questo è il nome utente. Questa è la parola d'ordine. E poi quando dovrebbe andare, controlla che siano corrette, se metti qualcosa che è troppo lungo nel campo della password, in realtà sovrascrive le istruzioni successive per il computer. Quindi non sa che dovrebbe verificare la password. Invece, dice, dovrei creare un nuovo account utente con i massimi privilegi e aprire una porta affinché l'avversario possa accedere alla mia rete, e così via.

Le vulnerabilità sono generalmente punti deboli che possono essere sfruttati. L'exploit stesso è costituito da piccoli spessori di codice informatico che ti consentono di eseguire qualsiasi tipo di programma desideri.

Gli exploit sono gli spessori di codice del computer che incastri nelle vulnerabilità per permetterti di prendere il controllo di un sistema, per accedervi, per dire a quel sistema cosa volevi fare. Dietro l'exploit c'è il carico utile o l'impianto. L'exploit è ciò che ti incunea nel sistema. Il carico utile sono le istruzioni lasciate indietro. Ora, quelle istruzioni spesso dicono di installare un impianto.

L'impianto è un vero e proprio programma che viene eseguito (rimane indietro dopo che si è verificato l'exploit) e dice: dimmi tutti i file su questa macchina. Crea un elenco di tutti gli utenti. Invia ogni nuova email o ogni nuova sequenza di tasti registrata su questo programma ogni giorno alla mia macchina come aggressore, o qualsiasi cosa tu possa immaginare. Può anche dire alle centrifughe nucleari di ruotare fino al massimo numero di giri e poi di rallentare abbastanza velocemente da non essere notate da nessuno. Può dire a una centrale elettrica di andare offline.

Oppure potrebbe dire, fammi sapere cosa fa ogni giorno questo dissidente, perché vive sul suo cellulare e tiene traccia di tutti i suoi movimenti, chi chiama, con chi si associa, quale dispositivo wireless si trova nelle vicinanze. In realtà un exploit è solo limitato, o non è un exploit. Un impianto è limitato solo dall’immaginazione. Qualunque cosa tu possa programmare per fare un computer, puoi programmare un impianto per farlo.

Bamford: Quindi hai l'impianto e poi hai il carico utile, giusto?

Snowden: Il carico utile include l'impianto. L'exploit è ciò che sostanzialmente irrompe nella vulnerabilità. Il carico utile è ciò che viene eseguito dall'exploit e si tratta fondamentalmente di una sorta di codice eseguibile. E l'impianto è un carico utile che viene lasciato indietro a lungo termine, una specie di programma fondamentalmente di ascolto, qualche programma di spionaggio o qualche tipo di programma distruttivo.

Bamford: Intervistarti è come fare il servosterzo. Non devo tirarlo fuori.

Snowden: Sì, scusa, sono un po' divagato con le mie risposte, e le risposte politiche non sono molto forti, ma non sono un politico, quindi sto solo facendo del mio meglio con queste.

Bamford: Non è il telegiornale della sera, quindi abbiamo un'ora.

Snowden: Sì, spero che lo taglierete, così non sarà così terribile.

Produttore: Abbiamo due telecamere e possiamo ritagliare le tue parole.

Snowden: (risate) Fantastico.

Produttore: Ma non lo faremo.

Bamford: Dovrei menzionare questo impianto adesso: l'impianto somiglia un po' a quelli che erano gli agenti dormienti ai vecchi tempi della Guerra Fredda, dove c'era un agente seduto lì che può fare qualsiasi cosa. Può fare sabotaggio. Può fare spionaggio. Può fare qualunque cosa. E guardando una di quelle diapositive che ne sono uscite, la cosa veramente affascinante è stato il fatto che la diapositiva era una mappa del mondo, e sopra c'erano dei piccoli punti gialli. I puntini gialli erano indicati come CNE, sfruttamento della rete informatica. E ti aspetti di vederli in Corea del Nord, in Cina e in altri posti del genere. Ma la cosa interessante quando l'abbiamo guardato è che ce n'erano parecchi in Brasile, per esempio, e in altri posti che erano paesi amici. Qualche idea sul perché gli Stati Uniti vorrebbero fare qualcosa del genere?

Snowden: Quindi il modo in cui opera la comunità dell'intelligence degli Stati Uniti non si limita alla protezione della patria. Non si limita a contrastare le minacce terroristiche, contrastando la proliferazione nucleare. Viene utilizzato anche per lo spionaggio economico, per lo spionaggio politico per acquisire una certa conoscenza di ciò che stanno facendo gli altri paesi. E nell’ultimo decennio, questo è andato troppo oltre.

Nessuno sosterrebbe che sia nell'interesse degli Stati Uniti avere una conoscenza indipendente dei piani e delle intenzioni dei paesi stranieri. Ma dobbiamo pensare a dove tracciare il limite su questo tipo di operazioni in modo da non attaccare sempre i nostri alleati, le persone di cui ci fidiamo, le persone su cui dobbiamo contare e che loro a loro volta facciano affidamento su di noi. Non c’è alcun vantaggio nel fatto che gli Stati Uniti hackerino il cellulare di Angela Merkel. Il presidente Obama ha detto che se avesse avuto bisogno di sapere cosa stava pensando, avrebbe semplicemente preso il telefono e l'avrebbe chiamata. Ma a quanto pare non era a conoscenza del fatto che la NSA stesse facendo proprio questo. Queste sono cose simili che vediamo accadere in Brasile, Francia, Germania e in tutti questi altri paesi, queste nazioni alleate in tutto il mondo.

E bisogna anche ricordare che quando parliamo di sfruttamento della rete informatica, di attacco alla rete informatica, non parliamo solo del PC di casa. Non stiamo parlando solo di un sistema di controllo in una fabbrica da qualche parte. Stiamo parlando del tuo cellulare e stiamo anche parlando degli stessi router Internet. La NSA e le sue agenzie sorelle stanno attaccando l’infrastruttura critica di Internet per cercare di assumerne la proprietà. Hanno hackerato i router che collegano le nazioni a Internet stessa.

E questo è pericoloso per una serie di ragioni. Ci fornisce un reale vantaggio in termini di intelligence, ma allo stesso tempo rappresenta un rischio serio. Se una di queste operazioni di hacking va storta, e questo è successo in passato, e si tratta di un router principale che collega a Internet tutti i fornitori di servizi Internet di un intero paese, escluderemo l'intera nazione dall'accesso online fino a quando quel problema può essere corretto. E questi router non sono i tuoi piccoli router Linksys, D-Link seduti a casa. Stiamo parlando di dispositivi da 60,000, 600,000, 6 milioni di dollari, complessi che non sono facili da riparare e non hanno un sostituto pronto per essere sostituito.

Quindi dobbiamo stare molto attenti e dobbiamo assicurarci che ogni volta che siamo impegnati in una campagna di guerra informatica, una campagna di spionaggio informatico negli Stati Uniti, comprendiamo che la parola cyber è usata come eufemismo per indicare Internet, perché il pubblico americano non sarebbe entusiasta di sapere che stiamo facendo campagne di guerra su Internet, campagne di spionaggio su Internet, perché ci rendiamo conto che noi stessi ne siamo colpiti. Internet è un’infrastruttura critica condivisa per tutti sulla terra. Non dovrebbe essere un dominio di guerra. Non dovremmo mettere la nostra economia in prima linea nel campo di battaglia. Ma questo è sempre più ciò che accade oggi.

Quindi dobbiamo mettere in atto processi, politiche e procedure con leggi reali che proibiscano di andare oltre i confini di ciò che è ragionevole per garantire che l'unica volta in cui noi e altri paesi nel mondo esercitiamo queste autorità sia quando è assolutamente necessario, c'è non sono mezzi alternativi per ottenere il risultato appropriato ed è proporzionato alla minaccia. Non dovremmo mettere a rischio l’infrastruttura di un’intera nazione per spiare un’azienda, per spiare una persona. Ma oggi vediamo che ciò accade sempre di più.

Bamford: Hai menzionato i problemi, i pericoli che si corrono se si tenta di mettere un exploit nel sistema nervoso centrale di qualche paese quando si tratta di Internet. Ad esempio, in Siria, c’è stato un tempo in cui tutto è andato storto, e la colpa è stata data al presidente siriano, Bashar al-Assad. Ne avevi una conoscenza particolare?

Snowden: In realtà non voglio entrare in quella cosa davanti alla telecamera, quindi dovrò obiettare su questo.

Bamford: Puoi parlarne in qualche modo?

Snowden: Quello che direi è che quando attacchi un router su Internet, e lo fai da remoto, è come cercare di sparare alla luna con un fucile. Tutto deve accadere esattamente nel modo giusto. Ogni singola variabile deve essere controllata e contabilizzata con precisione. E questo non è possibile farlo quando hai una conoscenza limitata del bersaglio che stai attaccando.

Quindi, se hai questo router gigantesco che stai cercando di hackerare e vuoi hackerarlo in un modo che non sia rilevabile dagli amministratori di sistema di quel dispositivo, devi scendere al di sotto del livello del sistema operativo di quel dispositivo, o quel router. Non dove dice: ecco le regole, ecco gli account utente, ecco i percorsi e le informazioni tecniche adeguate a cui tutti coloro che amministrano questo dispositivo dovrebbero avere accesso. Giù al livello del firmware, al livello di controllo hardware del dispositivo che nessuno vede mai, perché è una specie di luogo oscuro.

Il problema è che se commetti un errore quando manipoli il controllo hardware di un dispositivo, puoi fare quello che viene chiamato bricking dell'hardware, e lo trasforma da un dispositivo di comunicazione Internet da 6 milioni di dollari a un fermacarte da 6 milioni di dollari che è in mezzo a le comunicazioni dell'intera nazione. E questo è qualcosa che tutto quello che posso dire è che è successo in passato.

Bamford: Quando eravamo in Brasile, ci è stato mostrato questo importante servizio di connessione internet. Era il più grande hub Internet dell'emisfero meridionale e si trova in Brasile. E i brasiliani erano molto preoccupati perché, ancora una volta, hanno visto la diapositiva che mostrava tutto questo malware impiantato in Brasile. È una preoccupazione reale che dovrebbero avere, il fatto che, in primo luogo, hanno questo enorme hub internet situato proprio a San Paolo, e poi, in secondo luogo, hanno la NSA che inonda il paese di malware?

Snowden: Lo scambio Internet è una specie di punto centrale in cui tutti i cavi internazionali si uniscono, dove tutti i fornitori di servizi Internet si uniscono e scambiano linee tra loro, dove ci muoviamo da percorsi separati, autostrade separate su Internet in una sola rotatoria coerente dove tutti possono salire e scendere all'uscita che desiderano. Questi sono obiettivi prioritari per qualsiasi tipo di agenzia di spionaggio, perché forniscono accesso alle comunicazioni di così tante persone.

Scambi Internet e fornitori di servizi Internet – punti di atterraggio internazionali della fibra ottica – questi sono gli strumenti chiave che i governi perseguono per abilitare i loro programmi di sorveglianza di massa. Se vogliono essere in grado di monitorare l'intera popolazione di un paese anziché un singolo individuo, devono perseguire quegli scambi di massa. Ed è quello che sta succedendo.

Quindi è una minaccia reale, e l'unico modo per tenerne conto è assicurarsi che ci sia una sorta di controllo e verifica indipendente, una sorta di indagini forensi di routine su questi dispositivi, per garantire che non solo fossero sicuri quando sono stati utilizzati. sono stati installati, ma non sono stati monitorati, manomessi o modificati in alcun modo da quando è avvenuto l'ultimo controllo. E ciò richiede cose come la creazione di prove matematiche chiamate hash della validità della firma hardware effettiva e delle firme software su questi dispositivi e sul loro hardware.

Bamford: Un'altra area: hai menzionato il comitato presidenziale che ha esaminato tutte queste aree che destano preoccupazione ora, che sostanzialmente hai messo in evidenza queste aree. E il comitato presidenziale ha espresso, credo, 46 ​​raccomandazioni diverse. Una di queste raccomandazioni riguardava la limitazione dell'uso o la riduzione o forse addirittura l'eliminazione dell'idea di perseguire gli exploit zero-day. Puoi parlarmi un po’ dei tuoi timori che potresti avere riguardo alla creazione di questo mercato di exploit zero-day da parte degli Stati Uniti?

Snowden: Quindi un exploit zero-day è un metodo per hackerare un sistema. È una specie di vulnerabilità per la quale è scritto un exploit, una specie di chiave e un lucchetto che vanno insieme a un dato pacchetto software. Potrebbe essere un server web Internet. Potrebbe essere Microsoft Office. Potrebbe essere Adobe Reader o potrebbe essere Facebook. Ma questi exploit zero-day vengono chiamati zero-day perché lo sviluppatore del software ne è completamente all'oscuro. Non hanno avuto alcuna possibilità di reagire, rispondere e cercare di eliminare quella vulnerabilità e chiuderla.

Il pericolo che corriamo in termini di politica di stoccaggio di zero-day è che stiamo creando un sistema di incentivi nel nostro paese e per altri paesi nel mondo che imitano il nostro comportamento o che lo vedono come una tacita autorizzazione a svolgere lo stesso tipo di operazione è che stiamo creando una classe di ricercatori sulla sicurezza Internet che ricercano le vulnerabilità, ma poi invece di rivelarle ai produttori di dispositivi per ripararle e renderci più sicuri, le vendono alle agenzie segrete.

Li vendono sul mercato nero a gruppi criminali per poterli sfruttare per attaccare obiettivi. E questo ci lascia molto meno sicuri, non solo a livello individuale, ma a livello sociale in generale, a livello economico in generale. E oltre a ciò, crea un nuovo mercato nero per le armi informatiche, fondamentalmente armi digitali.

E c'è una piccola questione di libertà di parola coinvolta nella regolamentazione di questo, perché le persone devono essere libere di indagare sulla sicurezza informatica. Le persone devono essere libere di cercare queste vulnerabilità e creare un codice di prova per dimostrare che si tratta di vere vulnerabilità affinché possiamo proteggere i nostri sistemi. Ma è opportuno regolamentare l’uso e la vendita degli exploit zero-day per scopi nefasti, nello stesso modo in cui si regolerebbe qualsiasi altra arma militare.

E oggi non lo facciamo. Ed è per questo che vediamo un mercato nero in crescita con aziende come Endgame, con aziende come Vupen, dove tutto ciò che fanno: il loro intero modello di business è trovare vulnerabilità nei pacchetti software infrastrutturali più critici che abbiamo in Internet in tutto il mondo, e invece di risolverli vulnerabilità, le aprono e lasciano che i loro clienti vi entrino, e cercano di nascondere la conoscenza di questi exploit zero-day il più a lungo possibile per aumentare il loro valore commerciale e i loro ricavi.

Bamford: Ora, di quelle 46 raccomandazioni, inclusa quella sugli exploit zero-day formulata dal comitato, il presidente Obama ne ha approvate solo forse cinque o sei al massimo, e non sembrava parlare affatto di la raccomandazione sull'exploit zero-day. Cosa ne pensi del fatto che sia stato in un certo senso ignorato dal Presidente?

Snowden: Non posso commentare le politiche presidenziali. Questa è una mina per me. Ti consiglierei di chiedere a Chris Soghoian dell'ACLU, American Civil Liberties Union, e lui potrà fornirti qualsiasi citazione tu voglia al riguardo. Non hai bisogno che io parli di questo punto, ma hai assolutamente ragione nel dire che dove c'è fumo, c'è fuoco, per quanto riguarda questo.

Bamford: Bene, come qualcuno che ha lavorato alla NSA, è stato lì per molto tempo, durante quel periodo eri lì, hanno creato tutta questa nuova organizzazione chiamata Cyber ​​Command. Cosa ne pensi della creazione di questa nuova organizzazione, proprio come la NSA, sotto il direttore della NSA? Ancora una volta, tornando indietro, il direttore della NSA fin dall'inizio aveva solo tre stelle, e ora è un generale a quattro stelle, o un ammiraglio a quattro stelle, e ha questa enorme agenzia di intelligence più grande del mondo, la NSA, sotto di lui, e ora ha il Cyber ​​Command. Cosa ne pensi, dopo averlo visto dall'interno?

Snowden: L'anno scorso c'è stato un forte dibattito sull'opportunità o meno di dividere la National Security Agency e il Cyber ​​Command in due agenzie indipendenti, e questo è stato quello che il comitato di revisione indipendente del Presidente ha suggerito fosse il metodo appropriato, perché quando hai un'agenzia che dovrebbe farlo essere difensivo sposato con un'agenzia il cui scopo nella vita è rompere le cose e dar loro fuoco, si ha un conflitto di interessi che ridurrà davvero l'influenza dell'agenzia difensiva, mentre il ramo offensivo acquisisce più influenza, guadagnano più dollari in bilancio, più billette e incarichi di personale.

Quindi c’è un pericolo reale che ciò accada. E lo stesso Cyber ​​Command è sempre esistito in... Lo stesso Cyber ​​Command è sempre stato marchiato in modo fuorviante fin dal suo inizio. Il direttore della NSA, quando lo presentò, quando cercò di farlo approvare, disse che voleva fosse chiaro che questa non era una squadra difensiva. Era una squadra che difendeva la nazione. Sta dicendo che è difensivo e non difensivo allo stesso tempo.

Ora, il motivo per cui lo dice è perché è un'agenzia d'attacco, ma uscire di fronte al pubblico e chiedere loro di approvare un'agenzia focalizzata sulla guerra aggressiva di cui non abbiamo bisogno è difficile da vendere. È molto meglio se diciamo, ehi, questo è per proteggerci, questo è per tenerci al sicuro, anche se tutto ciò che fa ogni giorno è bruciare e rompere cose in paesi stranieri con cui non siamo in guerra.

Quindi c'è un vero e proprio attento equilibrio che deve essere raggiunto lì e che non è stato ancora affrontato, ma finché la National Security Agency e il Cyber ​​Command esisteranno sotto lo stesso tetto, vedremo il lato offensivo della loro attività avere la priorità rispetto a quello lato difensivo del business, che è molto più importante per noi come Paese e come società.

Bamford: E prima hai menzionato, se solo potessimo tornare indietro un po', quanti più soldi verranno destinati al momento dell'offensiva informatica che a quello della difensiva informatica. Non solo più soldi, ma più personale, più attenzione, più concentrazione.

Snowden: In realtà non ho capito la domanda su quello.

Bamford: Mi chiedevo solo se potessi approfondire un po' di più l'argomento. Ancora una volta, abbiamo il Cyber ​​Command e abbiamo la Information Assurance Division e così via, e ci sono molti più soldi, personale e enfasi sul lato della guerra informatica che su quello difensivo.

Snowden: Penso che il punto chiave nell'analisi dell'equilibrio e del risultato in termini di attacco contro difesa presso la National Security Agency e il Cyber ​​Command sia che, sempre di più, ciò che leggiamo sui giornali e ciò che vediamo dibattere al Congresso , il fatto che il Senato stia ora cercando di presentare un disegno di legge chiamato CISPA, Cyber ​​Intelligence Sharing - non so nemmeno come si chiama - lasciatemi riprendere l'argomento.

Vediamo sempre più cose che accadono, come la presentazione da parte del Senato di un disegno di legge chiamato CISPA, che riguarda la condivisione della cyber intelligence tra aziende private e agenzie governative, in cui si cerca di autorizzare non solo l'immunità totale, una concessione di immunità totale, a le società private se condividono le informazioni su tutti i loro clienti, su tutti i cittadini americani e quant'altro che utilizzano i loro servizi, con le agenzie di intelligence, con l'intento che tali informazioni siano utilizzate per proteggerle.

Il Congresso sta anche cercando di immunizzare le aziende in modo da consentire loro di invitare gruppi come la National Security Agency o l'FBI a installare volontariamente dispositivi di sorveglianza sulle loro reti interne, con l'intento dichiarato di rilevare gli attacchi informatici nel momento in cui si verificano ed essere in grado di rispondere ad essi. Ma stiamo cedendo molta autorità lì. Stiamo immunizzando le aziende dalla due diligence e proteggendo i diritti alla privacy dei loro clienti.

In realtà, questo è un punto troppo difficile da sottolineare nell'intervista. Permettimi di tornare indietro.

Ciò che vediamo sempre di più è una sorta di collasso dell’Agenzia per la sicurezza nazionale. Sta diventando sempre meno l'Agenzia per la Sicurezza Nazionale e sempre più l'agenzia di sorveglianza nazionale. Sta acquisendo sempre più poteri offensivi ogni anno che passa. Ha ottenuto questo nuovo Cyber ​​Command sotto il direttore della NSA che in ogni caso dovrebbe essere un'organizzazione completamente separata perché ha una missione completamente separata. Non fa altro che attaccare.

E questo ci mette, sia come nazione che come economia, in uno stato di vulnerabilità permanente e di rischio permanente, perché quando perdiamo un’Agenzia per la sicurezza nazionale e otteniamo invece un’agenzia offensiva, al suo posto otteniamo un’agenzia d’attacco, tutti i nostri gli occhi guardano verso l'esterno, ma non verso l'interno, dove abbiamo più da perdere. Ed è così che continuiamo a perdere gli attacchi. Ciò si traduce in fallimenti dell’intelligence come gli attentati della maratona di Boston o l’attentatore della biancheria intima, Abdul Farouk Mutallab (sic).

Negli ultimi anni, la maggior parte degli attacchi terroristici sventati negli Stati Uniti sono stati sventati a causa di cose come l’attentatore di Time Square, catturato da un venditore di hotdog, non per un programma di sorveglianza di massa, non per una campagna di cyber-spionaggio.

Quindi, quando cannibalizziamo i dollari provenienti dalle attività difensive della NSA, assicurando le nostre comunicazioni, proteggendo i nostri sistemi, riparando le vulnerabilità zero-day, e invece diamo loro quei dollari da utilizzare per creare nuove vulnerabilità nei nostri sistemi in modo che possano possono sorvegliare noi e altre persone all'estero che utilizzano gli stessi sistemi. Quando diamo quei dollari per sovvertire i nostri metodi di crittografia in modo da non avere più privacy online e utilizziamo tutti quei soldi per attaccare paesi stranieri, stiamo aumentando lo stato di conflitto, non solo in termini diplomatici, ma in termini della minaccia alle nostre infrastrutture critiche.

Quando in futuro le luci di una centrale elettrica si spegneranno, sapremo che è una conseguenza della depriorizzazione della difesa in nome di un vantaggio in termini di attacco.

Bamford: Un altro problema che penso sia che la gente pensa che, come hai detto tu, giusto per chiarire questo, le persone là fuori che non seguono veramente questo pensiero pensano da vicino che l'intera idea del Cyber ​​Command fosse quella di proteggere il paese dal cyber- attacchi. È un malinteso il fatto che queste persone pensino che l'idea stessa del Cyber ​​Command sia quella di proteggerli dagli attacchi informatici?

Snowden: Bene, se chiedi a qualcuno del Cyber ​​Command o guardi gli annunci di lavoro per cercare posizioni aperte, vedrai che l'unica cosa a cui non danno priorità è la difesa della rete informatica. Al Cyber ​​Command si tratta di attacchi e sfruttamento di reti di computer. E c'è da chiedersi, se queste sono persone che dovrebbero difendere le nostre infrastrutture critiche a casa, perché passano così tanto tempo a cercare come attaccare le reti, come rompere i sistemi e come disattivare le cose? Non penso che rappresenti una squadra difensiva.

Bamford: Ora, guardando anche un po' al futuro, sembra che ci sia la possibilità che gran parte di questo possa essere automatizzato, in modo che quando il Cyber ​​Command o la NSA vedono arrivare un potenziale attacco informatico, potrebbero esserci dei dispositivi automatici che potrebbero in sostanza, rispondete al fuoco. E dato il fatto che è molto difficile... o lasciarmi tornare indietro. Dato che è così facile per un paese mascherare la provenienza di un attacco, vedete un problema nel caso in cui si automatizzano sistemi che rispondono automaticamente al fuoco, e questi potrebbero rispondere al paese sbagliato, e potrebbero finire per iniziare una guerra?

Snowden: Giusto. Quindi non voglio rispondere alla prima parte della tua domanda, ma posso usare la seconda parte, che è relativa all'attribuzione e alla risposta automatizzata. Cioè... è intrinsecamente pericoloso automatizzare qualsiasi tipo di risposta aggressiva a un evento rilevato a causa di falsi positivi.

Diciamo che abbiamo un sistema difensivo legato a una capacità di attacco informatico utilizzata in risposta. Ad esempio, viene creato un sistema che dovrebbe riconoscere gli attacchi informatici provenienti dall'Iran, gli attacchi Denial of Service contro una banca. Rilevano quello che sembra essere un attacco in arrivo e, invece di intraprendere semplicemente un'azione difensiva, invece di bloccarlo semplicemente sul firewall e scaricare il traffico in modo che finisca nel cestino e nessuno lo veda mai (nessun danno), va un ulteriore passo avanti e afferma che vogliamo fermare la fonte di tale attacco.

Quindi lanceremo un attacco informatico automatico all’indirizzo IP di origine di quel flusso di traffico e proveremo a mettere in linea quel sistema. Lanciamo un attacco di negazione del servizio in risposta ad esso, per distruggere, degradare o altrimenti diminuire la loro capacità di agire in base a ciò.

Ma se ciò avviene in modo automatizzato, cosa succede quando gli algoritmi sbagliano? Cosa succede se invece di un attacco iraniano si tratta semplicemente di un messaggio diagnostico proveniente da un ospedale? Cosa succede quando in realtà si tratta di un attacco creato da un hacker indipendente, ma hai bloccato un ufficio governativo da cui operava l'hacker? Non era chiaro.

Cosa succede quando l’attacco colpisce un ufficio in cui un hacker di un paese terzo si è introdotto per sferrare l’attacco? E se fosse un hacker cinese a lanciare un attacco da un computer iraniano contro gli Stati Uniti? Quando rispondiamo in modo aggressivo contro un paese straniero, noi Stati Uniti abbiamo affermato nelle nostre politiche che si tratta di un atto di guerra che giustifica una tradizionale risposta militare cinetica.

Stiamo aprendo le porte alle persone che lanciano missili e sganciano bombe escludendo l'essere umano dalla catena decisionale su come dovremmo rispondere a queste minacce. E questo è qualcosa che stiamo vedendo accadere sempre di più con i mezzi tradizionali mentre i nostri metodi di guerra diventano sempre più automatizzati e robotizzati, come attraverso la guerra con i droni. E questa è una linea che noi come società, non solo negli Stati Uniti ma in tutto il mondo, non dobbiamo mai oltrepassare. Non dovremmo mai permettere ai computer di prendere decisioni intrinsecamente governative in termini di applicazione della forza militare, anche se ciò avviene su Internet.

Bamford: E Richard Clarke ha affermato che per noi è più importante difenderci dagli attacchi provenienti dalla Cina piuttosto che attaccare la Cina utilizzando strumenti informatici. Sei d'accordo con questo?

Snowden: Sono assolutamente d'accordo con questo. Il concetto è che non ha molto valore attaccare i sistemi cinesi. Potremmo mettere alcuni computer offline. Potremmo mettere offline una fabbrica. Potremmo rubare segreti dai programmi di ricerca universitari e persino qualcosa di high-tech. Ma quanto spendono in più gli Stati Uniti in ricerca e sviluppo rispetto alla Cina? Difendersi dagli attacchi basati su Internet, dagli attacchi originati da Internet, è molto, molto più importante della nostra capacità di lanciare attacchi contro obiettivi simili in paesi stranieri, perché quando si tratta di Internet, quando si tratta della nostra economia tecnica, abbiamo più da perdere di qualsiasi altra nazione sulla terra.

Bamford: Penso che tu l'abbia detto prima, ma in passato gli Stati Uniti hanno effettivamente utilizzato la guerra informatica per attaccare cose come ospedali e cose del genere in Cina?

Snowden: Quindi non sono capacità di guerra informatica. Sono CNE, sfruttamento delle reti informatiche.

Bamford: Sì, se solo potessi spiegarlo un po'.

Snowden: Non entrerò in questo argomento davanti alla telecamera. Ma quello che le storie hanno mostrato e quello che si può in un certo senso dare voce è che le università cinesi – non solo cinesi, in realtà – lo rimproverano – è che la National Security Agency ha sfruttato gli scambi internet, i fornitori di servizi internet, anche in Belgio – il caso Belgacom – attraverso i loro alleati del GCHQ e del Regno Unito. Hanno attaccato università, ospedali, punti di scambio Internet, fornitori di servizi Internet: l'infrastruttura critica su cui tutti noi nel mondo facciamo affidamento.

Ed è importante ricordare che quando inizi a fare cose come attaccare gli ospedali, quando inizi a fare cose come attaccare le università, quando inizi ad attaccare cose come i punti di scambio internet, quando qualcosa va storto, le persone possono morire. Se l'infrastruttura di un ospedale viene colpita, le attrezzature salvavita si spengono. Quando un punto di scambio Internet va offline e le chiamate Voice over IP con il metodo di comunicazione comune (oggigiorno le reti di telefoni cellulari passano attraverso i punti di comunicazione Internet) le persone non possono chiamare i servizi di emergenza. Gli edifici bruciano. Tutto perché volevamo spiare qualcuno.

Dobbiamo quindi stare molto attenti a dove tracciare il limite e a cosa è assolutamente necessario e proporzionato alla minaccia che dobbiamo affrontare in un dato momento. Non penso che ci sia niente, nessuna minaccia là fuori oggi che qualcuno possa indicare, che giustifichi la messa di un'intera popolazione sotto sorveglianza di massa. Non penso che ci sia alcuna minaccia che dobbiamo affrontare da parte di qualche terrorista nello Yemen che dica che dobbiamo hackerare un ospedale a Hong Kong, Berlino o Rio de Janeiro.

Bamford: So che abbiamo un limite di tempo, ma ci sono domande che non ho...

Produttore: Facciamo una pausa di due minuti qui.

Bamford: Una delle cose più interessanti dell'attacco Stuxnet è che al Presidente – sia al Presidente Bush che al Presidente Obama – è stato detto di non preoccuparsi, nessuno lo scoprirà. Non ci sarà alcun indirizzo del mittente su questo. E numero due, non sfuggirà all'area su cui comunque si stanno concentrando, le centrifughe. Entrambi si sono rivelati sbagliati e il virus è fuggito, è stato rilevato e poi è stato fatto risalire agli Stati Uniti. Quindi è questo uno dei grandi pericoli, il fatto che al Presidente vengano dette queste cose, che il Presidente non ha la capacità di esaminare ogni questione tecnica, e quindi queste cose possono finire per colpirci in faccia?

Snowden: Il problema è che Internet è il sistema più complesso che l’uomo abbia mai inventato. E con ogni operazione abilitata a Internet che abbiamo visto finora, tutte queste operazioni offensive, vediamo effetti a catena. Vediamo conseguenze indesiderate. Vediamo un comportamento emergente, in cui quando mettiamo il piccolo virus malvagio nella grande piscina di tutte le nostre vite private, di tutti i nostri sistemi privati ​​su Internet, tende a scappare e ad attaccarci come Jurassic Park. E per ora non abbiamo trovato alcun modo per impedirlo. E data la complessità di questi sistemi, è molto probabile che non lo faremo mai.

Ciò che dobbiamo fare è creare nuovi standard internazionali di comportamento, non solo leggi nazionali, perché questo è un problema globale. Non possiamo risolvere il problema solo negli Stati Uniti, perché ci sono altri paesi che non seguono le leggi statunitensi. Dobbiamo creare standard internazionali che affermino che questo genere di cose dovrebbero verificarsi solo quando è assolutamente necessario e che la risposta all’operazione sia adattata per essere precisamente contenuta e proporzionata alla minaccia affrontata. E questo è qualcosa che oggi non abbiamo, ed è per questo che vediamo questi problemi.

Bamford: Un altro problema è che, ai tempi della Guerra Fredda – e la maggior parte delle persone lo sanno – quando c’era un numero abbastanza limitato di paesi che potevano effettivamente sviluppare armi nucleari. Fondamentalmente c’erano una manciata di paesi che potevano avere le competenze, prendersi il tempo necessario, trovare il plutonio, mettere insieme un’arma nucleare. Oggi il mondo è completamente diverso e potresti avere un piccolo paese come le Fiji con la capacità di condurre una guerra informatica. Quindi non è limitato come avveniva a quei tempi solo a una manciata di paesi. Ritieni che questo sia un grosso problema con tutta l'idea di entrare nella guerra informatica, dove così tanti paesi hanno la capacità di fare una guerra informatica, e gli Stati Uniti sono il paese tecnologicamente più vulnerabile?

Snowden: Si hai ragione. Il problema è che dipendiamo maggiormente da questi sistemi tecnici. Facciamo più affidamento sull’infrastruttura critica di Internet rispetto a qualsiasi altra nazione là fuori. E quando la barriera per entrare nel campo degli attacchi informatici è così bassa – la guerra informatica come loro preferiscono esaltare la minaccia – stiamo iniziando una battaglia che non possiamo vincere.

Ogni volta che entriamo nel campo di battaglia e il campo di battaglia è Internet, non importa se spariamo ai nostri avversari cento volte e colpiamo ogni volta. Finché ci hanno colpito una volta, abbiamo perso, perché dipendiamo molto di più da questi sistemi. E per questo motivo, dobbiamo concentrarci maggiormente sulla creazione di un Internet più sicuro, più affidabile, più robusto e più fidato, non più debole, non basato su questo modello sistemico di sfruttamento di ogni vulnerabilità, ogni minaccia là fuori. . Ogni volta che qualcuno su Internet ci guarda di traverso, lanciamo un attacco contro di lui. Per noi questo non funzionerà a lungo termine e, se vogliamo avere successo, dobbiamo affrontare il problema.

Bamford: Un'altra cosa di cui il pubblico non ha davvero idea, credo a questo punto, è quanto sia organizzato l'intero Cyber ​​Command e quanto sia aggressivo. La gente non si rende conto che adesso esiste un Cyber ​​Army, una Cyber ​​Air Force, una Cyber ​​Navy. E il fatto che i modelli per alcune di queste organizzazioni come la Cyber ​​Navy sono cose come se domineremo il cyberspazio nello stesso modo in cui dominiamo il mare o nello stesso modo in cui dominiamo la terra e nello stesso modo in cui dominiamo lo spazio. Quindi si tratta dell'intera idea di creare un enorme esercito solo per la guerra informatica, e poi usare l'intera idea di dominare il cyberspazio, proprio come le flotte di secoli fa dominavano i mari.

Snowden: Giusto. Il motivo per cui dicono di voler dominare il cyberspazio è perché è politicamente scorretto dire che si vuole dominare Internet. Ancora una volta, è una sorta di sforzo di branding per fornire loro il supporto di cui hanno bisogno, perché noi cittadini non vogliamo autorizzare Internet a diventare un campo di battaglia. Dobbiamo fare tutto il possibile come società per mantenere quella zona neutrale, per mantenere quella zona economica che possa riflettere i nostri valori, sia politicamente, socialmente ed economicamente. Internet dovrebbe essere una forza di libertà. Internet non dovrebbe essere uno strumento di guerra. E per noi, gli Stati Uniti, paladini della libertà, finanziare e incoraggiare la sovversione di uno strumento a fin di bene affinché diventi uno strumento utilizzato per fini distruttivi è, penso, contrario ai nostri principi come società.

Bamford: Hai una domanda, Scott?

Produttore: In realtà era solo una questione di vulnerabilità (non udibili) che vanno oltre i sistemi operativi che conosciamo, (non udibili) e preservano tali vulnerabilità, che quel paradosso si estende alle infrastrutture critiche così come...

Snowden: Lasciami fare uno stile libero per un minuto, poi potrai registrare la parte della domanda quando vuoi. Qualcosa che dobbiamo ricordare è che tutto ciò che riguarda Internet è interconnesso. Tutti i nostri sistemi non sono comuni per noi solo per i collegamenti di rete tra loro, ma per i pacchetti software, per i dispositivi hardware che li compongono. Lo stesso router utilizzato negli Stati Uniti viene utilizzato in Cina. Lo stesso pacchetto software che controlla le chiuse delle dighe negli Stati Uniti è lo stesso utilizzato in Russia. Lo stesso software ospedaliero è presente in Siria e negli Stati Uniti.

Quindi, se promuoviamo lo sviluppo di exploit, vulnerabilità, insicurezza in questa infrastruttura critica, e non la ripariamo quando la troviamo, quando troviamo difetti critici, invece la mettiamo sullo scaffale in modo da poterla utilizzare la prossima volta che vogliamo lanciare un attacco contro qualche paese straniero. Stiamo mettendo noi stessi in pericolo, e questo porterà a un punto in cui la prossima volta che una centrale elettrica fallirà, la prossima volta che crollerà una diga, la prossima volta che le luci si spegneranno in un ospedale, sarà in America. , non all'estero.

Bamford: In questo senso, uno degli aspetti su cui ci concentriamo nel programma è la potenziale portata della guerra informatica. E mostriamo una diga, ad esempio, in Russia, dove sotto c'era un'importante centrale elettrica. Si trattava di una struttura tre volte più grande della diga di Hoover, ed esplose. Una delle turbine, che pesava quanto due Boeing 747, esplose a 50 piedi di altezza e poi si schiantò uccidendo 75 persone. E tutto questo a causa di quello che originariamente si pensava fosse un attacco informatico, ma si è rivelato essere un pezzo informatico sbagliato inviato per far sì che ciò accadesse. È stato accidentale.

Ma il punto è questo è ciò che può accadere se qualcuno vuole farlo deliberatamente, e non penso che sia ciò di cui molte persone negli Stati Uniti hanno un'idea, che questo tipo di guerra possa essere così estesa. E se solo potessi darmi qualche idea in questo senso su quanto possa essere devastante, non solo nel distruggere una rete elettrica, ma nell'abbattere un'intera diga o un'intera centrale elettrica.

Snowden: Quindi in realtà non voglio occuparmi di elencare l'elenco degli orribili tra gli orribili, perché non voglio esagerare la minaccia. Ho detto tutte queste cose sui pericoli e su cosa può andare storto, e hai ragione sul fatto che ci sono rischi seri. Ma allo stesso tempo è importante capire che questa non è una minaccia esistenziale. Nessuno premerà un tasto sulla tastiera per far cadere il governo. Nessuno premerà un tasto sulla tastiera e cancellerà una nazione dalla faccia della terra.

Abbiamo affrontato minacce da gruppi criminali, terroristi, spie nel corso della nostra storia e abbiamo limitato le nostre risposte. Non siamo ricorsi alla guerra totale ogni volta che c’è un conflitto nel mondo, perché questa moderazione è ciò che ci definisce. Questa moderazione è ciò che ci dà la posizione morale per guidare il mondo. E se andiamo, ci saranno minacce informatiche là fuori, questo è un mondo pericoloso, e dobbiamo essere al sicuro, dobbiamo essere al sicuro, non importa il costo, abbiamo perso quella posizione.

Dobbiamo essere in grado di respingere risposte sproporzionate e ingiustificate nel dominio informatico così come facciamo nel dominio fisico. Rifiutiamo tecniche come la tortura indipendentemente dal fatto che siano efficaci o inefficaci perché sono barbare e dannose su larga scala. È la stessa cosa con la guerra informatica. Non dovremmo mai attaccare gli ospedali. Non dovremmo mai smantellare le centrali elettriche a meno che ciò non sia assolutamente necessario per garantire la nostra continua esistenza come popolo libero.

Bamford: A me va bene. Se c'è qualcosa che pensi non abbiamo trattato o che vuoi inserire?

Snowden: Stavo pensando a due cose. Uno è: mi sono dedicato molto alla politica qui, e in gran parte era divagante, quindi potrei provare ancora una cosa al riguardo. Nell'altro stavo parlando degli effetti visivi per il cloud, di come avvengono gli attacchi informatici.

Produttore: Quindi voglio solo una sorta di schema di dove vuoi andare per assicurarti di ottenerlo.

Bamford: Già, che tipo di domanda vuoi che faccia?

Snowden: Non dovresti nemmeno necessariamente fare una domanda. Sarebbe semplicemente...

Produttore: (non udibile).

Snowden: Sì. Sarebbe semplicemente come un segmento. Direi che le persone si chiedono come avviene un attacco informatico. Le persone si chiedono che aspetto abbia lo sfruttamento su Internet e come si scopra da dove provenga. La maggior parte delle persone al giorno d'oggi sa cosa sono gli indirizzi IP e sa che non dovresti inviare un'e-mail da un computer a te associato se non vuoi che venga ricondotta a te. Non vorrai hackerare la centrale elettrica da casa tua se non vuoi che seguano il percorso e vedano il tuo indirizzo IP.

Ma su Internet esistono anche i cosiddetti proxy, server proxy, che gli hacker utilizzano molto spesso. Creano quelle che vengono chiamate catene proxy in cui ottengono l'accesso a una serie di sistemi diversi in tutto il mondo, a volte hackerandoli, e li usano come una sorta di scatole di rilancio. Quindi abbiamo l'autore di un attacco proprio qui, dall'altra parte del pianeta, nella grande sfera di Internet, solo una gigantesca costellazione di collegamenti di rete tutt'intorno. E poi hai qui la loro vittima designata.

Ma invece di andare direttamente da loro alla vittima in un percorso diretto in cui questa vittima vede che l'originatore, l'aggressore, è stata la persona che gli ha inviato l'exploit, che ha attaccato il suo sistema, vedrai che fanno qualcosa in cui procedono a zigzag Internet. Vanno da un proxy all’altro, da un paese all’altro in tutto il mondo, e usano quest’ultimo proxy, l’ultimo passaggio della catena, per lanciare l’attacco.

Quindi, anche se l’attacco potrebbe effettivamente provenire dal Missouri, un investigatore che risponderà all’attacco penserà che provenga dalla Repubblica Centrafricana, dal Sudan, dallo Yemen o dalla Germania. E l'unico modo per rintracciarlo è hackerare ciascuno di quei sistemi attraverso la catena o usare tecniche di sorveglianza di massa per avere sostanzialmente una spia su ciascuno di quei collegamenti in modo da poter seguire il tunnel fino a casa.

Più ci penso, più penso che sarebbe troppo complicato...

Produttore: No, stavo solo guardando le tue mani. Questo stava solo riempiendo gli spazi vuoti.

Bamford: No, lo ero anch'io. Andrà tutto bene.

Produttore: Ed è un buon punto su come automatizzare le risposte e su come...

Bamford: Sì, possiamo semplicemente entrare e disegnare quegli zigzag.

Snowden: Giusto. Voglio dire, sì, per come lo vedrei è un po' come le stelle, come una costellazione di punti. E ci sono percorsi di colore diverso che li collegano. E poi evidenzi semplicemente l'autore e la vittima. E non devono essere ai margini. Potrebbero anche trovarsi da qualche parte al centro della nuvola. E poi c'è una specie di linea verde che va dritta tra loro, e diventa rossa quando hackera, ma poi vedi la piccola agenzia di polizia seguirla indietro. E poi ci metti una X e la sostituisci con la linea a zigzag che è verde, e poi diventa rossa quando attacca, per chiamarlo in un certo senso il percorso.

Bamford: Dal Missouri alla Repubblica Centrafricana.

Snowden: Sì.

Produttore: Ci sono altre visualizzazioni a cui puoi pensare che forse la vedi come un'immagine anziché come (conversazioni multiple; impercettibile).

Snowden: Penso che una delle cose migliori da fare - e puoi farlo in modo abbastanza economico, anche quasi divertente, come in un cartone animato, e un po' come un'animazione Flash, come i ritagli di carta - sarebbe quella di aiutare le persone a visualizzare il problema con il Guardando la questione, gli Stati Uniti danno priorità all'attacco rispetto alla difesa, e qui darò la mia voce fuori campo.

Quando guardi al problema degli Stati Uniti che danno priorità all’attacco rispetto alla difesa, immagina di avere due caveau di una banca, il caveau della banca degli Stati Uniti e la Banca della Cina. Ma il caveau delle banche americane è completamente pieno. Arriva fino al cielo. E il caveau cinese o quello russo, quello africano o chiunque sia l'avversario di turno, è pieno solo per metà, o pieno per un quarto, o pieno per un decimo.

Ma gli Stati Uniti vogliono entrare nel caveau delle loro banche. Quindi quello che fanno è costruire backdoor in ogni caveau delle banche del mondo. Ma il problema è che il loro caveau, il caveau di una banca americana, ha la stessa backdoor. Quindi, mentre noi ci intrufoliamo in Cina e prendiamo le cose dal loro caveau, loro si intrufolano anche negli Stati Uniti e prendono le cose dal nostro caveau. E il problema è che, poiché il nostro caveau è pieno, abbiamo molto di più da perdere. Quindi, in termini relativi, guadagniamo molto meno dall’entrare nelle casseforti degli altri che dal fatto che altri entrino nelle nostre casseforti. Ecco perché per noi è molto più importante saperci difendere dagli attacchi stranieri che saper sferrare attacchi vincenti contro avversari stranieri.

Sai, solo qualcosa di simbolico e veloce che le persone possono visualizzare immediatamente.

Produttore: L'altra cosa che vorrei dirvi, perché dobbiamo trovare qualcuno che lo faccia, è come si costruisce un'arma informatica? Cos'è il malware? Che cos'è?

Snowden: Quando le persone parlano di malware, ciò che realmente intendono è: quando parlano di malware, cosa...

Quando le persone parlano di armi informatiche, armi digitali, ciò che realmente intendono è un programma dannoso utilizzato per scopi militari. Un’arma informatica potrebbe essere qualcosa di semplice come un vecchio virus del 1995 che sembra essere ancora efficace se lo usi per quello scopo.

Armi digitali sviluppate su misura, le armi informatiche oggigiorno in genere concatenano una serie di exploit zero-day mirati contro il sito specifico, l'obiettivo specifico che vogliono colpire. Ma questo livello di sofisticazione dipende dal budget e dalla qualità dell'attore che istiga l'attacco. Se si tratta di un paese meno povero o meno sofisticato, sarà un attacco meno sofisticato.

Ma gli strumenti essenziali per un attacco informatico consistono nell'identificare una vulnerabilità nel sistema a cui si desidera accedere o che si desidera sovvertire o che si desidera negare, distruggere o degradare, e quindi sfruttarla, il che significa inviare codici, consegnare il codice a quel sistema in qualche modo, che sia localmente nel regno fisico o sulla stessa rete o in remoto attraverso Internet, attraverso la rete globale, e portare quel codice a quella vulnerabilità, a quella crepa nel loro muro, bloccarlo lì, e poi eseguirlo.

Il carico utile può quindi essere l'azione, le istruzioni che si desidera eseguire su quel sistema, che in genere, ai fini dello spionaggio, lascerebbero un impianto dietro per ascoltare ciò che stanno facendo, ma potrebbero altrettanto facilmente essere qualcosa come il virus wiper che cancella tutto dalle macchine e le spegne. In realtà, tutto si riduce a tutte le istruzioni che ti vengono in mente e che vorresti eseguire su quel sistema remoto.

Bamford: In questo senso, c'è un'area che potrebbe davvero essere visualizzata molto meglio, penso, e cioè le vulnerabilità. Il modo in cui l'ho detto alcune volte, ma potrebbe essere bello se ci pensassi, è guardare il caveau di una banca, e poi ci sono queste piccole crepe, e questo permette a qualcuno di entrare nel caveau di una banca. Quindi quello che stanno facendo gli Stati Uniti è catalogare tutte quelle piccole crepe invece di dire alla banca come correggerle. Il problema è che altre persone possono trovare quelle stesse crepe.

Snowden: Altre persone possono vedere le stesse crepe, sì.

Bamford: E prendere i soldi dalla banca, nel qual caso gli Stati Uniti hanno reso un cattivo servizio ai clienti della banca, che è il pubblico, non informando in primo luogo la banca delle falle.

Snowden: Sì, è perfetto. E un altro modo per farlo non sono semplicemente le crepe nei muri, ma potrebbero esserci altri modi per entrare. Puoi mostrare un ragazzo che sbircia oltre il muro, puoi vedere un ragazzo che scava un tunnel sotto, puoi vedere un ragazzo che attraversa il porta d'ingresso. Tutte queste, in termini informatici, sono vulnerabilità, perché non è necessario cercare un buco di un tipo specifico. È l'intero paradigma. Guardi la totalità della loro situazione di sicurezza e cerchi qualsiasi apertura attraverso la quale potresti sovvertire l’intento di quel sistema. E vai da lì. C'è tutto un mondo di sfruttamento, ma va oltre la profondità del pubblico generale.

Produttore: Possiamo semplicemente inserirli tutti (conversazioni multiple; non udibili).

Bamford: Chiunque altro?

Snowden: Una cosa, sì. C'erano un paio di cose a cui volevo pensare. Uno era man-in-the-middle, un tipo di attacco che dovresti illustrare. Si tratta di hacking di routine, ma è legato specificamente al CNE, allo sfruttamento della rete di computer. Ma penso che confondersi con la guerra informatica aiuti le persone a capire di cosa si tratta.

Un attacco man-in-the-middle avviene quando qualcuno come la NSA, qualcuno che ha accesso al mezzo di trasmissione che usi per comunicare, sovverte effettivamente la tua comunicazione. Lo intercettano, lo leggono e lo trasmettono, oppure lo intercettano, lo modificano e lo trasmettono.

Puoi immaginarlo mentre metti una lettera nella tua casella di posta affinché il postino la prenda e poi la consegni, ma non sai se il postino l'ha effettivamente portata alla persona che desideri finché non conferma che è successo. Il postino avrebbe potuto sostituirla con una lettera diversa. Avrebbero potuto aprirlo. Se fosse stato un regalo, avrebbero potuto portarlo via, cose del genere.

Nel corso del tempo abbiamo creato standard globali di comportamento secondo i quali i postini non lo fanno. Hanno paura delle sanzioni. Hanno paura di essere scoperti. E noi come società riconosciamo che il valore di avere mezzi di comunicazione affidabili, posta affidabile, supera di gran lunga qualsiasi vantaggio che potremmo ottenere dalla possibilità di manomettere liberamente la posta. Abbiamo bisogno che gli stessi standard si applichino a Internet. Dobbiamo poter avere fiducia nel fatto che quando inviamo le nostre e-mail tramite Verizon, Verizon non le condivide con la NSA, che Verizon non le condivide con l'FBI o l'intelligence tedesca o l'intelligence francese o l'intelligence russa o l'intelligence cinese.

Internet deve essere protetto da questo tipo di monitoraggio intrusivo, altrimenti il ​​mezzo su cui tutti facciamo affidamento per la base della nostra economia e della nostra vita normale (tutti toccano Internet al giorno d'oggi) lo perderemo, e avrà un'ampia diffusione effetti di conseguenza che non possiamo prevedere.

Produttore: Spaventoso. Penso che dovremmo andare avanti e creare una sorta di app interattiva di Edward Snowden.

Snowden: Il mio avvocato mi ucciderebbe.

Produttore: No, davvero... (non udibile) davi lezioni.

Snowden: Sì, insegnavo. Era a un livello molto più specifico, motivo per cui continuo a dover tornare indietro e pensarci.

Produttore: Sei un oratore molto chiaro al riguardo.

Snowden: Permettimi ancora una volta di occuparmi di attacco, difesa e sicurezza. Penso che voi ragazzi ne abbiate già abbastanza per mettere insieme il tutto, ma lasciatemi provare a fare un po' di freestyle.

La comunità di esperti tecnici che gestisce realmente Internet, che ha costruito Internet e la mantiene, è sempre più preoccupata per le attività di agenzie come la NSA o il Cyber ​​Command, perché ciò che vediamo è che la difesa sta diventando meno una priorità dell'attacco. . Ci sono programmi di cui abbiamo letto sulla stampa nell'ultimo anno, come ad esempio la NSA che ha pagato 10 milioni di dollari a RSA per utilizzare uno standard di crittografia non sicuro per impostazione predefinita nei propri prodotti. Ciò ci rende più vulnerabili non solo allo spionaggio delle nostre agenzie nazionali, ma anche di quelle straniere.

Abbiamo visto un altro programma chiamato Bullrun che ha sovvertito... che sovverte... continua a sovvertire standard di crittografia simili utilizzati per la maggior parte dell'e-commerce in tutto il mondo. Non puoi andare in banca e fidarti di quella comunicazione se quegli standard sono stati indeboliti, se quegli standard sono vulnerabili. E questo si traduce in un paradigma in cui queste agenzie esercitano un enorme potere su Internet al prezzo di rendere il resto della loro nazione incredibilmente vulnerabile allo stesso tipo di attacchi di sfruttamento, allo stesso tipo di meccanismi di attacco informatico.

Ciò significa che, anche se potremmo avere un vantaggio reale quando si tratta di intercettare l’intervento militare in Siria o di negoziati commerciali sul prezzo dei gamberetti in Indonesia – che in realtà è un aneddoto reale – o anche di monitorare la conferenza sui cambiamenti climatici, significa che . Significa che finiamo per vivere in un’America dove non abbiamo più un’Agenzia per la sicurezza nazionale. Abbiamo un'agenzia di sorveglianza nazionale. E finché non riformeremo le nostre leggi e finché non correggeremo gli eccessi di queste vecchie politiche che abbiamo ereditato nell’era post-9 settembre, non saremo in grado di riportare la sicurezza nella NSA.

Bamford: È fantastico. Proprio in questo senso, da quello che sai del progetto Bullrun e così via, quanto pensi che siano sicure cose come AES, DES, quelle cose, lo standard di crittografia avanzato?

Snowden: In realtà non voglio rispondere a quella domanda davanti alla telecamera, e la risposta è che in realtà non lo so. Ma sì, quindi lasciamo perdere quello.

Bamford: Voglio dire, l'idea sarebbe stata quella di indebolirlo.

Snowden: Giusto. L’idea sarebbe quella di indebolirlo, ma quali standard? Tipo AES? Sono gli altri? Il DES era in realtà più forte di quanto pensassimo all'epoca perché la NSA aveva segretamente manipolato lo standard per renderlo più forte in passato, il che era strano, ma mostra la differenza di pensiero tra gli anni '80 e '90. Erano le S-box. Così si chiamava. La modifica apportata è stata la S-box. E oggi, dove vanno, oh, questo è troppo forte, indeboliamolo. Ai tempi delle guerre crittografiche, la NSA era effettivamente preoccupata di migliorare la sicurezza americana. Al giorno d’oggi, vediamo che la loro priorità è indebolire la nostra sicurezza, proprio per avere maggiori possibilità di tenerci d’occhio.

Bamford: Giusto, beh, penso che sia perfetto. Allora perché non facciamo semplicemente...

Produttore: Vorresti un caffè? Qualcosa da bere?

Bamford: Sì, possiamo prendere qualcosa dal servizio in camera, se vuoi.

Snowden: In realtà bevo solo acqua. Questa è stata una delle cose più divertenti all'inizio. Mike Hayden, ex direttore della NSA e della CIA, è stato... ha fatto una specie di discorso incendiario...

Bamford: Oh, so cosa stai per dire, sì.

Snowden: - come in una chiesa a Washington, e Barton Gellman era lì. Era uno dei giornalisti. Era divertente perché parlava di come stavo: in Russia sono tutti infelici. La Russia è un posto terribile. E finirò per diventare infelice e diventerò un ubriaco e non farò mai nulla. Non bevo. Non sono mai stato ubriaco in vita mia. E parlano della Russia come se fosse il posto peggiore sulla terra. La Russia è fantastica.

Bamford: Come se Stalin fosse ancora al potere.

Snowden: Si lo so. È pazzesco.

Bamford: Ma sai a cosa si riferiva, credo. Sai, il suo flashback era—e sarei curioso di sapere se ne hai effettivamente sentito parlare o no—

Snowden: Philby e Burgess e...

Bamford: Martin e Mitchell.

Snowden: In realtà non ricordo molto bene il caso Martin e Mitchell. Ne conosco i contorni.

Bamford: Ma sai cosa hanno fatto?

Snowden: No.

---