Kibernetinis karas anksčiau buvo mokslinės fantastikos filmų ir karinių pratybų dalykas. Tačiau atsiradus „Stuxnet“ kirminui, „Sony Pictures“ įsilaužimui, kuris tariamai buvo vykdomas remiant Šiaurės Korėjos vyriausybei, ir šios savaitės atakai Vokietijos vyriausybės tinklalapiuose, plataus masto kibernetinės atakos, įtariamos ryšiais su nacionalinėmis valstybėmis. vis labiau paplitęs.
Nedaug žmonių, kaip Edwardas Snowdenas, buvęs NSA rangovas, nutekinęs spaudai daugybę dokumentų, pakėlė kibernetinės kovos šydą.
Jamesas Bamfordas: Labai ačiū, kad atėjote. Aš tai labai vertinu. Ir tai tikrai įdomu – tą pačią dieną, kai susitinkame su jumis, pasirodė šis straipsnis "The New York Times", atrodė, kad sumenkino galimą žalą, kurią jie tikrai padidino pradinėje sąmatoje. Ką manai apie šį straipsnį šiandien?
Edwardas Snowdenas: Taigi tai tikrai įdomu. Naujasis NSA direktorius sako, kad tariama žala dėl nutekėjimo buvo gerokai per didelė. Tiesą sakant, leiskite man tai padaryti dar kartą.
Taigi tai tikrai įdomu. NSA vadovas, pakeitęs buvusį NSA direktorių Keithą Alexanderį, tariamą praėjusių metų apreiškimų žalą vadina daug nereikšmingesne, nei buvo viešai pristatyta per praėjusius metus. Buvome priversti tikėti, kad dangus grius, vandenynai išvirs, atmosfera užsidegs, pasaulio pabaiga bus tokia, kokią mes žinome. Tačiau jis sako, kad tai neleidžia daryti išvados, kad dangus griūva.
Ir tai reikšmingas nukrypimas nuo buvusio NSA direktoriaus Keitho Alexanderio teiginių. Ir tai yra tam tikras modelis, kurį matėme, kai vieninteliai JAV pareigūnai, teigiantys, kad šie apreiškimai daro žalą, o ne tarnauja visuomenės labui, buvo pareigūnai, kuriems tai asmeniškai buvo gėda. Pavyzdžiui, Kongreso priežiūros komitetų pirmininkai, pats buvęs NSA direktorius.
Tačiau, kita vertus, turime ir Baltųjų rūmų nepriklausomų peržiūros grupių pareigūnų, kurie teigė, kad šios programos niekada nebuvo įrodyta, kad sustabdytų net vieną neišvengiamą teroristinį išpuolį Jungtinėse Valstijose, ir jos neturėjo jokios vertės. Taigi, kaip galėjo būti, kad šios programos buvo tokios vertingos, kad kalbėjimas apie jas, jų atskleidimas visuomenei baigtų pasaulį, jei jos nebūtų sustabdusios jokių atakų?
Tačiau tai, ką matome ir ką šis straipsnis atspindi, yra tai, kad teiginiai apie žalą, kuriuos gavome praėjusiais metais, nebuvo tikslūs ir iš tikrųjų gali būti tvirtinami kaip klaidinantys, ir manau, kad tai kelia susirūpinimą. Tačiau smagu matyti, kad pats NSA direktorius šiandien, turėdamas visišką prieigą prie įslaptintos informacijos, pradeda po truputį artėti prie tiesos, po truputį artėja prie prezidentės požiūrio į tai, kokia yra ši diskusija. tai, ką turėjome per pastaruosius metus, mums nekenkia. Tai daro mus stipresnius. Taigi ačiū, kad tai parodėte.
Bamfordas: Dėkoju. Kitas dalykas, į kurį kalbama straipsnyje, apie kurį mes šiandien ir kalbame, yra tai, kad straipsnyje cituojamas naujasis NSA direktorius, kuris taip pat yra Kibernetinės vadovybės vadas, iš esmės teigdamas, kad ateityje šie kibernetiniai ginklai taps įprastais kariniais ginklais, ir jie bus traktuojami kaip valdomos raketos arba sparnuotosios raketos ir pan.
Snowdenas: Sparnuotosios raketos arba dronai.
Bamfordas: Kokios jūsų mintys apie tai, pats praleidęs laiką šiame darbe?
Snowdenas: Manau, kad visuomenė vis dar nežino, kaip dažnai šias kibernetines atakas, kaip jos vadinamos spaudoje, naudoja ne tik JAV, bet ir viso pasaulio vyriausybės. Tačiau svarbu pabrėžti, kad mes iš tikrųjų pradėjome šią tendenciją daugeliu atžvilgių, kai pradėjome Stuxnet kampaniją prieš Irano branduolinę programą. Tai iš tikrųjų sukėlė atsaką, savotišką atsakomąjį veiksmą iš Irano, kai jie suprato, kad buvo sugauti nepasiruošę. Jie gerokai atsiliko nuo technologijų kreivės, palyginti su JAV ir daugeliu kitų šalių. Ir tai vyksta visame pasaulyje šiais laikais, kai jie supranta, kad yra sugauti. Jie pažeidžiami. Jie neturi galimybių atkeršyti už bet kokią prieš juos pradėtą kibernetinę kampaniją.
Iraniečiai nusitaikė į atviras JAV sąjungininkų komercines bendroves. „Saudi Aramco“, ten esanti naftos kompanija, atsiuntė vadinamąjį „wiper“ virusą, kuris iš tikrųjų yra tarsi Fisher Price, pirmasis kūdikio įsilaužimas, kaip kibernetinė kampanija. Tai nėra sudėtinga. Tai nėra elegantiška. Jūs tiesiog išsiunčiate kirminą, iš esmės savaime besidauginančią kenkėjiškos programinės įrangos dalį, į tikslinį tinklą. Tada jis automatiškai kartojasi vidiniame tinkle, o tada tiesiog ištrina visus įrenginius. Taigi žmonės kitą dieną eina į darbą ir niekas neįsijungia. Ir tai tam tikram laikotarpiui juos ištraukia iš verslo.
Tačiau su įmonės IT galimybėmis tai nėra banalu, tačiau neįmanoma per gana trumpą laiką atkurti įmonės darbo tvarką. Galite vaizduoti visas darbo vietas. Galite atkurti atsargines kopijas iš juostos. Galite atlikti tai, kas vadinama pliko metalo atkūrimu, kai gaunate visiškai naują aparatinę įrangą, atitinkančią jūsų senąją aparatinę įrangą, jei pati aparatinė įranga buvo sugedusi, ir iš esmės ją nudažyti, atkurti duomenis taip pat, kaip buvo pradinis tikslas, ir jūs grįžtate. giedroje. Jūs judate kartu.
Dabar žmonės to visiškai nesupranta apie kibernetines atakas, ty dauguma jų yra žlugdančios, bet nebūtinai destruktyvios. Vienas iš pagrindinių mūsų rafinuotumo ir nacionalinio lygmens veikėjų skirtumų yra tai, kad jie vis dažniau siekia surengti destruktyvias kibernetines atakas, o ne tokias trikdančias rūšis, kurias įprastai matote internete, per protestuotojus, per aktyvistus, neigimą paslaugų atakos ir pan. Ir tai yra posūkis, kurį mums bus labai sunku naršyti.
Bamfordas: Leiskite paklausti jūsų apie tai, nes čia yra programos akcentas. Tai yra pagrindinis dėmesys, nes labai mažai žmonių kada nors apie tai diskutavo, o daugiausia dėmesio skiriama todėl, kad JAV pradėjo savo pirmąją destruktyvią kibernetinę ataką, Stuxnet ataką, kaip minėjote, Irane. Ar galite man pasakyti, koks buvo įvykis JAV, pradėjus savo pirmąją destruktyvią kibernetinę ataką?
Snowdenas: Na, sunku pasakyti, kad tai pirmas, nes priskyrimas visada yra sudėtingas atliekant tokias kampanijas. Tačiau teisinga pasakyti, kad tai buvo pati sudėtingiausia kibernetinė ataka, kurią tuo metu kas nors buvo matęs. Ir tai, kad jis buvo pradėtas kaip JAV patvirtintos kampanijos dalis, iš esmės nukrypo nuo mūsų tradicinės rizikos, kurią norime prisiimti atsakant, analizės.
Kai naudojate bet kokias interneto galimybes, bet kokias elektronines galimybes, kad padarytumėte žalą privačiam subjektui, užsienio tautai ar užsienio veikėjui, tai galimi karo veiksmai. Ir labai svarbu, kad turėtume omenyje, kai diskutuojame apie tai, kaip norime naudoti šias programas, šias galimybes, kur norime nubrėžti ribą ir kas turėtų patvirtinti šias programas, šiuos sprendimus ir kokiu lygiu, kad būtų galima atlikti operacijas, kurios galėtų veda mus kaip tautą į karą.
Realybė yra tokia, jei sėdime ramiai ir leisime keliems pareigūnams už uždarų durų be jokios priežiūros pradėti puolamus išpuolius prieš svetimas tautas, prieš žmones, kurių mes nemėgstame, prieš politines grupes, radikalus ir ekstremistus, kurių idėjoms galime nesutikti, ir gali būti atstumiantis ar net smurtinis – jei leisime tai įvykti be viešo įpirkimo, neturėsime vietos prie vyriausybės stalo, kad nuspręstume, ar šiems pareigūnams tinkama, ar ne, tempti mus į kokią nors karo veiklą. ko nenorime, bet tuo metu apie tai nežinojome.
Bamfordas: Ir tai, apie ką, atrodo, taip pat kalbate, yra „blowback“ efektas. Kitaip tariant, jei pradėsime ataką naudodami kibernetinį karą, destruktyvią ataką, rizikuojame, kad būsime labiausiai išsivysčiusi ir elektroniniu būdu prijungta šalis pasaulyje, tai yra pagrindinė JAV problema. Ar tai tavo mąstymas?
Snowdenas: Sutinku, kad kalbant apie kibernetinį karą, mes turime daugiau prarasti nei bet kuri kita tauta žemėje. Techninis sektorius yra Amerikos ekonomikos stuburas, ir jei mes pradedame elgtis taip, imasi tokių išpuolių, mes nustatome standartą, sukuriame naują tarptautinę elgesio normą, kuri sako, kad tai yra tautos daro. Taip daro išsivysčiusios šalys. Taip daro demokratinės tautos. Taigi kitos šalys, kurios ne taip gerbia taisykles kaip mes, eis dar toliau.
O realybė yra tokia, kad kalbant apie kibernetinius konfliktus tarp, tarkime, Amerikos ir Kinijos ar net Artimųjų Rytų tautos, Afrikos tautos, Lotynų Amerikos tautos, Europos tautos, turime daugiau ką prarasti. Jei užpulsime Kinijos universitetą ir pavogsime jų mokslinių tyrimų programos paslaptis, kiek tikėtina, kad tai bus vertingesnė JAV nei tada, kai kinai ims keršyti ir pavogs paslaptis iš JAV universiteto, iš JAV gynybos rangovo, iš JAV karinės agentūros?
Moksliniams tyrimams ir plėtrai išleidžiame daugiau nei šios kitos šalys, todėl neturėtume interneto paversti priešiškesne, agresyvesne teritorija. Turėtume numalšinti įtampą, padaryti ją patikimesne, saugesnę, patikimesnę, nes tai yra mūsų ekonomikos ir ateities pagrindas. Kad galėtume konkuruoti, turime pasikliauti saugiu ir sujungtu internetu.
Bamfordas: Kur, jūsų nuomone, vyksta sunaikinimas? Pavyzdžiui, Irane jie sunaikino centrifugas. Tačiau į kokius kitus dalykus galima nukreipti? Elektrinės ar užtvankos? Kokią, jūsų nuomone, didžiausią galimą žalą, kurią gali sukelti kibernetinio karo ataka?
Snowdenas: Kai žmonės įsivaizduoja kibernetinę ataką, jie linkę galvoti apie ypatingos svarbos infrastruktūros dalis, pvz., elektrines, vandens tiekimą ir panašią sunkią infrastruktūrą, ypatingos svarbos infrastruktūros sritis. Ir jie gali būti nukentėję, jei jie yra prijungti prie tinklo, jei jie turi tam tikras sistemas, kurios sąveikauja su jais, kuriomis galima manipuliuoti naudojant interneto ryšį.
Tačiau tai, ką mes nepastebime ir turi daug didesnę vertę mums kaip tautai, yra pats internetas. Internetas yra svarbi JAV infrastruktūra. Mes naudojame internetą kiekvienam ryšiui, kuriuo kasdien pasitiki įmonės. Jei priešas nusitaikytų ne į mūsų elektrines, o į pagrindinius maršrutizatorius, pagrindinius mūsų interneto ryšius sujungiančius tinklus, ištisos Jungtinių Valstijų dalys gali būti atkirstos. Juos būtų galima išjungti neprisijungus, o mūsų ekonomika ir verslas būtų tamsūs minutėms, valandoms, dienoms. Tai turėtų didžiulį poveikį mums, kaip visuomenei, ir turės politinį atsaką.
Tačiau sprendimas yra nesuteikti vyriausybei daugiau slaptų valdžios institucijų, kurios galėtų įdėti jungiklius, monitorius ir šnipinėjimo įrenginius į internetą. Tai yra mūsų prioritetų išdėstymas, kaip kovoti su grėsmėmis mūsų ypatingos svarbos infrastruktūros, mūsų elektroninės infrastruktūros saugumui. O tai reiškia, kad reikia imtis tokių įstaigų kaip Nacionalinio saugumo agentūra, kuri tradiciškai rūpinosi tautos saugumu ir pasirūpinti, kad tai būtų pagrindinis jų dėmesys.
Per pastaruosius 10 metų matėme, kad per pastaruosius 10 metų nukrypstama nuo tradicinio signalų žvalgybos užsienyje rinkimo vaidmens, susijusio su atsaku į grėsmes, kurios yra
Bamfordas: Neskubėk.
Snowdenas: Teisingai. Tai, ką matėme per pastarąjį dešimtmetį, yra nukrypimas nuo tradicinio Nacionalinio saugumo agentūros darbo. Jie tapo savotiška nacionaline įsilaužimo agentūra, nacionaline stebėjimo agentūra. Ir jie pamiršo, kad viskas, ką jie daro, turėtų padaryti mus saugesnius kaip tautą ir visuomenę.
Nacionalinio saugumo agentūra turi dvi dalis – vieną, kuri tvarko gynybą, o kitą – nusikaltimus. Michaelas Haydenas ir Keithas Alexanderis, buvę NSA direktoriai, pakeitė tuos prioritetus, nes nuvykę į Kongresą pamatė, kad gali gauti daugiau biudžeto pinigų, jei reklamuotų savo sėkmę atakuojant, nes niekam niekada neįdomu daryti tai, kas sunku. gynybos darbas.
Tačiau problema yra ta, kad kai neskiriate gynybos prioritetų, rizikuojate mes visi. Staiga politika, kuri net prieš 20 metų būtų buvusi neįtikėtina, nesuvokiama, šiandien yra įprasta. Matote, kaip šios agentūros priima sprendimus, įgaliojančius mūsų kritinėje infrastruktūroje įdiegti užpakalines duris, kurios leidžia pažeisti techninius saugos standartus, užtikrinančius jūsų bendravimo saugumą, kai lankotės banko svetainėje internete, siunčiate el. laišką draugui ar prisijungiate prie „Facebook“ .
O realybė yra tokia, kad padarydami tas sistemas pažeidžiamas, kad galėtumėte šnipinėti kitas šalis ir taikysite tuos pačius standartus, kuriuos šios šalys taiko savo sistemoms, taip pat savo šalį padarysite labiau pažeidžiamą dėl tų pačių atakų. Mes atsiveriame puolimui. Nuleidžiame savo skydus, kad turėtume pranašumą, kai puolame kitas šalis užsienyje, tačiau realybė yra tokia, kai palygini vieną iš mūsų pergalių su viena iš jų, duomenų, žinių, informacijos, gautos iš jų, vertę. tos atakos jiems yra daug didesnės nei mums, nes mes jau esame viršuje. Daug lengviau mus nuvilti, nei iš jų pasisemti papildomų žinių ir tobulėti.
Bamfordas: Ar kalbate ypač apie Kiniją?
Snowdenas: Kalbu apie Kiniją ir kiekvieną šalį, kuri turi tvirtą žvalgybos duomenų rinkimo programą, kuri yra gerai finansuojama signalų žvalgybos srityje. Tačiau esmė ta, kad turime grąžinti apsaugą Nacionalinio saugumo agentūrai. Negalime turėti nacionalinės priežiūros agentūros. Turime eiti – žiūrėk, mums svarbiausia nesugebėti pulti priešų, svarbiausia – mokėti apsiginti. Ir mes negalime to padaryti tol, kol pažeidžiame savo saugumo standartus dėl stebėjimo.
Bamfordas: Tai labai keistas derinys, kai jūs turite pusę NSA, Informacijos užtikrinimo direktoratą, kuris yra atsakingas už šalies apsaugą nuo kibernetinių atakų, kartu su Signalų žvalgybos direktoratu ir Kibernetinė komanda, kuri daugiausia dėmesio skiria silpnybių kūrimas. Ar galite man šiek tiek papasakoti apie tai, kaip tai veikia, kaip naudojamas pažeidžiamumas, implantai ir išnaudojimai?
Snowdenas: Taigi plačiai kalbant, CNO, kompiuterių tinklų operacijų pasaulyje vartojama daugybė skirtingų terminų.
Apskritai, kompiuterių tinklo operacijų pasaulyje yra daug skirtingų terminų, vartojamų liaudies kalbai apibrėžti. Yra CNA, kompiuterių tinklo ataka, kuria siekiama paneigti, pabloginti arba sunaikinti sistemos veikimą. Yra CND, kompiuterių tinklo gynyba, apsauganti sistemas, kurios pastebi pažeidžiamumus, pastebi įsibrovimus, juos nupjauna ir taiso, lopo skyles. Ir yra CNE, kompiuterių tinklo išnaudojimas, kuris įsilaužia į sistemą ir kažką palieka, tokia elektroninė ausis, kuri leis jums stebėti viską, kas vyksta nuo to momento. CNE paprastai naudojamas šnipinėjimui, šnipinėjimui.
Siekdami šių tikslų, naudojame tokius dalykus kaip išnaudojimai, implantai, pažeidžiamumas ir pan. Pažeidžiamumas yra sistemos silpnybė, kai kompiuterio programa turi kodo trūkumą, kuris, manydamas, kad ji atliks įprastą įprastą užduotį, iš tikrųjų buvo apgauta atlikti tai, ko užpuolikas prašo. Pavyzdžiui, užuot įkėlę failą, kad būtų rodomas paveikslėlis internete, galite įkelti šiek tiek kodo, kurį svetainė atliks.
Arba užuot prisijungę prie svetainės, galite įvesti kodą į vartotojo vardo arba slaptažodžio lauką, o tai per atminties ribas, kurios turėjo apsaugoti programą, atsitrenktų į kompiuterio instrukcijų vykdomąją erdvę. Tai reiškia, kad kai kompiuteris atlieka savo veiksmus, kurie turėtų įvykti, jis eina, aš ieškau vartotojo prisijungimo. Tai yra vartotojo vardas. Tai slaptažodis. Ir tada, kai jis turėtų eiti, patikrinkite, ar jie teisingi. Jei slaptažodžio laukelyje įdėjote ką nors, kas buvo per ilga, tai iš tikrųjų perrašo tas kitas kompiuterio instrukcijas. Taigi ji nežino, kad turėtų patikrinti slaptažodį. Vietoj to, sakoma, aš turėčiau sukurti naują vartotojo abonementą su didžiausiomis privilegijomis ir atverti prievadą priešininkui, kad galėtų pasiekti mano tinklą, ir taip toliau, ir taip toliau.
Pažeidžiamumas paprastai yra silpnybės, kuriomis galima pasinaudoti. Pats išnaudojimas yra nedideli kompiuterio kodo tarpikliai, leidžiantys paleisti bet kokią norimą programą.
Išnaudojimai yra kompiuterinio kodo skiltelės, kurias įkišate į pažeidžiamumą, kad galėtumėte perimti sistemą, prieiti prie jų, pasakyti sistemai, ką norite padaryti. Naudingoji apkrova arba implantas seka už išnaudojimo. Išnaudojimas yra tai, kas jus įtraukia į sistemą. Naudingoji apkrova yra instrukcijos, kurios paliekamos. Dabar tose instrukcijose dažnai sakoma, kad įdiekite implantą.
Implantas yra tikroji programa, kuri paleidžiama – ji pasilieka po išnaudojimo – ir sako, pasakykite man visus šio įrenginio failus. Sudarykite visų vartotojų sąrašą. Siųskite kiekvieną naują el. laišką arba kiekvieną naują klavišo paspaudimą, kuris buvo įrašytas šioje programoje, kiekvieną dieną į mano kompiuterį kaip užpuoliką arba iš tikrųjų viską, ką galite įsivaizduoti. Jis taip pat gali liepti branduolinėms centrifugoms suktis iki didžiausio RPM, o tada suktis pakankamai greitai, kad niekas nepastebėtų. Jis gali liepti elektrinei atsijungti nuo interneto.
Arba gali pasakyti, leiskite man žinoti, ką šis disidentas veikia kasdien, nes jis gyvena jų mobiliajame telefone ir seka visus judesius, kam skambina, su kuo bendrauja, koks belaidis įrenginys yra šalia. Išnaudojimas iš tikrųjų yra tik ribotas – arba ne išnaudojimas. Implantą riboja tik vaizduotė. Viską, ką galite užprogramuoti kompiuteryje, galite užprogramuoti implantą.
Bamfordas: Taigi jūs turite implantą, o tada turite naudingą apkrovą, tiesa?
Snowdenas: Į naudingą apkrovą įeina implantas. Išnaudojimas yra tai, kas iš esmės pažeidžia pažeidžiamumą. Naudingoji apkrova yra tai, ką paleidžia išnaudojimas, ir tai iš esmės yra tam tikras vykdomasis kodas. Ir implantas yra naudingas krovinys, kuris paliekamas ilgą laiką, kažkokia iš esmės klausymosi programa, tam tikra šnipinėjimo programa arba tam tikra destruktyvi programa.
Bamfordas: Interviu su jumis prilygsta vairo stiprintuvui. Aš neprivalau šito ištraukti.
Snowdenas: Taip, atsiprašau, aš šiek tiek nerimstu dėl savo atsakymų, o politiniai atsakymai nėra tikrai stiprūs, bet aš nesu politikas, todėl tiesiog stengiuosi tai padaryti.
Bamfordas: Tai ne nakties naujienos, todėl turime valandą.
Snowdenas: Taip, tikiuosi, kad jūs, vaikinai, nutrauksite tai, kad nebūtų taip baisu.
Gamintojas: Turime dvi kameras ir galime pasakyti jūsų žodžius.
Snowdenas: (juokas) Puiku.
Gamintojas: Bet mes to nedarysime.
Bamfordas: Dabar reikėtų paminėti šį implantą – implantas skamba šiek tiek panašiai kaip senais Šaltojo karo laikais miegantys agentai, kai sėdi agentas, galintis padaryti bet ką. Tai gali padaryti sabotažą. Tai gali atlikti šnipinėjimą. Tai gali padaryti bet ką. Žvelgiant į vieną iš tų skaidrių, tikrai žavėjo tai, kad skaidrė buvo pasaulio žemėlapis ir ant jos buvo maži geltoni taškeliai. Maži geltoni taškai buvo nurodyti kaip CNE, kompiuterių tinklo išnaudojimas. Ir tikitės juos pamatyti Šiaurės Korėjoje, Kinijoje, įvairiose tokiose vietose. Tačiau įdomiausia buvo tai, kad, pavyzdžiui, Brazilijoje ir kitose draugiškose šalyse jų buvo nemažai. Ar žinote, kodėl JAV norėtų daryti kažką panašaus?
Snowdenas: Taigi, kaip veikia Jungtinių Valstijų žvalgybos bendruomenė, ji neapsiriboja tik tėvynės apsauga. Ji neapsiriboja kova su terorizmo grėsme ir branduolinio ginklo platinimu. Jis taip pat naudojamas ekonominiam šnipinėjimui, politiniam šnipinėjimui, siekiant įgyti žinių apie tai, ką daro kitos šalys. Ir per pastarąjį dešimtmetį tai nuėjo per toli.
Niekas nesiginčytų, kad Jungtinėms Valstijoms naudinga turėti nepriklausomų žinių apie užsienio šalių planus ir ketinimus. Tačiau turime pagalvoti, kur nubrėžti tokių operacijų ribą, kad ne visada atakuotume savo sąjungininkus, žmones, kuriais pasitikime, žmones, kuriais turime pasikliauti, ir kad jie savo ruožtu pasikliauna mumis. Jungtinėms Valstijoms įsilaužti į Angelos Merkel mobilųjį telefoną nėra jokios naudos. Prezidentas Obama sakė, kad jei jam reikia sužinoti, ką ji galvoja, jis tiesiog pakels ragelį ir paskambins jai. Tačiau jis tariamai nežinojo, kad NSA daro būtent tai. Tai yra panašūs dalykai, kuriuos matome vykstant Brazilijoje, Prancūzijoje, Vokietijoje ir visose kitose šalyse, šiose sąjunginėse šalyse visame pasaulyje.
Taip pat turime atsiminti, kad kai kalbame apie kompiuterių tinklo išnaudojimą, kompiuterių tinklo atakas, kalbame ne tik apie jūsų namų kompiuterį. Kalbame ne tik apie valdymo sistemą kažkur gamykloje. Kalbame apie jūsų mobilųjį telefoną, taip pat apie pačius interneto maršrutizatorius. NSA ir jos seserinės agentūros atakuoja svarbiausią interneto infrastruktūrą, siekdamos perimti ją nuosavybėn. Jie nulaužia maršrutizatorius, jungiančius tautas prie interneto.
Ir tai pavojinga dėl daugelio priežasčių. Tai suteikia mums tikrą žvalgybos pranašumą, tačiau kartu tai yra rimta rizika. Jei viena iš šių įsilaužimo operacijų nepavyksta ir taip nutiko praeityje, o tai yra pagrindinis maršruto parinktuvas, jungiantis visus visos šalies interneto paslaugų teikėjus prie interneto, visai šaliai užtemdome prieigą prie interneto iki tą problemą galima ištaisyti. Ir šie maršrutizatoriai nėra jūsų mažieji „Linksys“, „D-Link“ maršrutizatoriai, sėdintys namuose. Kalbame apie 60,000 600,000 USD, 6 XNUMX USD, XNUMX mln. USD įrenginius, kompleksus, kuriuos nėra lengva pataisyti ir juose nėra pakeitimo, kurį būtų galima pakeisti.
Taigi turime būti labai atsargūs ir užtikrinti, kad kai tik dalyvaujame kibernetinio karo kampanijoje, kibernetinio šnipinėjimo kampanijoje Jungtinėse Valstijose, suprastume, kad žodis kibernetinis vartojamas kaip eufemizmas interneto, nes Amerikos visuomenė nebūtų sujaudinta išgirdusi, kad vykdome internetinio karo kampanijas, interneto šnipinėjimo kampanijas, nes suprantame, kad mes patys esame to paveikti. Internetas yra bendra svarbi infrastruktūra visiems žemėje. Tai neturėtų būti karo sritis. Neturėtume iškelti savo ekonomikos į mūšio lauko frontą. Tačiau tai vis dažniau nutinka šiandien.
Taigi turime įdiegti procesus, politiką ir procedūras pagal tikrus įstatymus, kurie draudžia peržengti protingumo ribas, kad būtų užtikrinta, jog vienintelis laikas, kai mes ir kitos pasaulio šalys naudojamės šiomis valdžios institucijomis, yra tada, kai tai absoliučiai būtina. nėra alternatyvi priemonė norint pasiekti tinkamą rezultatą ir yra proporcinga grėsmei. Neturėtume kelti grėsmės visos šalies infrastruktūrai, kad šnipinėtų vieną įmonę, vieną asmenį. Tačiau vis dažniau matome, kad šiandien tai vyksta vis dažniau.
Bamfordas: Minėjote problemas ir pavojus, kylančius, jei bandote išnaudoti kokios nors šalies centrinę nervų sistemą, kai kalbama apie internetą. Pavyzdžiui, Sirijoje buvo laikas, kai viskas žlugo, ir dėl to buvo kaltinamas Sirijos prezidentas Basharas al-Assadas. Ar turėjote kokių nors ypatingų žinių apie tai?
Snowdenas: Aš iš tikrųjų nenoriu įsitraukti į tą kamerą, todėl turėsiu priešintis.
Bamfordas: Ar galite kažkaip apie tai pasikalbėti?
Snowdenas: Sakyčiau, kai atakuojate maršruto parinktuvą internete ir darote tai nuotoliniu būdu, tai panašu į tai, kaip bandote šautuvu šaudyti į mėnulį. Viskas turi vykti tiksliai teisingai. Kiekvienas kintamasis turi būti kontroliuojamas ir tiksliai atsiskaitomas. Ir tai neįmanoma padaryti, kai turite ribotų žinių apie taikinį, kurį puolate.
Taigi, jei turite šį milžinišką maršruto parinktuvą, į kurį bandote nulaužti, ir norite jį nulaužti tokiu būdu, kurio to įrenginio sistemų administratoriai negalėtų aptikti, turite pasiekti žemiau to įrenginio operacinės sistemos lygio. tas maršrutizatorius. Ne ten, kur sakoma, čia yra taisyklės, čia yra vartotojų abonementai, čia yra maršrutai ir tinkama techninė informacija, prie kurios turėtų turėti prieigą visi, kurie administruoja šį įrenginį. Iki programinės įrangos lygio, įrenginio aparatinės įrangos valdymo lygio, kurio niekas niekada nemato, nes tai tarsi tamsi vieta.
Problema ta, kad jei padarote klaidą, kai manipuliuojate įrenginio aparatūros valdymu, galite atlikti tai, kas vadinama aparatūros blokavimu, ir tai iš 6 mln. USD kainuojančio interneto ryšio įrenginio pavirsta į 6 mln. USD popierinį svorį, kuris trukdo visos jūsų tautos komunikacijos. Ir viskas, ką galiu pasakyti, yra tai, kas nutiko praeityje.
Bamfordas: Kai buvome Brazilijoje, mums buvo parodyta ši didelė interneto ryšio priemonė. Tai buvo didžiausias interneto centras pietiniame pusrutulyje ir yra Brazilijoje. Ir brazilai turėjo daug rūpesčių, nes jie vėl pamatė skaidrę, kurioje buvo parodyta, kaip visa ši kenkėjiška programa sodinama Brazilijoje. Ar jiems tai tikrai kelia susirūpinimą dėl to, kad jie, pirma, gavo šį milžinišką interneto centrą San Paule, o, antra vertus, NSA užtvindė šalį kenkėjiška programa?
Snowdenas: Interneto birža yra tarsi pagrindiniai taškai, kuriuose susijungia visi tarptautiniai kabeliai, kur susijungia visi interneto paslaugų teikėjai ir prekiauja tarpusavyje linijomis, kur mes judame iš atskirų maršrutų, atskirų greitkelių internete į vieną. nuoseklus eismo ratas, kuriame kiekvienas gali įlipti ir išlipti norimu išvažiavimu. Tai yra pirmieji bet kokios šnipinėjimo agentūros tikslai, nes jie suteikia prieigą prie daugybės žmonių ryšių.
Interneto biržos ir interneto paslaugų teikėjai – tarptautiniai šviesolaidžio nusileidimo taškai – tai pagrindinės priemonės, kurių vyriausybės naudoja siekdamos įgalinti savo masinio stebėjimo programas. Jei jie nori, kad jie galėtų stebėti visus šalies gyventojus, o ne vieną asmenį, turite sekti tuos masinius mainus. Ir štai kas vyksta.
Taigi tai yra reali grėsmė, ir vienintelis būdas, į kurį galima atsižvelgti, yra užtikrinti, kad būtų vykdoma tam tikra nepriklausoma kontrolė ir auditas, tam tikri įprasti kriminalistiniai šių įrenginių tyrimai, siekiant užtikrinti, kad jie ne tik būtų saugūs, kai buvo įdiegti, tačiau nuo paskutinio audito jie nebuvo stebimi, sugadinti ar niekaip pakeisti. Tam reikia atlikti tokius veiksmus, kaip sukurti matematinius įrodymus, vadinamus tikrojo aparatinės įrangos parašo ir programinės įrangos parašų galiojimo maišais šiuose įrenginiuose ir jų aparatinėje įrangoje.
Bamfordas: Kita sritis – paminėjote prezidento komisiją, kuri išnagrinėjo visas šias dabar susirūpinimą keliančias sritis, kurias iš esmės iškėlėte į šias sritis. O prezidento komisija išėjo su, manau, 46 skirtingomis rekomendacijomis. Viena iš tų rekomendacijų buvo susijusi su naudojimo apribojimu arba sumažinimu, o gal net ir minties atsisakyti nulinės dienos išnaudojimų. Ar galite šiek tiek papasakoti apie savo baimes, kurias galite turėti JAV, kuriančios šią nulinės dienos išnaudojimo rinką?
Snowdenas: Taigi nulinės dienos išnaudojimas yra būdas įsilaužti į sistemą. Tai savotiškas pažeidžiamumas, kuriam skirtas išnaudojimas, tam tikras raktas ir užraktas, kurie yra kartu su tam tikru programinės įrangos paketu. Tai gali būti interneto serveris. Tai gali būti „Microsoft Office“. Tai gali būti „Adobe Reader“ arba „Facebook“. Tačiau šie nulinės dienos išnaudojimai – jie vadinami nulinėmis dienomis, nes programinės įrangos kūrėjas apie juos visiškai nežino. Jie neturėjo jokios galimybės reaguoti, reaguoti ir bandyti užtaisyti tą pažeidžiamumą ir jį uždaryti.
Pavojus, su kuriuo susiduriame vykdydami nulinių dienų atsargų kaupimo politiką, yra tai, kad savo šalyje ir kitose pasaulio šalyse kuriame paskatų sistemą, kuri imituoja mūsų elgesį arba vertina tai kaip tylų leidimą joms atlikti savo veiklą. tos pačios rūšies operacijos – mes kuriame interneto saugumo tyrėjų klasę, kuri tiria pažeidžiamumą, tačiau užuot atskleidusi jas įrenginių gamintojams, kad jas pataisytų ir padidintų mūsų saugumą, jie parduoda slaptosioms agentūroms.
Juos parduoda juodojoje rinkoje nusikalstamoms grupuotėms, kad galėtų jas išnaudoti atakuoti taikinius. Ir dėl to esame daug mažiau saugūs ne tik individualiu, bet ir plačiu socialiniu, plačiu ekonominiu lygmeniu. Be to, ji sukuria naują juodąją kompiuterinių ginklų, iš esmės skaitmeninių ginklų, rinką.
Ir tai yra šiek tiek laisvo žodžio problema, nes žmonės turi turėti galimybę laisvai tirti kompiuterių saugumą. Kad galėtume apsaugoti savo sistemas, žmonės turi turėti galimybę laisvai ieškoti šių pažeidžiamumų ir sukurti koncepcijos kodo įrodymą, kad parodytų, jog tai yra tikroji pažeidžiamybė. Tačiau tikslinga reguliuoti nulinės dienos žygdarbių naudojimą ir pardavimą nešvankiais tikslais, taip pat, kaip reguliuotumėte bet kurį kitą karinį ginklą.
Ir šiandien mes to nedarome. Štai kodėl matome augančią juodąją rinką su tokiomis kompanijomis kaip „Endgame“ ir su tokiomis įmonėmis kaip „Vupen“, kur viskas, ką jos daro – visas jų verslo modelis yra rasti spragų svarbiausiuose infrastruktūros programinės įrangos paketuose, kuriuos turime visame pasaulyje, ir užuot juos taisę. pažeidžiamumų, jie juos išplėšia ir leidžia savo klientams įeiti pro jas ir stengiasi kuo ilgiau slėpti žinias apie šiuos nulinės dienos išnaudojimus, kad padidintų savo komercinę vertę ir pajamas.
Bamfordas: Dabar iš tų 46 rekomendacijų, įskaitant komisijos pateiktą apie nulinės dienos išnaudojimą, prezidentas Obama patvirtino daugiausia penkias ar šešias iš tų 46 rekomendacijų, ir atrodė, kad jis visai nekalbėjo. nulinės dienos išnaudojimo rekomendacija. Ką manote apie tai, kad prezidentas tai ignoravo?
Snowdenas: Negaliu komentuoti prezidento politikos. Tai man mina. Rekomenduočiau paklausti Chriso Soghoiano iš ACLU, Amerikos piliečių laisvių sąjungos, ir jis gali pateikti bet kokią norimą citatą. Jums nereikia, kad kalbu apie tai, bet jūs visiškai teisus, kad kur dūmai, ten ir ugnis.
Bamfordas: Na, kaip žmogus, kuris dirbo NSA, buvo ten ilgą laiką, per tą laiką, kai ten buvote, jie sukūrė visą šią naują organizaciją, pavadintą „Cyber Command“. Ką manote apie šios naujos organizacijos, kuri ateina kaip NSA, vadovaujama NSA direktoriaus, sukūrimą? Vėlgi, pagaliau, NSA direktorius nuo pat pradžių buvo tik trijų žvaigždučių, o dabar jis yra keturių žvaigždučių generolas arba keturių žvaigždučių admirolas, ir jam vadovauja ši milžiniška didžiausia pasaulyje žvalgybos agentūra NSA. ir dabar jis turi kibernetinę komandą. Kokios jūsų mintys apie tai, pamačius tai iš vidaus?
Snowdenas: Praėjusiais metais buvo diskutuojama, ar Nacionalinio saugumo agentūra ir Kibernetinė vadovybė turėtų būti padalytos į dvi nepriklausomas agentūras, ir tai, ką prezidento nepriklausoma peržiūros taryba pasiūlė, yra tinkamas metodas, nes kai turite agentūrą, kuri turėtų būkite gynybiškai susituokę su agentūra, kurios visas gyvenimo tikslas yra sugriauti daiktus ir juos padegti, jūs turite interesų konfliktą, kuris iš tikrųjų sumažins gynybinės agentūros įtaką, o puolamoji šaka įgyja daugiau įtakos, jie gauna daugiau biudžeto dolerių, jie gauna daugiau ruošinių ir personalo užduočių.
Taigi kyla tikras pavojus, kad taip atsitiks. Ir pati „Cyber Command“ visada egzistavo – pati „Cyber Command“ nuo pat įkūrimo visada buvo ženklinama klaidinančiu būdu. NSA direktorius, kai jis ją pristatė, kai bandė gauti patvirtinimą, sakė, kad norėjo aiškiai pasakyti, kad tai nėra gynybinė komanda. Tai buvo nacionalinės komandos gynyba. Jis sako, kad tai yra gynybinė ir ne gynybinė tuo pačiu metu.
Priežastis, kodėl jis taip sako, yra ta, kad tai atakų agentūra, tačiau išėjimas prieš visuomenę ir prašymas patvirtinti agresyvią karą orientuotą agentūrą, kurios mums nereikia, yra sunku parduoti. Daug geriau, jei sakysime: ei, tai yra tam, kad mus apsaugotų, tai tam, kad mus apsaugotų, net jei tai kasdien sudegina daiktus ir laužo daiktus užsienio šalyse, su kuriomis mes nekariaujame.
Taigi čia reikia rasti tikrą kruopščią pusiausvyrą, kuri dar nebuvo išspręsta, tačiau kol Nacionalinė saugumo agentūra ir Kibernetinė vadovybė bus po vienu stogu, pamatysime, kad jų verslo puolamoji pusė bus svarbesnė už gynybinė verslo pusė, kuri mums, kaip šaliai ir kaip visuomenei, yra daug svarbesnė.
Bamfordas: Ir jūs anksčiau minėjote, jei galėtume dar kartą grįžti prie šio klausimo, kiek daugiau pinigų skiriama kibernetiniam puolimui, nei kibernetinei gynybai. Ne tik daugiau pinigų, bet ir daugiau personalo, daugiau dėmesio, daugiau dėmesio.
Snowdenas: Tiesą sakant, aš nesupratau šio klausimo.
Bamfordas: Tiesiog pagalvojau, ar galėtumėte šiek tiek plačiau apie tai paaiškinti. Vėlgi, mes turime „Cyber Command“, turime Informacijos užtikrinimo skyrių ir t. t., o kibernetiniam karui skiriama daug daugiau pinigų, personalo ir dėmesio nei gynybinei.
Snowdenas: Manau, kad pagrindinis dalykas analizuojant pusiausvyrą ir tai, kur mes išeiname į Nacionalinio saugumo agentūros ir Kibernetinės vadovybės nusikaltimus ir gynybą, yra tai, kad vis daugiau ir daugiau skaitome laikraščiuose ir diskutuojame Kongrese. , faktas, kad Senatas dabar bando pateikti įstatymo projektą, pavadintą CISPA, dėl kibernetinės žvalgybos dalijimosi – net nežinau, kaip tai vadinasi – leiskite man tai atsiimti.
Mes matome vis daugiau dalykų, pavyzdžiui, Senatas pateikia įstatymo projektą, pavadintą CISPA, kuris yra skirtas dalytis kibernetinės žvalgybos informacija tarp privačių įmonių ir vyriausybinių agentūrų, kur jos bando suteikti ne tik visišką imunitetą, bet ir visiško imuniteto suteikimą. privačioms įmonėms, jei jos dalijasi informacija apie visus savo klientus, apie visus Amerikos piliečius ir dar daugiau, kurie naudojasi jų paslaugomis, su žvalgybos agentūromis, siekdamos, kad ta informacija būtų naudojama joms apsaugoti.
Kongresas taip pat bando imunizuoti įmones tokiu būdu, kuris leistų joms pakviesti tokias grupes kaip Nacionalinio saugumo agentūra ar FTB savanoriškai į savo vidinius tinklus įjungti stebėjimo įrenginius, siekiant aptikti kibernetines atakas, kai jos įvyksta ir galintys į juos atsakyti. Bet mes ten perduodame daug valdžios. Mes apsaugome įmones nuo deramo patikrinimo ir saugome jų klientų privatumo teises.
Tiesą sakant, tai yra per sunku pasakyti interviu. Leisk man atsitraukti nuo to.
Tai, ką matome vis dažniau, yra tarsi Nacionalinio saugumo agentūros gedimas. Tai vis mažiau tampa Nacionalinio saugumo agentūra ir vis labiau nacionaline stebėjimo agentūra. Su kiekvienais metais jis įgauna vis daugiau puolimo galių. Ji gavo šią naują kibernetinę komandą, kuriai vadovauja NSA direktorius, kuri bet kokiu būdu turėtų būti visiškai atskira organizacija, nes ji turi visiškai atskirą misiją. Viskas, ką tai daro, yra puolimas.
Ir dėl to mus, tiek kaip tautą, tiek ekonomiką, atsiduriame nuolatinio pažeidžiamumo ir nuolatinės rizikos būsenoje, nes kai prarandame Nacionalinio saugumo agentūrą ir vietoj jos gauname puolančią agentūrą, jos vietoje atsiranda atakų agentūra. akys žvelgia į išorę, bet ne į vidų, kur turime daugiausiai prarasti. Ir taip mes ne kartą pasigendame atakų. Tai lemia žvalgybos nesėkmes, tokias kaip Bostono maratono sprogdinimai arba apatinių drabužių bombonešis Abdul Farouk Mutallab (sic).
Pastaraisiais metais dauguma teroristinių išpuolių, kurie buvo nutraukti Jungtinėse Valstijose, buvo nutraukti dėl tokių dalykų kaip Time Square bombonešis, kurį sugavo dešrelių pardavėjas, o ne masinio sekimo programa, ne kibernetinio šnipinėjimo kampanija.
Taigi, kai mes kanibalizuojame dolerius iš gynybinio NSA verslo, saugodami savo ryšius, saugodami mūsų sistemas, pataisydami nulinės dienos pažeidžiamumus, o vietoj to atiduodame tuos dolerius, kad jie būtų panaudoti naujiems mūsų sistemų pažeidžiamumams kurti. gali stebėti mus ir kitus asmenis užsienyje, kurie naudojasi tomis pačiomis sistemomis. Kai atiduodame tuos dolerius, kad sugadintume savo šifravimo metodus, kad neturėtume daugiau privatumo internete, ir visus tuos pinigus skiriame užsienio šalių puolimui, didiname konflikto padėtį ne tik diplomatine, bet ir prasme. grėsmės mūsų kritinei infrastruktūrai.
Kai kada nors ateityje elektrinėje užges šviesos, žinosime, kad tai yra gynybos nuvertinimo siekiant pranašumo puolime pasekmė.
Bamfordas: Kita problema, manau, yra ta, kad žmonės mano, kad, kaip jūs minėjote – tiesiog norėdami tai paaiškinti – žmonės, kurie to tikrai nesilaiko, mano, kad visa „Cyber Command“ idėja buvo apsaugoti šalį nuo kibernetinių... išpuolių. Ar tai klaidinga nuomonė, kad šie žmonės mano, kad visa „Cyber Command“ idėja yra apsaugoti juos nuo kibernetinių atakų?
Snowdenas: Na, o jei ko nors paklausite „Cyber Command“ arba pažvelgsite į bet kurį darbo vietų sąrašą, kad būtų galima užimti šias pareigas, pamatysite, kad vienas dalykas, kuriam jie neteikia pirmenybės, yra kompiuterių tinklo apsauga. Tai viskas apie kompiuterių tinklo atakas ir kompiuterių tinklo išnaudojimą „Cyber Command“. Ir jūs turite susimąstyti, jei tai žmonės, kurie turėtų ginti mūsų svarbią infrastruktūrą namuose, kodėl jie tiek daug laiko praleidžia ieškodami, kaip atakuoti tinklus, kaip sugadinti sistemas ir kaip išjungti? Nemanau, kad tai yra gynybinės komandos atstovavimas.
Bamfordas: Dabar, taip pat šiek tiek pažvelgus į ateitį, atrodo, kad yra tikimybė, kad daug kas gali būti automatizuota, kad kai kibernetinė komanda arba NSA pamatytų galimą kibernetinę ataką, gali būti keletas automatinių įrenginių, kurie iš esmės grąžina ugnį. Ir atsižvelgiant į tai, kad tai labai sunku – arba leiskite man atsikelti. Atsižvelgdami į tai, kad šaliai taip lengva apsimesti, iš kur kyla ataka, ar matote problemą, kai automatizuojate sistemas, kurios automatiškai šaudo atgal, o jos gali atmušti ne tą šalį ir gali prasidėti karas?
Snowdenas: Teisingai. Taigi nenoriu atsakyti į pirmąją jūsų klausimo dalį, bet galiu panaudoti antrąją dalį, susijusią su priskyrimu ir automatiniu atsakymu. Iš esmės pavojinga automatizuoti bet kokią agresyvią reakciją į aptiktą įvykį dėl klaidingų teigiamų rezultatų.
Tarkime, kad turime gynybinę sistemą, susietą su kibernetinės atakos galimybe, kuri naudojama atsakant. Pavyzdžiui, sukuriama sistema, kuri turėtų aptikti kibernetines atakas iš Irano, paslaugų atsisakymo atakas, nukreiptas prieš banką. Jie aptinka, kas atrodo kaip ataka, ir užuot tiesiog ėmęsi gynybos veiksmų, užuot tiesiog užblokavę užkardą ir nukreipę srautą, kad jis patektų į šiukšliadėžę ir niekas to nepastebėtų – jokios žalos – Žingsnis toliau ir sako, kad norime sustabdyti tos atakos šaltinį.
Taigi mes pradėsime automatinę kibernetinę ataką to srauto šaltinio IP adresu ir bandysime prijungti tą sistemą į internetą. Reaguodami į tai suaktyvinsime paslaugų atsisakymo ataką, kad sunaikintume, pablogintume ar kitaip sumažintume jų galimybes veikti.
Bet jei tai vyksta automatizuotai, kas atsitiks, kai algoritmai suklysta? Kas atsitiks, kai vietoj Irano išpuolio tai buvo tiesiog diagnostinė žinutė iš ligoninės? Kas nutinka, kai iš tikrųjų tai buvo nepriklausomo įsilaužėlio sukurta ataka, bet jūs panaikinote vyriausybinę įstaigą, kurioje įsilaužėlis veikė? Tai nebuvo aišku.
Kas nutinka, kai ataka pasiekia biurą, į kurį įsilaužė trečiosios šalies įsilaužėlis, kad galėtų pradėti ataką? O kas, jei tai būtų Kinijos įsilaužėlis, pradėjęs ataką iš Irano kompiuterio, nukreipto prieš JAV? Kai agresyviai atsakome prieš svetimą šalį, mes, Jungtinės Valstijos, savo politikoje nurodėme, kad tai yra karo veiksmas, pateisinantis tradicinį kinetinį karinį atsaką.
Mes atveriame duris žmonėms, paleidžiantiems raketas ir metantiems bombas, pašalindami žmogų iš sprendimų grandinės, kad būtų galima nuspręsti, kaip turėtume reaguoti į šias grėsmes. Ir tai vis dažniau matome vykstant tradicinėmis priemonėmis, nes mūsų karo metodai tampa vis labiau automatizuoti ir robotizuojami, pavyzdžiui, bepiločių orlaivių karas. Ir tai yra riba, kurios mes, kaip visuomenė, ne tik JAV, bet ir visame pasaulyje, niekada neturime peržengti. Niekada neturėtume leisti kompiuteriams priimti vyriausybinius sprendimus dėl karinės jėgos taikymo, net jei tai vyksta internete.
Bamfordas: Ir Richardas Clarke'as yra pasakęs, kad mums svarbiau apsiginti nuo atakų iš Kinijos, nei pulti Kiniją naudojant kibernetines priemones. Ar sutinkate su tuo?
Snowdenas: Labai su tuo sutinku. Manoma, kad atakuojant Kinijos sistemas nėra daug naudos. Galime atjungti kelis kompiuterius. Galime atjungti gamyklą. Galime pavogti paslaptis iš universiteto mokslinių tyrimų programų ir net kažko aukštųjų technologijų. Tačiau kiek daugiau JAV išleidžia moksliniams tyrimams ir plėtrai nei Kinija? Apsisaugoti nuo internetinių atakų, iš interneto kylančių atakų, yra daug, daug svarbiau nei mūsų galimybė pradėti atakas prieš panašius taikinius užsienio šalyse, nes kalbant apie internetą, kalbant apie mūsų techninę ekonomiką, daugiau prarasti nei bet kuri kita tauta žemėje.
Bamfordas: Manau, kad tai sakei anksčiau, bet praeityje JAV iš tikrųjų naudojo kibernetinį karą, kad atakuotų ligonines ir panašius dalykus Kinijoje?
Snowdenas: Taigi jie nėra kibernetinio karo pajėgumai. Jie yra CNE, kompiuterių tinklo išnaudojimas.
Bamfordas: Taip, jei galėtumėte tai šiek tiek paaiškinti.
Snowdenas: Aš nesiruošiu į tai įsitraukti į kamerą. Tačiau pasakojimai parodė ir tai, ką galite pasakyti, yra tai, kad Kinijos universitetai – ne tik kinų, iš tikrųjų – nubrėžia tai, kad Nacionalinė saugumo agentūra išnaudojo interneto mainus, interneto paslaugų teikėjus, įskaitant Belgacom atvejį. per savo sąjungininkus GCHQ ir Jungtinėje Karalystėje. Jie užpuolė universitetus, ligonines, interneto mainų punktus, interneto paslaugų teikėjus – svarbiausią infrastruktūrą, kuria pasitikime visi visame pasaulyje.
Ir svarbu atsiminti, kai pradedate daryti tokius veiksmus kaip atakuoti ligonines, kai pradedate pulti universitetus, kai pradedate pulti tokius dalykus kaip interneto mainų taškai, kai kas nors nepavyksta, žmonės gali mirti. Jei pažeidžiama ligoninės infrastruktūra, gelbėjimo įranga išsijungia. Kai interneto keitimosi taškas yra neprisijungęs, o balso skambučiai per IP atliekami naudojant įprastą ryšio metodą – šiais laikais mobiliųjų telefonų tinklai nukreipiami per interneto ryšio taškus – žmonės negali paskambinti 911. Pastatai dega. Viskas dėl to, kad norėjome ką nors šnipinėti.
Taigi turime būti labai atsargūs nustatydami, kur nubrėžiame ribą ir kas yra būtina ir proporcinga grėsmei, su kuria susiduriame bet kuriuo metu. Nemanau, kad šiandien yra nieko, jokios grėsmės, į kurią kas nors galėtų nurodyti, kas pateisintų visos populiacijos masinį stebėjimą. Nemanau, kad mums gresia koks nors teroristas Jemene, kuris sako, kad reikia nulaužti ligoninę Honkonge, Berlyne ar Rio de Žaneire.
Bamfordas: Žinau, kad čia laikas ribojamas, bet ar yra klausimų, kurių aš neturiu...
Gamintojas: Padarykime dviejų minučių pertraukėlę.
Bamfordas: Vienas iš įdomiausių dalykų, susijusių su Stuxnet ataka, buvo tai, kad prezidentui – ir prezidentui Bushui, ir prezidentui Obamai – buvo pasakyta nesijaudinkite, niekas to neaptiks. Čia nebus grąžinimo adreso. Antra, jis nepabėgs iš tos srities, į kurią jie vis tiek sufokusuoja – centrifugų. Abu jie pasirodė neteisingi, ir virusas pabėgo, jis buvo aptiktas, o tada buvo atsektas iki JAV. Taigi ar tai vienas iš didžiausių pavojų, tai, kad prezidentui sakoma, kad tokie dalykai yra, prezidentas neturi galimybių išnagrinėti visų techninių klausimų, ir tada šie dalykai gali mums atsitrenkti į veidą?
Snowdenas: Problema ta, kad internetas yra sudėtingiausia žmonių kada nors išrasta sistema. Ir su kiekviena iki šiol matyta operacija su internetu, visos šios įžeidžiančios operacijos, matome poveikį. Matome nenumatytas pasekmes. Matome atsirandantį elgesį, kai mažąjį blogio virusą įtraukus į didelį privatų gyvenimą, visas mūsų privačias sistemas internete, jis linkęs pabėgti ir patekti į Juros periodo parką. Ir kol kas mes neradome būdo tam užkirsti kelią. Ir atsižvelgiant į šių sistemų sudėtingumą, labai tikėtina, kad niekada to nedarysime.
Tai, ką turime padaryti, yra sukurti naujus tarptautinius elgesio standartus – ne tik nacionalinius įstatymus, nes tai pasaulinė problema. Negalime to ištaisyti tik Jungtinėse Valstijose, nes yra ir kitų šalių, kurios nesilaiko JAV įstatymų. Turime sukurti tarptautinius standartus, kuriuose teigiama, kad tokie dalykai turėtų įvykti tik tada, kai tai absoliučiai būtina, ir kad atsakas, kad operacija yra pritaikyta taip, būtų tiksliai suvaržyta ir proporcinga grėsmei, su kuria susiduriama. Ir tai yra kažkas, ko šiandien neturime, ir todėl matome šias problemas.
Bamfordas: Kita problema yra Šaltojo karo laikais – ir daugumai žmonių tai žinoma – kai buvo gana ribotas skaičius šalių, kurios iš tikrųjų galėjo sukurti branduolinį ginklą. Iš esmės buvo keletas šalių, kurios galėjo turėti patirties, skirti laiko, rasti plutonį, sukurti branduolinį ginklą. Šiandien pasaulis yra visiškai kitoks, ir jūs galite turėti tokią mažą šalį kaip Fidžis, kuri galėtų vykdyti kibernetinį karą. Taigi tai neapsiriboja, kaip tais laikais, tik keliose šalyse. Ar manote, kad tai yra pagrindinė problema, susijusi su visa idėja įsitraukti į kibernetinį karą, kai tiek daug šalių gali vykdyti kibernetinį karą, o JAV yra technologiškai labiausiai pažeidžiama šalis?
Snowdenas: Taip tu teisus. Problema ta, kad mes labiau priklausome nuo šių techninių sistemų. Mes labiau priklausome nuo kritinės interneto infrastruktūros nei bet kuri kita šalis. Ir kai yra tokia žema kliūtis patekti į kibernetinių atakų sritį – kibernetinis karas, nes jie mėgsta kalbėti apie grėsmę – pradedame kovą, kurios negalime laimėti.
Kiekvieną kartą, kai einame į mūšio lauką, o mūšio laukas yra internetas, nesvarbu, ar mes šimtą kartų šauname į priešininkus ir kaskart pataikome. Kol jie mus kartą užklupo, mes pralaimėjome, nes esame daug labiau priklausomi nuo tų sistemų. Ir dėl to turime daugiau dėmesio skirti saugesnio, patikimesnio, tvirtesnio ir patikimesnio interneto kūrimui, o ne silpnesniam, o ne tam, kuris remiasi šiuo sisteminiu kiekvieno pažeidžiamumo ir kiekvienos grėsmės išnaudojimo modeliu. . Kiekvieną kartą, kai kas nors internete pažvelgia į mus iš šono, mes pradedame juos atakuoti. Ilgainiui tai mums neišeis, ir jei norime, kad pasisektų, turime įveikti problemą.
Bamfordas: Kitas dalykas, apie kurį visuomenė, manau, šiuo metu nelabai supranta, yra tai, kaip visa ši kibernetinė komanda yra organizuota ir kokia ji agresyvi. Žmonės nesuvokia, kad dabar yra kibernetinė armija, kibernetinės oro pajėgos, kibernetinis laivynas. Ir faktas, kad kai kurių šių organizacijų, tokių kaip kibernetinis laivynas, modeliai yra tokie, kaip mes dominuosime elektroninėje erdvėje taip pat, kaip dominuojame jūroje arba taip pat, kaip dominuojame sausumoje ir taip pat, kaip dominuojame erdvėje. Taigi visa ši idėja sukurti didžiulę kariuomenę tik kibernetiniam karui, o tada panaudoti visą šią idėją, kad mes dominuosime kibernetinėje erdvėje, kaip prieš šimtmečius dominuoja jūrų laivynai.
Snowdenas: Teisingai. Priežastis, dėl kurios jie sako, kad nori dominuoti elektroninėje erdvėje, yra ta, kad politiškai neteisinga sakyti, kad norite dominuoti internete. Vėlgi, tai tarsi prekės ženklo pastangos gauti jiems reikalingą paramą, nes mes, visuomenė, nenorime leisti internetui tapti mūšio lauku. Turime daryti viską, ką galime, kaip visuomenė, kad ši zona išliktų neutrali, kad ekonominė zona galėtų atspindėti mūsų politines, socialines ir ekonomines vertybes. Internetas turėtų būti laisvės jėga. Internetas neturėtų būti karo įrankis. O mums, JAV, laisvės gynėjams, finansuoti ir skatinti sugriauti gėrio įrankį, kad jis būtų įrankis, naudojamas destruktyviems tikslams, manau, prieštarauja mūsų, kaip visuomenės, principams.
Bamfordas: Turite klausimą, Scott?
Gamintojas: Iš tikrųjų tai buvo tik klausimas apie (negirdimus) pažeidžiamumus, peržengiančius mums žinomas operacines sistemas, (negirdimus) ir tų spragų išsaugojimą, kad šis paradoksas apima ir kritinę infrastruktūrą, taip pat...
Snowdenas: Leiskite man minutę pažaisti laisvu stiliumi, tada galėsite įrašyti klausimo dalį kada tik panorėsite. Turime prisiminti, kad viskas, kas susiję su internetu, yra tarpusavyje susijusi. Visos mūsų sistemos yra mums įprastos ne tik dėl tinklo ryšių tarp jų, bet ir dėl programinės įrangos paketų, dėl jas sudarančių techninės įrangos įrenginių. Tas pats maršrutizatorius, kuris yra įdiegtas Jungtinėse Valstijose, yra įdiegtas Kinijoje. Tas pats programinės įrangos paketas, kuris kontroliuoja užtvankos užtvankus JAV, yra toks pat kaip ir Rusijoje. Ta pati ligoninių programinė įranga yra Sirijoje ir JAV.
Taigi, jei mes skatiname šios ypatingos svarbos infrastruktūros išnaudojimų, pažeidžiamumų ir nesaugumo plėtrą, o ne taisome, kai ją randame – radę kritinių trūkumų, padedame ją į lentyną, kad galėtume ja naudotis. kitą kartą norime pradėti puolimą prieš kokią nors užsienio šalį. Paliekame sau pavojų, ir tai prives prie taško, kai kitą kartą sugrius elektrinė, kai kitą kartą sprogs užtvanka, kitą kartą, kai ligoninėje užges šviesos, tai bus Amerikoje. , ne užsienyje.
Bamfordas: Be to, vienas iš dalykų, į kurį mes sutelkiame dėmesį programoje, yra galimas kibernetinio karo mastas. O mes rodome užtvanką, pavyzdžiui, Rusijoje, kur po ja buvo didelė elektrinė. Tai buvo objektas, kuris buvo tris kartus didesnis nei Huverio užtvanka, ir jis sprogo. Viena iš turbinų, kuri svėrė du „Boeing 747“ lėktuvus, sprogo 50 pėdų aukštyje į orą ir tada nukrito ir žuvo 75 žmonės. Ir visa tai įvyko dėl to, kas iš pradžių buvo laikoma kibernetinė ataka, tačiau paaiškėjo, kad tai klaidinga kibernetinė ataka, kuri buvo išsiųsta tam, kad tai įvyktų. Tai buvo netyčia.
Tačiau esmė ta, kad taip gali nutikti, jei kas nors nori tai padaryti sąmoningai, ir nemanau, kad daugelis JAV žmonių tai supranta, kad tokio pobūdžio karas gali būti toks platus. Ir jei galėtumėte man pateikti keletą idėjų, kaip tai gali būti pragaištinga ne tik elektros tinklo numušimas, bet ir visos užtvankos ar visos elektrinės nugriovimas.
Snowdenas: Taigi aš iš tikrųjų nenoriu įsitraukti į siaubingų dalykų sąrašą, nes nenoriu garsinti grėsmės. Aš pasakiau visus šiuos dalykus apie pavojus ir tai, kas gali nutikti, ir jūs teisus, kad yra rimta rizika. Tačiau tuo pat metu svarbu suprasti, kad tai nėra egzistencinė grėsmė. Niekas nepaspaus klaviatūros klavišo ir nesugriaus vyriausybės. Niekas nepaspaus klaviatūros klavišo ir nenušluos tautos nuo žemės paviršiaus.
Per visą savo istoriją susidūrėme su nusikalstamų grupuočių, teroristų, šnipų grasinimais ir apribojome savo atsakymus. Mes nesiėmėme visiško karo kiekvieną kartą, kai kyla konfliktas visame pasaulyje, nes tas santūrumas yra tai, kas mus apibrėžia. Šis suvaržymas suteikia mums moralinę padėtį vadovauti pasauliui. Ir jei mes einame, ten yra kibernetinių grėsmių, tai yra pavojingas pasaulis, ir mes turime būti saugūs, turime būti saugūs, kad ir kokia kaina būtų, mes praradome savo poziciją.
Turime turėti galimybę atmesti neproporcingus ir nepagrįstus atsakymus kibernetinėje srityje, kaip ir fizinėje srityje. Mes atmetame tokius metodus kaip kankinimas, nepaisant to, ar jie veiksmingi, ar neveiksmingi, nes jie yra barbariški ir žalingi plačiu mastu. Tas pats ir su kibernetiniu karu. Niekada neturėtume pulti ligoninių. Niekada neturėtume griauti elektrinių, nebent tai yra absoliučiai būtina, kad galėtume toliau egzistuoti kaip laisvi žmonės.
Bamfordas: Man tinka. Jei yra kažkas, ko, jūsų manymu, nepadengėme arba norite įdėti?
Snowdenas: Galvojau apie du dalykus. Viena yra – aš čia labai pasitraukiau nuo politikos ir daug kas buvo siaubinga, todėl galėčiau pabandyti dar vieną dalyką. Kitas, aš kalbėjau apie VFX debesyje, kaip vyksta kibernetinės atakos.
Gamintojas: Taigi aš tiesiog noriu apytiksliai, kur norite eiti, kad įsitikintume, jog tai gausime.
Bamfordas: Taip, kokį klausimą norite, kad aš paklausčiau.
Snowdenas: Jūs net nebūtinai turite užduoti klausimą. Tai tiesiog būtų -
Gamintojas: (negirdimas).
Snowdenas: Taip. Tai būtų tiesiog kaip segmentas. Sakyčiau, žmonės klausia, kaip vyksta kibernetinė ataka. Žmonės klausia, kaip atrodo išnaudojimas internete ir kaip sužinoti, iš kur jis atsirado. Daugelis žmonių šiais laikais žino, kas yra IP adresai, ir žino, kad neturėtumėte siųsti el. laiškų iš su jumis susieto kompiuterio, jei nenorite, kad jis būtų atsektas. Nenorite nulaužti elektrinės iš savo namų, jei nenorite, kad jie sektų pėdsaką atgal ir matytų jūsų IP adresą.
Tačiau internete taip pat yra vadinamųjų tarpinių serverių, tarpinių serverių, ir tai labai įprasta įsilaužėliams naudoti. Jie sukuria vadinamąsias tarpinio serverio grandines, kur gauna prieigą prie daugybės skirtingų sistemų visame pasaulyje, kartais į jas įsilauždami, ir naudoja jas kaip savotiškas perdavimo dėžutes. Taigi jūs turite atakos pradininką visoje kitoje planetos pusėje, didžiajame interneto rutulyje, tik milžinišką tinklo nuorodų žvaigždyną. Ir tada jūs turite jų numatytą auką čia.
Tačiau užuot nuėjusi tiesiai nuo jų prie aukos vienu tiesiu keliu, kur ši auka mato pradininką, užpuoliką, buvo asmuo, kuris jiems atsiuntė išnaudojimą, kuris užpuolė jų sistemą, pamatysite, kad jie kažką daro ten, kur zigzagais eina. internetas. Jie pereina nuo įgaliotojo serverio prie kito, iš šalies į šalį visame pasaulyje ir naudoja paskutinį įgaliotąjį serverį, paskutinį grandinės žingsnį, kad pradėtų ataką.
Taigi, nors išpuolis iš tikrųjų galėjo kilti iš Misūrio, tyrėjas, reaguojantis į išpuolį, manys, kad jis buvo iš Centrinės Afrikos Respublikos arba iš Sudano, iš Jemeno arba iš Vokietijos. Ir vienintelis būdas atsekti tai atgal yra nulaužti kiekvieną iš tų sistemų atgal per grandinę arba naudoti masinio stebėjimo metodus, kad iš esmės būtų šnipas kiekvienoje iš šių grandžių, kad galėtumėte sekti tuneliu iki pat namų.
Kuo daugiau apie tai galvoju, tuo labiau manau, kad tai būtų pernelyg sudėtinga...
Gamintojas: Ne, aš tik stebėjau tavo rankas. Tai buvo tik tuščių vietų užpildymas.
Bamfordas: Ne, aš irgi buvau. Tai bus gerai.
Gamintojas: Ir tai yra geras taškas, kaip galite automatizuoti atsakymus ir kaip
Bamfordas: Taip, mes galime tiesiog įvažiuoti ir piešti tais zigzagais.
Snowdenas: Teisingai. Aš turiu galvoje, taip, aš matau tai kaip žvaigždes, kaip taškų žvaigždyną. Ir tarp jų eina skirtingų spalvų takai. Ir tada jūs tiesiog išryškinate pradininką ir auką. Ir jie neturi būti ant kraštų. Jie netgi gali būti kažkur debesies centre. Ir tada jūs turite tarsi žalią liniją, einančią tiesiai tarp jų, ir ji tampa raudona, kai ji įsilaužia, bet tada matote, kaip maža policijos agentūra seka ją atgal. Tada jūs ant jo uždedate X ir pakeičiate jį zigzago linija, kuri yra žalia, o tada ji tampa raudona, kai ji atakuoja, kad tai būtų tarsi kelias.
Bamfordas: Nuo Misūrio iki Centrinės Afrikos Respublikos.
Snowdenas: Taip.
Gamintojas: Ar yra kokių nors kitų vizualizacijų, kurias galite įsivaizduoti ir galbūt matote tai kaip vaizdą, o ne a (keli pokalbiai; negirdimas).
Snowdenas: Manau, kad vienas iš gerų dalykų – ir jūs galite tai padaryti gana pigiai, net beveik juokingai, pavyzdžiui, animacinį filmą ir beveik „Flash“ animaciją, pavyzdžiui, iškarpas iš popieriaus – būtų padėti žmonėms įsivaizduoti problemą naudojant JAV teikia pirmenybę puolimui, o ne gynybai.
Žvelgdami į problemą, kai JAV teikia pirmenybę puolimui, o ne gynybai, įsivaizduokite, kad turite dvi banko saugyklas – Jungtinių Valstijų banko saugyklą ir Kinijos banką. Tačiau JAV banko saugykla yra visiškai pilna. Jis eina iki pat dangaus. O Kinijos banko saugykla ar rusiška Afrikos banko saugykla arba kas bebūtų tos dienos priešas, jų tik pusė pilna, ketvirtadalis ar dešimtadalis pilnas.
Tačiau JAV nori patekti į jų banko saugyklą. Taigi, ką jie daro, tai jie sukuria užpakalines duris į kiekvieną banko saugyklą pasaulyje. Tačiau problema yra ta, kad jų saugykla, JAV banko saugykla, turi tas pačias užpakalines duris. Taigi, kol mes sėliname į Kiniją ir išimame daiktus iš jų saugyklos, jie taip pat sėlina į Jungtines Valstijas ir išima daiktus iš mūsų saugyklos. Ir problema yra ta, kad mūsų saugykla yra pilna, todėl turime daug daugiau prarasti. Taigi, santykinai kalbant, mes gauname daug mažiau iš įsilaužimo į kitų saugyklas, nei iš kitų įsilaužimo į mūsų saugyklas. Štai kodėl mums daug svarbiau gebėti apsiginti nuo užsienio atakų, nei pradėti sėkmingus išpuolius prieš užsienio priešus.
Žinote, tiesiog kažkas simbolinio ir greito, ką žmonės gali akimirksniu įsivaizduoti.
Gamintojas: Kitas dalykas, kurį norėčiau jums pasakyti, nes turime rasti žmogų, kuris tai padarytų, yra tai, kaip pasigaminti kibernetinį ginklą? Kas yra kenkėjiška programa? Kas tai?
Snowdenas: Kai žmonės kalba apie kenkėjiškas programas, jie iš tikrųjų turi omenyje – kai žmonės kalba apie kenkėjiškas programas, ką jie...
Kai žmonės kalba apie kibernetinius ginklus, skaitmeninius ginklus, jie iš tikrųjų turi omenyje kenkėjišką programą, kuri naudojama kariniais tikslais. Kibernetinis ginklas gali būti toks paprastas kaip senas 1995 m. virusas, kuris vis dar bus veiksmingas, jei jį naudosite tam tikslui.
Pagal užsakymą sukurti skaitmeniniai ginklai, kibernetiniai ginklai šiais laikais paprastai sujungia daugybę nulinės dienos išnaudojimų, nukreiptų prieš konkrečią vietą, konkretų taikinį, į kurį norima pataikyti. Tačiau tai priklauso nuo tokio sudėtingumo lygio nuo biudžeto ir aktoriaus, kuris kursto ataką, kokybės. Jei tai mažiau skurdi ar mažiau sudėtinga šalis, tai bus ne tokia sudėtinga ataka.
Tačiau paprasčiausias kibernetinės atakos įrankis yra nustatyti sistemos pažeidžiamumą, prie kurio norite gauti prieigą arba kurį norite pakirsti, arba norite paneigti, sunaikinti ar pažeminti, o tada jį išnaudoti, o tai reiškia siųsti kodus, kažkaip pristatyti kodą į tą sistemą, nesvarbu, ar jis būtų lokaliai fizinėje srityje, ar tame pačiame tinkle, ar nuotoliniu būdu per internetą, per pasaulinį tinklą, ir gautų tą kodą į tą pažeidžiamumą, į plyšį jų sienoje, įstrigtų. ten ir tada leiskite jį vykdyti.
Naudinga apkrova gali būti veiksmas, instrukcijos, kurias norite vykdyti toje sistemoje, kuri paprastai šnipinėjimo tikslais palieka implantą, kad galėtų klausytis, ką jie daro, bet taip pat lengvai kažkas panašaus į valytuvų virusą, kuris tiesiog ištrina viską iš mašinų ir jas išjungia. Tiesą sakant, tai priklauso nuo visų įmanomų instrukcijų, kurias norėtumėte vykdyti toje nuotolinėje sistemoje.
Bamfordas: Be to, yra viena sritis, kurią, manau, būtų galima daug geriau įsivaizduoti, ir tai yra pažeidžiamumas. Keletą kartų sakiau, bet gali būti gerai, jei pagalvotumėte apie tai, kad žiūrite į banko saugyklą, o tada yra maži įtrūkimai, ir tai leidžia kam nors patekti į banko saugyklą. Taigi tai, ką JAV daro, kataloguoja visus tuos mažus įtrūkimus, o ne nurodo bankui, kaip tuos įtrūkimus ištaisyti. Problema ta, kad kiti žmonės gali rasti tuos pačius įtrūkimus.
Snowdenas: Kiti žmonės gali matyti tuos pačius įtrūkimus, taip.
Bamfordas: Ir paimk pinigus iš banko, tokiu atveju JAV padarė meškos paslaugą banko, kuris yra viešas, klientams, iš pradžių nepasakydama bankui apie įtrūkimus.
Snowdenas: Taip, tai tobula. Ir dar vienas būdas tai padaryti yra ne tik įtrūkimai sienose, bet ir kiti būdai. Galite parodyti vaikiną, tarsi žvilgčiojantį per sieną, galite pamatyti vaikiną, besileidžiantį apačioje, galite pamatyti vaikiną, einantį per sieną. priekinės durys. Visa tai, kibernetiniu požiūriu, yra pažeidžiamumas, nes tai nereiškia, kad reikia ieškoti vienos konkretaus tipo skylės. Tai visa paradigma. Jūs žiūrite į jų saugumo situacijos visumą ir ieškote bet kokių angų, kuriomis galėtumėte sugriauti tos sistemos ketinimus. Ir tu tiesiog eik iš ten. Yra visas išnaudojimo pasaulis, tačiau jis peržengia plačiosios auditorijos gilumą.
Gamintojas: Galime tiesiog sudėti juos visus (keli pokalbiai; negirdimi).
Bamfordas: Kas nors kitas?
Snowdenas: Vienas dalykas, taip. Buvo keletas dalykų, apie kuriuos norėjau pagalvoti. Vienas iš jų buvo žmogus-in-the-middle, išpuolio tipas, kurį turėtumėte iliustruoti. Tai įprastas įsilaužimas, tačiau jis susijęs būtent su CNE, kompiuterių tinklo išnaudojimu. Tačiau manau, kad susimaišymas su kibernetiniu karu padeda žmonėms suprasti, kas tai yra.
Žmogaus viduryje ataka yra tada, kai kažkas, pavyzdžiui, NSA, kažkas, kas turi prieigą prie perdavimo terpės, kurią naudojate bendraudami, iš tikrųjų pakerta jūsų ryšį. Jie jį perima, skaito ir perduoda arba perima, modifikuoja ir perduoda.
Galite įsivaizduoti, kad į savo pašto dėžutę įdedate laišką, kad pašto vežėjas paimtų ir įteiktų, bet nežinote, kad pašto vežėjas iš tikrųjų nunešė jį norimam asmeniui, kol nepatvirtina, kad tai įvyko. Pašto vežėjas galėjo jį pakeisti kitu laišku. Jie galėjo atidaryti. Jei tai būtų dovana, jie galėjo išnešti dovaną, panašiai.
Laikui bėgant sukūrėme pasaulinius elgesio standartus, kurie reiškia, kad pašto siuntėjai to nedaro. Jie bijo nuobaudų. Jie bijo būti sugauti. Ir mes, kaip visuomenė, pripažįstame, kad patikimų ryšių priemonių, patikimo pašto, vertė yra daug didesnė už bet kokią naudą, kurią galime gauti iš galimybės laisvai manipuliuoti paštu. Mums reikalingi tie patys standartai, kad jie būtų taikomi internetui. Turime galėti pasitikėti, kad kai siunčiame el. laiškus per „Verizon“, „Verizon“ nesidalija su NSA, kad „Verizon“ nesidalina jais su FTB ar Vokietijos žvalgybos, Prancūzijos, Rusijos ar Kinijos žvalgybos tarnyba.
Internetas turi būti apsaugotas nuo tokio įkyraus stebėjimo arba terpės, kuria mes visi remiamės kurdami savo ekonomiką ir įprastą gyvenimą – šiais laikais visi liečia internetą – mes tai prarasime, ir jis turės platų pasekmės, kurių negalime numatyti.
Gamintojas: Nuostabus. Manau, kad turėtume tęsti ir veikti kaip interaktyvi Edward Snowden programa.
Snowdenas: Mano advokatas mane nužudytų.
Gamintojas: Ne, tu tikrai – (negirdimas) vedei pamokas.
Snowdenas: Taip, aš mokiau. Tai buvo daug konkretesnio lygio, todėl man vis tenka skambinti atgal ir galvoti apie tai.
Gamintojas: Jūs labai aiškiai apie tai kalbate.
Snowdenas: Leiskite man dar kartą atlikti puolimą, gynybą ir saugumą. Manau, kad jūs, vaikinai, jau turite pakankamai, kad jį sutvarkytumėte, bet leiskite man tiesiog pabandyti ant jo paleisti laisvąjį stilių.
Techninių ekspertų, kurie tikrai valdo internetą, sukūrė internetą ir jį prižiūri, bendruomenė vis labiau nerimauja dėl tokių agentūrų, kaip NSA ar Cyber Command, veikla, nes matome, kad gynyba tampa mažiau prioritetu nei nusikaltimas. . Yra programų, apie kurias per pastaruosius metus skaitėme spaudoje, pavyzdžiui, NSA sumokėjo RSA 10 mln. Dėl to esame labiau pažeidžiami ne tik mūsų vietinių, bet ir užsienio agentūrų šnipinėjimo.
Matėme kitą programą, pavadintą „Bullrun“, kuri griauna – kuri griauna – ir toliau griauna panašius šifravimo standartus, kurie naudojami daugumoje el. prekybos visame pasaulyje. Negalite eiti į savo banką ir pasitikėti ta komunikacija, jei tie standartai buvo susilpninti, jei tie standartai yra pažeidžiami. Dėl to susidaro paradigma, kai šios agentūros turi didžiulę galią internete, už tai, kad likusi jų tauta taps neįtikėtinai pažeidžiama dėl tokių pačių išnaudojamųjų atakų, tokių pačių kibernetinių atakų mechanizmų.
Ir tai reiškia, kad nors mes galime turėti realų pranašumą, kai kalbame apie kariškių pasiklausymą Sirijoje ar derybas dėl prekybos, palyginti su krevečių kaina Indonezijoje (o tai iš tikrųjų yra tikras anekdotas) ar net stebint klimato kaitos konferenciją, tai reiškia, kad tai baigiasi. . Tai reiškia, kad galiausiai gyvename Amerikoje, kurioje nebeturime Nacionalinio saugumo agentūros. Mes turime nacionalinę priežiūros agentūrą. Ir kol nereformuosime savo įstatymų ir nepataisysime šios senos politikos, kurią paveldėjome po rugsėjo 9-osios eros, pertekliaus, negalėsime grąžinti saugumo NSA.
Bamfordas: Tai puiku. Atsižvelgiant į tai, ką žinote apie projektą „Bullrun“ ir t. t., kiek, jūsų manymu, yra saugūs tokie dalykai kaip AES, DES, pažangus šifravimo standartas?
Snowdenas: Aš iš tikrųjų nenoriu atsakyti į tą kamerą, o atsakymas yra tas, kad aš iš tikrųjų nežinau. Bet taip, palikime tai.
Bamfordas: Turiu galvoje, kad tai būtų kilusi mintis ją susilpninti.
Snowdenas: Teisingai. Idėja būtų ją susilpninti, bet kokie standartai? Kaip tai AES? Ar tai kiti? DES iš tikrųjų buvo stipresnis, nei manėme tuo metu, nes NSA slapta manipuliavo standartu, kad jį sustiprintų anksčiau, o tai buvo keista, bet tai rodo mąstymo skirtumą tarp 80-ųjų ir 90-ųjų. Tai buvo S-dėžės. Taip ir vadinosi. S-dėžės buvo modifikuotos. Ir šiandien, kur jie eina, o, tai per stipru, susilpninkime. NSA iš tikrųjų kriptovaliutų karų laikais buvo susirūpinęs dėl Amerikos saugumo gerinimo. Šiais laikais matome, kad jų prioritetas silpnina mūsų saugumą, tik tam, kad jie turėtų daugiau galimybių mus stebėti.
Bamfordas: Na, aš manau, kad tai tobula. Taigi kodėl mums tiesiog nepadarius...
Gamintojas: Ar norėtum kavos? Ko nors atsigerti?
Bamfordas: Taip, mes galime ką nors gauti iš kambarių tarnybos, jei norite.
Snowdenas: Tiesą sakant, geriu tik vandenį. Tai buvo vienas juokingiausių dalykų pradžioje. Mike'as Haydenas, buvęs NSA CŽV direktorius, pasakė kažkokią uždegančią kalbą,
Bamfordas: O, aš žinau, ką tu pasakysi, taip.
Snowdenas: - kaip bažnyčioje Kolumbijoje, o Bartonas Gellmanas buvo ten. Jis buvo vienas iš žurnalistų. Buvo juokinga, nes jis kalbėjo apie tai, kaip aš – Rusijoje visi yra apgailėtini. Rusija yra baisi vieta. Ir aš būsiu nelaimingas, būsiu girtas ir niekada nieko nedarysiu. Aš negeriu. Niekada gyvenime nebuvau girtas. Ir jie kalba apie Rusiją, lyg tai būtų blogiausia vieta žemėje. Rusija puiki.
Bamfordas: Kaip Stalinas vis dar vadovauja.
Snowdenas: Taip, aš žinau. Tai beprotiška.
Bamfordas: Bet jūs žinote, ką jis turėjo omenyje, manau. Jūs žinote, ką jis galvojo – ir man būtų įdomu, ar iš tikrųjų girdėjote apie tai, ar ne.
Snowdenas: Philby ir Burgess ir –
Bamfordas: Martinas ir Mitchelis.
Snowdenas: Tiesą sakant, nelabai prisimenu Martino ir Mitchello atvejį. Aš žinau jo kontūrus.
Bamfordas: Bet žinote, ką jie padarė?
Snowdenas: Ne.
„ZNetwork“ finansuojamas tik iš skaitytojų dosnumo.
Paaukoti