AMERICAN jeung Inggris mata-mata hacked kana jaringan komputer internal tina produsén kartu SIM panggedéna di dunya, maok konci enkripsi dipaké pikeun ngajaga privasi komunikasi telepon sélulér sakuliah dunya, nurutkeun dokumén luhur-rusiah disadiakeun pikeun Intercept nu ku whistleblower Badan Kaamanan Nasional Edward Snowden.
Hack ieu dilakukeun ku unit gabungan anu diwangun ku operatives ti NSA sareng Markas Komunikasi Pamaréntahan Inggris, atanapi GCHQ. The breach, diwincik dina rusiah 2010 GCHQ surat penting, masihan agénsi panjagaan poténsi pikeun cicingeun ngawas sabagian ageung komunikasi sélulér dunya, kalebet sora sareng data.
Perusahaan anu ditargetkeun ku agénsi intelijen, Gemalt, nyaéta firma multinasional anu kagabung di Walanda anu ngadamel chip anu dianggo dina telepon sélulér sareng kartu kiridit generasi salajengna. Diantara klienna nyaéta AT&T, T-Mobile, Verizon, Sprint sareng sababaraha panyadia jaringan nirkabel 450 di sakumna dunya. Pausahaan beroperasi di 85 nagara sareng gaduh langkung ti 40 fasilitas manufaktur. Salah sahiji tina tilu markas globalna aya di Austin, Texas sareng gaduh pabrik ageung di Pennsylvania.
Dina sakabéhna, Gemalto ngahasilkeun kira-kira 2 miliar kartu SIM sataun. Motto na nyaéta "Kaamanan janten Gratis."
Kalayan konci enkripsi anu dipaling ieu, agénsi intelijen tiasa ngawas komunikasi sélulér tanpa milarian atanapi nampi persetujuan ti perusahaan telekomunikasi sareng pamaréntah asing. Ngagaduhan konci ogé ngahindarkeun kabutuhan pikeun kéngingkeun waran atanapi wiretap, bari henteu ngantepkeun jejak dina jaringan panyadia nirkabel yén komunikasina dicegat. Maling konci massal ogé ngamungkinkeun agénsi intelijen pikeun muka konci komunikasi anu énkripsi sateuacana anu parantos dicegat, tapi henteu acan gaduh kamampuan pikeun ngadekrip.
Salaku bagian tina operasi rahasia ngalawan Gemalto, mata-mata ti GCHQ - kalayan dukungan ti NSA - ditambang komunikasi pribadi insinyur tanpa disadari sareng karyawan perusahaan sanés di sababaraha nagara.
Gemalto éta sagemblengna oblivious kana penetrasi sistem na - sarta spionase on karyawan na. "Kuring kaganggu, rada prihatin yén ieu kajantenan," Paul Beverly, wakil presiden eksekutif Gemalto, ngawartoskeun Intercept nu. "Hal anu paling penting pikeun kuring nyaéta ngartos persis kumaha ieu dilakukeun, ku kituna urang tiasa nyandak unggal ukuran pikeun mastikeun yén éta henteu kajantenan deui, sareng ogé pikeun mastikeun yén henteu aya pangaruh kana operator telekomunikasi anu kami parantos dilayanan. manner pisan dipercaya salila sababaraha taun. Anu kuring hoyong ngartos nyaéta naon rupa akibatna, atanapi anu tiasa dipiboga, pikeun palanggan urang. Anjeunna nambahan yén "hal anu paling penting pikeun urang ayeuna nyaéta ngartos darajat" tina palanggaran éta.
Anjog privasi ngarah sarta ahli kaamanan nyebutkeun yén maling konci enkripsi ti panyadia jaringan nirkabel utama nyaeta tantamount ka maling meunangkeun master ring of a superintendent wangunan anu nyepeng kenop pikeun tiap apartemen. "Sakali anjeun gaduh konci, ngadekrip lalu lintas teu pati penting," saur Christopher Soghoian, téknolog poko pikeun American Civil Liberties Union. "Warta ngeunaan maling konci ieu bakal ngirim gelombang shock ngaliwatan komunitas kaamanan."
Beverly ngomong yén sanggeus dikontak ku Intercept nu, Tim kaamanan internal Gemalto mimiti Rebo pikeun nalungtik kumaha sistem maranéhanana ditembus sarta bisa manggihan euweuh renik tina hacks. Nalika ditaros upami NSA atanapi GCHQ kantos naroskeun aksés kana konci enkripsi anu diproduksi Gemalto, Beverly nyarios, "Kuring henteu terang pisan. Sakapeung mah, henteu.”
Numutkeun salah sahiji rusiah GCHQ nyorosod, agénsi intelijen Inggris nembus jaringan internal Gemalto, melak malware dina sababaraha komputer, masihan aksés rahasia GCHQ. Kami "yakin yén kami gaduh sadayana jaringanna," panulis slide bangga ngeunaan operasi ngalawan Gemalto.
Salaku tambahan, lembaga spionase nargétkeun jaringan inti perusahaan sélulér anu henteu namina, masihan aksés ka "mesin staf penjualan kanggo inpormasi palanggan sareng mesin insinyur jaringan pikeun peta jaringan." GCHQ ogé nyatakeun kamampuan pikeun ngamanipulasi pangladén tagihan perusahaan sélulér pikeun "neundeun" biaya dina upaya nyumputkeun tindakan rusiah agénsi spionase ngalawan telepon hiji jalma. Anu paling penting, GCHQ ogé nembus "server auténtikasi," ngamungkinkeun éta pikeun ngadekrip data sareng komunikasi sora antara telepon individu anu disasarkeun sareng jaringan panyadia telekomunikasi na. A catetan marengan slide negeskeun yén agénsi nenjo éta "bagja pisan jeung data jadi jauh jeung [ieu] gawé ngaliwatan kuantitas vast produk."
Mobile Handset Exploitation Team (MHET), anu ayana henteu acan kantos diungkabkeun, dibentuk dina April 2010 pikeun nargétkeun kerentanan dina ponsel. Salah sahiji misi utami nyaéta pikeun nembus jaringan komputer perusahaan anu ngahasilkeun kartu SIM, ogé panyadia jaringan nirkabel. Tim éta kalebet operatives ti GCHQ sareng NSA.
Bari FBI jeung agénsi AS lianna bisa ménta paréntah pangadilan compelling pausahaan telekomunikasi basis AS pikeun ngidinan aranjeunna wiretap atanapi intercept komunikasi konsumén maranéhanana, di hareup internasional jenis ieu kumpulan data leuwih nangtang. Kacuali telekomunikasi asing atanapi pamaréntah asing masihan aksés kana data wargana ka agénsi intelijen AS, NSA atanapi CIA kedah hack kana jaringan atanapi khusus nargétkeun alat pangguna pikeun bentuk panjagaan "aktif" anu langkung picilakaeun anu tiasa dideteksi ku target canggih. Sumawona, agénsi intelijen asing moal ngijinkeun agénsi spionase AS atanapi Inggris aksés kana komunikasi sélulér kapala nagara atanapi pejabat pamaréntahan sanés.
“Teu percaya. Teu bisa dipercaya,” ceuk Gerard Schouw, anggota DPRD Walanda, waktu dicaritakeun kalakuan agénsi mata-mata. Schouw, juru carios intelijen pikeun D66, partai oposisi panggedéna di Walanda, nyarios Intercept nu, "Kami henteu hoyong jasa rusiah ti nagara-nagara sanés ngalakukeun hal-hal sapertos kieu." Schouw nambahan yén anjeunna sareng anggota parlemén sanés bakal naroskeun ka pamaréntah Walanda pikeun masihan katerangan resmi sareng netelakeun naha jasa intelijen nagara éta sadar kana targeting Gemalto, anu markas resmina di Amsterdam.
Nopémber kamari, pamaréntah Walanda diajukeun amandemen konstitusi na ngawengku panyalindungan eksplisit pikeun privasi komunikasi digital, kaasup nu dijieun dina alat nu bagerak. "Kami ngagaduhan, di Walanda, hukum ngeunaan [kagiatan] jasa rusiah. Sareng peretasan henteu diidinan, ”saur Schouw. Dina hukum Walanda, menteri dalam negeri kedah ngadaptarkeun operasi sapertos kitu ku agénsi intelijen pamaréntah asing. "Kuring henteu percanten yén anjeunna parantos masihan idin pikeun tindakan sapertos kitu."
Badan intelijen AS sareng Inggris ngaleungitkeun konci enkripsi dina siluman anu saé, masihan aranjeunna kamampuan pikeun ngahalangan sareng ngadekrip komunikasi tanpa ngingetkeun panyadia jaringan nirkabel, pamaréntah asing atanapi pangguna individu yén aranjeunna ditargetkeun. "Meunangkeun aksés ka pangkalan data konci mangrupikeun kaulinan pikeun énkripsi sélular," saur Matthew Green, spesialis kriptografi di Johns Hopkins Information Security Institute. Maling konci anu ageung nyaéta "warta goréng pikeun kaamanan telepon. Warta anu saé pisan. ”
AS konsumen dimimitian Pikeun ngadopsi telepon sélulér sacara masal dina pertengahan taun 1990-an, teu aya panyalindungan privasi anu épéktip. Saha waé tiasa mésér alat anu murah tina RadioShack anu tiasa ngahalangan telepon anu dipasang dina telepon sélulér. Pergeseran tina jaringan analog ka digital ngenalkeun téknologi énkripsi dasar, sanaos éta masih tiasa dirobih ku mahasiswa lulusan élmu komputer anu pinter téknologi, ogé FBI sareng lembaga penegak hukum anu sanés, nganggo alat anu sayogi.
Kiwari, téknologi telepon generasi kadua (2G), anu ngandelkeun sistem enkripsi anu cacad pisan, tetep janten platform anu dominan sacara global, sanaos perusahaan telepon sélulér AS sareng Éropa ayeuna nganggo téknologi 3G, 4G sareng LTE di pakotaan. Ieu kalebet metode enkripsi anu langkung aman, sanaos henteu kaéléhkeun, sareng operator nirkabel di sakumna dunya ningkatkeun jaringanna pikeun ngagunakeun téknologi anu langkung énggal ieu.
Dina kontéks tangtangan téknis sapertos kitu pikeun ngumpulkeun data yén agénsi intelijen, sapertos NSA, janten kabetot pikeun kéngingkeun konci énkripsi sélular. "Kalayan baheula [2G], aya cara séjén pikeun ngerjakeun kaamanan ponsel tanpa konci éta," saur Green, kriptografi Johns Hopkins. "Kalayan protokol 3G, 4G sareng LTE anu langkung énggal, algoritmana henteu rentan, janten kéngingkeun konci éta penting."
Privasi sadaya komunikasi sélulér — sauran sora, pesen téks sareng aksés Internét — gumantung kana sambungan énkripsi antara telepon sélulér sareng jaringan operator nirkabel, nganggo konci anu disimpen dina SIM, chip leutik anu langkung alit tibatan prangko, anu diselapkeun kana. telepon. Sadaya komunikasi sélulér dina telepon gumantung kana SIM, anu nyimpen sareng ngajaga konci enkripsi anu diciptakeun ku perusahaan sapertos Gemalto. Kartu SIM bisa dipaké pikeun nyimpen kontak, talatah teks, jeung data penting séjénna, kawas nomer telepon hiji. Di sababaraha nagara, kartu SIM dipaké pikeun nransferkeun duit. Salaku Intercept nu dilaporkeun taun ka tukang, gaduh kartu SIM salah bisa ngajadikeun anjeun udagan serangan drone.
Kartu SIM henteu diciptakeun pikeun ngajagi komunikasi individu - aranjeunna dirancang pikeun ngalakukeun anu langkung saderhana: mastikeun tagihan anu leres sareng nyegah panipuan, anu sumebar dina awal telepon sélulér. Soghoian ngabandingkeun pamakean konci enkripsi dina kartu SIM sareng cara nomer Jaminan Sosial dianggo ayeuna. "Nomer jaminan sosial dirancang dina taun 1930-an pikeun ngalacak kontribusi anjeun ka mancén pamaréntahan anjeun," saur anjeunna. "Dinten ayeuna aranjeunna dianggo salaku nomer idéntitas nasional kuasi, anu henteu pernah tujuanana."
Kusabab kartu SIM henteu diciptakeun kalayan merhatikeun karusiahan telepon, produsén sareng operator nirkabel henteu ngalakukeun usaha anu saé pikeun ngamankeun ranté pasokanna. Hasilna, kartu SIM mangrupakeun komponén pisan rentan tina handphone. "Kuring ragu saha anu ngubaran eta hal taliti pisan," nyebutkeun Green. "Perusahaan sél sigana henteu ngarawat aranjeunna salaku token kaamanan penting. Éta sigana ngan ukur paduli yén teu aya anu nipu jaringanna. ” The ACLU's Soghoian nambihan, "Konci-konci ieu berharga pisan sahingga masuk akal pikeun agénsi intel ngiringan aranjeunna."
Sacara umum, pausahaan telepon teu nyieun kartu SIM, atawa program aranjeunna kalayan konci enkripsi rusiah. Éta langkung mirah sareng langkung efisien pikeun aranjeunna outsourcing léngkah sénsitip ieu dina prosés produksi kartu SIM. Aranjeunna ngagaleuh aranjeunna sacara ageung kalayan konci anu tos dimuat ku perusahaan sanés. Gemalto mangrupikeun perusahaan "personalisasi" SIM anu panggedéna.
Saatos kartu SIM dijieun, konci enkripsi, katelah "Ki," diduruk langsung kana chip. Salinan konci ogé dipasihkeun ka panyadia sélulér, ngamungkinkeun jaringanna ngenal telepon hiji jalma. Supados telepon tiasa nyambung ka jaringan pamawa nirkabel, telepon — kalayan bantosan SIM — nga-authenticate nyalira nganggo Ki anu parantos diprogram kana SIM. Telepon ngalaksanakeun "salaman" rusiah anu ngesahkeun yén Ki dina SIM cocog sareng Ki anu dicekel ku perusahaan sélulér. Sakali éta kajadian, komunikasi antara telepon sareng jaringan énkripsi. Sanaos GCHQ atanapi NSA kedah nyegat sinyal telepon nalika dikirimkeun kana hawa, data anu disadap bakal janten kacau. Decrypting éta tiasa nangtang sareng nyéépkeun waktos. Maok konci, di sisi séjén, geulis basajan, ti sudut pandang agénsi intelijen, sabab pipa pikeun ngahasilkeun jeung ngadistribusikaeun kartu SIM teu pernah dirancang pikeun ngagagalkeun usaha panjagaan massa.
Salah sahiji panyipta protokol enkripsi anu seueur dianggo ayeuna pikeun ngamankeun email, Adi Shamir, anu kasohor negeskeun: "Kriptografi biasana diliwat, henteu ditembus." Kalayan kecap sanésna, langkung gampang (sareng sneakier) muka panto anu dikonci nalika anjeun gaduh konci tibatan ngarecah panto nganggo gaya kasar. Sanaos NSA sareng GCHQ gaduh sumber daya anu ageung pikeun ngarobih enkripsi, éta sanés hiji-hijina jalan - sareng tangtosna sanés anu paling éfisién - pikeun kéngingkeun data anu dipikahoyong. "NSA ngagaduhan langkung seueur ahli matematika dina gajina tibatan éntitas sanés di AS," saur Soghoian ACLU. "Tapi peretas NSA langkung sibuk tibatan matematikawan na."
GCHQ sareng NSA tiasa nyandak sababaraha rute pikeun maok konci enkripsi SIM sareng data sanésna. Aranjeunna tiasa sacara fisik rusak janten pabrik manufaktur. Éta bisa geus peupeus kana kantor operator nirkabel urang. Aranjeunna tiasa nyogok, meres atanapi maksa karyawan produsén atanapi panyadia ponsel. Tapi sakabéh éta hadir kalawan resiko badag paparan. Dina kasus Gemalto, peretas anu damel pikeun GCHQ jarak jauh nembus jaringan komputer perusahaan supados maok konci sacara massal nalika aranjeunna nuju ka panyadia jaringan nirkabel.
Perusahaan "personalisasi" kartu SIM sapertos Gemalto ngirimkeun ratusan rébu kartu SIM sakaligus ka operator telepon sélulér di sakumna dunya. rékaman pengiriman barang internasional diala ku Intercept nu nunjukkeun yén dina 2011, Gemalto ngirimkeun 450,000 kartu pinter ti pabrikna di Mexico ka Deutsche Telekom Jerman dina ngan hiji kiriman.
Supados kartu tiasa dianggo sareng komunikasi telepon janten aman, Gemalto ogé kedah nyayogikeun perusahaan sélulér file anu ngandung konci énkripsi pikeun unggal kartu SIM énggal. File master key ieu tiasa dikirim via FedEx, DHL, UPS atanapi panyadia surat kéong sanés. Biasana, aranjeunna tiasa dikirim via email atanapi ngalangkungan File Transfer Protocol, FTP, metode ngirim file dina Internét.
Momen set konci master dihasilkeun ku Gemalto atanapi perusahaan personalisasi anu sanés, tapi sateuacan dikirim ka operator nirkabel, mangrupikeun momen anu paling rentan pikeun interception. "Nilai meunang aranjeunna dina titik pabrik nyaéta anjeun panginten tiasa kéngingkeun seueur konci sakaligus, sabab chip SIM dilakukeun dina bets ageung," saur Green, cryptographer. "Kartu SIM didamel pikeun seueur operator anu béda dina hiji fasilitas." Dina kasus Gemalto, GCHQ kéngingkeun jackpot, sabab perusahaan ngahasilkeun SIM pikeun ratusan panyadia jaringan nirkabel, kalebet sadaya perusahaan AS- sareng seueur perusahaan Éropa panggedéna.
Tapi pikeun meunangkeun konci énkripsi nalika Gemalto masih nyekel éta peryogi milarian jalan kana sistem internal perusahaan.
TOP-Rusiah GCHQ dokumén nembongkeun yen agénsi intelijen diaksés surelek jeung akun Facebook insinyur sarta pagawé lianna tina korporasi telekomunikasi utama jeung pabrik kartu SIM dina usaha pikeun cicingeun ménta inpo nu bisa mere aranjeunna aksés ka jutaan konci enkripsi. Aranjeunna ngalakukeun ieu ku ngagunakeun program X-KEYSCORE NSA, anu ngamungkinkeun aranjeunna aksés kana email pribadi anu di-host ku kartu SIM sareng server perusahaan mobile, ogé perusahaan téknologi utama, kalebet Yahoo sareng Google.
Nyatana, GCHQ sacara rahasia cyberstalked Karyawan Gemalto, scouring surelek maranéhanana dina usaha pikeun manggihan jalma anu mungkin geus miboga aksés ka jaringan inti parusahaan jeung sistem Ki-generating. Tujuan agénsi intelijen nyaéta pikeun milarian inpormasi anu bakal ngabantosan ngalanggar sistem Gemalto, ngamungkinkeun pikeun maok konci énkripsi anu ageung. Badan éta ngaharepkeun pikeun ngahalangan file anu ngandung konci nalika dikirimkeun antara Gemalto sareng palanggan panyadia jaringan nirkabel na.
Operasi GCHQ ngaidentipikasi jalma-jalma konci sareng posisina dina Gemalto teras ngali kana emailna. Dina hiji conto, GCHQ nolak karyawan Gemalto di Thailand anu aranjeunna ningali ngirim file énkripsi PGP, nyatakeun yén upami GCHQ hoyong ngalegaan operasi Gemalto, "anjeunna pasti bakal janten tempat anu saé pikeun ngamimitian." Aranjeunna henteu ngaku ngadekrip komunikasi para karyawan, tapi nyatakeun yén panggunaan PGP tiasa hartosna eusina berpotensi berharga.
The cyberstalking teu dugi ka Gemalto. operatives GCHQ nulis naskah anu diwenangkeun agénsi mun milik komunikasi swasta karyawan telekomunikasi utama jeung SIM "personalization" pausahaan pikeun istilah teknis dipaké dina assigning sahiji konci rusiah ka konsumén handphone. Karyawan pikeun produsén kartu SIM sareng panyadia jaringan nirkabel dilabélan salaku "individu anu dipikanyaho sareng target operator" dina dokumen GCHQ anu rahasia.
Numutkeun éta April 2010 surat penting, "Panen PCS dina Skala," hacker gawe GCHQ fokus kana "panén" jumlah masif konci enkripsi individu "dina transit antara operator jaringan mobile sarta puseur personalization kartu SIM" kawas Gemalto. Mata-mata "ngamekarkeun metodologi pikeun nyegat konci ieu nalika aranjeunna ditransfer antara sababaraha operator jaringan sareng panyadia kartu SIM." Dina waktos éta, GCHQ parantos ngembangkeun "téhnik otomatis kalayan tujuan ningkatkeun volume konci anu tiasa dipanén."
Dokumén Panén PCS ngaku yén, dina milarian inpormasi ngeunaan konci énkripsi, operasi GCHQ pasti bakal nyéépkeun "sajumlah ageung barang anu teu aya hubunganana" tina komunikasi pribadi karyawan anu dituju. "[H] kumaha oge, analis anu gaduh pangaweruh anu hadé ngeunaan operator anu kalibet tiasa ngalakukeun trawl ieu sacara teratur sareng ningali transfer sakumpulan ageung [konci]."
Dokumén éta nyatakeun yén seueur produsén kartu SIM ngalihkeun konci énkripsi ka panyadia jaringan nirkabel "ku email atanapi FTP kalayan metode enkripsi saderhana anu tiasa rusak ... atanapi aya kalana tanpa énkripsi." Pikeun kéngingkeun aksés seueur kana konci énkripsi, sadaya NSA atanapi GCHQ anu kedah dilakukeun nyaéta nyegat email atanapi transfer file nalika dikirim dina Internét - hal anu duanana agénsi parantos ngalakukeun jutaan kali per dinten. A footnote dina dokumen 2010 niténan yén pamakéan "produk enkripsi kuat ... jadi beuki umum" dina mindahkeun konci.
Dina operasi "percobaan" panén konci na dina kuartal kahiji 2010, GCHQ suksés disadap kenop nu dipaké ku panyadia jaringan nirkabel di Iran, Afghanistan, Yaman, India, Sérbia, Islandia jeung Tajikistan. Tapi, agénsi nyatet, sistem Panén konci otomatis na gagal pikeun ngahasilkeun hasil ngalawan jaringan Pakistani, dilambangkeun salaku "target prioritas" dina dokumen éta, sanajan kanyataan yén GCHQ miboga toko Kis ti dua panyadia di nagara, Mobilink na Telenor. "[Kuring] t kamungkinan yén jaringan ieu ayeuna nganggo metode anu langkung aman pikeun mindahkeun Kis," dokumén éta nyimpulkeun.
Ti Désémber 2009 nepi ka Maret 2010, sabulan saméméh Tim Eksploitasi Handset Mobile kabentuk, GCHQ ngalaksanakeun sababaraha percobaan anu ditujukeun pikeun ékstraksi konci énkripsi sareng data pribadi séjén pikeun telepon individu. Dina hiji periode dua minggu, aranjeunna ngaksés email ti 130 jalma anu aya hubunganana sareng panyadia jaringan nirkabel atanapi manufaktur kartu SIM sareng personalisasi. Operasi ieu ngahasilkeun ampir 8,000 konci anu cocog sareng telepon khusus di 10 nagara. Dina periode dua minggu sejen, ku pertambangan ngan genep alamat surélék, aranjeunna ngahasilkeun 85,000 konci. Dina hiji waktos dina Maret 2010, GCHQ nyegat ampir 100,000 konci pikeun pangguna telepon sélulér di Somalia. Ku Juni, aranjeunna kukituna disusun 300,000. "Panyadia Somali henteu aya dina daptar anu dipikaresep ku GCHQ," dokumen éta nyatakeun. "[H] kumaha oge, ieu mangpaat dibagikeun kalawan NSA."
Dokumén GCHQ ngan ngandung statistik pikeun tilu bulan maling konci enkripsi di 2010. Salila periode ieu, jutaan konci anu dipanén. Dokumén nyatakeun sacara eksplisit yén GCHQ parantos nyiptakeun prosés otomatis anu terus-terusan ngembang pikeun panén konci massal. Aranjeunna ngajelaskeun operasi aktip anu nargétkeun pusat personalisasi Gemalto di sakumna dunya, ogé produsén kartu SIM utama sanés sareng komunikasi pribadi karyawan na.
Dokumén NSA rusiah luhur negeskeun yén, dina taun 2009, lembaga spionase AS parantos ngagaduhan kapasitas pikeun ngolah antara 12 sareng 22 juta konci per detik pikeun dianggo engké ngalawan target panjagaan. Dina mangsa nu bakal datang, agénsi nu diprediksi, éta bakal sanggup ngolah leuwih ti 50 juta per detik. Dokumén éta henteu nyatakeun sabaraha konci anu leres-leres diolah, ngan ukur NSA ngagaduhan téknologi pikeun ngalakukeun operasi anu gancang sareng gancang. Teu mungkin pikeun terang sabaraha konci anu dipaling ku NSA sareng GCHQ dugi ka ayeuna, tapi, sanaos nganggo matematika konservatif, jumlahna sigana pikasieuneun.
GCHQ ditugaskeun "skor" ka leuwih ti 150 alamat surélék individu dumasar kana sabaraha sering pamaké disebutkeun istilah teknis tangtu, lajeng inténsif pertambangan akun individu dumasar kana prioritas. Alamat email anu nyetak pangluhurna nyaéta karyawan raksasa téknologi Cina Huawei, anu AS parantos sababaraha kali dituduh kolaborasi sareng intelijen Cina. Sakabehna, GCHQ dipanén surelek karyawan pausahaan hardware anu ngahasilkeun telepon, kayaning Ericsson jeung Nokia; operator jaringan seluler, sapertos MTN Irancell sareng Belgacom; Panyadia kartu SIM, sapertos Bluefish sareng Gemalto; jeung karyawan pausahaan sasaran anu ngagunakeun panyadia email, kayaning Yahoo jeung Google. Salila sidang tilu bulan, jumlah panglobana alamat surélék dipanén éta milik karyawan Huawei, dituturkeun ku MTN Irancell. Kelas email panggedéna katilu anu dipanén dina uji coba nyaéta akun Gmail pribadi, sigana milik karyawan di perusahaan anu dituju.
Program GCHQ nargetkeun Gemalto disebut DAPINO GAMMA. Dina 2011, GCHQ ngaluncurkeun operasi HIGHLAND FLING pikeun nambang akun email karyawan Gemalto di Perancis sareng Polandia. Dokumén rusiah luhur ngeunaan operasi nyatakeun yén salah sahiji tujuanna nyaéta "asup ka markas Perancis" Gemalto "pikeun asup kana repositori data inti." Perancis, tempat salah sahiji markas global Gemalto, mangrupikeun pusat saraf operasi perusahaan di sakuliah dunya. Tujuan anu sanésna nyaéta pikeun ngahalangan komunikasi pribadi karyawan di Polandia anu "bisa ngakibatkeun penetrasi kana hiji atanapi langkung pusat personalisasi" - pabrik dimana konci enkripsi dibakar kana kartu SIM.
Salaku bagian tina operasi ieu, operatives GCHQ kaala ngaran pamaké sarta sandi pikeun akun Facebook target Gemalto. Wiki GCHQ rahasia internal dina program ti bulan Méi 2011 nunjukkeun yén GCHQ dina prosés "nargetkeun" langkung ti belasan fasilitas Gemalto di sakumna dunya, kalebet di Jerman, Mexico, Brazil, Kanada, China, India, Italia, Rusia, Swédia, Spanyol, Jepang jeung Singapura.
Dokumén éta ogé nyatakeun yén GCHQ nyiapkeun operasi maling konci anu sami ngalawan salah sahiji pesaing Gemalto, raksasa kartu SIM berbasis Jerman Giesecke sareng Devrient.
Dina 17 Januari 2014, Présidén Barack Obama masihan alamat utama ngeunaan skandal spionase NSA. "Intina nyaéta jalma-jalma di sakumna dunya, henteu paduli kabangsaanna, kedah terang yén Amérika Serikat henteu spionase jalma biasa anu henteu ngancem kaamanan nasional urang sareng yén kami merhatikeun masalah privasina dina kawijakan sareng prosedur kami. ,” cenah.
Ngawaskeun komunikasi sah karyawan korporasi internasional utama nunjukkeun yén pernyataan sapertos Obama, pejabat AS sareng pamimpin Inggris - yén aranjeunna ngan ukur nyegat sareng ngawas komunikasi penjahat atanapi teroris anu dikenal atanapi disangka - henteu leres. "NSA sareng GCHQ ningali komunikasi pribadi jalma-jalma anu damel pikeun perusahaan-perusahaan ieu salaku kaulinan anu adil," saur ACLU's Soghoian. "Jalma-jalma ieu sacara khusus diburu sareng ditargetkeun ku agénsi intelijen, sanés kusabab aranjeunna ngalakukeun salah, tapi kusabab aranjeunna tiasa dianggo pikeun tujuan."
TIEU DUA tipe dasar panjagaan éléktronik atawa digital: pasip tur aktip. Sadaya agénsi intelijen kalibet dina panjagaan pasip éksténsif, nu hartina maranéhna ngumpulkeun data bulk ku intercepting komunikasi dikirim ngaliwatan kabel serat optik, gelombang radio atawa alat nirkabel.
Badan intelijen nempatkeun anteneu kakuatan tinggi, anu katelah "sarang mata-mata," di luhureun kedutaan sareng konsulat nagarana, anu mampuh ngosongkeun data anu dikirim ka atanapi tina telepon sélulér di daérah sakurilingna. The Joint NSA / CIA Special Collection Service mangrupikeun éntitas utama anu masang sareng ngadamel sarang ieu pikeun Amérika Serikat. Kadutaan anu aya di deukeut parlemén atanapi lembaga pamaréntahan tiasa gampang nyegat telepon sareng transfer data telepon sélulér anu dianggo ku pejabat pamaréntah asing. Kedubes AS di Berlin, contona, ayana lémparan batu ti Bundestag. Tapi upami operator nirkabel nganggo enkripsi anu langkung kuat, anu diwangun kana jaringan 3G, 4G sareng LTE modéren, maka telepon anu disadap sareng data sanésna bakal langkung hese pikeun rengat, khususna dina jumlah ageung. Upami lembaga intelijen hoyong leres-leres ngadangukeun atanapi maca naon anu dikirimkeun, aranjeunna kedah ngadekrip data énkripsi.
Panjagaan aktip mangrupikeun pilihan sanés. Ieu bakal merlukeun instansi pamaréntah pikeun "macet" jaringan 3G atawa 4G, forcing telepon caket dieu kana 2G. Sakali kapaksa turun ka téhnologi 2G kirang aman, telepon bisa tricked kana nyambungkeun ka munara sél palsu dioperasikeun ku hiji agénsi kecerdasan. Métode panjagaan ieu, sanaos épéktip, picilakaeun, sabab ngantunkeun jejak digital anu tiasa dideteksi ku para ahli panjagaan ti pamaréntah asing.
Maok Kis ngabéréskeun sadaya masalah ieu. Ku cara ieu, agénsi intelijen tiasa aman kalibet dina panjagaan pasip, bulk tanpa kedah ngadekrip data sareng tanpa ngantunkeun naon waé.
"Maling konci nyandak bulk, panjagaan-resiko low tina komunikasi énkripsi," nu ACLU urang Soghoian nyebutkeun. "Agénsi tiasa ngumpulkeun sadaya komunikasi teras ningalikeunana engké. Kalayan konci éta, aranjeunna tiasa ngadekrip naon waé anu dipikahoyong, iraha waé aranjeunna hoyong. Éta sapertos mesin waktos, ngamungkinkeun panjagaan komunikasi anu kajantenan sateuacan aya anu janten target.
Sanes NSA atanapi GCHQ moal masihan koméntar khusus ngeunaan operasi maling konci. Baheula, aranjeunna parantos ngabantah langkung lega yén enkripsi enkripsi mangrupikeun bagian anu diperyogikeun pikeun ngalacak teroris sareng penjahat sanés. "Ieu kabijakan anu parantos lami yén kami henteu ngomentaran masalah intelijen," saur pejabat GCHQ dina email, nambahan yén pagawéan agénsi dilaksanakeun dina "kerangka hukum sareng kawijakan anu ketat" anu mastikeun kagiatanna "otorisasi, perlu sareng saimbang. , "Kalayan pangawasan anu leres, anu mangrupikeun réspon standar anu disayogikeun ku lembaga pikeun carita-carita sateuacana anu diterbitkeun ku Intercept nu. Badan éta ogé nyarios, "[T] rezim interception Inggris sapinuhna cocog sareng Konvénsi Éropa ngeunaan Hak Asasi Manusia." NSA nolak nawiskeun komentar naon waé.
Teu mungkin yén pernyataan GCHQ ngeunaan legalitas operasina bakal dianut sacara universal di Éropa. "Éta pamaréntah sacara masif kalibet dina kagiatan ilegal," saur Sophie in't Veld, anggota Walanda Parlemén Éropa. "Upami anjeun sanés pamaréntahan sareng anjeun mahasiswa anu ngalakukeun ieu, anjeun bakal dipenjara salami 30 taun." Veld, anu pupuhu panalungtikan Parlemén Éropa panganyarna ngeunaan panjagaan massal kakeunaan ku Snowden, ngawartoskeun Intercept nu: “Dinas rusiah ngan kalakuanana kawas koboy. Pamaréntah kalakuanana sapertos koboi sareng teu aya anu nanggung jawabna.
Intercept nu's Laura Poitras boga dilaporkeun saméméhna yén dina 2013 agénsi sinyal intelijen Australia, mitra deukeut NSA, maling sababaraha 1.8 juta konci enkripsi ti operator nirkabel Indonésia.
Sababaraha taun ka pengker, FBI dikabarkan ngabongkar sababaraha pamancar anu disetél ku agénsi intelijen asing di sekitar daérah Washington, DC, anu tiasa dianggo pikeun nyegat komunikasi telepon sélulér. Rusia, Cina, Israél sareng bangsa-bangsa sanés nganggo téknologi anu sami sareng NSA di sakumna dunya. Upami pamaréntahan éta ngagaduhan konci énkripsi pikeun palanggan perusahaan telepon sélulér utama AS, sapertos anu diproduksi ku Gemalto, snooping massal bakal saderhana. "Éta hartosna yén ku sababaraha anteneu dipasang di sekitar Washington, DC, pamaréntah Cina atanapi Rusia tiasa nyapu sareng ngadekrip komunikasi anggota Kongrés, kapala lembaga AS, wartawan, pelobi sareng saha waé anu aub dina prosés pembuatan kawijakan sareng ngadekrip aranjeunna. paguneman telepon," saur Soghoian.
"Pasang alat di payuneun PBB, rekam unggal bit anu anjeun tingali dina hawa. Maok sababaraha konci, anjeun gaduh sadaya paguneman éta, ”saur Green, kriptografi Johns Hopkins. Sareng sanés ngan ukur agénsi spionase anu bakal nguntungkeun tina maok konci enkripsi. "Kuring ngan ukur tiasa ngabayangkeun sabaraha artos anjeun tiasa kéngingkeun upami anjeun ngagaduhan aksés kana telepon anu dilakukeun di sekitar Wall Street," Anjeunna nambahan.
TAnjeunna ngalanggar OF Jaringan komputer Gemalto ku GCHQ ngagaduhan implikasi global anu jauh. Pausahaan, anu ngahasilkeun $ 2.7 milyar dina pendapatan taun 2013, mangrupikeun pamimpin global dina kaamanan digital, ngahasilkeun kartu perbankan, sistem pembayaran mobile, alat auténtikasi dua faktor anu dianggo pikeun kaamanan online, token hardware anu dianggo pikeun ngamankeun gedong sareng kantor, paspor éléktronik. jeung kartu idéntifikasi. Éta nyayogikeun chip ka Vodafone di Éropa sareng Oranyeu Perancis, ogé EE, usaha patungan di Inggris antara France Telecom sareng Deutsche Telekom. Royal KPN, panyadia jaringan nirkabel Walanda panggedéna, ogé ngagunakeun téknologi Gemalto.
Di Asia, chip Gemalto dianggo ku China Unicom, NTT Jepang sareng Chungwa Telecom Taiwan, ogé sababaraha panyadia jaringan nirkabel di sakuliah Afrika sareng Wétan Tengah. Téknologi kaamanan perusahaan dianggo ku langkung ti 3,000 lembaga keuangan sareng 80 organisasi pamaréntah. Diantara klienna nyaéta Visa, Mastercard, American Express, JP Morgan Chase sareng Barclays. Éta ogé nyayogikeun chip pikeun dianggo dina mobil méwah, kalebet anu dilakukeun ku Audi sareng BMW.
Dina 2012, Gemalto meunang kontrak badag, patut $ 175 juta, ti pamaréntah AS pikeun ngahasilkeun panutup paspor éléktronik AS, nu ngandung chip sarta anteneu nu bisa dipaké pikeun leuwih hadé auténtikasi wisatawan. Salaku bagian tina kontrak na, Gemalto nyayogikeun personalisasi sareng parangkat lunak pikeun microchips anu dipasang dina paspor. AS ngagambarkeun pasar tunggal pangbadagna Gemalto, akuntansi pikeun sababaraha 15 persén tina total bisnis na. Ieu raises patarosan naha GCHQ, nu bisa bypass enkripsi dina jaringan mobile, boga kamampuhan pikeun ngakses data pribadi ditangtayungan ku produk Gemalto séjén dijieun pikeun bank jeung pamaréntah.
Nalika telepon pinter janten langkung pinter, aranjeunna beuki ngagentos kartu kiridit sareng artos salaku alat mayar barang sareng jasa. Nalika Verizon, AT&T sareng T-Mobile ngawangun satru di 2010 pikeun babarengan ngawangun sistem pembayaran éléktronik pikeun nangtang Google Wallet sareng Apple Pay, aranjeunna mésér téknologi Gemalto pikeun programna, anu katelah Softcard. (Nepi ka Juli 2014, éta saméméhna indit ku ngaran musibah "ISIS Mobile Wallet.") Naha data anu patali jeung éta, jeung produk kaamanan Gemalto séjén, geus compromised ku GCHQ jeung NSA teu jelas. Kadua agénsi intelijen nampik ngajawab patarosan khusus pikeun carita ieu.
PRIVACY ngabela sarta ahli kaamanan nyebutkeun butuh milyaran dollar, tekanan pulitik signifikan, sarta sababaraha taun pikeun ngalereskeun nu flaws kaamanan fundamental dina sistem telepon sélulér ayeuna nu NSA, GCHQ jeung agénsi kecerdasan séjén rutin mangpaatkeun.
Liang gaping ayeuna dina panangtayungan komunikasi mobile nyaéta yén telepon sélulér sareng panyadia jaringan nirkabel henteu ngadukung panggunaan Perfect Forward Secrecy (PFS), bentuk enkripsi anu dirancang pikeun ngawates karusakan anu disababkeun ku maling atanapi panyingkepan konci enkripsi. PFS, anu ayeuna diwangun kana panyungsi wéb modern sareng dianggo ku situs sapertos Google sareng Twitter, jalanna ku ngahasilkeun konci enkripsi unik pikeun unggal komunikasi atanapi pesen, anu teras dipiceun. Tinimbang ngagunakeun konci enkripsi anu sami pikeun ngajagaan data taun-taun, sapertos Kis permanén dina kartu SIM tiasa, konci énggal tiasa dibangkitkeun unggal menit, jam atanapi dinten, teras langsung ancur. Kusabab komunikasi telepon sélulér henteu ngagunakeun PFS, upami lembaga intelijen parantos "sacara pasif" nyegat komunikasi batur salami sataun teras kéngingkeun konci énkripsi permanén, éta tiasa uih deui sareng ngadekrip sadaya komunikasi éta. Upami jaringan telepon sélulér nganggo PFS, éta moal mungkin - sanaos konci permanén engké dipaling.
Hiji-hijina jalan éféktif pikeun individu ngajaga diri tina panjagaan Ki maling-diaktipkeun nyaéta ngagunakeun software komunikasi aman, tinimbang ngandelkeun kaamanan dumasar kartu SIM. Parangkat lunak anu aman kalebet email sareng aplikasi sanés anu nganggo Transport Layer Security (TLS), mékanisme anu aya dina protokol wéb HTTPS anu aman. Klién email kalebet telepon Android sareng iPhones ngadukung TLS, sapertos panyadia email ageung sapertos Yahoo sareng Google.
Aplikasi sapertos TextSecure sareng Silent Text mangrupikeun alternatif anu aman pikeun pesen SMS, sedengkeun Signal, RedPhone sareng Silent Phone ngenkripsi sauran sora. Pamaréntah masih tiasa ngahalangan komunikasi, tapi maca atanapi ngadangukeun aranjeunna peryogi hacking héndsét khusus, kéngingkeun data internal tina panyadia email, atanapi masang bug di kamar pikeun ngarékam paguneman.
"Urang kedah lirén nganggap yén perusahaan telepon bakal nyayogikeun kami cara anu aman pikeun nelepon atanapi tukeur pesen téks," saur Soghoian.
Pelaporan tambahan ku Andrew Fishman sareng Ryan Gallagher. Sheelagh McNeill, Morgan Marquis-Boire, Alleen Brown, Margot Williams, Ryan Devereaux sareng Andrea Jones nyumbang kana carita ieu. Erin O'Rourke nyadiakeun bantuan tambahan.
ZNetwork dibiayaan ngan ukur ku kabébasan pamiarsana.
nulungan