Odhalenie, že americké spravodajské agentúry a GCHQ špehovali e-mailovú komunikáciu, vyvolalo v komunite informačnej bezpečnosti množstvo diskusií, ako by ste mohli očakávať.
Jedna z najzaujímavejších diskusií sa odohrala medzi našim vlastným editorom Real World Computing Dickom Pountainom a jeho starý priateľ, ktorý je zhodou okolností profesorom kriminológie a momentálne je zapojený do počítačovej kriminality štúdium. Nad pollitrom sa profesor zamýšľal nad tým, či by mohlo ísť o internetové šmírovanie typu, na ktorý upozornil Edward Snowden zmarené používaním zahodených webmailových účtov, najmä používaním možnosti „uložiť ako koncept“, ponúknuť.
Svoje údaje uverejňujete na serveri Pastebin a obmedzený prístup povoľujete iba pomocou hesla
Tu je teória: buď zločinec A v Spojenom kráľovstve, alebo zločinec B v USA si založí účet Gmail, ku ktorému majú obaja prístup prostredníctvom rovnakého prihlásenia. Zločinec A vytvorí správu, ktorá obsahuje hanebné podrobnosti o navrhovanom zločine, určenú pre oči zločinca B, ale namiesto toho, aby stlačil tlačidlo Odoslať, uloží ju ako koncept. V určitom vopred určenom čase v budúcnosti sa zločinec B prihlási na rovnaký účet a zamieri priamo do priečinka Koncepty, kde si prečíta správu. Potom vymaže koncept a odstráni všetky dôkazy o správe.
Ako takí sú títo dvaja zločinci schopní bezpečne a dôverne komunikovať v obyčajnom texte, pretože ich správy sa v skutočnosti nikdy neposielajú pomocou bežných e-mailových protokolov cez otvorený internet. Preto zostávajú neviditeľné pre agentov dohľadu.
Fungoval by tento trik aj v praxi? Zdá sa, že je to celkom bezpečné – kým a pokiaľ vás už The Powers priamo nesledujú To Be. Vezmite si prípad bývalého generálneho riaditeľa CIA Davida Petraeusa a jeho „tajného“ mimomanželského zväzku aféra.
Vo všeobecnosti sa uvádza, že FBI odhalila správy, ktoré si Petraeus a jeho priateľka Paula Broadwellová vymieňali pomocou konceptov Gmailu, aby sa vyhli zanechaniu komunikačnej stopy. Hoci obe strany používali jednorazové účty Gmail pod falošnými menami, hra sa skončila, keď Broadwell použila svoj účet na „anonymné“ odoslanie e-mailu Jill Kelley, socialite a rodinnej priateľke Petraeusa.
Kelley sa sťažovala, že ju obťažujú, a odovzdala svoje e-maily FBI, ktorá používala zákony USA – podobné zákonom v Spojené kráľovstvo – týkajúce sa vyšetrovania komunikácií, ktoré môžu byť zapojené do vykonávania trestného činu s cieľom získať prístup k účtu.
Keďže Broadwell nepoužívala proxy servery ako Tor na zakrytie svojich stôp, iba využívala verejné Wi-Fi hotspoty, bola ľahko identifikovaný ako anonymný majiteľ účtu priradením miest, dátumov a časov k menám hotelových hostí a osobným pohybom.
Hovoril som s Andym Crockerom, bývalým vedúcim vyšetrovateľom v britskej Národnej hi-tech kriminálnej jednotke, o technike návrhu Gmailu. Možno prekvapivo priznal, že sám používal tento druh „schránky mŕtvych listov“. Varoval však, že napriek tomu, že e-maily neboli nikdy odoslané, a teda zjavne nezanechávajú žiadny záznam, „všetko je tam, aby to orgány videli“.
„Ak by sa nad jednotlivcom vykonával dohľad, sledovali by jeho účet a údaje by tam [stále boli] a [mohli by byť] videné,“ hovorí.
Crocker poukázal na to, že v takýchto prípadoch nebude potrebné zachytávať odosielané e-maily, pretože samotný účet by bol monitorovaný, takže priečinok Koncepty by bol viditeľný pre ľudí, ktorí to robia monitorovanie. Stručne povedané, tento trik by mohol fungovať tak, aby sa v prvom rade vyhlo prilákaniu dohľadu, ale po spustení dohľadu by zlyhal.
Nestláčajte odoslať
V prípade Petraeus bola chytená Broadwell, pretože prelomila trik tým, že skutočne poslala e-mail. To viedlo k tomu, že FBI monitorovala účet, čím sa stav správ v priečinku Koncepty stal irelevantným: Google by o nich mal záznam na svojich serveroch, kde boli by uložené na určité časové obdobie a nebolo by problém odovzdať podrobnosti takej ako FBI, keď im budú predložené vhodné zatykače alebo súd. objednávky.
Dokonca aj použitie služby VPN typu „skryť moju IP“ v snahe zakryť obťažujúci e-mail, ktorý začal toto konkrétne vyšetrovanie malý rozdiel: mnohé z nich sú povinné uchovávať protokoly IP, ktoré by boli prístupné aj vyšetrovateľom a odhalili by pôvod spojenie.
Ponaučenie zo škandálu Petraeus je toto: ak sa riaditeľovi CIA podarí prelomiť jeho „skrytú komunikáciu“, ani na chvíľu si nepredstavujte, že to tak nie je ani vy.
Podobné metódy, ako sa vyhnúť dohľadu, sú dostupné, ale nakoľko sú tieto bezpečné? Pastebin, programovacia služba scrapbook-come-notepad, ktorá umožňuje ľuďom zdieľať kód, sa dá tiež použiť na vyhýbanie sa snooperom podobne ako technika návrhu Gmailu. „Svoje údaje uverejňujete na serveri Pastebin a obmedzený prístup povoľujete iba pomocou hesla,“ vysvetľuje Crocker. „Robí presne to isté ako koncepty Gmailu, ale keďže to nie je e-mail, úrady ho môžu prehliadnuť, ak hľadajú iba e-mailovú komunikáciu.“
Sam Golden, ďalší odborník na bezpečnosť IT, zašiel tak ďaleko, že navrhol e-mailovú verziu jednorazových „napaľovačiek“ telefónov používaných drogovými dílermi, pričom e-mailové účty boli použité iba raz a potom boli zahodené.
Myšlienka je, že by ste mohli použiť množstvo jednorazových e-mailových účtov na odoslanie častí šifrovanej správy príjemcovi prostredníctvom rovnako početných a jednorazových poštových schránok. Celá správa by sa potom dala poskladať offline a dešifrovať, po čom by bola skartovaná pomocou aplikácie, ako je Eraser, ktorá používa 35-priechodovú Gutmannovu metódu pre zabezpečenie, ako sa len dá vymazanie.
