Dintre lucrurile cu care se mai ocupă NSA, cel puțin după spusele lui Snowden, cel mai nou adus în atenție e programul MonsterMind. Interviul din Wired e destul de vag din punct de vedere tehnic ( ceea ce nici măcar nu e de mirare) și nu e nici foarte clar stadiul în care se află proiectul, dacă este doar un proiect de cercetare avansată sau unul destinat a deveni operațional.
Programul își propune să detecteze, pe baza analizei de trafic, pattern-urile unui atac cibernetic în așa fel încât să îl poată bloca la nivel global și, mai mult decât atât, ar urma să poată declanșa “represalii” asupra atacatorului în mod automat.
Desigur, și în momentul de față detectarea atacurilor se bazează în mare parte pe pattern-uri; antivirușii folosesc așa-zisele “semnături” ale virușilor cunoscuți pentru a identifica fișierele infectate; acestea nu sunt decât pattern-uri, secvențe de cod care identifică respectivul program nedorit. Procesul însă se petrece la nivel local; în exemplul de față la nivelul computerului personal. Ori pentru a detecta astfel de pattern-uri la nivel global, mai întâi traficul ar trebui interceptat sau folosi alt fel de algoritmi care să detecteze pattern-urile respective chiar încapsulate în pachete Internet (în general routerele nu decapsulează aceste pachete ci doar le dirijează spre destinație). Ca să folosesc o analogie oarecum forțată cu poșta clasică, pentru a detecta cuvintele periculoase dintr-o scrisoare în primul rând trebuie să deschizi plicul. Ori, deschiderea plicului este “un pic” ilegală.
Dar să trecem peste asta; analogia cu plicul e un pic forțată, cum ziceam. Dacă datele nu sunt criptate, împachetarea lor constă de fapt în adăugarea la conținutul propriu-zis a unor “headere” ( de exemplu adresa sursă și cea destinație) . Îmi pot imagina algoritmi care să poată detecta pattern-uri chiar și în condițiile în care datele sunt astfel împachetate, caz în care să zicem că analiza de trafic nu ar fi neapărat ilegală și nici imorală. Pentru a putea lucra la un nivel global, acest tip de analiză ar trebui implementat la toate (sau măcar principalele) noduri de acces ale țării respective ( pentru că programul se presupune că face parte din protecția teritoriului) . Desigur, nu poți să nu te întrebi cum. Nu pot decât să speculez: ar exista calea legală, prin care operatorilor li s-ar impune asemenea echipamente (alternativ, ar putea fi oferit ca un serviciu public și gratuit pentru provideri) – însă e greu de crezut că vreun președinte s-ar încumeta la o asemenea inițiativă care ar spune pe față că tot traficul național e filtrat. Și ar mai exista calea care s-a mai folosit, a “plantării” echipamentelor, fara știrea sau cu complicitatea providerilor respectivi.
Un exemplu de serviciu de filtrare gratuit folosit benevol este cel al listelor negre antispam, precum Spamhaus sau Spamcop . Acestea funcționează în următorul mod: au o “listă neagră” de IP-uri de la care se trimite de obicei spam ( nu intru în amănunte legate de modul în care se realizează lista, la spamcop oricine poate de exemplu “reclama” un spam) . Serverul meu, înainte de a accepta un mail de la un anumit IP face o interogare simplă la aceștia: trimite IP-ul și primește un Ok dacă IP-ul nu e listat și un Listed dacă senderul e pe lista neagră. Efectul pozitiv este că voi avea un mail curat; efectul negativ este că Spamhaus știe exact de la ce IP-uri primesc eu mail-uri. Cum serviciul e folosit de aproape toate serverele de mail, se pare că dezavantajele sunt mai mici decât avantajele; din acest motiv ideea de a oferi un serviciu de filtrare public nu e tocmai absurdă ( depinde foarte mult de transparența instituției în definitiv).
Interesantă este și chestiunea răspunsului automat la atac. Snowden atrage atenția în inteviu că de obicei astfel de atacuri informatice sunt de obicei mascate prin folosirea ca releu a unor calculatoare care nu au nimic de-a face cu adevăratul atacator ( calculatoare infectate anterior și care execută comenzile “master-ului”). De cele mai multe ori sunt calculatoare “casnice” sau ale unor instituții care nu își permit prea multe în materie de securitate informatica, gen școli, spitale, firme mici etc. Nu știm exact în ce ar putea consta asemenea acțiuni de “răspuns automat”. Prima și cea mai la îndemână variantă care îmi vine mie în minte ar fi inițierea unui ddos attack împotriva agresorului. Asta ar însemna că un număr mare de servere ar trimite simultan pachete spre această țintă; cum puterea de calcul a acestuia și banda de Internet sunt limitate, la un moment dat atacatorul va sucomba. Sigur, putem duce presupunerile mai departe și intra pe un teritoriu care mie îmi pare oarecum SF : cum atacatorul e, cum spuneam, de regulă un computer deja infectat, înseamnă că e vulnerabil; dacă e vulnerabil, înseamnă că l-am putea infecta la rândul nostru, eventual aflând astfel de unde vine cu adevărat atacul. Totuși, varianta asta, în afară de faptul că ar fi și ea ilegală, îmi pare a fi prea elaborată pentru un program automat. Dar, ce e drept, eu nu am Monstermind ….
Nu e tehnica chiar noua, pun pariu ca si alte servicii lucreaza la ceva asemanator (chiar am auzit niste zvonuri). Probabil ca se inregistreaza niste parametrii si se face un „model” al traficului „normal” intr-o perioada de timp. Simultan se face si un model al diverselor atacuri din trecut. Se poate imagina un algoritm care sa depisteze potentiale atacuri/trafic suspect. Fireste ca vor fi si multe „false positive”, si raspunsurile automate vor fi ceva de genul sa schimbe niste rute in BGP (sa nu mai ajunga atacatorul la tinta), si simultan aprinderea unui beculet intr-o camaruta si niste tehnicieni sa verifice traficul mai amanuntit. Fireste atacurile de tip vechi au deja o semnatura si pot fi depistate/contracarate mai usor.
Si unii antivirusi au un mod de actiune asemanator, „heuristic detection”, care incearca sa „ghiceasca” daca exista un virus.
Probabil nu va fi implementat la nivel de tara, ci mai mult la nivelul unor institutii, sau in anumite puncte cheie de trafic internet.
Referitor la intrebarea din titlu, orice devine (automat) legal, daca e vorba de „siguranta nationala” sau de „lupta (globala) impotriva terorismului”.
In rest, trebuie sa plecam de la premisa ca exista riscul ca toate datele dintr-un calculator conectat la internet sa fie sau sa devina publice, intr-o forma sau alta.
Cat despre proiectele secrete ale serviciilor secrete, eu cred ca, atunci cand devin publice, nu sunt decat trei variante demne de luat in seama: sunt intoxicari, sunt deja operationale sau au fost abandonate. Oricare ar fi situatia, departamentul de branding si-a facut treaba – „MonsterMind” suna bine. :)