luni, septembrie 28, 2020

MonsterMind. Ar fi folositor, dar poate fi legal?

Dintre lucrurile cu care se mai ocupă NSA, cel puțin după spusele lui Snowden, cel mai nou adus în atenție e programul MonsterMind.  Interviul din Wired e destul de vag din punct de vedere tehnic ( ceea ce nici măcar nu e de mirare) și nu e nici foarte clar stadiul în care se află proiectul, dacă este doar un proiect de cercetare avansată sau unul destinat a deveni operațional.

Programul își propune să detecteze, pe baza analizei de trafic, pattern-urile unui atac cibernetic în așa fel încât să îl poată bloca la nivel global și, mai mult decât atât, ar urma să poată declanșa “represalii” asupra atacatorului în mod automat.

Desigur, și în momentul de față detectarea atacurilor se bazează în mare parte pe pattern-uri; antivirușii folosesc așa-zisele “semnături” ale virușilor cunoscuți pentru a identifica fișierele infectate; acestea nu sunt decât pattern-uri, secvențe de cod care identifică respectivul program nedorit. Procesul însă se petrece la nivel local; în exemplul de față la nivelul computerului personal. Ori pentru a detecta astfel de pattern-uri la nivel global, mai întâi traficul ar trebui interceptat sau folosi alt fel de algoritmi care să detecteze pattern-urile respective chiar încapsulate în pachete Internet (în general routerele nu decapsulează aceste pachete ci doar le dirijează spre destinație). Ca să folosesc o analogie oarecum forțată cu poșta clasică, pentru a detecta cuvintele periculoase dintr-o scrisoare în primul rând trebuie să deschizi plicul. Ori, deschiderea plicului este “un pic” ilegală.

Dar să trecem peste asta; analogia cu plicul e un pic forțată, cum ziceam. Dacă datele nu sunt criptate, împachetarea lor constă de fapt în adăugarea la conținutul propriu-zis a unor “headere” ( de exemplu adresa sursă și cea destinație) . Îmi pot imagina algoritmi care să poată detecta pattern-uri chiar și în condițiile în care datele sunt astfel împachetate, caz în care să zicem că analiza de trafic nu ar fi neapărat ilegală și nici imorală.  Pentru a putea lucra la un nivel global, acest tip de analiză ar trebui implementat la toate (sau măcar principalele) noduri de acces ale țării respective ( pentru că programul se presupune că face parte din protecția teritoriului) . Desigur, nu poți să nu te întrebi cum. Nu pot decât să speculez: ar exista calea legală, prin care operatorilor li s-ar impune asemenea echipamente (alternativ, ar putea fi oferit ca un serviciu public și gratuit pentru provideri) – însă e greu de crezut că vreun președinte s-ar încumeta la o asemenea inițiativă care ar spune pe față că tot traficul național e filtrat. Și ar mai exista calea care s-a mai folosit, a “plantării” echipamentelor, fara știrea sau cu complicitatea providerilor respectivi.

Un exemplu de serviciu de filtrare gratuit folosit benevol este cel al listelor negre antispam, precum Spamhaus sau Spamcop . Acestea funcționează în următorul mod: au o “listă neagră” de IP-uri de la care se trimite de obicei spam ( nu intru în amănunte legate de modul în care se realizează lista, la spamcop oricine poate de exemplu “reclama” un spam) . Serverul meu, înainte de a accepta un mail de la un anumit IP face o interogare simplă la aceștia: trimite IP-ul și primește un Ok dacă IP-ul nu e listat și un Listed dacă senderul e pe lista neagră. Efectul pozitiv este că voi avea un mail curat; efectul negativ este că Spamhaus știe exact de la ce IP-uri primesc eu mail-uri. Cum serviciul e folosit de aproape toate serverele de mail, se pare că dezavantajele sunt mai mici decât avantajele; din acest motiv ideea de a oferi un serviciu de filtrare public nu e tocmai absurdă ( depinde foarte mult de transparența instituției în definitiv).

Interesantă este și chestiunea răspunsului automat la atac. Snowden atrage atenția în inteviu că de obicei astfel de atacuri informatice sunt de obicei mascate prin folosirea ca releu a unor calculatoare care nu au nimic de-a face cu adevăratul atacator ( calculatoare infectate anterior și care execută comenzile “master-ului”). De cele mai multe ori sunt calculatoare “casnice” sau ale unor instituții care nu își permit prea multe în materie de securitate informatica, gen școli, spitale, firme mici etc. Nu știm exact în ce ar putea consta asemenea acțiuni de “răspuns automat”. Prima și cea mai la îndemână variantă care îmi vine mie în minte ar fi inițierea unui ddos attack împotriva agresorului. Asta ar însemna că un număr mare de servere ar trimite simultan pachete spre această țintă; cum puterea de calcul a acestuia și banda de Internet sunt  limitate, la un moment dat atacatorul va sucomba. Sigur, putem duce presupunerile mai departe și intra pe un teritoriu care mie îmi pare oarecum SF : cum atacatorul e, cum spuneam, de regulă un computer deja infectat, înseamnă că e vulnerabil; dacă e vulnerabil, înseamnă că l-am putea infecta la rândul nostru, eventual aflând astfel de unde vine cu adevărat atacul. Totuși, varianta asta, în afară de faptul că ar fi și ea ilegală, îmi pare a fi prea elaborată pentru un program automat. Dar, ce e drept, eu nu am Monstermind ….

Distribuie acest articol

2 COMENTARII

  1. Nu e tehnica chiar noua, pun pariu ca si alte servicii lucreaza la ceva asemanator (chiar am auzit niste zvonuri). Probabil ca se inregistreaza niste parametrii si se face un „model” al traficului „normal” intr-o perioada de timp. Simultan se face si un model al diverselor atacuri din trecut. Se poate imagina un algoritm care sa depisteze potentiale atacuri/trafic suspect. Fireste ca vor fi si multe „false positive”, si raspunsurile automate vor fi ceva de genul sa schimbe niste rute in BGP (sa nu mai ajunga atacatorul la tinta), si simultan aprinderea unui beculet intr-o camaruta si niste tehnicieni sa verifice traficul mai amanuntit. Fireste atacurile de tip vechi au deja o semnatura si pot fi depistate/contracarate mai usor.

    Si unii antivirusi au un mod de actiune asemanator, „heuristic detection”, care incearca sa „ghiceasca” daca exista un virus.

    Probabil nu va fi implementat la nivel de tara, ci mai mult la nivelul unor institutii, sau in anumite puncte cheie de trafic internet.

  2. Referitor la intrebarea din titlu, orice devine (automat) legal, daca e vorba de „siguranta nationala” sau de „lupta (globala) impotriva terorismului”.
    In rest, trebuie sa plecam de la premisa ca exista riscul ca toate datele dintr-un calculator conectat la internet sa fie sau sa devina publice, intr-o forma sau alta.

    Cat despre proiectele secrete ale serviciilor secrete, eu cred ca, atunci cand devin publice, nu sunt decat trei variante demne de luat in seama: sunt intoxicari, sunt deja operationale sau au fost abandonate. Oricare ar fi situatia, departamentul de branding si-a facut treaba – „MonsterMind” suna bine. :)

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Colectia Contributors.ro

Carte recomandata

Esential HotNews

E randul tau

Observ cu uimire că invocați, ca reper intelectual creștin, cartea lui Noica, „Rugaţi-vă pentru fratele Alexandru”. Și cumva indirect îi reproșați lui Gabriel Liiceanu un soi de trădare a acestui crez ( „am neplăcuta senzaţie că mă aflu ȋn faţa unui tată care şi-a abandonat, simbolic, copiii”). Mă tem că tocmai această carte a lui Noica este o trădare a suferinței victimelor de: Cristina Cioaba la Dincolo de Isus. Gabriel Liiceanu şi portretul României religioase

Carti recomandate de Contributors.ro

 

 

 

Top articole

De ce e Bucureştiul altfel

Capitala României e cea mai mică (spaţial) metropolă importantă din regiune: oraşul se termină imediat după blocuri. Limitarea extremă crează probleme importante...

Ce-i de înţeles când se votează în municipiu USR-Plus iar în sat un primar PSD mort. Lecţii pentru 6 decembrie

Dincolo de anecdotică, alegerile locale aveau de răspuns la două mari întrebări, decisive şi pentru parlamentarele din 6 decembrie. Prima: mai persistă...

What is next sau cum să citim rezultatul alegerilor locale prin ceața declarațiilor politicienilor?

Votul e adesea pasiune, rareori rațiune. Cel de ieri a fost un amestec destul de echilibrat de rațiune și pasiune.

Cum se stinge un sat în România

Satul Șirnea din comuna Fundata, județul Brașov este deja bine cunoscut de publicul românesc. Imagini feerice din acest sat de munte circulă...

Asaltul asupra cunoasterii, ratiunii (common sense) si alunecarea spre intuneric

Am fost ispitit sa scriu intoarcerea in Evul Mediu gandindu-ma la faimoasa “e pur si muove” a lui Galileo Galilei, astronomom ,...

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro

MIHAI MACI – Cel de-al doilea volum din Colectia Contributors.ro

„Atunci când abdică de la menirea ei, școala nu e o simplă instituție inerțială, ci una deformatoare. Și nu deformează doar spatele copiilor, ci, în primul rând, sufletele lor. Elevul care învață că poate obține note mari cu referate de pe internet e adultul de mâine care va plagia fără remușcări, cel care-și copiază temele în pauză va alege întotdeauna scurtătura, iar cel care promovează cu intervenții va ști că la baza reușitei stă nu cunoașterea, ci cunoștințele. Luate indi­vidual, lucrurile acestea pot părea mărunte, însă cumulate, ele dau măsura deformării lumii în care trăim și aruncă o umbră grea asupra viitorului pe care ni-l dorim altfel.” – Mihai Maci Comanda cartea cu autograful autorului. Editie limitata.