luni, mai 23, 2022

MonsterMind. Ar fi folositor, dar poate fi legal?

Dintre lucrurile cu care se mai ocupă NSA, cel puțin după spusele lui Snowden, cel mai nou adus în atenție e programul MonsterMind.  Interviul din Wired e destul de vag din punct de vedere tehnic ( ceea ce nici măcar nu e de mirare) și nu e nici foarte clar stadiul în care se află proiectul, dacă este doar un proiect de cercetare avansată sau unul destinat a deveni operațional.

Programul își propune să detecteze, pe baza analizei de trafic, pattern-urile unui atac cibernetic în așa fel încât să îl poată bloca la nivel global și, mai mult decât atât, ar urma să poată declanșa “represalii” asupra atacatorului în mod automat.

Desigur, și în momentul de față detectarea atacurilor se bazează în mare parte pe pattern-uri; antivirușii folosesc așa-zisele “semnături” ale virușilor cunoscuți pentru a identifica fișierele infectate; acestea nu sunt decât pattern-uri, secvențe de cod care identifică respectivul program nedorit. Procesul însă se petrece la nivel local; în exemplul de față la nivelul computerului personal. Ori pentru a detecta astfel de pattern-uri la nivel global, mai întâi traficul ar trebui interceptat sau folosi alt fel de algoritmi care să detecteze pattern-urile respective chiar încapsulate în pachete Internet (în general routerele nu decapsulează aceste pachete ci doar le dirijează spre destinație). Ca să folosesc o analogie oarecum forțată cu poșta clasică, pentru a detecta cuvintele periculoase dintr-o scrisoare în primul rând trebuie să deschizi plicul. Ori, deschiderea plicului este “un pic” ilegală.

Dar să trecem peste asta; analogia cu plicul e un pic forțată, cum ziceam. Dacă datele nu sunt criptate, împachetarea lor constă de fapt în adăugarea la conținutul propriu-zis a unor “headere” ( de exemplu adresa sursă și cea destinație) . Îmi pot imagina algoritmi care să poată detecta pattern-uri chiar și în condițiile în care datele sunt astfel împachetate, caz în care să zicem că analiza de trafic nu ar fi neapărat ilegală și nici imorală.  Pentru a putea lucra la un nivel global, acest tip de analiză ar trebui implementat la toate (sau măcar principalele) noduri de acces ale țării respective ( pentru că programul se presupune că face parte din protecția teritoriului) . Desigur, nu poți să nu te întrebi cum. Nu pot decât să speculez: ar exista calea legală, prin care operatorilor li s-ar impune asemenea echipamente (alternativ, ar putea fi oferit ca un serviciu public și gratuit pentru provideri) – însă e greu de crezut că vreun președinte s-ar încumeta la o asemenea inițiativă care ar spune pe față că tot traficul național e filtrat. Și ar mai exista calea care s-a mai folosit, a “plantării” echipamentelor, fara știrea sau cu complicitatea providerilor respectivi.

Un exemplu de serviciu de filtrare gratuit folosit benevol este cel al listelor negre antispam, precum Spamhaus sau Spamcop . Acestea funcționează în următorul mod: au o “listă neagră” de IP-uri de la care se trimite de obicei spam ( nu intru în amănunte legate de modul în care se realizează lista, la spamcop oricine poate de exemplu “reclama” un spam) . Serverul meu, înainte de a accepta un mail de la un anumit IP face o interogare simplă la aceștia: trimite IP-ul și primește un Ok dacă IP-ul nu e listat și un Listed dacă senderul e pe lista neagră. Efectul pozitiv este că voi avea un mail curat; efectul negativ este că Spamhaus știe exact de la ce IP-uri primesc eu mail-uri. Cum serviciul e folosit de aproape toate serverele de mail, se pare că dezavantajele sunt mai mici decât avantajele; din acest motiv ideea de a oferi un serviciu de filtrare public nu e tocmai absurdă ( depinde foarte mult de transparența instituției în definitiv).

Interesantă este și chestiunea răspunsului automat la atac. Snowden atrage atenția în inteviu că de obicei astfel de atacuri informatice sunt de obicei mascate prin folosirea ca releu a unor calculatoare care nu au nimic de-a face cu adevăratul atacator ( calculatoare infectate anterior și care execută comenzile “master-ului”). De cele mai multe ori sunt calculatoare “casnice” sau ale unor instituții care nu își permit prea multe în materie de securitate informatica, gen școli, spitale, firme mici etc. Nu știm exact în ce ar putea consta asemenea acțiuni de “răspuns automat”. Prima și cea mai la îndemână variantă care îmi vine mie în minte ar fi inițierea unui ddos attack împotriva agresorului. Asta ar însemna că un număr mare de servere ar trimite simultan pachete spre această țintă; cum puterea de calcul a acestuia și banda de Internet sunt  limitate, la un moment dat atacatorul va sucomba. Sigur, putem duce presupunerile mai departe și intra pe un teritoriu care mie îmi pare oarecum SF : cum atacatorul e, cum spuneam, de regulă un computer deja infectat, înseamnă că e vulnerabil; dacă e vulnerabil, înseamnă că l-am putea infecta la rândul nostru, eventual aflând astfel de unde vine cu adevărat atacul. Totuși, varianta asta, în afară de faptul că ar fi și ea ilegală, îmi pare a fi prea elaborată pentru un program automat. Dar, ce e drept, eu nu am Monstermind ….

Distribuie acest articol

2 COMENTARII

  1. Nu e tehnica chiar noua, pun pariu ca si alte servicii lucreaza la ceva asemanator (chiar am auzit niste zvonuri). Probabil ca se inregistreaza niste parametrii si se face un „model” al traficului „normal” intr-o perioada de timp. Simultan se face si un model al diverselor atacuri din trecut. Se poate imagina un algoritm care sa depisteze potentiale atacuri/trafic suspect. Fireste ca vor fi si multe „false positive”, si raspunsurile automate vor fi ceva de genul sa schimbe niste rute in BGP (sa nu mai ajunga atacatorul la tinta), si simultan aprinderea unui beculet intr-o camaruta si niste tehnicieni sa verifice traficul mai amanuntit. Fireste atacurile de tip vechi au deja o semnatura si pot fi depistate/contracarate mai usor.

    Si unii antivirusi au un mod de actiune asemanator, „heuristic detection”, care incearca sa „ghiceasca” daca exista un virus.

    Probabil nu va fi implementat la nivel de tara, ci mai mult la nivelul unor institutii, sau in anumite puncte cheie de trafic internet.

  2. Referitor la intrebarea din titlu, orice devine (automat) legal, daca e vorba de „siguranta nationala” sau de „lupta (globala) impotriva terorismului”.
    In rest, trebuie sa plecam de la premisa ca exista riscul ca toate datele dintr-un calculator conectat la internet sa fie sau sa devina publice, intr-o forma sau alta.

    Cat despre proiectele secrete ale serviciilor secrete, eu cred ca, atunci cand devin publice, nu sunt decat trei variante demne de luat in seama: sunt intoxicari, sunt deja operationale sau au fost abandonate. Oricare ar fi situatia, departamentul de branding si-a facut treaba – „MonsterMind” suna bine. :)

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Prin adaugarea unui comentariu sunteti de acord cu Termenii si Conditiile site-ului Contributors.ro

Autor

Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

conferinte Humanitas

 

Această imagine are atributul alt gol; numele fișierului este banner-contributors-614x1024.jpg

„Despre lumea în care trăim” este o serie anuală de conferințe și dialoguri culturale şi ştiinţifice organizată la Ateneul Român de Fundaţia Humanitas Aqua Forte, în parteneriat cu Editura Humanitas și Asociația ARCCA.  La fel ca în edițiile precedente, își propune să aducă în fața publicului teme actuale, abordate de personalități publice, specialiști și cercetători recunoscuți în domeniile lor și de comunitățile științifice din care fac parte. Vezi amănunte.

 

Carte recomandată

Anexarea, în 1812, a Moldovei cuprinse între Prut și Nistru a fost, argumentează cunoscutul istoric Armand Goșu, specializat în spațiul ex-sovietic, mai curând rezultatul contextului internațional decât al negocierilor dintre delegațiile otomană și rusă la conferințele de pace de la Giurgiu și de la București. Sprijinindu-și concluziile pe documente inedite, cele mai importante dintre acestea provenind din arhivele rusești, autorul ne dezvăluie culisele diplomatice ale unor evenimente cu consecințe majore din istoria diplomației europene, de la formarea celei de-a treia coaliții antinapoleoniene și negocierea alianței ruso-otomane din 1805 până la pacea de la București, cu anexarea Basarabiei și invazia lui Napoleon în Rusia. Agenți secreți francezi călătorind de la Paris la Stambul, Damasc și Teheran; ofițeri ruși purtând mesaje confidențiale la Londra sau la Înalta Poartă; dregători otomani corupți deveniți agenți de influență ai unor puteri străine; familiile fanariote aflate în competiție spre a intra în grațiile Rusiei și a ocupa tronurile de la București și Iași – o relatare captivantă despre vremurile agitate de la începutul secolului al XIX-lea, ce au modelat traiectoria unor state pentru totdeauna și au schimbat configurația frontierelor europene. Vezi pret

 

 

 

Carte recomandată

 

Sorin Ioniță: Anul 2021 a început sub spectrul acestor incertitudini: va rezista democraţia liberală în Est, cu tot cu incipientul său stat de drept, dacă ea îşi pierde busola în Vest sub asalturi populiste? Cât de atractive sunt exemplele de proastă guvernare din jurul României, în state mici şi mari, membre UE sau doar cu aspiraţii de aderare? O vor apuca partidele româneşti pe căi alternative la proiectul european clasic al „Europei tot mai integrate“? Ce rol joacă în regiune ţările nou-membre, ca România: călăuzim noi pe vecinii noştri nemembri înspre modelul universalist european, ori ne schimbă ei pe noi, trăgându-ne la loc în zona gri a practicilor obscure de care ne-am desprins cu greu în tranziţie, sub tutelajul strict al UE şi NATO? Dar există şi o versiune optimistă a poveştii: nu cumva odată cu anul 2020 s-a încheiat de fapt „Deceniul furiei şi indignării“?

 

 

Esential HotNews

Top articole

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro