MUSCULAR — Google & Yahoo Cloud Exploitation
גלו כיצד תוכנית MUSCULAR של ה-NSA חשפה את נקודות התורפה של ענקיות הטכנולוגיה, ואיך "ענן" המידע הפך לכלי ריגול עוצמתי.
רקע
בראשית העשור השני של המאה ה-21, ענקיות הטכנולוגיה ובראשן גוגל ויאהו, ביססו את מעמדן כשליטות הבלתי מעורערות של עולם המידע הדיגיטלי. הן בנו אימפריות של "ענני" מחשוב – רשתות גלובליות של מרכזי נתונים אדירים, המחוברים ביניהם בכבלי סיבים אופטיים פרטיים. תפיסת האבטחה הרווחת באותה עת התמקדה בהגנה על "שערי הכניסה" - הצפנת התקשורת בין המשתמש לשרתי החברה. ההנחה הסמויה הייתה שהתעבורה הפנימית, כלומר הנתונים הזורמים בין מרכזי הנתונים של אותה חברה, בטוחה ומוגנת מעצם היותה "בתוך הבית". הנחה זו, כפי שהתברר, הייתה שגויה באופן קטלני, ופתחה דלת אחורית בפני סוכנויות המודיעין החזקות בעולם.
תוכן המסמך
אחד המסמכים המטלטלים והאיקוניים ביותר שהודלפו על ידי אדוארד סנודן הוא שקף ממצגת פנימית של סוכנות הביטחון הלאומי האמריקנית (NSA). השקף, ששורטט בסגנון פשוט ובלתי רשמי, כמעט ילדותי, חושף את אחת ההצלחות המודיעיניות הגדולות והנועזות של התקופה: תוכנית MUSCULAR ("שרירן").
במרכז התרשים נראית ארכיטקטורת רשת פשוטה של "ענן גוגל/יאהו", המתארת את זרימת המידע. החצים מראים כיצד המידע מגיע מהאינטרנט הציבורי אל נקודת קצה (Front End Server), שם הוא מפוענח מהצפנת SSL/TLS לצורך עיבוד. לאחר מכן, המידע הלא-מוצפן נשלח דרך הרשתות הפנימיות של החברות אל מרכזי נתונים אחרים ברחבי העולם. האיור מצביע בבירור על נקודת התורפה: קטע התקשורת הפנימי, הלא-מוצפן. ליד חץ המציין את נקודת היירוט, נכתבו המילים המפורשות: "SSL added and removed here" ("הצפנת SSL נוספת ומוסרת כאן"). כדי להוסיף חטא על פשע, שורטט לצד נקודת היירוט פרצוף מחייך (:(), סמל לזחיחות הדעת וההצלחה המסחררת של המבצע בעיני מפעיליו. המבצע, שבוצע בשיתוף פעולה עם מטה התקשורת הממשלתית של בריטניה (GCHQ), איפשר לסוכנויות לשאוב כמויות אדירות של מידע – כולל תוכן של הודעות דואר אלקטרוני, היסטוריית חיפושים ונתונים אישיים אחרים – ישירות מתוך "כלי הדם" של ענקיות הטכנולוגיה, מבלי לפרוץ את ההצפנה החיצונית.
חשיפה ופרסום
המסמך נחשף לציבור ב-30 באוקטובר 2013, בכתבה של העיתונאים ברטון גלמן ואשקן סולטני ב"וושינגטון פוסט". החשיפה שלחה גלי הלם ברחבי עמק הסיליקון והעולם כולו. הזעם לא נבע רק מעצם איסוף המידע, אלא מהאופן שבו הוא בוצע: חדירה אקטיבית ועוינת לתשתיות הליבה של תאגידים אמריקאיים מובילים, תוך ניצול ציני של פרצת אבטחה פנימית. התגובות היו חריפות. מהנדסים בגוגל, שגילו כי מאמצי האבטחה שלהם נעקפו בקלות כה רבה, הביעו זעם ותסכול פומביים. הפרצוף המחייך מהשקף הפך לסמל מטריד של תרבות ההפקרות המודיעינית ששררה ב-NSA.
השלכות
תוכנית MUSCULAR הייתה קו פרשת מים עבור תעשיית הטכנולוגיה. התגובה הייתה מיידית ונחרצת: גוגל, יאהו וחברות נוספות מיהרו להצפין את כל תעבורת הנתונים הפנימית בין מרכזי הנתונים שלהן מקצה לקצה. פרדיגמת האבטחה השתנתה לחלוטין: מודל ה"טירה והחפיר", שהניח כי הרשת הפנימית בטוחה, הוחלף במודל "אפס אמון" (Zero Trust), לפיו אין לסמוך על שום רכיב ברשת, פנימי כחיצוני. החשיפה האיצה באופן דרמטי את המרוץ הגלובלי להצפנה אוניברסלית וחיזקה את המודעות לכך שבעידן הריגול הדיגיטלי, גם ענקיות הטכנולוגיה החזקות ביותר אינן חסינות. המבצע, שתוכנן כהצלחה מודיעינית שקטה, הפך בסופו של דבר לזרז שהוביל לסגירת אחת מפרצות האבטחה המשמעותיות ביותר בעידן הענן.
מקור: דיווחים פומביים על הדלפות סנודן (2013–2014)
