Bullrun (decryption program)

בולראן (BULLRUN) היא תוכנית חשאית ומסווגת ביותר לפיצוח הצפנה של תקשורת ונתונים מקוונים, המופעלת על ידי הסוכנות לביטחון לאומי של ארצות הברית (NSA). למטה התקשורת הממשלתית של בריטניה (GCHQ) יש תוכנית דומה בשם הקוד אדג'היל (Edgehill). על פי מדריך הסיווג של בולראן שפורסם על ידי ה"גרדיאן", התוכנית משתמשת במספר שיטות, לרבות תקיפת רשתות מחשבים, יירוט, קשרים עם התעשייה, שיתוף פעולה עם גופים אחרים בקהילת המודיעין וטכניקות מתמטיות מתקדמות.

המידע על קיום התוכנית הודלף בשנת 2013 על ידי אדוארד סנודן. אף על פי שמסמכיו של סנודן אינם מכילים מידע טכני על יכולות קריפטואנליטיות מדויקות, מכיוון שלא היה לו סיווג ביטחוני מתאים, הם כן כוללים מצגת של GCHQ משנת 2010, בה נטען כי "כמויות עצומות של נתוני אינטרנט מוצפנים שעד כה נזרקו, ניתנות כעת לניצול". מספר פרטים טכניים הנוגעים לתוכנית, שנמצאו במסמכיו של סנודן, צונזרו בנוסף על ידי העיתונות לבקשת בכירי המודיעין האמריקאי. מכל התוכניות שהדליף סנודן, בולראן היא היקרה ביותר בפער ניכר. סנודן טוען כי מאז 2011, ההוצאות על התוכנית הגיעו לכ-800 מיליון דולר. המסמכים שהודלפו חושפים כי בולראן שואפת "להביס את ההצפנה המשמשת בטכנולוגיות תקשורת רשת ספציפיות".

שמות וגישה

על פי מדריך הסיווג של בולראן, שם הקוד אינו מערכת בקרת מידע רגיש וממודר (SCI), אך יש לציין אותו בשורת הסיווג, לאחר כל סימוני הסיווג והתפוצה האחרים. יתרה מזאת, הומלץ להגביל בנוסף כל פרט על הצלחות קריפטוגרפיות ספציפיות (מלבד סימונן כ"סודי ביותר//SI") באמצעות תוויות של מידע בפיקוח חריג (ECI). רשימה לא בלעדית של תוויות ECI אפשריות לבולראן כללה את השמות: APERIODIC, AMBULANT, AUNTIE, PAINTEDEAGLE, PAWLEYS, PITCHFORD, PENDLETON, PICARESQUE ו-PIEDMONT, ללא פירוט משמעותן.

הגישה לתוכנית מוגבלת לקבוצה מצומצמת של בכירי ברית "חמש העיניים" (FVEY) – ה-NSA וסוכנויות מודיעין האותות של הממלכה המאוחדת (GCHQ), קנדה (CSE), אוסטרליה (ASD) וניו זילנד (GCSB). אותות שלא ניתן לפענח באמצעות הטכנולוגיה הנוכחית עשויים להישמר ללא הגבלת זמן, בזמן שהסוכנויות ממשיכות לנסות ולפענח אותם, בגישה המכונה "איסוף כעת, פענוח בעתיד" (harvest now, decrypt later).

שיטות

באמצעות שבב הקליפר (Clipper chip) שתוכנן על ידי ה-NSA, אשר השתמש בצופן סקיפג'אק (Skipjack) עם דלת אחורית מכוונת, ובשימוש בחוקים ייעודיים שונים והגבלות על ייצוא תוכנות הצפנה, ניסתה ממשלת ארה"ב באופן פומבי בשנות ה-90 להבטיח את יכולתה לגשת לתקשורת ולפענח אותה. בפרט, אמצעים טכניים כמו נאמנות מפתח (key escrow), לשון נקייה ל"דלת אחורית", נתקלו בביקורת וזכו להצלחה מועטה.

ה-NSA מעודד יצרני טכנולוגיות אבטחה לחשוף דלתות אחוריות במוצריהם או מפתחות הצפנה כדי לאפשר גישה לנתונים מוצפנים. עם זאת, מחשש לאימוץ נרחב של הצפנה, ה-NSA פעל להשפיע בחשאי על תקני הצפנה ולהחלישם, ולהשיג מפתחות אב (master keys) – בין אם בהסכמה, בכוח החוק, או באמצעות תקיפת רשתות מחשבים (האקינג).

על פי מסמך תדרוך של בולראן, הסוכנות הצליחה לחדור הן לפרוטוקול SSL והן לרשתות פרטיות וירטואליות (VPNs) מסוימות. ה"ניו יורק טיימס" דיווח כי: "עד שנת 2006, כפי שמציין מסמך של ה-NSA, הסוכנות פרצה לתקשורת של שלוש חברות תעופה זרות, מערכת הזמנות נסיעות אחת, המחלקה הגרעינית של ממשלה זרה אחת, וספק שירותי אינטרנט של מדינה אחרת, על ידי פיצוח רשתות ה-VPN שהגנו עליהן. עד 2010, תוכנית אדג'היל, המאמץ הבריטי המקביל, פענחה תעבורת VPN עבור 30 מטרות, והציבה יעד של 300 מטרות נוספות".

כחלק מבולראן, ה-NSA פועל באופן אקטיבי "להחדיר פגיעויות למערכות הצפנה מסחריות, מערכות IT, רשתות והתקני קצה המשמשים מטרות". ה"ניו יורק טיימס" דיווח כי מחולל המספרים האקראיים Dual_EC_DRBG מכיל דלת אחורית, המאפשרת ל-NSA לשבור מפתחות הצפנה שנוצרו על ידו. אף על פי שמחולל זה היה ידוע כלא בטוח ואיטי זמן קצר לאחר פרסום התקן, ודלת אחורית קלפטוגרפית פוטנציאלית של ה-NSA התגלתה כבר ב-2007, חברת RSA Security המשיכה להשתמש בו בערכת הכלים שלה BSAFE ובמנהל הגנת הנתונים שלה עד ספטמבר 2013. בעוד RSA Security הכחישה כי החדירה דלת אחורית במודע, היא לא סיפקה הסבר להמשך השימוש ב-Dual_EC_DRBG לאחר שפגמיו התבררו. ב-20 בדצמבר 2013, דווח כי RSA קיבלה תשלום של 10 מיליון דולר מה-NSA כדי לקבוע את מחולל המספרים האקראיים הזה כברירת מחדל. מסמכי NSA שהודלפו מציינים כי המאמץ היה "אתגר של תחכום" וכי "בסופו של דבר, ה-NSA הפך לעורך הבלעדי" של התקן.

עד 2010, המסמכים שהודלפו מציינים כי ה-NSA פיתח "יכולות פורצות דרך" נגד תעבורת אינטרנט מוצפנת. עם זאת, מסמך של GCHQ הזהיר: "היכולות הללו הן בין השבריריות ביותר בקהילת מודיעין האותות (SIGINT), וחשיפה מקרית של 'עצם קיומן' עלולה להתריע בפני היריב ולהוביל לאובדן מיידי של היכולת". מומחים רבים, בהם ברוס שנייר וכריסטופר סוגויאן, שיערו כי מתקפה מוצלחת נגד RC4, אלגוריתם הצפנה שהיה בשימוש בלפחות 50% מתעבורת ה-SSL/TLS באותה עת, הייתה אפשרות סבירה, בהתחשב בחולשותיו הידועות. אחרים שיערו שה-NSA רכש יכולת לפצח מפתחות RSA/DH באורך 1024 סיביות. השימוש ב-RC4 נאסר מאז בכל גרסאות TLS בשנת 2015, עקב מתקפות שהחלישו או שברו אותו.

השלכות

בעקבות חשיפות בולראן, גברה הרתיעה של פרויקטי קוד פתוח מסוימים, כולל FreeBSD ו-OpenSSL, מלתת אמון (מלא) ברכיבי חומרה קריפטוגרפיים.

פרויקטים, חברות וארגונים רבים אחרים הגיבו בהגברת הבדיקה של תהליכי האבטחה וההצפנה שלהם. גוגל, למשל, הכפילה את גודל מפתחות ההצפנה בתעודות ה-TLS שלה מ-1024 סיביות ל-2048 סיביות.

חשיפת הדלתות האחוריות של ה-NSA והסיבוך המכוון של תקנים הובילו לתגובת נגד להשתתפות הסוכנות בגופי תקינה. לפני החשיפות, נוכחות ה-NSA בוועדות אלו נתפסה כיתרון, בשל מומחיותה בתחום ההצפנה. כמו כן, הועלו השערות כי ה-NSA היה מודע לפרצת האבטחה Heartbleed, שחשפה אתרי אינטרנט מרכזיים לגניבת סיסמאות, אך לא חשף מידע זה כדי לנצל אותו בעצמו.

גיזרון

השם "בולראן" (Bullrun) נלקח מהקרב הראשון על בול ראן, הקרב הגדול הראשון במלחמת האזרחים האמריקנית. שם התוכנית שקדמה לה, "מנאסס" (Manassas), הוא שם חלופי לקרב וגם המקום בו הוא התרחש. השם "אדג'היל" (EDGEHILL) נלקח מקרב אדג'היל, הקרב הראשון במלחמת האזרחים האנגלית.

מקור: ויקיפדיה https://en.wikipedia.org/wiki/Bullrun_(decryption_program)