Quantum Insertion / FOXACID
הNSA השתלטה על תעבורת הרשת העולמית באמצעותQUANTUM INSERT. גלו איך סנודן חשף את שיטות הריגול והפגיעה הפרטיות.
רקע
הדלפות הענק של אדוארד סנודן בשנת 2013 פתחו צוהר חסר תקדים אל עולמן החשאי של סוכנויות המודיעין, ובראשן הסוכנות לביטחון לאומי של ארצות הברית (NSA). מעבר לחשיפת תוכניות המעקב ההמוני הפסיביות, חשפו המסמכים גם ארסנל של כלי תקיפה קיברנטיים אקטיביים, שנועדו לא רק להאזין, אלא לחדור, לשלוט ולהשתלט על מערכות מחשב של יעדי מודיעין. אחד הכלים המרכזיים והמטרידים ביותר שנחשפו במערך זה הוא מערכת המכונה QUANTUM INSERT, הפועלת בתיאום עם שרתי התקיפה FOXACID.
תוכן המסמך
המסמך, שהופץ לראשונה בסוף דצמבר 2013, הוא למעשה מצגת פנימית של יחידת "מבצעי מקורות מיוחדים" (Special Source Operations) ב-NSA. המצגת מתארת בפרוטרוט את שיטת הפעולה של QUANTUM INSERT (QI), המוגדרת כטכניקת תקיפה מסוג "אדם בצד" (Man-on-the-Side), גרסה מתוחכמת של "אדם בתווך".
השיטה מבוססת על יכולתה הייחודית של ה-NSA לנטר תעבורת אינטרנט בנקודות מפתח של עורקי התקשורת העולמיים. כך פועל התהליך:
- זיהוי המטרה: מערכות הניטור של ה-NSA מזהות בקשת גלישה (HTTP request) הנשלחת ממחשב היעד אל אתר אינטרנט מסוים (למשל, רשת חברתית כמו לינקדאין או אתר חדשות).
- "מרוץ התגובה": מיד עם זיהוי הבקשה, שרת של ה-NSA המכונה QUANTUM, הממוקם קרוב יותר גאוגרפית ליעד מאשר השרת האמיתי של האתר, "יורה" תגובת HTTP מזויפת אל מחשב היעד. מכיוון שהתגובה של ה-NSA מגיעה שבריר שנייה לפני התגובה הלגיטימית, הדפדפן של היעד מקבל אותה ראשון ומניח שהיא אותנטית.
- הפניה זדונית: התגובה המזויפת מכילה הפניה (redirect) שקופה, המורה לדפדפן של היעד לגשת, מבלי ידיעתו, לשרת אחר – שרת ה-FOXACID.
- ניצול והדבקה: שרתי FOXACID הם פלטפורמת תקיפה המארחת מגוון רחב של "אקספלויטים" (exploits) – קודים המנצלים פרצות אבטחה ידועות ולא ידועות בדפדפנים, בתוספים כמו Flash או Java, ובמערכות הפעלה. כאשר דפדפן היעד מגיע לשרת ה-FOXACID, המערכת מנסה אוטומטית לנצל את אחת הפרצות.
- התקנת ה"שתל": אם הניצול מצליח, מוחדר למחשב היעד "שתל" (implant) – תוכנת ריגול זדונית המעניקה ל-NSA גישה מתמשכת ושליטה מלאה במחשב הנגוע, ומאפשרת גניבת מידע, הפעלת מיקרופונים ומצלמות ועוד.
חשיפה ופרסום
המסמך פורסם לראשונה על ידי "דר שפיגל" הגרמני, והוצג בהרחבה על ידי חוקר האבטחה ג'ייקוב אפלבאום בכנס Chaos Communication Congress. החשיפה הייתה דרמטית משום שהיא לא תיארה יכולת תיאורטית, אלא מערכת מבצעית, מתועשת ורחבת היקף. המסמכים הראו כיצד ה-NSA הפכה את תשתית ההאזנה הפסיבית שלה לנשק תקיפה אקטיבי, המאפשר לה להדביק כמעט כל יעד שניתן לזהותו על גבי רשת האינטרנט. אחד היעדים הבולטים שהותקפו באמצעות שיטה זו, כפי שנחשף בהמשך, היה ספק התקשורת הבלגי "בלגקום".
השלכות
חשיפת QUANTUM INSERT ו-FOXACID המחישה את הפער העצום בין התפיסה הציבורית של ריגול דיגיטלי (האזנה סבילה) לבין המציאות (תקיפה אקטיבית). היכולת "לחטוף" תעבורת רשת תמימה ולהפוך אותה לנשא של נוזקה, תוך ניצול מיקומה המיוחס של ה-NSA על עמוד השדרה של האינטרנט, נחשבה למהלך אסטרטגי משנה משחק.
בטווח הארוך, החשיפה האיצה באופן דרמטי את המעבר של רשת האינטרנט כולה מפרוטוקול HTTP הלא מאובטח לפרוטוקול HTTPS המוצפן. הצפנה מקצה-לקצה הופכת התקפות מסוג QUANTUM INSERT לקשות לאין שיעור, מכיוון שהיא מונעת מהתוקף לקרוא את תוכן הבקשות או לזייף תגובות מהשרת הלגיטימי. בכך, חשיפת הנשק הסודי של ה-NSA תרמה, באופן אירוני, לחיזוק האבטחה והפרטיות של כלל משתמשי האינטרנט.
מקור: דיווחים פומביים על הדלפות סנודן (2013–2014)
