XKeyscore_logo

Uno degli strumenti più potenti di sorveglianza di massa utilizzati dalla National Security Agency si basa sul monitoraggio dell’utilizzo di Internet da parte di un ipotetico soggetto sottoposto a sorveglianza, semplicemente inserendo, come coordinate di ricerca, un indirizzo di posta elettronica, tuttavia il sistema non dispone sfortunatamente di una tecnologia che consenta di prevenirne gli abusi. The Intercept ha pubblicato alcuni documenti top-secret e altri documenti classificati su XKEYSCORE che risalgono al 2013, documenti che hanno gettato una nuova luce circa l’ ampiezza, la profondità e la funzionalità di questo sistema di spionaggio di massa – si tratta di una delle più corpose diffusioni di documenti forniti dall’ ex analista della NSA Edward Snowden.

Il programma della NSA XKEYSCORE, la cui esistenza è stata per la prima volta rivelata da un articolo del Guardian, investe le innumerevoli ricerche effettuate su Internet dalle persone, ma anche le e-mail, i documenti, nome utente e password, ed altre comunicazioni private.

XKEYSCORE viene alimentato attraverso un flusso costante di traffico Internet proveniente da cavi a fibre ottiche, che costituiscono l’ossatura della rete di comunicazione mondiale, flusso che viene elaborato.  A partire dal 2008, il sistema di sorveglianza contava circa 150 siti localizzati in vari paesi, Stati Uniti, Messico, Brasile, Regno Unito, Spagna, Russia, Nigeria, Somalia, Pakistan, Giappone, Australia, e in molti altri ancora,  ed era composto da oltre 700 server .

Questi server “full-take data” disposti presso siti di raccolta dati – sono capaci di memorizzare tutto il traffico dati censito – e, a partire dal 2009, in grado di memorizzare il traffico continuo effettuato dai 3 ai 5 giorni e metadati per 30 a 45 giorni. I documenti della NSA indicano che all’interno del suo database sono memorizzate decine di miliardi di registrazioni. “Si tratta di un sistema di elaborazione e di query completamente distribuito che gira su macchine dislocate in tutti i paesi del mondo”, è stato affermato durante un briefing della NSA su XKEYSCORE. “Nei vari siti in cui è stato dislocato, XKEYSCORE può essere eseguito su più computer, nel qual caso esso ha la possibilità di svolgere la sua duplice funzione di elaborazione e di immagazzinamento dati e metadati.

XKEYSCORE raccoglie anche ed elabora il traffico Internet degli americani, anche se gli analisti della NSA hanno il divieto di interrogare il sistema secondo modalità che potrebbero portare a spiare dati USA. Gli esperti e gli attivisti che tutelano la privacy, tuttavia, hanno a lungo dubitato del fatto che tali esclusioni siano effettivamente efficaci ad impedire che grandi quantità di dati americani vengano registrati. Un documento pubblicato da The Intercept suggerisce come le granzie date dal Foreign Intelligence Surveillance Act (FISA la legge del 1978 che stabilisce le procedure giuridiche necessarie per autorizzare una sorveglianza elettronica e per perseguire atti di spionaggio e di terrorismo verso gli USA)  abbiano autorizzato la registrazione “integrale” del traffico di almeno alcuni forum on-line statunitensi.

Il sistema non si limitata a raccogliere traffico web. Nel documento del 2013, intitolato “Configurazione VoIP e inoltro”, viene descritta la procedura da seguire per trasmettere dati VoIP da XKEYSCORE a Nucleon, e cioè ai repository (archivi) della NSA per intercettazioni vocali, fax, video e “trascrizioni”. In quel momento il sistema monitorava più di 8.000 utenti a livello globale ed era costituito da soli 75 server, ciascuno dei quali capace di immagazzinare fino a 700.000 files voce, fax, video e tag al giorno.

La portata e la potenza di XKEYSCORE come strumento di sorveglianza è sorprendente. Il rapporto del Guardian riferisce come la stessa NSA definisca il programma il suo sistema di “maggiore portata”. Nel febbraio di quest’anno, The Intercept  ha riferito di come NSA e GCHQ abbiano violato la rete interna di Gemalto, il più grande fornitore al mondo di SIM card per telefoni cellulari, al fine di rubare milioni di chiavi di crittografia utilizzate per proteggere la privacy nella comunicazione via cellulare.

XKEYSCORE ha giocato un ruolo fondamentale nella pirateria informatica delle spie, fornendo agli hacker di governo l’accesso alle caselle di posta elettronica dei dipendenti di Gemalto.

Numerosi partner chiave della NSA, tra cui i Servizi di Canada, Nuova Zelanda e Regno Unito, hanno accesso alle banche dati fornite dalla sorveglianza di massa esercitata attraverso XKEYSCORE.

Nel mese di marzo il quotidiano The New Zealand Herald, in collaborazione con The Intercept, ha rivelato come il governo della Nuova Zelanda avesse utilizzato XKEYSCORE per spiare i candidati alla carica di direttore generale dell’ Organizzazione Mondiale del Commercio (WTO) oltre ad alcuni membri del governo delle Isole Salomone.

I documenti appena pubblicati dimostrano come le comunicazioni raccolte comprendano non solo e-mail, chat e traffico web, ma anche immagini, documenti, chiamate vocali, foto webcam, ricerche web, il traffico analitico della pubblicità, il traffico dei social media, il traffico botnet, le battiture sulla tastiera, la computer network exploitation targeting  (CNE), gli accoppiamenti di nome utente e password intercettati, upload di file per i servizi online, sessioni di Skype e altro ancora.

Raccolta di massa e sorveglianza della popolazione

XKEYSCORE consente una sorveglianza incredibilmente vasta delle persone attraverso modelli percepiti di comportamenti sospetti. E ‘possibile, per esempio, interrogare il sistema per farsi mostrare le attività delle persone sulla base della loro ubicazione, della loro nazionalità e dei siti web visitati. Ad esempio, una slide visualizza la ricerca “germansinpakistn”, mostrando un analista che interroga XKEYSCORE con riferimento a tutti gli individui in Pakistan che “visitano” determinate bacheche in lingua tedesca.

Dato che siti come Twitter e Facebook sono sempre più importanti nella comunicazione giornaliera mondiale  (uno studio del Pew mostra come il 71 per cento degli adulti online negli Stati Uniti utilizzano Facebook), essi sono diventati una fonte incredibile di dati di sorveglianza. Il traffico proveniente dai siti di social media più popolari viene descritto come “un ottimo punto di partenza” per il monitoraggio degli individui, secondo quanto viene riportato da una presentazione di  XKEYSCORE dal titolo “Obiettivi di monitoraggio sui Social Networks online.”

Quando le agenzie di intelligence raccolgono enormi quantità di traffico Internet in tutto il mondo, si trovano ad affrontare la sfida di dare un senso a tutti questi dati. Le enormi quantità di informazioni raccolte rendono difficile collegare il traffico memorizzato a determinati individui.

Le Internet companies hanno segnalato questo problema e lo hanno risolto tracciando i loro utenti attraverso degli identificatori che sono esclusivi per ogni individuo, spesso sotto forma di cookies del browser. I cookies sono piccole quantità di dati che i siti web memorizzano nei browser dei loro visitatori; essi vengono utilizzati per una grande varietà di scopi, tra cui l’autenticazione degli utenti (i cookies permettono di accedere ai siti web), e memorizzando le loro preferenze, monitorano in modo univoco gli individui, anche se si connettono alla rete utilizzano lo stesso indirizzo IP di molte altre persone.

Infatti i siti web incorporano anche il codice utilizzato da terzi per la raccolta di analisi o di annunci. Secondo gli esperti, «Quasi tutti i siti web attivano i cookie”.

La capacità del NSA di sfruttare il monitoraggio che le imprese private fanno dei loro utenti rappresenta uno strumento essenziale, che consente all’agenzia di tracciare i dati raccolti riferiti a singoli utenti. Non fa differenza se il visitatore si connette alla rete attraverso un accesso  Wi-Fi pubblico o con un VPN, modificando così il suo indirizzo IP: il cookie di tracciamento lo seguirà  fintanto che utilizzerà lo stesso browser e non cancellerà i cookies.

Anche le app su tablet e smartphone usano i servizi di analisi che tengono traccia in modo univoco degli utenti. Quasi ogni volta che un utente legge una pubblicità ( che sia attraverso una app o un browser), il network della pubblicità traccia l’ utente allo stesso modo. Un programma segreto utilizzato da GCHQ e CSE, le agenzie di sicurezza inglese e canadese, chiamato BADASS, simile al XKEYSCORE ma con un campo di applicazione molto più ristretto, memorizza più informazioni preziose tracciando quante più app sia possibile, compresi gli identificatori univoci di monitoraggio che gli sviluppatori di applicazioni utilizzano per monitorare i propri utenti. Nel maggio di quest’anno, CBC, la rete televisiva pubblica canadese in collaborazione con The Intercept, ha rivelato che XKEYSCORE era stato utilizzato per monitorare le connessioni di smartphone ai market di app gestiti da Samsung e Google.

Per tracciare le persone gli analisti dell’agenzia di sorveglianza utilizzano anche altri tipi di dati relativi al traffico, monitorati  sempre da XKEYSCORE, come ad esempio i rapporti di crash relativi a Windows.

In una dichiarazione rilasciata a The Intercept, la NSA ha ribadito la sua posizione secondo cui l’ampiezza della capacità di sorveglianza è necessaria per combattere la guerra contro il terrorismo:

“Il governo degli Stati Uniti esorta i suoi Servizi segreti a proteggere gli Stati Uniti, i suoi cittadini e i suoi alleati, da una vasta gamma di gravi minacce. Queste minacce includono i piani terroristici di al-Qaeda, ISIL, e altri; la proliferazione delle armi di distruzione di massa; l’aggressione straniera contro gli Stati Uniti e i suoi alleati; e le organizzazioni criminali internazionali “.

In effetti, uno degli esempi specifici di applicazione di XKEYSCORE secondo quanto appare nei documenti è stato quello di spiare Sheikh Atiyatallah, uno dei leader  più vecchi di al Qaeda nonché consigliere di Osama bin Laden. Pochi anni prima della sua morte, Atiyatallah ha fatto quello che molte persone spesso fanno: la ricerca del suo nome su google (si è googolato).

Egli cercò tutti i suoi vari alias, e li associò al titolo del libro da lui scritto. In quel momento, tutte le informazioni venivano catturate da XKEYSCORE.

XKEYSCORE è stato però anche utilizzato per spiare obiettivi non terroristici. Nella pubblicazione settimanale interna della NSA, Special Source Operations (dal nome della divisione della NSA che si occupa di raccogliere dati attraverso la fibra ottica), del 18 aprile 2013, l’agenzia si vantava del fatto che gli analisti fossero riusciti ad utilizzare XKEYSCORE per ottenere gli spunti del discorso del segretario generale dell’ONU Ban Ki-moon, prima di un suo incontro con il presidente Obama.

XKEYSCORE per l’hacking: raccoglie facilmente gli user name, le password e molto altro ancora

XKEYSCORE svolge un ruolo centrale nel modo attraverso il quale la sorveglianza del governo degli Stati Uniti e dei suoi alleati viola le reti di computer di tutto il mondo. Un documento della NSA del 2009, classificato Top Secret, descrive come il sistema sia stato utilizzato dall’agenzia di spionaggio per raccogliere informazioni per l’Ufficio delle operazioni per l’accesso mirato, una divisione della NSA responsabile della Computer Network Exploitation (CNE) – vale a dire dell’hacking selettivo.

In particolare nel corso del 2009, le tattiche di hacking abilitate da XKEYSCORE avrebbero ottenuto risultati significativi, posto che l’uso della criptazione era meno diffuso di oggi. Jonathan Brossard, un ricercatore che si occupa di sicurezza nonché amministratore delegato di Toucan Systems, ha dichiarato a The Intercept: “Chiunque può essere addestrato a fare questo genere di attività, è sufficiente meno di una giornata di lezione: basta inserire il nome del server che si vuole hackerare su XKEYSCORE, schiacciare il tasto “enter”, e il sistema offre la login e la password per collegarsi a questa macchina. Fatto. Finito.”  In alcuni report precedenti The Intercept aveva rivelato come gli amministratori di sistema costituissero un obiettivo molto popolare per la NSA. “Quale persona è più utile hackerare di colui che già detiene le” chiavi del regno? ‘”, Si legge su di un post pubblicato nel 2012 in un forum di discussione interno della NSA.

Questo sistema permette agli analisti di accedere ai server di posta elettronica con notevole facilità.

Gli stessi metodi vengono utilizzati anche per rubare le credenziali – Nome utente e password – di utenti individuali di sistemi di messaggistica.

Anche i forum degli Hacker vengono monitorati per individuare persone che vendono o utilizzano exploit e altri strumenti di hacking. Posto che la NSA monitora gli hacker per comprendere le capacità sviluppate dai suoi avversari, è chiaro che ciò passa anche attraverso il monitoraggio dei luoghi in cui tali capacità possono essere acquisite.

Le varie informazioni acquisite tramite XKEYSCORE, consentono lo sfruttamento remoto di computer target. Estraendo attraverso il traffico internet le impronte digitali del browser e la versione del sistema operativo utilizzato, il sistema permette agli analisti di valutare rapidamente l’accessibilità di un bersaglio. Brossard, il ricercatore sulla sicurezza, ha dichiarato che “la NSA ha costruito una serie completa impressionante di strumenti di hacking automatizzati per i suoi analisti.”

Data la vastità delle informazioni raccolte da XKEYSCORE, l’attività online di verifica delle possibilità di accesso l’accesso e di sfruttamento di un dato bersaglio rappresenta un’attività che richiede pochi clic del mouse. Brossard spiega: “La quantità di lavoro che un analista deve eseguire per entrare effettivamente in computer remoti attraverso Internet sembra ridicolmente ridotta – stiamo parlando di minuti, se non di secondi. Semplice. Facile come digitare alcune parole su Google. “

Questi fatti rafforzano una delle affermazioni più controverse di Snowden, rilasciate nel corso della sua prima video intervista pubblicata dal Guardian, il 9 giugno 2013. “Io, seduto alla mia scrivania”, ha dichiarato Snowden, potrei “intercettare chiunque, voi o il vostro commercialista, o un giudice federale o anche il presidente, se avessi la sua e-mail personale. “

In effetti, i manuali di formazione di XKEYSCORE sottolineano ripetutamente come il programma sia user-friendly: con pochi clic, ogni analista che abbia accesso adesso può effettuare ricerche molto complete semplicemente inserendo l’indirizzo e-mail di una persona, il suo numero di telefono, il nome o altri dati identificativi. Non vi è alcuna indicazione, nei documenti esaminati, che richieda una preventiva approvazione prima di poter svolgere ricerche specifiche.

Oltre alle credenziali di accesso e ad altri elementi di intelligence, XKEYSCORE raccoglie le informazioni di configurazione del router, che condivide con operazioni di accesso mirate.

L’agenzia è in grado di sfruttare i router e quindi di monitorare il traffico che viaggia attraverso di essi nella sua infrastruttura di raccolta. Questo consente alla NSA di spiare il traffico proveniente da reti altrimenti non raggiungibili. La documentazione relativa a  XKEYSCORE fa riferimento alle configurazioni del router, e un documento già pubblicato dal settimanale tedesco Der Spiegel mostra come “gli impianti attivi” possano essere utilizzati per “copiare il traffico e deviarlo” su di un collettore passivo.

XKEYSCORE per controspionaggio

Oltre a consentire la raccolta, la classificazione, e l’interrogazione dei metadati e dei contenuti, XKEYSCORE è stato anche utilizzato per monitorare la sorveglianza e le azioni di hacking da parte di stati stranieri e di raccogliere i frutti del loro l’hacking. The Intercept ha in precedenza riferito di come la NSA ed i suoi alleati spiassero gli hacker al fine di copiare i dati che essi raccoglievano.

Una volta che sono identificati gli strumenti e le tecniche di hacking di un dato stato straniero (per esempio, la Corea del Sud),  gli analisti possono estrarre gli obiettivi di spionaggio del Paese in questione attraverso XKEYSCORE, e raccogliere così quelle informazioni che la potenza straniera è riuscito a rubare.

Monitorare gli hacker di potenze straniere consentirebbe alla NSA di raccogliere le tecniche e gli strumenti utilizzati, tra cui la conoscenza del zero-day exploit, un virus software che consente agli hackers di penetrare nei sistemi, e che neppure il fornitore del software conosce, e di impiantarlo. Inoltre, attraverso il monitoraggio dei rapporti di vulnerabilità inviati ai fornitori come Kaspersky, l’agenzia potrebbe imparare quando il programma exploits che fino a quel momento aveva utilizzato, debba essere ritirato perché scoperto da una terzo soggetto.

Sequestro vs Ricerca: controllo, processo di audit  e Quarto Emendamento

Per il modo attraverso cui esso coinvolga tutte le informazioni, XKEYSCORE raccoglie le comunicazioni degli Americani, nonostante la protezione del Quarto Emendamento contro “la ricerca ed il sequestro irragionevole” – inclusa anche la ricerca di dati senza un mandato. La NSA sostiene di non prendere di mira le comunicazioni dei cittadini degli Stati Uniti senza un mandato, ma riconosce che “incidentalmente” essa raccoglie e legge alcuni di queste informazioni, riducendo al minimo le informazioni che trattiene o condivide.

Ma questa interpretazione della legge è quanto meno dubbia.

Un documenti di formazione di XKEYSCORE afferma che la ” è responsabilità dell’utente / revisore di rispettare la USSID-18 o altre norme”, includendo apparentemente tra di esse anche lo Human Rights Act britannico (HRA), che tutela i diritti dei cittadini del Regno Unito e lo US Signals Intelligence Directive 18 (USSID 18) , la Direttiva 18 della United States Signals Intelligence dell’NSA proibisce decisamente l’intercettazione o la raccolta di informazioni riguardanti “[…] persone, entità, aziende o organizzazioni statunitensi[…]” senza esplicito permesso scritto del Procuratore Generale degli Stati Uniti.

Kurt Opsahl, consigliere generale della Electronic Frontier Foundation, descrive l’USSID 18 come “un tentativo da parte della comunità di intelligence di rispettare il Quarto Emendamento. Ma esso non proviene da un tribunale, ma dalla volontà di un dirigente”.

Se, ad esempio, un analista ha cerca XKEYSCORE tra tutti gli utenti di iPhone, tale ricerca violerebbe l’USSID 18 a causa del’ inevitabile numero di utenti americani di iPhone che sarebbe ricompreso senza un mandato, come mette bene in chiaro il materiale di formazione fornito ai suoi analisti dalla stessa della NSA.

Opsahl ritiene che agli analisti non viene impedito attraverso mezzi tecnici di effettuare ricerche che violino l’USSID 18. “Il documento si chiede se gli analisti saranno felici o infelici. Ciò indica che l’osservanza delle norme sarà raggiunta solo dopo un controllo ex-post (revisione), non impedendo così la ricerca. “

Alcuni screenshots dell’interfaccia utente Web di XKEYSCORE inclusi nelle slides mostrano come gli analisti leggano un messaggio di avviso evidente: “. Questo sistema prevede il rispetto della USSID 18 e quello del Human Rights Act”.

Quando gli analisti accedono al sistema, sono in grado di leggere un messaggio più dettagliato che li avverte di come “un itinerario di controllo sia stato stabilito e di come esso verrà cercato” in risposta alle violazioni del HRA, come parte del processo di controllo del USSID 18 e del USSID 9.

Posto che il sistema XKEYSCORE non sembra impedire agli analisti di rivolgere domande che violino tali regole, Opsahl conclude su come “ci sia un’ enorme quantità di potere nelle mani degli analisti”.

E sebbene tali analisti possono essere soggetti a controlli , “almeno nel breve periodo essi possono ottenere quelle informazioni alle quali non potrebbero avere accesso.”

Nel corso di un simposio tenutosi nel mese di gennaio 2015, presso la Harvard University, nel quale è stato ospitato Edward Snowden in videochiamata, l’ex analista ha dichiarato che gli analisti della NSA sono “completamente svincolati da qualsiasi tipo di errore significativo”. Parlando delle persone che procedono ad effettuare i controlli sui sistemi della NSA come XKEYSCORE, per verificare la conformità alla USSID 18, Snowden ha dichiarato: “La maggior parte delle persone che eseguono i controlli di conformità sono amici degli analisti. Lavorano nello stesso ufficio. Non sono controllori a tempo pieno, sono ragazzi che hanno altri compiti assegnati. Ci sono alcuni controllori che si spostano e che vanno in giro e guardare come si svolgono le cose, ma in realtà il controllo non è penetrante “.

In una dichiarazione rilasciata a The Intercept, la NSA ha affermato:

“Le operazioni di intelligence estere della NSA sono 1) autorizzate per legge; 2) soggette a più livelli di rigorosa vigilanza interna ed esterna; e 3) condotte secondo una modalità studiata per rispettare la privacy e le libertà civili.

Come previsto dalla direttiva del Presidente Policy Directive 28 (PPD-28), tutte le persone, indipendentemente dalla loro nazionalità, hanno legittimi interessi di riservatezza nella gestione dei loro dati personali. La NSA fa di tutto per adattare in maniera ristretta e mettere a fuoco le sue operazioni di intelligence sulla raccolta di comunicazioni che hanno maggiori probabilità di avere contenuti di intelligence straniera o di controspionaggio. “

Articolo pubblicato sul sito theintercept.org

Titolo originale: “Nsa’s google worlds private communications”

Trad cm

Annunci