Hvis jeg var direktør for CIA eller NSA (91/N)

Jeg er kommet I tanke om endnu en ting jeg ville gøre hvis jeg var direktør for CIA eller NSA:

Jeg ville få mine "Venture Capitalists" til at investere i CI-opstarts og jeg er helt sikker på at de ikke kom til at mangle en god kompetent mand til maskinrummet.

Prøv en gang at overveje hvor bekvemt det ville være at kunne levere trojan'ed software til hele FOSS miljøet på den måde ?

Det er ufatteligt bekvemt for FOSS projekter at kunne udlicitere den byzantine og bureaukratiske process med at få bygget pakker så de har den helt rigtige frisure til moden i de forskellige FOSS projekter/distributioner/whatever.

Men det ville være endnu mere bekvemt for CIA eller NSA at kunne levere special-syede versioner til helt bestemte brugere.

phk

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Claus Bruun

Det gik vist lidt stærkt med den idé :-)

Jeg antager at CI er Continuous Integration! CI-startups - er det startups, som benytter CI eller tilbyder CI (som fx Jenkins, GitHub, Azure DevOps) ? Jeg gætter på, at du mener det sidste, og at humlen så er: At få bygget ude i byen er mere usikkert end at gøre det hjemme, da man af gode grunde kun kan forlade sig på tillid ?

Har vi nogen grund til at tro at diverse intelligens ikke allerede gør sådan noget ?

Omvendt hvordan foregår det i fx. FreeBSD - der må jo også foregå en løbende integration af commits og efterfølgende byg ?

  • 4
  • 1
#7 Klavs Klavsen

FreeBSD kører det hele indenfor i projektet.

Det gør de fleste projekter vel mht. CI ? Både for open source CI (Jenkins, gitlab mv.) - styres det hele vha. en config fil, der ligger sammen med koden i git, og angiver hvilke kommandoer der skal udføres og docker billeder der skal anvendes.

Det samme gælder svjv. for Circleci mv. ?

Eller mener du at de ikke kører deres docker instanser på eget jern, eller ? hvori består forskellen?

  • 0
  • 0
#9 Poul-Henning Kamp Blogger

Både for open source CI (Jenkins, gitlab mv.) - styres det hele vha. en config fil, der ligger sammen med koden i git, og angiver hvilke kommandoer der skal udføres og docker billeder der skal anvendes.

Og du er bare helt 100% sikker på at en cloudleverandør der er "trojan'ed" af CIA eller KGB slavisk følger din config-fil uanset hvor bekvemt det kunne være for dem ikke at gøre det ?

  • 8
  • 0
#12 Klavs Klavsen

Så det er compromise of docker, VM eller fysisk host du snakker om..

Ellers ville de jo kun kunne angribe min CI - ved at ændre f.ex. koden i min gitlab-runner instans der kører CI jobs.

når det gælder f.ex. CircleCI og andre CI services - hvor man ikke selv styrer sin runner - kunne de selvfølgelig angribe der.

Nu foretrækker jeg hetzner dedicated servers - så får jeg i det mindste mit eget jern.. så har jeg "kun" den sidste bekymring..

Skal jeg undgå den, skal jeg over og købe noget specielt jern.. eller måske noget ARM servere der har færre angrebsvinkler ?

  • 1
  • 0
#13 Ulrik Suhr

Det er jo bevist der er lavet Hack helt ned til hardware router og switche. Samt der er forsøgt at lave sårbarheder i open source projekter fra CIA.

Jeg kan følge dine tanker så langt at man ikke skal gøre det for let for angriberne, men her i DK samarbejder staterne så det ville være nemmere bare at bede om data fra de danske myndigheder?

Det er ikke mig bekendt taget en åben snak om data sikkerhed her i DK. Skal borger eller staten beskyttes ved data brud? Må/skal vi designe systemer som er robuste fra interne angreb og hvorfor benyttes der ikke honeypots? Jeg syntes ofte der snakkes en del, men der er ikke så meget offentligt viden om staters IT angreb.

  • 0
  • 0
#14 Poul-Henning Kamp Blogger

Samt der er forsøgt at lave sårbarheder i open source projekter fra CIA.

Det er det sidste aspekt jeg er begyndt at tænke over her.

Tag et typisk FOSS projekt:

  1. Kildeteksten ligger på github, alle kan kigge og det ser fint ud.
  2. (Så sker der et mirakel)[1]
  3. Brugere downloader en pakke (som root!) og bruger softwaren.

Det er åbenbart utroligt normalt nu om dage at punkt 2 og serversiden af punkt 3 foregår via en "gratis" CI-cloud service.

Hvis jeg var i spionage branchen, ville jeg finde det utroligt bekvemt at kunne få fingrene ind mellem den åbne og gennemsete kildetekst og den binære som mine target ukritisk downloader og installerer.

Hvis jeg ovenikøbet har kontrol over download serveren er der aldrig nogen andre der vil opdage at der findes en "tilpasset" version af pakken, for den bliver kun sendt ud når clienterne kommer fra Elboniens El- og Vandværker, eller hvem det nu er der skal angribes.

[1] Hat-tip til en god gammel vittighedstegning.

  • 8
  • 0
#16 Ditlev Petersen

Undervurder aldrig din modstander. Heller ikke hvis han er din "ven". Gammelt jysk ordsprog, jeg lige har opfundet.

NSA indhenter oplysninger (og laver bagdøre og andet skæg). CIA er i høj grad offensive. De vælter regeringer, afliver folk, laver false flag angreb, ødelægger ting og en masse andet, de sikkert er meget gode til. Og de kan også skrive lidt russisk i et program, hvis det er ønsket.

Stuxnet var nok mere fra CIA (og deres ven) end fra NSA.

  • 2
  • 0
#17 Michael Cederberg

Prøv en gang at overveje hvor bekvemt det ville være at kunne levere trojan'ed software til hele FOSS miljøet på den måde ?

Løsningen er selvfølgeligt at byggeprocessen er deterministisk. Sådan at man kan bygge det samme flere steder og se at resultatet bliver det samme. Dvs. ikke noget med at putte date/time ind i filerne. Ikke noget med at downloade libraries på byggetidspunktet.

På den måde kan FOSS community følge med i hvad der sker ... problemet er selvfølgeligt:

Men det ville være endnu mere bekvemt for CIA eller NSA at kunne levere special-syede versioner til helt bestemte brugere.

For hvis man leverer malware til alle så bliver det nok opdaget. Men hvis man leverer til ganske få så er det en anden sag.

Man kunne også pille ved DNS og dirigere traffik til alternative repositories. Så behøver man ikke engang være CIA/NSA. Det vil også virke for non-FOSS stuff ... hvis man kunne få store virksomheder til at downloade fx. inficerede Oracle database drivers så kan man ramme de fleste store virksomheder.

Basalt set er problemet at vi tager binær software ind udefra og giver det rigtigt mange muligheder på vores netværk. I praksis er vi nødt til at forvente at vi får inficeret software og hardware indenfor vores ydre perimeter. Og så må vi designe vores IT systemer og netværk til at sikre at sådan software ikke sprede sig frit.

  • 0
  • 0
#19 Malthe Høj-Sunesen

Man kunne også pille ved DNS og dirigere traffik til alternative repositories. Så behøver man ikke engang være CIA/NSA. Det vil også virke for non-FOSS stuff .

For nylig lyttede jeg til en podcast fra Wondery. Den var på engelsk, tydeligt rettet til et US/internationalt publikum. Undervejs kom der en reklame på dansk.

Hvis en podcastudbyder kan dét, så er det vel tæt på simpelt.

  • 0
  • 0
#21 Henning Wangerin

For nylig lyttede jeg til en podcast fra Wondery. Den var på engelsk, tydeligt rettet til et US/internationalt publikum. Undervejs kom der en reklame på dansk.

Hvis en podcastudbyder kan dét, så er det vel tæt på simpelt.

Hvorfor det?

De har vel bare kigget på hvilken IP du har hentet / streamet den fra, og så puttet reklamer ind ud fra det.

Du har vel ikke checket hashen af den downloadede fil inden du begyndte at afspille dem for at sikre at den var uændret i forhold til det udgiveren har udgivet?

  • 3
  • 0
#22 Kjeld Flarup Christensen
  • 0
  • 0
#24 Michael Cederberg

Man in the middle angreb findes der forsvar imod. Men hvis man infiltrerer en CA...

Det har de sikkert allerede gjort.

Ja ... jeg er stensikker på at både amerikanske, russiske, kinesiske, indiske, israelske efterretningstjenester har kontrol over et eller flere CA. Hele root certificat trust showet er beregnet til at holde lommetyve og teenagehackere ude.

Men i øvrigt kan man også skaffe de nødvendige certificater fra tjenesten man vil redirecte vha. indbrud eller insiders. Og modsat hvis man inficerer virksomheden med malware så kan det ske helt uden spor.

Der er også de mystiske BGP routeninger som også synes skabt til det her.

  • 1
  • 0
Log ind eller Opret konto for at kommentere