Мощна система за тайно следене на уеб и DNS-трафик наречена MORECOWBELL позволява на американската Агенция за национална сигурност да прави интензивен мониторинг на оперативно интересни сайтове и дори да си изгради пълна картина на ставащото в Интернет. Това разкриват топ-секретни документи публикувани от Associated Whistleblowing Press.

Немското техническо издание heise.de публикува анализ на системата от Кристиан Гротоф, Матиас Вах, Моника Ермерт, Джейкъб Апелбаум и Лаура Пойтрас – екип, който участва в публикуването на секретните файлове на АНС изнесени от Едуард Сноудън.

АНС е разгърнала сървъри за следене в няколко държави в публичния интернет – Малайзия, Германия, Дания и още 13 държави. Използва се инфраструктура която е легална и не може директно да се свърже с агенцията. Става дума вероятно за сървъри на приятелски фирми и/или директно хакнати сървъри и клиентски компютри. България не се споменава като страна, в която се използват такива ресурси на агенцията.

DNS е базов протокол в интернет, който позволява свързването на имена на сайтове с техните IP адреси.  Наблюдението му дава ключова информация за случващото се в глобалната мрежа. Системата MORECOWBELL е пасивна. В нея се залагат правила за наблюдение – примерно на уеб сайт, и тя започва да го следи на всеки 10-15 мин, но не по късно от 30 мин., като генерира фалшив потребителски трафик от случайни хостове, който изглежда като идващ от браузър. Проверява се дали DNS заявките сочат към същият IP адрес и ако случайно нещо се промени в DNS-а или в HTTP протокола, или и в двете, се генерира аларма.

Карта на « бойното поле » или глобален поглед върху интернет

Проследяването на DNS с голяма интензивност дава възможност да се разбере какво се случва с приятелски и неприятелски сайтове, кого се опитват да хакнат или кой се опитва да се укрие, сменяйки локацията. Засичат се промените, по които се откриват атаки към DNS  (от типа DNS flood, DNS poisoning, DNS smurf).

Tака американската агенция си създава почти пълна картина за „интернет бойното поле“ тъй като DNS е една от основните атакувани услуги.

От публикуваната информация не става ясно дали АНС пази архив, но при наличието на такъв тя може да си създаде дърво на промените (както в Internet Archive), кой кога какво е променял в кой сайт.

Според специалисти, с които Биволъ се консултира, при подходящо мащабиране такава система може да даде глобален поглед върху статуса на интернет, или « да напише историята на интернет в целия свят ». Системата вижда кой какво прави, къде, с каква динамика, кой е атакуван, кой го хакват. с каква скорост расте бизнеса и къде.

image_pdfimage_print
Print Friendly

This post is also available in: English