mboost-dp1

The Guardian

NSA-analytiker havde fuld adgang til alle NSA’s hemmeligheder

- Via Wired -

I de fleste virksomheder er det ganske få personer, der har adgang til så mange informationer som systemadministratoren, og det ser også ud til at være tilfældet hos NSA.

Edward Snowden, der har afsløret sig selv som værende kilden til fortrolige dokumenter om NSA aflytningsprogram PRISM, fortæller til The Guardian, at hvis han ville, så kunne han lukke for hele USAs overvågningsmuligheder på en eftermiddag.

Edward Snowden skrev:
If I had just wanted to harm the U.S., you could shut down the surveillance system in an afternoon, but that’s not my intention.

Ligeledes havde Snowden adgang til oplysninger om alle ansatte hos NSA, alle missioner de havde gang i og alle informationer om alle deres faciliteter verden over.

Snowden startede sin karriere i USA’s efterretningsvæsen for ti år siden, først hos NSA, i 2007 så hos CIA og senere igen for NSA. Allerede for fire år siden overvejede han at offentliggøre den amerikanske regerings omfattende overvågning af sine egne borgere, men håbede, at en ny regering med Obama i spidsen ville ændre noget.

Du kan se en video med Edward Snowden herunder, hvor han forklarer meget mere om sit arbejde.





Gå til bund
Gravatar #51 - Saxov
13. jun. 2013 06:37
bbdk (36) skrev:
Jo, men mon ikke præsidenten og chefen for NSA ret hurtigt opdager at deres password er nulstillet.
Jeg er ret sikker på, at han ikke ville have flere år til at indsamle data.
Lad os se,
en sysadmin har fint mulighed for at tage en backup/lave en klon af en prod disk. Han har sikkert også adgang til test/staging miljø.

Ergo, hvor svært er det at:
1) clone en prod disk
2) sætte en vm op på et test/dev/staging miljø
3) mounte prod clonen på vm'en
4) lav backup af AD-serveren på test/dev/staging miljø
4) nulstil password på test/dev/staging miljø
5) access data
6) restore backup af AD-server på test/dev/staging miljø
7) drop vm incl clon af disk.

Gravatar #52 - XorpiZ
13. jun. 2013 06:44
Det går vel galt allerede i #1, når du regner med, at han bare lige kan klone en disk.
Gravatar #53 - Nåkja
13. jun. 2013 07:25
XorpiZ (52) skrev:
Det går vel galt allerede i #1, når du regner med, at han bare lige kan klone en disk.


Det kommer an på hvilken form for adgang han har. Der er masser af værktøjer til at lave disk images. Og kan du lave et image, kan du downloade og lægge det på en anden disk eller vitualisere det.
Gravatar #54 - Magten
13. jun. 2013 07:41
478907111414718754684 (53) skrev:
Det kommer an på hvilken form for adgang han har.
Præcis, og alt efter platform kan det godt forhindres at folk har adgang til det.
Gravatar #55 - Nåkja
13. jun. 2013 07:44
Magten (54) skrev:
478907111414718754684 (53) skrev:
Det kommer an på hvilken form for adgang han har.
Præcis, og alt efter platform kan det godt forhindres at folk har adgang til det.

Det kan det, men bliver det gjort? Og hvem skal gøre det? Sysadminen? En 3. part, som så skal have adgang til det?

Det nemmeste må vel være at have en tilpas højt cleared sys admin. Uanset hvordan du vender og drejer det, skal en eller anden jo have adgangen. Eller også skal man ud i en usædvanlig løsning, hvor flere skal indtaste koder på én gang.
Gravatar #56 - Magten
13. jun. 2013 07:59
478907111414718754684 (55) skrev:
Det kan det, men bliver det gjort?
Det ved vi jo af gode grunde ikke noget om :)


478907111414718754684 (55) skrev:
Og hvem skal gøre det? Sysadminen? En 3. part, som så skal have adgang til det?
Det kommer an på hvordan man nu har skruet sin organisation og rettigheder på tværs af afdelinger sammen.

478907111414718754684 (55) skrev:
Det nemmeste må vel være at have en tilpas højt cleared sys admin. Uanset hvordan du vender og drejer det, skal en eller anden jo have adgangen. Eller også skal man ud i en usædvanlig løsning, hvor flere skal indtaste koder på én gang.
Sikkerhed og "det nemmeste" hænger som regel bare ikke sammen :)
Gravatar #57 - Nåkja
13. jun. 2013 08:04
Magten (56) skrev:
Sikkerhed og "det nemmeste" hænger som regel bare ikke sammen :)


Næh, men der er også et økonomisk perspektivt. Jeg ved ikke hvor dyrt og besværligt det ville være, hvis alle diske skulle låses med dobbelt login. Jeg har aldrig hørt om et praktisk eksempel den løsning, når det kommer til disk-rettigheder.
Gravatar #58 - Nåkja
13. jun. 2013 08:05
Magten (56) skrev:
Det kommer an på hvordan man nu har skruet sin organisation og rettigheder på tværs af afdelinger sammen.

Uanset hvordan du har skruet dine rettigheder sammen, skal der være en eller flere, der til sammen har adgang til disken.


Gravatar #59 - XorpiZ
13. jun. 2013 08:16
478907111414718754684 (53) skrev:
Det kommer an på hvilken form for adgang han har. Der er masser af værktøjer til at lave disk images. Og kan du lave et image, kan du downloade og lægge det på en anden disk eller vitualisere det.


Selvfølgelig, men min pointe var nu også mere, at NSA må formodes at have enorme mængder data. Det er ikke noget man lige laver et image af, bare sådan.
Gravatar #60 - Nåkja
13. jun. 2013 08:17
XorpiZ (59) skrev:
478907111414718754684 (53) skrev:
Det kommer an på hvilken form for adgang han har. Der er masser af værktøjer til at lave disk images. Og kan du lave et image, kan du downloade og lægge det på en anden disk eller vitualisere det.


Selvfølgelig, men min pointe var nu også mere, at NSA må formodes at have enorme mængder data. Det er ikke noget man lige laver et image af, bare sådan.

Det er rigtigt. Jeg er også mere bekymret for hvor mange, der har adgang til at søge i det.
Gravatar #61 - ko
13. jun. 2013 09:17
#51

Hvis admin har den adgang, så behøver han vel blot køre et program i "kernel mode"...
Gravatar #62 - arne_v
13. jun. 2013 16:58
#51-60

Idag bør selv ret trivielle data (som personers navn, adresse, telefonnummer og CPR nummer) gemmes med applikations kryptering, således at selv om en sysadm får en kopi af diskene kan de kritiske data ikke læses.

Det kræver naturligvis også at sysadm kun kan resette OS og DB passwords ikke app passwords. Men det er også en ret gængs arbejdsdeling. Der er nogen folk som administrarer platformen og andre som administrerer applikationen.

Og NSA har nok et noget højere sikkerhedsniveau end det gennemsnitlige administrative IT system.
Gravatar #63 - arne_v
13. jun. 2013 17:01
#61

Og her er vi inde på det kritiske punkt.

En sysadm har adgang til systemerne, men kan ikke rigtigt gøre noget med apps.

En udvikler kan lave sjove ting med apps. Derfor er det helt kritisk at en udvikler ikke har adgang til (produktions) systemerne.

Separation of duties.

Hvis man sammenblander rollerne eller man har en sammensværgelse mellem flere personer, så er det svært at sikre sig godt.
Gravatar #64 - arne_v
13. jun. 2013 17:53
Og dagens historie fra V2:

http://www.version2.dk/artikel/nsa-whistleblower-u...

Det lyder meget sandsynligt at USA har hacket sig ind i kinesiske computere.

Det ville være helt usandsynligt hvis det ikke var tilfældet.

Og de 61000 angreb og hundredetusinder af computere lyder meget realistisk.

Men det eneste med virkeligt detaljer i er vel:


»Vi har hacket store internet-routere, som er netværkenes rygrad, og dermed fået adgang til kommunikationen mellem flere hundredetusinde computere, uden at vi skulle hacke hver computer enkeltvis,« siger Edward Snowden.


Javel. Det er jo rigtigt nok.

Men det giver altså kun adgang til ukrypteret traffik.

Trafik fra Kina til vesten kan de snuppe i en router i vesten uden at skulle hacke, så det nye de får er intern trafik i Kina.

Ikke krypteret intern trafik i Kina.

Umiddelbart lyder det ikke vildt revolutionerende.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login