Monde sous
surveillance

Skhaen / libwalk.so
skhaen@cyphercat.eu
GPG : C99CCF64

nsa-observer.laquadrature.net (Alban & LQDN & Vinci <3)

nsa-observer.net

nsa.imirhil.fr (Aeris <3)

<3 Prunus, OpenPony, Bobynou, Laura, dat_taz, MrTino <3

Five Eyes (FVEY)

PaysAgences
États-unisNSAREL TO USA
Royaume-uniGCHQREL TO GBR
Nouvelle-ZélandeGCSBREL TO NZL
CanadaCSECREL TO CAN
AustralieASDREL TO AUS

Nine Eyes

Five Eyes + le Danemark + la France + les Pays-bas + la Norvège

Fourteen Eyes

(SSEUR - SIGINT Seniors Europe)

Nine Eyes + l'Allemagne + la Belgique + l'Italie + l'Espagne + la Suède (FRA).

Et dans les ténèbres les lier

bien serré, et avec plein de petits noeuds partout.

UPSTREAM

"Collection of communications on fiber cables and infrastructure as data flows past."

internet content, telephony content, metadata, voice, fax, ...

PRISM

Collection directly from the servers of these U.S. Service Providers: Microsoft (+Skype), Yahoo, Google (+YouTube), Facebook, PalTalk, AOL, Apple.

emails, chat/video voice, videos, photos, stored data, VoIP, file transfers, video conferencing, notifications of target activity (logins...), online social networking details + special requests

XKEYSCORE (NSA)

TEMPORA (GCHQ)
DNI exploitation system/analytic framework -- perform strong (e.g. email) and soft (content) selection -- provides real-time target activity

email addresses, extracted files, full log, HTTP parser, phone number, user activity, using encryption, ...

MUSCULAR

"Fuck these guys"
Brandon Downey (Network Security Engineer - Google)

OPTIC NERVE

Sur une période 6 mois en 2008, OPTIC NERVE a collecté une image toutes les 5 secondes en provenance de plus de 1,8 millions d'utilisateurs des webcams des tchats Yahoo

Avec des tests pour de la reconnaissance faciale automatique.

une présentation du GCHQ parlait avec intérêt de la capacité à "collecter" le trafic provenant de la kinect (Xbox 360).

et la X Box One ?

  • caméra allumée 24/7
    • reconnaissance faciale jusqu'à 6 personnes en même temps (assez précise pour voir les expressions faciales)
  • micro allumée 24/7
    • reconnaissance vocale

  • mise à jour automatique
  • Skype

But... Microsoft will protect us, no?

Suprise! Skype, SSL, and the FBI

BULLRUN : break everything !

In 2000, the N.S.A. [...] deployed the world’s fastest computers to break codes and began collaborating with technology companies in the United States and abroad to build access points into their products.
The agency has circumvented or cracked much of the encryption that guards global commerce and banking systems, protects sensitive data like trade secrets and medical records, and automatically secures basic Internet communications, including the e-mails, Web searches, Internet chats and phone calls of millions of Americans and others around the world.
The various types of security covered by BULLRUN include, but are not limited to, TLS/SSL, https (e.g. webmail), SSH, encrypted chat, VPNs and encrypted VOIP.

INTERNET IS FOR PORN

La NSA espionne aussi certaines navigations sur les sites pornos dans le cadre de sa lutte contre le terrorisme (--> si vous êtes djihadistes).

QUANTUM

Q-BISCUITredirection based on keyword + HTML cookies values,
Q-BOTIRC botnet hijacking
Q-BOT2Q-BOT + Q-BISCUIT,
Q-COPPERfile download disruption,
Q-COOKIE
Q-DNSDNS hijacking, caching nameservers
Q-MUSHvirtual HUFFMUSH - targeted spam exploitation
Q-INSERTHTML redirection,
Q-NATION
Q-SKYHTML/TCP reset
Q-SPIMinstant messaging (msn, XMPP...)
Q-SQUEELinjection into MySQL persistent DB connections
Q-SQUIRRELtruly covert infrastructure, be any IP in the world.
Q-THEORY

MYSTIC

  • ACIDWASH : collects 30-40 million telephony metadata records per day from Afghanistan.
  • DUSKPALLET : Kenyan GSM
  • EVENINGEASEL : Mexican wireless
  • SOMALGET
  • BASECOAT
  • Carribean et Philippines

AFGHANISTAN

I HUNT SYSADMIN

Pourquoi ?

  • obtenir la topologie du réseau visé
  • obtenir les droits pour accéder aux infras
  • connaître l'environnement (qui peut accéder à quoi)
  • connaître la configuration globale

  • carte du ou des réseaux
  • crédentiaux provenant de fichiers ou de keyloggers
  • emails (login, password, ...) via UPSTREAM/XKEYSCORE

DISCOROUTE (telnet)

  • captation du flux telnet en passif (partout, tout le temps)
  • « analyse » de la configuration
  • une access list ? regardons si elles se connectent sur facebook (hotmail, yahoo...)
  • Oh ! une liste de « noms » de sysadmins...
  • -> QUANTUM /o/

SSH

on peut estimer si la connexion est valide ou non à la « taille » des octets qui passent (>1500 octets ?) et à la durée de la connexion.

  • faire la liste des utilisateurs qui y arrivent
  • analyser si on peut voir une connexion vers un réseau social ou un webmail dans les minutes suivantes.
    • QUANTUM

ROUTEUR

même méthode (cisco, juniper, huawei) :

  • ajouter des accès (pour s'y connecter quand on veut)
  • ajouter/modifier des règles de routage
  • mettre un place un sniffeur de paquets
  • affaiblir le chiffrement des VPNs
  • ...

faire un checksum régulier sur son installation.

IT'S PASSIVE SIGINT!

TOR

"still the King of high secure, low latency Internet Anonymity. There are no contenders for the throne in waiting"

MJOLNIR : custom Tor client library (2006)

MJOLNIR is a modification of Tor, and it is ideally indistinguishable from an original Tor client. As such, it should appear identical to Tor in traffic. To ease this process, we used original Tor functions whenever possible. However, its main purpose is to provide the programmer with greater control over all aspects of Tor. In the normal Tor client, almost all servers in all circuits chosen randomly. Using MJOLNIR, the programmer can build circuits one server at a time, with no limit to the number of servers in the circuit.

  • DoS, Coil attack, Flower attack
  • circuit tracing
  • Black-box the Tor cloud
  • ...

tor stinks ? (2012)

we will never be able to de-anonymize all Tor users all the time. with manual analysis we can de-anonymize a very small fraction of Tor users [...]

  • GCHQ runs Tor nodes under NEWTONSCRADLE
  • EPIC FAIL : GCHQ looks for Tor users when they are not using Tor.
  • timing pattern (same as MJOLNIR?)
  • use cookies to identify Tor users when they are not using Tor.
  • DoubleClickID seen on Tor and non-Tor IPs

FOXACID : identifies TOR users on the Internet and then executes an attack against their Firefox web browser.

EGOTISTISCALGIRAFFE: Fingerprinting Tor (hello TorButton!), Exploiting Tor : ERRONEOUSINGENUITY (ERIN) + EGOSTICALGOAT = firefox exploit

And many others...

INTERDICTION

TAO

Jacob "I will blow you fuckin' mind" Appelbaum (ioerror) : "To protect and infect - part 2 -- @30C3"

[...]

Que peut-on faire ?

« Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. »

  • Logiciels libre (mais faut il encore le dire ?)
  • chiffrement point-à-point (et PFS pour TLS)
  • logiciels décentralisés

Faire des tests et améliorer

et puis un peu de « name & shame » aussi...

Faites quelque chose !

Il existe beaucoup de projets comme LibreSSL, OpenSSH, ou encore Caliopen qui ont besoin d'aide, que ce soit pour du dév ou du financement.

Il existe des associations, comme La Quadrature du Net ou l'EFF qui ne peuvent pas tout faire toute seule.

Questions?