GCHQ: Κίνδυνοι Υποκλοπών (2010)

Πριν από λίγες εβδομάδες βγήκε στη δημοσιότητα μέσω του κυρίου Έντουαρντ Σνόουντεν ακόμα ένα απόρρητο έγγραφο της Βρετανικής υπηρεσίας GCHQ (Government Communications Headquarters, Κεντρικά Κυβερνητικών Επικοινωνιών). Το έγγραφο είναι ένα τρισέλιδο κείμενο από το Μάρτιο του 2010 και απευθύνεται στους αναλυτές της υπηρεσίας. Συγκεκριμένα, είναι μία σειρά από πράγματα που οι αναλυτές πρέπει να μελετήσουν προτού προχωρήσουν στην υποκλοπή πληροφοριών.

Πηγή: Telegraph.co.uk
Πηγή: Telegraph.co.uk

Είναι ένα πολύ ενδιαφέρον κείμενο το οποίο παραθέτουμε μεταφρασμένο στα Ελληνικά στη συνέχεια. Ίσως το πιο αξιοσημείωτο πράγμα είναι ότι αφήνει υπόνοιες ότι στις Αμερικανικές υπηρεσίες πληροφοριών να κάνουν υποκλοπές που δε θεωρούνται νόμιμες. Αλλά καλύτερα να βγάλει ο καθένας τα δικά του συμπεράσματα. Παρακάτω είναι ολόκληρο το τρισέλιδο κείμενο μεταφρασμένο στα Ελληνικά.

Πηγή: EdwardSnowden.com
Πηγή: EdwardSnowden.com


ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ – ΣΤΡΑΤΗΓΙΚΟ ΣΧΕΔΙΟ ΔΡΑΣΗΣ 1

Τι είναι το χειρότερο που μπορεί να συμβεί;

Αυτό το έγγραφο περιέχει παραδείγματα από συγκεκριμένους κινδύνους που ίσως να επηρεάσουν τις επιχειρήσεις και τους οποίους πρέπει να σκέφτεστε όταν κάνετε αιτήσεις υποκλοπών. Αυτό δεν είναι ένας εξαντλητικός κατάλογος, κάθε επιχείρηση μπορεί να περιλαμβάνει νέους κινδύνους. Δεν είναι επίσης κατάλογος επιλογής και μείξης των παραδειγμάτων. Υπάρχει για να σας βοηθήσει να σκεφτείτε τα είδη κινδύνου που ίσως πρέπει να συμπεριληφθούν στη σύνταξη της αίτησης για να εξασφαλίσουν ότι ο Υπουργός Εξωτερικών έχει όλες τις σχετικές πληροφορίες διαθέσιμες όταν θα αποφασίζει αν θα εγκρίνει ή όχι την αίτηση.

Είσαι το πιο κατάλληλο άτομο για να εκτιμήσεις το κίνδυνο της επιχείρησης σου; Είσαι ο πιο ικανός στη μελέτη όλων των περιοχών κινδύνου (π.χ. φήμη, τεχνικά, νομικά); Αν όχι, ρώτησε κάποιον που είναι (π.χ. έναν ειδικό Δικαστικό Εξουσιοδότησης Ερευνών, έναν ειδικό του τμήματος Παραβίασης Άμυνας Στόχων, και κάποιον από το Νομικό τμήμα Επιχειρησιακού Σχεδιασμού αντίστοιχα).
 
Κίνδυνοι Προσωπικού

  • Ανακάλυψη/έκθεση προσωπικού εμπλεκόμενο με την εγκατάσταση
  • Κίνδυνος σε προσωπικό σχετικό με τη στέγαση της επιχείρησης αν η επιχείρηση αποκαλυφθεί
  • Κίνδυνος σε συνεργάτες / άτομα κλειδιά
  • Επάρκεια ή δυνατότητα κάλυψης που ίσως οδηγεί στην έκθεση ατόμων
  • Ρίσκο λανθασμένης απόδοσης και ολέθριων συνεπειών (αν υπήρχε κίνδυνος αντίποινων ενάντια σε πράκτορες της SIS ή προσωπικού της Πρεσβείας, τότε εκτίμηση από αντίστοιχο Ελεγκτή του SIS ή Πρέσβη ίσως να είναι κατάλληλη)

 
Τεχνικοί Κίνδυνοι
Κατάλληλοι συνάδελφοι με τεχνικές γνώσεις είναι η καλύτερη πηγή πληροφοριών, π.χ. Τμήμα Παραβίασης Άμυνας Στόχων (PTD), Ομάδα Ασφαλείας και Άμυνας Δικτύων Πληροφοριών (NDIST), Τμήμα Εκμετάλλευσης Παγκόσμιων Τηλεπικοινωνιών (GTE), Όμιλος Οργανισμών Πληροφοριών Έρευνας Απειλών (JTRIG)

  • Διαρροή της τεχνικής εκμετάλλευσης με αποτέλεσμα την απώλεια της ικανότητας χρήσης της
  • Οριστική τεχνική αποκάλυψη με κατάληξη την απώλεια της ικανότητας χρήσης της τεχνικής
  • Έκθεση της υπηρεσίας με κατάληξη την απώλεια της ικανότητας χρήσης της τεχνικής και ανακάλυψη και άλλων επιχειρήσεων (π.χ. από Ξένες Υπηρεσίες Πληροφοριών)
  • Οι νέες τεχνικές έχουν άγνωστα αποτελέσματα έξω από το ελεγχόμενο περιβάλλον των εργαστηρίων

 
Κίνδυνος Φήμης και Πολιτικοί Κίνδυνοι
Αν νομίζεις ότι οποιοδήποτε από τα παρακάτω είναι σημαντικά στην επιχείρηση σου, πρέπει να αναλογιστείς αν έχεις ή όχι επαρκή επιχειρησιακό σχεδιασμό και σχεδιασμό αποτροπής.

  • Απόδοση στην Αυτού Μεγαλειότης
  • Απόδοση στο Ηνωμένο Βασίλειο
  • Απόδοση στο GCHQ
  • Υποθετική απόδοση στο Ηνωμένο Βασίλειο (δηλαδή ο στόχος γνωρίζει ότι είναι αντικείμενο επίθεσης και υποθέτει ότι γίνεται για συμφέρον της Μεγάλης Βρετανίας)
  • Λανθασμένη υποθετική απόδοση (δηλαδή ο στόχος λανθασμένα κατηγορεί συμμάχους του Ηνωμένου Βασιλείου, οι οποίοι με τη σειρά τους το αποδίδουν στο Ηνωμένο Βασίλειο)
  • Πολιτική κατάρρευση με ξένες κυβερνήσεις ή συνεργαζόμενες υπηρεσίες πληροφοριών
  • Έκθεση στα μέσα μαζικής ενημέρωσης
  • Έκθεση των εμπορικών συνεργατών

 
Παρακολουθήσεις Φυσικής Παρουσίας (HUMINT)

  • Συζητήστε με τους συνεργάστες του HUMINT αν νομίζετε ότι υπάρχει σοβαρός κίνδυνος HUMINT
  • Ρίσκο λανθασμένης απόδοσης και ολέθριων συνεπειών (αν υπήρχε κίνδυνος αντίποινων ενάντια σε πράκτορες της SIS ή προσωπικού της Πρεσβείας, τότε εκτίμηση από αντίστοιχο Ελεγκτή του SIS ή Πρέσβη ίσως να είναι κατάλληλη)
  • Τρωτά σημεία συνεργατών και ατόμων κλειδιών

 
Κίνδυνοι Σχέσεων

  • Ανακάλυψη ή απόδοση που μπορεί ανεπανόρθωτα να έχει αντίκτυπο σε σχέσεις και/ή διαμοιρασμό συμφωνιών με αδελφές υπηρεσίες και/ή εξωτερικούς συνεργάτες
  • Ανακάλυψη ή απόδοση που μπορεί ανεπανόρθωτα να έχει αντίκτυπο σε σχέσεις με εμπορικούς συνεργάτες και εν τέλει, να απαγορεύσει την ικανότητα υποκλοπής στο GCHQ
  • Πιθανή έκθεση επιχείρησης συνεργάτη
  • Δείτε επίσης τη παράγραφο Κίνδυνος Φήμης και Πολιτικοί Κίνδυνοι

 
Επιχειρησιακό Στάδιο

  • Δείτε επίσης τη παράγραφο Ανακάλυψη
  • Έκθεση της επιχείρησης κατά την εγκατάσταση, η πορεία της επιχείρησης καθαυτής ή η εξαγωγή δεδομένων
  • Ανεπαρκή μέτρα ασφαλείας προσωπικού
  • Αποτυχία της επιχείρησης γιατί το εγκατεστημένο υλικό/λογισμικό δε λειτουργεί όπως έχει σχεδιαστεί
  • Αποτυχία της επιχείρησης γιατί το εγκατεστημένο υλικό/λογισμικό λειτουργεί, αλλά έχει εξουδετερωθεί (πχ. γιατί το δίκτυο/σύστημα στόχος έκανε αναβάθμιση λογισμικού ή αντικατάσταση υλικού)
  • Αποτυχία της επιχείρησης γιατί το σύστημα στόχος δε χρησιμοποιείται όπως ήταν αναμενόμενο (πχ. η αναμενόμενη εμπορική χρήση του δε συμβαίνει)
  • Αποτυχία της επιχείρησης λόγο εξάρτησης από κάποια αβέβαιη σειρά παροχής ή άλλη επικίνδυνη εξάρτηση
  • Αναλογικότητα – η επιχείρηση δεν είναι αρκετά στοχευμένη
  • Ποιος θα έχει άμεση πρόσβαση στα δεδομένα που υποκλέπτονται και έχουμε αρκετό έλεγχο σε αυτό; Μπορεί οποιοσδήποτε να εκτελέσει ενέργεια με αυτά χωρίς τη επιβεβαίωση μας, πχ. μπορούμε να επιτρέψουμε στις ΗΠΑ να διεξάγουν μία επιχείρηση σύλληψης-κράτησης που εμείς δε τη θεωρούμε νόμιμη;

 
Ανακάλυψη
Η ανακάλυψη είναι ένας κίνδυνος από μόνη της, και μπορεί να οδηγήσει σχεδόν σε όλους τους άλλους κινδύνους που αναφέρουμε εδώ. Αυτό που ακολουθεί είναι μία λίστα καταστάσεων που μπορούν να οδηγήσουν σε ανακάλυψη.

  • Έκθεση της επιχείρησης κατά την εγκατάσταση
  • Ανεπαρκής έλεγχος ασφάλειας προσωπικού και εν συνεχεία διαρροή πληροφοριών
  • Ανακάλυψη εγκατεστημένου υλικού (ακόμα και μετά την επιχείρηση)
  • Ανακάλυψη ύποπτων καταγραφών συστήματος/εγγραφών Registry/καταγραφών ανάλυσης
  • Ανακάλυψη ύποπτων εκπομπών ραδιοσυχνοτήτων
  • Ανακάλυψη ύποπτων λογαριασμών πρόσβασης από βλάβες σε υλικό/λογισμικό
  • Ανακάλυψη της εξαγωγής δεδομένων
  • Ανακάλυψη μέσω άλλης διαρροής πληροφοριών
  • Ευπάθεια σε συστήματα εντοπισμού ή άλλα συστήματα παρακολούθησης συστημάτων
  • Ανεπαρκή παρακολούθηση κρυφών λογαριασμών που δημιουργήθηκαν για την επιχείρηση
  • Ανεπαρκής ανάλυση των κινδύνων για το χρόνο ζωής της επιχείρησης
  • Εξάρτηση από κάποια αβέβαιη σειρά παροχής ή άλλη επικίνδυνη εξάρτηση
  • Αποτυχία των χειριστών να καλύψουν τα ίχνη τους, συμπεριλαμβανομένης της εκκαθάρισσης αρχείων καταγραφών/αλλαγής κατάστασης email που έχουν διαβαστεί
  • Οι νέες τεχνικές έχουν άγνωστα αποτελέσματα έξω από το ελεγχόμενο περιβάλλον των εργαστηρίων
  • Απρόοπτες αλλαγές σε υλικό ή λογισμικό που οδηγούν στην αποκάλυψη των τεχνική εκμετάλλευσης ή της εγκατάστασης
  • Βλάβες υλικού/λογισμικού που οδηγούν σε αλλαγή συμπεριφοράς του στόχου, πιθανότατα συμπεριλαμβανομένης εγκληματολογικής έρευνας (και πιθανής αποκάλυψης) και/ή απώλεια πρόσβασης στο στόχο

 
Νομιμότητα
Οποιοσδήποτε κίνδυνος σχετικός με το νομικό μέρος της επιχείρησης ή μεταγενέστερες ενέργειες της επιχείρησης πρέπει συνήθως να αναλαμβάνεται από νομικούς στο νομικό τμήμα της αίτησης, αλλά ίσως να περιλαμβάνει τα παρακάτω ζητήματα:

  • Ευθύνες ενεργοποίησης σε εμπορικούς συνεργάτες
  • Αρχή μη-επέμβασης στα εσωτερικά θέματα μίας χώρας εκτός της εθνικής κυριαρχίας
  • Μπορεί να εφαρμοστεί στο Δίκαιο των Ενόπλων Συγκρούσεων;
  • Ποιος θα έχει άμεση πρόσβαση στα δεδομένα που υποκλέπτονται και έχουμε αρκετό έλεγχο σε αυτό; Μπορεί οποιοσδήποτε να εκτελέσει ενέργεια με αυτά χωρίς τη επιβεβαίωση μας, πχ. μπορούμε να επιτρέψουμε στις ΗΠΑ να διεξάγουν μία επιχείρηση σύλληψης-κράτησης που εμείς δε τη θεωρούμε νόμιμη;


Πηγή: TheGuardian.com
Πηγή: TheGuardian.com

Εάν θέλετε να μάθετε περισσότερα από παρόμοιες διαρροές του GCHQ του Ηνωμένου Βασιλείου, δείτε τα άρθρα μας στη κατηγορία «GCHQ».

Γράψτε τα σχόλια σας εδώ...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s