Το COTTONMOUTH-I είναι μία συσκευή που πλέον μπορεί ο καθένας να κατασκευάσει ή και να αγοράσει για πολύ χαμηλό κόστος. Αλλά όταν διέρρευσε από την Αμερικανική υπηρεσία NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας) το 2013 ήταν κάτι που δεν ήταν ευρέως διαδεδομένο. Η διαρροή ήταν από τον κατάλογο διαβαθμισμένου εξοπλισμού υποκλοπών της ομάδας ANT (Advanced Network Technology, Προχωρημένη Τεχνολογία Δικτύων) του τμήματος TAO (Tailored Access Operations, Επιχειρήσεις Βελτιωμένης Πρόσβασης) της NSA. Εδώ μπορείτε να βρείτε μία λίστα με ανάλογα άρθρα μας από αντίστοιχα συστήματα υποκλοπών από αυτό τον κατάλογο.
- NSA: Συσκευή κινητής τηλεφωνίας PICASSO
- NSA: Συσκευή TAWDRYYARD
- NSA: Συσκευή LOUDAUTO
- NSA: Συσκευή CANDYGRAM
- NSA: Συσκευή GENESIS
- NSA: Λογισμικό GOPHERSET
- NSA: Συσκευή Υποκλοπών CYCLONE Hx9
- NSA: Μικροϋπολογιστής TRINITY
- NSA: Συσκευή παρακολουθήσεων EBSR
Η επίσημη περιγραφή της συσκευής σε ελληνική απόδοση είναι η εξής:
Το COTTONMOUTH-I (ή CM-I) είναι μία συσκευή-εμφύτευμα USB που παρέχει ασύρματη γεφύρωση σε ένα δίκτυο στόχο καθώς και τη δυνατότητα φόρτωσης λογισμικού εκμετάλλευσης στους υπολογιστές στόχους.
Το CM-I παρέχει γεφύρωση σε απομονωμένα δίκτυα, ικανότητα διατήρησης πρόσβασης, επαναπρογραμματισμό στο «πεδίο», και κρυφή επικοινωνία με λογισμικό υποκλοπών μέσω του USB. Ο σύνδεσμος ραδιοσυχνοτήτων επιτρέπει διοίκηση και μετάδοση δεδομένων. Το CM-I επίσης επικοινωνεί με το DNT (Τεχνολογίες Δεδομένων Δικτύων) λογισμικό (STRAITBIZARRE) μέσω κρυφού καναλιού που έχει υλοποιηθεί στο USB, χρησιμοποιώντας αυτό το κανάλι επικοινωνίας για μετάδοση εντολών και δεδομένων ανάμεσα στη συσκευή-εμφύτευμα και το λογισμικό υποκλοπών. Το CM-I θα είναι συμβατό με λογισμικά υποκλοπών GENIE βασισμένα στο CHIMNEYPOOL.
Το CM-I έχει κρυμμένα ψηφιακά εξαρτήματα (TRINITY), δίαυλο USB 1.1 FS, διακόπτες, και πομποδέκτη ραδιοσυχνοτήτων HOWLOERMONKEY (HM) μέσα σε ένα βύσμα USB Series-A σε καλώδιο. Το MOCCASIN είναι μία έκδοση που είναι μόνιμα συνδεδεμένη σε κάποιο USB πληκτρολόγιο. Μία άλλη έκδοση μπορεί να κατασκευαστεί χωρίς μετατροπή του βύσματος USB στο στόχο. Το CM-I έχει τη δυνατότητα να επικοινωνεί με άλλες συσκευές CM μέσω ραδιοσυχνοτήτων χρησιμοποιώντας ένα ασύρματο πρωτόκολλο επικοινωνίας που ονομάζεται SPECULATION.
Με απλά λόγια, όταν ένα στέλεχος της NSA τοποθετήσει αυτό το USB καλώδιο σε έναν υπολογιστή, τότε έχει τρεις βασικές δυνατότητες. Πρώτον, να εγκαταστήσει κάποιο λογισμικό υποκλοπών στον υπολογιστή, δεύτερον από κοντινή απόσταση να ελέγχει τον υπολογιστή μέσω ενός ασύρματου πομποδέκτη που έχει το CM-I, ή τέλος, εάν ο υπολογιστής δεν έχει άμεση πρόσβαση στο διαδίκτυο, μία σειρά από CM-I να μεταφέρουν τα δεδομένα ασύρματα από το ένα στο άλλο μέχρι να βρεθεί κάποιος υπολογιστής που μπορεί να μεταδώσει τα δεδομένα μέσω διαδικτύου σε κάποιο σημείο συλλογής υποκλοπών. Βλέπετε το τελευταίο σενάριο παρακάτω. Δεξιά έχουμε το απομονωμένο δίκτυο του στόχου που μέσω μίας αλληλουχίας συσκευών CM-I φτάνει σε ένα σύστημα που έχει πρόσβαση στο διαδίκτυο (μέση). Από εκεί μέσω ενός GCNI (GENIE Control Network Interface, Επαφή Ελέγχου Δικτίου GENIE) της NSA μεταφέρονται τα δεδομένα στα σημεία συλλογής της υπηρεσίας.
Το παραπάνω σενάριο είναι πολύ σημαντικό για υπηρεσίες πληροφοριών καθώς αρκετοί οργανισμοί που διαχειρίζονται ευαίσθητες πληροφορίες και συστήματα έχουν κάποια απομονωμένα δίκτυα, δηλαδή χωρίς καμία πρόσβαση στο διαδίκτυο ή άλλα δίκτυα του οργανισμού. Ωστόσο, με το CM-I εάν δύο συστήματα (ένα σε ένα απομονωμένο δίκτυο και ένα σε ένα λιγότερο απομονωμένο) είναι σχετικά κοντά ώστε να μπορεί να μεταδώσει το ένα CM-I σήμα στο άλλο, τότε δημιουργείται ένα κρυφό ασύρματο δίκτυο που επιτρέπει την εξαγωγή δεδομένων ή και απομακρυσμένο έλεγχο από συστήματα που υπό άλλες συνθήκες θα ήταν αδύνατο να ελέγξει κανείς δίχως φυσική πρόσβαση.
Σύμφωνα με το έγγραφο, το CM-I θα ήταν επιχειρησιακά διαθέσιμο από τον Ιανουάριο του 2009 με κόστος περίπου $1000 ανά 50 συσκευές. Το προκαθορισμένο έτος για αποχαρακτηρισμό του από «Άκρως Απόρρητο» ήταν το 2032. Κλείνοντας, είναι σίγουρα μία έξυπνη ιδέα για ηλεκτρονικές υποκλοπές από τα λεγόμενα «air gapped» (απομονωμένα) δίκτυα υπολογιστών που συναντάμε σε κρατικές υπηρεσίες, κατασκευαστές οπλικών συστημάτων, κρίσιμες υποδομές, και άλλους στόχους υπηρεσιών πληροφοριών.
Αμυντικά και Στρατιωτικά Θέματα 
ποιά άλλα συστήματα υποκλοπής μη συνδεδεμένων σε δίκτυο ηλ. υπολογιστών γνωρίζετε;
Είναι πάρα πολλά αγαπητέ αναγνώστη. Προσωπικά προτιμούμε εκείνα που δεν απαιτούν εγκατάσταση ειδικών συσκευών τεχνικής παρακολούθησης όπως το CM-I. Μερικά τέτοια παραδείγματα είναι τα ακόλουθα:
Και πάρα πολλά ακόμη. Είναι ένας τομέας στον οποίο έχουμε πρακτική εμπειρία και θα λέγαμε ότι είναι ατελείωτος. Σίγουρα υπάρχουν αντίμετρα ανάλογα το σενάριο αλλά είναι ένας κόσμος με πολλές δυνατότητες για τον επιτιθέμενο. Προσοχή, όλα αυτά και δεν αναφέραμε καν εγκατάσταση τεχνικών μέσων παρακολούθησης όπως το CM-I ή άλλα που θα αναλύσουμε σε μελλοντικά άρθρα.
Ως συνέχεια των ανωτέρω σχολίων, θα ήθελα να αναφέρετε κάποιους τρόπους αντιμέτρων κάποιων σημαντικών αλλά όχι ισχυρών πολιτών (πχ επιστημόνων, συμβούλων, επιχειρηματιών,..)
Καταρχάς, είναι ο έλεγχος της πρόσβασης και καταγραφής όσων πλησιάζουν αυτά τα συστήματα. Για όσες συσκευές υποκλοπών χρησιμοποιούν κάποιου είδους ραδιοσυχνότητα μπορούν να αντιμετωπιστούν σε ένα δωμάτιο με ανάλογη μόνωση (λευκός θόρυβος, κλωβός Φάραντεϊ, κτλ.). Υπάρχουν στην αγορά και συσκευές που ανιχνεύουν «κοριούς». Σαφώς και περιορίζονται σε κοριούς «της αγοράς» αλλά είναι ένας ακόμα τρόπος να δούμε εάν υπάρχουν ραδιοσήματα που είναι ύποπτα στο χώρο.
Για τις οθόνες, δε πρέπει να είναι σε χώρους όπου κάποιος έχει πρόσβαση όπως κοντά σε παράθυρα, πίσω από λεπτούς τοίχους από γυψοσανίδες, κτλ. Κάτι ελαφρώς σχετικό, είναι καλό να έχουμε καλύμματα εξωτερικά των παραθύρων καθώς τα μικρόφωνα λέιζερ μπορούν από τις δονήσεις των τζαμιών να καταγράψουν τις συνομιλίες εντός του χώρου αλλά αυτό είναι εκτός θέματος στην ερώτηση σας.
Στο δικτυακό επίπεδο είναι σημαντικό να έχουμε συστήματα που παρακολουθούν τη κίνηση από το δίκτυο μας προς το διαδίκτυο και να ειδοποιούν την ομάδα κυβερνο-ασφαλείας εάν εντοπιστεί κάποια σύνδεση σε ύποπτο ή άγνωστο προορισμό. Επίσης, μπορούμε να απενεργοποιήσουμε πλήρως τις συσκευές USB από το BIOS εάν δε χρειάζονται.
Αυτά είναι μερικά γενικά αντίμετρα, αλλά όπως αντιλαμβάνεστε είναι κάτι που εξαρτάται από πολλούς παράγοντες και διαφέρει από περίπτωση σε περίπτωση. Ελπίζουμε αυτή η γενική εισαγωγή να σας έδωσε κάποιες ιδέες. Ιδανικά θα πρέπει να προσλάβετε κάποιον ειδικό να κάνει μία σχετική εκτίμηση απειλών (με απλά λόγια, από τι ακριβώς πρέπει να προστατευτείτε;), ανάλυση ρίσκων (δηλαδή, ποιες είναι οι πιθανότητες να πραγματοποιηθεί η κάθε απειλή και τι επιπτώσεις θα έχει αυτό), και τέλος προτάσεις για αντίμετρα για τη περίπτωση σας (από τη πιο απλή έως τη πιο πολύπλοκη επιλογή).
Εάν τυλίχθεί το COTTONMOUTH-I με αλουνόχαρτο, εξουδετερώνεται το εκπεμπόμενο σήμα του;
Εξαρτάται από πολλούς παράγοντες όπως συχνότητα λειτουργίας, ισχύς σήματος, τύπος αλουμινόχαρτου, πως θα τυλιχτεί, πόσες φορές, σε τι απόσταση θα είναι ο δέκτης, κτλ. Άρα δε μπορούμε να απαντήσουμε σε αυτή την ερώτηση.