Video: Black Hat 2013 - Exploiting Network Surveillance Cameras Like a Hollywood Hacker (Settembre 2024)
Nel 2009, la National Security Agency ha intercettato un'e-mail inviata da qualcuno in Pakistan a un individuo a Denver, in Colorado, che parlava di una ricetta per esplosivi. Gli analisti della NSA hanno identificato il numero di telefono di Denver e hanno rintracciato altri numeri di telefono che la persona aveva chiamato. L'NSA ha consegnato le informazioni al Federal Bureau of Investigation, che ha arrestato i cospiratori e contrastato un attentato pianificato contro il sistema della metropolitana di New York City.
Questa è stata solo una delle numerose attività legate al terrorismo che l'NSA ha aiutato a individuare e interrompere nell'ambito del programma PRISM, ha detto ai partecipanti al suo discorso di apertura della conferenza Black Hat mercoledì il generale Keith Alexander, capo dell'NSA e leader del Cyber Command statunitense. Il successivo arresto di Najibullah Zazi e Adis Medunjanin da parte dell'FBI sulla base dell'intelligence raccolta dalla NSA ha contribuito a fermare l'attacco della metropolitana, ha detto.
Se i cospiratori avessero avuto successo, "sarebbe stato il più grande attacco negli Stati Uniti dall'11 settembre", ha detto Alexander.
"Ti prometto la verità."
Il generale era a Black Hat per fornire alcuni dettagli dietro i programmi di raccolta dei dati e rispondere alle domande "nella massima misura possibile", ha detto. "Ti prometto la verità", disse.
Le recenti divulgazioni dei media avevano offuscato la reputazione della NSA, quando "gli strumenti e le cose che usiamo sono praticamente gli stessi strumenti che usi per proteggere le reti", ha detto. "La differenza è la supervisione e la conformità che abbiamo in questi programmi. Quella parte manca in gran parte della discussione", ha detto Alexander.
Alexander non ha mai fatto riferimento all'ex appaltatore di Booz Hamilton Edward Snowden per nome, ma tutti nella stanza sapevano di chi stesse parlando.
"Credo che sia importante che tu lo sappia, per capire cosa devono fare queste persone per fare il loro lavoro per difendere la nazione e il regime di supervisione che abbiamo con i tribunali, il Congresso e l'amministrazione. Devi capire che ottenere una piena comprensione di ciò che facciamo e non facciamo ", ha detto.
Per la maggior parte, il pubblico è stato abbastanza rispettoso durante i quasi un'ora di conversazione del generale, anche se una persona ha gridato alla fine, "Hai mentito al Congresso. Come facciamo a sapere che non ci stai mentendo in questo momento?"
Il generale rispose con calma: "Non ho mai mentito al Congresso".
"Quello che sto dicendo è che non ci fidiamo di te", ha gridato qualcuno durante il discorso.
Spiegare cosa raccoglie la NSA
Alexander si è appoggiato pesantemente alla spiegazione antiterrorismo per giustificare i programmi, affermando che il livello di raccolta dei dati era necessario per fermare il terrorismo. Ha insistito, tuttavia, che esistevano misure di sicurezza per proteggere le libertà civili e che era in atto un controllo da parte dei tribunali, del Congresso e della Casa Bianca per prevenire qualsiasi comportamento offensivo da parte degli analisti della NSA.
L'Autorità Sezione 215, il programma di documentazione aziendale, raccoglie solo metadati telefonici e viene utilizzata solo a fini di antiterrorismo, ha detto Alexander. L'NSA raccoglie i dati e l'ora della chiamata, il numero di telefono che avvia la chiamata e il numero del destinatario, la durata della chiamata e l'origine e il sito della chiamata, ad esempio il nome del gestore telefonico. L'NSA "non raccoglie il contenuto delle comunicazioni", come la registrazione delle chiamate o l'intercettazione dei messaggi SMS. Le informazioni identificative come nomi, indirizzi o informazioni sulla carta di credito non vengono raccolte. Anche i dati sulla posizione non vengono utilizzati.
Se l'NSA ottiene la segnalazione che un certo numero di telefono può essere utilizzato in relazione all'attività terroristica, i registri di affari relativi a quel numero vengono trasmessi all'FBI, che ha l'autorità legale per indagare e agire, ha detto Alexander.
Nel 2012, solo 300 numeri di telefono sono stati approvati per essere interrogati sul database, il che ha portato a 12 rapporti all'FBI, ha detto. I rapporti hanno prodotto meno di 500 numeri. "Non migliaia, non centinaia di migliaia", ha detto.
La sezione 702 della legge di modifica FISA, è utilizzata a fini di intelligence stranieri e si applica solo alle comunicazioni di "persone straniere all'estero" e non si rivolge a cittadini statunitensi in qualsiasi parte del mondo. Intercettare le comunicazioni e-mail e le telefonate, "richiede un valido scopo intelligene straniero documentato come l'antiterrorismo", ha detto Alexander.
I programmi sono stati lanciati nel 2007 in gran parte perché le agenzie di intelligence non erano riuscite a collegare i punti sulle informazioni relative alle varie attività legate al terrorismo prima degli attacchi dell'11 settembre. Con questi programmi, gli Stati Uniti hanno identificato o interrotto 54 attacchi, di cui 25 in Europa, 13 negli Stati Uniti, 11 in Asia e cinque in Africa, ha affermato Alexander.
Possiamo fidarci della NSA?
Meno di 30 analisti sono autorizzati ad accedere alle informazioni e devono prima sottoporsi a rigorosi processi di esame e formazione. Gli agenti non sono autorizzati ad ascoltare le comunicazioni e che una revisione del Senato Select Committee del programma non ha riscontrato "violazioni intenzionali o consapevoli della legge ai sensi di questo programma", ha detto.
"Ci sono accuse che ascoltano tutte le nostre e-mail; è sbagliato. Non lo facciamo", ha detto Alexander. Anche se qualcuno è diventato un ladro, poiché gli analisti sono tenuti a fornire prove sufficienti e sono controllati regolarmente, esiste una responsabilità al 100%, ha affermato.
Ci sono accuse che l'NSA stia raccogliendo tutto, il che non è vero. Ci sono anche persone che affermano che l'NSA potrebbe raccogliere tutto. "Il fatto è, non farlo", ha detto Alexander.
Le società Internet condividono i dati solo quando sono costretti a farlo tramite un ordine del tribunale, ha detto Alexander.
Era importante capire che "praticamente tutti i paesi hanno programmi di intercettazione legali", ha detto Alexander, ma la differenza fondamentale è stata che gli Stati Uniti hanno una stretta supervisione da parte dei tribunali, del Congresso e della Casa Bianca per assicurarsi che il governo non stia abusando delle informazioni si riunirono.
Domande e risposte limitate
Non è stata aperta una sessione di domande e risposte alla fine del keynote. Invece, Trey Ford, il direttore generale di Black Hat, ha posto alcune domande sollecitate dal suo comitato consultivo e ha selezionato persone nella comunità della sicurezza. Sebbene non fosse una sessione gratuita, c'erano meno softball di quanto ci si aspettasse.
Quando Ford chiese se l'NSA potesse intercettare le telefonate di sua madre, il generale Alexander rispose: "No Trey, non possiamo intercettare le tue chiamate a tua madre". Ha notato che aveva quattro figlie e che non poteva nemmeno intercettare le loro e-mail. "Probabilmente voi ragazzi potete, però", ha scherzato con il pubblico.
"Vuoi aiutare a far funzionare tutto questo, far parte di quella discussione", ha detto Alexander, dicendo che la NSA vuole che la comunità della sicurezza contribuisca a migliorare gli sforzi antiterrorismo. "Se non sei d'accordo con quello che stiamo facendo, allora dovresti aiutarci il doppio", ha detto.
Anche con il clamore e gli applausi sparsi a sostegno dei commenti, il generale Alexander è rimasto calmo, educato e concentrato. In molti modi, la sua mancanza di aggressività ha fatto molto per ottenere molto supporto da parte del pubblico, o almeno, cooperazione, durante il suo discorso.
Alcune persone si sono rivolte a Twitter per criticare i malviventi, invocando discorsi civili e conversazioni rispettose. Altri hanno difeso i malviventi, osservando che è difficile avere una conversazione onesta con un partito che si è dimostrato ingannevole.
Alla fine qualcuno ha gridato: "Dovresti leggere la Costituzione!" Il generale, senza perdere un colpo, disse: "Sì. Anche tu dovresti".
Segui tutta la copertura SecurityWatch di Black Hat 2013.
