Ki lehet játszani a telefonos lehallgatást

A Micah Sherr és Matt Blaze nevével fémjelzett, a Pennsylvania Egyetemen működő kutatócsoport arra jött rá, hogy a lehallgatásokat vezérlő vonalak érzékenyek a túlterhelésre. A csoportnak nem ez volt az első rendőrségi eszközökkel kapcsolatos tanulmánya, 2005-ben az analóg készülékek ellen használt módszer hibáit tárták fel. A felfedezésüknek nem volt komoly következménye, mert az FBI szerint csupán a titkos adatgyűjtések 10 százalékában használták a régi módszert. A csapat újból nekirugaszkodott, legújabb tanulmányuk szerint a rendőrök által használt, újabb keletű berendezéseket is könnyen meg tudja téveszteni egy felkészült gengszter.

Az adatgyűjtések során használt lehallgatóvonalat ugyanúgy lehet megzavarni, ahogy a weblapokat kiszolgáló szervereket bénítják meg millió lekérést indítva feléjük. És ehhez csak annyit kell tennie a modern idők Al Caponéinek, hogy számítógépükkel számolatlan indítják a kimenő hívásokat. Nem is kell sok, másodpercenként huszonkettő megteszi.

Mivel figyelnek a figyelők?

Az Egyesült Államok Kongresszusa 1994-ben fogadta el röviden csak CALEA-nak hívott, a telekommunikációs eszközök megfigyeléséről szóló törvényt, ami a hatóságok által indított lehallgatásokról és az ehhez szükséges eljárásokról szól. Az FBI által erősen támogatott törvény az igazságügyi minisztériumot, illetve azon belül a főügyészt bízta meg a telekommunikációs szolgáltatók berendezései és a lehallgatáshoz használt eszközök összekapcsolásához szükséges technológiai normák kidolgozásával. Az így elkészült specifikációt J-szabványnak (J-STD-025A és B) hívják.

A lehallgatást végző hardvereket még akkor is nagyon őrzik, ha kereskedelmi forgalomban beszerezhető célrendszerekről van szó, nem pedig valamelyik hárombetűs ügynökség titkos laboratóriumában megépített számítógépről. A szabvány alapján készült berendezéseket a fentiek miatt nem volt lehetősége megvizsgálni a Pennsylvania Egyetem csapatának. Kísérleteiket ezért saját maguk által épített, a J-STD-025-nek megfelelő berendezéseken végezték. A kutatók által fellelt hibák azonban nem az egyes berendezésekben, hanem magában a J-szabványban rejlenek, így várhatóan az amerikai rendőrség által használt összes készüléket érintik.

Minden lehallgatást érint a hiba

Az amerikai rendőrség kétfajta lehallgatást végezhet. Az első, pen-registernek nevezett módszerrel csak a két hívó fél számát és a beszélgetés időpontját kapják meg. A másik módszerrel - melyre jóval nehezebben szerezhetnek engedélyt - a beszélgetések tartalmába is belehallgathatnak. Ezt a tartalmi vizsgálatot lehet látni a gengszteres filmekben, krimisorozatokban, a köznyelv ezt nevezi lehallgatásnak.

Már nem poloskákkal folyik a lehallgatás

Mindkét eljárást érinti, hogy a J-szabványú eszközöket félre lehet vezetni. Márpedig, ha a hívásnaplóból fontos részek hiányoznak, sőt a bűnözők akkor hívják fel egymást titokban, amikor úgy tartja kedvük, lenne miért aggódnia a törvény őreinek.

Hogy lehet túlterhelni egy rendőrt?

A pennsylvaniai csapat egy bámulatosan egyszerű, mégis nagy hatású problémára talált rá a szabvány vizsgálata közben: a megfigyelést végző berendezéseknek lényegesen több adatot kell tárolniuk a vonalon zajló forgalomnál. Az egyes ügyek azonosítószámai, időbélyegek és egyéb adatai mind az akciót vezérlő vonalat (CDC, Call Data Channel) terhelik.

Minden komolyságot mellőzve képzeljük el, hogy Al Capone titokban akar beszélni, ezért gengszterei másodpercenként százszor teszik le és emelik fel a telefonkagylót. Lehetetlen, ugye? Egy számítógépes központtal azonban már nem tűnik mágiának egy ilyen támadás kivitelezése. Csak arra kell figyelnie a képzeletbeli Caponénknak, hogy a százegyedik, már sehol sem rögzített alkalommal el is kezdjen tárcsázni.

Hasonló hatást lehet elérni másodpercenként 46 sms-sel vagy 21 netes hívással, ez is elárasztja a megfigyelő csatornát. (Ez a szám hétre is csökkenhet, ha tartalmi lehallgatás zajlik.) Számítógépről legkényelmesebben TCP adatfolyamok indításával lehet megzavarni a rendőrök rendszerét, ebből 40-et kell indítani. Ezt a támadási formát szimulálták is a kutatók a Sprint mobilszolgáltató hálózatán. Az új adatfolyamok megnyitását egy darabig hagyta a hálózat, csak az ötödik másodperc környékén lassította a kívánt mérték alá a szolgáltató a forgalmat. Mivel a hívás kezdetekor és a végén kell csak túlterhelni a csatornát, ez az okostelefonról is végrehajtható módszer önmagában elég lehet az eltűnéshez.

A csattanó az, hogy a túlterhelt megfigyelő vonal nem csak rendetlenkedik, hanem teljesen félre van vezetve. Mivel a szabvány nem tartalmazza az események sorszámozását, ha a DoS-támadás sikerrel jár, a titokban végzett hívásoknak semmilyen nyoma nem marad. Egyedül az tűnhet fel a nyomozóknak, hogy időnként iszonyatosan megnőtt az aktivitás a vonalon, ez viszont bizonyítéknak édeskevés.

Már a kémek sem pedánsak

Ha a rendőrség által igénybe vehető berendezéseket könnyű átverni, még mindig lehet bízni a titkosszolgálatok profizmusában. Azt biztosan tudjuk Steven M. Bellovin és szerzőtársai IEEE Spectrumban megjelent cikkéből, hogy az amerikai ügynökségeknek lényegesen jobb adatforrásai vannak, mint a rendőröknek. A rövid időre megítélt pen-register jellegű híváslisták helyett akár a szolgáltatók teljes hívásnaplójához (CDR) is hozzáférhetnek. Több összetevő mellett ez tette lehetővé a 2001-es terrortámadások utáni korlátlan, engedély nélküli megfigyeléseket, amiből később kerekedett is egy hatalmas adatvédelmi botrány.

Nem szívesen ad ki adatot az FBI (részlet az EFF által megszerzett dokumentumokból)

A hárombetűs ügynökségek nem mindig döntenek jól. Az Electronic Frontier Foundation civil jogvédő szervezet által megszerzett dokumentumok szerint a házi tervezésű - és kiemelkedően baljós nevű - Carnivore (Csúcsragadozó) megfigyelőrendszerüket úgy sikerült kereskedelmi forgalomban is kapható gépekre cserélni, hogy az adatbiztonsági alapelvek egyáltalán nem érvényesültek. A DCS 3000 rendszer biztonsági token helyett jelszavakat használ, nem tartalmaz csökkentett jogú felhasználókat, alig naplózza a benne elvégzett munkát, de legalább távolról is elérhető. A kutatók nem tudják, hogy a DCS 3000 specifikációja volt rossz, vagy az építők követtek el komoly hibákat, de egy nemzetbiztonsági ügynökség esetében ez talán mindegy is.

Nem tudjuk, mivel fülelnek

A CALEA törvényhez hasonlóval az Európai Unió is rendelkezik, 1995 januárjában fogadták el. A lehallgatást végző készülékek és a telekommunikációs infrastruktúra közti kapcsolatot azonban nem szabályozza, ezt meghagyja az egyes országok titkosszolgálatainak. Hazánk esetében a monitoring rendszer kiépítéséről a 75/1998 kormányrendelet rendelkezett. A dokumentum szerint a titkos információgyűjtést végző rendszernek az előfizetők 3-6 ezrelékét, de legalább harminc embert kell tudnia egyszerre megfigyelni. Adatforgalomra való hivatkozás csak egy helyen van a rendeletben, ami szerint az egy előfizetőre számított adatforgalom dupláját kell tudnia a rendszernek.

A megfigyeléseket a Nemzetbiztonsági Szakszolgálat végzi, a telekommunikációs szolgáltatók által teljesítendő műszaki feltételeket is ők szabták meg. Lapunk megkérdezte, hogy az elégtelennek bizonyult J-szabványú eszközöket használják-e az NBSZ zárt ajtók mögött működő géptermeiben. Dr. Lantos István dandártábornok elmondta, hogy egyes - például európai - országok az amerikai J-szabványtól eltérő keretszabályokban határozzák meg a titkos információgyűjtés, illetve titkos adatszerzés során használt eljárásmódok és eszközök műszaki jellemzőit. Mivel a Szakszolgálat által alkalmazott technológiai eljárásra vonatkozó adatok államtitoknak minősülnek, a dandártábornok ennél részletesebb információt nem közölhetett.

Mivel titkos információgyűjtésre használható, nagy teljesítményű rendszereket fejleszteni rendkívül drága, könnyen elképzelhető, hogy mérnöki takarékosságból hazánk is egy már létező - és az amerikai előírásokkal kompatibilis - rendszert vásárolt meg. Bizonyságunk azonban nincsen, ámbár a dandártábornok dodonai válaszát úgy értelmeztük, ez a helyzet.

Bazi nagy görög lehallgatás

A telekommunikációs rendszerek nem csak a programhibák, az elégtelen specifikáció vagy a rossz biztonsági gyakorlat miatt kerülhetnek veszélybe. Erre Görögország a legjobb példa, ahol - valószínűleg belső segítséggel - több mint száz kormánytisztviselő és ellenzéki képviselő telefonforgalmát figyelték meg ismeretlenek tíz hónapig. A Vodafone Greece által használt Ericsson switchek egy szoftverfrissítés során egyenesen a gyártótól kapták meg a lehallgatásokat funkcionálisan lehetővé tevő programcsomagokat. Mivel azonban a Vodafone nem vette meg ezt a funkciót, ezért a lehallgatások kezelésére szolgáló felületet nem tartalmazta a rendszerük.

A dróthoz hozzá se kellett nyúlniuk a görögök támadóinak

Az ismeretlen támadók a fenti két tényezőt használták ki, létrehozva a saját, hosszú megfigyelési listájukat. A célba vett politikusok telefonjára érkezett minden hívást egy saját számon működő, valószínűleg rögzítésre is képes berendezés is megkapott. A program ráadásul el is tüntette a nyomait, igyekezett titokban tartani a jelenlétét. A lebukás is csupán a szerencsén múlt: a kártevő nem tudott továbbítani néhány szöveges üzenetet, és az erről szóló hibaüzenetek felkeltették a Vodafone mérnökeinek figyelmét.

A titkos megfigyelés tényénél - és hosszánál - már csak az volt kínosabb a görögök számára, hogy mire felfedezték a módosított switcheket, minden nyom kihűlt. A gépek otthonául szolgáló épület látogatói naplóit, amikből ki lehetett volna deríteni, ki járt a gépeknél, hat hónap után megsemmisítették. A készülékek módosításáról szóló naplófájlokat pedig ötnaponta törölték helyhiány miatt. A nyomozóknak így esélyük sem volt megszerezni az iratok bármelyikét a betörés után majdnem egy évvel. Arra sem volt mód, hogy az elkövetőket a kártevő szoftvert elemezve kapják el, mert a betörés felfedezése után a kémprogramot törölték a gépekről, jelzendő az elkövetőknek, hogy lebuktak. A nyomozás végül nem volt képes megállapítani, ki állt az akció mögött.

A görög távközlési cég még mindig jobban jött ki az esetből - ha tankönyvi példa is lett -, mint a Telecom Italia egy hasonló fiaskóból. A legnagyobb olasz telekommunikációs cégnél nem betörés történt, hanem belsős alkalmazottak hallgattak bele beszélgetésekbe, hátha meg tudják zsarolni a híres ügyfeleket. Az olaszok egy része megtalálta a megoldást a New York Times szerint. A titkaikat féltő üzletemberek a botrány kirobbanása után beszerezték a két végpont, a két mobil között erős titkosítást használó kriptotelefonokat. Biztos, ami biztos.

Szeressük-e a telefont és a kémeket?

A lehallgatással kapcsolatos botrányok és civil vizsgálódások egyfelé mutatnak: úgy tűnik, nincs elég civil kontroll, nem vizsgálja elég független szakember a hatóságok által használt rendszereket. A titkolózás pedig ez esetben nem erőt szül, hanem olyan hibákat leplez el, amit harmadik felek is felfedezhetnek.

A Pennsylvania Egyetem kutatói a megfigyelések számának csökkentését, a mindenható adatgyűjtő rendszerek butábbá tételét javasolták a titkoszolgálatoknak. Az is szóba került, hogy üdvös volna a civil életben megszokott biztonsági követelmények megléte, a szabványok átgondolása az ügynökségek rendszereiben. Nem kérte viszont senki, hogy teljesen szüntessék meg a lehallgatást. Valószínűleg minden kriptográfus ismeri az első amerikai rejtjelfejtő csoport történetét, amit 1929-ben azért oszlatott fel az akkori külügyminiszter, mert "úriemberek nem olvassák el egymás levelét".