The Great SIM Heist - How Spies Stole the Keys to the Encryption Castle
By Jeremy Scahill and Josh Begley, 02/20/2015
Bài được đưa lên Internet ngày: 20/02/2015
Lời người dịch: Trong vụ NSA và GCHQ trộm cắp các thẻ SIM được mã hóa, khả năng của họ và kinh khủng: “Một tài liệu tuyệt mật của NSA đã khẳng định rằng, tới năm 2009, cơ quan gián điệp Mỹ đã có khả năng xử lý khoảng 12 tới 22 triệu khóa mỗi giây để sử dụng chống lại các mục tiêu giám sát. Trong tương lai, cơ quan này dự đoán, nó có thể có khả năng xử lý hơn 50 triệu mỗi giây. Tài liệu đã không nêu có bao nhiêu khóa thực sự đã được xử lý, chỉ là NSA đã có công nghệ để thực hiện sự mau lẹ như vậy, các hoạt động theo bó. Là không có khả năng để biết có bao nhiêu khóa đã bị NSA và GCHQ ăn cắp cho tới nay, thậm chí bằng việc sử dụng toán học thủ cựu, các con số có khả năng làm choáng người”. Xem các phần [01], [02], [03]. Xem thêm: Chương trình gián điệp của NSA trên không gian mạng.
KHI NHỮNG NGƯỜI TIÊU DÙNG ĐÃ BẮT ĐẦU sử dụng các điện thoại di động một cách đại chúng vào giữa những năm 1990, đã không có sự bảo vệ tính riêng tư có hiệu quả nào hiện diện cả. Bất kỳ ao cũng có thể mua một thiết bị rẻ tiền từ RadioShack có khả năng chặn các cuộc gọi các cuộc gọi đặt trên các điện thoại di động. Sự dịch chuyển từ các mạng tương tự sang số đã giới thiệu công nghệ mã hóa cơ bản, dù nó vẫn còn có khả năng bị bẻ bởi các sinh viên tốt nghiệp đại học môn khoa học máy tính giỏi kỹ thuật, cũng như FBI và các cơ quan ép tuân thủ pháp luật khác, bằng việc sử dụng trang thiết bị có sẵn rồi.
Ngày nay, công nghệ điện thoại thế hệ 2 (2G), dựa vào một hệ thống mã hóa có lỗi sâu sắc, vẫn là nền tảng áp đảo toàn cầu, dù các công ty điện thoại di động Mỹ và châu Âu bây giờ sử dụng công nghệ 3G, 4G và LTE trong các vùng đô thị. Chúng bao gồm các phương pháp mã hóa an toàn hơn, dù không không phải là không thể bị đánh bại, và các nhà truyền tải không dây khắp thế giới đang nâng cấp các mạng của họ để sử dụng các công nghệ mới đó.
Chính trong ngữ cảnh của các thách thức kỹ thuật đang gia tăng như vậy đối với sự thu thập dữ liệu mà các cơ quan tình báo, như NSA, đã trở nên có quan tâm trong việc có được các khóa mã hóa di động. “Với [2G] kiểu cũ, có các cách thức khác để khắc phục xung quanh vấn đề an toàn di động với các khóa đó”, Green, nhà mật mã học của Johns Hopkins nói. “Tuy nhiên, với các giao thức mới hơn như 3G, 4G và LTE, thì các thuật toán còn chưa bị tổn thương, nên việc có được các khóa đó có thể là cơ bản”.
Tính riêng tư của tất cả các giao tiếp truyền thông di động - các cuộc gọi bằng tiếng nói, các thông điệp văn bản và truy cập Internet - phụ thuộc vào kết nối có mã óa giữa các mạng truyền tải không dây, sử dụng các khóa được lưu trữ trong SIM, một con chip bé xíu, nhỏ hơn cả một con tem bưu điện, được chèn vào điện thoại. Tất cả các giao tiếp truyền thông di động trên điện thoại phụ thuộc vào SIM, nó lưu trữ và canh phòng cho các khóa mã hóa được các công ty tạo ra như Gemalto. Các thẻ SIM có thể được sử dụng để lưu trữ các mối liên hệ, các thông điệp văn bản, và các dữ liệu quan trọng khác, giống như số điện thoại của một người. Tại một vài quốc gia, các thẻ SIM được sử dụng để chuyển tiền. Như tờ
Intercept đã nêu năm ngoái, việc có một thẻ SIM sai có thể làm cho bạn trở thành mục tieu của một cuộc tấn công bằng máy bay không người lái.
Các thẻ SIM đã không được sáng chế ra để bảo vệ các giao tiếp truyền thông cá nhân - chúng đã được thiết kế để làm thứ gì đó đơn giản hơn nhiều: đảm bản thanh toán hóa đơn đúng và chống giả mạo, điều từng là tràn lan vào những ngày đầu của điện thoại cầm tay. Soghoian so sánh sử dụng các khóa mã hóa trên các thẻ SIM với cách mà các số An sinh Xã hội được sử dụng ngày nay. “Các số an sinh xã hộ đã được thiết kế trong những năm 1930 để theo dõi các đóng góp của bạn cho hưu trí của chính phủ của bạn”, ông nói. “Ngày nay chúng được sử dụng như một số định danh quốc gia cho từng người, điều chưa từng là mục đích có ý định của chúng”.
Vì thẻ SIM đã không được tạo ra với lời gọi về tính bí mật trong đầu, các nhà sản xuất và các nhà truyền tải không dây không có những nỗ lực lớn để đảm bảo an toàn cho dây chuyền cung ứng của họ. Kết quả là, thẻ SIM là một thành phần cực kỳ dễ bị tổn thương của một điện thoại di động. “Tôi nghi là bất kỳ ai cũng đối xử với các thứ đó rất cẩn thận”, Green nói. “Các công ty di động có lẽ không ứng xử với chúng như là các thẻ token an toàn cơ bản. Họ có lẽ chỉ quan tâm rằng không ai đang lừa gạt các mạng của họ”. Soghoian của ACLU bổ sung, “Các khóa đó cũng có giá trị là nó có nghĩa cho các cơ quan tình báo để đi theo họ”.
Như một quy tắc chung, các công ty điện thoại không sản xuất các thẻ SIM, cũng không sản xuất chương trình cho chúng với các khóa mã hóa bí mật. Là rẻ hơn và có hiệu quả hơn cho họ để thuê ngoài làm bước nhạy cảm này trong quá trình sản xuất thẻ SIM. Họ mua chúng theo lô lớn với các khóa đã được các tập đoàn khác tải trước lên. Gemalto là lớn nhất trong số các công ty “cá nhân hóa” SIM.
Sau khi một thẻ SIM được sản xuất, khóa mã hóa, được biết như là một “Ki”, được đốt trực tiếp trong con chip. Một bản sao khóa đó cũng được đưa ra cho nhà cung cấp di động, cho phép mạng của nó nhận diện một điện thoại cá nhân. Để điện thoại có khả năng kết nối tới mạng truyền tải không dây, điện thoại - với sự trợ giúp của SIM - xác thực bản thân nó bằng việc sử dụng Ki đã được lập trình trong SIM. Điện thoại tiến hành một “sự bắt tay” bí mật mà kiểm tra xem Ki trong SIM có khớp với Ki được công ty di động nắm giữ hay không. Một khi điều này xảy ra, các giao tiếp truyền thông giữa điện thoai và mạng được mã hóa. Thậm chí nếu GCHQ hoặc NSA đã chặn đường các tín hiệu điện thoại khi chúng được truyền qua không khí, thì các dữ liệu bị chặn lại đó có thể là một mớ hỗn độn bị cắt xén. Việc giải mã nó có thể là thách thức và tốn thời gian. Việc ăn cắp các khóa, mặt khác, là đơn giản một cách đẹp đẽ, từ quan điểm của các cơ quan tình báo, khi mà dòng sản xuất và phân phối các thẻ SIM đã chưa bao giờ được thiết kế để cản phá các nỗ lực giám sát ồ ạt cả.
Một trong các nhà sáng chế ra giao thức mã hóa được sử dụng rộng rãi ngày nay cho các thư điện tử có an toàn, Adi Shamir, nổi tiếng đã khẳng định: “Mật mã thường bị vượt qua, chức không phải bị thâm nhập trái phép”. Nói một cách khác, là dễ dàng hơn nhiều (và lén lút vụng trộm hơn) để mở một cánh cửa đã bị khóa khi bạn có chìa khóa hơn là phá cửa bằng sức mạnh thô thiển. Trong khi NSA và GCHQ có các tài nguyên đáng kể chuyên để phá mật mã, thì đây không phải là cách duy nhất - và chắc chắn không luốn là cách có hiệu quả nhất - để có được dữ liệu mà họ muốn. “NSA có nhiều nhà toán học hơn trong bảng lương của nó hơn bất kỳ thực thể nào ở nước Mỹ”, Soghoian của ACLU nói. “Nhưng các tin tặc của NSA là bận rộn hơn so với các nhà toán học”.
GCHQ và NSA có thể đã tiến hành bất kỳ cách gì để ăn cắp các khóa mã hóa SIM và các dữ liệu khác. Họ có thể đã đột nhập một cách vật lý vào một nhà máy sản xuất. Họ có thể đã đột nhập vào một văn phòng của nhà truyền tải không dây. Họ có thể đã đút lót, tống tiền hoặc cưỡng bức một nhân viên của nhà sản xuất hoặc nhà cung cấp di động. Nhưng tất cả điều đó đi với rủi ro bị lộ đáng kể. Trong trường hợp của Gemalto, các tin tặc làm việc cho GCHQ từ ở xa đã thâm nhập vào mạng máy tính của công ty để ăn cắp các khóa theo cả đống khi chúng đang trên đường tới các nhà cung cấp mạng không dây.
Các công ty “cá nhân hóa” thẻ SIM như Gemalto xuất xưởng hàng chục ngàn thẻ SIM một lúc tới các nhà vận hành điện thoại di động khắp thế giới. Các hồ sơ xuất hàng quốc tế mà tờ Intercept có được chỉ ra rằng trong năm 2011, Gemalto đã xuất xưởng 450.000 thẻ thông minh từ nhà máy của nó ở Mexico sang cho hãng Deutsche Telekom của Đức chỉ trong một lần xuất hàng.
Để các thẻ làm việc và để các giao tiếp truyền thông điện thoại là an toàn, Gemalto cũng cần cung cấp cho công ty di động một hồ sơ có các khóa mã hóa cho từng trong số các thẻ SIM mới. Các tệp khóa chủ đó có thể được xuất xưởng qua FedEx, DHL, UPS hoặc một nhà cung cấp thư chậm khác. Phổ biến hơn, chúng có thể được gửi qua thư điện tử hoặc qua giao thức truyền tệp FTP, một phương pháp gửi các tệp qua Internet.
Thời điểm tập hợp khóa chủ được Gemalto hoặc các công ty cá nhân hóa khác sinh ra, nhưng trước khi nó được gửi tới nhà truyền tải không dây, là thời điểm có khả năng bị tổn thương nhất vì sự chặn đường. “Giá trị của việc có được chúng ở thời điểm sản xuất là bạn có thể đoán chừng có được nhiều khóa một lúc, vì các chip SIM được làm theo bó lớn”, Green, một nhà mật mã học, nói. “Các thẻ SIM có thể được làm cho nhiều nhà truyền tải khác nhau trong một cơ sở”. Trong trường hợp của Gemalto, GCHQ trúng số độc đắc, khi mà công ty sản xuất các SIM cho hàng trăm nhà cung cấp mạng không dây, bao gồm tất cả các nhà cung cấp hàng đầu của Mỹ, và nhiều công ty lớn nhất ở châ Âu.
Nhưng việc có được các khóa mã hóa trong khi Gemalto vẫn nắm giữ chúng đòi hỏi tìm một cách thức chui vào trong các hệ thống nội bộ của công ty đó.
Các tài liệu tuyệt mật của GCHQ tiết lộ rằng các cơ quan tình báo đã truy cập được các tài khoản thư điện tử và Facebook của các kỹ sư và các nhân viên khác của các tập đoàn viễn thông chính và các nhà sản xuất thẻ SIM trong một nỗ lực để bí mật có được thông tin mà có thể trao cho họ sự truy cập tới hàng triệu khóa mã hóa. Họ đã làm điều này bằng việc sử dung chương trình X-KEYSCORE của NSA, nó đã cho phép họ truy cập tới các thư điện tử riêng tư được các máy chủ của các công ty di động và thẻ SIM đặt chỗ, cũng như các tập đoàn công nghệ chủ chốt, Yahoo và Google.
Có hiệu lực, GCHQ bí mật nói chuyện qua không gian mạng với các nhân viên của Gemalto, đếm các thư điện tử của họ trong một nỗ lực để tìm ra ai có thể có sự truy cập tới các mạng cốt lõi của công ty và các hệ thống sinh Ki. Mục tiêu của cơ quan tình báo là để tìm ra thông tin có thể giúp trong việc thâm nhập vào các hệ thống của Gemalto, làm cho nó có khả năng ăn cắp được số lượng lớn các khóa mã hóa. Cơ quan này đã hy vọng chặn đường các tệp có chứa các khóa khi chúng đã được chuyển giữa Gemalto và các khách hàng là các nhà cung cấp mạng không dây.
Các đặc vụ của GCHQ đã nhận viện các cá nhân chủ chốt và các chức vị của họ trong Gemalto và sau đó đào vào các thư điện tử của họ. Trong một trường hợp, GCHQ đã vô hiệu hóa một nhân viên của Gemalto ở Thái Lan mà họ đã quan sát thấy gửi các tệp mã hóa PGP, lưu ý rằng nếu GCHQ muốn mở rộng các hoạt động Gemalto của nó, thì “anh ta có thể chắc chắn là một nơi tốt để bắt đầu”. Họ đã không nêu đã giải mã được các giao tiếp truyền thông của nhân viên đó, mà đã lưu ý rằng sử dụng PGP có thể có nghĩa là các nội dung có lẽ là có giá trị tiềm tàng.
Việc nói chuyện qua không gian mạng không bị hạn chế đối với Gemalto. Các đặc vụ GCHQ đã viết một script mà đã cho phép cơ quan này phá hoại các giao tiếp truyền thông riêng tư của các nhân viên các công ty “cá nhân hóa” SIM và viễn thông chính đối với các điều khoản được sử dung trong việc nhượng lại các khóa bí mật cho các khách hàng điện thoại di động. Các nhân viên đối với các nhà sản xuất thẻ SIM và các nhà cung cấp mạng không dây đã được gắn nhãn là “các cá nhân và các nhà vận hành được biết là bị ngắm đích” trong tài liệu tuyệt mật của GCHQ.
Theo
tài liệu tháng 4/2010, “PCS Harvesting at Scale”, các tin tặc làm việc cho GCHQ đã tập trung vào “việc thu hoạch” số lượng khổng lồ các khóa mã hóa cá nhân “trong sự quá cảnh giữa các nhà vận hành mạng di động và các trung tâm cá nhân hóa thẻ SIM” như Gemalto. Các gián điệp “đã phát triển một phương pháp luận cho việc chặn đường các khóa đó khi chúng được truyền giữa các nhà vận hành mạng và các nhà cung cấp thẻ SIM khác nhau”. Khi đó, GCHQ đã phát triển “một kỹ thuật được tự động hóa với mục tiêu làm gia tăng lượng các khóa mà có thể thu hoạch được”.
Tài liệu PCS Harvesting đã thừa nhận rằng, trong tìm kiếm thông tin các khóa mã hóa, các đặc vụ của GCHQ có thể không nghi ngờ gì hút chân không “một số lượng lớn các khoản không liên quan” từ các giao tiếp truyền thông riêng tư của các nhân viên bị ngắm đích. “Tuy nhiên một nhà phân tích với tri thức tốt của các nhà vận hành có liên quan có thể thực hiện sự thả lưới này thường xuyên và chộp sự truyền các bó lớn các khóa”.
Tài liệu đã lưu ý rằng nhiều nhà sản xuất thẻ SIM đã truyền các khóa mã hóa tới các nhà cung cấp mạng không dây “bằng thư điện tử hoặc FTP với các phương pháp mã hóa đơn giản mà có thẻ bị gãy ... hoặc bỗng nhiên không có mã hóa hoàn toàn”. Để có được sự truy cập theo đống tới các khóa mã hóa, tất cả điều mà NSA và GCHQ cần phải làm là chặn đường các thư điện tử hoặc các truyền tệp khi chúng được gửi qua Internet - thứ gì đó cả 2 cơ quan đó làm hàng triệu lần mỗi ngày. Một chú giải cuối trang của một tài liệu năm 2010 đã quan sát thấy rằng sử dụng “các sản phẩm mã hóa mạnh ... đang trở thành ngày càng phổ biến” trong việc truyền các khóa.
Trong việc thu hoạch khóa của mình các hoạt động “thử” trong quý 1 năm 2010, GCHQ đã thành công
chặn được các khóa được các nhà cung cấp mạng không dây sử dụng ở Iran, Afghanistan, Yemen, India, Serbia, Iceland và Tajikistan. Nhưng, cơ quan này lưu ý, hệ thống thu hoạch khóa tự động của nó đã thất bại để sinh ra các kết quả chống lại các mạng của Pakistan, nghĩa là như “các cái đích ưu tiên” trong tài liệu, bất kể thực tế là GCHQ đã có một cửa hàng Kis từ 2 nhà cung cấp ở nươc snày, Mobilink và Telenor. “Có khả năng là các mạng đó bây giờ sử dụng nhiều phương pháp an toàn hơn để truyền Kis”, tài liệu kết luận.
Từ tháng 12/2009 tới tháng 03/2010, một tháng trước khi Đội Khai thác Thiết bị cầm tay Di động (Mobile Handset Exploitation Team) được thành lập, GCHQ đã tiến hành một số vụ thử nhằm vào viẹc trích ra các khóa và các dữ liệu được cá nhân hóa đối với các điện thoại cá nhân. Trong một gia đoạn 2 tuần, họ đã truy cập được các thư điện tử của 130 người có liên quan tới các nhà cung cấp mạng không dây hoặc ác nhà sản xuất và cá nhân hóa các thẻ SIM. Hoạt động này đã tạo ra 8.000 khóa khớp với các điện thoại đặc thù ở 10 quốc gia. Trong một giai đoạn 2 tuần khác, bằng việc phá hoặc chỉ 6 địa chỉ thư điện tử, họ đã tạo ra 85.000 khóa. Tại một thời điểm vào tháng 03/2010, GCHQ đã can thiệp gần 100.000 khóa của những người sử dụng điện thoại di động ở Somalia. Tháng 6, họ đã
sưu tầm được 300.000. “Các nhà cung cấp Somali không nằm trong danh sách quan tâm của GCHQ”, tài liệu lưu ý. “Tuy nhiên, điều này có ích để chia sẻ với NSA”.
Các tài liệu của GCHQ chủ có các số liệu thống kê cho 3 tháng ăn cắp khóa mã hóa trong năm 2010. Trong giai đoạn này, hàng triệu khóa đã bị thu hoạch. Các tài liệu đã nêu rõ rằng là GCHQ đã tạo ra rồi một quy trình tự động hóa liên tục được tiến hóa cho việc thu hoạch theo đống các khóa. Họ mô tả các hoạt động tích cực nhằm vào các trung tâm cá nhân hóa của Gemalto khắp thế giới, cũng như các nhà sản xuất thể SIM chính khác và các giao tiếp truyền thông riêng tư của các nhân viên của họ.
Một tài liệu tuyệt mật của NSA đã khẳng định rằng, tới năm 2009, cơ quan gián điệp Mỹ đã có khả năng xử lý khoảng 12 tới 22 triệu khóa mỗi giây để sử dụng chống lại các mục tiêu giám sát. Trong tương lai, cơ quan này dự đoán, nó có thể có khả năng xử lý hơn 50 triệu mỗi giây. Tài liệu đã không nêu có bao nhiêu khóa thực sự đã được xử lý, chỉ là NSA đã có công nghệ để thực hiện sự mau lẹ như vậy, các hoạt động theo bó. Là không có khả năng để biết có bao nhiêu khóa đã bị NSA và GCHQ ăn cắp cho tới nay, thậm chí bằng việc sử dụng toán học thủ cựu, các con số có khả năng làm choáng người.
GCHQ đã dành “các điểm số” cho hơn 150 địa chỉ thư cá nhân dựa vào việc người sử dụng thường xuyên thê snào nhắc tới các khái niệm kỹ thuật nhất định, và sau đó tăng cường khai phá các tài khoản cá nhân đó dựa vào mức độ ưu tiên. Địa chỉ thư điện tử có điểm cao nhất từng là của một nhân viên của người khổng lồ công nghệ Trung Quốc là Hoa Vĩ (Huawei), hãng mà Mỹ tố cáo lặp đi lặp lại về việc cộng tác với tình báo Trung Quốc. Trong tất cả, GCHQ đã thu hoạch được các thư điện tử của nhân viên các công ty phần cứng mà sản xuất điện thoại, như Ericsson và Nokia; các nhà vận hành các mạng di động, như MTN Irancell và Belgacom; các nhà cung cấp thẻ SIM, như Bluefish và Gemalto; và các nhân viên của các công ty bị ngắm đích mà đã sử dụng các nhà cung cấp thư điện tử, như Yahoo và Google. Trong thử nghiệm 3 tháng, số lượng lớn nhất các địa chỉ thư điện tử là thuộc về các nhân viên của Hoa Vĩ, theo sau là MTN Irancell. Lớp các thư điện tử lớn thứ 3 được thu hoạch trong thí điểm đó, là các tài khoản riêng tư của Gmail, có thể đoán chừng thuộc về các nhân viên ở các công ty bị ngắm đích.
AS CONSUMERS BEGAN to adopt cellular phones en masse in the mid-1990s, there were no effective privacy protections in place. Anyone could buy a cheap device from RadioShack capable of intercepting calls placed on mobile phones. The shift from analog to digital networks introduced basic encryption technology, though it was still crackable by tech savvy computer science graduate students, as well as the FBI and other law enforcement agencies, using readily available equipment.
Today, second-generation (2G) phone technology, which relies on a deeply flawed encryption system, remains the dominant platform globally, though U.S. and European cellphone companies now use 3G, 4G and LTE technology in urban areas. These include more secure, though not invincible, methods of encryption, and wireless carriers throughout the world are upgrading their networks to use these newer technologies.
It is in the context of such growing technical challenges to data collection that intelligence agencies, such as the NSA, have become interested in acquiring cellular encryption keys. “With old-fashioned [2G], there are other ways to work around cellphone security without those keys,” says Green, the Johns Hopkins cryptographer. “With newer 3G, 4G and LTE protocols, however, the algorithms aren’t as vulnerable, so getting those keys would be essential.”
The privacy of all mobile communications — voice calls, text messages and Internet access — depends on an encrypted connection between the cellphone and the wireless carrier’s network, using keys stored on the SIM, a tiny chip smaller than a postage stamp, which is inserted into the phone. All mobile communications on the phone depend on the SIM, which stores and guards the encryption keys created by companies like Gemalto. SIM cards can be used to store contacts, text messages, and other important data, like one’s phone number. In some countries, SIM cards are used to transfer money. As The Intercept reported last year, having the wrong SIM card can make you the target of a drone strike. SIM cards were not invented to protect individual communications — they were designed to do something much simpler: ensure proper billing and prevent fraud, which was pervasive in the early days of cellphones. Soghoian compares the use of encryption keys on SIM cards to the way Social Security numbers are used today. “Social security numbers were designed in the 1930s to track your contributions to your government pension,” he says. “Today they are used as a quasi national identity number, which was never their intended purpose.”
Because the SIM card wasn’t created with call confidentiality in mind, the manufacturers and wireless carriers don’t make a great effort to secure their supply chain. As a result, the SIM card is an extremely vulnerable component of a mobile phone. “I doubt anyone is treating those things very carefully,” says Green. “Cell companies probably don’t treat them as essential security tokens. They probably just care that nobody is defrauding their networks.” The ACLU’s Soghoian adds, “These keys are so valuable that it makes sense for intel agencies to go after them.”
As a general rule, phone companies do not manufacture SIM cards, nor program them with secret encryption keys. It is cheaper and more efficient for them to outsource this sensitive step in the SIM card production process. They purchase them in bulk with the keys pre-loaded by other corporations. Gemalto is the largest of these SIM “personalization” companies.
After a SIM card is manufactured, the encryption key, known as a “Ki,” is burned directly onto the chip. A copy of the key is also given to the cellular provider, allowing its network to recognize an individual’s phone. In order for the phone to be able to connect to the wireless carrier’s network, the phone — with the help of the SIM — authenticates itself using the Ki that has been programmed onto the SIM. The phone conducts a secret “handshake” that validates that the Ki on the SIM matches the Ki held by the mobile company. Once that happens, the communications between the phone and the network are encrypted. Even if GCHQ or the NSA were to intercept the phone signals as they are transmitted through the air, the intercepted data would be a garbled mess. Decrypting it can be challenging and time-consuming. Stealing the keys, on the other hand, is beautifully simple, from the intelligence agencies’ point of view, as the pipeline for producing and distributing SIM cards was never designed to thwart mass surveillance efforts.
One of the creators of the encryption protocol that is widely used today for securing emails, Adi Shamir, famously asserted: “Cryptography is typically bypassed, not penetrated.” In other words, it is much easier (and sneakier) to open a locked door when you have the key than it is to break down the door using brute force. While the NSA and GCHQ have substantial resources dedicated to breaking encryption, it is not the only way — and certainly not always the most efficient — to get at the data they want. “NSA has more mathematicians on its payroll than any other entity in the U.S.,” says the ACLU’s Soghoian. “But the NSA’s hackers are way busier than its mathematicians.”
GCHQ and the NSA could have taken any number of routes to steal SIM encryption keys and other data. They could have physically broken into a manufacturing plant. They could have broken into a wireless carrier’s office. They could have bribed, blackmailed or coerced an employee of the manufacturer or cellphone provider. But all of that comes with substantial risk of exposure. In the case of Gemalto, hackers working for GCHQ remotely penetrated the company’s computer network in order to steal the keys in bulk as they were en route to the wireless network providers.
SIM card “personalization” companies like Gemalto ship hundreds of thousands of SIM cards at a time to mobile phone operators across the world. International shipping records obtained by The Intercept show that in 2011, Gemalto shipped 450,000 smart cards from its plant in Mexico to Germany’s Deutsche Telekom in just one shipment.
In order for the cards to work and for the phones’ communications to be secure, Gemalto also needs to provide the mobile company with a file containing the encryption keys for each of the new SIM cards. These master key files could be shipped via FedEx, DHL, UPS or another snail mail provider. More commonly, they could be sent via email or through File Transfer Protocol, FTP, a method of sending files over the Internet.
The moment the master key set is generated by Gemalto or another personalization company, but before it is sent to the wireless carrier, is the most vulnerable moment for interception. “The value of getting them at the point of manufacture is you can presumably get a lot of keys in one go, since SIM chips get made in big batches,” says Green, the cryptographer. “SIM cards get made for lots of different carriers in one facility.” In Gemalto’s case, GCHQ hit the jackpot, as the company manufactures SIMs for hundreds of wireless network providers, including all of the leading U.S.— and many of the largest European — companies.
But obtaining the encryption keys while Gemalto still held them required finding a way into the company’s internal systems.
TOP-SECRET GCHQ documents reveal that the intelligence agencies accessed the email and Facebook accounts of engineers and other employees of major telecom corporations and SIM card manufacturers in an effort to secretly obtain information that could give them access to millions of encryption keys. They did this by utilizing the NSA’s X-KEYSCORE program, which allowed them access to private emails hosted by the SIM card and mobile companies’ servers, as well as those of major tech corporations, including Yahoo and Google.
In effect, GCHQ clandestinely cyberstalked Gemalto employees, scouring their emails in an effort to find people who may have had access to the company’s core networks and Ki-generating systems. The intelligence agency’s goal was to find information that would aid in breaching Gemalto’s systems, making it possible to steal large quantities of encryption keys. The agency hoped to intercept the files containing the keys as they were transmitted between Gemalto and its wireless network provider customers. GCHQ operatives identified key individuals and their positions within Gemalto and then dug into their emails. In one instance, GCHQ zeroed in on a Gemalto employee in Thailand who they observed sending PGP-encrypted files, noting that if GCHQ wanted to expand its Gemalto operations, “he would certainly be a good place to start.” They did not claim to have decrypted the employee’s communications, but noted that the use of PGP could mean the contents were potentially valuable.
The cyberstalking was not limited to Gemalto. GCHQ operatives wrote a script that allowed the agency to mine the private communications of employees of major telecommunications and SIM “personalization” companies for technical terms used in the assigning of secret keys to mobile phone customers. Employees for the SIM card manufacturers and wireless network providers were labeled as “known individuals and operators targeted” in a top-secret GCHQ document.
According to that April 2010 document, “PCS Harvesting at Scale,” hackers working for GCHQ focused on “harvesting” massive amounts of individual encryption keys “in transit between mobile network operators and SIM card personalisation centres” like Gemalto. The spies “developed a methodology for intercepting these keys as they are transferred between various network operators and SIM card providers.” By that time, GCHQ had developed “an automated technique with the aim of increasing the volume of keys that can be harvested.” The PCS Harvesting document acknowledged that, in searching for information on encryption keys, GCHQ operatives would undoubtedly vacuum up “a large number of unrelated items” from the private communications of targeted employees. “[H]owever an analyst with good knowledge of the operators involved can perform this trawl regularly and spot the transfer of large batches of [keys].”
The document noted that many SIM card manufacturers transferred the encryption keys to wireless network providers “by email or FTP with simple encryption methods that can be broken … or occasionally with no encryption at all.” To get bulk access to encryption keys, all the NSA or GCHQ needed to do was intercept emails or file transfers as they were sent over the Internet — something both agencies already do millions of times per day. A footnote in the 2010 document observed that the use of “strong encryption products … is becoming increasingly common” in transferring the keys.
In its key harvesting “trial” operations in the first quarter of 2010, GCHQ successfully intercepted keys used by wireless network providers in Iran, Afghanistan, Yemen, India, Serbia, Iceland and Tajikistan. But, the agency noted, its automated key harvesting system failed to produce results against Pakistani networks, denoted as “priority targets” in the document, despite the fact that GCHQ had a store of Kis from two providers in the country, Mobilink and Telenor. “[I]t is possible that these networks now use more secure methods to transfer Kis,” the document concluded. From December 2009 through March 2010, a month before the Mobile Handset Exploitation Team was formed, GCHQ conducted a number of trials aimed at extracting encryption keys and other personalized data for individual phones. In one two-week period, they accessed the emails of 130 people associated with wireless network providers or SIM card manufacturing and personalization. This operation produced nearly 8,000 keys matched to specific phones in 10 countries. In another two-week period, by mining just six email addresses, they produced 85,000 keys. At one point in March 2010, GCHQ intercepted nearly 100,000 keys for mobile phone users in Somalia. By June, they’d compiled 300,000. “Somali providers are not on GCHQ’s list of interest,” the document noted. “[H]owever, this was usefully shared with NSA.” The GCHQ documents only contain statistics for three months of encryption key theft in 2010. During this period, millions of keys were harvested. The documents stated explicitly that GCHQ had already created a constantly evolving automated process for bulk harvesting of keys. They describe active operations targeting Gemalto’s personalization centers across the globe, as well as other major SIM card manufacturers and the private communications of their employees.
A top-secret NSA document asserted that, as of 2009, the U.S. spy agency already had the capacity to process between 12 and 22 million keys per second for later use against surveillance targets. In the future, the agency predicted, it would be capable of processing more than 50 million per second. The document did not state how many keys were actually processed, just that the NSA had the technology to perform such swift, bulk operations. It is impossible to know how many keys have been stolen by the NSA and GCHQ to date, but, even using conservative math, the numbers are likely staggering.
GCHQ assigned “scores” to more than 150 individual email addresses based on how often the users mentioned certain technical terms, and then intensified the mining of those individuals’ accounts based on priority. The highest-scoring email address was that of an employee of Chinese tech giant Huawei, which the U.S. has repeatedly accused of collaborating with Chinese intelligence. In all, GCHQ harvested the emails of employees of hardware companies that manufacture phones, such as Ericsson and Nokia; operators of mobile networks, such as MTN Irancell and Belgacom; SIM card providers, such as Bluefish and Gemalto; and employees of targeted companies who used email providers, such as Yahoo and Google. During the three-month trial, the largest number of email addresses harvested were those belonging to Huawei employees, followed by MTN Irancell. The third largest class of emails harvested in the trial were private Gmail accounts, presumably belonging to employees at targeted companies.
Hết phần 2
Dịch: Lê Trung Nghĩa