官员称,Solarwinds黑客部分成功地成功,因为NSA被禁止监测国内网络,导致NSA新的间谍活动
近年来的Solarwinds / Sunburst Hacking Campaign,被定位的政府和私营部门计算机成功,因为对手使用了基于美国的服务器来进行操作。
至少这是最近几周的众多情报官员和联邦立法者的主张。
他们表示,黑客租赁由亚马逊网络服务所拥有的服务器来绕过国家安全机构监视,因为禁止间谍机构监测国内系统和网络,除非他们属于军队。
将此称为智力“盲点”,A"国内能见度"问题和当局“差距”,官员似乎是为NSA或其他机构寻求新的国内监督的新权力,尽管老年人在上个月在白宫的新闻呼吁期间告诉记者,但是没有现行计划 - “尚未立即” - 为任何政府机构寻求额外监测权。“
相反,白宫专注于改善政府和私营部门之间的信息共享 - 这将进入私人网络 - 以及地址责任涉及企业在其网络上发生网络攻击或可疑活动时,企业将与政府分享信息和系统。
“我们首先想要......试图解决有效信息分享的问题,我们相信我们可以获得这一问题,同时仍然完全保护美国人的公民自由和隐私,”一位关于背景的高级管理官员“称呼。 “当它是私营部门[收集信息]与政府的私立自由和隐私的担忧较少。"
这表明白宫并没有放弃寻求额外监测权力的想法,它现在不是在议程上。
上个月在听证会中提出了Microsoft和Fireeye的头部。在上周的另一个听证会期间,参议院武装部队委员会的五名立法者询问了美国联合国联盟委员会和美国国家统计局指挥官的主任Paul Nakasone,NSA的其他机构需要解决监督差距。 Sen.Kirsten Gillibrand(D-Ny)告诉Nakasone:“我想与委员会合作,让你当局。”
一个NSA官员,回应本文的问题,向我发给我的电子邮件,“Nakasone将在其证词期间没有提出任何当局,也没有提倡美国人指挥或NSA。”
官方写道,“关于新当局,政策,责任或法律的任何额外讨论都属于政策制定者的范围。”
尽管如此,对于公民自由倡导者而言,讨论引发了对以前非法NSA监测计划和滥用权力的记忆和担忧。
讨论差距的官员已经含糊不清楚,描述它仅作为政府在私营部门系统内看到的无法无法现象。
但上周出现了一些细节,可以更好地了解差距的差距,除了更好的信息共享之外 - 官员可能会建议修复它。
上周三,前NSA总法律顾问Glenn Gerstell几乎在CIICT简短的网络安全峰会上讲,他目前是战略和国际研究中心的高级顾问,表示,该问题是关于监督搜索权证,无法迅速获得批准。
在过去,当NSA跟踪来自外国恶意社的可疑互联网流量到美国的计算机或IP地址时,它无法访问我们的系统或监控往返中的国内流量,以确定它是否是用于向其他美国系统发起网络攻击。
Gerstell说,一旦外国交通达到美国网络,“这是NSA责任的结束,”Gerstell说。 “那是一个必须转向FBI的国内物质......或[DHS的网络安全和基础设施安全机构]来解决。”但是,“联邦调查局不可能快速获得搜索权证,以便跟踪外国网络活动。”
俄罗斯,中国和伊朗了解这个差距,并战略性地使用美国基础设施“,我们没有能力不断看到,”格瑟尔说。
使用美国基础设施在黑客广告系列中对Solarwinds / Sunburst广告系列的新颖或独一无二。国家的黑客和网络犯罪分子长期使用基于美国的计算机和服务器,作为路由攻击或SIPHON被盗数据的代理。在某些情况下,Hackers租用美国数据中心的服务器,以其运营,使用被盗的信用卡号码和ID来执行此操作。其他时候,他们只是劫持属于其他数据中心客户的服务器。
在Solarwinds / Sunburst竞选活动中,演员租赁了美国的AWS服务器,用作他们的命令和控制基础架构,以与受害者系统沟通,以与他们的恶意软件感染并以不太可能的方式窃取数据检测到。通过两个基于U.S.的系统之间的数据不如通过U.S系统的数据,并直接进入中国或俄罗斯的数据。
Gerstell和其他人已经抓住了这一点,以争论更多的国内监督,以发现这些美国指挥中心。
在Gerstell谈话之后的一天,Nakasone在参议院听证会期间表达了类似的陈述。
“我们的对手了解他们可以进入美国,并迅速利用[归属的服务器,互联网服务提供商,”并从该系统中删除他们的轨道“在我们实际上可以通过A监测之前发出逮捕令之前在美国的平民当局。“
这表明差距根本不能够进入美国私营部门的系统,而是关于联邦调查局 - 这有权对NSA进行这种国内监督 - 没有能够快速获得逮捕令这样做。
为了在外国情报调查中获得美国系统,必须在向外国情报监测法院提交外国情报监测法院之前,联邦调查局野外代理商必须获得由监督员和联邦调查局律师批准的宣誓誓言和认股权证申请,以获得其他审查和赞同。到那个时候,黑客可能已经搬到另一个系统上并从NSA和FBI的一个人清理了他们想要调查的轨道,Gerstell在本周的后续讨论中告诉我。
但专家批评了这一表征,因为外国情报监测法案让FBI在没有担保的情况下在紧急情况下持续七天的逮捕令。监视可以包括内容和流量元数据。主席团在七天之前,必须申请保证,或在该时间段结束时停止监测。但是七天应该足以确定一个系统是否被用于进行网络攻击。
“所有这些现有的法律当局都允许监测,因为外国情报目的或国家安全目的,”美国公民自由联盟和“美国间谍书”的作者“詹妮弗·萧条,监督和网络安全咨询说。 “政府能够在美国外面做出的几乎不受管制的监视。所以......更多监督的想法......解决了问题,而不是更好的监视,只是错位。”
Sen.Ron Wyden(D-oregon)也值得怀疑,即NSA需要对这些美国系统同行的权力。
“这是......不清楚为什么联邦调查局现有的紧急监测机构不充分,为什么不知何时有必要解开数十年的常识,即NSA应该坚持其外国使命,”他说。
然而,FISA法院专家告诉我,在一个方面,Gerstell和NakaSone是正确的 - 保证流程可能是耗时的。
“这绝对确实如此,FISA法院的一切都相当慢慢地进行,”专家说,他们要求保持匿名,以便他可以自由地谈论法院。如果监督要求过于广泛,法律顾问必须由法律顾问在提交给FISA法庭后审查。如果监督要求过于广泛,法院会将其送回联邦调查局进行修订。
“当人们说FISA法院是一个橡皮戳,不是,”来源说。 “我们希望这个过程要刻意和小心......随着时间的推移,我们通过改革放缓了这个过程。但他们确实有紧急情况[他们可以使用]。所以他们不应该说他们不能做[监督]。他们只是必须让合适的人签字。“
然而,Gerstell表示,他并不意识到曾经用于这种性质的网络安全调查的紧急FISA拨备,因为它需要可能的监测目标是外国权力或代理人的外国权力,这是不可能的始终在获得对美国系统进行调查之前确定的。
“虽然我们可以使用那个[紧急权力] ......如果我们有可能相信[美国]服务器是由朝鲜政府的[租赁]的理由。但你很少有人。你可能不知道谁拥有服务器,“他告诉我。
他描述了一个假设情景,其中NSA观察到从美国计算机到欧洲的大量数据,并且还从俄罗斯圣彼得堡的计算机中看到大量数据。 NSA没有足够的信息来了解数据是否是从U.S.通过外部电源或外部电力的代理被窃取的智能。它可能只怀疑这是这种情况。
如果NSA或FBI可以快速检查美国机器,它们可以确定机器是通过异国电力的恶意活动的向量的“小时内”。 "这将是对现在的几天进程的重要改进,“Gerstell说。 “这将使对手更困难。它会慢下来,它会阻止[他们恶意软件]的传播,也许其中一些人将被抓住。“
然而,所有这一切都表明,差距不仅仅是为了快速看到美国系统内部的联邦调查局,而且在没有可能的原因确定外国的原因时,局无法在美国系统内无法进入美国系统该电源的权力或代理正在使用网络攻击系统。
Gerstell认为,在某些条件下允许禁令监测以及特定保护,以避免滥用的具体保护,有“吨”。在他描述的场景中,FBI或NSA只能查看“特定的[U.S] IP地址。我们'他们不会在其中舀起无辜的派对,“他告诉密码短暂的观众。
还有其他保障措施来防止滥用:监测可能限制在72小时内,收集的数据必须在指定时间后清除,并且只能用于确定外国对手是否用于网络内容。
“对于其他监视目的,不应该通过犯罪[或]的证据来拖延。”格瑟尔说。
它还不需要由NSA完成,但可以由DHS,Fusion Center或FBI完成 - 与隐私和公民自由监督委员会评估活动的有效性并监测滥用行为。
但是FISA法院专家告诉我Gerstell的提议只是一种尝试在FISA的紧急情况下绕过可能导致的保护。
“我们所谈论的不是FISA法律将有充分的理由,”他告诉我。 “我们不知道演员是谁,我们不知道他们在做什么,但我们监控[美国]系统来看看他们的目标。这不是系统设置的。“
当然,美国立法者可以改变法律来放弃可能导致的要求,并允许NSA或FBI在这种情况下审查系统。
“我们可以决定网络威胁是如此重要,我们认为NSA应该在国内经营[以这种方式],”他说。
但是,Silverado政策加速器执行主席和前联合创始人和安全公司Crowdstrike的联合创始人和首席技术官Dmitri Alperovitch告诉我,还有其他理由拒绝Gerstell的提议。
“如果[U.S.系统]不是命令和控制服务器,该怎么办?如果它是拜登广告系列基础设施,突然间,您正在监控总统竞选[计算机]?他说,你不想在那个事业中。“
如果目标只是将基于美国的系统能够理解,可能是外国对手的指挥中心,那么美国应该从这些系统中启动它们并强迫他们使用国外基础设施,即NSA可以在没有限制的情况下,没有限制,没有限制说过。
“如果IP地址在美国,他们必须通过FISA流程。如果它在海外,他们就不必这样做,“他说。 “他们只是弹出那个盒子,看看它的沟通情况。”
他指出前总统特朗普在他的最后几天签署的行政命令,在办公室可以理解,通过要求云和其他服务提供商验证国外客户的身份并维护其交易记录。
“特朗普政府eo实际上解决了所有这些问题,并以一种不产生大规模对国会的公民自由斗争的方式,”Alperovitch说。
但所谓的“了解您的客户”规则将在此执行令下制定的规则被一些批评的服务提供商过于繁重,尤其是没有大量资源的较小的提供商。它也不会阻止外国对手只是劫持的基于美国的服务器,这些服务器被验证的其他客户租赁或拥有。
出于这个原因,有可能谈论监督差距和扩大NSA权威不会消失。
如果政府取得了减轻私营部门的责任担忧,并说服AWS这样的企业在美国制度被外国权力被外国权力被囚禁,政府可能不需要寻求更多权威。然而,如果这一目标失败,拜登政府可能会转向几年前奥巴马政府的提案。
前国防部长罗伯特盖茨在最近华盛顿邮政的OP-ED中描述了它。该提案要求创建由高级DHS官员举办的双帽子职位,他也是NSA的副主任。这个人将有权实时任务任务,以防御国内原产地的网络攻击。“根据盖茨的说法,奥巴马的白宫如何批准,奥巴马的白宫批准了该计划。然而,它从未实施过各种政治和官僚主义的原因,弗雷德卡普兰最近在石板件和他的书中描述过的黑暗领土。
然而,目前尚不清楚,如果实施,该计划将检测到Solarwinds / Sunburst运动,或者会发现像这样的未来。 NSA和DHS分别保护政府军事和民用网络,未能防止或检测他们已经拥有的当局监控的SolarWinds / Sunburst攻击,并在这些网络内部看到。
“联邦政府未能在被黑客攻击的任何九个联邦机构中赶上Solarwinds黑客,在那里它拥有完全的法律权威,以监测自己的网络的每一项活动,”Wyden在电子邮件中发给我。 "它根本并不清楚,将NSA发送到国内网络将检测到最近的违规行为,特别是因为他们在政府自己的网络中失业。"
