OTKRIVENO: Google je ipak sarađivao sa NSA

Al Jazeera je došla do e-mailova koji ukazuju da su rukovodeći ljudi Googlea dobrovoljno sarađivali sa čelnikom NSA.

Razmjena elektronske pošte između generala Keitha Alexandera, direktora Nacionalne sigurnosne agencije (NSA), i rukovodećih ljudi Googlea Sergeyu Brinu i Ericu Schmidtu sugeriraju mnogo prijatniji radni odnos između nekih tehnoloških firmi i američke Vlade nego onaj kako su ga predstavili glavešine iz Silicon Valleyja, nakon prošlogodišnjih otkrića o špijuniranju koje je provodila NSA.

Objavljivanja uposlenika NSA Edwarda Snowdena o velikim mogućnostima agencije za špijuniranje elektronske komunikacije Amerikanca potakla je brojne čelnike IT kompanija koje su sarađivale sa Vladom da naglase da su to uradili samo kad im je sudski naređeno.

Ali je Al Jazeera došla u posjed dva seta prepiske elektronskom poštom koja datiraju iz godine prije nego što je Snowden postao poznat, koji sugeriraju da do sve saradnje nije došlo zbog pritisaka.

U e-mailu poslanom ujutro 28. juna 2012. je Alexander pozvao Schmidta da prisustvuje četverosatnom “povjerljivom sastanku o prijetnjama” koji će se održati 8. augusta u “sigurnom objektu u blizini aerodroma u kalifornijskom San Joseu”.

“Razgovor na sastanku će biti o određenim temama i posvećen donošenju odluka, sa fokusom na Mobilnost prijetnji i sigurnost”, napisao je Alexander u e-mailu, do kojeg se došlo na osnovu zahtjeva po osnovu Zakona o slobodi informacija (FOIA), koji je prvi od više desetaka zapisa o komunikaciji između šefa NSA i čelnika kompanija iz Silicon Valleya, koje agencija planira predati.

Posebni sastanak

Alexander, Schmidt i drugi čelnici iz industrije su se susreli ranije tokom mjeseca, prema otkrivenoj elektronskoj pošti. Ali je Alexander htio još jedan sastanak sa Schmidtom i “malom grupom izvršnih direktora” kasnije tog ljeta, jer je Vladi trebala pomoć Silicon Valleyja.

“Prije otprilike šest mjeseci, počeli smo se fokusirati na sigurnost mobilnih uređaja”, napisao je Alexander. “Grupa (prije svega Google, Apple i Microsoft) nedavno je došla do sporazuma o setu osnovnih principa sigurnosti. Kada dođemo do ove tačke našeg projekta mi organiziramo povjerljiv sastanak sa izvršnim direktorima ključnih kompanija da ih upoznamo sa specifičnim prijetnjama za koje vjerujemo da mogu biti ublažene i da zatražimo posvećenost u ime njihovih organizacija da možemo nastaviti dalje… Učešće Googlea u doradi, planiranju i provedbi rješenja će biti ključno”.

Jennifer Granick, direktorica građanskih sloboda Centra za Internet i društvo Pravnog fakulteta Univerziteta Stanford, kazala je da vjeruje da je razmjena informacija između predstavnika industrije i Vlade “apsolutno neophodna”, ali “istovremeno, postoji određeni rizik za privatnost korisnika i sigurnost korisnika zbog načina koji je provedeno otkrivanje ranjivosti”.

Izazov s kojim se suočavaju Vlada i industrija je da pojačaju sigurnost bez kompromisa privatnosti, kazala je Granick. Elektronska pošta razmijenjena između Alexandera i čelnika Googlea, kazala je ona, pokazuje “kako se neformalna razmjena podataka dešava unutar ovog vakuuma gdje ne postoji poznata, transparentna, konkretna, utvrđena metodologija kojim bi se osigurala da sigurnosni podaci završe u pravim rukama”.

Povjerljivi sastanci koje je naveo Alexander su dio tajne Vladine inicijative poznate kao Trajnog sigurnosnog okvira (ESF), a njegovi e-mailovi nude neke rijetke informacije o tome šta ESF podrazumijeva, identitete nekih IT kompanija koje sudjeluju i o prijetnjama koje su razmatrali.

Pokretanje ESF-a

Alexander je objasnio da su zamjenici ministara Ministarstva odbrane, Državne sigurnosti i “18 izvršnih direktora američkih kompanija” pokrenuli ESF 2009. da “koordiniraju akcije vlade i industrije u vezi važnih (uglavnom povjerljivih) sigurnosnih pitanja koje samostalno ne bi mogla riješiti ni jedna stranka uključena u proces”.

“Primjera radi, tokom proteklih 18 mjeseci, mi (prije svega Intel, AMD [Advanced Micro Devices], HP [Hewlett-Packard], Dell i Microsoft kao predstavnici industrije) završili smo sa poduhvatom da osiguramo BIOS poslovnih platformi da bi riješili prijetnje na tom polju”.
BIOS is skraćenica za “osnovni sistem ulaza/izlaza”, sistemski softver koji pokreće hardver u računarima prije nego što se pokrene operativni sistem. Debora Plunkett, šefica odjela NSA za odbranu od računarskih napada, u decembru je otkrila da je agencija osujetila “BIOS zavjeru” od strane “države-nacije”, identificirane kao Kina, da napadne američke računare. Zavjera, kazala je ona, mogla je uništiti američku ekonomiju. Emisija 60 Minutes, koja je prva izvijestila o tome, izvijestila je da je NSA radila sa neimenovanim “proizvođačima računara” na rješavanju problema softverske ranjivosti BIOS-a.

Ali neki stručnjaci za internetsku sigurnost su doveli u pitanje scenario koji je predstavila Plunkett.

“Vjerovatno postoji neki pravi događaj iza ovoga, ali je to teško reći, jer nemamo nikakve detalje”, napisao je u decembru na svom blogu Robert Graham, izvršni direktor kompanije Errata Security iz Atlante, koja se bavi testiranjem prodora u računarske sisteme. “Potpuno je netačno ono što pokušavaju da prenesu u poruci. Ono što su rekli je glupost, što svaka tehnička osoba može potvrditi”.

Ranjivost kompanija

A pridobivajući NSA da pojačaju svoju odbranu, te kompanije su možda sebe učinile ranjivijim za nastojanjima agencije da probije te odbrane u svrhu nadzora.

“Mislim da bi javnost trebala biti zabrinuta oko toga da li NSA zaista daje sve od sebe, kao što se tvrdi u e-mailovima, da osiguraju BIOS-e poslovnih platformi i mobilnih uređaja i da ne zadržavaju najbolje ranjivosti sistema za sebe”, kazao je Nate Cordozo, član advokatskog tima Electronic Frontier Foundationa, tima koji se bori za digitalne građanske slobode.

On ne sumnja da NSA pokušava sa osigura BIOS poslovnih platformi, ali sugerira da agencija, za vlastite potrebe, “traži slabosti u tim istim proizvodima koje pokušava da zaštiti”.

NSA “ne može pomagati Googleu da osigura svoje pogone od Kineza, a istovremeno da ga hackira kroz stražnja vrata i da se kači na fiberoptičke veze između baznih centara Googlea”, rekao je Cardozo. “Činjenica da ista agencija radi obje te stvari je očito kontradiktorno i smiješno”. On predlaže da se razdvoje ofanzivne i defanzivne funkcije između dvije agencije.

Dvije sedmice nakon emitiranja 60 Minutes, njemački magazin Der Spiegel, navodeći dokumenta do kojih je došao Snowden, izvještava da je NSA postavila posebne propuste u BIOS, radeći isto ono za šta je Plunkett optužila državu-naciju da to radi tokom svog intervjua.

Odsustvo sa sastanka

Googleov Schmidt nije mogao prisustvovati sastanku o mobilnoj sigurnosti koji se održao u San Joseu u augustu 2012.

“General Keith… tako je super što vas vidim!”, napisao je Schmidt. “Vjerovatno neću biti u Californiji te sedmice, tako da mi je žao što neću moći da prisustvujem (biću na Istočnoj obali). Volio bih vas vidjeti neki drugi put. Hvala vam!”. Od Snowdenovih objava, Schmidt je kritizirao NSA i rekao da bi njihovi programi za nadzor mogli bit nezakoniti.

Armijski general Martin E. Dempsey, predsjedavajući Združenog štaba američke vojske, prisustvovao je tom sastanku. Foreign Policy je mjesec dana kasnije objavio da su Dempsey i drugi državni zvaničnci – nije se spominjao Alexander – bili u Silicon Valley “tražili ideje čelnika po cijeloj dolini i razgovarali o potrebi za brzom razmjenom informacija o internetskim prijetnjama”. Foreign Policy je naglasio da su direktori iz Silicon Valleyja koji su prisustvovali tim sastancima članovi ESF-a. U priči nije navedeno da su prijetnje i sigurnost mobilnih uređaja glavna tema zajedno sa povjerljivim sastankom o prijetnjama.

Sedmicu nakon tog sastanka, Dempsey je tokom konferencije za novinare u Pentagonu kazao: “Bio sam nedavno u Silicon Valleyju, otprilike sedmicu, da razgovaram o ranjivostima i prilikama u cyber svijetu sa liderima industrije… Oni su se složili – svi smo se složili da postoji potreba da razmjenjujemo informacije o prijetnjama i to velikom brzinom”.

Suosnivač Googlea Sergey Brin je prisustvovao prethodnim sastancima grupe ESF, ali zbog problema sa rasporedom, prema Alexanderovom e-mailu, on također nije mogao prisustvovati sastanku u San Joseu koji se održao 8. augusta, a nije poznat da li je Google nekog drugog poslao.

Pismo Brinu

Nekoliko mjeseci ranije, Alexander je poslao e-mail Brinu da mu zahvali za učešće Googlea u ESF-u.
“Smatram rad ESF-a kritičnim za napredak države kada su internetske prijetnje u pitanju i zaista cijenim doprinose Vinta Cerfa (potpredsjednika Googlea i glavnog internet evangelistu), Erica Grossea (potpredsjednika sigurnosnog inženjeringa) i Adrina Ludwiga (glavnog inženjera za sigurnost Adroida), koji su dali u ovom poduhvatu protekle godine”, napisao je Alexander 13. januara 2012. u e-mailu.

“Nedavno ste dobili pozivnicu za sastanak ESF-ove Izvršne grupe za upravljanje, koji će se održati 19. januara 2012. Sastanak je prilika da prepoznate naše uspjehe u 2012. i da odredite pravac u kojem ćemo se kretati u narednoj godini. Razgovarat ćemo o ciljevima ESF-a i konkretnim metama za 2012.

Također ćemo razgovarati o nekim prijetnjama koje vidimo i šta može biti urađeno da ublažimo te prijetnje… Vaša mišljenja, kao ključnog člana Industrijske odbrambene baze, vrijedna su da se osigura da napori ESF-a imaju mjerljiv učinak”.

Predstavnik Googlea je odbio da odgovori na konkretna pitanja o odnosu Brina i Schmidta sa Alexaderom ili o Googleovom radu sa Vladom.

“Mi zaista vrijedno radimo da zaštitom naše korisnike od internetskih napada i mi uvijek razgovaramo sa stručnjacima – uključujući američku vladu – da budemo ispred napadača”, kazao je predstavnik u saopćenju upućenom Al Jazeeri. “Zbog toga je Sergey prisustvovao konferenciji NSA”.

Brin je odgovorio Alexanderu narednog dana iako čelnik NSA nije koristio odgovarajuću e-mail adresu kada je kontaktirao jednog od direktora Googlea.

“Zdravo Keith, radujem se našem sastanku naredne sedmice. Za tvoju informaciju, najbolja adresa za korištenje je [adresa je sakrivena]”, napisao je Brin. “Onu e-mail adresu na koju si pisao [email protected] – rijetko kad provjeravam”.