Wycieki Edwarda Snowdena są interesujące z wielu powodów, ale eksperci od spraw bezpieczeństwa zadają sobie szczególnie jedno pytanie - jak to się stało, że jeden człowiek mógł niezauważenie wynieść dokumenty z Agencji Bezpieczeństwa Narodowego (NSA)?

Już wcześniej tłumaczono, że Snowden mógł wykorzystać pozycję administratora, aby niezauważenie zbierać dane. Takich administratorów jest w NSA około tysiąca, więc jeśli faktycznie mają zbyt duże uprawnienia, jest to poważna luka. W ubiegłym miesiącu pojawiła się też informacja, że NSA posiada mechanizmy antywyciekowe, ale nie zainstalowała ich akurat w biurze na Hawajach, gdzie pracował Snowden.

To nie koniec niepokojących doniesień.

Snowden poprosił o hasła, więc je dostał

Wczoraj Reuters poinformował, że Edward Snowden mógł namówić od 20 do 25 pracowników NSA, aby sami oddali mu hasła i inne dane uwierzytelniające, umożliwiające dostęp do tajnych materiałów. Snowden, prosząc kolegów o hasła, miał tłumaczyć, że są mu one potrzebne do wykonania zadań administratora.

Reuters zdobył tę informację od własnych rządowych źródeł zbliżonych do dochodzenia w sprawie wycieków. Pracownicy, którzy udostępnili hasła Snowdenowi, zostali zidentyfikowani, przesłuchani i odsunięci od dotychczasowych zadań. Nie jest pewne, jakie dokładnie procedury mogli naruszyć ci pracownicy (zob. Reuters, Exclusive: Snowden persuaded other NSA workers to give up passwords - sources).

Szpiedzy i wojsko ufają swoim

To kolejny raz, gdy doniesienia prasowe mówią o poważnej słabości NSA. Agencja wydaje się mieć problem z bezpieczeństwem wewnętrznym, bo tak naprawdę w ogóle się nim nie przejmuje. Najwyraźniej szpiedzy dzielą świat na "swoich" i "obcych", generalnie ufając "swoim". Niestety podstawowe zasady bezpieczeństwa często wymagają zakładania, że "swój człowiek" także może być źródłem wycieku.

Ten sam problem ma nie tylko NSA. We wrześniu opisywaliśmy w Dzienniku Internautów historię żołnierza, który odkrył lukę bezpieczeństwa pozwalającą niepowołanej osobie na korzystanie ze służbowego komputera z uprawnieniami innej osoby. O luce wiedzieli inni żołnierze i potrafili z niej korzystać nawet po to, by oglądać filmy na tych komputerach, z których normalnie nie mogliby korzystać. Żołnierz, który odkrył lukę, zgłosił swoje ustalenia przełożonym. W odpowiedzi dostał do podpisania dokument, w którym zobowiązywał się on do nieujawniania informacji o luce (sic!). Samej luki nie załatano.

Kto jeszcze mógł coś wynieść?

Dlaczego wojsko zachowało się tak nierozsądnie? Bo oczywiście wierzyło, że jego żołnierze nie zrobią nic złego. Podobnie musiało być w NSA. Kolega poprosił o hasło, więc je dostał. Warto zauważyć, że jeśli Snowden chodził po biurze i pytał o hasła różne osoby, jego zachowanie było podejrzane. W pewnym sensie Snowden się zdemaskował, ale ludzie z NSA tego nie dostrzegli.

Naiwna "kultura zaufania" jest szczególnie niepokojąca wówczas, gdy NSA zbiera naprawdę dużo danych o ludziach. Snowden wyniósł pewne dokumenty, by pokazać je mediom, ale równie dobrze ktoś inny mógłby użyć informacji w złych celach. Wycieki od Snowdena potwierdzają zresztą, że tysiące razy jej agenci bezprawnie pozyskiwali dane o ludziach. Czy zawsze był to tylko przypadek?