Julkisuuteen vuotaneiden tietojen mukaan salatut https ja SSL/TSL yhteydet pystytään purkamaan reaaliajassa.
Purkaminen ei ole enää NSA:n yksinoikeus. Myös pienempien budjettien viranomaisille on tarjolla työkaluja. Ei-viranomaiset hallitsevat tekniikat niin ikään.
Https (ssl) yhteys on sinänsä hyvin salattu. Menetelmänä käytetään RSA-salausta. Sisällön avaaminen vaatii suuren laskentakapasiteetin, johon ainakaan pienemmillä tekijöillä ei ole varaa.
Liikenteen purkamisen sijasta käytetään Man-In-The-Middle menetelmää, jossa käyttäjälle uskotellaan yhteyden olevan https-palveluun. Todellisuudessa välissä on proxy, jonka läpi liikenne kulkee selväkielisenä. Salaus tapahtuu vakoilevassa proxyssä, johon käyttäjä on yhteydessä.
Toteutus voidaan tehdä vaikkapa kotikäyttäjän Wlan-verkkoon murtautumalla ja käyttämällä ARP Spoofing/ARP Poisoning/SSLStrip -menetelmää. Esimerkiksi Facebookiin kirjautuva käyttäjä näkee https-yhteyskuvakkeen vihreänä ja sertifikaatin hyväksyttynä – todellisuudessa liikenne tulee vakoilukoneesta, jonka läpi Facebookliikenne kulkee. Vakoilija voi valita mitkä IP-osoitteet ohjataan proxyn läpi ja mitkä normaalisti verkkoon. Kaikki tieto käyttäjätunnuksia ja salasanoja myöden on selväkielisesti luettavissa.
Tämän voi tehdä (ns. SSLStrip) toteutuksena myös LAN-verkkoon tai teleoperaattorin kautta maanlaajuisesti. NSA kykenee toteutukseen globaalisti ”internet backbone”-kaapeleiden kautta.
Toinen yleisesti käytetty menetelmä on DNS Spoofing. Aina kun selaimen osoiteriville kirjoitetaan jotain, lähettää selain tai Windows internetiin nimipalvelinkyselyn, DNS Queryn. Kyselyllä selvitetään www-osoitteen numeerinen IP osoite. Mikäli vakoilija asettuu sopivaan kohtaan verkkoa, voidaan kyselyihin vastata hyökkääjän toimesta. Käyttäjä ohjautuu vakoilijan haluamalle sivulle todellisen sijasta. Vakoilijan nimipalvelin voi sijaita paikallisessa Wlan:ssa, LAN:ssa, teleoperaattorin tiloissa tai missä tahansa sopivassa verkon kohdassa. Esimerkiksi Google-hakukone on helppo saada ulkoisesti oikean näköiseksi, ja käyttää viruksen asennusalustana.
Kolmas ja huomaamattomin menetelmä on istunnon kaappaus (Session Hijacking). Tässä Wlan:iin, LAN:iin tai teleoperaattorin verkkoon kytkeytynyt vakoilija seuraa uhrin verkkopaketteja. Paketeista poimitaan talteen istuntoeväste (session cookie). Nämä ovat pieniä tiedostoja, joiden avulla pysytään sisäänkirjautuneena esim. Facebookiin. Kun vakoilija poimii verkkoliikenteestä istuntoevästeen, pääsy kohteen tiliin on hyvin suoraviivaista: eväste selaimen tiedostoihin mukaan ja uhrin Wlan yhteyttä käyttäen www-sivulle. Esimerkiksi Facebook avautuu sisäänkirjautuneena selaimen näytölle! Seuraavana kuva työkalusta, jolla istuntoevästeitä seulotaan verkkoliikenteestä.
Verkkopankit ja modernit sähköpostipalvelut käyttävät salattuja istuntotunnisteita, joiden kaappaaminen on paljon hankalampaa kuin yllä kuvattu.
TOR-verkon käyttö estää yllä mainitut tekniikat, koska salaus tapahtuu verkon perusrakenteessa. Vakoilijalle jää käteen kasa bittimössöä ilman tietoa datan sisällöstä, määränpäästä, alkuperästä tai omistajasta.
Julkiset Wlan-verkot (ravintolat, hotellit, oleskelutilat) ovat riskialttiita tietojen kalasteluun. Turvallisimpia verkkoja ovat mobiililaajakaistat, erityisesti prepaid, koska vaikea kohdentaa henkilöön. Myös kiinteät laajakaistat kaapelin kautta (ilman Wlania) ovat turvallisia.
Viranomaisen suorittamaa vakoilua kotikäyttäjän on vaikea havaita. TOR-verkko on tämän estämiseen oikea työväline.
SSL-liikenteen kohdentamaton massavakoilu on valtiollisille tahoillekin haastavaa. Se vaatii RSA-salauksen purkamista reaaliajassa, joka onnistunee vain NSA-tasoiselta organisaatiolta. NSA käyttää sekä varastettuja salausavaimia/sertifikaatteja että tekee yhteistyötä suurimpien https-palveluntarjoajien kanssa. Kuva Flying Pig -tietojärjestelmästä, jonne NSA kerää sertifikaatit ja salausavaimet:
Tarkemmin viranomaisten mahdollisuuksista purkaa salattuja selainyhteyksiä tästä linkistä.
Windows 7/8/10 yksityisyyden suoja 