r   e   k   l   a   m   a
r   e   k   l   a   m   a

Zersetzung: NSA wpędza świat IT w paranoję?

Strona główna AktualnościINTERNET

Słynna NRD-owska organizacja wywiadowcza Stasi znana była z opanowania do perfekcji sztuki psychicznego łamania swoich ofiar, znanej jako Zersetzung (degradacja, w sensie chemicznym). Zamiast otwartego zastraszania czy przemocy, agenci Stasi krok po kroku wpędzali prześladowanych w paranoję, włamując się do ich domów tylko po to, by podmienić zdjęcie w ramce na ścianie, przysłać dziwny prezent członkowi rodziny, czy podmienić lekarstwa w apteczce. To co w ostatnich miesiącach zaczęło się dziać w branży bezpieczeństwa IT po ucieczce Edwarda Snowdena do Rosji, w coraz większym stopniu przypomina praktyki operacyjne Stasi, przeprowadzane nie tylko wobec jednostek, ale wobec całej rzeszy internautów.

Jeśli nie możesz ufać swojemu dostawcy rozwiązań bezpieczeństwa, to komu możesz ufać? W ostatni piątek Reuters poinformował, że według dopiero co ujawnionego dokumentu z NSA, pochodzącego ze zbioru wykradzionego przez Snowdena, należąca dziś do koncernu EMC firma RSA, od lat oferująca korporacjom oprogramowanie szyfrujące i narzędzia ochrony sieci, miała wśród swoich klientów amerykańską Agencję Bezpieczeństwa Narodowego. Nie byłoby w tym nic niepokojącego, gdyby NSA było zainteresowane po prostu kupnem oprogramowania, niestety jednak klient miał tu szczególne potrzeby. Miał w 2005 roku zapłacić 10 mln dolarów za wykorzystanie bazującego na krzywych eliptycznych generatora liczb pseudolosowych (Dual EC DRBG) jako domyślnego źródła losowości w produktach RSA. Generatora opracowanego oczywiście przez matematyków NSA.

Kwota wydaje się niewielka, szczególnie biorąc pod uwagę wartość RSA, kupionej w 2006 roku przez EMC za ponad 2 mld dolarów, ale jak Reuters twierdzi, w okresie w którym doszło do transakcji, sytuacja finansowa firmy nie była różowa. Pion firmy odpowiedzialny za biblioteki szyfrujące BSafe przyniósł w 2005 roku ledwie 27,5 mln dolarów przychodu, więc przyjęcie 10 mln dolarów od federalnej agencji pozwoliło na odczuwalny wzrost przychodów.

Czy 10 mln dolarów z budżetu NSA trafiło na konto RSA, czy też nie, faktem jest że Dual EC DRBG został domyślnym źródłem losowości w produktach tej firmy. Nie przeszkodziły temu nawet wątpliwości ekspertów od bezpieczeństwa: w 2007 roku Dan Shumow i Niels Ferguson z Microsoftu znaleźli sposób ataku na ten generator (podkreślając przy tym, że wcale nie twierdzą, że furtka znalazła się w algorytmie celowo). Zainteresowani dziwną historią DUAL EC DRBG mogą znaleźć więcej we wpisie na blogu Bruce'a Schneiera.

Dopiero we wrześniu tego roku RSA powiedziało jednak swoim klientom, że należy zaprzestać korzystania z algorytmu, któremu ufali oni przez 7 lat. Po rewelacjach opublikowanych przez Reutersa firma zareagowała zaś bardzo gwałtownie, kategorycznie zaprzeczając pomówieniom, jakoby wiedziała o słabościach w swoim generatorze i przedstawiła cztery mniej lub bardziej wiarygodne powody, dla których DUAL EC DRBG został wybrany na standard (m.in. w tamtych czasach NSA cieszyło się zaufaniem społeczności jako organizacja zainteresowana wzmacnianiem, a nie osłabianiem szyfrowania (…) algorytm został zaakceptowany jako standard NIST, zgodny z wymogami FIPS [odpowiednio Narodowy Instytut Standardów i Techniki oraz Federalny Standard Przetwarzania Informacji – przyp. red.].

W całym blogowym wpisie nie znajdziecie co ciekawe ani słowa na temat 10 mln dolarów, o których pisze Reuters, podsumowuje go za to zdanie, że RSA jako firma z branży bezpieczeństwa nigdy nie ujawnia szczegółów swoich interesów z klientami, ale przy tym kategorycznie podkreśla, że nigdy nie zaangażowała się w żaden projekt, którego celem miałoby być osłabienie produktów RSA czy wprowadzenie do nich potencjalnych furtek.

Co po takiej odpowiedzi powinni sobie teraz myśleć klienci RSA, tego nie wiemy. Być może firma faktycznie jest niewinna, a cała afera służy jedynie wywołaniu ogólnej niepewności co do wartości narzędzi kryptograficznych – w końcu skoro RSA wzięło pieniądze, to kto jeszcze mógł je wziąć? Ogólna paranoja jest tym, co spotyka ofiary wspomnianego na początku tego tekstu Zersetzung, a skuteczność takich działań powinna dziś skłaniać agencje wywiadowcze do stosowania ich nie tylko wobec organizacji i społeczności, ale i pojedynczych, a kluczowych dla bezpieczeństwa IT osób.

Coś takiego właśnie spotkało słynnego Jakoba Appelbauma, jednego z deweloperów Tora, człowieka, który ma pełen dostęp do kompletu dokumentów wykradzionych z NSA przez Snowdena. Deutsche Welle donosi, że kilka dni temu ktoś pod jego nieobecność włamał się do jego mieszkania w Berlinie, sforsował trzy z czterech zainstalowanych tam systemów alarmowych i próbował dobrać się do jego komputerów. Z mieszkania oczywiście nic nie zginęło. Można chyba się jednak spodziewać, że Appelbaum już komputerów tych więcej nie użyje.

Żyjemy najwyraźniej w bardzo ciekawych czasach.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.