Agenci NSA „od środka” szkodzili technologiom chroniącym prywatność komunikacji?

Agenci NSA „od środka” szkodzili technologiom chroniącym prywatność komunikacji?09.09.2013 12:23

Przeglądanie w ostatnich tygodniach kanały RSS mediów poświęconychtechnologiom upewnia, że sprawa masowej inwigilacji internautów przezamerykańską Agencję Bezpieczeństwa Narodowego nie rozeszła się pokościach, a skala na jaką prowadzono prace mające ułatwić takiejinwigilacji prowadzenie przekraczają wszystko, czego można się byłospodziewać. Ton komentarzy tak specjalistów od bezpieczeństwa, jak iszeregowych internautów nierzadko ociera się o paranoję – możnasię dowiedzieć z nich, że NSA mogłoby kontrolować nasze komputerynawet poprzez mikrokod procesorów Intela, czy też zdołało znaleźćsposoby na szybkie łamanie szyfrów, nieznane uniwersyteckimmatematykom. Wśród wieści paranoicznych pojawiają się też całkiemdobrze udokumentowane doniesienia. Ich zignorować nie sposób, ajedynym sposobem na wyeliminowanie zagrożeń o których mówią, byłobycałkowite przemyślenie od podstaw naszego podejścia do bezpieczeństwasystemów informatycznych.John Gilmore, jeden z czołowych działaczy na rzecz wolnegooprogramowania i ochrony prywatności użytkowników (m.in.współzałożyciel Electronic Frontier Foundation), dokładnie przyglądasię też pracom rozmaitych komitetów standaryzacyjnych technologiiinternetowych. Jego najnowsze doniesienia, dotyczące tego, co wostatnich latach działo się w jednym z takich komitetów, pokazują, żemechanizmy zabezpieczeń, z których korzystamy na co dzień, mogą byćcelowo projektowane tak, by ich obejście było dla wtajemniczonychprostą sprawą.[img=crypto-break]Tu problem dotyczy IPSEC, zestawu protokołów internetowych, któresłużą do szyfrowania pakietów IP, wzajemnego uwierzytelnianiaklientów i negocjowania rodzaju wykorzystywanych kluczy szyfrujących.Działają one na warstwie internetowej modelu TCP/IP, a więc chronićmogą ruch sieciowy z każdej aplikacji. Zaprojektowano je jeszcze wlatach 90, przede wszystkim z myślą o IPv6, ale nawet dziś, zoczywistych powodów, wykorzystywane są przede wszystkim do ochronyruchu IPv4. Wśród sekretów NSA, wyjawionych przez Edwarda Snowdena, znalazłasię informacja, że w ramach programu o kryptonimie BULLRUN agencja tapróbuje wprowadzać do systemów, sieci, i urządzeń komunikacyjnych,tak otwartych jak i własnościowych luki i furtki, które uczyniłybyich zabezpieczenia bezwartościowymi. Jednym z głównych celów dla NSAmiał być właśnie IPSEC, a konkretnie implementacja jego stosu dlaznanego z bezpieczeństwa systemu OpenBSD. Doniesienia o tym, że ktośpracujący dla federalnej administracji USA miałby celowo umieścić wimplementacji IPSEC takie luki pojawiły się po raz pierwszy w 2010roku, dziesięć lat po ich rzekomym umieszczeniu w kodzie –napisało tym sam Theo de Raadt, główny deweloper OpenBSD. Trudno byłoocenić realny wpływ furtek na bezpieczeństwo IPSEC, ale GregoryPerry, były konsultant FBI, który powiadomił de Raadta o problemie,sugerował, że pozwolić one miały na monitorowanie ruchu po VPN.Wyjawił też, że Scott Lowe, jeden z głównych ekspertów odwirtualizacji OpenBSD, propagujący wykorzystanie tego systemu wkorporacyjnych środowiskach IT, był opłacany przez FBI.OpenBSD to system niszowy, ale jego implementacja IPSEC, pierwszadostępna na wolnej i bezproblemowej licencji BSD, niszową już niebyła – chętnie korzystali z niej twórcy innych systemówoperacyjnych. W rezultacie furtki rozprzestrzenić się miały na innesystemy operacyjne i urządzenia sieciowe. Nawet jeśli jednak samaimplementacja IPSEC w OpenBSD, przyjmując tysiące łatek przez tewszystkie lata prac nad systemem, stała się zasadniczo wolna odfederalnych furtek, to i tak NSA może wciąż mieć swoje sposoby naskuteczne ataki przeciwko temu zabezpieczeniu. Wygląda bowiem na to,że sam standard został od początku tak zaprojektowany, by nie był zawiele wart.Gilmore utrzymuje,że w komitecie opracowującym IPSEC (formalnie podlegającymorganizacji Internet Engineering Task Force), od początku pracownicyNSA zajmowali kluczowe pozycje, byli też redaktorami dokumentów. Wtym samym nie ma oczywiście nic złego – nie ma żadnego prawazakazującego informatykom z NSA pracować nad otwartymi standardami.Jednak to, jak wyglądała praca tych ludzi, musi już budzićwątpliwości. Przyjmowano od rzekomo niezależnych osób z zewnątrzsugestie pozornie rozsądne, jednak zmniejszające bezpieczeństwo iprywatność IPSEC, jak np. wykorzystywanie tych samych wektorówinicjalizacji przez całą sesję, zamiast generowania nowych dlakażdego pakietu, czy utrzymanie opcji komunikacji bez szyfrowania,lub wykorzystania słabych, dawno już złamanych szyfrów. W efekciepowstał twór tak skomplikowany, że żaden poważny kryptograf niechciał go nawet analizować pod kątem bezpieczeństwa. Niels Ferguson iBruce Schneier w swoim artykulepoświęconym IPSEC sformułowali nawet nową regułę, tzw. PułapkęZłożoności: największym wrogiem bezpieczeństwa jest złożoność,sugerując przy tym, że protokołykryptograficzne nigdy nie powinny być opracowywane przez komitety.Nie tylko IPSEC miał być w tensposób sabotowany przez pracowników NSA. John Gilmore ostrzega, żeludzie ci otwarcie kłamali przed innymi komitetami standaryzacyjnymi.Stało się tak w kwestiach szyfrowania połączeń komórkowych, gdziestraszono ich członków, że nie mogą omawiać bezpiecznych protokołów,póki nie wyproszą wszystkich należących do międzynarodowego komitetuobcokrajowców z pokoju obrad – rzekomo miałoby to naruszaćprawo USA dotyczące kontrolowanych technologii. Efekt? Do dzisiajżaden z komitetów standaryzacyjnych telefonii komórkowej nie przyjąłżadnego protokołu ochrony prywatności typu end-to-end, dzięki czemuNSA może mieć pewność, że nigdy zabezpieczenia takie nie będądomyślnie umieszczane w dostępnych na rynku telefonach.W 2010 roku większość osób kpiłaz doniesień o lukach w OpenBSD. Czasy się jednak zmieniły –prawie nikt nie kwestionuje autentyczności materiałów ujawnionychprzez Snowdena, a z nich wynika jasno, że SSL, TLS i rozmaite typyVPN-ów wcale nie zapewniają takiej ochrony, o jakiej przekonani byliich użytkownicy. Schneier sugeruje,że jedynym ratunkiem mogą być działania polityczne, przeprowadzenieczystki w służbach wywiadowczych przez amerykańskich prokuratorówniepowiązanych z władzą, wojskiem i wywiadem, uzbrojonych winstrumenty prawne, pozwalające im na wydobycie całej prawdy odziałaniach NSA. Czy jednak znalezienie takich ludzi jest w ogólemożliwe? Świat IT na pewno tego nie zrobi – z „naszej”strony jedyne, co możemy, to ulepszać technikę i śledzić pracematematyków.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na