Zersetzung: NSA wpędza świat IT w paranoję?

Zersetzung: NSA wpędza świat IT w paranoję?23.12.2013 11:26

Słynna NRD-owska organizacja wywiadowcza Stasi znana była zopanowania do perfekcji sztuki psychicznego łamania swoich ofiar,znanej jako Zersetzung (degradacja, w sensie chemicznym). Zamiastotwartego zastraszania czy przemocy, agenci Stasi krok po krokuwpędzali prześladowanych w paranoję, włamując się do ich domów tylkopo to, by podmienić zdjęcie w ramce na ścianie, przysłać dziwnyprezent członkowi rodziny, czy podmienić lekarstwa w apteczce. To cow ostatnich miesiącach zaczęło się dziać w branży bezpieczeństwa ITpo ucieczce Edwarda Snowdena do Rosji, w coraz większym stopniuprzypomina praktyki operacyjne Stasi, przeprowadzane nie tylko wobecjednostek, ale wobec całej rzeszy internautów. Jeśli nie możesz ufać swojemu dostawcy rozwiązań bezpieczeństwa,to komu możesz ufać? W ostatni piątek Reuters poinformował,że według dopiero co ujawnionego dokumentu z NSA, pochodzącego zezbioru wykradzionego przez Snowdena, należąca dziś do koncernu EMCfirma RSA, od lat oferująca korporacjom oprogramowanie szyfrujące inarzędzia ochrony sieci, miała wśród swoich klientów amerykańskąAgencję Bezpieczeństwa Narodowego. Nie byłoby w tym nicniepokojącego, gdyby NSA było zainteresowane po prostu kupnemoprogramowania, niestety jednak klient miał tu szczególne potrzeby.Miał w 2005 roku zapłacić 10 mln dolarów za wykorzystanie bazującegona krzywych eliptycznych generatora liczb pseudolosowych (Dual ECDRBG) jako domyślnego źródła losowości w produktach RSA. Generatoraopracowanego oczywiście przez matematyków NSA.[img=paranoia]Kwota wydaje się niewielka, szczególnie biorąc pod uwagę wartośćRSA, kupionej w 2006 roku przez EMC za ponad 2 mld dolarów, ale jakReuters twierdzi, w okresie w którym doszło do transakcji, sytuacjafinansowa firmy nie była różowa. Pion firmy odpowiedzialny zabiblioteki szyfrujące BSafe przyniósł w 2005 roku ledwie 27,5 mlndolarów przychodu, więc przyjęcie 10 mln dolarów od federalnejagencji pozwoliło na odczuwalny wzrost przychodów. Czy 10 mln dolarów z budżetu NSA trafiło na konto RSA, czy teżnie, faktem jest że Dual EC DRBG został domyślnym źródłem losowości wproduktach tej firmy. Nie przeszkodziły temu nawet wątpliwościekspertów od bezpieczeństwa: w 2007 roku Dan Shumow i Niels Fergusonz Microsoftu znaleźli sposóbataku na ten generator (podkreślając przy tym, że wcale nietwierdzą, że furtka znalazła się w algorytmie celowo). Zainteresowanidziwną historią DUAL EC DRBG mogą znaleźć więcej wewpisie na blogu Bruce'a Schneiera.Dopiero we wrześniu tego roku RSA powiedziało jednak swoimklientom, że należy zaprzestać korzystania z algorytmu, któremu ufalioni przez 7 lat. Po rewelacjach opublikowanych przez Reutersa firmazareagowała zaś bardzogwałtownie, kategorycznie zaprzeczając pomówieniom,jakoby wiedziała o słabościach w swoim generatorze i przedstawiłacztery mniej lub bardziej wiarygodne powody, dla których DUAL EC DRBGzostał wybrany na standard (m.in. w tamtych czasach NSAcieszyło się zaufaniem społeczności jako organizacja zainteresowanawzmacnianiem, a nie osłabianiem szyfrowania (…) algorytmzostał zaakceptowany jako standard NIST, zgodny z wymogami FIPS[odpowiednio Narodowy InstytutStandardów i Techniki oraz Federalny Standard PrzetwarzaniaInformacji – przyp. red.].W całym blogowym wpisie nieznajdziecie co ciekawe ani słowa na temat 10 mln dolarów, o którychpisze Reuters, podsumowuje go za to zdanie, że RSA jakofirma z branży bezpieczeństwa nigdy nie ujawnia szczegółów swoichinteresów z klientami, ale przy tym kategorycznie podkreśla, że nigdynie zaangażowała się w żaden projekt, którego celem miałoby byćosłabienie produktów RSA czy wprowadzenie do nich potencjalnychfurtek.Co po takiej odpowiedzi powinni sobieteraz myśleć klienci RSA, tego nie wiemy. Być może firma faktyczniejest niewinna, a cała afera służy jedynie wywołaniu ogólnejniepewności co do wartości narzędzi kryptograficznych – w końcuskoro RSA wzięło pieniądze, to kto jeszcze mógł je wziąć? Ogólnaparanoja jest tym, co spotyka ofiary wspomnianego na początku tegotekstu Zersetzung, a skuteczność takich działań powinna dziś skłaniaćagencje wywiadowcze do stosowania ich nie tylko wobec organizacji ispołeczności, ale i pojedynczych, a kluczowych dla bezpieczeństwa ITosób.Coś takiego właśnie spotkało słynnegoJakoba Appelbauma, jednego z deweloperów Tora, człowieka, który mapełen dostęp do kompletu dokumentów wykradzionych z NSA przezSnowdena. Deutsche Welle donosi,że kilka dni temu ktoś pod jego nieobecność włamał się do jegomieszkania w Berlinie, sforsował trzy z czterech zainstalowanych tamsystemów alarmowych i próbował dobrać się do jego komputerów. Zmieszkania oczywiście nic nie zginęło. Można chyba się jednakspodziewać, że Appelbaum już komputerów tych więcej nie użyje. Żyjemy najwyraźniej w bardzo ciekawychczasach.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na