Ziņojumi par jaunu Edvarda Snoudena NSA dokumentu nopludināšanu apgalvo, ka "aģentūra ir apiejusi vai uzlauzusi lielu daļu šifrēšanas", uz kuru mēs paļaujamies uz internetu. Vai mēs tagad esam neaizsargāti?
Ziņojumi iekšā aizbildnis un Ņujorkas Laiks apgalvo, ka NSA ir uzlauzusi lielu daļu internetā izmantotās šifrēšanas. Sadarbojoties ar savu Apvienotās Karalistes kolēģi GCHQ, NSA ir izmantojusi dažādas metodes, lai piekļūtu datiem, kuriem sarunas nepiederošām personām vajadzētu būt nesalasāmām. Ziņojumu pamatā (protams) dokumenti, kurus nopludināja bijušais NSA analītiķis Edvards Snoudens.
New York Times un ProPublica katrs saņēma vairāk nekā 50 000 dokumentu no Guardian. "Izlūkošanas amatpersonas" lūdza The Times neziņot par šo stāstu, jo"…tas var mudināt ārvalstu mērķus pāriet uz jauniem šifrēšanas vai saziņas veidiem, kurus būtu grūtāk apkopot vai lasīt."Times piekrita noklusēt dažas detaļas, taču publicēja stāstu, jo bija vērtīgas publiskas debates. Un ir grūti just līdzi izlūkdienestu it kā piedāvātajam argumentācijai.
Dārza šķirņu plaisa
Šajā stāstā ir dažas patiesi satraucošas ziņas, taču citas tā daļas nav īpaši pārsteidzošas. Šie pārskati nav tehniski dokumenti, un daudzas būtiskas detaļas ir izlaistas, tāpēc daudzos gadījumos ir grūti pateikt, kas tieši tiek apgalvots.
Lielākā daļa NSA šifrēšanas plaisu, par kurām ziņots stāstā, neizmanto nekādas īpašas priekšrocības no to juridiskā stāvokļa. Viņi mēģina sagraut mērķu sistēmas, lai apietu kriptogrāfiju. Uzbrukumi kriptogrāfijai parasti ir mēģinājumi apiet kriptogrāfiju nevis lai to tieši izjauktu, un šāda veida darbības visu laiku veic ļaunprātīgi aktieri visā pasaulē beidzies.
Kā viņi to dara? Vecmodīgs veids, izmantojot ļaunprātīgu programmatūru, sociālo inženieriju un ievainojamību izmantošanu. Tikai šodien WebSense publicēja ziņojumu, kurā teikts liela daļa lietotāju uzņēmumos joprojām izmanto vecas, neaizsargātas Java un Flash versijas. Jebkurš skripts mazulis varētu to ņemt no turienes; jums nav jābūt NSA, lai uzbruktu šiem cilvēkiem.
Ja jūs praktizējat kriptogrāfiju vai pat drošību kopumā, jūs zināt, ka jums ir jāpieņem, ka esat pakļauts uzbrukumam un jānodrošina daudzslāņu aizsardzība pret šiem uzbrukumiem. Ja NSA izmanto melnās cepures metodes, lai apdraudētu izlūkošanas mērķus, kurus tai ir likumīgi atļauts uzraudzīt, tad būt likumīga sūdzība par likumu, taču tas ir arī gadījums, ka mērķis varēja un tam vajadzēja darīt vairāk, lai nodrošinātu viņu sistēmas.
Pa sētas durvīm?
Viens stāsts The Times izklausās nepārprotami satraucoši:
Vienā gadījumā pēc tam, kad valdība uzzināja, ka ārvalstu izlūkdienesta mērķis ir pasūtījis jaunu datoru aparatūru, amerikānis ražotājs piekrita ievietot izstrādājumam aizmugurējās durvis pirms tā nosūtīšanas, kāds, kurš bija pazīstams ar pieprasījumu, pastāstīja The reizes.
Varat derēt, ka ASV tehnoloģiju uzņēmumi nav apmierināti ar šo ziņojumu, kas, visticamāk, tiem maksās biznesu. Bet varbūt vajadzētu. Ja tā ir patiesa — un es nepieņemu, ka tā ir pilnīga patiesība —, šķiet, ka tas pārsniedz Patriot Act noteikto atbilstības jomu. Bet stāsts norāda, ka tas bija uzņēmuma "lūgums", nevis pasūtījums. Žēl, ka uzņēmums nav identificēts, kas nozīmē, ka visas ASV kompānijas ir apgrūtinātas ar šo stāstu un saskaras ar vēl vienu izaicinājumu pārdot ārzemēs.
Citā gadījumā The Times stāsts liek vecām ziņām izklausīties drausmīgāk, nekā tas, iespējams, ir:
Uzņēmums Microsoft, as Par to ziņoja The Guardian, N.S.A. strādāja ar uzņēmuma amatpersonām, lai iegūtu pirmsšifrēšanas piekļuvi Microsoft populārākajiem pakalpojumiem, tostarp Outlook e-pasts, Skype interneta tālruņa zvani un tērzēšana, kā arī SkyDrive, uzņēmuma mākoņkrātuve apkalpošana.
Microsoft apgalvoja, ka tā ir tikai izpildījusi valdības “likumīgās prasības”, un dažos gadījumos sadarbība bija nepārprotami piespiedu kārtā. Vadītājiem, kuri atsakās izpildīt slepenus tiesas rīkojumus, var draudēt naudas sods vai cietumsods.
Šīs rindkopas formulējums rada iespaidu, ka Microsoft varētu nodrošināt NSA aizmugures durvis, lai ļautu tām šifrēt netraucēti smirdēt trafiku uz šīm vietnēm, taču apgalvojums saskan arī ar to, ko mēs zinām jau ilgu laiku, pat pirms sākotnējās Snoudena informācijas atklāšanas: Microsoft un visi citi ASV uzņēmumi dažreiz saņem FISC (Ārvalstu izlūkošanas uzraudzības tiesa) pasūtīja pieprasījumus pēc satura, kas pieder konkrētām personām, un viņi izpilda šos rīkojumus, sniedzot nešifrētos datus valdība.
Microsoft pavisam nesen to paziņoja tie nenodrošina vispārēju piekļuvi valdībai pa aizmugures durvīm: "…mēs atbildam tikai uz likumīgām valdības prasībām un izpildām tikai pieprasījumus par konkrētiem kontiem vai identifikatoriem."
Daudzi no jums, bez šaubām, brīnīsies, kāpēc mums vajadzētu pieņemt Microsoft vārdu šajā jautājumā, taču tam ir daudz iemeslu. Tas pats emuārs tika rakstīts, lai paziņotu par Microsoft ierosinājumu FISC ļaut uzņēmumam izpaust informāciju par to, cik lielā mērā tas atbilst valdības prasībām un rīkojumiem; paralēlu kustību veica Google. Abi uzņēmumi veic ievērojamu uzņēmējdarbību ārvalstīs un zina, ka uz spēles ir likta viņu produktu uzticamība.
Šis ir viens no tiem gadījumiem, kad bieža lielu, daudznacionālu korporāciju kritika — ka tām nav uzticības savām domājamajām mītnes zemēm — iedarbojas uz indivīdiem. ieguvums: Microsoft ir saistības pret saviem klientiem visā pasaulē un nevēlas upurēt šīs ienesīgās attiecības, sadarbojoties ar ASV valdību vairāk nekā nepieciešams.
Kleptogrāfija
Cits stāsts, kas atkal nav īsti jaunums, apraksta praksi, kuru Kongresam vajadzētu padarīt par vienkāršu un nepārprotami nelikumīgu: NSA iesniedza NIST (Nacionālais standartu un tehnoloģiju institūts) nejaušu skaitļu ģenerēšanas algoritmu ar aizmugures durvīm. to.
Faktiski šāda veida ievainojamībai ir tehnisks termins: Kleptogrāfija ir kriptogrāfijas sistēmā iebūvētu uzbrukumu izmantošana, t.i., kriptogrāfijas aizmugures durvis. Tas ir lielisks termins.
Algoritms (Dual_EC_DRBG jeb Dual Elliptic Curve Deterministic Random Bit Generator) bija pazīstams kā NSA algoritms; Būdama labākie eksperti šajā jomā, NSA jau sen bija iesaistīta kriptogrāfijas standartizācijā. 2007. gadā Microsoft inženieri atrada aizmugurējās durvis un par tām ziņoja. Tie, kas zina, ātri uzminēja, ka NSA ir mēģinājusi algoritmā ievietot aizmugures durvis un rezultāts bija skaidrs cieņas un uzticības zaudējums pret NSA jomā, kurā tie bija devuši daudz pozitīvu ieguldījumu ASV un tās pilsoņu drošībā. Lielisks darbs puiši.
Izkļūt no šī putra
Es gribētu domāt, ka starp tiem, kas nav ASV valdības izpildvarā, veidojas vienprātība, ka ir nepieciešama lielāka atklātība. Pat ja ir sāpīgi atzīt, ka Snoudenam tas izdevās.
Pirmais solis ir ļaut ASV uzņēmumiem atklāt vairāk par to, kā tie sadarbojas ar NSA un citām ASV valdības aģentūrām, lai viņu klienti varētu pieņemt apzinātus uzticības lēmumus par tiem. Ja to nedarīsit, tas nozīmē, ka ASV uzņēmumi tiek nostādīti neizdevīgā stāvoklī, un tiem ar likumu ir aizliegts pretoties. Acīmredzot ārvalstu konkurenti (varbūt no Ķīnas) pēc savas būtības vairs nav uzticami, un tas ir vēl jo vairāk iemesls būt atklātam: ļaujiet ASV uzņēmumiem pateikt, kāda ir viņu politika, un sniegt apkopotus datus par to sadarbību. Pēc tam norādiet, ka tas viņus padara uzticamāks nekā konkurenti no citām valstīm, kuras gandrīz noteikti ir pakļautas tādam pašam valdības spiedienam un kuras neatklāj tā apjomu.
Noslēgumā mums ir jāizdara klasisks kompromiss ar pilsoniskajām brīvībām, lai atzītu, ka esam atvērtāki par mūsu uzraudzību dažos gadījumos politikas var padarīt tās mazāk efektīvas, taču mēs esam gatavi to darīt, lai saglabātu pēc iespējas lielāku brīvību. mēs varam. Tas ir godīgs veids, kā uz to skatīties.
Otrs lielais šī stāsta aspekts ir tāds, ka ievērojat labāko praksi, tostarp jaunāko protokolus un atjauninātu programmatūru, jūs, ļoti iespējams, esat drošs pret noziedznieku un ASV uzbrukumiem valdība. Ar derīgu garantiju viņi var sazināties ar jums, izmantojot mākoņpakalpojumus, taču viņi nevar viegli piekļūt jūsu sistēmām.