Dołączył: 20 Sie 2005 Posty: 20414
Post zebrał 0.000 mBTC Podarowałeś BTC
Wysłany: 11:01, 06 Wrz '13
Temat postu: NSA łamie lub obchodzi szyfrowanie danych
Bardzo ciekawy artykuł. Przytaczam skróconą wersje, ale polecam przeczytać całość.
NSA łamie lub obchodzi większość znanych metod szyfrowania danych
Zgodnie z najnowszymi informacjami, z kolejnych upublicznionych przez Edwarda Snowdena dokumentów dotyczących tajnych amerykańskich programów masowej inwigilacji wynika, że agencje wywiadowcze są w stanie łamać lub obchodzić większość znanych obecnie metod szyfrowania danych.
Będący podstawą internetowego bezpieczeństwa protokół SSL, tunele VPN oraz szyfrowanie stosowane w sieciach 4G – wszystko to jest obecnie najprawdopodobniej w zasięgu największych agencji wywiadowczych. Jak to jednak możliwe, że algorytmy powszechnie uważane za bezpieczne, nie mogą się oprzeć NSA?
Vast amounts of encrypted internet data which have up till now been discarded are now exploitable.
Z upublicznionych informacji nie wynika szczegółowo, które technologie ochrony danych nie zostały jeszcze złamane lub wyposażone w tylne furtki. Nie wiadomo również dokładnie, które firmy zgodziły się na współpracę z agencjami. Jak można jednak wywnioskować, NSA nie jest nadal w stanie poradzić sobie ze wszystkimi metodami kryptograficznej ochrony danych.
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.
Przede wszystkim wygląda więc na to, że ostatnie nadzieje należy pokładać w rozwiązaniach i systemach otwartych, takich jak: TrueCrypt, GPG, OpenVPN, czy Linux. Prawdopodobnie agencje nie próbowały do tej pory ingerować w tego typu technologie, gdyż ryzyko wykrycia takich działań jest znacznie większe niż w przypadku produktów komercyjnych.
Dlatego warto mimo wszystko rozważyć przejście na rozwiązania Open Source (np. OpenVPN) — w nie dużo trudniej w niezauważalny sposób wprowadzić złośliwy kod.
Jak pisze Bruce Schneier,
Jeśli chcesz chronić swoje dane, korzystaj z GPG, Truecrypta, TOR-a, a te najbardziej wrażliwe generuj i przechowuj wyłącznie na komputerze nigdy niepodłączonym do internetu.
Dokumenty ujawnione przez Edwarda Snowdena pokazują, że RSA - jedna z najważniejszych i najbardziej wpływowych firm na rynku bezpieczeństwa IT - otrzymała od NSA 10 milionów dolarów w zamian za wykorzystywanie w swoich produktach wadliwego generatora liczb losowych. Dzięki celowo wprowadzonemu błędowi NSA zyskała dostęp do produktów szyfrujących dane. Wadliwy generator trafił do narzędzia Bsafe, które jest wykorzystywane w wielu prodktach.
Kwota 10 milionów dolarów nie wydaje się wysoką, jednak trzeba wiąć pod uwagę, że stanowi ona ponad 33% przychodów wydziału produkującego Bsafe.
Rola RSA w działaniach szpiegowskich NSA jest zaskoczeniem dla wielu ekspertów. Firma ta od wielu lat zwiększa bezpieczeństwo i prywatność, a w latach 90. ubiegłego wieku to głównie jej starania doprowadziły do tego, że NSA nie udało się wprowadzić specjalnego układu scalonego ułatwiającego szpiegowanie komputerów i urządzeń telekomunikacyjnych.
Po pojawieniu się najnowszych rewelacji Snowdena RSA zaapalowało do swoich klientów, by przestali używać narzędzi wykorzystujących Bsafe. Część osób uważa, że RSA została oszukana przez NSA, która zapłaciła firmie za używanie wspomnianego generatora, jednocześnie oszukując RSA co do jego działania.
RSA została założona w latach 70. przez profesorów z MIT-u. Od samego początku amerykańskie służby specjalne obawiały się, że działania firmy doprowadzą do sytuacji, w której nie będzie możliwe podsłuchiwanie komunikacji elektronicznej. Centrum technologii RSA są klucze publiczne. Martin Hellman, szef zespołu z Uniwersytetu Stanforda, który opracował technologię kluczy publicznych wspomina, że NSA próbowało przekonać ekspertów, iż klucze nie muszą być tak długie jak planują. Dzięki RSA klucze publiczne zaczęły być szeroko stoswane.
Za czasów prezydenta Clintona powstał projekt Clipper Chip, w ramach którego administracja chciała wprowadzić przepisy zobowiązujące firmy do montowania w urządzeniach specjalnych układów scalonych, która pozwalałyby służbom specjalnym, po uzyskaniu zgody sądu, na podsłuchiwanie dowolnego urządzenia. RSA rozpoczęła wówczas wielką kampanię społecznego protestu przeciwko Clipper Chip. Biały Dom się poddał, a następniei zaczął prowadzić działania, których celem miało być uniemożliwienie wydostania się za granicę najlepszych amerykańskich technologii szyfrujących. RSA znowu się temu sprzeciwiła i zalożyła swój oddział w Australii. Urzędnicy przekonali się, że ich działania na niewiele się zdadzą i z czasm poluzowali ograniczenia.
Jednak RSA zaczęła się zmieniać. Były Marines, Jeff Bidzos, który od dawna kierował firmą, zrezygnował w 1999 roku z funkcji dyrektora wykonawczego i rozpoczął pracę w firmie VeriSign. Elitarne laboratorium, które założył w RSA zostało przeniesione, odeszło wielu najważniejszych inżynierów. W tym czasie Bsafe i podobne narzędzia stanowiły niewielką część działaności firmy. W 2005 roku przychód produkującego je wydziału wynosił mniej niż 30 milionów dolarów. Jeden z australijskich inżynierów, który opuścił RSA w 2005 roku wspominał, że gdy dołączyłem do nich, w laboratorium pracowało 10 osób i walczyliśmy z NSA.
W tym czasie NSA rozwijała algorytm Dual Elliptic Curve i starała się o jego zatwierdzenie przez Narodowe Instytuty Standardów i Technologii (NIST). Zatwierdzenie przez NIST jest warunkiem, bez któreg wiele produktów nie może być używanych przez amerykańskie agendy rządowe. Technologie, na które zgodzi się NIST stają się de facto standardem. Z czasem DEC uzyskał, jako jeden z zaledwie czterech algorytmów tworzenia liczb losowych, certyfikat NIST. Tymczasem RSA zaczęła wykorzystywać DEC jeszcze zanim uzyskał on certyfikat NIST. Włączono go jako opcję do licznych firmowych produktów. Nikt nie podniósł alarmu, gdyż decyzja o wykorzystywaniu DEC była decyzją czysto biznesową, a nie technologiczną. Z czasem jednak zaczęły pojawiać się wątpliwości. Jeden z najbardziej znanych ekspertów ds. bezpieczeństwa, Bruce Schneier, pisał, że słabości odkryte w DEC to typowe tylne drzwi.
Teraz RSA nabrała wody w usta i nie chce zdradzić, w jaki sposób doszło do tego, że tak poważana firma bez zastrzeżeń zaakceptowała podejrzaną technologię.
Podlaczyc mozna sie do kazdego. Podlaczajac sie do mozgu czlowieka mozna sciagac obraz widziany oczami delikwenta. Operator moze znac dane kazdego czlowieka, ktory mieszka w terenie zelektryfikowanym.
Snowdem dzisiaj powiedzial, ze wszyscy jednoczesnie musieliby zaprzestac inwigilacji. Inaczej nikt sie nie zgodzi zaprzestac procederu.
Dołączył: 18 Sie 2009 Posty: 1301
Post zebrał 0.400 mBTC Podarowałeś BTC
Wysłany: 14:54, 26 Gru '13
Temat postu:
Gdy w latach 70 zeszłego stulecia Ron Rivest, Adi Shamir i Leonard Adleman (wszyscy z MIT) przedstawili algorytm RSA – pierwszą praktyczną implementację systemu szyfrowania na bazie klucza publicznego, a mniej więcej w tym samym czasie Whitfield Diffie i Martin Hellman pokazali, jak bezpiecznie wymieniać klucze kryptograficzne, wydawało się, że ludzkość dokonała wielkiego postępu. Oto zyskaliśmy system szyfrowania, który mimo całkowitej otwartości miał być całkowicie bezpieczny, jego bezpieczeństwo gwarantowała sama matematyka, trudność faktoryzacji dużych liczb złożonych.
Z perspektywy typowego internetowego hakera, czy kryptoanalityka pracującego w jednej z agencji wywiadowczych, algorytmy RSA czy Diffiego-Hellmana wyglądają naprawdę solidnie, a możliwym siłowym atakom (do tej pory największym kluczem, jaki został rozłożony na czynniki pierwsze, jest klucz 768-bitowy – nastąpiło to na przełomie 2009 i 2010 roku) łatwo zaradzić, zwiększając długość klucza (to, jak długość klucza wpływa na odporność na atak, można zobaczyć na stronie www.keylength.com). Rozważania na temat możliwych słabości kryptograficznych algorytmów prowadzone były przede wszystkim w kręgach akademickich, a wiedza z hermetycznego świata matematyków nie przenika wcale łatwo do świata praktyków (zapewne głównie ze względu na poziom trudności matematycznego dyskursu– przepaść między matematyką, a dziedzinami w których elementy Królowej Nauk znajdują zastosowanie pogłębia się z roku na rok).
Niektórzy spośród ludzi zajmujących się bezpieczeństwem IT podejmują wysiłek, by przyjrzeć się osiągnięciom akademickiego świata. Wśród nich jest Alex Stamos, dyrektor techniczny firmy Artemis, który podczas ostatniej konferencji Black Hat przedstawił zebranym stan badań nad technikami szyfrowania stosowanymi w Internecie. Ostrzegł, że istnieje realna szansa na to, że w ciągu najbliższych czterech czy pięciu lat, algorytmy RSA i Diffiego-Hellmana przestaną się nadawać do szyfrowania, a to doprowadzi do całkowitego załamania się mechanizmów zaufania w Internecie.
Stamos nie przesadza – to właśnie kryptografia klucza publicznego i bezpieczne systemy wymiany kluczy zabezpieczają elektroniczną bankowość, umożliwiają wysyłanie poufnych e-maili, czy zdalne aktualizowanie systemów operacyjnych. Jednak z prac francuskiego matematyka Anoine'a Jouxa wynika, że cały ten kryptosystem okaże się trywialnie łatwy do złamania. Poświęcone tej kwestii prace opublikowane zostały na początku 2013 roku. Dotyczą znajdywania logarytmu dyskretnego, dziś uważanego za problem trudny, przez co przekonani do tej pory jesteśmy, że szybkie odszyfrowanie danych nie jest możliwe bez klucza użytego do zaszyfrowania – albo wykorzystania pracujących przez dziesiątki lat superkomputerów, realizujących algorytm ogólnego sita ciała liczbowego.
A jednak z prac Jouxa wynika, że powinny istnieć algorytmy znacznie efektywniejsze niż dziś stosowany do znajdywania logarytmu dyskretnego algorytm Pohliga-Hellmana, radzący sobie szybko jedynie z kryptosystemami, które wykorzystują niewielkie liczby pierwsze. Przez 25 lat prac praktycznie nie poczyniono w tej sprawie żadnego postępu, ale teraz może się to zmienić, tym bardziej że metody wykorzystane przez francuskiego matematyka nie są zupełnie nieznane – po prostu nie stosowano ich wcześniej wobec tych szyfrów. Jarved Samuel, kryptograf pracujący dla firmy ISEC Partner ocenił, że osiągnięcia Jouxa pozwolą innym badaczom przyjrzeć się zagadnieniu bliżej, przynosząc dalszy postęp.
Wydaje się, że poważni gracze przeczuwają już schyłek kryptografii bazującej na liczbach pierwszych. Dowodem na to może być zachowanie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), która wydała już w 2005 roku Suite B, oficjalnie rekomendowany zestaw algorytmów do zabezpieczania informacji w biznesie. Usunięto z niego wcześniej rekomendowane algorytmy RSA i Diffiego-Hellmana, zastępując je algorytmami kryptografii na bazie krzywych eliptycznych. Podejrzewa się, że to samo dotyczy zestawu Suite A, wykorzystywanego do zabezpieczania informacji o najwyższym poziomie tajności, dotyczących nomen omen, bezpieczeństwa narodowego, i o którym oficjalnie prawie nic nie wiadomo.
Ta grupa technik kryptografii rozwijana jest od 1985 roku i swoje bezpieczeństwo opiera na złożoności obliczeniowej dyskretnych logarytmów na krzywych eliptycznych (ECC). Algorytmy wykorzystujące krzywe eliptyczne są bardzo szybkie, pozwalają na stosowanie relatywnie niedługich kluczy (256-bitowy klucz ECC jest równoważny mniej więcej 3072-bitowemu kluczowi RSA), a najlepsze algorytmy do ich łamania (np. algorytm rho Pollarda) są znacząco mniej wydajne od algorytmów wykorzystywanych przeciwko RSA.
Nie tylko NSA sięga po krzywe eliptyczne, nawet w naszym kraju kilka lat temu zrobiło się o nich głośno w mass-mediach, z okazji nagrodzenia budowanego przez zespół prof. Gawineckiego „narodowego szyfratora”. Można by się więc spodziewać, że przejście na nowe techniki kryptograficzne nastąpi wręcz automatycznie – ale wcale to nie jest takie pewne. Problem tkwi w patentach dotyczących ECC, należących do firmy Certicom, która zaimplementowała je jako pierwsze. Należący obecnie do BlackBerry Certicom nie ma zamiaru rozdawać je za darmo. Nawet federalna administracja USA musiała wykupić licencje na stosowanie algorytmów zalecanych w Suite B. Gdy Sony wykorzystało ECC w swoich odtwarzaczach Blu-ray, jednocześnie próbując unieważnić część patentów Certicom, sprawa skończyła się sądową ugodą, a Japończycy musieli za licencje zapłacić.
Niektórzy eksperci są przekonani, że jedyną szansą na uniknięcie katastrofy kryptograficznej jest więc unieważnienie patentów Certicomu, przeprowadzone przez samą administrację amerykańską. To wymagałoby jednak zmian w prawie, które uderzałyby w interesy posiadaczy wartych miliardy patentowych portfolio – nie można przecież wydać ustawy, która unieważnia po prostu patenty jednej firmy. Jeśli jednak nawet do zmian w prawie patentowym dojdzie, to trzeba pamiętać o tym, że tzw. biznesowe IT jest wyjątkowo mało zwinne, a wdrażanie nowych technologii zajmuje tam całe lata. O ile opensource'owe społeczności, agencje wywiadowcze czy najlepsze firmy programistyczne z przejściem na ECC sobie poradzą szybko, to inni będą mieli znacznie gorzej.
Aktualizacja
Niestety oryginalny link z pracami francuskiego matematyka nie działa, ale udało się nam znaleźć inne ich źródła:
NSA seeks to build quantum computer that could crack most types of encryption
By Steven Rich and Barton Gellman, Published: January 2 E-mail the writers
In room-size metal boxes secure against electromagnetic leaks, the National Security Agency is racing to build a computer that could break nearly every kind of encryption used to protect banking, medical, business and government records around the world.
According to documents provided by former NSA contractor Edward Snowden, the effort to build “a cryptologically useful quantum computer” — a machine exponentially faster than classical computers — is part of a $79.7 million research program titled “Penetrating Hard Targets.” Much of the work is hosted under classified contracts at a laboratory in College Park, Md.
Explore the documents
"If you think you understand quantum mechanics, you don't understand quantum mechanics," said the late Nobel laureate Richard Feynman, widely regarded as the pioneer in quantum computing. The science video blog Vertiasium tries to help make sense of it.
The development of a quantum computer has long been a goal of many in the scientific community, with revolutionary implications for fields such as medicine as well as for the NSA’s code-breaking mission. With such technology, all current forms of public key encryption would be broken, including those used on many secure Web sites as well as the type used to protect state secrets.
Physicists and computer scientists have long speculated about whether the NSA’s efforts are more advanced than those of the best civilian labs. Although the full extent of the agency’s research remains unknown, the documents provided by Snowden suggest that the NSA is no closer to success than others in the scientific community.
“It seems improbable that the NSA could be that far ahead of the open world without anybody knowing it,” said Scott Aaronson, an associate professor of electrical engineering and computer science at the Massachusetts Institute of Technology.
The NSA appears to regard itself as running neck and neck with quantum computing labs sponsored by the European Union and the Swiss government, with steady progress but little prospect of an immediate breakthrough.
“The geographic scope has narrowed from a global effort to a discrete focus on the European Union and Switzerland,” one NSA document states.
Seth Lloyd, an MIT professor of quantum mechanical engineering, said the NSA’s focus is not misplaced. “The E.U. and Switzerland have made significant advances over the last decade and have caught up to the U.S. in quantum computing technology,” he said.
Dołączył: 20 Sie 2005 Posty: 20414
Post zebrał 0.000 mBTC Podarowałeś BTC
Wysłany: 20:48, 06 Sty '14
Temat postu:
France-UAE satellite deal shaky after US spy tech discovered onboard – report
The sale of two intelligence satellites to the UAE by France for nearly a billion dollars could go south after they were found to contain American technology designed to intercept data transmitted to the ground station.
The equipment, costing 3.4 billion dirhams ($930 million), constitutes two high-resolution Pleiades-type Falcon Eye military intelligence satellites, which a top UAE defense source has said contain specific US-made components designed to intercept the satellites’ communications with their accompanying ground station, Defensenews.com said in a report.
NSA ma zdalny dostęp do maszyn niepodłączonych do internetu. Przez radio
NSA umieściła na tysiącach komputerów oprogramowanie, które przy współpracy ze specjalnym sprzętem pozwala inwigilować komputery niepodłączone do sieci - podaje New York Times znów na podstawie dokumentów od Snowdena.
New York Times opublikował wczoraj nową partię informacji bazujących na dokumentach od Edwarda Snowdena. Wynika z nich, że NSA zainfekowała niemal 100 tys. komputerów na całym świecie, aby mieć do nich zdalny dostęp. Co ciekawe to oprogramowanie pozwala na śledzenie komputera nawet wówczas, gdy nie jest on podłączony do internetu.
Z kabla USB do stacji polowej
Według New York Timesa amerykański wywiad ma dostęp do technologii, która pozwala na wysyłanie danych z komputera za pomocą małych układów elektronicznych umieszczonych w maszynie, albo przez odpowiednio spreparowane urządzenia USB. Dane są wysyłane do przenośnych stacji, które mogą się znajdować nawet 12 km od komputera będącego celem ataku. NYT prezentuje to na poniższym schemacie...
Ciekawe czy i kiedy się dowiemy, że NSA opracowało metodę komunikacji z dowolnym urządzeniem podłączonym do sieci energetycznej. W końcu jeśli można przesyłać dane z gniazdka do gniazdka, to może jest już sposób na przejście trafo z jakimś rodzajem impulsów/informacji. A jeśli go jeszcze nie ma, to uwierzcie, że tęgie głowy pracują nad tym.
To by były niezłe jaja
A przy okazji- jeśli to prawda, to najbezpieczniej haszować jest w klatce faradaya, najlepiej podwójnej... no i oczywiście zasilanie tylko z baterii.
Okrutna paranoja.
_________________ */ Wróżę z fusów. Na księżycu. I to na pewno nie jest ziemski księżyc.
Ludzie sa glusi na wiadomosci o broni falowej, bo nie wiedza, jak ona milaby sie do nich dostawac !?
Zeby ludziom wytlumaczyc ta kwestie, to na poczatek nalezy wziac zwykly sznurek i na jego koncach umocowac metalowe zakretki do sloikow. W zakretkach wywiercic dziurke, przez ktora trzeba przewlec sznurek i zrobic petelke. Sznurek moze byc dowolnej dlugosci. Powstanie telefon. Do jednej zakretki bedzie ktos mowil, a ktos drugi druga zaktrtke przylozy sobie do ucha i bedzie sluchal. Dzialanie mozna tez odwrocic, ten co slucha moze mowic, a ten co mowi bedzie sluchal. Jest to forma najprostrzego telefonu. Fale glosowe leca po kablu. Kazda fala jest fala glosowa. Kazda praca to ruch, ktory wytwarza fale. Te fale mozna puscic po kablach, ktore sa doprowadzone do mieszkan. Fala wydobywa sie z gniazdka i trafia do naszych uszu, a przez uszy do mozgu. Mozg reaguje na rozne fale. Nasz organizm wytwarza lub moze wytwarzac rozne fale organiczne. Inaczej np. pracuje pluca, ktore sa chore, co mozna posluchac stetoskopem. Jak inaczej pracuja, to inny rodzaj fali wytwarzaja, co rejestruje nasz mozg, ktory wie, ze nasze pluca sa chore. Jak zdrowemu organizmowi poda sie do mozgu falszywe fale, to mozg nas informuje, ze cos jest zle. Mamy falszywe zaburzenia. Te falszywe zaburzenia zaczynamy leczyc i tu powstaje konflikt z natura. Zaczynamy rozregulowywac organizm i powodowac prawdziwe niedomagania. Tak dziala ten caly przemysl medyczny i HAARP.
Czlowiek zapomina, ze jego uszy sa antenami, ktore sciagaja rozne fale. Dodatkowo kazdy mozg wytwarza inne fale, ktore odbiera operator. Jak zgra sie z falami danego mozgu, to nawet na bardzo duza odleglosc moze nadawac do tego mozgu. Mozemy byc w kazdym miejscu na Ziemi i to polaczenie bedzie dzialac. Dziesiec lat temu czytalam, ze dziala 100 tys. km. Technologia fal i ich przesylu jest juz bardzo rozwinieta. Swiadczyc o tym moze nawet telefon komorkowy. Bezprzwodowe przesylanie pradu i fal opacowane bylo juz 1900 roku.
Ludziom te rzeczy trzeba tlumaczyc, bo nie kazdy ma calosciowo opanowana fizyke i centrale telefoniczna.
Dokumenty wyniesione przez Edwarda Snowdena i publikowane przez międzynarodowe media często zawierają ocenzurowane fragmenty. Czasem jednak użyta metoda cenzury pozwala na bezproblemowe odkrycie ocenzurowanej treści.
Wpadka z nieudaną cenzurą zawsze ma podwójny wymiar. Nie dość, że dochodzi do ujawnienia informacji, które miały pozostać poufne, to dodatkowo odbiorcom wskazujemy, które informacje uznaliśmy za warte utajnienia. Tak też i jest w przypadku plików nieudolnie ocenzurowanych przez The New York Times.
Czarny prostokąt dobry na wszystko
Przyzwyczailiśmy się już do malowniczych czarnych prostokątów, pojawiających się na dokumentach pochodzących z „archiwum Snowdena”. Kiedy zatem wczoraj pojawiły się w sieci opisy metod, używanych przez NSA do zbierania informacji z telefonów komórkowych za pośrednictwem różnych aplikacji, nikogo nie zaskoczyły ocenzurowane fragmenty.
Jeden z czytelników serwisu Cryptome.org odkrył jednak ciekawostkę – dokument nie zawierał obrazów slajdów, a ich formę tekstową, zaś czarne prostokąty były warstwami nałożonymi na tekst. Najwyraźniej edytor dokumentu zapomniał przerobić go na formę docelową. NYT szybko dokumenty poprawił, ale oczywiście odkrywca wpadki natychmiast zapisane dokumenty przesłał do Cryptome.org.
Inside the NSA’s Secret Efforts to Hunt and Hack System Administrators
Across the world, people who work as system administrators keep computer networks in order – and this has turned them into unwitting targets of the National Security Agency for simply doing their jobs. According to a secret document provided by NSA whistleblower Edward Snowden, the agency tracks down the private email and Facebook accounts of system administrators (or sys admins, as they are often called), before hacking their computers to gain access to the networks they control.
The document consists of several posts – one of them is titled “I hunt sys admins” – that were published in 2012 on an internal discussion board hosted on the agency’s classified servers. They were written by an NSA official involved in the agency’s effort to break into foreign network routers, the devices that connect computer networks and transport data across the Internet. By infiltrating the computers of system administrators who work for foreign phone and Internet companies, the NSA can gain access to the calls and emails that flow over their networks.
The classified posts reveal how the NSA official aspired to create a database that would function as an international hit list of sys admins to potentially target. Yet the document makes clear that the admins are not suspected of any criminal activity – they are targeted only because they control access to networks the agency wants to infiltrate. “Who better to target than the person that already has the ‘keys to the kingdom’?” one of the posts says.
Dołączył: 10 Mar 2011 Posty: 198
Post zebrał 0.000 mBTC Podarowałeś BTC
Wysłany: 23:14, 10 Kwi '14
Temat postu:
Cytat:
Heartbleed: Zielona kłódka w przeglądarce nie gwarantuje bezpieczeństwa!
OpenSSL to jedna z najpopularniejszych bibliotek stosowanych przy połączeniach SSL/TLS. W teorii połączenia tego typu miały zapewnić bezpieczną komunikację. Chyba każdy z nas zna widok zielonej kłódki pojawiającej się w przeglądarkach podczas korzystania z szyfrowanego połączenia. Okazuje się, że poczucie bezpieczeństwa było złudne.
Ciekawy tylko jestem, czy faktycznie NSA znała lukę, czy teraz wszyscy twórcy teorii będą pierdolić farmazony powołując się na "anonimowe źródła".
Cytat:
Agencja NSA używa luki Heartbleed od lat! [AKTUALIZACJA]
Afera Heartbleed przybrała nieoczekiwany obrót. Agencja Bloomberg dotarła do źródeł, według których agencja NSA wie o luce niemal od samego początku. I aktywnie z niej korzysta. Internet stanie na głowie?
AKTUALIZACJA
NSA początkowo odmówiła dziennikarzom Bloomberga komentarza. W piątkowe popołudnie agencja wystosowała dementi:
"NSA nie była świadoma istnienia luki odkrytej ostatnio w bibliotece OpenSSL do czasu, aż informacje o Heartbleed upubliczniono. Doniesienia, że było inaczej są mylne".
***
Według dwóch anonimowych źródeł, do których dotarła agencja informacyjna Bloomberg, NSA od dawna wiedziała o luce Heartbleed. Od niemal dwóch lat agencja aktywnie wykorzystuje ją do przejmowania haseł i innych danych.
Przypomnijmy, że przez ten czas luka w zabezpieczeniach OpenSSL mogła być wykorzystywania do penetrowania wielu popularnych serwisów jak choćby poczta Gmail czy usługi hostingowe Amazon. Ze względu na specyfikę błędu przechwytywanie danych nie pozostawiało żadnych śladów. Dziś nie sposób więc ocenić co "przeczytała" NSA.
Potencjalnie w zasięgu Amerykanów było 2/3 serwerów na całym świecie.
Wielkie pieniądze i wielki błąd
Co gorsza jedno ze źródeł Bloomberga twierdzi, że NSA ma "dziesiątki tego typu luk do dyspozycji". Ilość informacji przechowywanych na serwerach NSA jest oczywiście nieznana. Warto jednak zwrócić uwagę na szacunki, według których agencja wydała na samo tylko przetwarzanie danych 1,6 miliarda dolarów. Przypomnijmy: twórcy OpenSSL na swoją działalność zebrali z publicznych datków 850 tys. dol.
Niemiecki programista Robin Seggelman - "twórca" Heartbleed - w rozmowie z dziennikarzami oświadczył, że luka powstała na skutek zwykłego błędu w programowaniu, odrzucił jakiekolwiek oskarżenia o celowe działanie.
Afera Heartbleed stała się jedną z największych w historii całego internetu. Społeczność programistów, administratorów, szefowie koncernów takich jak Facebook czy Google nie pozostawią tej sprawy bez konsekwencji. Nikt z nas nie może mieć bowiem pewności, że jego dane nie stały się obiektem zainteresowania NSA. Dla agencji najpewniej nie ma absolutnie żadnych barier.
Komentarz eksperta
O komentarz do sprawy znów poprosiliśmy Michała "ryśka" Woźniaka z Fundacji Wolnego i Otwartego Oprogramowania. Jest specjalistą zarówno jeśli chodzi o kwestię zabezpieczeń w sieci jak i wolnego internetu. Nie kryje oburzenia:
Wyobraźmy sobie, że służby bezpieczeństwa miałyby informację o poważnym błędzie w oprogramowaniu używanym na pokładzie samolotów (np. autopilocie), mogącym doprowadzić do katastrofy, i przez 2 lata nie przekazały by tej informacji producentom, liniom lotniczym i instytucjom nadzoru lotniczego.
Ocena takiego działania, niezależnie od próby ubrania go w kostium "bezpieczeństwa narodowego", byłaby tyleż krótka, co jednoznaczna.
Jeżeli NSA znalazło ten błąd, również inne agencje (z Rosji czy Chin) oraz cyberprzestępcy mogli o nim wiedzieć. Słowem, NSA pozwoliło na sytuację, w której cyberprzestępcy i obce wywiady były przez 2 lata w stanie wykorzystywać krytyczną lukę w zabezpieczeniach stron na całym świecie.
Pamiętajmy przy tym, że z projektu OpenSSL korzystają nawet najwięksi, od Google po strony banków. Każdy z nas był więc z powodu NSA przez 2 lata poważnie zagrożony.
Pozostaje pytanie, o ilu jeszcze podobnych lukach NSA wie?
The Great SIM Heist: How Spies Stole the Keys to the Encryption Castle
Cytat:
AMERICAN AND BRITISH spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe, according to top-secret documents provided to The Intercept by National Security Agency whistleblower Edward Snowden.
The hack was perpetrated by a joint unit consisting of operatives from the NSA and its British counterpart Government Communications Headquarters, or GCHQ. The breach, detailed in a secret 2010 GCHQ document, gave the surveillance agencies the potential to secretly monitor a large portion of the world’s cellular communications, including both voice and data.
Lenovo and Superfish plant spyware, making PCs vulnerable to hackers
Cytat:
The same week researchers reported the National Security Agency had been embedding surveillance tools in the guts of thousands of machines in Iran, Russia and other countries, it was revealed that the world’s largest personal-computer company had been doing something similar to its customers.
The Chinese computer-making giant Lenovo was inserting spyware — its defenders would call it adware — in its PCs. This software could track customers’ every online move, intercept secure Web sessions and render their computers vulnerable to hackers.
The company buried its software in the lowest level of a PC’s operating system, where customers and anti-virus products would never detect it, and had been siphoning data back to servers belonging to Superfish, an Israeli software company headquartered in Silicon Valley that markets itself as a visual search company.
The discoveries are the latest in a string of revelations that indicate that as traditional security defenses have begun fully to surround the outer layers of our devices, criminals, nation-states’ hackers and advertisers have turned their focus inward, to the very heart of the machine, where their code is easily concealed.
Superfish niniejszym trafia na czarną listę takich firm, jak Amdocs, Verint czy Calea. Bydło Goyim trzeba non-stop podsłuchiwać, coby zawczasu zażegnać grożące biednemu Izraelowi (i w ogóle „narodowi wybranemu”) śmiertelne niebezpieczeństwo i stosownie, w porę zareagować – niczym król Achaszwerosz z poduszczenia podstępnej żmii Estery, zezwalający na genocyd Persów.
Dołączył: 01 Sie 2011 Posty: 487
Post zebrał 0.000 mBTC Podarowałeś BTC
Wysłany: 15:57, 25 Lut '15
Temat postu:
grzanek napisał:
AMERICAN AND BRITISH spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe
może nie powinienem pisać, ale doskonale znam ten system
włamanie agentów nie jest możliwe - tzn. nie ma takiej szansy, by przeniknęli do vaulta, gdzie są trzymane tzw. dane live
przede wszystkim to jest tak, że do samego końca produkcji kart żaden pracownik nie widzi danych live (z prawdziwymi kluczami) a wszystko do prawie samego końca odbywa się na kluczach i danych testowych
żeby wejść do vaulta trzeba przejść 4 procesy rejestracji - nie zagłębiając się w szczegóły to jest tam zabezpieczenie w postaci ochrony znającej pracowników osobiście, karty zbliżeniowej, odcisków linii papilarnych, PINa wklepanego w klawiaturę, wagi sprawdzającej danego użytkownika, jednoosobowego przejścia i kupy kamer patrzących bezpośrednio na to, co robi operator komputera mający dostęp do bazy; żadnych pendrive itp - wszystko monitorowane przez kilkaset kamer, logowane, sprzętowo wyłączone porty usb, nagrywarki itd.
jedyne, kto mógł wynieść te klucze, to pracownik i to na wydruku, bo oczywiście drukarka działa i może on pisać skrypty podłączając się do bazy, dane są zaszyfrowane, ale mając tzw. Key Management System można je odszyfrować
druga możliwość to, że agenci zostali świadomie wpuszczeni i wyjście kluczy nie było sabotażem ani przypadkiem
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz moderować swoich tematów
Wiki2
Wykop2
Linki
Szukaj
Ekipa
Rejestracja
Zaloguj
