W tym wydaniu:
Jak USA narażają bezpieczeństwo narodowe
Tajne podsłuchy NSA wciąż głównymi wiadomościami. Szczegóły o kiedyś tajnych programach nadal wyciekają. Dyrektor Wywiadu Narodowego niedawno odtajnił dodatkowe informacje, a Prezydencki Zespół Kontroli (President’s Review Group) właśnie wydał swój raport i rekomendacje.
Dzięki temu wszystkiemu, co się dzieje, łatwo jest znieczulić się na zasięg i zakres działania NSA. Ale dzięki ujawnianym informacjom, nauczyliśmy się bardzo dużo na temat możliwości agencji, jak zawodzi w chronieniu nas, i co musimy zrobić, aby przywrócić bezpieczeństwo w Erze Informacji.
Po pierwsze i najważniejsze, stan nadzoru jest bardzo rozbudowany. Ma wsparcie polityczne, prawne i techniczne. Mogę wymienić trzy różne programy NSA służące zbieraniu danych użytkowników Gmaila. Programy te są oparte na trzech różnych technicznych możliwościach podsłuchu. Opierają się one na trzech różnych organach prawnych. Obejmują one współpracę z trzema różnymi firmami. A mówimy tylko o Gmail. To samo odnosi się do zapisów połączeń wykonywanych z telefonów komórkowych, czatów internetowych, danych lokalizacyjnych telefonów komórkowych.
Po drugie, NSA nadal kłamie o swoich możliwościach. Ukrywa się za torturowanymi interpretacjami słów, takich jak „zebranie”, „przypadkowo”, „cel”, i „kierowane”. Skrywa programy za wieloma nazwami kodowymi, aby ukryć ich pełen zakres i możliwości. Urzędnicy zeznają, że szczególna aktywność nadzoru nie dotyczy jednego konkretnego programu lub władzy, wygodnie pomijając, że odbywa się to w ramach innego programu lub władzy.
Po trzecie, w rządowym nadzorze w USA nie chodzi tylko o NSA. Dokumenty Snowdena dały nam niezwykłe szczegóły dotyczące działań NSA. Ale wiemy równocześnie, że CIA, NRO, FBI, DEA i lokalna policja angażują się we wszechobecny nadzór przy użyciu tych samych rodzajów narzędzi podsłuchowych. Oraz, że regularnie dzielą się ze sobą informacjami.
Mentalność NSA polegająca na zbieraniu wszystkiego jest w dużej mierze pozostałością z czasów zimnej wojny, gdy wścibskie podglądanie ZSRR było normą. Nadal nie jest jasne, na ile tak naprawdę jest skuteczna obserwacja skierowana przeciwko „wrogim” krajom. Nawet wtedy, gdy uda się poznać prawdziwe tajemnice, tak jak dowiedzieliśmy się na początku tego roku o wykorzystaniu broni chemicznej w Syrii, często nie można nic zrobić z informacjami.
Wszechobecny nadzór powinien umrzeć wraz z upadkiem komunizmu, ale dostał nowe – do tego niosące jeszcze więcej niebezpieczeństw – życie dzięki antyterrorystycznej misji społeczności wywiadowczej „Nigdy więcej”, będącej skutkiem ataków z 9/11. Ta utopia mająca na celu zapobieganie stawaniu się czegokolwiek, zmusza nas, aby spróbować poznać wszystko, co ma się zdarzyć. Zmusza to NSA do podsłuchiwania światów gier internetowych i każdego telefonu komórkowego na świecie. Ale to marzenie ściętej głowy, po prostu jest zbyt wiele sposobów komunikacji.
Nie mamy dowodów, że nadzór ten w jakikolwiek sposób sprawia, że jesteśmy bardziej bezpieczni. Dyrektor Generalny NSA Keith Alexander odpowiedział na te historie w czerwcu, twierdząc, że udaremnił 54 zamachy terrorystyczne. W październiku zmienił tą liczbę, zmniejszając ją do 13, a następnie do „jednego lub dwóch”. W tym momencie, jedynym „spiskiem”, któremu zapobieżono, było wysłanie przez pewnego człowieka z San Diego 8500 dolarów w celu wsparcia somalijskiej bojówki. Wielokrotnie nam mówiono, że te programy nadzoru mogłyby zapobiec atakom z 9/11, ale NSA nie wykryła zamachów w Bostonie – pomimo tego nawet, że jeden z terrorystów był na liście obserwacyjnej, a do drugiego prowadził trop z mediów społecznościowych. Masowe zbieranie danych i metadanych jest nieskutecznym narzędziem do zwalczania terroryzmu.
Wszechobecny nadzór nie tylko jest nieskuteczny, jest niezwykle kosztowny. Nie chodzi mi tylko o budżety, które będą nadal szybko puchnąć. Jest też kosztowny dyplomatycznie, w miarę, jak kraj po kraju, dowiadują się o naszych programach szpiegowania ich obywateli. Mówię też o kosztach dla społeczeństwa. Niszczy wiele z tego, co nasze społeczeństwo zbudowało. Niszczy nasze systemy polityczne, bo Kongres nie jest w stanie go kontrolować a obywatele są trzymani w niewiedzy o tym, co robi rząd. Niszczy nasze systemy prawne, w miarę jak przepisy są ignorowane lub reinterpretowane, a ludzie nie są w stanie zakwestionować działań rządu w sądzie. Niszczy nasze systemy komercyjne, bo produktom i usługom komputerowym z USA nie ufa się już na całym świecie. Niszczy to nasze systemy techniczne, bo nie ufa się podstawowym protokołom Internetu. Na koniec niszczy nasze systemy społeczne, utrata prywatności, swobody i wolności jest o wiele bardziej szkodliwa dla naszego społeczeństwa niż sporadyczny akt losowej przemocy.
I wreszcie, systemy te są podatne na nadużycia. Nie jest to jedynie hipotetyczny problem. Najnowsza historia pokazuje wiele epizodów, kiedy informacje te były, lub mogły być, nadużywane: Hoover i jego szpiegostwo FBI, McCarthy, Martin Luther King Jr i ruch praw obywatelskich, ludzie protestujący przeciwko wojnie w Wietnamie i – ostatnio – ruch Occupy. Poza USA, istnieją jeszcze bardziej skrajne przykłady. Budowanie stanu nadzoru sprawia, że zbyt łatwo jest ludziom i organizacjom przekroczyć granicę nadużycia.
Musimy się obawiać nie tylko krajowego nadużycia, chodzi także o resztę świata. Im bardziej zdecydujemy się podsłuchiwać Internet i inne technologie komunikacyjne, tym mniej będziemy zabezpieczeni przed podsłuchiwaniem przez innych. Nie wybieramy pomiędzy cyfrowym światem, gdzie NSA może podsłuchiwać i takim, gdzie NSA jest zabezpieczona przed podsłuchem, wybieramy pomiędzy światem cyfrowym, który jest podatny na wszystkich napastników, i takim, który jest bezpieczny dla wszystkich użytkowników.
Naprawić ten problem będzie ciężko. Już dawno znaleźliśmy się poza punktem, w którym proste interwencje prawne mogą pomóc. Ustawa w Kongresie mająca na celu ograniczyć nadzór NSA nie będzie w rzeczywistości robić wiele, aby ograniczyć nadzór NSA. Może NSA wymyśli taką wykładnię prawa, która pozwoli jej i tak robić cokolwiek zechce. Może zrobi to w inny sposób, przy użyciu innego uzasadnienia. Może FBI zrobi to i da im kopię. A kiedy pojawią się pytania, będzie kłamać.
Nadzór na poziomie NSA jest jak Linia Maginota w latach przed II wojną światową: nieskuteczna i nieekonomiczna. Musimy otwarcie ujawnić zakres nadzoru jaki prowadziliśmy i znane braki w zabezpieczeniach, które na to pozwoliły. Musimy działać na rzecz bezpieczeństwa, nawet jeśli inne kraje, takie jak Chiny, nadal korzystają z Internetu jak z gigantycznej platformy nadzoru. Musimy zbudować koalicję narodów wolnego świata poświęconą bezpiecznemu globalnemu Internetowi, i musimy stale wywierać nacisk na aktorów negatywnych – zarówno państwowych, jak i niepaństwowych – którzy przeszkadzają w osiągnięciu tego celu.
Zabezpieczenie Internetu wymaga zarówno prawa, jak i technologii. Wymaga technologii, która zabezpiecza dane, gdziekolwiek się znajdują i gdziekolwiek podróżują. Wymaga prawa o szerokim zasięgu, które stawia bezpieczeństwo przed nadzorem zarówno krajowym, jak i międzynarodowym. Wymaga to dodatkowych technologii do egzekwowania tych praw, a na całym świecie systemu egzekucyjnego służącego do rozliczania negatywnych aktorów. To nie jest łatwe, napotkamy tu wszystkie problemy, które dotyczą wszystkich kwestii międzynarodowych: nierozprzestrzeniania broni nuklearnej, chemicznej i biologicznej; obrotu bronią palną; handlu ludźmi; prania brudnych pieniędzy; własności intelektualnej. Globalne bezpieczeństwo informacji i anty-nadzór musi dołączyć do tych trudnych problemów globalnych, abyśmy mogli poczynić jakiekolwiek postępy.
Rekomendacje Prezydenckiego Zespołu Kontroli są w dużej mierze pozytywne, ale nie są wystarczająco dalekowzroczne. Musimy uznać, że bezpieczeństwo jest ważniejsze od nadzoru i rozpocząć działania na rzecz tego celu.
Ten esej pojawił się wcześniej na TheAtlantic.com.
http://www.theatlantic.com/technology/archive/2014/01/how-the-nsa-threatens-national-security/282822/
lub http://tinyurl.com/ok4vydn
Nowe rewelacje od Snowdena:
http://www.nytimes.com/2013/12/21/world/nsa-dragnet-included-allies-aid-groups-and-business-elite.html
lub http://tinyurl.com/or8lz4e
http://www.theguardian.com/uk-news/2013/dec/20/gchq-targeted-aid-agencies-german-government-eu-commissioner
lub http://tinyurl.com/pcmqpgm
http://www.spiegel.de/international/world/snowden-documents-show-gchq-targeted-european-and-german-politicians-a-940135.html
lub http://tinyurl.com/oxcv5ko
Ostatnie odtajnienia DNI:
http://www.theguardian.com/world/2013/dec/21/national-intelligence-bush-era-nsa-documents
lub http://tinyurl.com/lxufd23
http://icontherecord.tumblr.com/post/70683717031/dni-announces-the-declassification-of-the
lub http://tinyurl.com/mqqu9jg
Raport Prezydenckiego Zespołu Kontroli:
http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf
lub http://tinyurl.com/lj4azsg
http://www.nytimes.com/2013/12/20/opinion/protecting-citizens-and-their-privacy.html
lub http://tinyurl.com/nfjnrub
Trzy różne program zbierania dotyczące GMaila:
http://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html
lub http://tinyurl.com/mm3ttqt
http://www.washingtonpost.com/world/national-security/nsa-collects-millions-of-e-mail-address-books-globally/2013/10/14/8e58b5be-34f9-11e3-80c6-7e6dd8d22d8f_story.html
lub http://tinyurl.com/kn8ld96
http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html
lub http://tinyurl.com/jwzxh77
Zbieranie danych lokalizacyjnych telefonów komórkowych:
http://www.washingtonpost.com/world/national-security/nsa-tracking-cellphone-locations-worldwide-snowden-documents-show/2013/12/04/5492873a-5cf2-11e3-bc56-c6ca94801fac_story.html
lub http://tinyurl.com/nu4h5s9
http://www.washingtonpost.com/blogs/the-switch/wp/2013/12/10/new-documents-show-how-the-nsa-infers-relationships-based-on-mobile-location-data/
lub http://tinyurl.com/opjhjko
Kłamstwa NSA:
http://www.theatlantic.com/politics/archive/2013/12/new-evidence-that-the-head-of-the-nsa-misled-us/282365/
lub http://tinyurl.com/kjyd43o
Redefiniowanie pojęć przez NSA:
https://www.eff.org/deeplinks/2013/06/director-national-intelligences-word-games-explained-how-government-deceived
lub http://tinyurl.com/ma7dk5j
http://www.newyorker.com/online/blogs/closeread/2013/12/how-to-tell-when-the-nsa-is-lying.html
lub http://tinyurl.com/ly4eewu
Jak NSA ukrywa się za poszczególnymi programami:
http://www.theatlantic.com/politics/archive/2013/12/how-americans-were-deceived-about-cell-phone-location-data/282239/
lub http://tinyurl.com/q5mt8j7
Wszystkie ujawnione dotąd dokumenty Snowdena:
https://www.eff.org/nsa-spying/nsadocs
https://www.aclu.org/nsa-documents-released-public-june-2013
http://cryptome.org/2013/11/snowden-tally.htm
http://www.mindmeister.com/326632176/nsa-css
http://www.tedgioia.com/nsa_facts.html
Inne organizacje ochrony porządku, które angażują się w nadzór krajowy:
http://online.wsj.com/news/article_email/SB10001424052702303559504579198370113163530-lMyQjAxMTAzMDEwNDExNDQyWj
lub http://tinyurl.com/q434yn7
http://arstechnica.com/tech-policy/2013/12/new-us-spy-satellite-features-world-devouring-octopus/
lub http://tinyurl.com/no7yzbx
http://www.foreignpolicy.com/articles/2013/11/21/the_obscure_fbi_team_that_does_the_nsa_dirty_work
lub http://tinyurl.com/mozzoyp
http://www.nytimes.com/2013/09/02/us/drug-agents-use-vast-phone-trove-eclipsing-nsas.html
lub http://tinyurl.com/k2qd45z
http://www.usatoday.com/story/news/nation/2013/12/08/cellphone-data-spying-nsa-police/3902809/
lub http://tinyurl.com/mxdftt8
Wymiana informacji wywiadowczych między organizacjami:
http://www.reuters.com/article/2013/08/05/us-dea-sod-idUSBRE97409R20130805
lub http://tinyurl.com/kbsc4k9
http://www.reuters.com/article/2013/08/07/us-dea-irs-idUSBRE9761AZ20130807
lub http://tinyurl.com/modr5rz
Ograniczenia wywiadu:
https://www.schneier.com/blog/archives/2013/09/the_limitations.html
Donkiszotowski cel NSA:
https://www.schneier.com/blog/archives/2013/11/dan_geer_explai.html
NSA szpieguje światy gier online:
http://www.nytimes.com/2013/12/10/world/spies-dragnet-reaches-a-playing-field-of-elves-and-trolls.html
lub http://tinyurl.com/mee2ubn
Brak dowodów na to, że masowy nadzór NSA czyni nas bardziej bezpiecznymi:
http://www.theguardian.com/commentisfree/2013/oct/08/nsa-bulk-metadata-surveillance-intelligence
lub http://tinyurl.com/pt7v3eb
54 spiski terrorystyczne Alexandra:
http://usnews.nbcnews.com/_news/2013/06/27/19175466-nsa-chief-says-surveillance-programs-helped-foil-54-plots
lub http://tinyurl.com/m2tldhc
13 spisków terrorystycznych Alexandra:
http://www.salon.com/2013/10/02/nsa_director_admits_to_misleading_public_on_terror_plots/
lub http://tinyurl.com/m459sa6
Ostatni pozostały spisek Alexandra:
http://www.huffingtonpost.com/2013/10/23/nsa-attacks-thwarted_n_4148811.html
lub http://tinyurl.com/mc3ccda
Argumenty za tym, że NSA mogła zapobiec atakom z 9/11:
http://www.washingtonpost.com/blogs/the-switch/wp/2013/10/30/heres-why-nsa-officials-never-seem-to-stop-talking-about-911/
lub http://tinyurl.com/myk6s9u
Zamach w Bostonie:
http://www.reuters.com/article/2013/04/24/us-usa-explosions-boston-suspect-idUSBRE93N06720130424
lub http://tinyurl.com/kk7vrwb
http://storify.com/MacleansMag/the-social-media-trail-of-tsarnaev-brothers
lub http://tinyurl.com/klvz899
Nadzór NSA jest nieefektywny:
http://www.cnn.com/2013/12/30/opinion/bergen-nsa-surveillance-september-11/index.html
lub http://tinyurl.com/kjvk3sr
Budżety wywiadowcze USA:
http://articles.washingtonpost.com/2013-08-29/world/41709796_1_intelligence-community-intelligence-spending-national-intelligence-program
lub http://tinyurl.com/ov35q5q
Brak kontroli ze strony Kongresu:
https://www.youtube.com/watch?v=JPnfgUkcvOk
http://www.theguardian.com/commentisfree/2013/oct/25/nsa-no-congress-oversight
lub http://tinyurl.com/p8ctswu
Łamanie prawa przez NSA:
https://www.aclu.org/national-security/nsa-collating-data-americans-facebook-gps-tax-other-records
lub http://tinyurl.com/mqs3mwf
http://www.theguardian.com/commentisfree/2013/oct/16/nsa-fbi-endrun-weak-oversight
lub http://tinyurl.com/kp3t92s
http://www.nationalreview.com/corner/356159/sensenbrenner-nsa-surveillance-abuse-patriot-act-john-fund
lub http://tinyurl.com/l5deldt
http://www.theatlantic.com/politics/archive/2013/07/mission-creep-when-everything-is-terrorism/277844/
lub http://tinyurl.com/l2ddac9
Obecne ustawy w Kongresie:
https://www.aclu.org/blog/national-security/usa-freedom-act-real-spying-reform
lub http://tinyurl.com/mzjlyns
https://www.eff.org/deeplinks/2013/11/floor-not-ceiling-supporting-usa-freedom-act-step-towards-less-surveillance
lub http://tinyurl.com/mvqew8f
Przejrzystość i kontrola:
https://www.schneier.com/essay-447.html
https://www.schneier.com/essay-435.html
Bezpieczeństwo jest ważniejsze niż nadzór:
http://www.schneier.com/essay-452.html
Ranking exploitów NSA
Jednym z tajnych dokumentów NSA opublikowanych przez Der Spiegel jest 50-stronicowy katalog „implantów” pochodzących z Tailored Access Group NSA. Ponieważ poszczególne implanty są tak bardzo zróżnicowane i pokazano ich nam tak wiele na raz, większość z nich nigdy nie była przedmiotem dyskusji w środowisku bezpieczeństwa. (Ponadto, ich spis opublikowano w formie obrazków, co czyniło ich indeksowanie i wyszukiwanie trudniejszym). Aby to skorygować, zaczynam publikować na moim blogu jednego exploita dziennie.
W komentarzach do bloga dyskutujcie na temat sposobu działania exploita, jak możemy go wykryć, jak został najprawdopodobniej udoskonalony od momentu umieszczenia go na liście w 2008, itd.
„DEITYBOUNCE zapewnia ciągłą obecność oprogramowania aplikacyjnego na serwerach Dell PowerEdge wykorzystując BIOS płyty głównej, poprzez tryb zarządzania systemem (SMM), do uzyskania okresowego wykonania podczas ładowania systemu.”
https://www.schneier.com/blog/archives/2014/01/nsa_exploit_of.html
„IRONCHEF zapewnia ciągły dostęp do systemów docelowych poprzez wykorzystanie BIOS płyty głównej i używając trybu zarządzania systemem (SMM), aby komunikować się z implantem sprzętowym, który zapewnia dwukierunkową komunikację RF. ” Działa na serwerze HP ProLiant 380DL G5.
https://www.schneier.com/blog/archives/2014/01/nsa_exploit_of_1.html
„FEEDTROUGH to technika utrzymywania dwóch implantów programowych, BANANAGLEE z DNT i ZESTYLEAK z CES stosowanym wobec firewallom Juniper Netscreen.”
https://www.schneier.com/blog/archives/2014/01/feedtrough_nsa.html
„GOURMETTROUGH jest konfigurowalnym przez użytkownika implantem niektórych zapór Juniper. Utrzymuje on implant BANANAGLEE pomimo rebootów i aktualizacji systemu operacyjnego. Na niektórych platformach, obsługuje minimalny implant z sygnalizatorem dla OS-ów nie obsługiwanych przez BANANAGLEE.”
https://www.schneier.com/blog/archives/2014/01/gourmettrough_n.html
„Implant HALLUXWATER, trwały backdoor (Persistent BackDoor –PBD), jest instalowany na firewallu Huawei Eudemon jako uaktualnienie boot ROMu. Gdy cel zostanie uruchomiony ponownie, instalator PBD odnajduje potrzebne poprawki i instaluje backdoora podczas przetwarzania pakietów przychodzących.”
https://www.schneier.com/blog/archives/2014/01/halluxwater_nsa.html
„JETPLOW jest implantem firmware’u firewalli z serii Cisco PIX i ASA (Adaptive Security Appliance). Ma na celu utrzymanie implantu software’owego BANANAGLEE. JETPLOW posiada również funkcję trwałego backdoora.”
https://www.schneier.com/blog/archives/2014/01/jetplow_nsa_exp.html
„SOUFFLETROUGH jest trwałym implantem BIOSu dla firewalli Juniper SSG 500 i SSG 300. Utrzymuje on implant programowy DNT BANANAGLEE. SOUFFLETROUGH posiada również zaawansowaną funkcję trwałego backdoora.”
https://www.schneier.com/blog/archives/2014/01/souffletrough_n.html
„HEADWATER jest implantem programowym typu Trwały Backdoor (PDB), dla wybranych routerów Huawei. Implant odblokowuje ukryte funkcje zdalnie wykonywane w routerze za pośrednictwem połączenia internetowego.”
https://www.schneier.com/blog/archives/2014/01/headwater_nsa_e.html
” SCHOOLMONTANA zapewnia trwałość implantów DNT.Implant DNT przetrwa uaktualnienia lub wymianę systemu operacyjnego – w tym fizyczną wymianą kartę compact flash routera.”
https://www.schneier.com/blog/archives/2014/01/schoolmontana_n.html
Pracownik rządu USA wysłał do mnie maila, żebym nie umieszczał tego na moim blogu. Rząd ma dziwną politykę polegającą na tym, że ujawnione tajemnice pozostają wciąż tajemnicą, a pracownikom rządowym bez odpowiedniego poziomu dostępu nie wolno czytać fragmentów objętych tajemnicą. Słyszałem o tym już wcześniej. Zasadniczo, przed ujawnieniem tylko ludzie z poziomem dostępu TOP SECRET mogli czytać te fragmenty. Po ujawnieniu, tylko ludzie bez żadnego poziomu dostępu mogą czytać te paragrafy. Nie, to nie ma sensu.
Użytkownik Tora zidentyfikowany przez FBI
Eldo Kim wysłał do Harvardu e-maila z powiadomieniem o podłożeniu bomby, co miało mu ułatwić zaliczenie egzaminu końcowego. (Tylko przez przypadek, byłem tego dnia na Harvardzie.) Pomimo tego, że użył anonimowego konta i Tora, FBI zidentyfikowało go. Czytając zarzuty, wydaje się, że FBI pozyskała listę użytkowników Harvardu, którzy uzyskali dostęp do sieci Tora, i zweryfikowała ich, jednego po drugim, aby znaleźć tego, kto wysłał maila.
Jest to jeden z problemów związanych z używaniem rzadkich narzędzi bezpieczeństwa. Dokładnie to, co daje wam możliwość wiarygodnego zaprzeczenia, czyni was równocześnie najbardziej prawdopodobnymi podejrzanymi. FBI nie włamywało się do Tora, po prostu zastosowali konwencjonalne techniki policyjne aby Kim się przyznał.
Tor nie zawiódł; Kim tak.
http://usnews.nbcnews.com/_news/2013/12/17/21943608-harvard-student-tried-to-dodge-exam-with-bomb-hoax-fbi-says
lub http://tinyurl.com/oud3x95
http://www.thecrimson.com/article/2013/12/17/eldo-threats-experts-sentencing/
lub http://tinyurl.com/lvok7nm
http://www.wbur.org/2013/12/18/pdf-criminal-complaint-harvard-bomb-threat lub
http://tinyurl.com/oe8mrsp
News
Ta historia jest o tym, jak włamano się do pokojów hotelowych co najmniej dwóch profesjonalnych graczy pokera online, a ich komputery zainfekowano malwarem. Zgadzam się z konkluzją: „Gdzie jest morał tej historii? Jeśli masz laptopa, którego używasz do transferowania dużych ilości pieniędzy, dbaj o niego. Blokuj klawiaturę gdy od niego odchodzisz. Umieszczaj go w sejfie, gdy gdzieś wychodzisz, i szyfruj dysk, aby zapobiec dostępowi off-line. Nie korzystaj z niego do surfowania po Internecie (używaj innego laptopa / urządzenia do tego, są stosunkowo tanie). Ta rada jest dobra niezależnie od tego, czy jesteś zawodowym pokerzystą używającego laptopa do grania czy kontrolerem biznesu w dużej firmie, który przy użyciu komputera dokonuje przelewów dużej ilości środków finansowych. „Tanie laptopy są bardzo tanie, zwłaszcza jeśli kupisz stare modele z wyprzedaży w jednym z dużych sklepach sieciowych. Nie ma powodu, aby nie mieć maszyn specjalnego przeznaczenia.
http://www.f-secure.com/weblog/archives/00002647.html
Ciekawa praca naukowa dokumentuje „efekt miodu” (Honeymoon effect) w odniesieniu do oprogramowania i luk: napastnikom tym łatwiej jest znaleźć luki im starszy i bardziej znany jest kod. Praca już kilka lat, ale nie widziałem jej wcześniej. Autorami są Sandy Clark, Stefan Frei, Matt Blaze i Jonathan Smith: „Familiarity Breeds Contempt: The Honeymoon Effect and the Role of Legacy Code in Zero-Day Vulnerabilities”, Doroczna konferencja bezpieczeństwa aplikacji komputerowych 2010.
http://www.acsac.org/2010/openconf/modules/request.php?module=oc_program&action=view.php&a=&id=69&type=2
lub http://tinyurl.com/kkypwxz
Kryptoanaliza akustyczna „pozwala wyodrębnić w ciągu godziny pełne 4096-bitowe klucze deszyfrowania RSA z laptopów (różnych modeli), wykorzystując dźwięk generowany przez komputer podczas deszyfrowania niektórych wybranych tekstów zaszyfrowanych.”
http://www.cs.tau.ac.il/~tromer/acoustic/
Dwa długie wpisy na blogach o NSA. Pierwszy jest o zawarciu przez RSA tajnego porozumienia z NSA o wykorzystaniu mającego backdoora DUAL_EC_PRNG jako domyślnego generatora liczb losowych w swoim zestawie narzędzi BSAFE. Prawdziwa historia o tym, jak NSA niszczy zaufanie w Internecie.
https://www.schneier.com/blog/archives/2013/12/nsa_spying_who.html
Drugi jest o grupie TAO NSA (Tailored Access Operations) i jej możliwościach, napisany w oparciu o nowe tajne dokumenty NSA opublikowane przez Der Spiegel. Jacob Appelbaum wykonał świetną robotę rozpracowując to.
https://www.schneier.com/blog/archives/2013/12/more_about_the.html
Jeśli nie zainteresuje was nic innego z tego wydania Crypto-Gramu, przeczytajcie te dwa linki.
Poniżej lista dokumentów NSA z artykułu Der Spiegel:
https://www.schneier.com/blog/archives/2014/01/nsa_documents_f.html
Fascynujący raport Citizen Lab o wykorzystaniu szkodliwych programów w bieżącym konflikcie syryjskim.
https://www.eff.org/document/quantum-surveillance-familiar-actors-and-possible-false-flags-syrian-malware-campaigns
lub http://tinyurl.com/nx3vtwu
https://www.eff.org/deeplinks/2013/12/social-engineering-and-malware-syria-eff-and-citizen-labs-latest-report-digital
lub http://tinyurl.com/my7dd9j
http://www.wired.com/threatlevel/2013/12/syria-report/
Zabawny komiks o Bożym Narodzeniu.
http://www.onthefastrack.com/?webcomic1=december-22-2013
„Talking to Vula” jest opowieścią o tajnym kanale komunikacji między południowoafrykańskimi czarnymi przywódcami i tymi, którzy żyli na emigracji w Wielkiej Brytanii w latach 80-tych.System używał szyfrowanych tekstów zakodowanych tonami klawiszy telefonu i przekazywane z automatów telefonicznych.
http://www.anc.org.za/show.php?id=4693
Joseph Stiglitz napisał doskonały esej o wartości zaufania, i jego braku w dzisiejszym społeczeństwie.
http://opinionator.blogs.nytimes.com/2013/12/21/in-no-one-we-trust/
Zdumiewa mnie, że, jak się wydaje, NSA nie przeprowadza analiz zysków/kosztów w odniesieniu do któregokolwiek ze swoich programów nadzoru. Wydaje się to szczególnie istotne w odniesieniu do programów masowego nadzoru, ponieważ generują one znaczne koszty oprócz oczywistych kosztów pieniężnych. W poniższym artykule, John Mueller i Mark G. Stewart dokonują analizy jednego z tych programów. Warto przeczytać.
http://politicalscience.osu.edu/faculty/jmueller/NSAshane3.pdf
Matt Blaze pisząc o metodach TAO, wskazując, że ukierunkowany nadzór jest lepszy niż nadzór masowy.
http://www.theguardian.com/commentisfree/2014/jan/06/nsa-tailored-access-operations-privacy
lub http://tinyurl.com/m8s74no
Jest to bardzo ważne. Pomimo tego, jak przerażająco imponujący jak katalog implantów TAO, są one ukierunkowane. Możemy spierać się o to, jak powinny być ukierunkowane – kto zalicza się do „złych facetów”, a kto nie – ale jest to o wiele lepsze niż zbieranie przez NSA danych o lokalizacji telefonu komórkowego należącego do kogokolwiek na tej planecie. Im bardziej będziemy w stanie ukrócić zdolność NSA do prowadzenia masowego szpiegowania wszystkich, i zmusić ich do nadzoru ukierunkowanego na poszczególne osoby i organizacje, tym bardziej wszyscy będziemy bezpieczni.
Porażka uwag o przestrzeganiu prywatności i wyborze konsumenta.
http://firstmonday.org/ojs/index.php/fm/article/view/4838/3802
Ciekawa historia o włamaniu do biura FBI w 1971r.
http://www.nytimes.com/2014/01/07/us/burglars-who-took-on-fbi-abandon-shadows.html
lub http://tinyurl.com/n62lf4d
http://www.nytimes.com/video/us/100000002635482/stealing-j-edgar-hoovers-secrets.html
lub http://tinyurl.com/kqwjuvm
Powstała również książka:
http://www.amazon.com/The-Burglary-Discovery-Hoovers-Secret/dp/0307962954/
lub http://tinyurl.com/mjlt3xm
Zagrożenia zabezpieczeń systemów wbudowanych
Jesteśmy teraz w krytycznym punkcie w odniesieniu do bezpieczeństwa systemów wbudowanych, w których przetwarzanie jest osadzone w samym sprzęcie – jak w przypadku Internetu Rzeczy. Te zintegrowane komputery są pełne luk, i nie ma dobrego sposobu, aby je załatać.
Jest to sytuacja podobna do tego, co wydarzyło się w połowie 1990, kiedy brak bezpieczeństwa komputerów osobistych osiągnął poziom krytyczny. Oprogramowanie i systemy operacyjne były usiane lukami bezpieczeństwa, i nie było dobrego sposobu, aby je załatać. Zamiast szybko publikować aktualizacje zabezpieczeń, firmy starały się utrzymać luki w tajemnicy. A kiedy aktualizacje zostały wydane, ciężko było – jeśli nie niemożliwe – aby użytkownicy je zainstalowali. W ciągu ostatnich dwudziestu lat sytuacja uległa zmianie, dzięki połączeniu pełnego ujawnienia – publikowanie luk zmusiło firmy do wydawania łatek szybciej – i automatycznym aktualizacjom: automatyzacji procesu instalacji aktualizacji na komputerach użytkowników. Wyniki nie są idealne, ale są o wiele lepsze niż były kiedykolwiek wcześniej.
Jednak w tym przypadku problem jest znacznie większy, ponieważ świat się zmienił: wszystkie te urządzenia są połączone z Internetem. Komputery w naszych routerach i modemach są znacznie potężniejsze niż komputery z połowy lat 90-tych, a Internet Rzeczy będzie umieszczał komputery we wszelkiego rodzaju urządzeniach konsumenckich. Branże produkujące te urządzenia są jeszcze mniej zdolne do rozwiązywania problemów niż kiedyś były branże komputerów PC i oprogramowania.
Jeśli nie rozwiążemy tego szybko to, jak tylko hakerzy zobaczą, że łatwiej włamywać się do routerów niż komputerów, staniemy na skraju katastrofy bezpieczeństwa. Na niedawnej Def Con, naukowiec przejrzał trzydzieści routerów i włamał się do połowy z nich – w tym do niektórych z najbardziej popularnych i powszechnych marek.
Aby zrozumieć ten problem, trzeba zrozumieć rynek systemów wbudowanych.
Zazwyczaj systemy te korzystają z wyspecjalizowanych chipów komputerowych wykonanych przez firmy takie jak Broadcom, Marvell i Qualcomm. Układy te są tanie, a marże niskie. Oprócz ceny, sposobem, w jaki producenci odróżniają się od siebie są funkcjonalności i przepustowość. Umieszczają na chipach zazwyczaj wersję Linuxa, a także kilka innych elementów i sterowników open-source i autorskich. Robią pod względem technicznym tak mało, jak to tylko możliwe przed wysyłką, a bodziec do aktualizacji ich „pakietu wsparcia” jest bardzo niewielki, dopóki nie jest to absolutnie konieczne.
Producenci systemów – zazwyczaj pierwotni producenci urządzeń (ODM – original device manufacturers), którzy często nie umieszczają swojej marki na gotowym produkcie – wybierają procesor w oparciu o cenę i funkcje, a następnie budują router, serwer, czy cokolwiek innego. Oni także nie inwestują w technologie. Firma, której nazwa będzie umieszczona na pudełku może dodać interfejs użytkownika lub może kilka nowych funkcji, upewni się, że wszystko działa, i na tym kończy się ich rola.
Problemem w tym procesie jest to, że żadna z tych firm nie ma żadnej motywacji, wiedzy, a nawet zdolności do patchowania oprogramowania po wysyłce. Producent chipa jest zajęty wysyłką kolejnej wersji chipa a ODM jest zajęty modernizacją swojego produktu, tak by pracował z kolejną wersją układu. Utrzymanie starszych chipów i produktów po prostu nie jest priorytetem.
Do tego wszystkiego oprogramowanie jest stare, nawet gdy urządzenie jest nowe. Na przykład, podczas jednego z badań zwykłych routerów stwierdzono, że składniki oprogramowania były czterech do pięciu lat starsze niż urządzenia. Minimalnym wiekiem Linuxa były cztery lata. Minimalny wiek oprogramowania systemu plików Samba: sześć lat. Mogły mieć zastosowane wszystkie poprawki zabezpieczeń, ale najprawdopodobniej tak nie było. Nikt się tym nie zajmuje. Niektóre z elementów są tak stare, że nie wydaje się dla nich patchy. Te patche są szczególnie ważne, ponieważ znajdywanie luk w zabezpieczeniach staje się „łatwiejsze” w miarę jak systemy się starzeją.
Co gorsza, patchowanie oprogramowania lub aktualizacja składników do najnowszej wersji często jest niemożliwe. Często kompletny kod źródłowy nie jest dostępny. Tak, oni mają kod źródłowy do Linuksa i innych komponentów open-source. Ale wiele sterowników urządzeń i innych składników są tylko „bąblami binarnymi” – kodu źródłowego nie ma w ogóle. To najbardziej złośliwa część problemu: nie da się patchować kodu, który jest tylko w postaci binarnej.
Nawet jeśli patch jest możliwy, to jest rzadko stosowany. Użytkownicy zwykle mają ręcznie pobrać i zainstalować odpowiednie patche. Ale ponieważ użytkownicy nigdy nie otrzymują powiadomienia o aktualizacji zabezpieczeń, a nie mają wiedzy, aby ręcznie zarządzać tymi urządzeniami, to się nigdy nie zdarza. Czasami ISP ma możliwość zdalnego patchowania routerów i modemów, ale jest to również rzadkie.
Rezultatem są setki milionów urządzeń, które były podłączone do Internetu, niespatchowane i niezabezpieczone, w ciągu ostatnich pięciu do dziesięciu lat.
Hakerzy zaczynają to zauważać. Malware DNS Changer atakuje routery w tym samym stopniu jak i komputery. W Brazylii, 4,5 mln routerów DSL zostało zainfekowanych do celów oszustwa finansowego. W zeszłym miesiącu, Symantec poinformował o robaku Linuxowym przeznaczonym do routerów, kamer i innych urządzeń zintegrowanych.
To jest dopiero początek. Wszystko czego potrzeba aby dzieciaki zajęły się tym, to kilka prostych w użyciu narzędzi hakerskich.
Do tego wszystkiego Internet Rzeczy jedynie pogorszy sprawę, w miarę, jak Internet – a także nasze domy i ciała – zostaną zalane nowymi urządzeniami zintegrowanymi, które będą równie źle utrzymane i niemożliwe do spatchowania. Ale routery i modemy stanowią szczególny problem, ponieważ są one: (1) między użytkownikami i Internetem, więc ich wyłączenie nie jest, w coraz większym stopniu, opcją, (2) bardziej wydajne i mają szersze zastosowanie, w odróżnieniu od innych urządzeń zintegrowanych, (3 ) jedynym w domu urządzeniem informatycznym działającym 24/7, i są naturalnym miejscem dla wielu nowych funkcji.
Byliśmy już w tym miejscu wcześniej, z komputerami osobistymi, i problem został rozwiązany. Ale ujawnianie luk w celu zmuszenia dostawców, aby rozwiązać problem, nie będzie działać w ten sam sposób jak w przypadku systemów wbudowanych. Ostatnim razem, problemem były głównie komputery, szczególnie te nie podłączone do Internetu, i wirusy powolnego rozprzestrzeniania. Dzisiaj skala jest inna: więcej urządzeń, więcej luk, wirusy rozprzestrzeniają się szybciej w Internecie, mniej wiedzy technicznej i doświadczenia zarówno po stronie producenta, jak i użytkownika. A do tego jeszcze luki, które są niemożliwe do poprawki.
Połączcie wszystkie funkcje z brakiem aktualizacji, dodajcie złośliwą dynamikę rynku, który hamuje aktualizacje i uniemożliwia aktualizację innym, a dostaniecie oznaki katastrofy przed sobą. To tylko kwestia czasu.
Po prostu musimy to naprawić. Musimy wywierać presję na producentów systemów wbudowanych aby projektowali systemy lepiej. Musimy mieć sterowniki open-source – nigdy więcej binarnych bąbli! – tak, by inni producenci i dostawcy usług internetowych mogli dostarczyć narzędzia zabezpieczające i aktualizacje oprogramowania tak długo, jak urządzenie jest w użyciu. A żeby upewnić się, że są instalowane, potrzebujemy mechanizmów automatycznych aktualizacji.
Bodźce ekonomiczne wskazują na dużych dostawców usług internetowych, jako źródło zmian. Niezależnie od tego, czy to ich należy winić, czy nie, ISP są tymi, którzy dostają zgłoszenia awarii. Często muszą wysłać użytkownikom nowy sprzętu, ponieważ jest to jedyny sposób, aby uaktualnić router lub modem, a to może z łatwością kosztować tyle, ile wyniesie roczny zysk z tego klienta. Ten problem będzie tylko większy, i droższy. Ponoszenie z góry kosztów lepszych systemów wbudowanych jest znacznie tańsze niż ponoszenie kosztów katastrof bezpieczeństwa.
Esej ten ukazał się pierwotnie na Wired.com.
http://www.wired.com/opinion/2014/01/theres-no-good-way-to-patch-the-internet-of-things-and-thats-a-huge-problem/
lub http://tinyurl.com/ngoxykw
Luki w zabezpieczeniach routerów:
https://www.defcon.org/images/defcon-18/dc-18-presentations/Heffner/DEFCON-18-Heffner-Routers.pdf
lub http://tinyurl.com/mycykl7
http://www.youtube.com/watch?v=stnJiPBIM6o
Luki w zabezpieczeniach starszych systemów:
http://www.acsac.org/2010/openconf/modules/request.php?module=oc_program&action=view.php&a=&id=69&type=2
lub http://tinyurl.com/l57yph8
Osadzony malware:
http://news.cnet.com/8301-10784_3-9970972-7.html
http://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/
lub http://tinyurl.com/8js9jg2
http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices
lub http://tinyurl.com/ncwl6rr
http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-internet-of-things-devices/
lub http://tinyurl.com/mcv73mj
Dwa eseje obalające mit, że „nadzór NSA mógł powstrzymać zamachy 9/11”:
http://www.cnn.com/2013/12/30/opinion/bergen-nsa-surveillance-september-11/
http://www.newyorker.com/talk/comment/2014/01/13/140113taco_talk_wright
Zmieniające się koszty nadzoru:
http://ashkansoltani.org/2014/01/09/the-cost-of-surveillance/
http://www.yalelawjournal.org/the-yale-law-journal-pocket-part/constitutional-law/tiny-constables-and-the-cost-of-surveillance:-making-cents-out-of-united-states-v.-jones
Schneier News
Pod koniec grudnia opuściłem BT.
https://www.schneier.com/blog/archives/2013/12/yes_im_leaving.html
W zeszłym miesiącu, rozmawialiśmy z Ebenem Moglenem o nadzorze NSA. Audio i wideo online.
https://www.softwarefreedom.org/events/2013/a_conversation_with_bruce_schneier/
lub http://tinyurl.com/mganzed
https://www.youtube.com/watch?v=N8Sc6pUR1mA
Schneier News: dołączyłem do Co3 Systems
Przez dziesiątki lat twierdziłem, że dobre zabezpieczenie jest kombinacją ochrony, wykrywania i reagowania. W 1999 roku, kiedy tworzyłem Counterpane Internet Security, skupiłem firmy na powstającym wtedy obszarze wykrywania. Od tego czasu pojawiło się wiele produktów i usług, które koncentrują się na wykrywaniu, i stanowi to ogromną część branży bezpieczeństwa informacji. Teraz nadszedł czas na reakcję. Chociaż istnieje wiele firm, które oferują usługi, aby pomóc w reakcji na incydent – łagodzenie, informatyka śledcza, odzyskiwanie, zgodność – nie ma w tej dziedzinie wszechstronnego produktu.
No, prawie nie ma. CO3 Systems oferuje system koordynacji reagowania na incydenty. Myślę, że jest to portal społecznościowy służący reakcji na incydent, choć firma nie używa tego określenia. Chodzi o to, że system generuje plan reagowania na incydenty w zakresie instalacji, a gdy coś się stanie, automatycznie uruchamia go. Zbiera informacje na temat incydentu, przydziela i śledzi zadania oraz rejestruje wszystko, co robicie. Zapewnia wam linki do informacji, których możecie potrzebować, firm, z którymi możecie chcieć się skontaktować, i przepisów, z którymi musicie być zgodni. W dodatku rejestruje wszystko, więc można wykazać, że realizowaliście swój plan reagowania, a tym samym postępowaliście w zgodzie z prawem – i zobaczyć, jak, gdzie i czego zabrakło.
Przed laty ataki były zarówno rzadsze, jak i mniej poważne, a wymogi jakościowe były skromniejsze. Ale dziś, firmy są obiektami ataków przez cały czas, a wymagania prawne są skomplikowane – coraz bardziej, przez cały czas. Odpowiedź ad hoc na incydent nie jest już wystarczająca. Jest wiele rzeczy, które trzeba zrobić, gdy jest się atakowanym, zarówno w celu zabezpieczenia sieci przed atakami, jak i zabezpieczenia firmy przed pozwami sądowymi.
Problemem każdego planu reagowania kryzysowego jest to, że potrzebny jest tylko w sytuacji awaryjnej. Katastrofy są zarówno skomplikowane, jak i stresujące, a przez to wszystko może się posypać. Kwestia podstawową jest mieć coś – system, listę kontrolną, nawet osobę – co śledzi wszystko i zapewnia, że wszystko, co jest do zrobienia, zostanie zrobione.
Co3 Systems jest świetny w nagłych przypadkach, ale oczywiste jest, że tak naprawdę chcecie mieć to wszystko zainstalowane i skonfigurowane * przed * awarią.
Jeśli będziecie używać go regularnie, będzie służyć wam lepiej. CO3 Systems ma mieć zastosowanie w przypadku wszystkich reakcji na incydenty, zarówno zwykłe, jak i krytyczne. System może rejestrować i oceniać wszystko, co wydaje się nieprawidłowe. Plany reakcji na incydenty jakie generuje ułatwiają to, a intelligence feeds sprawiają, że są przydatne. Jeśli CO3 Systems jest zainstalowany, gdy coś okazuje się być prawdziwym incydentem, łatwo jest eskalować to do następnego poziomu, gdzie możesz używać narzędzi, z którymi jesteś już zaznajomiony.
CO3 Systems działa albo z prywatnej chmury lub w waszej sieci. Myślę, że chmura ma większy sens, bo nie chcecie chyba koordynować reakcji na incydenty z sieci, która jest właśnie atakowana. Do tego wszystkiego jest stale ulepszany, w miarę, jak coraz więcej firm partnerskich integruje swoje kanały informacji i najlepsze praktyki. Firma rozpoczęła już współpracę z niektórymi z nich i pewne głośne marki wkrótce zostaną ogłoszone.
Dziś dołączam do CO3 Systems jako Chief Technology Officer. Prze około rok byłem członkiem komisji doradczej firmy, a wcześniej nieformalnym doradcą prezesa Johna Bruce. John i ja pracowaliśmy razem w Counterpane w roku 2000, i obaj sądzimy, że jest to naturalne rozszerzenie tego co staraliśmy się tam budować. Znam również CMO Teda Juliana, jeszcze z jego czasów w @Stake. Wspólnie będziemy budować * ten * produkt reakcji na incydenty.
Jestem bardzo podekscytowany tym wszystkim – a fakt, że siedziba firmy jest tylko trzy przystanki od Harvardu i Centrum Berkmana czyni go jeszcze bardziej doskonałym.
http://www.co3sys.com
https://www.co3sys.com/news/news-releases/bruce-schneier-joins-co3-systems-cto
lub http://tinyurl.com/nzhbsf4
http://www.darkreading.com/attacks-breaches/bruce-schneier-departs-bt-for-startup-co/240165137
lub http://tinyurl.com/nyatozb
http://threatpost.com/bruce-schneier-joins-startup-co3-systems/103429 or
http://tinyurl.com/puynhos
http://www.networkworld.com/news/2014/010614-schneier-co3-277365.html or
http://tinyurl.com/kd4f4j9
https://www.co3sys.com/blog-post/bruce-schneier-chief-technology-officer
lub http://tinyurl.com/kszop9o
https://www.co3sys.com/blog-post/security-legend-bruce-schneier-joins-co3 or
http://tinyurl.com/k2u3rnb
https://www.youtube.com/watch?v=c7XMWR1hD9M&sns=tw
http://threatpost.com/bruce-schneier-joins-startup-co3-systems/103429#
lub http://tinyurl.com/khs2gdk
Użytkownicy Twittera: Proszę upewnić się, że śledzicie właściwy wątek
Mam oficjalny kanał mojego bloga naTwitterze, to @ schneierblog. Jest też nieoficjalny kanał @Bruce_Schneier. Nie mam nic do czynienia z tym drugim.
Nie miałbym nic przeciwko nieoficjalnemu kanałowi – jeśli ludzie czytają mojego bloga, to kto by się przejmował – poza tym, że nie działa dobrze, i nie było go przez jakiś czas. Publikuje kilka postów z opóźnieniem kilku tygodni, a inne pomija całkowicie. Mam tylko nadzieję, że ten się tam pojawi.
Denerwujące jest też trochę to, że ludzie śledzą @ Bruce_Schneier myśląc, że to ja. Nie jest tak, nigdy nie loguję się na Twitterze i nie śledzę tam nikogo.
Jeśli więc chcecie przeczytać mój blog na Twitterze, proszę upewnijcie się, że śledzicie @schneierblog. A jeśli jesteś osobą, która prowadzi konto @Bruce_Schneier – jeśli ktoś jeszcze go prowadzi – proszę o e-maila do mnie na adres podany na mojej stronie kontaktowej. Wolałbym raczej widzieć go naprawionym niż zamkniętym, ale lepiej byłoby go zamknąć, niż ciągnąć go w tej formie.
@schneierblog:
http://twitter.com/schneierblog/
@Bruce_Schneier:
https://twitter.com/Bruce_Schneier
Moja strona kontaktowa:
https://www.schneier.com/contact.html
Od 1998 roku, CRYPTO-GRAM jest comiesięcznym, darmowym newsletterem, w którym znaleźć można podsumowania, analizy, studia przypadków i komentarze na temat bezpieczeństwa: komputerów i nie tylko. Możesz się zapisać, wypisać lub zmienić adres e-mail na stronie http://www.schneier.com/crypto-gram.htmlPod tym adresem są także dostępne starsze numery newslettera. CRYPTO-GRAM, w całości lub w części, możesz dalej przesłać do twoich kolegów i przyjaciół, którym może okazać się przydatny. Udzielam także zgody na przedruk CRYPTO-GRAMu, tak długo jak jest on przedrukowywany w całości. CRYPTO-GRAM został napisany przez Bruce’a Schneiera. Schneier jest autorem takich bestsellerów jak “Liars and Outliars”, „Schneier on Security,” „Beyond Fear,” „Secrets and Lies,” a także „Applied Cryptography”. Jest także twórcą algorytmów Blowfish, Twofish, Threefish, Helix, Phelix oraz Skei. Pełni funkcję Dyrektora ds. bezpieczeństwa informatycznego BT, a także jest członkiem zarządu Electronic Privacy Information Center (EPIC). Często pisze i wypowiada się na tematy związane z bezpieczeństwem. Wejdź na: http://www.schneier.com.Crypto-Gram jest autorskim newsletterem. Wyrażane w nim opinie niekoniecznie pokrywają się z opiniami BT. Copyright (c) 2014 by Bruce Schneier Oryginalne wydanie newslettera Polskie tłumaczenie newslettera Tłumaczenie polskie opracowane przez IMMUSEC Sp. z o.o.
ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com
