W tym wydaniu:
Rozbicie NSA
NSA stała się zbyt duża i zbyt potężna. To, co miało być jedną agencją z dwojaką misją- zapewnienia bezpieczeństwa komunikacji w USA oraz podsłuchiwania komunikacji naszych wrogów – stało się niesymetryczne w post zimnowojennej erze, gdzie największym zagrożeniem jest terroryzm.
Stworzenie US Cyber Command, cyberwojennego ramienia wojska, w tym samym miejscu i pod tym samym dowódcą, poszerzyło uprawnienia NSA. Rezultatem jest agencja, która ustaliła priorytet zbierania informacji nad bezpieczeństwem, co w coraz większym stopniu naraża nas wszystkich na niebezpieczeństwo. Nadszedł czas abyśmy pomyśleli o podziale NSA.
Ogólnie rzecz biorąc, w dokumentach upublicznionych przez Edwarda Snowdena ujawnione zostały trzy rodzaje programów inwigilacyjnych NSA. I choć media raczej traktują je tak samo, zrozumienie ich różnic jest kluczem do zrozumienia, jak należy rozróżniać zadania NSA.
Pierwsza jest ukierunkowana inwigilacja.
Najlepiej ilustruje ją praca grupy NSA – Tailored Access Operations (TAO – operacje dostosowanego dostępu), w tym jej katalog sprzętowych i programowych „implantów” przeznaczonych do potajemnego instalowania na komputerach wroga. Takie rzeczy reprezentują to, co najlepsze w NSA i jest dokładnie tym, co chcemy by robiła. To, że Stany Zjednoczone mają takie możliwości, jakkolwiek straszne, jest powodem do zadowolenia.
Druga jest inwigilacja masowa, zbieranie przez NSA wszystkiego, co może uzyskać poprzez jakikolwiek kanał komunikacji, do którego może uzyskać dostęp. Obejmuje to rzeczy takie, jak masowe zbieranie przez NSA rejestrów połączeń, danych o lokalizacji, wiadomości e-mail i wiadomości tekstowych.
To jest właśnie miejsce, w którym NSA brakuje równowagi: gromadzenie danych na temat niewinnych Amerykanów czy to przy okazji, czy to celowo, oraz danych na temat wszystkich obywateli zagranicznych, bez wyjątku. Nie czyni nas to wcale bardziej bezpiecznymi i jest podatne na nadużycia. Nawet dyrektor wywiadu narodowego, James Clapper, przyznał, że gromadzenie i przechowywanie danych było zbyt długo utrzymywane w tajemnicy.
Trzecim jest celowe sabotowanie bezpieczeństwa. Najlepszym tego przykładem jest Program NSA BULLRUN, który służy do „umieszczania luk w komercyjnych systemach szyfrowania, systemach informatycznych, sieciach i końcowych urządzeniach komunikacyjnych”. To najgorszy spośród grzeszków NSA, ponieważ niszczy nasze zaufanie do Internetu, osłabia bezpieczeństwo z którego korzysta każdy z nas i czyni nas bardziej podatnymi na ataki na całym świecie.
Chodzi właśnie o tą trójkę: dobra, zła, bardzo zła. Reorganizacja aparatu wywiadu USA tak, by koncentrował się na naszych wrogach wymaga podziału NSA wzdłuż granic tych funkcji.
Po pierwsze, TAO i jego misja nadzoru ukierunkowanego powinny zostać przeniesione pod kontrolę amerykańskiego Cyber Command, a samo Cyber Command powinno być całkowicie oddzielone od NSA. Aktywne atakowanie sieci wroga jest ofensywną operacją wojskową, i powinno być częścią ofensywnej jednostki wojskowej.
Niezależnie od tego, według jakich zasad zaangażowania działa Cyber Command, powinny mieć one zastosowanie również do aktywnych działań, takich jak sabotowanie centrum wzbogacania uranu w Natanz w Iranie oraz hackowanie belgijskiej firmy telekomunikacyjnej. Jeśli mamy zamiar zaatakowania infrastruktury innego państwa, niech to będzie ściśle wojskowa operacja.
Po drugie, cała inwigilacja Amerykanów powinna zostać przeniesiona do FBI.
FBI jest obarczone zadaniem zwalczania terroryzmu w Stanach Zjednoczonych i musi odgrywać tę rolę. Wszelkie działania skierowane przeciwko obywatelom amerykańskim muszą podlegać prawu USA i FBI jest najlepszym miejscem do stosowania tego prawa. To, że NSA może, zdaniem wielu, w nieskończoność unikać nadzoru Kongresu, należytego procesu sądowego oraz prawa krajowego jest obrazą naszej Konstytucji i zagrożenie dla naszego społeczeństwa. Misja NSA powinna koncentrować się poza granicami Stanów Zjednoczonych – na poważnie, a nie tylko na pokaz.
I po trzecie, reszta NSA musi być zrównoważona, tak by COMSEC (bezpieczeństwo komunikacji) miało pierwszeństwo przed SIGINT (wywiad sygnałowy). Zamiast celowego osłabiania bezpieczeństwa dla wszystkich, NSA powinna działać na rzecz poprawy bezpieczeństwa dla każdego.
Bezpieczeństwo komputerów i sieci jest trudną dziedziną i potrzebujemy wiedzy NSA w celu zabezpieczenia naszych sieci społecznych, systemów biznesowych, komputerów, telefonów i infrastruktury krytycznej. Wystarczy przypomnieć niedawne incydenty zhackowanych kont – od Targeta do Kickstartera. Co kiedyś wydawało się okazjonalne, teraz wydaje się rutyną. Wszelkie prace NSA mające na celu zabezpieczenie naszych sieci i infrastruktury mogą być wykonywane w sposób otwarty – nie potrzeba tu żadnej tajemnicy.
To radykalne rozwiązanie, ale wiele szkód spowodowanych przez NSA wymaga radykalnego podejścia. To nie jest dalekie od tego, co zalecał Prezydencki Zespół Kontroli ds. wywiadu i technologii komunikacyjnych, mający za zadanie ocenę obecnych programów NSA. Jego 24-ta rekomendacja miała umieścić NSA i US Cyber Command pod zwierzchnictwem różnych generałów, a 29-ta rekomendacja miała umieścić szyfrowanie przed eksploitacją.
Nie mam złudzeń, że coś takiego nastąpi w najbliższym czasie, ale może to być jedyny sposób, aby oswoić tą ogromną bestię, którą stała się NSA.
Esej ten pojawił się wcześniej na CNN.com.
http://www.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/index.html
lub http://tinyurl.com/kyrfpvl
NSA naraża nas na ryzyko:
https://www.schneier.com/essay-469.html
Katalog sprzętowych i programowych „implantów” TAO:
https://www.schneier.com/blog/archives/2013/12/more_about_the.html
http://www.theguardian.com/commentisfree/2014/jan/06/nsa-tailored-access-operations-privacy
lub http://tinyurl.com/m8s74no
Masowe gromadzenie rejestrów połączeń przez NSA:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order
lub http://tinyurl.com/qaynuex
Masowe gromadzenie danych lokacyjnych przez NSA:
http://www.washingtonpost.com/world/national-security/nsa-tracking-cellphone-locations-worldwide-snowden-documents-show/2013/12/04/5492873a-5cf2-11e3-bc56-c6ca94801fac_story.html
lub http://tinyurl.com/nu4h5s9
Masowe gromadzenie e-maili przez NSA:
http://www.theguardian.com/world/2013/jun/27/nsa-data-mining-authorised-obama
lub http://tinyurl.com/ou2cewm
Masowe gromadzenie sms-ów przez NSA:
http://www.theguardian.com/world/2014/jan/16/nsa-collects-millions-text-messages-daily-untargeted-global-sweep
lub http://tinyurl.com/nm6rmx8
Potwierdzenie Clapper’a:
http://www.thedailybeast.com/articles/2014/02/17/spy-chief-we-should-ve-told-you-we-track-your-calls.html
lub http://tinyurl.com/ppu98ay
Program BULLRUN:
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
lub http://tinyurl.com/m47p5dc
http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html
lub http://tinyurl.com/kbgkfcq
Hackowanie centrum wzbogacania uranu w Natanz:
http://www.cnn.com/2011/11/08/tech/iran-stuxnet
Hackowanie belgijskiej firmy telefonicznej:
http://www.spiegel.de/international/europe/british-spy-agency-gchq-hacked-belgian-telecoms-firm-a-923406.html
lub http://tinyurl.com/plphdb8
Wątek na Slashdot:
http://yro.slashdot.org/story/14/02/21/1418207/schneier-break-up-the-nsa
lub http://tinyurl.com/k3kb5zv
Wątek na Hacker News:
https://news.ycombinator.com/item?id=7277128
Eksploitacja sieci komputerowej kontra atak na sieć komputerową
Kiedy po raz pierwszy pojawiły się doniesienia o chińskich włamaniach do sieci komputerowych w USA w celach szpiegowskich, opisywaliśmy to w bardzo zdecydowany sposób. Nazywaliśmy chińskie działania cyberatakami. Czasami nawet używaliśmy słowa cyberwojna i oświadczyliśmy, że cyberatak był aktem wojny.
Kiedy Edward Snowden ujawnił, że NSA robi dokładnie to samo, co Chińczycy, sieciom komputerowym na całym świecie, zaczęliśmy używać znacznie bardziej umiarkowanego języka do opisu działań USA: słowa takie jak wywiad, gromadzenie informacji lub szpiegowanie. Podkreślaliśmy, że jest to działalność w czasie pokoju, i że każdy to robi.
Prawda leży gdzieś po środku, a problemem jest to, że nasze przeczucia opierają się na historii.
Wywiad elektroniczny jest całkiem inny niż był w zimnowojennych czasach przed-internetowych. Podsłuchiwanie nie jest już bierne. To nie jest elektroniczny odpowiednikiem siedzenia obok kogoś i podsłuchiwania rozmowy. To nie jest bierne monitorowanie obwodu komunikacyjnego. Bardziej prawdopodobne jest, że będzie polegało na aktywnym włamaniu do sieci komputerowej przeciwnika – czy to w Chinach, Brazylii, czy Belgii – i zainstalowaniu złośliwego oprogramowania zaprojektowanego do przejęcia tej sieci.
Innymi słowy, jest to hacking. Cyberszpiegostwo jest formą cyberataku. Są to działania zaczepne. Naruszają suwerenność innego kraju i prowadzimy je poświęcając zbyt małą uwagę ich kosztom dyplomatycznym i geopolitycznym.
Uwielbiająca wszelkie skróty Armia USA używa dwóch powiązanych terminów na to, co robi w cyberprzestrzeni. CNE oznacza „eksploitację sieci komputerowej” (computer network exploitation). To jest szpiegostwo. CNA oznacza „atak na sieć komputerową” (computer network attack). To obejmuje działania mające na celu zniszczenie lub inaczej obezwładnianie sieci przeciwnika. To jest – między innymi – sabotaż.
CNE i CNA nie leżą wyłącznie w gestii Stanów Zjednoczonych, każdy to robi. Wiemy, że inne kraje budują swój cyberwojenny potencjał ofensywny. Odkryliśmy zaawansowane sieci inwigilacyjne innych krajów, o nazwach takich jak GhostNet, Red October, The Mask. Nie wiemy, kto za nimi stoi – bardzo trudne jest wyśledzenia ich źródła – ale podejrzewamy odpowiednio Chiny, Rosję i Hiszpanię. Niedawno dowiedzieliśmy się o narzędziu hakerskim o nazwie RCS, które jest używane przez rządy 21 państw: Azerbejdżanu, Kolumbii, Egiptu, Etiopii, Węgier, Włoch, Kazachstanu, Korei, Malezji, Meksyku, Maroka, Nigerii, Omanu, Panamy, Polski, Arabii Saudyjskiej, Sudanu, Tajlandii, Turcji, Zjednoczonych Emiratów Arabskich i Uzbekistanu.
Kiedy chińska firma Huawei próbowała sprzedać sprzęt sieciowy do USA, rząd uznał, że stanowi on „zagrożenie bezpieczeństwa narodowego”, słusznie obawiając się, że przełączniki te zostały „doposażone” w backdoory pozwalające rządowi chińskiemu zarówno podsłuchiwać, jak i atakować sieci amerykańskie. Teraz wiemy, że NSA robi dokładnie to samo w stosunku do wyprodukowanych w USA urządzeń sprzedawanych w Chinach, jak również praktycznie do tych samych przełączników Huawei.
Problemem jest to, że z punktu widzenia obiektu ataku CNE i CNA wyglądają tak samo, z wyjątkiem końcowego rezultatu. Dzisiejsze systemy nadzoru obejmują włamywanie do komputerów i instalowania złośliwego oprogramowania, robią tak samo cyberprzestępcy, gdy chcą waszych pieniędzy. I podobnie jak Stuxnet: Amerykańska/ Izraelska cyberbroń, która wyłączyła obiekt jądrowy w Natanz w Iranie w 2010 roku.
Właśnie to radca prawny Microsoftu Brad Smith miał na myśli, kiedy powiedział: „Rzeczywiście, rządowy snooping potencjalnie stanowi teraz „zaawansowane trwałe zagrożenie’, obok wyrafinowanych ataków malware’u i cybernetycznych.”
Kiedy Chińczycy penetrują sieci komputerowe w USA, co robią z alarmującą regularnością, to tak naprawdę nie wiemy co robią. Modyfikują nasz sprzęt i oprogramowanie aby po prostu podsłuchiwać, czy podkładają bomby logiczne, które mogą być kiedyś w przyszłości odpalone w celu wyrządzenia prawdziwych szkód? Może to być niemożliwe do stwierdzenia. Jak stwierdza to dokument polityki cyberbezpieczeństwa UE z 2011 (strona 7): „… technicznie rzecz biorąc, by być skutecznym CNA wymaga CNE. Innymi słowy, to, co może być przygotowaniem do cyberwojny może okazać się cyberszpiegostwem lub po prostu mieć taka przykrywkę.
Nie znamy intencji Chińczyków, a oni nie znają naszych.
Duża część obecnej debaty w USA jest o tym na co NSA powinno się zezwolić żeby robiła i czy ograniczenie NSA jakoś umacnia inne rządy. To niewłaściwa debata. Nie musimy wybierać pomiędzy światem, w którym szpieguje NSA i takim, w którym szpiegują Chiny. Nasz wybór jest pomiędzy światem, w którym nasza infrastruktura informacyjna jest podatna na wszystkie ataki a takim, który jest bezpieczny dla wszystkich użytkowników.
Tak długo, jak cyberszpiegostwo jest tym samym, co cyberatak, bylibyśmy o wiele bezpieczniejsi, gdybyśmy skoncentrowali wysiłki NSA na zabezpieczeniu Internetu przed tymi atakami. To prawda, że nie otrzymamy takiego samego poziomu dostępu do przepływu informacji na całym świecie. Ale będziemy chronić przepływy informacji na świecie – w tym nasze własne – zarówno przed podsłuchem, jak i bardziej szkodliwymi atakami. Chronilibyśmy nasze przepływy informacji przed rządami, podmiotami niepaństwowymi, jak i przestępcami. Uczynilibyśmy świat bezpieczniejszym.
Ofensywne działania wojenne w cyberprzestrzeni, czy to CNE, czy CNA, powinny należeć do kompetencji wojska. W Stanach Zjednoczonych, to Cyber Command. Takie działania powinny być definiowane jako ofensywne działania wojenne i powinny być zatwierdzane na najwyższym szczeblu władzy wykonawczej oraz powinny podlegać tym samym międzynarodowym normom prawnym, które regulują akty wojny w świecie rzeczywistym.
Jeśli mamy zamiar zaatakować infrastrukturę elektroniczną innego kraju, powinniśmy traktować to jak każdy inny atak na obcy kraj. To nie jest już tylko szpiegostwo, to cyberatak.
Ten esej pojawił się wcześniej na TheAtlantic.com.
http://www.theatlantic.com/technology/archive/2014/03/theres-no-real-difference-between-online-espionage-and-online-attack/284233/
lub http://tinyurl.com/l5s3dnv
Chińskie cyberataki:
http://www.nytimes.com/2010/01/13/world/asia/13beijing.html
http://www.nytimes.com/2013/05/07/world/asia/us-accuses-chinas-military-in-cyberattacks.html
lub http://tinyurl.com/k3vx55s
http://www.nytimes.com/2013/05/08/opinion/china-and-cyberwar.html
http://www.nytimes.com/2011/06/01/us/politics/01cyber.html
http://edition.cnn.com/2013/02/19/business/china-cyber-attack-mandiant/
lub http://tinyurl.com/l3rpvf2
Przemówienie Obamy o inwigilacji NSA:
http://www.nytimes.com/2014/01/18/us/politics/obamas-speech-on-nsa-phone-surveillance.html
lub http://tinyurl.com/nd7xz3c
NSA/GCHQ atakują inne sieci:
http://www.cnn.com/2013/06/12/politics/nsa-leak/
http://www.theguardian.com/world/2013/sep/09/nsa-spying-brazil-oil-petrobras
lub http://tinyurl.com/m7kx9uw
http://www.spiegel.de/international/world/ghcq-targets-engineers-with-fake-linkedin-pages-a-932821.html
lub http://tinyurl.com/lgt9wsd
GhostNet:
http://www.nytimes.com/2009/03/29/technology/29spy.html
Red October:
http://news.cnet.com/8301-1001_3-57563851-92/red-october-malware-spies-on-governments-worldwide/
lub http://tinyurl.com/d9tjaq9
The Mask:
http://blog.kaspersky.com/the-mask-unveiling-the-worlds-most-sophisticated-apt-campaign/
lub http://tinyurl.com/nh77sqx
Narzędzie hackerskie RCS:
https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/
lub http://tinyurl.com/qzcx4zu
Huawei jako zagrożenie bezpieczeństwa narodowego:
http://www.nytimes.com/2012/10/09/us/us-panel-calls-huawei-and-zte-national-security-threat.html
lub http://tinyurl.com/mls96dp
Implanty NSA:
http://leaksource.files.wordpress.com/2013/12/nsa-ant-souffletrough.jpg
lub http://tinyurl.com/mlue29z
http://leaksource.files.wordpress.com/2013/12/nsa-ant-feedthrough.jpg
lub http://tinyurl.com/kezrjku
https://www.schneier.com/blog/archives/2014/01/jetplow_nsa_exp.html
http://leaksource.files.wordpress.com/2013/12/nsa-ant-headwater.jpg
http://leaksource.files.wordpress.com/2013/12/nsa-ant-halluxwater.jpg
lub http://tinyurl.com/kvk2che
Stuxnet:
http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet/
Cytat Brada Smitha:
https://blogs.technet.com/b/microsoft_blog/archive/2013/12/04/protecting-customer-data-from-government-snooping.aspx
lub http://tinyurl.com/jw3s2rd
Dokument EU:
http://www.europarl.europa.eu/RegData/etudes/etudes/join/2011/433828/EXPO-SEDE_ET%282011%29433828_EN.pdf
lub http://tinyurl.com/mqztz83
Jak powinniśmy zreorganizować NSA:
http://www.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/
Metadane = inwigilacja
Odkąd reporterzy zaczęli publikować oparte na dokumentach dostarczonych przez Edwarda Snowdena historie o działalności NSA, byliśmy wielokrotnie zapewniani przez urzędników państwowych, że są to „tylko metadane”. To może zmylić przeciętnego człowieka, ale nie powinno oszukać tych spośród nas, którzy zajmują się bezpieczeństwem. Metadane to dane inwigilacyjne, a zbieranie metadanych o ludziach oznacza poddanie ich inwigilacji.
Demonstruje to prosty eksperyment myślowy. Wyobraźcie sobie, że wynajęliście prywatnego detektywa aby kogoś podsłuchiwał. Detektyw podłoży w domu, biurze i samochodzie obiektu pluskwy. Będzie podsłuchiwać jego komputer. Będzie podsłuchiwać rozmowy obiektu, zarówno osobiście, jak i zdalnie, a wy otrzymacie raport o tym, co zostało powiedziane w tych rozmowach. (To jest to, co, jak prezydent Obama wielokrotnie nas uspokajał, nie dzieje się z naszymi rozmowami telefonicznymi. Ale czy jestem jedynym, który uważa za podejrzany fakt, że zawsze używa bardzo konkretnych słów? „NSA nie podsłuchuje (dosł. „słucha”) rozmów komórkowych.” To pozostawia otwartą możliwość dla NSA nagrywania, zapisywania (transkrypcji) i analizowania połączeń telefonicznych – i w bardzo rzadkich przypadkach ich czytania. Jest to za bardzo prawdopodobne, żeby nie było prawdziwe, czymś o czym pedantyczny prezydent mógłby stwierdzić, że nie kłamał).
Teraz wyobraźcie sobie, że zleciliście temu samemu prywatnemu detektywowi, aby umieścił obiekt pod stałym nadzorem. Dostaniecie inny raport, który zawiera rzeczy takie, jak to, gdzie poszedł, co robił, z kim rozmawiał – i jak długo – do kogo pisał, co czytał i co kupił. To wszystko metadane, dane, o których wiemy, że NSA je zbiera. Więc kiedy prezydent mówi, że to tylko metadane, tym, co powinniście naprawdę usłyszeć jest to, że wszyscy jesteśmy pod stałym i wszechobecnym nadzorem.
Tym czego brakuje w większości dyskusji na temat działań NSA jest to, co robi z tymi wszystkimi danymi pochodzącymi z inwigilacji. Gazety koncentrują się na tym, co jest zebrane, a nie na tym jak jest to analizowane – z pojedynczym wyjątkiem historii Washington Post o zbiorze lokalizacji telefonów komórkowych. Ze względu na swój charakter, telefony komórkowe są urządzeniami namierzającymi. Aby sieć mogła przekazać połączenie, musi wiedzieć, w jakiej komórce znajduje się docelowy telefon. W obszarach miejskich zawęża to lokalizację telefonu do kilku przecznic. Dane GPS, transmitowane w sieci przez zbyt wiele aplikacji, lokalizują telefon jeszcze bardziej precyzyjnie. Zbieranie tych danych hurtem, a to jest właśnie to, co robi NSA, skutecznie stawia wszystkich w ramach nadzoru fizycznego.
To coś nowego. Policja zawsze mogła śledzić podejrzanych, ale teraz może śledzić każdego – podejrzanego, czy nie. A w momencie, gdy są w stanie to zrobić, mogą wykonywać analizy, które nie byłyby możliwe w innym przypadku. Washington Post donosi o dwóch przykładach. Po pierwsze można szukać par komórek, które zbliżają się do siebie, zostają wyłączone na godzinę, lub coś koło tego, a następnie zostają włączone ponownie, gdy oddalają się od siebie. Innymi słowy, można szukać tajnych spotkań. Po drugie, można odnaleźć konkretne telefony, które leżą w polu naszego zainteresowania, a następnie poszukać innych telefonów, które przemieszczają się geograficznie, synchronicznie do tych telefonów. Innymi słowy, można szukać kogoś, kto fizycznie śledzi kogoś innego. Jestem pewien, że istnieją dziesiątki innych mądrych analiz, które można przeprowadzić z taką bazą danych. Potrzebujemy więcej badaczy rozważających inne możliwości. Mogę was zapewnić, że agencje wywiadowcze na całym świecie prowadzą takie badania.
Jak tajna policja mogłaby wykorzystać inne bazy danych inwigilacyjnych: rejestry połączeń wszystkich obywateli, nawyki zakupowe, historia przeglądania Internetu, historię Facebooka i Twittera każdego z nas? Jak można byłoby połączyć te bazy danych? Potrzebujemy więcej badań na temat ujawnianych właściwości wszechobecnego nadzoru elektronicznego.
Nie możemy chronić się przed czymś, czego nie rozumiemy. I cokolwiek myślicie o NSA lub innych krajach paktu 5-Eyes, techniki te nie należą wyłącznie do nich. Są one używane przez wiele krajów, aby zastraszać i kontrolować swoje populacje. W ciągu kilku lat będą wykorzystywane przez korporacje do manipulacji psychologicznej – perswazji lub reklamy – a jeszcze wcześniej przez cyberprzestępców w coraz większej liczbie nielegalnych zastosowań.
Esej ten ukazał się w uprzednio w IEEE Security and Privacy, wydanie z Marca/Kwietnia 2014.
Te badania dotyczące meta-danych komórkowych ładnie obrazują to zagadnienie.
http://webpolicy.org/2014/03/12/metaphone-the-sensitivity-of-telephone-metadata/
http://arstechnica.com/tech-policy/2014/03/volunteers-in-metadata-study-called-gun-stores-strip-clubs-and-more/
Podobnie jak ta opinia, którą podpisałem w sprawie ACLU kontra Clapper.
https://www.eff.org/document/computer-scientists-amicus-aclu-v-clapper
https://www.eff.org/press/releases/top-technologists-file-brief-supporting-aclu-lawsuit-against-nsa-spying
News
Fajny artykuł prezentujący sylwetkę Briana Krebsa, dziennikarza zajmującego się cyberbezpieczeństwem:
http://www.nytimes.com/2014/02/17/technology/reporting-from-the-webs-underbelly.html
lub http://tinyurl.com/mcfhtgt
Ciekawy projekt mający na celu wykrywanie fałszywych plotek w Internecie.
http://www.sheffield.ac.uk/news/nr/lie-detector-social-media-sheffield-twitter-facebook-1.354715
lub http://tinyurl.com/nffdr2d
Nie mam pojęcia jak dobrze będzie to działać a nawet, czy to będzie w ogóle działać, ale podobają mi się badania idące w tym kierunku. Z trzech podstawowych mechanizmów służących do kontroli społeczeństwa w Internecie, inwigilacji i cenzurze poświęcono dużo więcej uwagi niż propagandzie. Wszystko, co potencjalnie może wykrywać propagandę jest dobre.
http://www.bbc.co.uk/news/technology-26263510
http://www.telegraph.co.uk/technology/social-media/10647974/Scientists-develop-a-lie-detector-for-tweets.html
lub http://tinyurl.com/pzuttlk
http://www.theregister.co.uk/2014/02/20/social_media_twitter_lie_detector_project/
lub http://tinyurl.com/ls5quff
Nowy dokument dający dobry obraz tego, jak NIST rozwija standardy i wytyczne kryptograficzne . To wciąż jeszcze wersja robocza i wszelkie komentarze są mile widziane.
http://csrc.nist.gov/publications/drafts/nistir-7977/nistir_7977_draft.pdf
lub http://tinyurl.com/pncdv9r
Biorąc pod uwagę, że NIST został splamiony przez działania NSA mające na celu osłabienie standardów i protokołów kryptograficznych, mile widziana byłaby większa ilość przejrzystości w tym procesie. Myślę, że NIST robi świetną robotę i że to nie sposób na targowanie się z NSA, ale musi robić więcej, aby przekonać o tym świat.
Amit Sahai i inni mają nowe wyniki w zaciemnianiu (obfuskacji) oprogramowania.
http://eprint.iacr.org/2013/451.pdf
http://eprint.iacr.org/2013/454.pdf
http://www.wired.com/wiredscience/2014/02/cryptography-breakthrough/http://blog.cryptographyengineering.com/2014/02/cryptographic-obfuscation-and.html
lub http://tinyurl.com/m4mh6pc
Atak DDoS na sieć telefonii komórkowej:
https://www.sciencedirect.com/science/article/pii/S0167404813001685
Atak polega na sklonowaniu kart SIM, a następnie wykonywaniu wielu połączeń z różnych telefonów w różnych miejscach, z tej samej karty SIM. Myli to sieć, która identyfikuje ten sam telefon w wielu miejscach na raz. (Zauważ, że takie testy nie były przeprowadzane w rzeczywistości, ale nie ma powodów, dla których miałoby to nie działać). Wiele zagrożeń bierze się z tego, że telefony komórkowe i wieże w dużej mierze ufają sobie. NSA i FBI wykorzystują ten fakt do podsłuchiwania, a tutaj jest on używany do ataku typu denial-of-service.
Paralizatory uwalniają w momencie wystrzału markery identyfikujące.
https://www.schneier.com/blog/archives/2014/02/what_informatio.html
Czy błąd SSL w iOS był celowy?
https://www.schneier.com/blog/archives/2014/02/was_the_ios_ssl.html
Manuskrypt Voynicha został częściowo rozkodowany. Nie wydaje się to być mistyfikacją. Sam rękopis także nie wydaje się być żartem.
http://www.medievalists.net/2014/02/20/voynich-manuscript-partially-decoded-text-hoax-scholar-finds/
lub http://tinyurl.com/kommaax
http://stephenbax.net/wp-content/uploads/2014/01/Voynich-a-provisional-partial-decoding-BAX.pdf
lub http://tinyurl.com/pjenudg
Oto nowa biometryka „Rozpoznawalne wzorce zapachu ciała pozostają stałe przez czas wystarczający do identyfikacji osób z dokładnością 85 proc”. Wyniki nie są jeszcze wystarczająco dobre dla większości zastosowań, ale prawdopodobnie tego typu rzeczy mogą robić się tylko coraz bardziej dokładne.
http://news.discovery.com/tech/biotechnology/body-odor-id-your-new-smelly-password-140205.htm
lub http://tinyurl.com/m26ubkh
Stasi zwykło zachowywać indywidualne próbki zapachowe w celu późniejszego śledzenia:
http://germanhistorydocs.ghi-dc.org/sub_image.cfm?image_id=3062
https://www.schneier.com/blog/archives/2007/07/a_library_of_pe_1.html
https://www.schneier.com/blog/archives/2007/08/more_on_smell_s.html
Badacze zaprezentowali pierwszy wirus komputerowy rozprzestrzeniający się drogą powietrzną.
http://jis.eurasipjournals.com/content/2013/1/2
Wygląda na to, że mamy epidemię generowanych komputerowo, nonsensownych prac naukowych.
http://www.nature.com/news/publishers-withdraw-more-than-120-gibberish-papers-1.14763
lub http://tinyurl.com/lahsgrl
Firmy ubezpieczeniowe naciskają na większe cyberbezpieczeństwo.
http://www.bbc.com/news/technology-26358042
Cory Doctorow twierdzi, że bezpieczeństwo komputerów jest analogiczne do zdrowia publicznego:
http://www.theguardian.com/technology/2014/mar/11/gchq-national-security-technology
lub http://tinyurl.com/kgd983n
NSA News
Oto trzy pary ludzi dyskutujących o działaniach Snowdena:
http://www.intelligencesquaredus.org/debates/past-debates/item/1017-snowden-was-justified
lub http://tinyurl.com/lhhrj43
http://www.nationofchange.org/debate-was-snowden-justified-former-nsa-counsel-stewart-baker-vs-whistleblower-daniel-ellsberg-13924
lub http://tinyurl.com/l3lcz7q
http://bloggingheads.tv/videos/24848
Pojawił się nowy (jeszcze gorący) artykuł na temat programu NSA QUANTUM, zawiera też kilka nowych dokumentów źródłowych.
https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/
lub http://tinyurl.com/pygztu5
Na szczególną uwagę zasługuje na tej stronie lista różnych programów QUANTUM. Zauważcie, że QUANTUMCOOKIE, „który zmusza użytkowników do ujawnienia zapisanych plików cookie”, nie ma na tej liście.
https://firstlook.org/theintercept/document/2014/03/12/one-way-quantum/
lub http://tinyurl.com/l2c6ekh
Wcześniejsze linki dotyczące QUANTUM:
https://www.schneier.com/essay-455.html
https://www.schneier.com/blog/archives/2013/11/another_quantum.html
https://www.schneier.com/blog/archives/2013/12/more_about_the.html
Również w tym tygodniu opublikowany został przewodnik klasyfikacji STELLARWIND, wraz z artykułem w New York Times opisującym w jaki sposób sądy FISA rozszerzyły nadzór krajowy.
http://s3.documentcloud.org/documents/1061348/fisa-faa-classification-guide.pdf
lub http://tinyurl.com/lfn9syr
http://www.nytimes.com/2014/03/12/us/how-a-courts-secret-evolution-extended-spies-reach.html
lub http://tinyurl.com/pvv33dz
Poniżej poprzedni artykuł o STELLARWIND, z Washington Post.
http://www.washingtonpost.com/investigations/us-surveillance-architecture-includes-collection-of-revealing-internet-phone-metadata/2013/06/15/e9bf004a-d511-11e2-b05f-3ea3f0e7bb5a_story.html
lub http://tinyurl.com/kuljykh
Warto też zobaczyć ten dokument NSA:
http://www.theguardian.com/world/interactive/2013/jun/27/nsa-inspector-general-report-document-data-collection
lub http://tinyurl.com/nywa62u
Obie historie są oparte na dokumentach Snowdena.
Czy nikt oprócz mnie nie zastanawiał się, dlaczego sąd posiadający słowo „zagraniczny” (Foreign Intelligence Surveillance Court) w swojej nazwie miałby kierować zbieraniem krajowych danych wywiadowczych?
Te cztery slajdy, opublikowane w tym tygodniu, opisują wspólny proces, którego NSA używa do podsłuchiwania ruchu w sieci VPN oraz VoIP. Na tych slajdach jest wiele informacji, choć to istne morze nazw kodowych. Żadnych szczegółów co do sposobu w jaki NSA odszyfrowuje te pakiety ESP – „Encapsulating Security Payload” – choć istnieją pewne wskazówki w postaci nazw kodowych na slajdach.
https://firstlook.org/theintercept/document/2014/03/12/vpn-voip-exploitation-hammerchant-hammerstein/
lub http://tinyurl.com/pl3wl4z
Nicholas Weaver napisał doskonały esej wyjaśniający jak działa QUANTUM:
http://www.wired.com/opinion/2014/03/quantum/
Inwigilacja przez algorytm
Coraz częściej jesteśmy obserwowani nie przez ludzi, lecz przez algorytmy. Amazon i Netflix śledzą książki, które kupujemy i filmy które oglądamy w sieci i sugerują, w oparciu o nasze nawyki, inne książki i filmy. Google i Facebook obserwują co robimy i mówimy, i pokazują nam reklamy na podstawie naszych zachowań. Google modyfikuje nawet, w oparciu o nasze poprzednie zachowania, wyniki naszego wyszukiwania w sieci. Aplikacje nawigacyjne na smartfony obserwują nas podczas jazdy, i na podstawie natężenia ruchu aktualizują informacje o sugerowanych trasach. NSA również, oczywiście, monitoruje nasze rozmowy telefoniczne, e-maile i lokalizację, a następnie wykorzystuje te informacje w celu identyfikowania terrorystów.
Dokumenty dostarczone przez Edwarda Snowdena i ujawnione dziś przez Guardiana pokazują, że brytyjska agencja wywiadowcza GHCQ, z pomocą NSA, zbierała miliony obrazów z kamer internetowych od niczego nieświadomych użytkowników Yahoo. Świadczy to o kluczowym wyróżniku epoki nadzoru algorytmicznego: czy jest w porządku, żeby komputer monitorował was online, i żeby zbieranie i analiza danych było potencjalnym naruszeniem prywatności tylko wtedy, gdy człowiek to zauważy? Ja mówię, że nie jest, a najnowsze przecieki Snowdena pokazują coraz wyraźniej, jak ważne jest to wyróżnienie.
Rozłam roboty kontra szpiedzy jest szczególnie ważny, kiedy decydujemy co zrobić z inwigilacją przez NSA i GCHQ. Społeczność wywiadowcza i Departament Sprawiedliwości szybko odpowiedziało na żądanie prezydenta Obamy zmiany tego, jak NSA „zbiera” dane, ale potencjalne reformy – monitorowanie FBI, przechowywanie waszych rejestrów telefonicznych, i więcej – nadal w dużej mierze zależy od tego, jakie jest znaczenie słowa „zbiera”.
Rzeczywiście, odkąd Snowden udostępnił dziennikarzom skarbiec z tajnymi dokumentami, obserwowaliśmy różnego rodzaju gry słowne NSA. A według Departamentu Obrony (DoD), słowo „zbieranie” ma bardzo szczególną definicję. Przewodnik stosowania procedur z 1982 mówi (strona 15): „Informacja może być traktowana jako” zebrana” tylko wtedy, gdy została otrzymana do użytku przez pracownika wydziału wywiadowczego DoD w trakcie swoich obowiązków służbowych.” I „dane uzyskane drogą elektroniczną są ‘zebrane’ tylko wtedy, gdy zostały przetworzone do postaci zrozumiałej.”
Dyrektor Wywiadu Narodowego James Clapper porównał zbiór danych w NSA do biblioteki. Wszystkie te książki przechowuje się na półkach, ale bardzo niewiele z nich rzeczywiście jest czytanych. „Tak więc naszym zadaniem, w celu zachowania bezpieczeństwa i ochrony swobód obywatelskich i prywatności”, mówi Clapper „, jest być tak dokładnym jak to tylko możliwe, gdy idziemy do tej biblioteki i szukamy książek, które musimy otworzyć i właściwie odczytać”. W żargonie rządowym, ze „zbieraniem” mamy do czynienia tylko wtedy, gdy dana książka zostanie przeczytana.
Pomyślcie o swoim znajomym, który ma tysiące książek w swoim domu. Zdaniem NSA, on w rzeczywistości nie „zbiera” książek. Robi z nimi coś innego, a jedyne książki, o których może powiedzieć, że je zebrał, to te, które rzeczywiście przeczytał.
To dlatego Clapper twierdzi – do dziś – że nie kłamał podczas przesłuchania w Senacie, gdy odpowiedział „nie” na pytanie „Czy NSA zbiera jakiegokolwiek rodzaju dane o milionach lub setkach milionów Amerykanów?”
Jeśli NSA zbiera – używam tutaj powszechnej definicji słowa – wszystkie treści wiadomości e-mail każdego z nas, nie liczy tego jako zbierania, według definicji NSA, do momentu aż ktoś je przeczyta. A jeśli zbiera – przykro mi, ale to jest naprawdę właściwe słowo – rejestry telefoniczne lub informacje o lokalizacji wszystkich z nas i zapisuje je w ogromnej bazie danych, nie są one zbierane – definicja NSA – dopóki ktoś nie spojrzy na nie. Jeśli agencja korzysta z komputerów, aby przeszukać te e-maile pod względem słów kluczowych, lub koreluje informacje o lokalizacji w celu ustalenia relacji między ludźmi, to także nie liczy się jako zbieranie. Tylko wtedy, gdy komputery te „wyplują” konkretną osobę, dane – według definicji NSA – rzeczywiście zostały zebrane.
Jeśli nowoczesny słownik szpiega dezorientuje was, może psy pomogą nam zrozumieć, dlaczego ten kruczek prawny, zarówno w odniesieniu do dużych firm technologicznych, jak i rządu, jest nadal poważnym naruszeniem prywatności.
Dawno temu, gdy zaprezentowano Gmail, tak samo Google bronił swojej reklamy kontekstowej. Komputery Google’a badają każdy indywidualny e-mail i wstawiają lokalne reklamy, związane z treścią wiadomości e-mail. Ale nikt w Google nie czyta żadnych wiadomości z Gmail, robi to tylko komputer. Słowami jednego z członków zarządu Google: „martwić o to, że komputer czyta twoje maile to tak, jakby martwić się, że twój pies widzi cię nago”.
Ale teraz, że mamy przykład agencji szpiegowskiej widzącej ludzi nago – liczba wyraźnie erotycznych zdjęć w ostatnio ujawnionym zbiorze obrazów Yahoo jest zaskakująca – różnicę pojmujemy czysto instynktownie.
Mianowicie: kiedy obserwuje nas pies, wiemy, że to co robimy nie zostanie przez psa rozpowszechnione. Pies nie zapamięta szczegółów tego, co robiliśmy. Pies nie może o tym nikomu opowiedzieć. Kiedy jesteśmy obserwowani przez komputer, jest całkiem inaczej. Powiedziano wam, że komputer nie zapisuje kopii filmu, ale nie macie pewności, że to prawda. Powiedziano wam, że komputer nie powiadomi nikogo, jeśli zauważy coś interesującego, ale nie możecie wiedzieć, czy to prawda. Wiecie, że komputer podejmuje decyzje w oparciu o to, co otrzymuje, a nie ma możliwości potwierdzenia, że żaden człowiek nie będzie miał wpływu na tą decyzję.
Gdy komputer przechowuje dane, zawsze istnieje ryzyko ich ujawnienia. Ryzyko przypadkowego ujawnienia, gdy jakiś haker lub przestępca włamuje się i kradnie dane. Ryzyko celowego ujawnienia, gdy organizacja, która dysponuje waszymi danymi używa ich w jakiś sposób. I jest jeszcze ryzyko, że inna organizacja będzie domagać się dostępu do tych danych. FBI może dostarczyć List Bezpieczeństwa Narodowego do Google’a, domagając się szczegółów e-maili i zwyczajów surfowania. Nie ma na świecie takiego nakazu sądowego, dzięki któremu można byłoby uzyskać te informacje od waszego psa.
Oczywiście, za każdym razem, gdy jesteśmy oceniani przez algorytmy, istnieje możliwość fałszywego alarmu. Doskonale to znacie, pomyślcie o wszystkich bezsensownych reklamach, jakie widzieliście w Internecie, dzięki złej interpretacji waszych zainteresowań przez jakiś algorytm. W reklamie jest to w porządku. To irytujące, ale wyrządza niewiele rzeczywistych szkód, a wy sami i tak byliście zajęci czytaniem wiadomości, prawda? Ale szkody ulegają zwiększeniu w miarę, jak towarzyszące oceny stają się ważniejsze: nasze ratingi kredytowe zależą od algorytmów, sposób w jaki jesteśmy traktowani przez ochronę na lotnisku też. I, co jest w tym wszystkim najbardziej niepokojące, systemy naprowadzające dron opierając się częściowo na nadzorze algorytmicznym.
Podstawową różnicą między komputerem a psem jest to, że komputer komunikuje się z innymi ludźmi w świecie rzeczywistym, a pies nie. Jeśli ktoś może izolować komputer w taki sam sposób, w jaki jest izolowany pies, nie mielibyśmy żadnego powodu, by martwić się o te wszystkie algorytmy pełzające w naszych danych. Ale nie możemy. Algorytmy komputerowe są ściśle związane z ludźmi. A kiedy myślimy o algorytmach komputerowych inwigilujących nas lub analizujących nasze dane osobowe, musimy myśleć o ludziach stojących za tymi algorytmami. Niezależnie od tego, czy ktoś faktycznie przegląda nasze dane, czy nie, to sam fakt, że po prostu może o zrobić jest tym, co sprawia, że jest to inwigilacja.
Właśnie dlatego Yahoo nazwało posiadany przez GCHQ zbiór zdjęć z kamer internetowych za „dotąd niespotykany poziom naruszenia prywatności naszych użytkowników”. Dlatego właśnie nie uspokajają nas próby brytyjskiego odpowiednika NSA zastosowania do tych danych algorytmów rozpoznawania twarzy, lub ograniczenia ilości osób, które mają dostęp do zdjęć o podtekście erotycznym. Właśnie dlatego podsłuchiwanie przez Google’a różni się od podsłuchiwania przez psa i dlatego definicja NSA „gromadzenia” w ogóle nie ma sensu.
Esej ten pojawił się wcześniej na theguardian.com:
http://www.theguardian.com/commentisfree/2014/feb/27/nsa-robots-algorithm-surveillance-bruce-schneier
lub http://tinyurl.com/noaeers
GCHQ gromadzi zdjęcia z kamer internetowych:
http://www.theguardian.com/world/2014/feb/27/gchq-nsa-webcam-images-internet-yahoo
lub http://tinyurl.com/pmb4l6j
Kto powinien dysponować naszymi billingami:
http://online.wsj.com/news/articles/SB10001424052702303880604579405640624409748
lub http://tinyurl.com/q5ckbld
http://online.wsj.com/news/articles/SB10001424052702304709904579407321915018810
lub http://tinyurl.com/ojot5rc
http://www.theguardian.com/world/2014/feb/26/nsa-reform-white-house-proposal-data-fbi
lub http://tinyurl.com/knyanp6
Gry słowne NSA:
https://www.eff.org/deeplinks/2013/06/director-national-intelligences-word-games-explained-how-government-deceived
lub http://tinyurl.com/ma7dk5j
Przewodnik stosowania procedur z 1982:
http://www.fas.org/irp/doddir/dod/d5240_1_r.pdf
Wypowiedzi Clappera:
http://www.nbcumv.com/mediavillage/networks/nbcnews/pressreleases?pr=contents/press-releases/2013/06/09/nbcnewsexclusiv1370799482417.xml
lub http://tinyurl.com/kqvneqw
http://www.theguardian.com/world/2014/feb/18/us-intelligence-chief-nsa-open-bulk-phone-collection
lub http://tinyurl.com/ljvdsn5
http://nymag.com/daily/intelligencer/2013/06/wyden-clapper-nsa-video-congress-spying.html
lub http://tinyurl.com/lvs5z9g
Reklamy są irytujące:
http://www.mediapost.com/publications/article/206045/no-more-patience-with-irrelevant-ads.html
lub http://tinyurl.com/nqn4jhs
Naprowadzanie dron przez algorytm:
https://www.schneier.com/essay-470.html
Reakcja Yahoo:
http://www.theguardian.com/world/2014/feb/27/gchq-nsa-webcam-images-internet-yahoo
lub http://tinyurl.com/pmb4l6j
Eksploit dnia z NSA
Jednym ze ściśle tajnych dokumentów NSA, opublikowanych przez Der Spiegel, był 50-stronicowy katalog „implantów” pochodzących z Tailored Access Group w NSA. Ponieważ poszczególne implanty są tak zróżnicowane i opublikowano ich zbyt dużo na raz, większość z nich nigdy nie była przedmiotem dyskusji w społeczności zajmującej się bezpieczeństwem. (Ponadto, strony są obrazami, co powoduje, że trudniej je indeksować i przeszukiwać). Aby to naprawić, publikuję jednego exploita dziennie na moim blogu.
PICASSO jest zmodyfikowanym zestawem GSM (celu), który gromadzi dane użytkownika, informacje o lokalizacji i audio z otoczenia. Polecenia i wyprowadzenie danych odbywa się za pomocą laptopa i zwykłego telefonu poprzez SMS (Short Messaging Service), bez alarmowania celu.
https://www.schneier.com/blog/archives/2014/02/picasso_nsa_exp.html
TOTECHASER jest implantem Windows CE przeznaczonym dla telefonu Thuraya 2520.Thuraya jest telefonem typu dual mode, który może pracować zarówno w trybie SAT lub GSM. Telefon obsługuje także połączenia transmisji danych GPRS do przeglądania stron www, e-mail i wiadomości MMS. Pierwotne możliwości implantu oprogramowania obejmują zapewnienie geolokacyjnych danych GPS i GSM. Pobierane z telefonu mogą być również rejestr połączeń, lista kontaktów i inne informacje użytkownika.
https://www.schneier.com/blog/archives/2014/02/totechaser_nsa.html
TOTEGHOSTLY 2.0 jest implantem programowym dla systemu Windows Mobile, która wykorzystuje modułowe aplikacje zadaniowe do zapewnienia szczególnej funkcjonalności SIGINT. Funkcjonalność ta obejmuje możliwość zdalnego wysyłania / ściągania plików do/z urządzenia, pobieranie wiadomości SMS, pobieranie listy kontaktów, poczty głosowej, geolokalizacji, hot mic – nagrywanie dźwięków pochodzących z otoczenia, przechwytywanie kamery, lokalizację nadajnika telefonii komórkowej, itp.
https://www.schneier.com/blog/archives/2014/02/toteghostly_20.html
CANDYGRAM imituje nadajnik GSM docelowej sieci komórkowej. Zdolny jest do działania w trybie 900, 1800 lub 1900 MHz. Ilekroć namierzany telefon wchodzi na obszar działania stacji bazowej CANDYGRAM, system wysyła wiadomość SMS przez sieć zewnętrzną do zarejestrowanych telefonów.
https://www.schneier.com/blog/archives/2014/02/candygram_nsa_e.html
CROSSBEAM jest modułem komunikacyjnym GSM wielokrotnego użytku zgodnym z CHIMNEYPOOL potrafiącym zbierać i kompresować dane głosowe. CROSSBEAM może odbierać rozmowy GSM, nagrywać dźwięk po czym przekazuje otrzymane informacje za pośrednictwem podłączonych modułów lub 4 różnych rodzajów danych GSM (GPRS, Circuit Switched Data, Data Over Voice i DTMF) do bezpiecznego obiektu.
https://www.schneier.com/blog/archives/2014/02/crossbeam_nsa_e.html
CYCLONE Hx9 jest korzystającym z EGSM (900MGz) systemem Network-In-a-Box (NIB) klasy makro.
https://www.schneier.com/blog/archives/2014/02/cyclone_hx9_nsa.html
EBSR jest wielofunkcyjną, trzyzakresową stacją bazową GSM klasy Pico z wewnętrzną obsługą 802.11/GPS/telefonu.
https://www.schneier.com/blog/archives/2014/02/ebsr_nsa_exploi.html
ENTOURAGE jest aplikacją namierzającą, która działa na platformie Hollowpoint. System potrafi podawać namiary sygnałów GSM/UMTS/CDMA2000/FRS.
https://www.schneier.com/blog/archives/2014/02/entourage_nsa_e.html
GENESIS to komercyjny telefon GSM, który został zmodyfikowany poprzez dodanie Software Defined Radio (SDR – radio definiowane programowo) oraz dodatkowej pamięci systemu. Wewnętrzny SDR pozwala świadomemu użytkownikowi na potajemne badania sieci, nagrywanie pełnego spektrum fal radiowych, lub przeprowadzenie lokalizacji telefonu w niesprzyjających warunkach.
https://www.schneier.com/blog/archives/2014/02/genesis_nsa_exp.html
NEBULA to wieloprotokołowy system Network-in-a-Box (NIB) klasy makro. Wykorzystuje istniejący GUI Typhon i obsługuje aplikacje GSM, UMTS, CDMA2000. Możliwości LTE są obecnie w fazie rozwoju.
https://www.schneier.com/blog/archives/2014/02/nebula_nsa_expl.html
Typhon HX to Base Station Router — Network-In-a-Box (NIB) obsługujący pasma GSM 850/900/1800/1900 oraz związane z nimi pełną sygnalizację i kontrolę wywołań GSM.
https://www.schneier.com/blog/archives/2014/03/typhon_hx_nsa_e.html
WATERWITCH jest ręcznym narzędziem używanym do geolokacji śledzonych telefonów w terenie.
https://www.schneier.com/blog/archives/2014/03/waterwitch_nsa.html
COTTONMOUTH-I (CM-1) jest implantem sprzętowym podłączanym poprzez Universal Serial Bus (USB), który zapewnia bezprzewodowy most do sieci docelowej, jak również zdolność do załadowania oprogramowania exploitacyjnego na docelowych komputerach. CM-I zapewnia połączenie z separowanym sprzętem, możliwość utrzymania oprogramowania, „terenowe” przeprogramowanie i tajną komunikację z implantem programowym hosta przez USB. Połączenie RF pozwala na wydawanie poleceń oraz infiltrację i eksfiltrację danych. CM-I może również komunikować się z oprogramowaniem Data Network Technologies (DNT), STRAITBIZARRE, poprzez ukryty kanał nawiązywany poprzez USB, używając tego kanału do przekazywania poleceń i danych między implantami sprzętowymi i programowymi.
https://www.schneier.com/blog/archives/2014/03/cottonmouth-i_n.html
COTTONMOUTH-II (CM-II) to urządzenie podsłuchujące hosta wykorzystujące USB, która zapewnia potajemne połączenie poprzez łącze USB z siecią docelową. CM II jest zaprojektowane do współpracy z podsystemem przekaźnika dalekiego zasięgu, który także jest umieszczony w obrębie urządzenia docelowego.
https://www.schneier.com/blog/archives/2014/03/cottonmouth-ii.html
COTTONMOUTH-III (CM-III) to sprzętowy implant wykorzystujący USB, który ustanawia bezprzewodowy most do sieci docelowej, jak również pozwala na załadowanie oprogramowania exploitacyjnego na komputerach docelowych.
https://www.schneier.com/blog/archives/2014/03/cottonmouth-iii.html
FIREWALK to dwukierunkowy implant sieciowy, oferujący możliwość zbierania danych z sieci typu Gigabit Ethernet oraz wstrzykiwania pakietów Ethernetowych do tej samej sieci.
https://www.schneier.com/blog/archives/2014/03/firewalk_nsa_ex.html
RAGEMASTER to zwierciadło RF, która zapewnia skuteczną powierzchnię odbicia fal radarowych dla VAGRANT. Ukrywany jest w standardowym kablu SVGA łączącym kartę graficzną z monitorem. Jest zazwyczaj instalowany w ferrycie na kablu wideo.
https://www.schneier.com/blog/archives/2014/03/ragemaster_nsa.html
I to tyle.
Kiedy zdecydowałem się opublikować jednego exploita dziennie z katalogu implantów TAO, moim celem było zwrócenie uwagi na niezliczone możliwości grupy NSA, w zasadzie jej zespołów od tajnych operacji. Katalog został opublikowany przez Der Spiegel wraz z parą artykułów o operacjach CNE – czyli Computer Network Exploitation (Exploitacja sieci komputerowych) – NSA, i było tego po prostu zbyt wiele żeby się przez to przekopać. Zapewne grupy kontrwywiadowcze różnych państw z pewnością zagłębiły się w szczegóły, ale nas, w społecznościach akademickich i komercyjnych, ich ilość po prostu zalała. Dzięki publikowaniu jednego exploita dziennie, miałem nadzieję, że wszyscy zdołamy przeczytać i przetrawić każdą poszczególną możliwość TAO.
Jest bardzo ważne abyśmy znali szczegóły dotyczące tych narzędzi ataku. Nie dlatego, że chcemy uniknąć NSA – choć niektórzy pewnie chcieliby tego – ale dlatego, że NSA nie ma monopolu ani na technologię ani na spryt. NSA może mieć większy budżet niż wszystkie inne agencje wywiadowcze na świecie razem, ale narzędzia te są takiego rodzaju, z których każdy dobrze finansowany przeciwnik mógłby skorzystać. I w miarę postępu technologicznego, są one tego rodzaju narzędziami, z jakich będą korzystać cyberprzestępcy. Trzeba to wszystko rozumieć mniej jako to, co akurat robi NSA, a bardziej jak wstęp do tego, co wszyscy będą robić.
Co oznacza, że musimy dowiedzieć się, jak się przed tym bronić.
NSA włożyła wiele wysiłku w projektowanie programowych implantów, które omijają oprogramowanie antywirusowe i inne narzędzia do wykrywania, przesyłają dane, gdy wiedzą, że nie mogą zostać wykryte i potrafią przetrwać reinstalację systemu operacyjnego. Posiada implanty programowe przeznaczone do atakowania izolowanych komputerów bez wykrycia. Ma imponujący zestaw implantów sprzętowych, zaprojektowane również w celu uniknięcia wykrycia. I poświęca dużo wysiłku na hackowanie routerów i switchy. Tego rodzaju uwagi powinny stać się mapą drogową dla firm zajmujących się ochroną przed malwarem.
Czy teraz, po opublikowaniu pełnego katalogu, ktoś ma jakieś pytania lub uwagi? Umieszczajcie je w komentarzach do poświęconego im posta na blogu.
Katalog TAO nie jest aktualny, pochodzi z 2008 roku. NSA miała sześć lat na poprawienie wszystkich narzędzi z tego katalogu, i dodanie kilku więcej. Znalezienie sposobu ustalenia obecnych możliwości jest również ważne.
Katalog implantów TAO:
http://leaksource.wordpress.com/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/
lub http://tinyurl.com/nbmc78y
Grupa Tailored Access Operations:
https://www.schneier.com/blog/archives/2013/12/more_about_the.html
Artykuły Der Spiegel:
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969.html
lub http://tinyurl.com/popawhf
http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html
lub http://tinyurl.com/qa9vwzm
Post, w którym można umieszczać komentarze:
https://www.schneier.com/blog/archives/2014/03/postmortem_nsa.html
Kto powinien przechowywać dane inwigilacji z NSA
Jednym z zaleceń Prezydenckiego Zespołu Kontroli ds. wywiadu i technologii komunikacyjnych dotyczących reformy Agencji Bezpieczeństwa Narodowego (NSA – National Security Agency) – nr 5, jeśli je liczycie – mówi o tym, że rząd nie powinien gromadzić i przechowywać metadanych telefonicznych. Zamiast tego, firmy prywatne – albo sami operatorzy komórkowi albo firmy niezwiązane – powinny przechowywać metadane i dostarczać je do władzom jedynie na podstawie postanowienia sądu.
To nie jest nowy pomysł. W ciągu ostatniej dekady, kilka krajów wprowadziło przepisy wymuszające przechowywanie danych, według których spółki są zobowiązane do przechowywania danych dotyczących korzystania z Internetu lub telefonii przez klientów, przez określony czas, na wypadek, gdyby władze potrzebowały ich do śledztwa. Ale czy to ma sens? W grudniu, profesor prawa z Harvardu, Jack Goldsmith, zapytał: „Rozumiem wyrażone w Raporcie obawy na temat masowego przechowywania metadanych przez rząd. Nie rozumiem jednak domniemanego założenia Raportu, że przechowywanie masowych metadanych przez podmioty prywatne będzie stanowiło poprawę z punktu widzenia ochrony prywatności lub bezpieczeństwa danych, czy potencjalnych nadużyć”.
To dobre pytanie, i prawie dwa miesiące po tym, jak Raport został opublikowany, nie poświęcono mu wystarczająco dużo uwagi. Myślę, że propozycja ta sprawia, że sytuacja ulegnie pogorszeniu pod wieloma względami.
Po pierwsze, NSA zapewni lepszą ochronę dla baz danych niż korporacje. Mówię tak nie dlatego, że NSA ma jakieś magiczne moce zabezpieczania komputerów, ale dlatego, że ma w tym więcej doświadczenia i jest lepiej finansowana. (Tak, to prawda, pomimo tego, że Edward Snowden był w stanie skopiować tak wiele z ich dokumentów.) Różnica leży w zakresie, nie rodzaju. W obu opcjach dane narażone są na ataki wewnętrzne – w przypadku magazynu danych firmy nie związanej nawet bardziej, ponieważ będzie więcej osób posiadających informacje poufne. I choć ideałem nie będzie nigdy, to zadanie ochrony moich danych * przed nieautoryzowanym dostępem * powierzyłbym raczej NSA, niż prywatnej korporacji.
Po drugie, istnieje większe ryzyko autoryzowanego dostępu. To jest ryzyko, którego Prezydencki Zespół Kontroli obawia się najbardziej. Chodzi o to, że jeśli dane byłyby w rękach prywatnych i jedynym zgodnym z prawem sposobem na dostęp do nich było postanowienie sądu, mniej prawdopodobne byłoby przekraczanie przez NSA jej uprawnień poprzez dokonywanie masowego przeszukiwania danych lub ich wykorzystanie w stopniu większym niż dozwolony. Nie wierzę, żeby było to prawdą. Każdy system, który będzie utrzymywać dane poza kontrolą NSA będzie musiał uwzględniać przepisy dotyczące dostępu awaryjnego, bo … bo słowo * terroryzm * wystraszy dowolnego ustawodawcę wystarczająco, by dał NSA taką możliwość. NSA już podlega procesom prawnym, na które NSA i tajny sąd FISA wyraziły zgodę. Dodanie kolejnego podmiotu do tego procesu nie spowolni go, zapewni większy nadzór, lub w jakikolwiek sposób uczyni go lepszym. Nie ufam, że pracownik korporacji udostępni NSA mniej danych do analizy niż pracownik NSA.
Po stronie korporacji, analogicznym ryzykiem jest, że dane będą wykorzystywane do wszelkiego rodzaju działań, które nie byłyby możliwe do przeprowadzenia w inny sposób. Jeśli korporacje zostaną zmuszone przez rządy, żeby przechowywać dane klienta, zaczną myśleć w następujący sposób: „Przechowujemy już wszystkie te dane osobowe wszystkich naszych klientów dla rządu. Dlaczego nie wydobyć z nich interesujących informacji, użyć ich do celów marketingowych, sprzedać brokerom danych, i tak dalej, i tak dalej?” NSA przynajmniej nie będzie korzystać z naszych danych osobowych do manipulacji psychologicznej na szeroką skalę zaprojektowanej, aby pozbawić nas tak dużej ilości pieniędzy, jak to możliwe – co jest modelem biznesowym firm, takich jak Google i Facebook.
Ostatnią korzyścią – i to pochodzącą od Prezydenckiego Zespołu Kontroli – jest to, że przekazanie danych w prywatne ręce pozwoli nam poczuć się lepiej. Jak piszą: „Wiedza, że rząd ma łatwy dostęp do rejestrów połączeń telefonicznych może poważnie ostudzić ‘wolności asocjacyjne i ekspresji’, a wiedząc, że rząd jest o jedno pstryknięcie przełącznika od takich informacji, głęboko może ‘zmienić relacje między obywatelami a rządem w sposób, który jest nieprzyjazny wobec społeczeństwa’”. Cytaty te pochodzą z opinii Sędzi Soni Sotomayor w sprawie USA przeciwko Jones, przypadku monitorowania GPS.
Zespół Kontroli uważa, że przeniesienie danych do innej organizacji, czy to firmy, której działalność polega na ich generowaniu, czy też jakiegoś repozytorium danych firmy niezwiązanej, rozwiązuje ten problem. Ale czy jest to coś, co naprawdę chcemy naprawiać? Fakt, że rząd ma nas wszystkich pod stałym i wszechobecnym nadzorem *powinien* być otrzeźwiający. *Powinien* ograniczać wolności wypowiedzi. Jest nieprzyjazny społeczeństwu, do tego stopnia, że ukrywamy to, co robimy przed ludźmi lub robimy rzeczy, które tylko udają, rozwiązanie problemu, sami wyrządzamy sobie krzywdę.
Gdzie nas to stawia? Jeśli korporacje przechowują już dane – dla jakichkolwiek celów biznesowych – to odpowiedź jest prosta: tylko one powinny ją gromadzić. Jeśli korporacje nie gromadzą danych, to – w sumie – bezpieczniej będzie żeby to NSA je przechowywała. A w wielu przypadkach najlepszym rozwiązaniem byłoby żeby nikt ich nie przechowywał. Powinny zostać usunięte, ponieważ to sprawia, ponieważ ich przechowywanie czyni nas wszystkich mniej bezpiecznymi.
Tu chodzi o cos więcej niż tylko NSA. Będą tam dane – dane medyczne, dane ruchowe, dane transakcyjne – które są zarówno wartościowe dla nas wszystkich łącznie i prywatne dla nas osobiście. I w każdym z tych przypadków, będziemy mieli do czynienia z tym samym pytaniem: Jak możemy wyodrębnić wartość społeczną, jednocześnie chroniąc ich prywatny charakter? Jest to jedno z kluczowych wyzwań ery informacji a odkrycie, gdzie przechowywać dane jest ważnym elementem tego wyzwania. Na pewno nie będzie to wspólnym rozwiązaniem dla wszystkich wystąpień tego problemu, ale umiejętność zbalansowania kosztów i korzyści płynących z różnych rozwiązań będzie kluczowym elementem wykorzystania potęgi dużych ilości danych bez wyrządzania szkód społecznych.
Esej ten ukazał się pierwotnie na Slate.com, z bardzo mylącym tytułem.
http://www.slate.com/articles/technology/future_tense/2014/02/nsa_surveillance_metadata_the_government_not_private_companies_should_store.html
lub http://tinyurl.com/lmt8sp7
Rekomendacje Zespołu Kontroli:
http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf
lub http://tinyurl.com/lj4azsg
Metadane telefoniczne:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order
lub http://tinyurl.com/qaynuex
Pytanie Goldsmith’a:
http://www.lawfareblog.com/2013/12/cole-and-lederman-and-morell-on-review-group-report
lub http://tinyurl.com/mjvn3ll
U.S. przeciw Jones:
http://www.law.cornell.edu/supremecourt/text/10-1259
Komentarz na blogu Lawfare:
http://www.lawfareblog.com/2014/02/bruce-schneier-on-nsa-v-private-meta-data-storage/#.Uv6Lt2JdWSo
lub http://tinyurl.com/n42jsyv
Schneier News
Podpisałem list otwarty od amerykańskich naukowców zajmujących się kryptografią i bezpieczeństwem informacji w sprawie inwigilacji NSA. Media poświęciły mu wiele uwagi.
http://masssurveillance.info/
http://www.cs.ucdavis.edu/~rogaway/tmp/media-coverage.html
20 marca w Kopenhadze wygłoszę mowę podczas „Digital Threats and Solutions”:
http://infinit.dk/dk/arrangementer/digital_threats_and_solutions.htm
9 Kwietnia wygłoszę wykład na SOURCE w Bostonie:
http://www.sourceconference.com/boston/
10 kwietnia, dwukrotnie wygłoszę wykład na Yale w New Heaven, CT:
http://cpsc.yale.edu/event/cs-colloquiumbruce-schneier
http://cpsc.yale.edu/event/cs-colloquiumbruce-schneier-0
14 kwietnia wygłoszę wykład na Uniwersytecie Minnesoty w Minneapolis:
https://www.eventbrite.com/e/bruce-schneier-open-governance-and-privacy-tickets-10680328149
lub http://tinyurl.com/kq7h6b5
Mój wykład o NSA na Konferencji RSA:
http://www.rsaconference.com/podcasts/106/nsa-surveillance-what-we-know-and-what-to-do-about
lub http://tinyurl.com/kwpuz4r
Ta wersja, z MIT, kilka tygodni wcześniej, jest lepsza:
http://bigdata.csail.mit.edu/node/154http://bigdata.csail.mit.edu/node/154
lub http://tinyurl.com/mg6c3an
Joe Menn przeprowadził ze mną wywiad o NSA na TrustyCon:
https://www.youtube.com/watch?v=rJRsanm-ODI
Różne wywiady z konferencji RSA w formie tekstowej, audio i wideo:
https://www.schneier.com/news-168.html
https://www.schneier.com/news-169.html
https://www.schneier.com/news-170.html
https://www.schneier.com/news-171.html
https://www.schneier.com/news-173.html
https://www.schneier.com/news-174.html
https://www.schneier.com/news-175.html
http://www.eweek.com/security/rsa-bruce-schneier-discusses-what-should-be-done-with-the-nsa.html
lub http://tinyurl.com/kbkdq5t
http://searchsecurity.techtarget.com/video/Bruce-Schneier-hints-at-new-Snowden-documents-analysis-techniques
lub http://tinyurl.com/l2ay9rm
Wywiad o błędzie iOS:
https://www.schneier.com/news-172.html
Wywiad na temat bezpieczeństwa i potęgi:
http://sourceconference.com/boston/speakers_2014.html
Wywiad na temat reagowania na incydenty:
http://www.esecurityplanet.com/hackers/video-bruce-schneier-on-incident-response-and-his-next-book.html
lub http://tinyurl.com/karpkmx
Co3 Systems News
W zeszłym tygodniu na konferencji RSA, ogłosiliśmy, że zintegrowaliśmy oprogramowanie koordynujące reagowanie na incydenty CO3 Systems z systemem HP ArcSight SEIM, oraz że CSC opiera swoje usługi reagowania na incydenty na CO3 Systems.
Ogłoszenie ArcSight:
https://www.co3sys.com/news/news-releases/co3-systems-accelerates-incident-response-through-interoperability-hp-arcsight
lub http://tinyurl.com/l9j8b9f
Ogłoszenie CSC:
https://www.co3sys.com/news/news-releases/co3-systems-selected-csc-global-cybersecurity-incident-response-management
lub http://tinyurl.com/kdsdb7w
Bezpieczeństwo Fortuna PRNG
Dostarczanie liczb losowych komputerom może być bardzo trudne. Jeszcze w 2003 roku, wspólnie z Nielsem Fergusonem zaprojektowaliśmy Fortuna jako bezpieczny PRNG (Pseudo-Random Number Generator – generator liczb pseudolosowych). Szczególnie ważne jest to, jak zbiera entropię z różnych procesów w komputerze i łączy je wszystkie razem.
Chociaż Fortuna jest szeroko stosowany, nigdy nie było żadnych analiz systemu z prawdziwego zdarzenia. Teraz uległo to zmianie. Nowa praca autorstwa Jewgienija Dodisa, Adi Shamira, Noah Stephens-Davidowitza i Daniela Wichsa zapewnia pewne teoretyczne modelowanie gromadzenia entropii i PRNG. Poddają oni Fortuna analizie i określają jako dobry, ale nie optymalny, a następnie przedstawiają swój własny optymalny system.
Doskonałe, i długo oczekiwane, badania.
http://eprint.iacr.org/2014/167
Fortuna:
https://www.schneier.com/fortuna.html
RCS Spyware i Citizen Lab
Remote-Controlled System (RCS – System zdalnie kontrolowany) jest spywarem sprzedawanym wyłącznie rządom przez spółkę z Milanu o nazwie Hacking Team. Ostatnio, Citizen Lab odkrył, że spyware ten jest używany przez rząd Etiopii wobec dziennikarzy, w tym amerykańskich dziennikarzy.
Niedawno Citizen Lab połączył oprogramowanie i kto z niego korzysta:
Hacking Team chwali się, że ich spyware’u RCS „nie można jednoznacznie połączyć” z konkretnym operatorem rządowym. Uważamy jednak, że udało nam się zidentyfikować pewną ilość obecnych i byłych użytkowników rządowych spyware’u przez identyfikację punktów końcowych, oraz analizę zaobserwowanych instancji RCS. Podejrzewamy, że agencje poniższych dwudziestu jeden rządów są obecnymi lub byłymi użytkownikami RCS: Azerbejdżan, Kolumbia, Egipt, Etiopia, Węgry, Włochy, Kazachstan, Korea, Malezja, Meksyk, Maroko, Nigeria, Oman, Panama, Polska, Arabia Saudyjska, Sudan, Tajlandia, Turcja, Zjednoczone Emiraty Arabskie i Uzbekistan.
Oba artykuły na stronie Citizen Lab są warte przeczytania; szczegóły są fascynujące. I będzie tego jeszcze więcej.
I na koniec gratulacje dla Citizen Lab za otrzymanie Nagrody MacArthura 2014 dla kreatywnych i efektywnych instytucji, wraz z nagrodą miliona dolarów. Ta organizacja jest jedną z tych dobrych, i jestem szczęśliwy widząc, że dostaje pieniądze na kontynuowanie prac.
https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/
lub http://tinyurl.com/k9x4v48
http://www.washingtonpost.com/business/technology/foreign-regimes-use-spyware-against-journalists-even-in-us/2014/02/12/9501a20e-9043-11e3-84e1-27626c5ef5fb_story.html
lub http://tinyurl.com/l6entuh
https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ lub
http://tinyurl.com/qzcx4zu
Nagroda MacArthura:
https://citizenlab.org/2014/02/macarthur-foundation-awards-1-million-citizen-lab/
lub http://tinyurl.com/py7aunc
Ustalanie bezpiecznych haseł
Pomimo dużego niebezpieczeństwa, jakie niosą ze sobą hasła, nie znikną one w najbliższym czasie. Każdego roku macie do czynienia z coraz większą ilością haseł, i co roku stają się one coraz łatwiejsze do złamania. Potrzebujecie strategii.
Najlepszym sposobem, aby wyjaśnić, jak wybrać dobre hasło jest wyjaśnienie, w jaki sposób są one łamane. Ogólny model ataku jest znany jako atak polegający na odgadnięciu hasła offline. W scenariuszu tym, atakujący dostaje plik z zaszyfrowanymi hasłami do miejsca, do którego ludzie potrzebują uwierzytelnienia. Jego celem jest z kolei, rozszyfrowanie pliku zawierającego hasła, których potem może użyć do uwierzytelnienia siebie. Robi to zgadując hasła, a następnie sprawdzając, czy są one prawidłowe. Może próbować tak szybko, jak jego komputer będzie potrafił je przetwarzać – i może zrównoleglić atak – i dostać natychmiastowe potwierdzenie jeśli odgadnie. Tak, istnieją sposoby, aby udaremnić ten atak, i dlatego możemy mieć jeszcze czterocyfrowe PIN-y do kart bankomatowych, ale jest to poprawny model łamania haseł.
Istnieją programy komercyjne, które łamią hasła, sprzedawane głównie policji. Istnieją również narzędzia hakerskie, które robią to samo. I są naprawdę * dobre *.
Efektywność łamania haseł zależy w dużej mierze od dwóch niezależnych rzeczy: mocy i wydajności.
Moc jest po prostu mocą obliczeniową komputera. W miarę jak komputery stają się szybsze, są w stanie przetestować więcej haseł na sekundę, jeden program chwali się ośmioma milionami na sekundę. Crackery te mogą pracować całymi dniami, na wielu komputerach jednocześnie. W przypadkach głośnych spraw prowadzonych przez Policję, mogą pracować przez miesiące.
Efektywność to zdolność do odgadnięcia haseł sprytnie. Nie ma sensu, aby sprawdzać każdą kombinację ośmiu liter kolejno od „aaaaaaaa” do „zzzzzzzz”. Byłoby to 200 miliardów możliwych haseł, z których większość byłaby bardzo mało prawdopodobna. Crackery haseł wypróbowują najbardziej popularne hasła jako pierwsze.
Typowe hasło składa się z rdzenia oraz przydatku. Rdzeń nie musi być koniecznie słowem słownikowym, ale to zazwyczaj coś, co można wymówić. Przydatek jest sufiksem (90% przypadków) lub prefiksem (10% przypadków). Widziałem, jak jeden cracker rozpoczął ze słownikiem około 1000 częstych haseł, takich jak „letmein”, „temp”, „123456”, i tak dalej. Następnie przetestował je wszystkie z około 100 najczęstszymi przyrostkami: „1”, „4U”, „69”, „abc” i tak dalej. Udało mu się ustalić około jednej czwartej wszystkich haseł dzięki tylko tym 100 tysiącom kombinacji.
Crackery używają różnych słowników: angielskich słów, nazw, wyrazów obcych, wzorów fonetycznych, i tak dalej, dla rdzeni; dwóch cyfr, dat, pojedynczych symboli, i tak dalej, jako przydatków. Przeszukują słowniki stosując różne kapitalizacje i najczęstsze podstawienia: „$” za „s”, „@” za „A”, „1” za „l” i tak dalej. Ta strategia zgadywania szybko pokonuje około dwóch trzecich wszystkich haseł.
Nowoczesne programy do łamania haseł łączą różne słowa z ich słowników. Za ArsTechniką:
Tym, co było niezwykłe we wszystkich trzech sesjach crackowania były rodzaje które zostały ujawnione. Obejmowały one hasła, takie jak „k1araj0hns0n”, „Sh1a-labe0uf”, ” Apr!l221973,” „Qbesancon321,” „DG091101%,” „@Yourmom69,” „ilovetofunot,” „windermere2313,” „tmdmmj17,” i „BandGeek2014”. Na liście były również: ” all of the lights” (tak, spacje są dozwolone na wielu stronach), „i hate hackers,” „allineedislove,” „ilovemySister31,” „iloveyousomuch,” „Philippians4:13,” „Philippians4:6-7,” i „qeadzcwrsfxv1331”. „gonefishing1125” był kolejnym hasłem, jakie Steube zobaczył na ekranie swego komputera. Kilka sekund po jego złamaniu zauważył, „używając brute force nigdy nie dałoby się go złamać”.
Dlatego właśnie często cytowany schemat do generowania haseł XKCD – napisanie bez spacji słów takich, jak „correcthorsebatterystaple” – nie jest już dobrą radą. Crackery już znają tę sztuczkę.
Atakujący wprowadzi wszelkie dane osobowe twórcy hasła, do których ma dostęp, do programu służącego łamaniu haseł. Dobry password cracker przetestuje nazwiska i adresy z książki adresowej, znaczące daty, oraz wszelkie inne informacje osobiste jakie posiada. Kody pocztowe są powszechnymi przydatkami. Jeśli to możliwe, zgadujący zindeksuje dysk celu i utworzyć słownik, który zawiera każdy ciąg możliwy do wydrukowania, w tym usunięte pliki. Jeśli kiedykolwiek zapisaliście wiadomość e-mail z hasłem, czy trzymaliście go gdzieś w jakimś pliku, lub jeśli program kiedykolwiek zapisał je w pamięci, proces ten wyłapie go. A to z kolei przyspieszy proces odzyskiwania hasła.
W zeszłym roku Ars Technica dał trzem ekspertom zaszyfrowany plik haseł z 16000 pozycji, i poprosił ich, aby złamali najwięcej jak się da. Zwycięzca poradził sobie z 90% z nich, przegrany z 62% – w ciągu kilku godzin. Byliśmy już tego świadkiem w 2012, 2007 i wcześniej. Jeśli jest jakaś nowa wiadomość, to że tego typu rzeczy stają się łatwiejsze szybciej niż ludzie myślą.
Prawie wszystko, co może być zapamiętane, może być złamane.
Jest jednak jeden schemat, który działa. Jeszcze w 2008 roku, opisałem „schemat Schneiera”:
Więc jeśli chcecie, aby wasze hasło było trudne do odgadnięcia, musicie wybrać takie, które wykluczy ten proces. Moja rada jest taka, aby wziąć zdanie i przekształcić go w hasło. Zdanie ” This little piggy went to market” może stać się „tlpWENT2m”. Tych dziewięciu znaków hasła nie będzie w żadnym słowniku. Oczywiście, nie należy korzystać z tego zdania, bo o nim już napisałem. Wybierzcie własne zdanie – coś osobistego.
Poniżej parę przykładów:
WIw7,mstmsritt… = When I was seven, my sister threw my stuffed rabbit in the toilet. (Kiedy miałem siedem lat moja siostra wrzuciła mojego pluszowego królika do toalety.)
Wow…doestcst::amazon.cccooommm = Wow, does that couch smell terrible. (Wow, ta kanapa śmierdzi okrutnie.)
Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all. (Dawno temu, w nie tak znowu odległej galaktyce.)
uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure. (Aż do tego momentu hasła te były bezpieczne.)
Rozumiecie? Łączycie łatwe do zapamiętania dla was zdanie, kilka osobistych sztuczek pamięciowych aby zmodyfikować to zdanie w hasło, i tworzycie długie hasło. Oczywiście strona musi zaakceptować wszystkie te znaki nie-alfanumeryczne i hasło dowolnej długości. W przeciwnym razie, jest to o wiele trudniejsze.
Jeszcze lepiej jest używać niemożliwych do zapamiętania losowych haseł alfanumerycznych (z symbolami, jeśli witryna będzie na nie pozwala), i menadżera haseł, jak Password Safe, który tworzy i przechowuje hasła. Password Safe zawiera funkcję losowego generowania hasła. Mówisz mu, ile znaków chcesz – dwanaście jest moją domyślną ilością – i dostajesz hasła, takie jak r) V_ |. 0,7) 7BL, B3h4_ [%} KGV) oraz QG6,FN4nFAm_. Program obsługuje funkcję wytnij i wklej, więc nie będziecie musieli w rzeczywistości wpisywać tych znaków. Polecam Password Safe dla Windows, ponieważ napisałem jego pierwszą wersję, znam osobę obecnie odpowiedzialną za kod i ufam jego bezpieczeństwu. Istnieją porty Password Safe do innych systemów, ale nie mam z tym nic wspólnego. Istnieją także inne managery haseł, jeśli chcecie możecie poszukać.
W przypadku haseł chodzi o coś więcej niż tylko dobry ich wybór:
1. Nigdy nie należy używać hasła, na którym wam zależy. Nawet jeśli ustalicie bezpieczne hasło, to z witryny, do której to hasło jest, może ono wyciec na skutek niekompetencji. Przecież nie chcecie aby ktoś, kto zdobędzie hasło do jednej z aplikacji lub witryn, mógł używać go do innych aplikacji lub witryn.
2. Nie zawracajcie sobie głowy regularną zamianą hasła. Witryny, które wymagają tego co 90 dni – lub inny okres czasu – robią więcej szkody niż pożytku. Nie zmieniaj hasła, chyba, że myślisz, że może być narażone.
3. Uważajcie na „tajne pytanie.” Nie chcecie systemu bezpieczeństwa na wypadek, gdy użytkownik zapomni hasła, który jest łatwiej złamać niż hasło. Naprawdę, mądrzej jest używać menedżera haseł. Lub zapisywać swoje hasła na kartce papieru i upewnić się, że ta kartka jest w bezpiecznym miejscu.
4. Jeszcze jedna rada: jeśli witryna oferuje uwierzytelnianie dwuskładnikowe, poważnie rozważcie jego użycie. Praktycznie w każdym przypadku poprawia to bezpieczeństwo.
Esej ten pojawił się wcześniej na BoingBoing.
http://boingboing.net/2014/02/25/choosing-a-secure-password.html
Hackerskie narzędzia do łamania haseł:
http://www.openwall.com/john/
http://hashcat.net/
Efektywność łamania haseł:
http://www.lightbluetouchpaper.org/2012/09/03/password-cracking-part-i-how-much-has-cracking-improved/
lub http://tinyurl.com/8gqrye9
http://www.lightbluetouchpaper.org/2012/09/04/password-cracking-part-ii-when-does-password-cracking-matter/
lub http://tinyurl.com/9oos9kj
http://hackersnewsbulletin.com/2013/09/new-password-cracking-software-tries-8-million-times-per-second-crack-password.html
lub http://tinyurl.com/ndec7ov
Najczęściej stosowane hasła:
https://www.schneier.com/blog/archives/2006/12/realworld_passw.html
http://www.cbsnews.com/news/the-25-most-common-passwords-of-2013/
Artykuł ArsTechnica o łamaniu haseł:
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
lub http://tinyurl.com/npnyxbd
Schemat XKCD:
http://xkcd.com/936/
https://subrabbit.wordpress.com/2011/08/26/how-much-entropy-in-that-password/
lub http://tinyurl.com/knoxgmn
Starsze historie o łamaniu haseł:
http://arstechnica.com/security/2012/08/passwords-under-assault/
https://www.schneier.com/blog/archives/2007/01/choosing_secure.html
Schemat Schneier’a:
https://www.schneier.com/essay-246.html
Przykłady haseł:
https://www.schneier.com/blog/archives/2013/06/a_really_good_a.html
Password Safe:
https://www.schneier.com/passsafe.html
Badania empiryczne haseł opartych na frazie od 2000 r.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf
Od 1998 roku, CRYPTO-GRAM jest comiesięcznym, darmowym newsletterem, w którym znaleźć można podsumowania, analizy, studia przypadków i komentarze na temat bezpieczeństwa: komputerów i nie tylko. Możesz się zapisać, wypisać lub zmienić adres e-mail na stronie http://www.schneier.com/crypto-gram.htmlPod tym adresem są także dostępne starsze numery newslettera. CRYPTO-GRAM, w całości lub w części, możesz dalej przesłać do twoich kolegów i przyjaciół, którym może okazać się przydatny. Udzielam także zgody na przedruk CRYPTO-GRAMu, tak długo jak jest on przedrukowywany w całości. CRYPTO-GRAM został napisany przez Bruce’a Schneiera. Schneier jest autorem takich bestsellerów jak “Liars and Outliars”, „Schneier on Security,” „Beyond Fear,” „Secrets and Lies,” a także „Applied Cryptography”. Jest także twórcą algorytmów Blowfish, Twofish, Threefish, Helix, Phelix oraz Skei. Pełni funkcję Dyrektora ds. bezpieczeństwa informatycznego BT, a także jest członkiem zarządu Electronic Privacy Information Center (EPIC). Często pisze i wypowiada się na tematy związane z bezpieczeństwem. Wejdź na: http://www.schneier.com.Crypto-Gram jest autorskim newsletterem. Wyrażane w nim opinie niekoniecznie pokrywają się z opiniami BT. Copyright (c) 2014 by Bruce Schneier Oryginalne wydanie newslettera Polskie tłumaczenie newslettera Tłumaczenie polskie opracowane przez IMMUSEC Sp. z o.o.
ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com
