» »

Šifriranje skoraj ni ovira za NSA in GCHQ

1
2
»

poweroff ::

Blisk je izjavil:

Highlag je izjavil:

Več ko bomo uporabljali šifriranje več dela bodo imeli z dešifriranjem. Če je sedaj samo nekaj % komunikacij šifriranih si lahko posvetijo čas razbijanju vsega mogočega. Če bi bilo šifriranja več bi bilo bolj učinkovito, ker nebi imeli časa dešifrirati vsega.

več kot bomo uporabljali šifriranje več bodo imeli dela in več bomo uporabljali besede terorist in bomba, več bodo imeli dela, njihov sistem tudi ni vsemogočen in denarja za to je vedno manj. Torej treba je delat na tem, ne samo govorit, kaj bi lahko!

Tole pa ni res. Če uporabljaš besede ala terorist, bomba, itd. (mimogrede, obstajajo celo programi, ki omogočajo samodejno poganjanje queryev v ozadju), se da to s statističnimi algoritmi zelo enostavno odfiltrirati.

Po drugi strani "odfiltriranje" neškodljive šifrirane komunikacije nikakor ni trivialno.
sudo poweroff

BaToCarx ::

Matthai omeni še, da tudi če si ti "varen", če leakne pri prejemniku (kakšerkoli razlog) nisi naredil nič. :D
Smo pač povezani s skupnim štrikom.

AndrejO ::

poweroff je izjavil:


dronyx je izjavil:

Kar sodi pa pod Zakon o tajnih podatkih je pa jasno druga zgodba in mislim da imamo pri nas celo nek organ, ki naj bi se s to problematiko ukvarjal. Ne pa mislit, da lahko "državni informatiki", ki po 20 let niso bili na enem samem izobraževanju zaščitijo informacijske državne sisteme pred zlobno NSA.

Tudi pred kom drugim se bojim da ne.

Zato pa imajo Arnes. In ne, to ni šala, temveč žalostno dejstvo, da so edini, ki jih lahko izvršilna veja oblasti pokliče na pomoč, "neki akademiki" (kot se to sfero redno in z veseljem zaničuje), zaposleni v javnem zavodu (torej v skladu z današnjo definicijo praktično paraziti), katerega siceršnje poslanstvo je skrbeti za akademsko omrežje.

Pa bom rekel, da je dobro, da sploh imajo koga za poklicati. CVI ni bil rešitev, bila pa je to edina centralizirana služba znotraj javne uprave znotraj katere bi se lahko zatečeno stanje sistematično reševalo. Ne vem, če je bilo kaj podobnega ponovno vzpostavljeno, ampak v času ukinjanja se je strokovno ugotovilo, da so zasebniki pri tem poslu menda bolj učinkoviti. Zasebniki seveda niso "paraziti", tudi če ustvarijo 90% svojega prometa v poslih z javno upravo.


poweroff je izjavil:

In v končni fazi je pomembna varnost terminalnih naprav. Če ima nekdo direkt root dostop do tvojega terminala, ti še takšna zaščita nič ne pomaga. Tukaj pa govorimo o tempestu, firmware hackingu, itd.

Tukaj o komarjih, ti pa s topovi ven.

Kar se tiče komarjev, je tam nekje v drugi polovici l. 2010 "igra" vstopila v zadnjo fazo. Večina lastnikov računalnikov danes več nima tolikšnega nadzora nad računalniki, ki jih uporabljajo, da bi jih sploh lahko nadzirali, kaj šele upravljali. Preostanek populacije, ki še ima dostop do računalnikov, kjer to imajo, več ni relevanten, saj jih od teh večina nima minimalnega tehničnega znanja za upravljanje z varnostjo na le teh.

Kar se tiče topov, se države medsebojno "obdelujejo" na vseh nivojih in ni neke hude panike, dokler se amaterji (torej politiki) obnašajo amatersko (torej brezglavo). Informacija, da je možno poceni prestrezati klice na 2G omrežju, ponarejati identiteto in še kakšna malenkost, ni doseglo niti velikostnega ranga pasje bombice. Nekaj, kar zadeva praktično vsakega ministra, poslanca, predsednika in skupaj z njimi še polovico javne uprave, ki uporabljajo storitve enega operaterja, je na koncu izzvenelo v vprašanje varovanja komercialnega interesa tega enega operaterja.

Saj ni potrebno zaganjati panike, ampak pometati pod preprogo pa tudi ne gre. Vprašanja informacijske varnosti pač niso vprašanje dobrega PR-ja, ampak vedno bolj pogosto vprašanja obstoja podjetja v komercialni sferi in tistega resničnega nacionalnega interesa v državni/javni sferi.

Kdor ne pozna besede "pendofil", ni bil stalen bralec stripov v reviji Mladina. Kudos tistim, ki se konkretnega stripa še spomnijo.

poweroff ::

AndrejO je izjavil:

Pa bom rekel, da je dobro, da sploh imajo koga za poklicati. CVI ni bil rešitev, bila pa je to edina centralizirana služba znotraj javne uprave znotraj katere bi se lahko zatečeno stanje sistematično reševalo. Ne vem, če je bilo kaj podobnega ponovno vzpostavljeno, ampak v času ukinjanja se je strokovno ugotovilo, da so zasebniki pri tem poslu menda bolj učinkoviti. Zasebniki seveda niso "paraziti", tudi če ustvarijo 90% svojega prometa v poslih z javno upravo.

Točno tako. Outsourcanje IT-ja javne uprave je po mojem mnenju prineslo precejšnje stroške in zaustavljen ter razdrobljen razvoj. Državni informatiki so postali zgolj poštarji (ko kaj ne dela pokličejo ustreznega podizvajalca), ukvarjajo se le z menjavo kakšnih diskov in tonerjev ter pripravo javnih naročil.

Ponudniki pa mastno služijo, tudi s priklepanjem (vendor lock-in). Edino kar je pomembno je, da sistemi vsaj za silo delujejo. Kako delujejo, pa ni več pomembno. Jasno, zmanjševanje stroškov. In varnost je strošek. Za ponudnika nepotreben, če naročnik tega ne zahteva.

AndrejO je izjavil:

Saj ni potrebno zaganjati panike, ampak pometati pod preprogo pa tudi ne gre. Vprašanja informacijske varnosti pač niso vprašanje dobrega PR-ja, ampak vedno bolj pogosto vprašanja obstoja podjetja v komercialni sferi in tistega resničnega nacionalnega interesa v državni/javni sferi.

Kar sem se jaz naučil iz te zgodbe je, da varnost v resnici nikogar ne zanima. Za operaterje/ponudnike storitev je to nepotreben strošek, kar seveda povsem razumem. Malo manj pa razumem državo, ki bi morala postaviti neke standarde. Že zaradi lastne zaščite. Ampak pri nas je to non-topic.
sudo poweroff

stb ::

poweroff je izjavil:

Kar sem se jaz naučil iz te zgodbe je, da varnost v resnici nikogar ne zanima. Za operaterje/ponudnike storitev je to nepotreben strošek, kar seveda povsem razumem. Malo manj pa razumem državo, ki bi morala postaviti neke standarde. Že zaradi lastne zaščite. Ampak pri nas je to non-topic.

Zanimiv video na to temo: Unexpected Stories From a Hacker Who Made it Inside the Government by Peiter Mudge Zatko:

Nauk: nimamo samo mi takšnih problemov.

Zgodovina sprememb…

  • spremenil: stb ()

trizob ::

poweroff je izjavil:

AndrejO je izjavil:

Pa bom rekel, da je dobro, da sploh imajo koga za poklicati. CVI ni bil rešitev, bila pa je to edina centralizirana služba znotraj javne uprave znotraj katere bi se lahko zatečeno stanje sistematično reševalo. Ne vem, če je bilo kaj podobnega ponovno vzpostavljeno, ampak v času ukinjanja se je strokovno ugotovilo, da so zasebniki pri tem poslu menda bolj učinkoviti. Zasebniki seveda niso "paraziti", tudi če ustvarijo 90% svojega prometa v poslih z javno upravo.

Točno tako. Outsourcanje IT-ja javne uprave je po mojem mnenju prineslo precejšnje stroške in zaustavljen ter razdrobljen razvoj. Državni informatiki so postali zgolj poštarji (ko kaj ne dela pokličejo ustreznega podizvajalca), ukvarjajo se le z menjavo kakšnih diskov in tonerjev ter pripravo javnih naročil.

Ponudniki pa mastno služijo, tudi s priklepanjem (vendor lock-in). Edino kar je pomembno je, da sistemi vsaj za silo delujejo. Kako delujejo, pa ni več pomembno. Jasno, zmanjševanje stroškov. In varnost je strošek. Za ponudnika nepotreben, če naročnik tega ne zahteva.

AndrejO je izjavil:

Saj ni potrebno zaganjati panike, ampak pometati pod preprogo pa tudi ne gre. Vprašanja informacijske varnosti pač niso vprašanje dobrega PR-ja, ampak vedno bolj pogosto vprašanja obstoja podjetja v komercialni sferi in tistega resničnega nacionalnega interesa v državni/javni sferi.

Kar sem se jaz naučil iz te zgodbe je, da varnost v resnici nikogar ne zanima. Za operaterje/ponudnike storitev je to nepotreben strošek, kar seveda povsem razumem. Malo manj pa razumem državo, ki bi morala postaviti neke standarde. Že zaradi lastne zaščite. Ampak pri nas je to non-topic.



Outsourcanje niti ni tako velik problem. Če bi možgani vedeli, kaj potrebujejo, oz. kako nekaj doseči, bi to jasno prek sinaps prenesli do "rok". Pa ne znajo. Negativna kadrovska selekcija, politična brezvoljnost, trmoglavost drugih strok (beri: _zgrešeni ter zastareli_ koncepti samoupravljana) in vsesplošna otopelost JU. Primer je sodstvo, kjer vodijo lasten razvoj (seveda s podizvajalci), pa vse kar naredijo je eno veliko sranje, pa ali to naročijo ali sami izvedejo. Da ne omenjam lastnih hišnih podizvajalcev in tistih, ki so jih podedovali od CVI oz. jih naprej poriva ministrstvo pristojno za JU. Neuspešno so iskali _več let_ vodjo razvoja, seveda z ustrezno izobrazbo. Vedno se je zataknilo pri plači, saj so se ljudje obračali na vratih, ko so izvedeli, da bi delali za =< 1k EUR/mesec.

Ne razumeš države pri zanemarjanju varnosti? Spet smo pri istih razlogih, negativna kadrovska selekcija & odločanje povsem nekompetentnih ljudi!

Zgodovina sprememb…

  • spremenil: trizob ()

maxipin ::

Živjo!

Ima morda kdo kakšen nasvet oz. kje kakšen članek kako povečati lastno varnost in povečati delo NSA-ju? Zanima me tako za strežnike kaj je najboljša zaščita (nekaj je bilo že na forumu zapisano), prav tako me pa zanima tudi za osebno rabo, kako bi se dalo kaj izboljšati na tem področju.
Najlepša hvala!

Matija82 ::

maxipin, Matthai to the rescue.
http://pravokator.si/index.php/tag/mala...

Osebno? Nauči se uporabljati GPG (tudi del zgoraj navedenih prispevkov četudi se po mojih izkušnjah začetniki hitreje naučijo z GPG4USB programom, kot v Seahorsu).
http://gpg4usb.cpunk.de/docu.html

Zgodovina sprememb…

  • spremenilo: Matija82 ()

maxipin ::

Matija82, najlepša hvala. Provokator.si je res awesome.
Kar se pa tiče GPG-ja. Priporočaš še kakšno alternativo gpg4usb za mac-a (bom pogledal GPG Suite).

Hvala!

Zgodovina sprememb…

  • spremenil: maxipin ()

Matija82 ::

Super stran jep, kapo dol avtorju.

GPG4USB se mi zdi tako super za začetek, da bi na Macu kar pognal VirtualBox&Lubuntu in se potem tam igral ;)

Na Macu nekateri uporabljajo GPGTools toda kje dela, kje ne zatorej poeksperimentiraj z nightly builds.
http://hekla.scnr.ch/

Za varno (varnejšo?) IM komunikacijo probaj plugin OTR (nebroj različnih protokolov od ICO do IRC do Google Talka). Za Mac ti je klient lahko Adium.

Zgodovina sprememb…

  • spremenilo: Matija82 ()

Rijndael ::

poweroff je izjavil:



Državnim informatikom že dlje časa trobim, da bi bilo treba LotusNotes vreči stran (ni varen, veste) pa je spet samo WTF. Sej ima kljukico "šifriraj"!

Tam se pogovarjam s folkom, ko mi pravi, da je Cisco pa kul, ker ima varnostne certifikate. Pa mu omenim Phenoelit, pa je spet samo WTF...

Ko rečem, da imam pri eliptičnih krivuljah tak čuden občutek v želodcu, je spet zavijanje z očmi, potem pa človeku rečeš naj gre brat kakšne resne članke o magičnih konstantah v ECC, pa folk spet debelo gleda.

>:D


Zgolj dva utrinka, ki sta nekako povezana s citiranim:

- Dejstvo je, da največjo, pravzaprav vztrajno grožnjo naši državi že dlje časa predstavlja odsotnost kompetenc v državni informatiki.

- V določenih organizacij v sklopu državne uprave je za sporočanje povezano z LotusNotes uporabljen Cifrin algoritem.

Zgodovina sprememb…

  • spremenil: Rijndael ()

trizob ::

- Dejstvo je, da največjo, pravzaprav vztrajno grožnjo naši državi že dlje časa predstavlja odsotnost kompetenc v državni informatiki.


Plače so prenizke, denarja za višje pa ni. Prej pa ni bilo interesa/želje.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

GCHQ prestrezala e-pošto svetovnih časnikov

Oddelek: Novice / NWO
268595 (6635) Jupito
»

NSA lahko bere večino šifrirnega, ne pa vsega

Oddelek: Novice / NWO
4517116 (12909) deadzone
»

NSA brska po igri Angry Birds in Googlovih zemljevidih

Oddelek: Novice / NWO
3115399 (12626) trizob
»

Vohunijo in prisluškujejo - vsi in povsod

Oddelek: Novice / NWO
3211990 (9721) poweroff

Več podobnih tem