Spiegel Online - V Hamburgu se danes končuje 31. konferenca CCC (Chaos Communication Congress), na kateri vsako leto v zadnjih decembra predstavijo novosti na področju računalniške varnosti. V sodelovanju z nemškim Spieglomso prikazali zadnje znane podatke o sposobnosti NSA in drugih obveščevalnih služb dešifrirati in prestrezati komunikacijo prek interneta. Kot smo lani pisali, ovir za NSA ni več veliko, a nekaj jih vseeno ostaja.
NSA in partnerji si na vse načine prizadevajo pridobiti dostop do vse šifrirane komunikacije prek interneta, pri čemer gredo tako daleč, da šifrirano komunikacijo označujejo kot grožnjo (threat). Ponudniki infrastrukture in uporabniki seveda gledajo na stvari drugače, kar vidimo že imena, saj govorijo o varni komunikaciji. Pred dvajsetimi leti je NSA upravičeno predpostavljala, da je vsak kos šifrirane komunikacije na internetu pomemben, saj so imele ustrezno tehnologije le države. Danes pa je situacija drugačna, saj je šifriranje nepogrešljiva sestavina e-bančništva, spletnega nakupovanja, telefonije prek interneta, čedalje pogosteje pa jo uporabljamo kar pri vsaki uporabi interneta.
Težavnost prebiranja posameznih sporočil NSA razdeli v pet razredov - trivialna, nizka, srednja, visoka, katastrofalna. Sledenje nešifriranemu sporočilu je trivialno enostavno, spremljanje pogovora po Facebooku je nizke težavnosti, prebiranje priponk v šifrirani pošti ponudnika mail.ru pa srednje težavno. Do sem ni nobenih problemov, za NSA se začne pravo delo šele pri četrti stopnji, kamor sodijo Tor, ponudnik šifrirane e-pošte Zoho, šifriranje s TrueCryptom, ali protokola PGP in OTR. V peto stopnjo, torej katastrofalno težko dešifriranje, vstopimo s kombinirano uporabo storitev, npr. Tora in sistema za hipno sporočanje CSpace ali ZRTP za VoIP. Posebej zanimiv je že dvajset let star PGP, ki je še danes pretrd oreh. NSA leta 2012, za katero imamo podatke, teh načinov šifriranja ni zmogla razbiti, poznavalci pa dvomijo, da so v dveh letih bistveno napredovali.
VPN po drugi strani ni niti približno anonimen. NSA nima sposobnosti dešifriranja vseh povezav VPN, a po drugi strani zlahka razbija tiste, ki jo zanimajo. Trenutno v Fort Meadu na sedežu NSA teče velik projekt, ki je namenjen prestrezanju in slabljenju VPN. Leta 2012 so zmogli nadzorovati 20.000 VPN-povezav na uro. PPTP-implementacija VPN je bolj ranljiva, kar vemo že dolgo, a tudi Ipsec ni kakšna velika ovira. NSA si tu pomaga tudi s fizičnim dostopom do usmerjevalnikov, kar zanje počne enota TAO. V isto kategorijo sodijo tudi povezave prek SSL/TLS, ki tudi niso več problem.
Posebej zabavna je dvojna vloga NSA. Po eni strani si prizadevajo zlomiti čim več šifrirnih algoritmov, kjer ne izbirajo sredstev - fizični vdori, slabljenje standardov, kraja ključev, podtikanje trojancev - po drugi strani pa NSA potrebuje močen šifrirni algoritem za lastno uporabo. NSA celo sodeluje kot svetovalec za NIST, ki standardizira algoritme za šifriranje v ZDA. In NSA jim priporoča uporabo AES, hkrati pa ima sama aktivno enoto, ki se ukvarja izključno z iskanjem lukenj v AES.
V večini primerov se stranska vrata v lastnih varovalih ne obnesejo, saj jih lahko odkrijejo tudi nepridipravi. Do BitLocker tehnologije, ki jo MS distribuira v svojem programju za rajo, sem skeptičen. Kdo pa pravi, da je ista različica programske opreme tudi za njihove državne organe. Nenazadnje imajo domači velikani in ablast dostop do kode/vpogled vanjo.
Using a number of different programs, they claim to have succeeded in penetrating numerous networks. Among those surveilled were the Russian carrier Transaero Airlines, Royal Jordanian Airlines as well as Moscow-based telecommunications firm Mir Telematiki.
Severna Koreja pa je baje uspešno vdrla v Sony Pictures. Kdo je tu terorist pa je retorično vprašanje...
Nič čudnega, da potem niso v stanju opaziti nekoga, ki se pol leta koruzi na FB, kako bo terorista in glave sekal pa bombe metal, preden res naredi kakšno neumnost. Dobesedno se večinoma ukvarjajo s komunikacijami, ki jih prav en klinc brigajo ("the whole haystack" doktrina), če bi slučajno padlo kaj zanimivega ven...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Dobesedno se večinoma ukvarjajo s komunikacijami, ki jih prav en klinc brigajo ("the whole haystack" doktrina), če bi slučajno padlo kaj zanimivega ven...
Lov na "teroriste" je verjetno pa kljub vsemu malce naivna razlaga za vohunjenje v takšnem obsegu, kot se ga gredo organizacije, kot je NSA, GCHQ, ITD! Tu gre v prvi vrsti za klasično špijunažo, kjer se poskuša priti do kakršnihkoli podatkov, ki pomenijo "strateško prednost". Tarče so podjetja, vlade, razne druge organizacije itd. Nenazadnje, če bi se šlo zgolj za "lov na teroriste", čemu je potem tarča vohunjenja tudi sedež EU v Bruslju?
Se vedno sem na Truecrypt opciji. Me preprucuje ze vrsto let pa me bo se nekaj cajta, dokler ne najdejo kaksnega kriticnega kiksa. Seveda pa ob upostevanju 5ih osnovnih pravil kreiranja gesel.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Se vedno sem na Truecrypt opciji. Me preprucuje ze vrsto let pa me bo se nekaj cajta, dokler ne najdejo kaksnega kriticnega kiksa. Seveda pa ob upostevanju 5ih osnovnih pravil kreiranja gesel.
Mene pa zanima kaj je trenutno resna in auditana alternativa TrueCryptu. To, da VeraCrypt razvija frncosko podjetje, ne vzbuja ravno zaupanja. Zakaj? Zato.
Mene pa zanima kaj je trenutno resna in auditana alternativa TrueCryptu. To, da VeraCrypt razvija frncosko podjetje, ne vzbuja ravno zaupanja. Zakaj? Zato.
Kaj je narobe z TrueCryptom? Zakaj je treba it na novejšo zadevo, če starejša dela kot mora?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Bilo bi zanimivo izvedeti, od katerih proizvajalcev firewalle uporabljajo pri NSA, CIA,... - glede na to, da kvazi 'noben' ni varen. Če jih znajo zmanipulirati pri NSA, prav nič ne dvomim, da jih nebi znali tudi rusi, kitajci,....?
Mene pa zanima kaj je trenutno resna in auditana alternativa TrueCryptu. To, da VeraCrypt razvija frncosko podjetje, ne vzbuja ravno zaupanja. Zakaj? Zato.
Kaj je narobe z TrueCryptom? Zakaj je treba it na novejšo zadevo, če starejša dela kot mora?
mogoče zato, ker so avtorji sumljivo nehal z ravojem in nas napotil na bitlocker. Čeprav po drugi strani je pa bil auditan...
Mene pa zanima kaj je trenutno resna in auditana alternativa TrueCryptu. To, da VeraCrypt razvija frncosko podjetje, ne vzbuja ravno zaupanja. Zakaj? Zato.
Kaj je narobe z TrueCryptom? Zakaj je treba it na novejšo zadevo, če starejša dela kot mora?
mogoče zato, ker so avtorji sumljivo nehal z ravojem in nas napotil na bitlocker. Čeprav po drugi strani je pa bil auditan...
to, kar so avtorji naredili, vsaj uradno ne vemo zakaj so naredili, so špekulacije,... Bitlocker,. noup, ne zaupam no way,.. alternative, ki imajo osnovo Truecrypt, noup, tud ne še.
Zaenkrat ne najdem ničesar, kar bi govorilo proti TrueCryptu, ostajam pri zadnji njegovi različici. dela, je bila revidirana,.. DELA,..
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Na SSD dela, Win8 ali 8.1 pa si v mojih okvirjih ne zasluži imena operacijski sistem,.. (to je neka izgubljena veja ala Vista serija),.. nme vidim razloga, zakaj ne bi, osnova je itak ista, ali se motim? Dela na Win7 in na linux okolju bp.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Bitlocker in Truecrypt za domačo uporabo vrh glave. Ne vem kaj vsi tolk komplicirate :S
Zato ker leta ni nihče kompliciral smo prisli v taksno sranje kot je zdaj, pa je NSA samo vrh ledene gore, kar si dovolijo oglaševalci, je tudi za na križ pribiti. Ampak še vedno se najdejo bučmani, ki "nimajo kaj za skrivat" in potem klatijo takšne neumnosti.
Ali, ker sem opazil, da je določen procent ljudi preprosto preveč zabitih: ker ti dobro gledaš kadar greš čez cesto, še ne pomeni, da so semaforji odveč.
Še nisem srečal junaka, ki bi mi razložil zakaj imeti vohunsko agencijo, ki ima dostop do skoraj vseh informacij in jo pri tem praktično nihče ne nadzira, kot tudi to, da ni znano, kdo vse ima dostop do njenih storitev, razen prek leakov, potrjenih privatnih organizacij in nekaterih oseb izven okrilja državnega nadzora.
No...morda je nek pozitiven aspekt tega, but it's pretty dumb.
Še nisem srečal junaka, ki bi mi razložil zakaj imeti vohunsko agencijo, ki ima dostop do skoraj vseh informacij in jo pri tem praktično nihče ne nadzira, kot tudi to, da ni znano, kdo vse ima dostop do njenih storitev, razen prek leakov, potrjenih privatnih organizacij in nekaterih oseb izven okrilja državnega nadzora.
No...morda je nek pozitiven aspekt tega, but it's pretty dumb.
Tudi tisti ki nadzirajo, so lahko problem, za primere ni treba gledati niti izven meja naše deželice.
to lahko povem o rešitvah, ki sem jih ali jih še uporabljam.
GELI programsko orodje fino deluje na UFS/ZFS. Je nastalo kot alternativa GBDE in hitro postalo prva izbira (deloma tudi zaradi znanih izgub podatkov pri nenadnih izpadih ob uporabi GBDE). GELI uporablja isto ogrodje GEOM za delo po nosilcih podatkov in crypto ogrodje (kot API jedra FreeBSD) za šifriranje. Hja, načeloma gre pri celem projektu okoli odprtokodnega OS za precej drugačno (avtoritarno/akademsko) voden razvoj in upravljanje s prispevki prostovoljcev (za razliko od Linuxa), kar je že samo po sebi korak v pravo smer, pa tudi precej dobro zagotovilo o zrelosti nečesa, kar se znajde v produkcijski različici distribucije. Tudi dokumentacija (zlasti o implementaciji) je pri tem projektu superiorna, kar morebitne revizije nekoliko olajša. Tako najdeš veliko informacij v priročnikih (mans, ne handbooku): GEOM, GBDE, GELI in crypto. Dobro je tudi, da je pri vodenju projekta veliko akademikov in raziskovalcev. Od tod tudi ta knjiga, ki ni revizija (kakršno bi želeli), a je vseeno precej dober (in še vedno pogojni) nadomestek zanjo. Tole pa še prihaja izpod tipkovnice avtorja GEOM-a o GBDE. Še vedno pa bi si želel kakšne polnokrvne revizije, kakršno je doživel TrueCrypt. Toda dejstvo, da je ni, me ne odvrne od uporabe (in morda celo delnega prepričanja, da sta orodji varni).
Še kot zanimivost: GBDE podpira steganografske funkcionalnosti, GELI pa možnost t. i. prepričljivega zanikanja obstoja določenih podatkov (podobno kot TrueCrypt).
Krajše obdobje sem preizkušal PEFS, ki je po svoje simpatičen, saj šifrira zgolj uporabniško obzorje (mapo). Celo ena slabokrvna revizija kode in implementacije šifriranja se je našla, a je to šele zgolj začetek.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
GELI žal ne deluje v Linuxu, ker je implementacija esencialno povezana s FreeBSD jedrom. Uporablja crypto ogrodje, ki je API jedra in GEOM ogrodje, prav tako vdelano v jedro samo.
boolsheat, in ta je še najmanj problematična, prej dobrodošla, če je vklopljena. Sicer pa upam, da si tako dosleden, da ne uporabljaš AES-a.
Če že špekulirate, dajte prepričljivo. Če se kje kaj skriva, je to skrivaj podtaknjeno (in bolj domišljeno, da zgleda napaka). Če bi sam tako špekuliral, bi si drznil, da je bil to npr. Apple-ov SSL/TLS hrošč ali pa vsem dobro znan Heartbleed.
