» »

Nova prisluškovalna afera s švicarsko opremo za šifriranje: Omnisec

Nova prisluškovalna afera s švicarsko opremo za šifriranje: Omnisec

Slo-Tech - Po februarskem razkritju, da je bilo ugledno švicarsko podjetje Crypto AG dolgo vrsto let skrivni partner ameriške in nekaj časa tudi nemške obveščevalnih agencij CIA in BND, ki so jima tuji akterji torej drago plačevali za luknjičavo opremo, dobiva drugo dejanje. V njem nastopa manj znano podjetje Omnisec, ki je nastalo z izločitvijo iz podjetja Gretag leta 1987 ter je prodajalo opremo za šifriranje pogovorov, faksov in podatkov. Poslovati je prenehalo pred dvema letoma, glavne stranke pa so bili državni organi iz več držav. Švicarska radiotelevizija SRF je dognala, da je Omnisec podobno kot Crypto AG prodajal z vgrajenimi stranskimi vrati in ranljivostmi.

Opremo serije OC-500 so na primer prodajali tudi domačim strankam: zveznim agencijam v Švici, lastni obveščevalni službi, bankam in zasebnim podjetjem. Razkritja so sprožila burne debate tudi v švicarskem parlamentu, kjer se sedaj sprašujejo, kje vse se še vohuni ali se je vohunilo. Še posebej Švicarje to pot jezi, da so bile med strankami tudi švicarske firme. Opremo sta kupili tudi obe obveščevalni službi (zunanja Strategische Nachrichtendienst in notranja Inlandsgeheimdienst Dienst für Analyse und Prävention), ki sta danes združeni v enotno NDB. Opremo je bila tudi švicarska banka UBS in še eno večje podjetje, katerega identitete še niso razkrili.

Omnisec izvira iz podjetja Gretag, ki je bilo tujim obveščevalcem trn v peti. Medtem ko so komunikacije prek opreme Crypto AG brali brez težav, je bilo šifriranje Gretag trdno. Ko so leta 1987 podjetje prodali, je Švica vztrajala, da mora del za šifriranje ostati v Švici in da je lahko prodan le švicarskemu lastniku. Oddvojili so podjetje Omnisec, ki ga je kupilo podjetje Argonium SA švicarskega odvetnika Urs Ingold, ki naj bi bil delal za vojaške obveščevalne službe in se je pojavljal tudi v dokumentih CIA.

Podjetje je tudi končalo nenavadno. Leta 2015 je tedanji direktor Clemens Kammer s svojo zasebno firmo prevzel Omnisec. Dve leti pozneje je podjetje prevzelo lastno matično družbo Argonium. Podjetje je propadlo leta 2018. Uradnih izjav švicarska vlada in njihova obveščevalna agencija še nista dali.

20 komentarjev

NubCake ::

Zgleda, da je edina rešitev Open-Sorce.

trenerkar ::

Na katerem hardweru?

kakob ::

trenerkar je izjavil:

Na katerem hardweru?


Z80.
Never take a financial advice from someone who works for a living.

joze67 ::

Še Toblerone se bom bal kupit... čeprav je zavita v folijo.

dexterboy ::

joze67 je izjavil:

Še Toblerone se bom bal kupit... čeprav je zavita v folijo.

:) :D :))
EPIC!
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

poweroff ::

Opensource software in opensource hardware. Ni druge.

Aja, v Švici domuje tudi Protonmail, razni "secure" VPN providerji, itd...
sudo poweroff

kow ::

Neresljivi problemi. Povprecen Janez se bolj boji zagorelega Afganistanca, kot mocne drzave oz. moci velesil.

Bwaze6 ::

Ni novica, ker ne prisluškujejo Kitajci.

jlpktnst ::

Kar težko je razumet članek. Ene 3x sem ga moral prebrat, pa nisem čisto ziher. Tako malo čudna skladnja je uporabljena.

Uglavnem, prodal so oddvojeno firmo in tip ki je kupu (švicar) je bil izdajalec? Pa tud vsi ostali lastniki naprej?

Toliko o švicarskem mitu in mitu black-box zaščite...

bbbbbb2015 ::

jlpktnst je izjavil:

Kar težko je razumet članek. Ene 3x sem ga moral prebrat, pa nisem čisto ziher. Tako malo čudna skladnja je uporabljena.

Uglavnem, prodal so oddvojeno firmo in tip ki je kupu (švicar) je bil izdajalec? Pa tud vsi ostali lastniki naprej?

Toliko o švicarskem mitu in mitu black-box zaščite...


Švicarji nikoli niso sloveli kot zaupanja vredni ljudje. Oni so še med drugo svetovno vojno trgovali in z nacisti na eni strani in z zavezniki na drugi. Pač tako je. Sicer pa kdo pravi, da bodo imeli Švicarji dobro ime stoletja? Oni so največ "zaslužili" med 2. sv. vojno, ko so vse strani nosile dragocenosti v Švico. Mnogo jih nikoli ni prišlo po to.

Spomnim se, da sem bral članek, kjer je nek znanstvenik "seciral" švicarske kovance, ki so imeli del zlata notri. Ter je ugotovil, da so rezidualne vrednosti drugih kovin enake kot pri plombah, nakar je izpeljal drzno tezo, das so Švicarji pospravili tudi dosti zlata nacistov, ki je bilo pretopljeno iz ostankov zob taboriščnikov iz koncentracijskih taborišč.

To je bila samo teza, vendar očitno dovolj blizu resnici, da je država Švica potem osnovala nek miljardni sklad, ki je pavšalno izplačal neke odškodnine preživelim holokavsta.

Tako da... Osebno ne bi nič "varnega" kupoval iz Švice.

Zgodovina sprememb…

poweroff ::

Vsekakor je mit o "varni" in "neodvisni" Švici treba razbiti.
sudo poweroff

carota ::

Politiki se ne morejo odločiti:
a) ali so šifrirane komunikacije nevarne, ker onemogočajo prisluškovanje nepridipravom
b) so backdoori v šifrirani komunikaciji nevarni, ker nepridipravi prisluškujejo

WhiteAngel ::

poweroff je izjavil:

Opensource software in opensource hardware. Ni druge.


Če za software to še nekako deluje (recimo, da lahko ročno preveriš prevedeno strojno kodo, ki se bo izvajala, če ne zaupaš prevajalniku), je opensource hardware težji. Kdo ti bo fizično naredil čip potem? Neka fabrika, ki ji boš spet moral zaupat? Ok, recimo, da nekoč pridejo super duper printerji za domačo uporabo, ki natisnejo čip tako kot CD ali print na papir. Kako zaupaš potem temu super duper printerju, da ti ne podtakne stranskih vrat v čip? Nekje v verigi se moraš ustavit in rečt, da od tu naprej enostavno zaupaš proizvajalcu in ti on z nečim potem jamči za to.

joze67 ::

Enigmo je moč fizično preveriti (da ustreza načrtu).
Nekje vmes, torej. med Enigmo in čipom.

bbbbbb2015 ::

WhiteAngel je izjavil:

poweroff je izjavil:

Opensource software in opensource hardware. Ni druge.


Če za software to še nekako deluje (recimo, da lahko ročno preveriš prevedeno strojno kodo, ki se bo izvajala, če ne zaupaš prevajalniku), je opensource hardware težji. Kdo ti bo fizično naredil čip potem? Neka fabrika, ki ji boš spet moral zaupat? Ok, recimo, da nekoč pridejo super duper printerji za domačo uporabo, ki natisnejo čip tako kot CD ali print na papir. Kako zaupaš potem temu super duper printerju, da ti ne podtakne stranskih vrat v čip? Nekje v verigi se moraš ustavit in rečt, da od tu naprej enostavno zaupaš proizvajalcu in ti on z nečim potem jamči za to.


V grobem, stvari niso črno bele. Predlagam, da si preberete tole:
https://www.yubico.com/blog/secure-hard...

Govora pa je prevsem o tem, da strojno opremo ni mogoče dati v open source, ker so načini vdiranja postali tako sofisticirani, da potrebuješ top eksperta, da harver zaščiti pred vdiranjem. Tukaj govorim o tem, da se površina čipa odbrusi, da se čip odlota in prelota v cracking platformo, da se prisluškuje RF motnjam in podobno. Da pa se je potem potrebno zanesti na EAL5+ certificiranje, o čemer si lahko preberete tukaj:
Evaluation Assurance Level @ Wikipedia

Z vsem navedenim se jaz strinjam.
Tu ne gre za zaščito pred sosedovim mulcem, ki vam ukrade telefon, da vam poskuša skopirati SIM. Tukaj je govora o laboratorijih, prevsem recimo izraelskih, ki zaposlujejo ljudi, ki so prej delali na polprevodniškem hardveru in imajo orodja, s katerim lahko dobesedno fizično preberejo stanje eproma in na ta način skopirajo ključ.

poweroff ::

Ja, seveda. Na eni točki je treba zaupati nečemu/nekomu. Ampak vseeno je treba to točko potiskati čim bolj naprej. Prvi korak je odprt software. Drugi korak je delno odprt hardware (na PCB nivoju). Na koncu se bomo pa pogovarjali tudi o čipih. Je pa res, da za določene kripto zadeve ne rabiš kompleksnega hardwera. RNG-ji so že odprtokodni.

Poleg tega je za določene zadeve mogoče uporabljati tudi FPGA-je.

Saj morda se bo na koncu dalo vse shekati. Ampak je pa razlika ali to lahko počneš za drobiš v velikem obsegu, ali pa ti vsak posamezen hack požre mnogo resourcev.

bbb2015 - mislim, da govorimo o dveh različnih stvareh. Eno je množično vgrajevanje backdoorov v produkte. Drugo pa konkreten, (fizičen) napad na konkreten kos hardwera. Prvensteveni cilj je, da se prepreči (oz. oteži prvo). Drugo pa seveda tudi oteži do te mere, da so postopki dovolj dragi in zamudni, da tega ni mogoče izvajati množično.
sudo poweroff

MrStein ::

WhiteAngel je izjavil:

poweroff je izjavil:

Opensource software in opensource hardware. Ni druge.


Če za software to še nekako deluje (recimo, da lahko ročno preveriš prevedeno strojno kodo, ki se bo izvajala, če ne zaupaš prevajalniku), je opensource hardware težji. Kdo ti bo fizično naredil čip potem? Neka fabrika, ki ji boš spet moral zaupat? Ok, recimo, da nekoč pridejo super duper printerji za domačo uporabo, ki natisnejo čip tako kot CD ali print na papir. Kako zaupaš potem temu super duper printerju, da ti ne podtakne stranskih vrat v čip? Nekje v verigi se moraš ustavit in rečt, da od tu naprej enostavno zaupaš proizvajalcu in ti on z nečim potem jamči za to.

Pozabil si tole: kako ta "zaupanja vreden proizvajalec" ve, da ni "bug" v njegovem 3D printerju?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Seveda se tega ne da kar vedeti. ampak ko je kultura odprtosti dovolj razširjena, je to lažje. Odprti čipi, odprti printerji/livarne,... in po nekaj časa se bo že kar dobro vedelo.
sudo poweroff

kakob ::

poweroff je izjavil:

Vsekakor je mit o "varni" in "neodvisni" Švici treba razbiti.


IIRC je že Snowden pričal kako je delal v Švici pod okriljem NSA.
Never take a financial advice from someone who works for a living.

poweroff ::

CIE. Ampak to nima veze. Pač, pod krinko delajo tuji agentje tudi pri nas.

Vprašanje je, če imajo državno štango.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
12331691 (22023) poweroff
»

PEP security - mnenja

Oddelek: Programska oprema
81158 (906) poweroff

VPN ni anonimen (strani: 1 2 )

Oddelek: Loža
607839 (6572) Facebook dev
»

Maximator: evropsko elitno združenje za prisluškovanje

Oddelek: Novice / Varnost
85702 (4159) boldleaf
»

Kako resna podjetja komunicirajo? (strani: 1 2 )

Oddelek: Informacijska varnost
7322868 (18066) SeMiNeSanja

Več podobnih tem