»

Švicarska vojska prepoveduje WhatsApp, Signal in ostala tuja orodja

AP News - Švicarska vojska je svojim pripadnikom prepovedala uporabo tujih aplikacij za hipno sporočanje, kamor sodijo WhatsApp, Messenger in tudi Telegram ali Signal. Razlog je varnostne narave, saj se bojijo prisluškovanja in prestrezanja vsebin, ki bi ga lahko izvajale ameriške oblasti. Gre za posledice ameriškega zakona US CLOUD Act, ki ponudnike storitev, za katere velja ameriška zakonodaje, obvezuje izročiti zahtevane podatke, četudi so ti fizično shranjeni izven ZDA. Švicarji zato priporočajo uporabo storitve Threema, ki je švicarske izdelave.

Threema je namreč švicarsko podjetje, ki nima nobene infrastrukture v ZDA, zato zanjo ne veljajo ameriški zakoni. Sprva so uporabo te aplikacije zahtevali, kot je pisalo v decembrskem pismu vojakom, kasneje pa so to spremenili v priporočilo. Spremembe veljajo od začetka tega leta. Ker aplikacija ni brezplačna, bo švicarska vojska svojim pripadnikom povrnila štiri franke pristojbine. Threema za razliko od podobnih storitev ne zahteva telefonske...

114 komentarjev

Nova prisluškovalna afera s švicarsko opremo za šifriranje: Omnisec

Slo-Tech - Po februarskem razkritju, da je bilo ugledno švicarsko podjetje Crypto AG dolgo vrsto let skrivni partner ameriške in nekaj časa tudi nemške obveščevalnih agencij CIA in BND, ki so jima tuji akterji torej drago plačevali za luknjičavo opremo, dobiva drugo dejanje. V njem nastopa manj znano podjetje Omnisec, ki je nastalo z izločitvijo iz podjetja Gretag leta 1987 ter je prodajalo opremo za šifriranje pogovorov, faksov in podatkov. Poslovati je prenehalo pred dvema letoma, glavne stranke pa so bili državni organi iz več držav. Švicarska radiotelevizija SRF je dognala, da je Omnisec podobno kot Crypto AG prodajal z vgrajenimi stranskimi vrati in ranljivostmi.

Opremo serije OC-500 so na primer prodajali tudi domačim strankam: zveznim agencijam v Švici, lastni obveščevalni službi, bankam in zasebnim podjetjem. Razkritja so sprožila burne debate tudi v švicarskem parlamentu, kjer se sedaj sprašujejo, kje vse se še vohuni ali se je vohunilo. Še posebej Švicarje to pot jezi, da so bile...

20 komentarjev

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov

vir: Flickr

vir: Washington Post
Slo-Tech - V švicarskem mestu Zug je med drugo svetovno vojno zraslo podjetje Crypto AG, specializirano za šifrirne in dešifrirne napreave. Ugled, ki si ga je pridobilo prek sodelovanja z zavezniki v času svetovnega spopada, je znalo po vojni odlično unovčiti. Do danes je s prodajo v več kot 120 držav sveta na leto zaslužilo milijone. Med njihovimi strankami za nakup naprav, ki so domnevno zagotavljale varno komunikacijo, so bile tudi vladne agencije Irana, Indije, Pakistana, Iraka, Nigerije, Sirije in celo Vatikana. Šlo je za praktično vse pomembnejše države, razen Rusije in Kitajske.

Mnoge od njih se verjetno ne bi odločile za nakup, če bi vedele majhno podrobnost, o kateri se je pisalo in ugibalo že leta, te dni pa so jo dokončno raziskali nemški, ameriški in švicarski novinarji: že od sedemdesetih let prejšnjega stoletja sta bili skriti lastnici Crypto AG obveščevalni družbi ZDA in tedanje Zahodne Nemčije, CIA in BND.

O tem, da gre za podjetje sumljivega porekla, je že leta 2006 v...

123 komentarjev

CryptDB - baza podatkov, ki izvaja podatkovne operacije nad šifriranimi podatki

Forbes - Skupina raziskovalcev iz MIT-ja je pred kratkim predstavila pomemben napredek pri razvoju šifriranih baz podatkov. Raluca Ada Popa, Catherine M. S. Redfield, Nickolai Zeldovich in Hari Balakrishnan so v članku CryptDB: Protecting Confidentiality with Encrypted Query Processing predstavili koncept baze podatkov, ki omogoča izvajanje operacij nad šifriranimi podatki na način, da podatkov ni potrebno dešifrirati.

Gre za tim. popolnoma homomorfno šifriranje, katerega teoretične temelje je leta 2009 postavil je kriptolog Craig Gentry (več o tem v članku Fully Homomorphic Encryption Using Ideal Lattices).

Homomorfni šifrirni sistemi imajo to lastnost, da je določena algebraična operacija nad dvema nizoma podatkov ekvivalentna določeni algebraični operaciji (ni nujno, da gre za isti dve algebraični operaciji) nad šifriranima niza teh dveh podatkov.

Homomorfne šifrirne sisteme je mogoče uporabiti npr. pri preštevanju elektronskih glasovnic. Sistem omogoča preštevanje šifriranih...

23 komentarjev

Ameriško tožilstvo od avtorja knjige o CIA zahteva razkritje virov

Slo-Tech - Konec aprila je ameriško tožilstvo od Jamesa Risena, novinarja in avtorja knjige State of War: The Secret History of the C.I.A. and the Bush Administration, sodno zahtevalo razkritje novinarskih virov.

Tožilstvo zahteva razkritje virov, ki jih je avtor uporabil za pisanje devetega poglavja o operaciji Merlin. Šlo je za tajno operacijo obveščevalne službe CIA, s pomočjo katere so ZDA februarja 2000 s pomočjo v ZDA prebeglega ruskega znanstvenika Iranu poslale načrte za enega ključnih delov za jedrsko bombo.

Načrti so sicer vsebovali nekatere tehnične napake, zaradi katerih naj bi Iran jedrske bombe ne uspel izdelati, vendar se je kasneje izkazalo, da so bile napake preveč očitne, poleg tega pa se je celotna operacija zasukala nekoliko nepričakovano. Zato obstaja bojazen, da trik, s pomočjo katerega naj bi ZDA Iran pri gradnji jedrske bombe "speljale" na napačno pot, ni uspel, Iran pa je celo uspel pridobiti precej uporabne informacije, s pomočjo katerih bo njegova gradnja jedrske...

13 komentarjev

Medsebojno sodelovanje ameriških tajnih služb pred 11. septembrom

Schneier.com - Kot poroča Schneier, je bilo pred kratkim objavljeno poročilo Legal Barriers to Information Sharing: The Erection of a Wall Between Intelligence and Law Enforcement Investigations, ki ga je leta 2004 pripravila Barbara A. Grewe v okviru dela v komisiji, ki je preiskovala dogodke povezane z napadi 11. septembra (tim. 9/11 Comission).

Poročilo je skušalo ugotoviti, ali so bili teroristični napadi res posledica slabega sodelovanja ameriških tajnih služb ter ali so bile za sodelovanje med njimi res zakonske ovire, ki bi jih bilo potrebno odpraviti.

Ugotovitve bodo za marsikoga morda presenetljive. Poročilo namreč ugotavlja, da zakonodaja ni bila problem in da zato spremembe zakonodaje niso potrebne.

Podobno je v svoji knjigi The Shadow Factory: The NSA from 9/11 to the Eavesdropping on America ugotovil tudi James Bamford. Nesodelovanje med ameriškimi tajnimi službami ni bilo problem zakonodajnih ovir, pač pa rivalstvo med agencijami in medsebojne bitke za vire.

Kljub vsemu pa se je...

3 komentarji

Začetki NSA

Schneier.com - National Security Agency je na svoji spletni strani objavila krajši sestavek z naslovom The Origins of NSA, v katerem opisujejo začetke delovanja agencije.

Sestavek sicer za tiste, ki ste prebrali Bamfordovo knjigo The Puzzle palace ne prinaša nič novega, kljub temu pa gre za zgoščen prikaz nastanka agencije, ki kaže na to, kako so ZDA že v preteklosti razumele pomen elektronskega nadzora in kriptografije.

2 komentarja

Nova knjiga Jamesa Boyla izdana pod CC licenco

The Public Domain: Enclosing the Commons of the Minde (naslovnica)

vir: Slashdot
Slashdot - James Boyle je izdal novo knjigo z naslovom The Public Domain: Enclosing the Commons of the Mind, kar samo po sebi ni nič posebnega. Zanimiv del izdaje je, da je knjiga izšla pod Creative Commons licenco in je tako brezplačno na voljo za prenos v PDF formatu oz. za branje kar na internetu, brez prenašanja, v preprostem HTML formatu.



Pa prijetno branje!

7 komentarjev

Članek NSA o reševanju Enigme

Slo-Tech - Na spletni strani ameriške National Security Agency so objavili članek z naslovom Solving the Enigma.

Gre za zgodovinski članek o tem, kako so zavezniške sile dokončale delo poljskih kriptoanalitikov (žal jih je prehitela vojna) in razbile nemški šifrirni sistem Enigma.

Zanimivo in napeto zgodovinsko branje ter še vedno aktualna lekcija, da varnosti s pomočjo skrivanja ne moremo zagotavljati.

21 komentarjev

NSA izdala novo različico SELinuxa

Slo-Tech - Pred približno mesecem dni je ameriška tajna služba NSA izdala novo različico svoje lastne distribucije Linuxa - SELinux.

SELinux vsebuje številne varnostne mehanizme, med katerimi velja omeniti predvsem tim. Mandatory Access Control, ki omogoča nadzor izvajanja aplikacij v računalniku. Mandatory Access Control omogoča, da upravitelj sistema posamezni aplikaciji ali sistemskemu procesu podeli minimalne privilegije, potrebne za delovanje. V primeru hekerskega vdora je zato veliko lažje ohraniti integriteto sistema.

SELinux je na voljo pod GPL licenco. Pogummnejši ga lahko prenesejo iz spletne strani NSA, tisti malo manj pogumni pa se bodo verjetno odločili za prenos iz Sourceforgea. Tisti najbolj pogumni, pa se lahko tudi pridružite razvijalski ekipi.

SELinux je kot dodatek na voljo tudi za številne distribucije, med https://wiki.ubuntu.com/SELinux">drugim tudi za Ubuntu.

SELinux naj bi bil med najbolj varnimi operacijskimi sistemi. Pa mu zares zaupate?

14 komentarjev

NSA pričenja vohuniti za lastno državo?

Washington Post - Kot poroča Washington Post, je ameriški predsednik Bush NSA naročil, naj začne vohuniti za lastno državo.

Nove predsedniške smernice z imenom National Security Presidential Directive 54/Homeland Security Presidential Directive 23, ki naj bi jih po poročanju Washington Timesa predsednik Bush podpisal 8. januarja letos, namreč NSA dovoljujejo, da deluje v vseh državnih omrežjih. Tudi v tistih, kjer do sedaj ni smela.

Uradni razlog za to je povečano število računalniških napadov proti ameriškim državnim ustanovam, pri čemer je glavni osumljenec za napade Kitajska. V zvezi s tovrstnimi napadi je Urad direktorja nacionalne obveščevalne službe (Director of National Intelligence) dobil nalogo identifikacije napadalcev, ministrstvo za domovinsko varnost in Pentagon pa bosta proti napadalcem izvajala povračilne ukrepe.

Po tem, ko je torej Bush odobril obsežno prisluškovanje lastnim državljanom, je sedaj tajni službi NSA dovolil tudi nadzor nad komunikacijami državne administracije in...

100 komentarjev

Razbita zaščita brezžičnih Microsoftovih tipkovnic

Schneier.com - Po pregovorno ne-varni programski opremi podjetja Microsoft, bodo odslej očitno slabega imidža deležni tudi njihovi strojni izdelki.

Švicarsko podjetje Dreamlab Technologies je namreč odkrilo način prestrezanja in razbitja šifriranega podatkovnega prometa Microsoftovih brezžičnih tipkovnic.

Prestrezanje in kriptoanaliza deluje pri modelih Wireless Optical Desktop 1000 in 2000, zelo verjetno pa tudi pri modelih 3000 in 4000. Bluetooth tipkovnice (zaenkrat) niso ranljive.

Napadalec tako lahko brez večjih težav na daljavo prestreza tipkanje uporabnika brezžične tipkovnice.

Predstavnika podjetja Max Moser in Philipp Schrödel sta ugotovila,da tipkovnice uporabljajo šifrirni algoritem XOR, ključi pa so dolgi cel bajt (8 bitov), kar pomeni, da je mogoče šifrirano komunikacijo razbiti celo s PDA računalnikom.

Zaenkrat je edina rešitev ta, da lastniki Microsoftovih brezžičnih tipkovnic le-te prenehate uporabljati.

Zlobni uporabniki drugih operacijskih sistemov bi to priporočilo...

32 komentarjev

NSA sodelovala pri razvoju Viste

Slo-Tech - Kot poročajo na Washington Post, je Microsoftu pri razvoju operacijskega sistema Windows Vista pomagala NSA (National Security Agency). Znano je, da je naloga NSA prestrezanje komunikacij in elektronski nadzor, manj znano pa je, da je ena izmed nalog NSA tudi razvoj varnostnih sistemov in varnostno testiranje. NSA je tako Microsoftu pomagala pri razvoju varnosti Windows Vista operacijskega sistema, pravijo pa, da so to storili brezplačno. Po poročanju je Microsoft za pomoč zaprosil tudi druge ameriške vladne agencije in mednarodne ustanove, med drugim tudi NATO.

Vlaganje v varnost je gotovo koristno in hvalevredno, pojavljajo pa se vprašanja, ali je sodelovanje z NSA, ki je znana tudi po svojem nezakonitem nadzoru, pravi korak v to smer. Znano je namreč, da je NSA "pomagala" pri razvoju DES šfrirnega algoritma, v katerem so kasneje našli varostne pomankljivosti za katere obstaja sum, da so bile namerno vstavljene. Po drugi strani pa je NSA sodelovala tudi pri razvoju enega...

22 komentarjev

Seznam člankov v tajnih NSA revijah

Schneier.com - Kot je znano, ameriška tajna služba NSA izdaja kar nekaj publikacij, ki pa so strogo zaupne. Mednje sodita tudi reviji NSA Technical Journal in Cryptographic Quarterly, ki sta bili nekajkrat javno omenjeni.

Leta 2003 je Michael Ravnitzky na podlagi zakona Freedom of Information Act od NSA želel pridobiti bibliografske indekse in kazala teh dveh revij. V okviru zahteve se je izkazalo, da NSA izdaja še dve zaupni reviji, Cryptologic Spectrum in Cryptologic Almanac in Ravnitzky je zahteval indekse in kazala še za te dve reviji. Trajalo je več kot tri leta, NSA pa je podatke na koncu le poslala.

Javnosti je tako sedaj na voljo seznam člankov objavljenih v teh revijah, kar pa je seveda le prvi korak. Bruce Schneier zato poziva, da vsi, ki jih zanimajo konkretni članki, le te zahtevajo s pomočjo tim. FOIA zahtevka. Naslovi člankov kažejo, da je marsikateri med njimi vsekakor vreden branja.

8 komentarjev

Domače branje: "Madsen, Wayne in Banisar, David. 2000. Cryptography & Liberty 2000. Washington: EPIC."

Slo-Tech - Madsen, Wayne in Banisar, David. 2000. Cryptography & Liberty 2000. Washington: EPIC.

Knjiga, pravzaprav gre za primerjalno pravno raziskavo Cryptography & Liberty 2000 primerjalno obravnava zakonodajo številnih držav glede regulacije kriptografije. Knjižica je v primerjavi s poročilom Privacy & Human Rights, pri katerega nastajanju je ravno tako sodeloval EPIC, precej manj obsežna in sistematična, kljub temu pa daje dober vpogled v mednarodno regulacijo kriptografije.

Za bralca so posebej zanimiva uvodna poglavja, kjer so obravnavani mednarodni dokumenti, ki zadevajo uporabo in regulacijo kriptografije, predvsem njihov razvoj. Poročila po posameznih državah so žal precej skopa, za Slovenijo recimo piše le da nima omejitev pri uvozu, izvozu ali uporabi kriptografije, je pa zato pri vsaki državi označen status regulacije kriptografije, ki gre od zelene preko rumene, do rdeče.

Knjiga je napisana zgoščeno in pregledno, posebno vrednost pa ji daje zgodovinsko-razvojni pregled...

3 komentarji

Domače branje: "Kahn, David. 1973. The Codebreakers. New York: The New American Library."

Slo-Tech - Kahn, David. 1973. The Codebreakers. New York: The New American Library.

Ko je David Kahn leta 1967 objavil knjigo The Codebreakers, je knjiga v trenutku postala uspešnica, še danes pa velja za klasično delo na področju kriptografije. Kahn v knjigi ni opisoval kakšnih novosti na področju kriptografije, pač pa gre za delo, ki temeljito opisuje zgodovino...

8 komentarjev

Domače branje: "Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books."

Slo-Tech - Kljub temu, da so na internetu informacije dostopne "na klik", pa se - vsaj občasno - splača v roke vzeti kakšno dobro knjigo. Da se boste lažje odločili za klasično branje, bomo do nadaljnjega vsak petek objavili opis izbrane knjige.

Vabljeni k branju.

Knjiga: Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books.

Leta 1952 je ameriški predsednik Harry S. Truman s tajnim ukazom ustanovil NSA - National Security Agency, katere naloga je prestrezanje in kriptoanaliza tujih komunikacij ter razvoj rešitev za zaščito ameriških državnih komunikacij in informacijskih sistemov.

Vendar pa je NSA nekoliko presegla svoja pooblastila. Že predhodnik NSA, Black Chamber legendarnega ameriškega kriptoanalitika Williama Friedmana je namreč začel v ustnem dogovoru z nekaterimi telekomunikacijskimi podjetji prestrezati komunikacije državljanov ZDA. Operacija se je imenovala Operacija Shamrock, prekinili pa so jo leta 1975, da bi preprečili preiskavo ministrstva za pravosodje...

37 komentarjev

Konec DES-a

Slashdot - Ameriški NIST se je končno odločil narediti to, kar je bilo načrtovano že za leto 1987: ukinitev šifrirnega algoritma DES, ker ne zagotavlja več varnosti.

DES (Data Encryption Standard), ki so ga leta 1971 razvili pri IBM, je leta 1977 postal ameriški šifrirni standard. Seveda je bil pred tem deležen še manjših "popravkov" s strani ameriške tajne službe NSA, zaradi česar je Johnu Gillmoru iz EFF leta 1998 uspelo z uporabo DES Crackerja razbiti DES v pičlih 22 urah. Uporabljale so ga večnoma banke, nekatere njegove različice, npr. Triple DES pa se še vedno uporabljajo tudi v Sloveniji.

Leta 2000 je DES zamenjal AES, ki (vsaj zaenkrat) zagotavlja precej višjo stopnjo varnosti.

0 komentarjev

Kar milijardo prodanih računalnikov

BBC - Od leta 1975, ko je v prodajo prišel prvi (uspešni) osebni računalnik, Altair, je bilo prodanih že kar milijardo (ja, res je, enka in devet ničel [:D]) osebnih računalnikov. Zanimivo pri vsej stvari pa je, da je trg PCjev že tako razširjen, da analitiki napovedujejo, da bo meja dveh milijard prebita že čez šest let. Klik! Torej, če en računalnik tehta kakih deset kil, na odpadu pa leži kakšna polovica te milijarde...

3 komentarji