Wired News - Drugi največji proizvajalec omrežne opreme na svetu Juniper je v svoji opremi odkril stranska vrata, ki jih je tja verjetno postavila kakšna država oziroma obveščevalna organizacija. Kot so sporočili, so prizadete naprave NetScreen, na katerih teče operacijski sistem ScreenOS. Prizadete so verzije od 6.2.0r15 od 6.2.0r18 in od 6.3.0r12 do 6.3.0r20, kar daje slutiti, da se je ranljivost v kodi skrivala vsaj od leta 2012, mogoče pa celo vse od leta 2008. Stranska vrata so v najnovejši verziji zakrpali, posodobitev pa je praktično obvezna.

Pri tovrstnih odkritjih so namreč najbolj ogroženi uporabniki ranljive opreme, ki posodobitve še niso namestili, in to takoj po izdaji popravkov. Ti namreč morebitnim nepridipravom, ki želijo ranljivosti izkoristiti, dajo zelo dobre smernice, kje najdejo luknjo. Zato Juniper poziva k nadgradnji. Hkrati to kaže na dodatni problem, ki ga...

Ars Technica - Zgodbo o Lavabitu smo že podrobno opisali in kazalo je, da je vsaj na uporabniški strani zaključena. Lastnik te strani, ki je omogočala varno in anonimno pošiljanje elektronske pošte, je namreč prejel odredbo ameriškega sodišča FISA, ki mu je zapovedala razkritje šifrirnih ključev, zato je stran raje ukinil, kakor da bi izdal zaupanje...

Slo-Tech - The Guardian je poročal, da je NSA na podlagi posebnega sporazuma Izraelu rutinsko posreduje neobdelane obveščevalne podatke. In to tudi o Američanih, navkljub zatrjevanju ameriške administracije, da je NSA izvajala ukrepe za zaščito zasebnosti svojih državljanov.

Sporazum z Izraelom sicer navaja nekaj splošnih načel (beri: floskul) o spoštovanju zasebnosti, vendar pa ne vsebuje nobenih pravnih omejitev glede uporabe podatkov s strani Izraela. Še več, Izraelci smejo podatke o Američanih hraniti do enega leta. Se pa Izrael zavezuje, da bo uničil kakršnokoli prestreženo komunikacijo ameriške vlade (ki je NSA itak ne prestreza, če verjamete), če jo bo prepoznal kot tako (itak da).

Objavljeni sporazum (podpisan je bil marca 2009) določa, da NSA Izraelu pošilja tim. surove prestrežene podatke (ang. raw Sigint). To obsega vsaj ("includes, but is not limited to") nepregledane in neprečiščene (obveščevalci uporabljajo izraz unminimized) prepise, povzetke, kopije, telegrame, zvočne...

Guardian - Nove informacije, ki pritekajo na plan o aferi Prism, kažejo, da so nekatera podjetja zelo tesno sodelovala z NSA ter ji omogočala še lažje prisluškovanje. The Guardian je razkril, da je na primer Microsoft omogočil NSA celo obiti lastno šifriranje, da so lahko prestrezali sporočila.

Microsoft je tako NSA dovolil in omogočil, da prisluškuje pogovorom na novi strani Outlook.com, vključno s hipnimi sporočili in elektronsko pošto prek Hotmaila, še preden se ti šifrirajo. Prav tako so sodelovali s posebno enoto FBI, tako da sta imela FBI in NSA nemoten dostop do oblačne podatkovne storitve SkyDrive. Prism tudi omogoča prestrezanje pogovorov prek Skypa, NSA pa vse zbrane podatke redno deli s FBI in CIA.

Spomnimo se, da so podjetja od začetka trdila,...

Washington Post - Google vsega le ne zmore sam, zato bo decembrske napade iz Kitajske raziskoval v sodelovanju z ameriško NSA. Obe udeleženi strani dogovora, ki še ni dokončan, nista želeli javno komentirati, a je kljub temu znanega že mnogo.

Viri blizu Googla pravijo, da se zavezništvo oblikuje z namenom omogočiti medsebojno deljenje občutljivih informacij, ne da bi kršili Googlovo politiko varovanja zasebnosti ameriških uporabnikov. To seveda ne pomeni, da bo NSA lahko prebrala kar vso elektronsko pošto Googlovih strank.

Google je NSA kontaktiral že takoj po odkritju vdora, a zaradi občutljivosti tematike končnega dogovora še vedno niso sklenili. Cilj sodelovanja naj ne bi bil toliko...

Schneier.com - National Security Agency je na svoji spletni strani objavila krajši sestavek z naslovom The Origins of NSA, v katerem opisujejo začetke delovanja agencije.

Sestavek sicer za tiste, ki ste prebrali Bamfordovo knjigo The Puzzle palace ne prinaša nič novega, kljub temu pa gre za zgoščen prikaz nastanka agencije, ki kaže na to, kako so ZDA že v preteklosti razumele pomen elektronskega nadzora in kriptografije.

Schneier.com - Te dni je National Security Agency odstranila zaupnost iz 158-stranskega dokumenta z naslovom A History of U.S. Communications Security (Volumes I and II). Gre za dokumente povezane z zagotavljanjem komunikacijske varnosti ZDA, ki jih je pripravila NSA. Dokumentacija obravnava različne teme, vključno opisom in analizo različnih načinov šifriranja ter možnimi napadi na komunikacijske sisteme in zaščito pred njimi. Najverjetneje gre za gradivo, ki so ga ob zaposlitvi v NSA morali preučiti vsi novo zaposleni.

Dokumente so objavili na spletni strani organizacije governmentattic.org/, kjer najdemo še več zanimivih dokumentov z odstranjeno stopnjo zaupnosti.

Vsekakor zanimivo novoletno branje za vse, ki jih zanima informacijska varnost.

Slo-Tech - Pred približno mesecem dni je ameriška tajna služba NSA izdala novo različico svoje lastne distribucije Linuxa - SELinux.

SELinux vsebuje številne varnostne mehanizme, med katerimi velja omeniti predvsem tim. Mandatory Access Control, ki omogoča nadzor izvajanja aplikacij v računalniku. Mandatory Access Control omogoča, da upravitelj sistema posamezni aplikaciji ali sistemskemu procesu podeli minimalne privilegije, potrebne za delovanje. V primeru hekerskega vdora je zato veliko lažje ohraniti integriteto sistema.

SELinux je na voljo pod GPL licenco. Pogummnejši ga lahko prenesejo iz spletne strani NSA, tisti malo manj pogumni pa se bodo verjetno odločili za prenos iz Sourceforgea. Tisti najbolj pogumni, pa se lahko tudi pridružite razvijalski ekipi.

SELinux je kot dodatek na voljo tudi za številne distribucije, med https://wiki.ubuntu.com/SELinux">drugim tudi za Ubuntu.

SELinux naj bi bil med najbolj varnimi operacijskimi sistemi. Pa mu zares zaupate?

Washington Post - Kot poroča Washington Post, je ameriški predsednik Bush NSA naročil, naj začne vohuniti za lastno državo.

Nove predsedniške smernice z imenom National Security Presidential Directive 54/Homeland Security Presidential Directive 23, ki naj bi jih po poročanju Washington Timesa predsednik Bush podpisal 8. januarja letos, namreč NSA dovoljujejo, da deluje v vseh državnih omrežjih. Tudi v tistih, kjer do sedaj ni smela.

Uradni razlog za to je povečano število računalniških napadov proti ameriškim državnim ustanovam, pri čemer je glavni osumljenec za napade Kitajska. V zvezi s tovrstnimi napadi je Urad direktorja nacionalne obveščevalne službe (Director of National Intelligence) dobil nalogo identifikacije napadalcev, ministrstvo za domovinsko varnost in Pentagon pa bosta proti napadalcem izvajala povračilne ukrepe.

Po tem, ko je torej Bush odobril obsežno prisluškovanje lastnim državljanom, je sedaj tajni službi NSA dovolil tudi nadzor nad komunikacijami državne administracije in...

Washingtonpost - The Washington Post piše o nedavni izkušnji enega najbolj znanih astrofizikov na svetu, Stephena Hawkinga, ki je med drugim postal zelo slaven tudi zaradi svojih poljudnoznanstvenih literarnih del. Nepokretnega znanstvenika so predvčerajšnjim vkrcali na Boeing 727, s katerim je po standardnih astronavtskih metodah pikiral in se dvigal nazaj v višine, vmes pa občutil navidezno breztežnost. Stephen je kasneje izjavil, da je bil polet čudovit in da bi ga z veseljem ponavljal do onemoglosti, za konec pa je dodal: "Vesolje, prihajam!" Izvorna novica.

Slo-Tech - Kot poročajo na Washington Post, je Microsoftu pri razvoju operacijskega sistema Windows Vista pomagala NSA (National Security Agency). Znano je, da je naloga NSA prestrezanje komunikacij in elektronski nadzor, manj znano pa je, da je ena izmed nalog NSA tudi razvoj varnostnih sistemov in varnostno testiranje. NSA je tako Microsoftu pomagala pri razvoju varnosti Windows Vista operacijskega sistema, pravijo pa, da so to storili brezplačno. Po poročanju je Microsoft za pomoč zaprosil tudi druge ameriške vladne agencije in mednarodne ustanove, med drugim tudi NATO.

Vlaganje v varnost je gotovo koristno in hvalevredno, pojavljajo pa se vprašanja, ali je sodelovanje z NSA, ki je znana tudi po svojem nezakonitem nadzoru, pravi korak v to smer. Znano je namreč, da je NSA "pomagala" pri razvoju DES šfrirnega algoritma, v katerem so kasneje našli varostne pomankljivosti za katere obstaja sum, da so bile namerno vstavljene. Po drugi strani pa je NSA sodelovala tudi pri razvoju enega...

Schneier.com - Kot je znano, ameriška tajna služba NSA izdaja kar nekaj publikacij, ki pa so strogo zaupne. Mednje sodita tudi reviji NSA Technical Journal in Cryptographic Quarterly, ki sta bili nekajkrat javno omenjeni.

Leta 2003 je Michael Ravnitzky na podlagi zakona Freedom of Information Act od NSA želel pridobiti bibliografske indekse in kazala teh dveh revij. V okviru zahteve se je izkazalo, da NSA izdaja še dve zaupni reviji, Cryptologic Spectrum in Cryptologic Almanac in Ravnitzky je zahteval indekse in kazala še za te dve reviji. Trajalo je več kot tri leta, NSA pa je podatke na koncu le poslala.

Javnosti je tako sedaj na voljo seznam člankov objavljenih v teh revijah, kar pa je seveda le prvi korak. Bruce Schneier zato poziva, da vsi, ki jih zanimajo konkretni članki, le te zahtevajo s pomočjo tim. FOIA zahtevka. Naslovi člankov kažejo, da je marsikateri med njimi vsekakor vreden branja.

Slashdot - Bloomberg poroča, da je ameriška NSA izvajala prisluškovanje lastnim državljanom (kar je po zakonu FISA prepovedano) že sedem mesecev pred 11. septembrom. To po mnenju odvetnika tožnikov Carla Mayerja dokazuje, da je bila tim. "vojna proti terorizmu" le priročen izgovor za nadzorovanje.

Projekt tajnega nadzorovanja državljanov ZDA se imenuje Pioneer Groundbreaker. V okviru projekta je NSA najprej zaprosila AT&T za pomoč pri izgradnji nadzornega centra, kasneje pa je NSA nadzorni center razvila sama. Nekateri domnevajo, da je projekt Pioneer Groundbreaker pričel nastajati junija 2000, ko se je NSA pričela potegovati za finančna sredstva za modernizacijo in izboljšanje svoje tehnološke infrastrukture. Želja po prenovi je bila posledica razpada informacijskega sistema NSA 24. januarja 2000, kar opisuje James Bamford v knjigi Body Of Secrets (strani 451 - 454).

Razkritje o tajnem nadzorovanju sedem mesecev pred terorističnimi napadi 11. septembra 2001 je prišlo na dan kot...

Slo-Tech - Kljub temu, da so na internetu informacije dostopne "na klik", pa se - vsaj občasno - splača v roke vzeti kakšno dobro knjigo. Da se boste lažje odločili za klasično branje, bomo do nadaljnjega vsak petek objavili opis izbrane knjige.

Vabljeni k branju.

Knjiga: Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books.

Leta 1952 je ameriški predsednik Harry S. Truman s tajnim ukazom ustanovil NSA - National Security Agency, katere naloga je prestrezanje in kriptoanaliza tujih komunikacij ter razvoj rešitev za zaščito ameriških državnih komunikacij in informacijskih sistemov.

Vendar pa je NSA nekoliko presegla svoja pooblastila. Že predhodnik NSA, Black Chamber legendarnega ameriškega kriptoanalitika Williama Friedmana je namreč začel v ustnem dogovoru z nekaterimi telekomunikacijskimi podjetji prestrezati komunikacije državljanov ZDA. Operacija se je imenovala Operacija Shamrock, prekinili pa so jo leta 1975, da bi preprečili preiskavo ministrstva za pravosodje...

ZDNet - V 15. februarja objavljeni novici smo pisali o poročanju BBC-ja glede zaskrbljenosti britanske vlade zaradi enkripcije v novem Microsoftovem operacijskem sistemu Windows Vista. Po mnenju profesorja Rossa Andersona z univerze v Cambridegu naj bi v Visto vgrajena enkripcija oteževala delo organov pregona, ki tako ne bi mogli priti do podatkov na trdih diskih.

Vprašanju o stranskih vratih v Visto so se medtem posvetili tudi pri ZDNet-u. V članku objavljajo izjavo Microsofta, ki se glasi: “Microsoft ni in ne bo vgrajeval stranskih vrat v Windowse".

“Govori se, da sodelujemo z vladami pri izdelavi stranskih vrat, da bi omogočili dostop do kriptiranih podatkov", je v blogu zapisal Microsoftov razvijalec in kriptograf ter slikovito dodal: “Samo preko mojega trupla".

“Stranska vrata enostavno niso sprejemljiva", je še zapisal. “Poleg tega nihče v naši ekipi ne bi bil pripravljen vgraditi in preizkušati stranskih vrat".

Slashdot - Be scared, very scared. Ameriški NSA (National Security Agency) očitno že od začetka 90ih lahko 'prisluškuje' na optičnih kablih med Evropo in ZDA. Glede na to, da gre čez te kable večina komunikacij (telefon, internet) pomeni, da lahko prisluškujejo prakitčno vsem. Seveda imajo OGROMNE probleme kako predelati takšne količine podatkov, ampak v zadnjih letih je tako imenovana tehnologija "data mining" (kopanje podatkov) zelo napredovala (primer: Google, z data miningom pa se zelo uspešno ukvarjajo tudi na Inštitutu Jožef Stefan). Kaj vse NSA že zna? Speech-to-text že dolgo ni problem, kaj pa slike? (menda smo slovenci relativno varni, ker imamo tako obskuren materni jezik :) Gre seveda za to, kako avtomatsko ugotavljati teme pogovorov in iskati 'zanimivosti'.
NSA je skoraj dvakrat večja od zloglasne CIA, pa ljudje skoraj nič ne vejo o njej. Malo zastareli in nepreverjeni podatki se najdejo tule. Točnih podatkov nima nihče, zaposlujejo pa najboljše strokovnjake z vseh mogočih...