» »

Šifriranje skoraj ni ovira za NSA in GCHQ

Slo-Tech - Pred 20 leti je bilo šifriranje na internetu precej eksotična dejavnost, ki so jo uporabljali zgolj vojska ali diplomati. Danes je vse drugače, saj se na različne vrste šifriranja zanašamo vsakokrat, ko obiščemo spletno banko, kaj kupimo prek interneta ali opravimo telefonski klic. Komercialno dostopno šifriranje je algoritemsko mogoče narediti za vse praktične primere nezlomljivo, s čimer pa se ameriška NSA in njena britanska sestra GCHQ ne strinjata. Najnovejši dokumenti, ki jih je Snowden posredoval Guardanu in The New York Timesu, kažejo, kako NSA in GCHQ uspešno bereta veliko šifrirane komunikacije.

NSA in GCHQ uporabljata vrsto metod, ki segajo od superračunalnikov in lomljenja kode do izmikanja šifrirnih ključev, vgrajevanja stranskih vrat in sabotiranja šifrirnih protokolov, da lahko bereta sporočila, ki jih imamo za šifrirana in varna. Ameriški program se imenuje Bullrun, britanski pa Edgehill, počneta pa približno iste stvari. Gre za najstrožje varovana programa, pri razvoju katerih lahko delajo le izbrani pogodbeniki in tudi Snowdnov Booz Allen Hamilton ni imel vseh podrobnosti.

Že leta 1996 je NSA poizkušala doseči vgraditev posebnega čipa (clipper chip) v naprave, ki bi jim omogočil dostop do vseh šifriranih komunikacij. To jim zaradi hudega nasprotovanja javnosti in dela politike ni uspelo, a aktivnosti v tej smeri so se nadaljevale. Snowdnovi dokumenti pričajo, da je NSA sposobna dešifrirati SSL, VPN (navidezna zasebna omrežja), TLS in tudi 4G v pametnih telefonih. V drugih dokumentih piše, da sta si NSA in GCHQ tri leta prizadevali pridobiti dotop do interneta prometa, ki teče skozi Googlove, Yahoojeve, Facebookove in Microsoftove strežnike. Lani naj bi GCHQ razvila nove možnosti dostopa do Googlovih s trežnikov, kar pa v Mountain Viewu zanikajo.

Težava je tudi to, da vgradnja stranskih vrat v protokole in namerno spodkopavanje zaščite lahko deluje tudi v obratno smer. Če jih lahko izkorišča NSA, potem ni nobenega razoga, da jih ne bi mogel tudi kdo drug, kar bi dejansko ogrozilo tudi ameriške komunikacije. Guardian in The New York Times sta pred objavo člankov od NSA dobila prošnjo, naj jih prav zaradi tega ne objavita, a se za to nista odločila, so pa izpustili tehnične podrobnosti, zato sta članka precej površinska. Zanimiv je tudi očitek, da bodo s temi razkritji teroristi dobili vzpodbudo za uporabo drugih šifrirnih tehnologij, kar pomeni, da NSA očitno le še ne nadzoruje in prebira vseh. Pri prisluškovanju jim seveda pomaga skupina Petih oči (ZDA, Velika Britanija, Kanada, Avstralija in Nova Zelandija), ki se je formirala po drugi svetovni vojni in upravlja tudi z Echelonom.

NSA ima tudi poseben projekt, ki se imenuje Sigint Enabling (Sigint je okrajšava za Signal Intelligence oziroma elektronsko prisluškovanje). Letno zanj zapravijo 250 milijonov dolarjev, o njegovem okviru pa poskušajo vplivati na IT-industrijo, da njihovi izdelki omogočajo prisluškovanje. Rezultati so zelo dobri, pravijo. Spomnimo, da smo že kmalu po izbruhu afere Prism poročali, da se je NSA še pred splavitvijo Microsoftove storitve SkyDrive dogovarjala, kako bodo dobili dostop. NSA ima sedaj že veliko bazo šifrirnih ključev, ki jih uporabljajo komercialni programi za šifriranje. Nove jim priskrbi Key Recovery Service, ki uporablja različne metode, tudi vdiranje v računalniške sisteme, kjer so shranjeni. Povejmo tudi, da je NSA v preteklosti že uspela izsiliti vgraditev ranljivosti v šifrirne algoritme - primer je algoritem za tvorjenje psevdonaključnih števil Dual_EC-DRBG.

Varen pa niti Tor, ugotavljajo raziskovalci, saj je s potrpežljivostjo mogoče ugotoviti, kdo je uporabnik. Šest mesecev naj bi bilo dovolj, da verjetnost za to naraste na 80 odstotkov. Bruce Schneier se je že razgovoril, kako se kljub temu zaščititi. Pet točk, ki jih je nanizal, lahko povzamemo z ugotovitijo, da čeprav NSA ima možnosti za dešifriranje večine komunikacij, to terja čas in sredstva, ki jih verjetno ne bodo namenjali prav vam. Zato je v vsakem primeru bolje uporabljati šifriranje kakor ne.

61 komentarjev

strani: « 1 2

vostok_1 ::

Enostavno nevrjetno bi bilo, da ves ta effort gre v "odkrivanje teroristov". IMO gre tle za špionažo latnemu foku pod vodstvom različnih vplivnih skupin (korporacije, ultra premožni itd.).

Highlag ::

Več ko bomo uporabljali šifriranje več dela bodo imeli z dešifriranjem. Če je sedaj samo nekaj % komunikacij šifriranih si lahko posvetijo čas razbijanju vsega mogočega. Če bi bilo šifriranja več bi bilo bolj učinkovito, ker nebi imeli časa dešifrirati vsega.
Never trust a computer you can't throw out a window

trizob ::

NSA ima tudi poseben projekt, ki se imenuje Signit Enabling (Signit je okrajšava za Signal Intelligence oziroma elektronsko prisluškovanje).


Ni Signit, temveč je Sigint!

trizob ::

Highlag je izjavil:

Več ko bomo uporabljali šifriranje več dela bodo imeli z dešifriranjem. Če je sedaj samo nekaj % komunikacij šifriranih si lahko posvetijo čas razbijanju vsega mogočega. Če bi bilo šifriranja več bi bilo bolj učinkovito, ker nebi imeli časa dešifrirati vsega.


Ne drži povsem.

Danes je tako ali tako že skoraj privzeto veliko komunikacije šifrirane, tu mislim predvsem na HTTPS. Bi pa SSL res lahko uporabljali privzeto za vso pošto itn. Prav tako še nisem slišal, da bi kdo vzpostavljal nešifrirane VPN povezave ...

Kakor koli, imam precej malo znanih tehničnih podrobnosti o dometu teh programov, a vseeno odslej SSL ne štejem več za varnega - niti pod razno.

Bi jim pa naredili več dela z drugimi šifrirnimi algoritmi/mehanizmi/sistemi, ki jih morda še lahko štejemo za varne.

Zgodovina sprememb…

  • spremenil: trizob ()

rb750 ::

Danes je tako ali tako že skoraj privzeto veliko komunikacije šifrirane, tu mislim predvsem na HTTPS.


In kaj točno imaš v mislih pod "veliko komunikacije"?

brodul ::

Jaz pa ne stejem za varnega vseh certov, ki so izdani po CA sistemu.
Pretending to be a mature adult is so exhausting.

Mr.B ::

trizob, Zato ker ima lahko nekdo root certifikate. In se brez kakršnekoli povezave urine med pošiljateljem in prejemnikom. Pa če le ta ne bosta gledala in iskala točno specifičnih zadev, tega tudi ne bosta upazila.
Prav tako pa lahko brez težav narediš snepshot CA sistema, ter izdaš certifikat, in narediš revert. PA ni boga da bo ugotovil, da si kadarkoli izdal certifikat NSA.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

brodul ::

Jes :D

Zgleda to v sloveniji nobenega ne moti. Vsaj v medijih pa pri pooblascenih.
Jaz bi vsaj veleposlanika poklical na razgovor. Pol mi folk pametuje da itak rabis samo Cisco VPN pa je vse secure. :D

Ce si kvazi sec ekspert pa dandanes nimas IDS sistemov (enega NIDS pa HIDS) potem si itak cuden. :D
Pretending to be a mature adult is so exhausting.

BlackMaX ::

brodul je izjavil:

Jes :D

Zgleda to v sloveniji nobenega ne moti. Vsaj v medijih pa pri pooblascenih.
Jaz bi vsaj veleposlanika poklical na razgovor. Pol mi folk pametuje da itak rabis samo Cisco VPN pa je vse secure. :D

Ce si kvazi sec ekspert pa dandanes nimas IDS sistemov (enega NIDS pa HIDS) potem si itak cuden. :D


Kje se da dobit kšnga, če nč sam da ga mal preveriš?

brodul ::

Ponavadi OSSEC za HIDS pa Snort oz. Suricata za NIDS. CE mas linux streznike je OSSEC res simple postavit.
Potem pa je treba loge se agregirat za to mas pa Kibana.

Dost je odvisno tudi kaksna je tvoja topologija omrezja pa namen.
Zdej to ni ultimativna varnost pa obvescanje, samo ni razloga, da si ne postavis, pa tudi drugace prav pride.
Pretending to be a mature adult is so exhausting.

BlackMaX ::

brodul je izjavil:

Ponavadi OSSEC za HIDS pa Snort oz. Suricata za NIDS. CE mas linux streznike je OSSEC res simple postavit.
Potem pa je treba loge se agregirat za to mas pa Kibana.

Dost je odvisno tudi kaksna je tvoja topologija omrezja pa namen.
Zdej to ni ultimativna varnost pa obvescanje, samo ni razloga, da si ne postavis, pa tudi drugace prav pride.


Sej nič ni ultimativno varno na netu :)

A to se nanaša samo glede serverjov?

LitralSM ::

Če ima kdo vklopljen "panic mode", se naj raje zanaša samo na lastno kodo, pa še tja bi sam dal ena stranska vrata.

rb750 ::

Potem pa je treba loge se agregirat za to mas pa Kibana.


ali pa https://github.com/ECSC/analogi

za nsm/ids: http://sourceforge.net/projects/securit...

brodul ::

BlackMaX je izjavil:

brodul je izjavil:

Ponavadi OSSEC za HIDS pa Snort oz. Suricata za NIDS. CE mas linux streznike je OSSEC res simple postavit.
Potem pa je treba loge se agregirat za to mas pa Kibana.

Dost je odvisno tudi kaksna je tvoja topologija omrezja pa namen.
Zdej to ni ultimativna varnost pa obvescanje, samo ni razloga, da si ne postavis, pa tudi drugace prav pride.


Sej nič ni ultimativno varno na netu :)

A to se nanaša samo glede serverjov?


No ni NSA varno. :D

Mislim ce mas streznike potem imam samo HIDS (host intrusion detection system) in to pri meni povsot tece. Ce si v omrezju je pa smotrno da imas se NIDS (network intrusion detection system). Ponavadi zrcalis na routerjih ves promet in das v posebni server, da pregleda. Je pa tle konfiguracij mnogo in so kar kompleksne.

Vse te stvari se, da dobro testirat z odprtokodnimi "virtualizacijami" (lxc, virtualbox) ter software stackom za networking.
Ko mam prosti cas se z tem igram.
Dost kul ko ti linux kista rece, da se tam en windows box, kaze znake okuzbe samo iz komunikacij samih.

Kar se samega OSSECa tice je pa stvar res enostavno postavit, tako da priporocam.
Pretending to be a mature adult is so exhausting.

BlackMaX ::

brodul je izjavil:

BlackMaX je izjavil:

brodul je izjavil:

Ponavadi OSSEC za HIDS pa Snort oz. Suricata za NIDS. CE mas linux streznike je OSSEC res simple postavit.
Potem pa je treba loge se agregirat za to mas pa Kibana.

Dost je odvisno tudi kaksna je tvoja topologija omrezja pa namen.
Zdej to ni ultimativna varnost pa obvescanje, samo ni razloga, da si ne postavis, pa tudi drugace prav pride.


Sej nič ni ultimativno varno na netu :)

A to se nanaša samo glede serverjov?


No ni NSA varno. :D

Mislim ce mas streznike potem imam samo HIDS (host intrusion detection system) in to pri meni povsot tece. Ce si v omrezju je pa smotrno da imas se NIDS (network intrusion detection system). Ponavadi zrcalis na routerjih ves promet in das v posebni server, da pregleda. Je pa tle konfiguracij mnogo in so kar kompleksne.

Vse te stvari se, da dobro testirat z odprtokodnimi "virtualizacijami" (lxc, virtualbox) ter software stackom za networking.
Ko mam prosti cas se z tem igram.
Dost kul ko ti linux kista rece, da se tam en windows box, kaze znake okuzbe samo iz komunikacij samih.

Kar se samega OSSECa tice je pa stvar res enostavno postavit, tako da priporocam.


Zdj ne vem kere stavr bi proporoču noobu kot sem jaz? Usaj da se mal več podučim o tem, k zgleda zanimivo?

Isotropic ::

je mozno, da so razbili tudi rc4?

trizob ::

Mr.B je izjavil:

trizob, Zato ker ima lahko nekdo root certifikate. In se brez kakršnekoli povezave urine med pošiljateljem in prejemnikom. Pa če le ta ne bosta gledala in iskala točno specifičnih zadev, tega tudi ne bosta upazila.
Prav tako pa lahko brez težav narediš snepshot CA sistema, ter izdaš certifikat, in narediš revert. PA ni boga da bo ugotovil, da si kadarkoli izdal certifikat NSA.


Podobnim napadom smo že bili priča. Kdo pa pravi, da je to edini možni vektor napada? Lahko znajo ali zmorejo še kaj več.

rb750 je izjavil:

Danes je tako ali tako že skoraj privzeto veliko komunikacije šifrirane, tu mislim predvsem na HTTPS.


In kaj točno imaš v mislih pod "veliko komunikacije"?


Predvsem spletne, obiskov spletnih strani. Nikjer nisem zapisal, da je to večina, a jo je veliko.

brodul je izjavil:

BlackMaX je izjavil:

brodul je izjavil:

Ponavadi OSSEC za HIDS pa Snort oz. Suricata za NIDS. CE mas linux streznike je OSSEC res simple postavit.
Potem pa je treba loge se agregirat za to mas pa Kibana.

Dost je odvisno tudi kaksna je tvoja topologija omrezja pa namen.
Zdej to ni ultimativna varnost pa obvescanje, samo ni razloga, da si ne postavis, pa tudi drugace prav pride.


Sej nič ni ultimativno varno na netu :)

A to se nanaša samo glede serverjov?


No ni NSA varno. :D

Mislim ce mas streznike potem imam samo HIDS (host intrusion detection system) in to pri meni povsot tece. Ce si v omrezju je pa smotrno da imas se NIDS (network intrusion detection system). Ponavadi zrcalis na routerjih ves promet in das v posebni server, da pregleda. Je pa tle konfiguracij mnogo in so kar kompleksne.

Vse te stvari se, da dobro testirat z odprtokodnimi "virtualizacijami" (lxc, virtualbox) ter software stackom za networking.
Ko mam prosti cas se z tem igram.
Dost kul ko ti linux kista rece, da se tam en windows box, kaze znake okuzbe samo iz komunikacij samih.

Kar se samega OSSECa tice je pa stvar res enostavno postavit, tako da priporocam.


Toda vse to ne pomaga, kadar se promet prestreza izven tvojega dosega, pa še razbiti ga znajo.

Zgodovina sprememb…

  • spremenil: trizob ()

furion ::

brodul je izjavil:

Jaz pa ne stejem za varnega vseh certov, ki so izdani po CA sistemu.

This.

brodul ::

trizob je izjavil:


Toda vse to ne pomaga, kadar se promet prestreza izven tvojega dosega, pa še razbiti ga znajo.


Seveda, se cisto strinjam.
Folk naj ma sisteme, ki so zgrajeni iz vecnih nivojev varnosti + sistemov ki zaznavajo vdore (v to ni vstet, admin ki mal na random gleda loge).

Skoda, da ni natancnejsih podrobnosti, kateri VPNji so 'razbiti'.
Za SSL/TLS in dolocene sisteme si lahko mislimo, da se certifikati zgenererajo on the fly in imamo MITM. Zdej je treba bit tecen pa malo folk pokat tam kjer se da. Preden pozabijo.
Zgleda je ta leak upazil samo slo-tech in dnevnik.si.
FAil od slovenskih novinarjev in pseudo-stroke.

http://www.dnevnik.si/svet/nsa-mimo-spl...
http://www.dnevnik.si/svet/snowden-razk...
Pretending to be a mature adult is so exhausting.

Mr.B ::

Nabolj všeč mi je to, da folk ima vse, razen enega sistema, ki bi te generirane loge zbiral, analiziral in hranil. Res da morda kak kučni mojster to ima, samo neko srednje veliko podjetje, lahko na dnevnem nivoju generira po nekaj gigga logov prometa, ter ostalih varnostnih logov. Le te je potrebno hraniti in analizirati... Tega pa večina nima, in tudi če bi do udora prišlo, tega nebi niti ugotovila, ker nihče teh logov nebi analiziral.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

Krele ::

Kaj sploh pomeni "varnostna luknja v strojni opremi"? Je to luknja v "firmware-u" ali luknja v sami strukturi strojne opreme. Intel je ameriška korporacija, so torej verjetno NSA varnostne luknje v sami strukturi Intel procesorjev in matičnih plošč? Se je sploh možno zaščitit pred vdorom, če ma sama strojna oprema in "firmware" luknje, npr. tudi usmerjevalniki, omrežna stikala itd... ??

Mr.B ::

Ne, razen če veš točno kaj iščeš in to implementiraš na opremi kitajskega proizvajalca.
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

Oberyn ::

Krele je izjavil:

Se je sploh možno zaščitit pred vdorom, če ma sama strojna oprema in "firmware" luknje, npr. tudi usmerjevalniki, omrežna stikala itd... ??

Gotovo je možno, z nekaj truda. Recimo s požarnim zidom (jasno, s pravim, torej strojnim). Če seveda lahko zaupaš, da požarni zid sam nima lukenj.

Sicer pa še bolj preprosto - računalnik imaš pač izoliran od interneta. Saj ni nujno, da je čisto vsak računalnik priključen na net. Zlahka jih imaš več, eni so, drugi niso, recimo. Če računalnik ni priključen nikamor, je še vedno uporaben za kup stvari. Komu potem raznorazne luknje v strojni opremi koristijo? Potem ga moraš zaščititi samo še pred tistim pravim vdorom, torej z ovnom skozi vrata. Za to pa šifrirani diski dovolj dobro poskrbijo zaenkrat.

Pluser ::

To se že ve skoz .Verjemi samemu sebi .

Krele ::

Battlestar Galactica scenarij. Neomreženi računalniki, brez "Wi-Fi" čipovja.
Kako sploh "backdoor" na Slo-Tech prevajate?

LitralSM ::

Stranska vrata, glede na to, da slovenske bajte nimajo ta zadnjih.

furion je izjavil:

brodul je izjavil:

Jaz pa ne stejem za varnega vseh certov, ki so izdani po CA sistemu.

This.

Po domače slovenceljnizem. Naše boljše od sosedovega. Zaupam samo svojemu torej.

Blisk ::

Highlag je izjavil:

Več ko bomo uporabljali šifriranje več dela bodo imeli z dešifriranjem. Če je sedaj samo nekaj % komunikacij šifriranih si lahko posvetijo čas razbijanju vsega mogočega. Če bi bilo šifriranja več bi bilo bolj učinkovito, ker nebi imeli časa dešifrirati vsega.


Vse te špijunske strežnike bi takoj zabasali, če bi se ves folk na svetu trudil in vsak dan kje zapisal besede, bomba, teroristi in podobne....

Matthai ::

Mediji spet rahlo pretiravajo, rahlo razočaran pa sem na vami, bralci Slo-Techa, ki bi vendar lahko šli brat originalne vire, in ki bi lahko malce bolj razumeli kriptografijo.

Na kratko.

Največji problem so VPN sistemi, ki uporabljajo ranljivo tehnologijo (razni PPTP in podobna sranja; MS CHAP pač vedno zmaga, ane :))). Sistemi, ki uporabljajo perfect forward secrecy so bistveno bolj varni - če že pride do razbitja ključa je to zelo omejen problem, saj se ključi obnavljajo. OpenVPN recimo uporablja poudarjeno zaupnost, vendar samo, če uporabljate certifikate (ne pa če za zaščito uporabljate geslo). Enako velja za RedPhone in TextSecure. Jaja, se je treba malo poglobit v software, ki ga uporabljaš.

Zelo velik problem so CA potrdila oz. zasebni ključi CA-jev. V preteklosti je že bilo dokazano, da so uporabljali ranljive algoritme za podpisovanje, so celo neke govorice, da se za "root-root" CAje uporablja celo fucking MD4 (tega nisem uspel preveriti, MD5 podpise na certifikatih pa so razbili že ene 6, 7 let nazaj), kakšni CA-ji so celo tako glupi, da ti kar sami podpišejo lažen certifikat (oh yes, svoje čase sem si lastil overjene certifikate za več slovenskih bank!)... zakaj torej ne bi dali dostopa še NSA? Ali pa si ga je NSA sama vzela (ranljivi sistemi, podkupljivi uslužbenci, lažni uslužbenci, ki v resnici delajo za NSA,...).

Nekdo sprašuje o varnosti RC4 - zadeva seveda NI varna. Obstaja cel kup ranljivosti. Tole je samo najnovejša: http://www.isg.rhul.ac.uk/tls/

Sicer pa te stvari niso nič kaj novega.

O Dual_EC_DRBG in varnosti generatorjev naključnih števil sem pisal tudi že ene 6 let nazaj, pa je večina takrat samo debelo gledala WTF spet nakladam... Da ne omenjamo nenaključnega generatorja "naključnih" števil v Androidu pred kratkim. Ane?

Državnim informatikom že dlje časa trobim, da bi bilo treba LotusNotes vreči stran (ni varen, veste) pa je spet samo WTF. Sej ima kljukico "šifriraj"!

Tam se pogovarjam s folkom, ko mi pravi, da je Cisco pa kul, ker ima varnostne certifikate. Pa mu omenim Phenoelit, pa je spet samo WTF...

Ko rečem, da imam pri eliptičnih krivuljah tak čuden občutek v želodcu, je spet zavijanje z očmi, potem pa človeku rečeš naj gre brat kakšne resne članke o magičnih konstantah v ECC, pa folk spet debelo gleda.

Ja, pa Linux tudi kar iz nekega čudaštva propagiram... Pa pride leto 2013 in Schneier (ena večjih avtoritet na področju securitya) reče: "And I'm still primarily on Windows, unfortunately. Linux would be safer."

Aja, pa par let po mojem članku o pohekanem firmwareu mrežnih kartic folk tudi počasi začenja dojemat, da tisto ni bil sci-fi žanr. :))

Pa to niso navadni informatiki. To so ljudje, ki hodijo na varnostne konference in skrbijo za ključne IT sisteme v državi/večjih podjetjih.

Kaj naj rečem?

Tule se pač nekaj naklada in kuje neosnovane teorije zarote. Pejmo raje Lady pa Slovenske novice brat. V državni upravi pa Windowse, Cisco, LotusNotes in najbolj ugoden Mobitelov paket. Pa jutranja kavica ne sme manjkat.

Čista zmaga. >:D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Jupito ::

A se še komu zdi, da imamo spet slona v sobi?

Namreč tale mafijski sistem, ko požegnani lahko tako... neformalno, ali po samo manjši formalnosti praktično kogarkoli podkupijo in/ali prisilijo v skoraj neomejeno sodelovanje? Če se tole ne bo zatrlo, dokler je še relativno majno in luškano, je vse zaman.
Oprostite, ker nisem navdušen nad tem,
da potica tokrat vsebuje le dva rjasta žeblja.
Ne! Ni važno, da je sicer odličnega okusa!

Isotropic ::

Krele je izjavil:

Kaj sploh pomeni "varnostna luknja v strojni opremi"? Je to luknja v "firmware-u" ali luknja v sami strukturi strojne opreme. Intel je ameriška korporacija, so torej verjetno NSA varnostne luknje v sami strukturi Intel procesorjev in matičnih plošč? Se je sploh možno zaščitit pred vdorom, če ma sama strojna oprema in "firmware" luknje, npr. tudi usmerjevalniki, omrežna stikala itd... ??

huawei
Huawei @ Wikipedia

Zgodovina sprememb…

dronyx ::

>Tule se pač nekaj naklada in kuje neosnovane teorije zarote. Pejmo raje Lady pa Slovenske novice brat. V državni upravi pa Windowse, Cisco, LotusNotes in najbolj ugoden Mobitelov paket. Pa jutranja kavica ne sme manjkat.

Glede na to, da je po naši zakonodaji skoraj vse informacija javnega značaja, ki jo lahko pridobi dobesedno kdorkoli ne razumem, zakaj takšno pametovanje? In poznam primer visokega državnega uradnika, ki Lotus Notesu ni zaupal, zato si je raje odprl "službeni" elektronski naslon na Gmailu. Zakaj Lotus Notesu ni zaupal, pa ti raje ne bom razlagal. Očitno je zanj kdo drug bolj nevaren od NSA in podobnih velikih igralcev na trgu obveščevalnih služb.

Kar sodi pa pod Zakon o tajnih podatkih je pa jasno druga zgodba in mislim da imamo pri nas celo nek organ, ki naj bi se s to problematiko ukvarjal. Ne pa mislit, da lahko "državni informatiki", ki po 20 let niso bili na enem samem izobraževanju zaščitijo informacijske državne sisteme pred zlobno NSA. :))
Only the weak use their brains - the strong use their balls!

Zgodovina sprememb…

  • spremenil: dronyx ()

jerry2 ::

A PGP lahko tudi dešifrirajo? Včasih je bilo znano, da ga ne morejo. Danes pa ne vem več kako je.
tom & jerry

T-h-o-r ::

matthai, če te prav razumem, če človek pravilno uporablja primerno programje, potem se lahko NSA jebe? Kaj pa, če je NSA v kontaktu z večino teh providerjev, ali kateri programi delujejo tako, da ga ne morejo razbiti niti tisti, ki so ti ga prodali/ga izdelali?
Why have a civilization anymore
if we no longer are interested in being civilized?

dronyx ::

Zame osebno so daleč najbolj inteligentni tisti sistemi kriptografije, kjer se informacija skriva na način, da ima potencialni napadalec velike težave že s tem da ugotovi, kje se taka informacija skriva (če boš na veliko pošiljal po mailu PGP kodirane datoteke, te bodo zelo hitro vzeli na muho).

Recimo spodnji muc... To slikico preneseš na nek javno dostopni spletni portal, kjer je še na stotine milijonov podobnih slik. Ampak slikica vsebuje zakodirano sporočilo, ki ga bo Matthai z lahkoto razbil (koda je sicer trivialna, ampak lahko bi bila pa zelooooodolga). :))

 Ramon Garcia

Ramon Garcia

Only the weak use their brains - the strong use their balls!

Zgodovina sprememb…

  • spremenil: dronyx ()

techfreak :) ::

T-h-o-r: OpenVPN, RedPhone in TextSecure so odprtokodni in si jih lahko uporabnik sam prevede, ce dvomi v varnost binarnih datotek s strani avtorja. Sicer taksni programi niso nujno brez napak/lukenj, vendar imas vsaj moznost da pogledas dolocene dele, kjer sumis da bi lahko vstavili kaksno luknjo, pri popularnejsih zadevah pa je ponavadi tako da jih preglejuje vec ljudi in bi se napake prej nasle.

LightBit ::

Isotropic je izjavil:

je mozno, da so razbili tudi rc4?

Ne bi rekel, da so ga praktično razbili. Ranljivosti ima pa kar dosti.

LightBit ::

dronyx je izjavil:

Zame osebno so daleč najbolj inteligentni tisti sistemi kriptografije, kjer se informacija skriva na način, da ima potencialni napadalec velike težave že s tem da ugotovi, kje se taka informacija skriva (če boš na veliko pošiljal po mailu PGP kodirane datoteke, te bodo zelo hitro vzeli na muho).

Recimo spodnji muc... To slikico preneseš na nek javno dostopni spletni portal, kjer je še na stotine milijonov podobnih slik. Ampak slikica vsebuje zakodirano sporočilo, ki ga bo Matthai z lahkoto razbil (koda je sicer trivialna, ampak lahko bi bila pa zelooooodolga). :))

Problem je, da rabiš veliko sliko, če želiš skriti več podatkov.

dronyx ::

LightBit je izjavil:

Problem je, da rabiš veliko sliko, če želiš skriti več podatkov.

Saj ni nujno da je slika. Lahko je video posnetek, glasbene datoteka...skratka karkoli ne zbuja suma. Tule je pa razlaga, kako se da dobiti podatke iz zgornje slike.
Only the weak use their brains - the strong use their balls!

trizob ::

brodul je izjavil:

trizob je izjavil:


Toda vse to ne pomaga, kadar se promet prestreza izven tvojega dosega, pa še razbiti ga znajo.


Seveda, se cisto strinjam.
Folk naj ma sisteme, ki so zgrajeni iz vecnih nivojev varnosti + sistemov ki zaznavajo vdore (v to ni vstet, admin ki mal na random gleda loge).

Skoda, da ni natancnejsih podrobnosti, kateri VPNji so 'razbiti'.
Za SSL/TLS in dolocene sisteme si lahko mislimo, da se certifikati zgenererajo on the fly in imamo MITM. Zdej je treba bit tecen pa malo folk pokat tam kjer se da. Preden pozabijo.
Zgleda je ta leak upazil samo slo-tech in dnevnik.si.
FAil od slovenskih novinarjev in pseudo-stroke.

http://www.dnevnik.si/svet/nsa-mimo-spl...
http://www.dnevnik.si/svet/snowden-razk...


Tudi 24ur so v enem članku nekaj omenjali ...

Mr.B je izjavil:

Nabolj všeč mi je to, da folk ima vse, razen enega sistema, ki bi te generirane loge zbiral, analiziral in hranil. Res da morda kak kučni mojster to ima, samo neko srednje veliko podjetje, lahko na dnevnem nivoju generira po nekaj gigga logov prometa, ter ostalih varnostnih logov. Le te je potrebno hraniti in analizirati... Tega pa večina nima, in tudi če bi do udora prišlo, tega nebi niti ugotovila, ker nihče teh logov nebi analiziral.


Ne moreš vnetja grla zdraviti z gipsom; težišče članka je na povsem drugih vektorjih napada - grobi sili, izrabi pomanjkljivosti oz. šibkosti algoritmov, seveda - tudi napadih (a tu mislim, da predvsem ustanov, ki hranijo korenske certifikate) ...

Zgodovina sprememb…

  • spremenil: trizob ()

rb750 ::

Zakaj spletne trgovine oglašujejo "varni nakup", če pa potem vse tvoje osebne podatke oz. povzetek naročila z osebnimi podatki pošljejo na e-mail v clear textu? :O

trizob ::

Matthai je izjavil:

Mediji spet rahlo pretiravajo, rahlo razočaran pa sem na vami, bralci Slo-Techa, ki bi vendar lahko šli brat originalne vire, in ki bi lahko malce bolj razumeli kriptografijo.

Na kratko.

Največji problem so VPN sistemi, ki uporabljajo ranljivo tehnologijo (razni PPTP in podobna sranja; MS CHAP pač vedno zmaga, ane :))). Sistemi, ki uporabljajo perfect forward secrecy so bistveno bolj varni - če že pride do razbitja ključa je to zelo omejen problem, saj se ključi obnavljajo. OpenVPN recimo uporablja poudarjeno zaupnost, vendar samo, če uporabljate certifikate (ne pa če za zaščito uporabljate geslo). Enako velja za RedPhone in TextSecure. Jaja, se je treba malo poglobit v software, ki ga uporabljaš.

Zelo velik problem so CA potrdila oz. zasebni ključi CA-jev. V preteklosti je že bilo dokazano, da so uporabljali ranljive algoritme za podpisovanje, so celo neke govorice, da se za "root-root" CAje uporablja celo fucking MD4 (tega nisem uspel preveriti, MD5 podpise na certifikatih pa so razbili že ene 6, 7 let nazaj), kakšni CA-ji so celo tako glupi, da ti kar sami podpišejo lažen certifikat (oh yes, svoje čase sem si lastil overjene certifikate za več slovenskih bank!)... zakaj torej ne bi dali dostopa še NSA? Ali pa si ga je NSA sama vzela (ranljivi sistemi, podkupljivi uslužbenci, lažni uslužbenci, ki v resnici delajo za NSA,...).

Nekdo sprašuje o varnosti RC4 - zadeva seveda NI varna. Obstaja cel kup ranljivosti. Tole je samo najnovejša: http://www.isg.rhul.ac.uk/tls/

Sicer pa te stvari niso nič kaj novega.

O Dual_EC_DRBG in varnosti generatorjev naključnih števil sem pisal tudi že ene 6 let nazaj, pa je večina takrat samo debelo gledala WTF spet nakladam... Da ne omenjamo nenaključnega generatorja "naključnih" števil v Androidu pred kratkim. Ane?

Državnim informatikom že dlje časa trobim, da bi bilo treba LotusNotes vreči stran (ni varen, veste) pa je spet samo WTF. Sej ima kljukico "šifriraj"!

Tam se pogovarjam s folkom, ko mi pravi, da je Cisco pa kul, ker ima varnostne certifikate. Pa mu omenim Phenoelit, pa je spet samo WTF...

Ko rečem, da imam pri eliptičnih krivuljah tak čuden občutek v želodcu, je spet zavijanje z očmi, potem pa človeku rečeš naj gre brat kakšne resne članke o magičnih konstantah v ECC, pa folk spet debelo gleda.

Ja, pa Linux tudi kar iz nekega čudaštva propagiram... Pa pride leto 2013 in Schneier (ena večjih avtoritet na področju securitya) reče: "And I'm still primarily on Windows, unfortunately. Linux would be safer."

Aja, pa par let po mojem članku o pohekanem firmwareu mrežnih kartic folk tudi počasi začenja dojemat, da tisto ni bil sci-fi žanr. :))

Pa to niso navadni informatiki. To so ljudje, ki hodijo na varnostne konference in skrbijo za ključne IT sisteme v državi/večjih podjetjih.

Kaj naj rečem?

Tule se pač nekaj naklada in kuje neosnovane teorije zarote. Pejmo raje Lady pa Slovenske novice brat. V državni upravi pa Windowse, Cisco, LotusNotes in najbolj ugoden Mobitelov paket. Pa jutranja kavica ne sme manjkat.

Čista zmaga. >:D


Lulaš proti vetru in dobro veš, zakaj!

... ker ima nekaj hišnih podjetij v JU tako ali tako neomejen dostop do marsi česa, brez auditinga oz. kakršnega koli nadzora. Nič ne skrivamo, ne sami pred seboj ne pred Mussomelijem.

Kar se tiče pa strokovnih kompetenc, smo že davno zabrisali puško v koruzo.

techfreak :) ::

rb750 je izjavil:

Zakaj spletne trgovine oglašujejo "varni nakup", če pa potem vse tvoje osebne podatke oz. povzetek naročila z osebnimi podatki pošljejo na e-mail v clear textu? :O

Ker uporabljajo SSL.

rb750 ::

techfreak :) je izjavil:

rb750 je izjavil:

Zakaj spletne trgovine oglašujejo "varni nakup", če pa potem vse tvoje osebne podatke oz. povzetek naročila z osebnimi podatki pošljejo na e-mail v clear textu? :O

Ker uporabljajo SSL.


Ja, ampak to deluje samo na spletni strani, tvoji podatki se pa še vedno pošljejo iz njihovega mail serverja na tvoj email naslov brez šifriranja.

root987 ::

rb750 je izjavil:

Zakaj spletne trgovine oglašujejo "varni nakup", če pa potem vse tvoje osebne podatke oz. povzetek naročila z osebnimi podatki pošljejo na e-mail v clear textu? :O

Tam se ne šifrira zaradi osebnih podatkov ampak zaradi kreditnih kartic...
"Myths which are believed in tend to become true."
--- George Orwell

Zgodovina sprememb…

  • spremenil: root987 ()

LightBit ::

dronyx je izjavil:

LightBit je izjavil:

Problem je, da rabiš veliko sliko, če želiš skriti več podatkov.

Saj ni nujno da je slika. Lahko je video posnetek, glasbene datoteka...skratka karkoli ne zbuja suma. Tule je pa razlaga, kako se da dobiti podatke iz zgornje slike.

V vsakem primeru mora biti veliko. Zato ni vedno praktično.

Zgodovina sprememb…

  • spremenil: LightBit ()

Matthai ::

dronyx je izjavil:

Glede na to, da je po naši zakonodaji skoraj vse informacija javnega značaja, ki jo lahko pridobi dobesedno kdorkoli ne razumem, zakaj takšno pametovanje?

Ravno zaradi tistega, kar ni informacija javnega značaja.

Ampak ja, glede na to, da imamo bivšega predsednika vlade (!), ki je v času funkcije novinarju (!) po telefonu (!) (legenda pravi, da je bil menda celo v tujini) razlagal o tem, da SOVA seveda je prisluškovala visokim tujim in domačim politikom (klik, klak).

Pri čemer tipu ni prišlo na misel, da morda njegovemu pogovoru z novinarjem (ja, to je človek, ki OBJAVLJA novice) morda poleg naše prisluškuje še par tujih služb. :))

dronyx je izjavil:

Kar sodi pa pod Zakon o tajnih podatkih je pa jasno druga zgodba in mislim da imamo pri nas celo nek organ, ki naj bi se s to problematiko ukvarjal. Ne pa mislit, da lahko "državni informatiki", ki po 20 let niso bili na enem samem izobraževanju zaščitijo informacijske državne sisteme pred zlobno NSA.

Tudi pred kom drugim se bojim da ne.


T-h-o-r je izjavil:

matthai, če te prav razumem, če človek pravilno uporablja primerno programje, potem se lahko NSA jebe? Kaj pa, če je NSA v kontaktu z večino teh providerjev, ali kateri programi delujejo tako, da ga ne morejo razbiti niti tisti, ki so ti ga prodali/ga izdelali?

Zdaj, treba je razumeti par zadev.

Pri kriptografiji so seveda zelo pomembni kriptografski algoritmi. Pomembno je, da nimajo ranljivosti, ki skrajšajo čas razbijanja šifriranega sporočila. Zato so recimo eliptične krivulje sumljive - imajo namreč neke konstante, za katere NSA ni nikoli pojasnila zakaj so takšne kot so.

Vendar so pomembne še druge stvari. Recimo generatorji naključnih števil. Kako je izvedeno preverjanje identitet/overjanje, ali obstaja kakšna zaščita pred MITM napadom? Ali kje kakšne informacije puščajo (npr. DNS leaking).

In v končni fazi je pomembna varnost terminalnih naprav. Če ima nekdo direkt root dostop do tvojega terminala, ti še takšna zaščita nič ne pomaga. Tukaj pa govorimo o tempestu, firmware hackingu, itd.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Blisk ::

Highlag je izjavil:

Več ko bomo uporabljali šifriranje več dela bodo imeli z dešifriranjem. Če je sedaj samo nekaj % komunikacij šifriranih si lahko posvetijo čas razbijanju vsega mogočega. Če bi bilo šifriranja več bi bilo bolj učinkovito, ker nebi imeli časa dešifrirati vsega.

več kot bomo uporabljali šifriranje več bodo imeli dela in več bomo uporabljali besede terorist in bomba, več bodo imeli dela, njihov sistem tudi ni vsemogočen in denarja za to je vedno manj. Torej treba je delat na tem, ne samo govorit, kaj bi lahko!

3furious ::

Spiegel je objavil, da naj bi NSA imela dostop do podatkov na Androidu, iOSu in BB.


The documents state that it is possible for the NSA to tap most sensitive data held on these smart phones, including contact lists, SMS traffic, notes and location information about where a user has been.

In the internal documents, experts boast about successful access to iPhone data in instances where the NSA is able to infiltrate the computer a person uses to sync their iPhone.

The documents also state that the NSA has succeeded in accessing the BlackBerry mail system, which is known to be very secure. This could mark a huge setback for the company, which has always claimed that its mail system is uncrackable.
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

Hayabusa ::

The documents also state that the NSA has succeeded in accessing the BlackBerry mail system, which is known to be very secure. This could mark a huge setback for the company, which has always claimed that its mail system is uncrackable.

Da je BB za vladne agencije/vlade varen kot odprta vrata je bilo znano že prej...

https://slo-tech.com/novice/t274820#crta
https://slo-tech.com/novice/t426654#crta
https://slo-tech.com/novice/t490331#crta

Zgodovina sprememb…

  • spremenilo: Hayabusa ()
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NSA vohuni tudi za finančnimi transakcijami

Oddelek: Novice / Zasebnost
455256 (2196) nebivedu
»

Šifriranje skoraj ni ovira za NSA in GCHQ (strani: 1 2 )

Oddelek: Novice / NWO
6113011 (7536) trizob
»

NSA vdrla v Združene narode in več ambasad

Oddelek: Novice / NWO
152851 (958) gumby
»

NSA in Microsoft prestrezala komunikacijo pred šifriranjem (strani: 1 2 3 )

Oddelek: Novice / NWO
13011488 (6510) Truga
»

Sodelovanje operaterjev komunikacij s tajnimi službami

Oddelek: Novice / Zasebnost
93374 (2382) Matthai

Več podobnih tem