A nagy testvér tehát létezik! De mit tehetünk? NSA-botrány összefoglaló.
|
|
2013.09.10. 05:55:38
Gulyás Gábor
Vissza Elég sok információ derült ki a PRISM ügy kapcsán már csütörtökig, és akkor gondoltam, hogy írok egy – kissé spekulatív – bejegyzést arról, hogy mire lehet képes az NSA, illetve mit lehet a megfigyelés ellen tenni. Mire elkészült volna, újabb információk kavarták fel a web vizét, jóval kevesebb spekulációra adva lehetőséget: már tudjuk, hogy az NSA bizonyos titkosított forgalmakat/üzeneteket is képes elemezni, megfigyelni. Szerencsére nem arról van szó, hogy feltörték volna a kriptográfia alapjául szolgáló algoritmusokat, hanem gondoskodtak róla, hogy a lehető legtöbb implementációban és szolgáltatónál legyenek kiskapuk, amikor "be szeretnének kukucskálni".
Korábban is lehetett sejteni, hogy a szuperszámítógépek ("adversary is capable of a trillion guesses per second") és az órási szakértői tudás ellenére sem képesek mindenütt permanens megfigyelést végrehajtani (bár behatolni valószínűleg igen, csak ezek a célzott támadások elég körülményesek, rizikósak és túl sokba kerülnek a tömeges alkalmazáshoz).
Ezért az NSA a könnyebb utat választotta: megegyezett a nagyobb cégekkel, hogy biztosítsanak a megfigyeléshez felületet, illetve telekommunikációs szolgáltatókkal is keresték a partneri kapcsolatot, szoftver készítő cégeknél pedig kiskapukat építtetek a termékekbe. Ez utóbbi ráadásul nem is rizikós: zárt kódú szoftvereknél a lebukás esélye minimális, és ha meg is történne, úgy intézték, hogy hibaként lehessen elmaszatolni a felfedezett gyengeséget (pl. protokoll változóinak befolyásolása, rossz véletlengenerátorok).
Ezt támasztja alá a Silent Circle nevű cég biztonságos email szolgáltatásának hirtelen leállítása. A cég mielőtt megkereshették volna őket a kormánytól (a botrány kezdete óta közel 400%-os növekedésük volt), inkább leállították a szolgáltatást és az adatokat törölték. Ugyanis ez esetben kénytelenek voltak belelátni a levelezésbe a protokoll nyíltsága miatt, míg más szolgáltatásaiknál end-to-end titkosítást alkalmaznak.
Emellett voltak törvényi törekvések a "lefedettség" növelésére (illetve szakmai is, ld. a 2013-as célkitűzéseket), erre utal az is, hogy törvényileg szerették volna az USA-ban is jelenlévő cégeket kötelezni a lehallgathatóságra, amit ha egy cég elmulasztana, napi 25 000 USD lenne a büntetése. Ez a törvény egyféle catch-all-ként működne: külön pénzkiadás nélkül be tudnánk poloskázni a fennmaradó cégeket, hiszen mindenki automatikusan partnerré válna (csak szemben a PRISM résztvevőkkel, ezek a cégek mindezt ellenjavadalmazás nélkül tennék, így olcsóbb az államnak).
Mit lehet tenni? A nyílt forráskódú kriptográfiai és PET technológiák kevésbé vannak kiszolgáltatva manipulációnak és nagy mennyiségben ezt nem tudja az NSA sem lehallgatni, így ilyen eszközöket érdemes használni. A következőket ajánljuk (egyeseket Bruce Schneier is használ és ajánl): KeePass, TrueCrypt, Thunderbird + Enigmail + GnuPGP vagy GPG, Tails, OTR, BleachBit. És persze nem érdemes gmail-es címet használni. :-)
Akit érdekel a téma, tudom ajánlani Bruce Schneier útmutatóját az online privátszféra megerősítéséhez. Ez a cikk nem csupán végigveszi az előzményeket (linkekkel) és bemutatja a fennálló helyzetet, hanem konkrét javaslatokat is tartalmaz, illetve a végén Bruce említ néhány PET-jellegű szoftvert, amit ő is használ, mióta a botrány tart (némi átfedésben a fentebbi listával). A theguardian ezen kívül még további érdekes cikkeket is közölt, amit érdemes elolvasni.
UPDATE (2013-09-10 13:35): mivel a TrueCrypt-et azért éri némi – akár óvatosságra intő – kritika, alternatívaként érdemes körbenézni a további lehetőségek között.
Hozzászólások
Összesen 0 hozzászólás látható.
Nincsenek hozzászólások.
Új hozzászólás beküldése
Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.
Új jelszó 
Regisztráció 
