id: Гость   вход   регистрация
текущее время 19:58 16/11/2018
Владелец: unknown (создано 29/03/2010 15:47), редакция от 05/04/2010 12:39 (автор: unknown) Печать
Категории: политика, стандарты, атаки, ssl, спецслужбы, человек посередине
создать
просмотр
редакции
ссылки

4. Сотрудничество по принуждению


Многие правительства запросто принуждают компании для того чтобы те помогали им в слежке. От телекоммуникационных служб и провайдеров интернета часто требуют нарушать приватность пользователей — предоставляя властям сообщения электронной почты, телефонные звонки, записи обращений к поисковым сервисам, данные о финансовых транзакциях и геоположении.


В США законными актами определён перечень субъектов, которые могут быть принуждены к сотрудничеству в электронной слежке для органов охраны правопорядка:

Ордер, дающий полномочия для перехвата коммуникаций по проводам, электронным системам или в устном виде в этой главе должен [...] указывать на провайдера проводного или электронного коммуникационного сервиса, владельца, контролирующего или другое лицо в экстренном порядке снабжающее заявителя всей информацией, возможностями и технической помощью, необходимой для выполнения перехвата незаметным образом и с минимумом помех для сервисов, поставляемых таким провайдером, владельцем, управляющим или лицом, чьи коммуникации подвергаются перехвату См.:
18 U. S. C. §2518(4).

или расследований по запросам резведслужб:

См.: U. S. C. §1805©(2)(B).

и в значительно более широких случаях.


Обширный обзор способов, которыми технологичные фирмы могут быть принуждаемы к нарушению прав своих пользователей на приватность можно найти в [17].


Примеры вынужденного сотрудничества по этим актам включают провайдера электронной почты, обещавшего защиту, которого вынудили поставить скрытый бэкдор в свой продукт в целях кражи пользовательских ключей шифрования [2], и компанию бытовой электроники, которую силовым путём заставили сделать доступными для удалённого включения микрофоны в устройствах навигационных GPS-панелей подозреваемых, для того чтобы скрытно записывать их разговоры [18].


За пределами США и других демократических стран специфические законодательные постановления могут играть даже менее важное значение. Правительство Китая, например регулярно принуждает к сотрудничеству телекоммуникационные и технологические компании для помощи в мерах по организации слежки [19, 20].


Поскольку телефонные компании и провайдеры электронной почты могут быть принуждены к сотрудничеству с властями в их мерах по слежке, это также верно и для удостоверяющих центров SSL-сертификатов. Атака с помощью создания сертификатов по принуждению — это когда правительственные агентства требуют местные удостоверяющие центры предоставить им фальшивый SSL сертификат для использования в слежке. Технические детали этой атаки шокирующе просты и не требуют обширних пояснений.


Легальные основания, связанные с таким типом помощи по принуждению значительно более сложны. Любое правительственное агентство США, принуждающее таким образом УЦ к сотрудничеству, должно конечно полагаться большей частью на условия, отмеченные нами ранее. Однако, неясно, насколько будет такое вынужденное сотрудничество законным для самих УЦ, поскольку оно противоречит обязанностям по предоставлению сервиса проверки идентичности. Такое сотрудничество по принуждению также вызывает серьёзные опасения по поводу Первой Поправки, по факту того, что американские власти будут приказывать УЦ фабриковать заведомо ложные данные по поводу идентичности получателя сертификата.


Каждый УЦ уже имеет развёрнутую инфраструктуру при помощи которой он способен выпускать SSL сертификаты. В сценарии с принуждением к сотрудничеству, от УЦ требуется всего лишь пропустить шаг проверки идентичности в своём процессе выпуска сертификатов.


В случаях принуждения УЦ к сотрудничеству, правительственное агентство может каждый раз требовать от УЦ выпустить сертификат, специфичный для подмены каждого из определённых вэбсайтов, или более вероятно, УЦ может быть принуждён к выпуску промежуточного сертификата, который затем может быть многократно использован правительственным агентством без знания и дальнейшей помоши со стороны УЦ.


В гипотетическом примере такой атаки американское Агентство Национальной Безопасности (АНБ) может вынудить VeriSign выпустить достоверный сертификат для коммерческого банка Дубая (текущий сертификат которого выпущен Etisalat, ОАЭ), что может быть использовано для эффективной атаки человека-посредине против всех современных браузеров.


Назад | Оглавление | Дальше


 
Комментариев нет [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3