id: Гость   вход   регистрация
текущее время 23:27 28/03/2024
создать
просмотр
редакции
ссылки

Как сохранить безопасность против слежки АНБ


Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая сегодняшнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя.


Последние две недели я вместе с Guardian работал над историей вокруг АНБ и прочитал сотни сверхсекретных документов АНБ, предоставленных информатором Эдвардом Сноуденом. Я не принимал участие в сегодняшней публикации — она готовилась задолго до моего появления, — но всё прочитанное мной подтверждает сообщения Guardian.


Теперь же, как мне кажется, я готов дать ряд советов, как оградить себя от подобного противника.


Основной способ слежки АНБ за интернет-коммуникациями — это каналы связи, именно там наилучшим образом масштабируются его технические возможности. Агентство реализовало гигантские программы по автоматическому сбору и анализу сетевого трафика. Но всё, что требует от него взлома конкретных компьютеров, является значительно более рискованным и затратным, и оно идёт на подобные действия гораздо реже.


АНБ имеет доступ к магистральным каналам интернета за счёт своих тайных соглашений с телекоммуникационными компаниями — всеми компаниями из США и Великобритании, а также ряда прочих своих «партнёров» по всему миру. В случаях, когда оно не может положиться на такой «дружественный» доступ, оно идёт на всё, чтобы обеспечить скрытое прослушивание коммуникаций: подключается к подводным кабелям, перехватывает спутниковую связь и т.д.


Объёмы получаемых данных огромны, но АНБ располагает в равной мере огромными возможностями, чтобы быстро просеивать их в поисках интересующего трафика. «Интересующими» могут быть множество характеристик: источник, адресат, содержание, участники коммуникации и прочее. Все эти сведения направляются в гигантскую систему АНБ для последующего анализа.


В ещё больших объёмах АНБ собирает метаданные трафика: кто и с кем связывается, когда, как долго, каким способом. Метаданные, по сравнению с содержанием, гораздо проще хранить и анализировать, они могут иметь чрезвычайно личный характер для человека и они невероятно ценны для разведки.


Возглавляет направление по сбору данных Управление системной разведки, и объёмы ресурсов, которые оно выделяет на эти цели, просто поражает. Я читаю отчёт за отчётом, рассматривающие возможности этих программ, их функциональные детали, планы модернизации и т.д. На каждую конкретную проблему — извлечение электронных сигналов из оптических кабелей, поддержание скорости перехвата терабайтных потоков данных, отфильтровывание интересующих вещей — есть своя отдельная группа, занятая поисками решений. Охват тем глобален.


АНБ также атакует и сами сетевые устройства: маршрутизаторы, свитчи, брандмауэры. Большинство этих устройств имеют встроенные функции для прослушки; хитрость заключается в том, чтобы незаметно активировать их. Это крайне плодотворное направление взлома: маршрутизаторы реже обновляют, на них реже установлены программные средства безопасности и они, как правило, не рассматриваются в качестве уязвимого компонента.


Кроме того, АНБ направляет значительные ресурсы на взлом оконечных компьютеров. Этим делом у них занимается группа TAO — Отделение адаптированного доступа. У TAO есть меню эксплоитов, которыми оно может «обслужить» ваш компьютер (будь он под управлением Windows, Mac OS, Linux, iOS или чего-то ещё), и ряд приёмов, чтобы доставить их на ваш компьютер. Их не обнаружит ни ваш антивирус, ни, скорее всего, вы сами, даже если будете знать, что искать. По сути, это хакерские инструменты, разработанные хакерами с практически безграничным бюджетом. Что я вынес из документов Сноудена — это тот факт, что если АНБ захочет влезть в ваш компьютер, оно влезет. Точка.


АНБ решает проблему зашифрованных данных, с которыми ему приходится сталкиваться, в основном обходя криптографию, нежели используя какие-то секретные математические открытия. Во-первых, в мире полно бестолковой криптографии. К примеру, если оно обнаруживает сетевое соединение, защищённое с помощью MS-CHAP, его легко взломать и восстановить ключ. Оно взламывает слабые пользовательские пароли, используя такие же словарные атаки, которыми пользуются гражданские хакеры.


Как мы сегодня узнали, АНБ также «взаимодействует» с разработчиками средств безопасности, чтобы их коммерческие средства шифрования были уязвимы в таких местах, о которых известно только Агентству. Мы помним, что такое уже было в истории: CryptoAG и Lotus Notes — два самых ярких примера, и есть свидетельства в пользу бэкдора в Windows. Несколько человек сообщили мне ряд более свежих историй из своего недавнего опыта, и вскоре я собираюсь об этом написать. В сущности, АНБ предлагает компаниям вносить небольшие незаметные изменения в их продукты: сделать генератор случайных чисел менее случайным, каким-либо образом производить утечку ключа, добавить общую экспоненту в протокол согласования ключей и т.п. Если кто-либо обнаруживает бэкдор, он объясняется как обычная программная ошибка. И, как нам теперь известно, АНБ добилось невероятных успехов с этой инициативой.


TAO также взламывает компьютеры для извлечения долгосрочных ключей. Таким образом, если вы поддерживаете VPN со сложным общим секретом для защиты данных, и АНБ посчитает их заслуживающими внимания, оно может попытаться выкрасть этот секрет. Такие операции предпринимаются только в отношении особо важных целей.


Итак, как же вам организовать безопасную связь при наличии такого противника? Сноуден дал ответ в своём интервью вскоре после обнародования своих первых документов: «Шифрование работает. Должным образом реализованные стойкие криптосистемы — одна из немногих вещей, на которую вы можете положиться».


Думаю, это правда, даже несмотря на сегодняшние откровения и провокационные намёки Джеймса Клэппера, директора национальной разведки, на «прорывные возможности криптоанализа», сделанные им в другом сверхсекретном документе. Все эти возможности заключаются в намеренном ослаблении криптографии.


Но последующая фраза Сноудена имеет не меньшую значимость: «К несчастью, оконечная безопасность столь ужасающе низка, что АНБ зачастую способно её обойти».


«Оконечная» — это программы, которые вы используете, компьютер, на котором вы их используете, и локальная сеть, в которой вы их используете. Если АНБ удастся модифицировать алгоритм шифрования или закинуть на ваш компьютер троян, никакая криптография на свете вам уже не поможет. Если вы хотите сохранить безопасность против АНБ, вам придётся пойти на всё, чтобы работе шифрования ничто не могло помешать.


Исходя из всего сказанного, у меня есть пять советов:


  1. Спрячьтесь в сети. Используйте скрытые сервисы. Используйте Tor, чтобы самому оставаться анонимным. Да, АНБ интересуют пользователи Tor, но это всё равно препятствие для его работы. Чем менее вы заметны, в тем большей вы безопасности.
  2. Шифруйте связь. Используйте TLS, используйте IPSec. Опять же, хотя АНБ целенаправленно перехватывает зашифрованные коммуникации (и, возможно, располагает специальными эксплойтами против названных протоколов), вы будете гораздо лучше защищены, чем при передаче данных открытым текстом.
  3. Исходите из того, что хотя ваш компьютер могут взломать, для АНБ это будет дополнительной работой и риском, так что, вероятно, он не взломан. Если имеете дело с чем-то действительно важным, используйте автономные не подключенные к сети системы. С тех пор, как я начал работать с документами Сноудена, я купил новый компьютер, который никогда не подключал к интернету. Когда мне нужно передать файл, я зашифровываю его на безопасном компьютере и отношу к своему сетевому компьютеру на флэшке. Чтобы расшифровать что-то, я действую в обратном порядке. Этот метод не безупречен, но достаточно хорош.
  4. Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков. Полагаю, что большинство криптографических продуктов от больших американских компаний имеют бэкдоры для АНБ и, скорее всего, множество зарубежных тоже. Будет разумным допустить, что иностранные продукты идут в комплекте с собственными иностранными бэкдорами. АНБ проще встроить закладки в закрытое ПО, нежели в ПО с открытым исходным кодом. Системы с общими секретами более уязвимы для АНБ, за счёт как законных, так и нелегальных методов.
  5. Старайтесь использовать стандартные методы шифрования, которые должны быть совместимы с другими реализациями. Например, АНБ труднее встроить бэкдор в TLS, нежели в BitLocker, поскольку реализация TLS у одного разработчика должна быть совместимой со всеми прочими реализациями TLS, тогда как BitLocker должен быть совместим лишь самим собой, что развязывает АНБ руки при внесении изменений. И поскольку BitLocker проприетарен, вероятность обнаружения в нём этих модификаций значительно ниже. Отдавайте предпочтение симметричному шифрованию над шифрованием с открытым ключом. Предпочитайте общепринятые системы на дискретных логарифмах перед системами на эллиптических кривых; последние содержат константы, проталкиваемые АНБ при малейшей возможности.

То время, что я работаю над документами Сноудена, я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и ещё несколько вещей, о которых мне бы не хотелось распространяться. В моей программе Password Safe есть недокументированная шифровальная функция, доступная из командной строки; её я тоже использую.


Я сознаю, что большинство перечисленного невозможно для простого интернет-пользователя. Даже я сам не использую все эти инструменты для всего, над чем я работаю. И я по-прежнему, к сожалению, использую в основном Windows. С Linux было бы безопасней.


АНБ превратило саму ткань интернета с гигантскую платформу для слежки, но всё же оно не владеет тайной магией. Оно ограничено рамками тех же экономических реалий, что и все мы, и наилучший для нас способ самозащиты — сделать слежку за нами настолько дорогой, насколько это возможно.


Доверяйте математике. Шифрование — ваш друг. Хорошо обращайтесь с ними и сделайте всё от вас зависящее, чтобы они не были скомпрометированы. Это поможет вам оставаться в безопасности даже перед лицом АНБ.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva

 
На страницу: 1, ... , 10, 11, 12, 13, 14, ... , 18 След.
Комментарии [скрыть комментарии/форму]
— Гость (19/09/2013 18:34)   <#>

Скорее тогда не вычислительными, а просто нельзя задать такую функцию компактным способом (разве что нарисовать 2128 формальных стрелок, говорящих, какой блок открытого текста в какой блок шифртекста перейдёт).

Я тоже как-то так думал. Идея была в том, что не все PRP возможны при заданном неидеальном шифре. Т.е. существуют такие PRP, которые не встретятся ни при каком ключе, а это уже некоторая информация, которую дальше можно пытаться раскручивать. Но я это всё очень плохо понимаю, ещё намного хуже вас.
— Гость (19/09/2013 19:04)   <#>

Вот это как раз, по-моему, очевидное утверждение. Если f : x → y, где (положим для простоты) x,yU128, то вы не можете получить z = g ( y ) такое, что zU256. Т.е. если у вас на входе в KDF 128 бит случайности, 256 вы из них не сделаете никак (энтропия всё равно останется равной 128), поэтому даже если вы как-то отобразили 128 бит в 256, каждая из половинок этих 256 бит будет иметь меньше, чем 128 бит энтропии. А раз так, перебор будет требовать меньше, чем 2127 шагов.


Нет, это не попытка построить альтернативную криптографию (то, о чём писалось на предыдущих страницах), а попытка понять, следуют ли ряд утверждений чисто из общей теории информации без привлечения криптографии. :-)


Для меня это одно и то же. Как я понимаю, в математике вычислительной безопасностью назвали бы нечто, про что доказано принадлежность к определённому классу сложности (или даже предъявлен самый быстрый алгоритм, и доказано, что его не ускорить). Видимо, криптография что-то такое и хочет сделать, но доказательства этого факта заменяет рассуждениями, привлекающими множество недоказаннаых гипотез. IMHO, правильнее было бы это назвать условной безопасностью (т.е. опирающейся на недоказанные утверждения). А безусловная, инф.-теоретическая и вычислительная — одно и то же по своему смыслу: невозможность взлома быстрее, чем за заданное число шагов. В конце концов, все гаммы для одноразового блокнота тоже можно перебрать (но в этом нет смысла), т.е. в какой-то мере он тоже «вычислительный». Правда, блокнот — не IBC, на него не перенести идеи шифрования в лоб (сжатие большого секрета до малого), но про безопасность IBC можно говорить только в терминах вычислительной сложности в смысле самой сути конструкции IBC (если противник может сделать любое число операций, то никакой IBC не спасёт от расшифрования).
— sentaus (20/09/2013 14:22)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Прелесть.

http://www.wired.com/threatlevel/2013/09/rsa-advisory-nsa-algorithm/
— тестерТьюринга (20/09/2013 15:11, исправлен 20/09/2013 15:17)   профиль/связь   <#>
комментариев: 301   документов: 8   редакций: 4

Эдсгер Дейкстра: "Тестирование программ может служить для доказательства наличия ошибок, но никогда не докажет их отсутствия."
Эта аналогия ближе, чем сравнение с аэродинамической трубой?

— unknown (20/09/2013 20:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Начнём с того, что доказуемая безопасность в первую очередь создавалась для проектирования протоколов и режимов использования шифров и других криптопримитивов. Чтобы как раз не было как с написанием программ. В этом случае большинство ошибок при правильном построении доказательства отсеиваются. Да, могут быть ошибки в самих доказательствах, но если их нет, то они резко снижают вероятность построения небезопасного протокола.

Доказательство в этой модели при формальной правильности может оказаться фатально неверным, если будут получены принципиально новые знания. Доказуемая безопасность разграничивает область между тем, что более-менее известно (хотя строго и недоказано) и тем, что неизвестно совсем.

Для проектирования самих криптопримитивов доказуемая безопасность формализована гораздо хуже, изначально она для этого не предназначалась совсем.
— Гость (21/09/2013 06:00)   <#>

Проблема в том, что не доказано, что классы сложности (P и NP) различны.
— Гость (22/09/2013 01:33)   <#>

Мы в курсе, Кэп, как и в курсе того, что про факторизацию недоказана её принадлежность к NP. Пока эти сводимости — то, во что верят, и что, вероятно, когда-нибудь будет доказано.
— Гость (22/09/2013 13:07)   <#>
Вы может и в курсе, но почему-то не вошли в курс, что тот, кому я отвечал – не в курсе, что даже доказанная принадлежность к классу сложности NP не позволяет пока считать это вычислительно безопасным в строгом содержательном смысле этих слов.
— Гость (23/09/2013 04:37)   <#>

Вы мне отвечали, так что замечание уместно.


Номинально — да, но вопрос неравенства классов — это хотя бы чёткая проблема, и на том, что эти классы не равны, зиждется вся теория сложности (а это скорее математика, хотя формально CS). Помимо этого, она в списке «millenium prize problems».

Недавно наши люди вроде как окончательно зарубили одно доказательство, претендовавшее на то, что P=NP, на примере задачи комивояжёра. Само «доказательство» родом из 80-ых. де Вольф и Массар в соавторах, доклад на STOC'12.
— Гость (24/09/2013 15:40)   <#>
отличная статья для меня – неспециалиста.
здесь много дискусий, но это уже детали.
Принципы он сформулировал. Может быть неполно, но начало положено.
thanks
— unknown (17/10/2013 10:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Пока здесь горячо спорили об усилении криптоалгоритмов, журналисты со слов людей (а также по другим неназванным источникам), ознакомившихся и проанализировавшими (возможно поверхностно) со всеми 50000 документами, которые утекли через Сноудена, утверждают, что АНБ давно уже неспособно заниматься практическим взломом шифров. Хотя такое подразделение и существует, но оно играет вспомогательную роль.

Взлом шифрованных данных осуществляется путём взлома чужих компьютеров, внедрения троянов, бэкдоров, аппаратных и программных закладок во всё, что только можно.

В статье правда много воды и рассуждений далёких от понимания тематики журналистов. Кроме того, не учитывается, что криптоаналитическое отделение может работать обособленно от остальной части АНБ в режиме «чёрного ящика» и его программы не раскрываются другим сотрудникам. Но по большей части это подтверждает мнения многих специалистов примерно пятнадцатилетней давности — мы живём в эпоху сертификационного криптоанализа. Возможно, что в чистом виде современные стойкие шифры на практике действительно никто ломать не может — нужны ошибки в протоколах, уязвимости в реализациях, утечки по побочным каналам и т.д.
— SATtva (17/10/2013 10:12)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

...а этого добра — пруд пруди.
— Гость (21/10/2013 00:58)   <#>

Результаты наработок «чёрного ящика» должны где-то использоваться на практике, в частности — передаваться для использования теми, кто занимается реальным взломом на практике (TAO), поэтому заизолировать «чёрный ящик» идеально, думаю, не получится.


Подумалось об аналогиях: «Как сохранить безопасность против слежки ФСБ?», «Как противодействовать системе оперативно-розысных мероприятий?»... В США за такие заголовки журналистов не привлекают поголовно по статьям «экстремизм», «подрывная деятельность», «разрушение информационной безопасности государства»?
— unknown (21/10/2013 10:32, исправлен 21/10/2013 10:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В США за такие заголовки журналистов не привлекают поголовно по статьям «экстремизм», «подрывная деятельность»

Журналистов это чаще всего никак не затрагивает.


А организации, которые этим занимаются, могут получать всевозможные налоговые льготы, гранты и прочие плюшки от государства, с которым они «борются». Хотя это не гарантирует от каких-то случаев преследований, но на основании уже каких-то более конкретных поводов, к которым могут прицепиться.


Ну т.е. можно придти в одно государственное ведомство и получить поддержку, а от другого ведомства параллельно люлей получать. Как договоритесь.


Результаты наработок «чёрного ящика» должны где-то использоваться на практике, в частности — передаваться для использования теми, кто занимается реальным взломом на практике (TAO), поэтому заизолировать «чёрный ящик» идеально, думаю, не получится.

Это да. Но настораживает, что даже если принять, что все документы Сноудена правдивы, то большинство слайдов выглядят как учебные или презентационные. Т.е. похоже на то, что рассказывают рядовым сотрудникам для первоначального введения в курс дела и составления общей картины.


Это как в некоторых учебниках по криптографии для начинающих. Снчала всё рассказывают в общем виде. А потом оказывается, что и параметры RSA и DH нужно подбирать специальные. И дополнения с рэндомизацией нужны и пр. тонкости, как теоретические, так и практические.


Вот если бы была работа АНБ с анализом всех атак, известных в открытом сообществе и выкладками, почему они не смогли их реализовать, плюс какие-то данные собственных экспериментов по симуляции Tor-сети на ихних суперкомпах (с параметрами компов и прочими техническими подробностями), а также экспериментов с реальными подконтрольными нодами и точками перехвата трафика и вышло бы, что да — атаки непрактичны, тогда можно было бы о чём-то говорить.


Это общая претензия ко всем докам Сноудена — в основном только слайды, которые могут иметь не самый высокий уровень секретности внутри организации.

— Гость (23/10/2013 05:29)   <#>

По ссылке пишут, что

TAO has been enormously successful over the past 12 years in covertly inserting highly sophisticated spyware into the hard drives of over 80,000 computer systems around the world, although this number could be much higher. And according to the sources, these implants are designed in such a way that they cannot be detected by currently available commercial computer security software.

Можно подумать, что троянится прошивка жёсткого диска (бредово звучит), если же троянится предустановленный контент, то его-таки можно если не обнаружить, то хотя бы снести, полностью затерев диск.

Former agency personnel confirm that in innumerable instances, these TAO implants have allowed NSA analysts to copy and read all of the unencrypted documents stored on the targeted computer's hard drive, as well as copy every document and email message produced and/or transmitted by the machine. But more importantly, TAO has helped NSA cryptanalysts solve several hundred foreign government and commercial encryption systems because these spyware implants, if properly inserted into the computer, can covertly alter its security software as well as copy the encryption system's technical parameters, especially the system's encryption algorithm and access passwords, in a way that cannot be detected. These implants can compromise the encryption systems used by not only the targeted computer, but also by all other computer systems that it communicates with using encryption technology.

Этот пассаж тоже предельно мутный. «The unencrypted documents stored on the targeted computer's hard drive» — если диск шифруется, а воруют по сети, то шифрование неважно; если ворут непосредственно, то это можно объяснить либо шпионским функционалом в прошивках (но его трудно сделать универсальным), либо затрояниванием ГСЧ, но hard drives-то тут причём? Последняя фраза тоже непонятна. Если вырабатывается общий симметричный ключ, а он известен атакующему — то да, но говорить «скомпрометирована вторая сторона» при этом логически неправильно.
На страницу: 1, ... , 10, 11, 12, 13, 14, ... , 18 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3