04.07 // Парадокс конфиденциальности

Конфиденциальность частной информации порождает множество парадоксов в современном технократическом обществе. Сначала мы беспокоимся о том, чтобы по нашим паспортным данным никто не взял кредит в банке, а потом спокойно указываем все возможные личные координаты, вплоть до домашнего телефона и адреса, в своем Интернет-дневнике, а также в сотовом телефоне или GPS-навигаторе.

Профессор Джордж Ловенштaйн (George Loewenstein) из университета Карнеги-Меллона в своем исследовании показал, как влияют обстоятельства на скрытность человека в отношении конфиденциальных сведений.

В рамках проведенного исследования с участием добровольцев оказалось, что предупреждения о защите частной информации чаще побуждают человека скрывать эту информацию конфиденциального характера. Например, участников эксперимента разделили на две группы и предложили списать домашнюю работу своих соседей. В группе, где перед началом эксперимента участникам явно гарантировали неразглашение, лишь 25% испытуемых согласилось пойти на списывание. Из тех, кого не предупреждали о тайне эксперимента, на списывание пошло более 50% группы.

Ситуация повторилась в эксперименте с сайтами – двум отдельным группам предложили различные сайты. Первый, профессионально оформленный сайт, предлагал поучаствовать в опросе и гарантировал неразглашение информации. Второй же сайт был выполнен в любительской манере и просто кишел различными картинками сатанинского характера. Вопросы задавались одни и те же в духе: «Какие неблаговидные поступки вы совершали?». Оказалось, что неформальная атмосфера любительского сайта подействовала на испытуемых успокаивающе, и они начали сознаваться в самых серьезных проступках, включая употребление кокаина.

В своей работе профессор Ловенштaйн делает вывод: беспокойство человека о сохранности личной информации зависит от текущего окружения, способа задавания вопроса, личности спрашивающего и других факторов. Кроме того, чем меньше человек думает о конфиденциальности, тем меньше он о ней беспокоится на самом деле. Кроме того, по мнению Ловенштaйна, в Интернете, как в современной среде общения, отсутствуют те знаки и напоминания, которые в реальной жизни заставляют нас вовремя остановиться и не рассказывать кому попало интимные подробности своей не всегда безгрешной жизни. Получается, что технический прогресс, делая нашу жизнь более удобной, одновременно осложняет ее, понижая у человека необходимый уровень беспокойства за тайну своей личной жизни, сообщает bits.blogs.nytimes.com.

Источник: http://soft.mail.ru/pressrl_page.php? Id=29693

20.06 // Новый акт об иммунитете операторов связи США против исков граждан о прослушивании

После обнаружения секретной комнаты, и притом не одной, с оборудованием массового перехвата коммуникаций в компании AT&T, и прослушиванию звонков и сеансов связи миллионов пользователей с прямой передачей данных в центр обработки информации Агентства Национальной Безопасности США (NSA), был подан коллективный иск во главе с Hepting против AT&T. В ходе данного процесса были раскрыты некоторые технические и организационные подробности работы американских спецслужб по перехвату информационных потоков.

Правительственные агентства при поддержке президента США Дж. Буша решили разработать законопроект, защищающий телекоммуникационные компании и делающий подобные иски от граждан невозможными. Вероятно, чтобы избежать широкого обсуждения, подробности законопроекта держались в секрете, и его текст стал известен организации EFF лишь накануне голосования, хотя предыдущие версии были известны, как и сам основной закон, к которому вносятся эти поправки. Сам акт о прослушивании в целях внешней разведки (FISA) был принят ещё в 1978 году. Споры велись из-за возможностей иска к телекоммуникационным компаниям в случае нарушения прав граждан при недобросовестном использовании средств прослушивания и возможности предоставления иммунитета против таких исков.

Несмотря на незначительные по мнению EFF изменения, они могут быть легко обойдены агентствами, и приспособлены для массового прослушивания без возможности оспорить такие действия в судебном порядке.

EFF по-прежнему считает законопроект (FISA Amendments Act of 2008) опасным и антиконституционным, так как он всё ещё позволяет NSA в обход базовых законов осуществлять прослушивание миллионов американских граждан.

Союз защиты гражданских свобод Америки также призвал "звонить сенаторам", чтобы остановить принятие данного акта. По его мнению данный акт позволяет проводить массовое нецелевое прослушивание без ответственности в случае сбора ошибочных или избыточных данных и имеет массу лазеек для совершения данных действий без ордера или контроля.

На первичном обсуждении в сенате был достигнуто предварительное соглашение.

После обращения президента США Дж. Буша к Сенату с требованием принять данный акт как можно скорее, голосование ожидается в среду 25 июня.

Однако, 25 июня решение о голосовании было перенесено на 8 июля. EFF планирует до этого срока провести гражданские акции, в том числе приуроченные к дню независимости.

file:nsa_octopus.jpg

Источник: EFF

20.06 // Анализ зашифрованного VoIP-трафика по размеру пакетов

Успешно прослушивать разговоры по VoIP можно даже в том случае, если VoIP-трафик надёжно зашифрован. Дело в том, что современные алгоритмы шифрования звука специально оптимизированы на кодирование голоса с максимальным качеством при узкой полосе пропускания. Поэтому в некоторых сервисах используется VBR-компрессия. Аббревиатура VBR означает “variable bitrate”, то есть изменение битрейта в зависимости от содержания контента. Данная «продвинутая» технология пока не получила большого распространения, но многие VoIP-сервисы планируют внедрить её в будущем.

При использовании VBR длинные сложные звуки (оу) кодируются с большим битрейтом, а маленькие простые звуки (т) — с маленьким, чтобы сэкономить полосу. Так вот, учёные обнаружили способ восстанавливать исходный контент путём анализа битрейта и лингвистического анализа с использованием базы данных фонем и слов.

Специалисты из Университета Джона Хопкинса показали, что простой анализ размеров пакетов уже даёт достаточно информации, чтобы восстановить исходные слова и фразы. Это могут быть пароли и другая чувствительная информация.

Точность распознавания фраз составляет 50%, а длинных сложных слов — 90%.

Источник: http://habrahabr.ru/blog/crypto/44890.html

18.06 // "Закон Оруэлла" сделает Швецию государством узаконенной тотальной слежки

Радиотехническая Служба Обороны Швеции – Forsvarets Radioanstalt (FRA) была основана в 1942 году. В задачи FRA в настоящее время входит защита информационной безопасности Шведского государства путём перехвата и анализа сигналов идущих по всем возможным линиям связи, проведение криптографических исследований по заказу Шведского правительства и армии, обеспечение технических мероприятий на случай информационных войн. Для этих целей у FRA имеется в распоряжении большое количество точек перехвата трафика и 5-ый по мощности суперкомпьютер в мире по списку TOP500 за 2007 год.

Интересно, что FRA формально является гражданской организацией, в официальный штат которой входит всего 700 человек. Тем не менее, FRA однако тесно связана с военной разведкой, министерством Обороны, министерством Иностранных Дел и полицейской службой внутренней безопасности Швеции. Помимо многочисленных точек фиксированного перехвата сигналов связи, расположенных на территории Швеции (так называемый Swechelon или "Шведский Echelon"), FRA обслуживает также корабль Orion, принадлежащий Военно Морским силам и два самолёта Gulfstream IV, принадлежащие Военно-Воздушным силам Швеции для проведения операций за пределами страны. Как отмечают наблюдатели, ссылаясь на официальный документ FRA, возможно данная организация в данное время обладает возможностями по сбору и дешифровке GSM-трафика.

Существуют обоснованные подозрения в тесном сотрудничестве между FRA и американским Агенством Национальной Безопасности NSA. Возможно не без влияния АНБ FRA потребовала небывалого расширения полномочий с помощью принятия закона о контроле над коммуникациями, прозванного в Швеции законом Оруэлла (Lex Orwell) по имени писателя, известную книгу которого ("1984-ый") раздавали протестующие в том числе и шведским парламентариям. Возрастающий объём военного сотрудничества с США, совместные инициативы по борьбе с терроризмом, проведение испытаний американского оружия на шведских полигонах, возможность перехвата 80% российско-международного трафика, проходящего через шведские точки доступа весьма сблизили интересы NSA и FRA. самой конспирологической теорией является возможность создания в высокоинформатизировонной Швеции экспериментальной площадки по внедрению новых технологий управления "обществом будущего", как его видят американские стратеги.

EFF наравне со множеством других правозащитных организаций, подвергла критике закон, продвигаемый FRA в Шведский парламент (Рикстаг). Речь не идёт ни о наблюдении за отдельными подозреваемыми, ни о получении ордеров на прослушивание. Закон предусматривает массированное тотальное прослушивание и анализ всего доступного трафика в целях борьбы с терроризмом. Звонки миллионов частных лиц, сообщения электронной почты, посещения веб-сайтов и другие виды активности в сетях связи будут подвергаться контент-анализу и хранению в базах данных разведслужб.

Формальным ограничением является только разделение трафика на международный (полностью разрешённый к перехвату) и внутренний (защищаемый законами о неприкосновенности). Однако в случае Швеции разделение трафика на внутренний и проходящий малореалистично – даже если это и будет строго соблюдаться (что нереально даже технически), значительная часть внутреннего трафика проходит через границу и обратно, и обслуживается, в частности, финскими операторами связи. Разделение трафика возможно уже только после того, как он перехвачен и проанализирован.

Могут ли шведы положиться на честность своих спецслужб и верить в то, что эти организации будут собирать информацию только предназначенную для защиты государства? Данный законопроект разрабатывался ещё в 2005 году. Rick Falkvinge, лидер Шведской Пиратской Партии смог тайно записать в 2007 году разговор с бывшим сотрудником FRA, который высказал мнение, что данный акт просто узаконит деятельность FRA по незаконному прослушиванию, осуществляемую в течении последних 10 лет.

В ходе широких общественных дебатов к моменту голосования по законопроекту против него высказали сомнения многие представители ведомств Шведской правоохранительной системы: полицейское ведомство высказало мнение, что министерство обороны преувеличивает проблемы национальной безопасности, представители судебной системы высказывались в пользу того, что данные полномочия должны быть только у полиции. Представители ассоциации Шведских газетных издателей заявили, что данный закон входит в прямое противоречие с конституцией и полностью уничтожает анонимность источников в журналистских публикациях (интересно, что Швеция является первой страной в мире, принявшей закон о свободе прессы в XVIII веке, а сейчас она становится первым европейским государтсвом, узаконивающим тотальное прослушивание).

Многие высказывают прямое сомнение, что закон будет направлен против террористов и преступников. Так приводится пример, что в целях конспирации террористы, устроившие атаки 9/11/2001 в Америке, называли предстоящий теракт в переговорах "большой свадьбой", а исполнителей "приглашёнными братьями".

Waheed Mujdeh, бывший представителем Министерства Иностранных Дел Афганистана во времена правления Талибана сообщил о своём скепсисе по поводу шведского закона. "Бин Ладен и его сподвижники предпочитали трудности с доставкой записей, но никогда не использовали прямых звонков и избегали технологий, о которых знали, что они помогут вычислить их местонахождение", "я никогда не встречался с ситуацией, когда Аль-Каида планировала бы теракты по телефону. Даже если им и приходилось делать это, они всегда использовали кодовые слова" – пояснил Mujdeen. По его мнению эффективный способ борьбы состоит только в проникновении в группы террористов на этапе планирования, а не перехват коммуникаций.

Авторитетные криминальные элементы Швеции тоже высказывают свое сомнение. Christer Karlsson, 57-летний бывший торговец наркотиками сейчас возглавляет организацию по социальной реабилитации отбывших наказание. Он общается со многими вышедшими на свободу преступниками. "Я могу вычислить расположение скрытых камер наблюдения в городе". "Однажды я договаривался о продаже наркотиков по телефону, а через шесть месяцев услышал запись своего голоса в качестве приложения к ордеру на обыск. Теперь я узнал массу способов, как избежать этого".

Первоначальная попытка проведения законопроекта в 2007 году обернулась скандалом. Как сообщают Новые Известия текст должен быть представлен на рассмотрение экспертам, но был разослан в последний день уходящего 2006 года, когда все эксперты ушли на Рожденственские каникулы. тревогу забил Клас Бергстранд. гражданский юрист, направленный в полицейскую службу внутренней безопасности для её "демократизации". Увидев что времени для предотвращения антиконституционного переворота практически не остаётся, он разместил на официальном сайте протест от имени своей службы. Проект был снят с повестки дня, а бунтовщик, сообщивший о заговоре спецслужб, быстро скончался от инфаркта, будучи спортсменом с хорошим здоровьем.

Новое руководство ведомства усвоило урок и протестовать не стало. Хотя в Швеции принято законы обсуждать годами и принимать неторопливо, новый законопроект вновь ставят в повестку дня прямо перед парламенскими каникулами. Теперь летними.

Итоговое голосование было назначено на 17 июня 2008 года. 17 Июня станет тёмным днём шведской истории, сказал представитель шведской Партии Зелёных Mehmet Kaplan.

После обсуждения, протестов, митингов, обнародования скандальных записей откровений сотрудников FRA на шведском телевидении, сомнений со стороны органов юстиции, закон был временно отклонён с небольшим перевесом.

Выиграли ли шведы и европейцы в своей борьбе против наступления общества "Большого Брата"?

Как многие считают в Швеции, никто не выиграл.

Par Strom из New Welfare Foundation написал, что "Оруэловский закон" всё ещё остаётся монстром, подвергнувшимся лишь косметическим изменениям. На первый взгляд в него внесены гарантии неприкосновенности личной жизни граждан: инспекция деятельности FRA отдельными организациями и парламентскими комитетами (принцип присмотра над надсмотрщиками), создание двух агентств: одно для выдачи разрешений на программы FRA по слежке, другое по инспекции деятельности самой FRA.

Но все эти изменения, придуманные за один день, крайне несерьёзны. FRA будет иметь возможность продолжать массовую слежку за жителями Швеции без каких либо ордеров. Ведомство будет читать электронную почту и другие виды текстовой связи, смотреть какие сайты посещают жители, прослушивать телефоны, строить социограммы (карты дружеских связей между людьми).

Всё остаётся в таком же абсурдном виде как и раньше. Это всё еще нарушает 12-ую статью Международной Декларации Прав Человека. Это всё ещё вводит шведское общество в состояние страха и самоцензуры. Это всё ещё служит запугиванию людей в случае обращения к журналистам по поводу злоупотребления властей. В этом законе всё ещё остаётся масса нарушений.

Поправки вместе с законом хотят протолкнуть через парламент в течении суток, пока никто не успел опомниться. Ни парламентарии, ни общество. Группы протестующих стали собираться с утра возле здания Рикстага. Утром в среду 18-ого июня, ведь вечером закон скорее всего уже может быть принят.

"Заблокируйте принятие закона FRA!", "FRA нарушает ваши гражданские права", "Swechelon должен быть остановлен" – таковы были их призывы и лозунги. См. фоторепортаж здесь. Протестующие, которых в небольшой дворик у Риксдага под конец набралось несколько сотен, упоминали о прямой аналогии с обществом тоталитарного контроля Штази и советского КГБ (чем ещё можно больше напугать жителя западной Европы?). Кто-то даже одел советскую военную фуражку.

Agneta Lindblom Hulthen, председательница шведского союза журналистов отметила, что "есть пределы того что демократия может сделать для защиты демократии, чтобы самой не стать антидемократичной", "компромиссы ни дадут ничего для защиты анонимности источников информации", "новый закон не оставит места для защитников неприкосновенности частной жизни" – сказала она новостным агенствам.

Один из руководителей компании Google заявил "Мы предупредили шведские власти, что если закон будет принят, то Google перенесет свои серверы за пределы Швеции, подобное возможно лишь в Саудовской Аравии и Китае, но никак не в демократической стране".

Повторное слушание законопроекта с неслыханной для Швеции поспешностью назначено на вечер 18 июня. За день до ухода парламента на каникулы. Депутатов предупреждают, что они должны принять решение максимум до четверга. А кому охота ночевать в парламенте или нарушать свои отпускные планы?

И Шведский парламент сказал "Да" обществу тотальной слежки

143 голоса "За", 138 "Против", один депутат воздержался. "Lex Orwell" принят. Если этому никак не помешать, то Государство "Большого Брата" начнёт действовать с первого января 2009 года. Теперь в соответствии с законом.

Источник: The Local Sweden's news in English

10.06 // Защищенный USB-накопитель IronKey

Производитель защищенных хранилищ данных, компания IronKey, выпускающая оригинальные накопители с двухфакторной идентификацией пользователя, как сообщает источник, представил новую, более ёмкую модель.

Новый IronKey является прочным портативным устройством и имеет защиту от влаги, кроме аппаратной защиты данных пользователя. Последняя, как сообщается, обеспечивает военный уровень криптования данных при высокой скорости.

Если накопитель был кем-то украден с целью заполучить доступ к вашим данным, то при определенном количестве неудачных попыток успешно залогиниться, Cryptochip блокирует доступ к данным и уничтожает их.

Новый IronKey имеет ёмкость 8 ГБ и поставляется с таким набором ПО: portable Firefox, IronKey Password Manager, RSA SecurID (поддерживается сервис Secure Sessions).

Стоимость 8-ГБ IronKey составляет 299 долл.

Источник: ixbt.com

Как и другие продукты компании, IronKey: Enterprise Special Edition обеспечивает высокую степень защиты информации. Для этой цели USB-накопитель на базе флэш-памяти оснащен встроенными аппаратными средствами шифрования. Производитель подчеркивает, что никакие программы, включая драйверы, не нужны для использования IronKey. Доступ к информации обеспечивается только в случае ввода правильного пароля. Если накопитель оказался утерян или украден, попытки разблокировать защиту и получить доступ к информации активизируют последовательность самоуничтожения, гарантирующую неприкосновенность данных.

В то же время, для работы с IronKey, в отличие от некоторых других продуктов, связанных с шифрованием, не нужны права администратора Windows XP или Vista. Чтобы упростить использование IronKey в сетевой корпоративной среде, накопитель автоматически выполняет переназначение буквы логического диска.

Физически IronKey представляет собой образец неприступности. Его металлический корпус устойчив к взлому и непроницаем для воды, а внутренний объем заполнен эпоксидной смолой. Накопитель прошел тестирование по программе MIL-STD-810F.

если верить спецификации – скорости чтения/записи на флеш память – 30 и 20 мегобайт в секунду соответственно, информация шифруется 128 битным AES'ом.

26.05 // Стеганография в пакетной телефонии

С 23 по 25 июня в Лондоне состоится четвёртая международная конференция по вопросам глобальной электронной безопасности 4th International Conference on Global E-Security. На ней будет представлен доклад представителей Группы сетевой безопасности Варшавского Технологического Университета, участников проекта stegano.net Dr. Krzysztof Szczypiorski и Wojciech Mazurczyk.

Ими были исследованы возможности передачи скрытых сообщений в каналах цифровой телефонии.
Согласно исследованию только в сигнальных полях пакетов для установления звонка можно передать данные объёмом 2.36 килобитов. Если в обычном звонке будет пять таких пакетов, это даёт возможность передать около двух тысяч бит скрытой информации в одну сторону. Это совсем небольшая величина (~ 256 байт).

Однако более впечатляющие результаты рассматриваются при использовании всех возможностей модификации данных, передаваемых в сеансе связи. В VoIP трафике содержится всего 0.016% SIP пакетов, 0.085 % RTCP пакетов и 99.899 % RTP пакетов – которые передают непосредственно полезную нагрузку.

Авторы выбрали наиболее практичные и лёгкие в выполнении методы скрытного внедрения информации.

Данные в RTP пакетах можно модифицировать следующими способами (в сравнении с их относительным вкладом в стеганографическкую пропускную способность): IP/UDP стеганография (64.11 %), RTP-стеганография (32.055%), стеганография с задержкой звуковых пакетов (2.633 %), аудио-стеганография на основе техники водяных знаков (1.202 %). Также была рассмотрена стегагография в RTCP-пакетах.

Как отметили авторы, трудности с внедрением звуковой стеганографии связаны с низкими битрэйтами кодеков.

Однако, в ходе использования такого комплексного подхода удалось суммарно оценить возможность передачи скрытых данных в типичном сеансе в объёме до 1.3 Мегабит/звонок (170 килобайт), что годится для передачи большинства текстовых сообщений и небольших файлов.

Источник: stegano.net

24.05 // Что собирается в рамках СОРМ-2

Павел Протасов приводит в своём блоге спецификацию выходных данных СОРМ-2, полученную из неназванного источника. Ничего существенно нового там нет, но техническая сторона интересна.

На правах слухов информации, полученной телепатическим путем: описание формата данных, которые собираются в рамках СОРМ-2. Реквизиты документа мне неизвестны, а источнег на всякий случай не указываю. Попросит — укажу. :)
Короче, вот...

Источник: http://www.duralex.org/2008/05.....sya-v-ramkah-sorm-2/