id: Гость   вход   регистрация
текущее время 13:42 19/03/2024
создать
просмотр
редакции
ссылки

Как сохранить безопасность против слежки АНБ


Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая сегодняшнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя.


Последние две недели я вместе с Guardian работал над историей вокруг АНБ и прочитал сотни сверхсекретных документов АНБ, предоставленных информатором Эдвардом Сноуденом. Я не принимал участие в сегодняшней публикации — она готовилась задолго до моего появления, — но всё прочитанное мной подтверждает сообщения Guardian.


Теперь же, как мне кажется, я готов дать ряд советов, как оградить себя от подобного противника.


Основной способ слежки АНБ за интернет-коммуникациями — это каналы связи, именно там наилучшим образом масштабируются его технические возможности. Агентство реализовало гигантские программы по автоматическому сбору и анализу сетевого трафика. Но всё, что требует от него взлома конкретных компьютеров, является значительно более рискованным и затратным, и оно идёт на подобные действия гораздо реже.


АНБ имеет доступ к магистральным каналам интернета за счёт своих тайных соглашений с телекоммуникационными компаниями — всеми компаниями из США и Великобритании, а также ряда прочих своих «партнёров» по всему миру. В случаях, когда оно не может положиться на такой «дружественный» доступ, оно идёт на всё, чтобы обеспечить скрытое прослушивание коммуникаций: подключается к подводным кабелям, перехватывает спутниковую связь и т.д.


Объёмы получаемых данных огромны, но АНБ располагает в равной мере огромными возможностями, чтобы быстро просеивать их в поисках интересующего трафика. «Интересующими» могут быть множество характеристик: источник, адресат, содержание, участники коммуникации и прочее. Все эти сведения направляются в гигантскую систему АНБ для последующего анализа.


В ещё больших объёмах АНБ собирает метаданные трафика: кто и с кем связывается, когда, как долго, каким способом. Метаданные, по сравнению с содержанием, гораздо проще хранить и анализировать, они могут иметь чрезвычайно личный характер для человека и они невероятно ценны для разведки.


Возглавляет направление по сбору данных Управление системной разведки, и объёмы ресурсов, которые оно выделяет на эти цели, просто поражает. Я читаю отчёт за отчётом, рассматривающие возможности этих программ, их функциональные детали, планы модернизации и т.д. На каждую конкретную проблему — извлечение электронных сигналов из оптических кабелей, поддержание скорости перехвата терабайтных потоков данных, отфильтровывание интересующих вещей — есть своя отдельная группа, занятая поисками решений. Охват тем глобален.


АНБ также атакует и сами сетевые устройства: маршрутизаторы, свитчи, брандмауэры. Большинство этих устройств имеют встроенные функции для прослушки; хитрость заключается в том, чтобы незаметно активировать их. Это крайне плодотворное направление взлома: маршрутизаторы реже обновляют, на них реже установлены программные средства безопасности и они, как правило, не рассматриваются в качестве уязвимого компонента.


Кроме того, АНБ направляет значительные ресурсы на взлом оконечных компьютеров. Этим делом у них занимается группа TAO — Отделение адаптированного доступа. У TAO есть меню эксплоитов, которыми оно может «обслужить» ваш компьютер (будь он под управлением Windows, Mac OS, Linux, iOS или чего-то ещё), и ряд приёмов, чтобы доставить их на ваш компьютер. Их не обнаружит ни ваш антивирус, ни, скорее всего, вы сами, даже если будете знать, что искать. По сути, это хакерские инструменты, разработанные хакерами с практически безграничным бюджетом. Что я вынес из документов Сноудена — это тот факт, что если АНБ захочет влезть в ваш компьютер, оно влезет. Точка.


АНБ решает проблему зашифрованных данных, с которыми ему приходится сталкиваться, в основном обходя криптографию, нежели используя какие-то секретные математические открытия. Во-первых, в мире полно бестолковой криптографии. К примеру, если оно обнаруживает сетевое соединение, защищённое с помощью MS-CHAP, его легко взломать и восстановить ключ. Оно взламывает слабые пользовательские пароли, используя такие же словарные атаки, которыми пользуются гражданские хакеры.


Как мы сегодня узнали, АНБ также «взаимодействует» с разработчиками средств безопасности, чтобы их коммерческие средства шифрования были уязвимы в таких местах, о которых известно только Агентству. Мы помним, что такое уже было в истории: CryptoAG и Lotus Notes — два самых ярких примера, и есть свидетельства в пользу бэкдора в Windows. Несколько человек сообщили мне ряд более свежих историй из своего недавнего опыта, и вскоре я собираюсь об этом написать. В сущности, АНБ предлагает компаниям вносить небольшие незаметные изменения в их продукты: сделать генератор случайных чисел менее случайным, каким-либо образом производить утечку ключа, добавить общую экспоненту в протокол согласования ключей и т.п. Если кто-либо обнаруживает бэкдор, он объясняется как обычная программная ошибка. И, как нам теперь известно, АНБ добилось невероятных успехов с этой инициативой.


TAO также взламывает компьютеры для извлечения долгосрочных ключей. Таким образом, если вы поддерживаете VPN со сложным общим секретом для защиты данных, и АНБ посчитает их заслуживающими внимания, оно может попытаться выкрасть этот секрет. Такие операции предпринимаются только в отношении особо важных целей.


Итак, как же вам организовать безопасную связь при наличии такого противника? Сноуден дал ответ в своём интервью вскоре после обнародования своих первых документов: «Шифрование работает. Должным образом реализованные стойкие криптосистемы — одна из немногих вещей, на которую вы можете положиться».


Думаю, это правда, даже несмотря на сегодняшние откровения и провокационные намёки Джеймса Клэппера, директора национальной разведки, на «прорывные возможности криптоанализа», сделанные им в другом сверхсекретном документе. Все эти возможности заключаются в намеренном ослаблении криптографии.


Но последующая фраза Сноудена имеет не меньшую значимость: «К несчастью, оконечная безопасность столь ужасающе низка, что АНБ зачастую способно её обойти».


«Оконечная» — это программы, которые вы используете, компьютер, на котором вы их используете, и локальная сеть, в которой вы их используете. Если АНБ удастся модифицировать алгоритм шифрования или закинуть на ваш компьютер троян, никакая криптография на свете вам уже не поможет. Если вы хотите сохранить безопасность против АНБ, вам придётся пойти на всё, чтобы работе шифрования ничто не могло помешать.


Исходя из всего сказанного, у меня есть пять советов:


  1. Спрячьтесь в сети. Используйте скрытые сервисы. Используйте Tor, чтобы самому оставаться анонимным. Да, АНБ интересуют пользователи Tor, но это всё равно препятствие для его работы. Чем менее вы заметны, в тем большей вы безопасности.
  2. Шифруйте связь. Используйте TLS, используйте IPSec. Опять же, хотя АНБ целенаправленно перехватывает зашифрованные коммуникации (и, возможно, располагает специальными эксплойтами против названных протоколов), вы будете гораздо лучше защищены, чем при передаче данных открытым текстом.
  3. Исходите из того, что хотя ваш компьютер могут взломать, для АНБ это будет дополнительной работой и риском, так что, вероятно, он не взломан. Если имеете дело с чем-то действительно важным, используйте автономные не подключенные к сети системы. С тех пор, как я начал работать с документами Сноудена, я купил новый компьютер, который никогда не подключал к интернету. Когда мне нужно передать файл, я зашифровываю его на безопасном компьютере и отношу к своему сетевому компьютеру на флэшке. Чтобы расшифровать что-то, я действую в обратном порядке. Этот метод не безупречен, но достаточно хорош.
  4. Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков. Полагаю, что большинство криптографических продуктов от больших американских компаний имеют бэкдоры для АНБ и, скорее всего, множество зарубежных тоже. Будет разумным допустить, что иностранные продукты идут в комплекте с собственными иностранными бэкдорами. АНБ проще встроить закладки в закрытое ПО, нежели в ПО с открытым исходным кодом. Системы с общими секретами более уязвимы для АНБ, за счёт как законных, так и нелегальных методов.
  5. Старайтесь использовать стандартные методы шифрования, которые должны быть совместимы с другими реализациями. Например, АНБ труднее встроить бэкдор в TLS, нежели в BitLocker, поскольку реализация TLS у одного разработчика должна быть совместимой со всеми прочими реализациями TLS, тогда как BitLocker должен быть совместим лишь самим собой, что развязывает АНБ руки при внесении изменений. И поскольку BitLocker проприетарен, вероятность обнаружения в нём этих модификаций значительно ниже. Отдавайте предпочтение симметричному шифрованию над шифрованием с открытым ключом. Предпочитайте общепринятые системы на дискретных логарифмах перед системами на эллиптических кривых; последние содержат константы, проталкиваемые АНБ при малейшей возможности.

То время, что я работаю над документами Сноудена, я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и ещё несколько вещей, о которых мне бы не хотелось распространяться. В моей программе Password Safe есть недокументированная шифровальная функция, доступная из командной строки; её я тоже использую.


Я сознаю, что большинство перечисленного невозможно для простого интернет-пользователя. Даже я сам не использую все эти инструменты для всего, над чем я работаю. И я по-прежнему, к сожалению, использую в основном Windows. С Linux было бы безопасней.


АНБ превратило саму ткань интернета с гигантскую платформу для слежки, но всё же оно не владеет тайной магией. Оно ограничено рамками тех же экономических реалий, что и все мы, и наилучший для нас способ самозащиты — сделать слежку за нами настолько дорогой, насколько это возможно.


Доверяйте математике. Шифрование — ваш друг. Хорошо обращайтесь с ними и сделайте всё от вас зависящее, чтобы они не были скомпрометированы. Это поможет вам оставаться в безопасности даже перед лицом АНБ.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva

 
На страницу: 1, 2, 3, 4, 5, ... , 14, 15, 16, 17, 18 След.
Комментарии [скрыть комментарии/форму]
— Гость (09/09/2013 11:20)   <#>

В сети появились баяны.
— unknown (09/09/2013 11:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Есть ещё соизмерение рисков. Можно полагать, что даже само АНБ жертвует секретностью своей внутренней информации ради обеспечения скорости её обработки по сравнению с более консервативными конкурентами, сидящими на бумажных технологиях.

Скорость обработки информации позволит получить им преимущество над противником, даже в случае утечки части информации. В большей мере это работает и для бизнеса, поэтому роль секретов там снижается и всё больше популярность получает легковесная система обеспечения секретности. В области личной приватности или в критически важных областях, где действует самый дорогой в применении принцип "всё или ничего" и оценка рисков не работает, то тогда можно от всего отключиться и никому и ничему не доверять, вот только может всё равно не получиться. Много ли людей по принципиальным соображениям никогда не пользуются мобильником? Много ли может избежать всех ситуаций, в которых приходиться оставлять свои персональные данные? Если ответ в духе "только для неважных и безобидных данных, разговоров, только в незначительных случаях" — значит это уже компромисс и оценка рисков.
— unknown (09/09/2013 11:46)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Не знаю, есть ли такой параллизм и в классической криптографии,3 но припоминается, что Лювен (работы по анонимным сетям) находится в Европе, AES и SHA-3 родом оттуда же. Про географическое происхождение лучших атак на крипто не знаю (впрочем, BlackHat'ы и DefCon'ы вроде явно американские, но это прогерство, а не крипто).

Шнайер в своё время удивлялся, что лучшая школа по блочным шифрам была в США, а европейцы со своими исследованиями, которые привели к созданию AES, их обогнали. С SHA-3 история отчасти повторяется*, хотя значительная часть фундаментальной теории (ROM-неразличимость, PRP/PRF-безопасность и др.), на которой он был построен, имеет условно американское и израильское происхождение.

*Интересно, что большинство security индустрии ещё не въехало, что такое SHA-3/Keccak — в Tor-рассылке разрабы хотят в будущем свою замену OpenSSL с Salsa-шифром Бернштейна вместо AES, хотя было бы с нуля под их задачи проще переписывать всё на Keccak с соответствующим упрощением доказательств.
— Гость (09/09/2013 23:25)   <#>
В книге у Масленникова было упоминание, что блочные шифры DES и ГОСТ уродливы и громоздки. В сравнении с какими-то там другими шифрами нового поколения.
С вычислительными ресурсами нынче нет таких проблем, как это было в 70-ых. Однако, простота и изящность должны быть более просты в анализе.
— unknown (10/09/2013 11:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
У него был какой-то узкоспециализированный взгляд, вероятно желание сделать блочные шифры столь же простыми в реализации как и старые потоковые. А так, ГОСТ вполне себе легковесен и имеет простую структуру.
— Гость (10/09/2013 12:23)   <#>
Вроде бы как речь шла не о желании, а об уже готовых крипто-алгоритмах разработанных и обкатанных в советской криптографической школе. Якобы руководство побоялось рассекречивать эти наработки. Потому когда политика потребовала ответа на DES, то была дана команда изобрести специальную химеру – ГОСТ. Нечто специально очень отдаленное от того, что в действительности являлось основным направлением в советской криптографии.
Скоро уже 25 лет пройдет с тех пор, стандартное "поколение". Где бы найти какие именно алгоритмы имел в виду Масленников?
Может просто кто-нибудь уже связывался с ним по этому вопросу.
— Гость (10/09/2013 20:04)   <#>

Не очень. :)


Не слышал о таком, вот единственное упоминание. Странно очень звучит. Почему именно salsa, про которую никто не слышал и никто не анализировал? Может, AES и плох, но не до такой же степени если и заменять его на что-то, то на популярный и хорошо исследованный шифр.


Звучит как теория заговора. «У них были такие шифры... но они их никому не показали». Не спорю, советская математическая школа была достаточно сильной (поэтому можно что-то ожидать), но не до такой степени сильной, чтобы вертеть вокруг пальца весь остальной мир. Всё-таки всё мировое сообщество вместе взятое было намного сильнее, чем советская наука.
— unknown (10/09/2013 21:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
У DJB было много публикаций, его наработки по Salsa правда больше стали популярны в шифрпанковской среде. AES пока неплох, но DJB усиленно прорабатывал и рекламировал тему алгоритмической защиты от тайминг и других побочных атак, чему Salsa в большей степени и соответствует. Насчёт чисто криптографической стойкости я бы тоже поостерёгся: дизайн прозрачный, работы лаконичны, но мало серьёзного теоретического бэкграунда. Те же наработки по KeccaK прослеживают многолетнюю историю, понятно откуда там что взялось, уже довольно много публикаций по его анализу, в т.ч. и послеконкурсных. Tor-разработчики про тонкости Keccak не в курсе, как и большинство сообщества. Недаром создатели Keccak выступали с докладами не только на крипто, но и на конференциях разработчиков софта, чтобы донести основные идеи. Только похоже, даже когда НИСТ сначала утвердит SHA-3, мало кто будет в курсе про отличия и возможности KeccaK. Только по мере выхода дополнительных стандартов по режимам его использования в аутентификации, PRNG, шифровании и пр. возможно ожидать принятия и распространения.

По поводу Масленникова, мы обсуждали его книгу в форуме, касались и схожих тем: в мире тоже давно прорабатывается легковесная криптография (хэши, блочные шифры), но отношение к ней скептическое — это пока потенциальная ниша для очень ограниченных по ресурсам устройств (RFID-наклейи, датчики, смарт-карты). Что стоит за его утверждениями о монстроподобности если не DES, то даже ГОСТ — непонятно. Приведённый им шифр Ангстрем интересен на то момент, но ничего особенного сейчас он из себя не представляет (при неисследованной стойкости) на фоне остального открыто известного. Хэш Масленникова не прошёл первые этапы конкурса SHA-3, на фоне массы других инновационных и претенциозных наработок тоже ничем особо не выделился.
— Гость (10/09/2013 21:21)   <#>

У элиптических кривых от djb как с этим?
— unknown (10/09/2013 21:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Не могу дать компетентного ответа по этой области, т.к. мало в курсе публикаций по этому направлению.
— Гость (11/09/2013 02:32)   <#>

Люди будут знать, что «АНБ снова протащила что-то подозрительное в стандарт» (см. эту новость) и «это же американский хэш, т.е. от вражеской страны!».


... но у ФСБ даже на это есть оправдание. :)


Не то слово. :)
— Гость (11/09/2013 04:45)   <#>
Пожалуй пора начинать считать легковесной ту криптографию, которая сейчас обычная. И изобретать новые, АНБ стойкие шифры. Каскады, каскады и еще раз каскады, пусть будет сразу всё, и академический и шифрпанковский подход, что-нибудь из этого да сработает.
— Гость (11/09/2013 06:31)   <#>

Такой наивняк уже обсуждали. Unknown дал ответ: не сработает, почти точно, ничего из шифрпанковских уловок, будет лишь одна иллюзия защищённости. C каскадами тоже не всё так хорошо. Криптография — тонкая вещь, там подход "чем больше, тем лучше" не работает. В лучшем случае получится не хуже, в худшем — даже хуже, чем было.
— Гость (11/09/2013 07:04)   <#>
Ну а вдруг да сработает? Вот вы, можете поручиться своей жизнью что АНБ не умеет ломать академические шифры и при вашей жизни не научится? Когда цена ошибки очень велика, что вы выберете, доверять академикам или сильно перестраховаться? Каскад не может быть хуже чем самый сильных из составляющих его шифров, это самоочевидный факт который подтверждается и вашими ссылками.
— SATtva (11/09/2013 07:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну а вдруг да сработает?

Худшая ситуация в области безопасности — ситуация, которую вам больше прочего следует опасаться — это ощущение защищённости, когда в действительности вы не защищены. И, похоже, это именно то, чего АНБ старается добиться.

Представьте, что вы ведёте машину с неисправными тормозами. Если вам известно, что тормоза неисправны, вы можете постараться вести машину медленнее или даже вообще оставить её и пойти пешком. Но что смертельно опасно, так это если вы считаете, что способны остановить автомобиль, пока не нажмёте на педаль и не обнаружите, что этого не происходит. То же самое и с безопасностью: если вы не ожидаете, что ваши коммуникации защищены, то будете следить за тем, что говорите; но если вы ошибочно думаете, что находитесь в безопасности, ждите беды.

© Эд Фелтен. Можно добавить в цитатник.
На страницу: 1, 2, 3, 4, 5, ... , 14, 15, 16, 17, 18 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3