Главная - Брюс Шнайер Crypto-Gram - Crypto-Gram Newsletter от 15 сентября 2013
 



Документы

Crypto-Gram Newsletter от 15 сентября 2013

 Верните нам Интернет

Власти и корпорации предали нас и разрушили саму идею Интернета.

АНБ разрушает Интернет на всех уровнях, чтобы превратить его в огромную, многоуровневую и прочную платформу для слежения, подрывая тем самым основные положения общественного договора. Мы больше не можем доверять в вопросах этики Интернет-пространства компаниям, которые создают инфраструктуру Всемирной паутины и управляют ей, компаниям, которые производят и продают нам «железо» и «софт», или компаниям, которые хранят наши данные. 


 

Не такой Интернет нужен миру, не таким его задумывали создатели. Мы должны вернуть его обратно!

 И под словом «мы» я подразумеваю инженерное сообщество.

Да, это в основном политическая проблема, политический вопрос, требующий политического вмешательства. Но это также и инженерная проблема, и есть несколько вещей, которые инженеры могут и должны сделать.

Во-первых, нужно заниматься разоблачениями. Если у Вас нет допуска к секретным материалам и если Вы не получали Письма по вопросам национальной безопасности, то Вы не ограничены требованиями конфиденциальности со стороны федеральных властей или подпиской о неразглашении данных. Если к Вам обращались сотрудники АНБ с просьбой внести вредоносные изменения в продукт или протокол, Вы должны об этом рассказать. Ваши обязательства по отношению к работодателю не распространяются на незаконную или неэтичную деятельность. Если Вы работаете с конфиденциальными данными и по-настоящему смелы, то говорите о том, что знаете. Нам нужны информаторы.

Мы должны знать, как именно АНБ и другие государственные организации взламывают роутеры, коммутаторы, системообразующие Интернет-сети, технологии шифрования и «облачные» системы. У меня уже есть пять рассказов таких же людей, как и вы, но я только начал этим заниматься и хотел бы собрать 50 историй. Это будет рассказ о безопасности в цифрах, и такая форма гражданского неповиновения является нашим моральным долгом.

Во-вторых, мы можем проектировать. Мы должны придумать, как изменить Интернет, чтобы сделать невозможным этот негласный тотальный контроль. Нам нужно придумать новые технологии, чтобы посредники, обеспечивающие коммуникацию, не могли использовать частную информацию.

Мы можем сделать так, чтобы слежка снова стала дорогим удовольствием. В частности, нам нужны открытые протоколы, открытые реализации, открытые системы – то, что АНБ будет трудно взломать.

В начале ноября в Ванкувере должно пройти заседание Инженерного совета Интернета (Internet Engineering Task Force) – группы, определяющей стандарты, по которым работает Интернет. Оно будет посвящено обсуждению этой задачи. Это срочный вопрос, который требует срочного ответа.

В-третьих, мы можем влиять на власть. До настоящего момента я не хотел об этом говорить, и мне грустно признавать, что стала очевидной неспособность США управлять Интернетом, соблюдая этические нормы. У Великобритании в этом вопросе тоже нет особых успехов. Действия АНБ привели к тому, что злоупотребления в области Интернета со стороны руководства Китая, России, Ирана и других стран получили оправдание. Мы должны понять: нужны новые средства управления Интернетом, которые усложнят слежение для технологически развитых стран. Например, мы должны потребовать от наших властей и корпораций гласности, контроля и подотчетности.

К сожалению, это будет играть на руку тоталитарным правительствам, которые хотят еще больше контролировать Интернет в своих странах. И мы также должны понять, как это предотвратить. Мы должны избежать ошибок Международного союза электросвязи (International Telecommunications Union), который превратился в форум, оправдывающий неправомерное поведение государственных структур, и создать действительно международный орган по руководству Интернетом, который будет свободен от доминирования или злоупотреблений какой-либо страны.

Я надеюсь, что когда грядущие поколения будут оглядываться на эти первые десятилетия существования Интернета, они не испытают разочарования. Этого не произойдет, если каждый из нас серьезно задумается над проблемой. Это наш моральный долг, и нельзя терять ни минуты.

Разрушить систему сбора данных будет непросто. Какое правительство добровольно откажется от возможности вести массовое слежение за своими гражданами? Удалось ли избежать тоталитаризма хотя бы одной стране, осуществляющей такой негласный контроль? Как бы то ни было, нам нужно это сделать.

Еще раз подчеркну: политическая составляющая этой проблемы больше, чем техническая, но именно последняя особенно важна. Мы должны потребовать, чтобы при принятии любых важных государственных решений по этим вопросам привлекались настоящие инженеры. Мы уже устали от юристов и политиков, плохо разбирающихся в технологиях, нужно, чтобы в построении технологической политики участвовали технологи.

Инженерам я говорю следующее: мы создаем Интернет, а некоторые из нас помогли его разрушить. Теперь те из нас, кто любит свободу, должны это исправить.

Впервые статья была опубликована в "Guardian":
http://www.theguardian.com/commentisfree/2013/sep/...

Потребность в информаторах:
https://www.schneier.com/essay-429.html

Необходимость гласности, контроля и подотчетности:
https://www.schneier.com/essay-435.html

Заявление Сноудена о моральной стороне его действий:
http://wikileaks.org/...

Это идет вразрез с тем, о чем я написал, но я согласен:
http://continuations.com/post/60444129080/...

Опровержение этой статьи:
http://americanscience.blogspot.com/2013/09/...

 

Еще о том, как АНБ захватывает Интернет

Возможно, скоро появится подтверждение того, что руководство США завладело Интернетом и следит за всем миром, а пока история про то, что произошло с компанией Lavabit в этом месяце.

Lavabit - это почтовый сервис, точнее, уже не существующий почтовый сервис, который предлагал более эффективную защиту данных, чем обычные сервисы крупных Интернет-корпораций, которыми пользуется большинство из нас. Это была небольшая компания, принадлежавшая и управлявшаяся Ладаром Левинсоном, популярная среди технически продвинутых граждан. Среди полумиллиона ее пользователей был и информатор АНБ Эдвард Сноуден.

Как говорят, в прошлом месяце Левинсон получил требование (возможно, Письмо по проблемам национальной безопасности), предоставить АНБ доступ ко всем аккаунтам электронной почты Lavabit. Вместо того, чтобы стать «соучастником преступлений против американского народа», он отключил сервис. Не забывайте, что мы не знаем наверняка, что он получил именно Письмо по проблемам национальной безопасности (это предписание, выдаваемое в рамках Закона о борьбе с терроризмом, для которого не требуется подпись судьи; получателю запрещается говорить об этом документе и его предписаниях). Левинсон сказал, что ранее он выполнял требования предоставлять доступ к отдельным письмам, но это совсем другое.

На настоящий момент мы видим, что человек совершил очень сильный моральный поступок, несмотря на давление со стороны властей. Но самое страшное произошло позже: ему пригрозили арестом, аргументируя это тем, что закрытие почтового сервиса явилось нарушением предписания ордера.

Вот что получается. Например, у Вас есть бизнес, а ФБР или АНБ хотят превратить его в инструмент для массового слежения, при этом они абсолютно уверены в том, что могут это сделать. Они могут заставить Вас изменить Вашу систему. Они делают такие вещи тайно, а Вы тоже должны потом хранить это втайне, продолжая вести свой бизнес. Но если они это сделали, то Вы теряете контроль над какой-то частью своего бизнеса. Вы уже не сможете закрыть бизнес или закрыть часть Вашего сервиса. Это уже не Ваш бизнес в полном смысле слова. Это часть огромного аппарата слежения США, и если Ваши интересы идут вразрез с интересами спецслужб, то победят они, ведь Ваш бизнес уже захвачен.

Для большинства Интернет-компаний это не проблема. Они уже вовсю участвуют в массовом сборе информации о своих клиентах и пользователях (сбор и использование этих данных – это основная бизнес-модель Интернета), поэтому они с легкостью подчиняются требованиям властей и предоставляют АНБ полный доступ ко всем данным. Это стало известно благодаря Эдварду Сноудену. С помощью таких программ, как PRISM, BLARNEY и OAKSTAR, АНБ получило широкий доступ к таким сервисам, как Gmail и Facebook, базовым Интернет-сетям США и других стран. Но если у этих компаний возникнут проблемы, то, возможно, правительство не разрешит им закрыться.

Если честно, мы не знаем, может ли правительство на самом деле начать судебный процесс из-за закрытия бизнеса. Это может быть частью их тактики принуждения. Запугивание и репрессии – вот методы работы АНБ.

Предыдущий руководитель Qwest Джозеф Начио готов рассказать, что может произойти с большой компанией, которая отказывается сотрудничать. В феврале 2001 года, до терактов 11 сентября, АНБ обратилась к четырем главным телекоммуникационным компаниям США и попросило их поучаствовать в программе по секретному сбору данных (той крупной программе по сбору метаданных, о которой рассказал Эдвард Сноуден). Qwest была единственной телекоммуникационной компанией, которая отказалась сотрудничать с АНБ и заниматься шпионажем. Ответом АНБ стало расторжение нескольких крупных государственных контрактов с Qwest. После этого компания была куплена CenturyLink, которая, по нашим предположениям, более отзывчива к требованиям АНБ.

Это все происходило до появления Закона о борьбе с терроризмом и Писем по вопросам национальной безопасности. Вероятнее всего, сейчас Начио просто подчинился бы. Гораздо проще принуждать, прикрываясь законом.

Поскольку разоблачительные документы Сноудена продолжают появляться в прессе, мы все больше узнаем о системе негласного сбора данных, которую втайне продолжают разворачивать вокруг нас. Важной частью этой слежки является сговор властей и корпораций, поэтому власти прибегают к запугиванию. С закрытием каждого сервиса, подобного Lavabit, (что уже произошло с несколькими компаниями), нам, потребителям, остается меньше выбора и мы вынуждены прибегать к услугам крупных сервисов, сотрудничающих с АНБ. Нам давно пора потребовать от Конгресса упразднить Письма по вопросам национальной безопасности, гарантировать неприкосновенность наших личных данных в новой информационной эпохе и разработать механизм серьезного контроля этого агентства, которое творит все, что захочет.

Эта статья первоначально появилась в "USA Today":
http://www.usatoday.com/story/opinion/2013/08/27/...

Ссылка на Blog entry URL:
https://www.schneier.com/blog/archives/2013/08/...

АНБ захватывает Интернет:
https://www.schneier.com/essay-438.html

История о Lavabit:
http://www.usatoday.com/story/money/columnist/...
http://www.theguardian.com/technology/2013/aug/08/...
http://www.usatoday.com/story/money/columnist/...
http://www.slashgear.com/...
http://boingboing.net/2013/08/08/...
http://lavabit.com/
http://m.theatlantic.com/politics/archive/2013/08/...
http://rt.com/usa/...
http://investigations.nbcnews.com/_news/2013/08/13/...
http://arstechnica.com/tech-policy/2013/08/...

Закон о борьбе с терроризмом:
https://www.eff.org/issues/patriot-act

Давление властей на Интернет-компании:
http://news.cnet.com/8301-13578_3-57595202-38/...

История Джозефа Начио:
http://www.businessinsider.com/...
http://usatoday30.usatoday.com/news/washington/...
http://www.businessinsider.com/...
http://www.businessinsider.com/...
http://www.marketwatch.com/story/...

Система негласного сбора данных:
https://www.schneier.com/essay-418.html
https://www.schneier.com/essay-436.html

Другие компании закрываются из-за угроз со стороны АНБ:
http://www.usatoday.com/story/money/columnist/...

 

Задержание Дэвида Миранды

18 августа в лондонском аэропорту Хитроу во время пересадки с одного рейса на другой британские власти на 9 часов задержали Дэвида Миранду, основываясь на британском законе, который очень неопределенно устанавливает максимально допустимое время задержания без предъявления обвинения. Его задержали на том основании, что он является партнером Глена Гринвальда, журналиста «Guardian», которому Эдвард Сноуден отдал на хранение свои документы об АНБ, и который рассказал о наибольшем количестве злоупотреблений на основании этих документов. Меньше говорят о том, что, по моим ощущениям, является реальной причиной задержания Миранды: он вез документы, которые забрал у Гринвальда, чтобы передать их Лоре Пойтрас, режиссеру и журналистке, которая также публикует материалы Сноудена. Эти документы хранились на нескольких USB-флешках, которые он вез с собой. До этого он уже привез документы Гринвальда, который живет в Рио-де-Жанейро, и передал их Пойтрас в Берлине, а теперь возвращался обратно с другими документами. И тут его задержали.

Информация на флешках, конечно, была зашифрована, а ключ Миранда не знал. Это не остановило британские власти: они неоднократно требовали сообщить ключи, конфисковали носители информации и другие электронные устройства.

В Великобритании этот случай получил значительный резонанс. Закон о борьбе с терроризмом, действующий в этой стране, сам по себе достаточно противоречив, а этот случай откровенного злоупотребления (по идее закон дает властям право задерживать и допрашивать подозреваемых террористов) вызовет новые призывы для его пересмотра. Естественно, это должно отбить охоту у британских полицейских снова злоупотреблять этим законом.

Должен признаться, что эта история меня озадачила. Почему англичане так себя повели? Чего они пытались добиться, почему они считали, что стоило так поступить? И, конечно, интересно понять: британцы выполняли свой собственный Закон о государственной тайне или они действовали в интересах США? (Сначала я думал, что они действовали в интересах США, но после странной истории с участием Штаба правительственной связи Британии, который в прошлом месяце потребовал уничтожить компьютеры «Guardian», я уже ни в чем не уверен).

Мы знаем, что представители британских властей ждали Миранду. Логично предположить, что они знали о его передвижениях, и у них были серьезные основания подозревать, что он возил документы от Гринвальда к Пойтрас и обратно. Эти могли быть оригиналы документов, предоставленные Сноуденом, новые документы, над которыми они работали вместе или по отдельности, или и то, и другое. Из этого следует, что документы были не только на этих флешках. Пойтрас хранила копии всех документов, которые передавала Миранде, поэтому британские власти просто не смогли бы их полностью уничтожить. Самое большее, что они смогли бы сделать - это прочитать их.

Возможно ли, что АНБ до сих пор неизвестно, какие материалы есть у Сноудена? Представители агентства клянутся, что они ничего не знают, но после того, как имя Сноудена стало известно широкой общественности, АНБ наверняка провело все возможные проверки. Оно должно было попытаться узнать, к каким компьютерным системам у Сноудена был доступ, и соответственно, какие материалы он мог получить. Вероятно, в ходе проверок можно было узнать больше подробностей, например, какие документы он загрузил. Мне трудно поверить, что системы их внутренних аудитов так несовершенны, что им не удалось это установить.

Если АНБ знает, какие данные у Сноудена есть или могли бы быть, то благодаря флешкам оно смогло бы узнать, над чем Гринвальд и Пойтрас работают или планируют работать. Вероятно, они собираются опубликовать в следующую очередь то, над чем они работают вместе. Но неужели разведка провела эту операцию только для того, чтобы на несколько недель раньше узнать то, что и так будет опубликовано? Учитывая то, насколько небрежно АНБ относится к работе с прессой (поскольку все документы были опубликованы), как-то не верится, что оно просто хотело знать все заранее, чтобы подготовить свой ответ. Прошло уже два месяца с момента появления первых разоблачений Сноудена, а АНБ все еще не подготовило подходящую версию этих событий для прессы.

Более того, британские власти должны были предполагать, что данные будут зашифрованы. Может быть, Гринвальд и был дилетантом в криптографии, когда начинал работать со Сноуденом, но Пойтрас является известным специалистом по безопасности. Эта парочка общается по почте предельно осторожно, если они вообще это делают. Может быть, британские полицейские ждали, когда кто-нибудь из них совершит ошибку в соблюдении правил безопасности, или что Миранда повезет документы в бумажном виде?

Возможно также, что его хотели просто запугать. Если так, то такая тактика ошибочна. Любой, кто регулярно читает публикации Гринвальда, знает, что напугать его не так просто, он производил совершенно противоположное впечатление, а любой, кто следит за деятельностью Пойтрас, знает, что она занимает еще более непримиримую позицию. Следить за «любимыми» врагами общества – типично бандитская тактика, и в этом случае она не подходит. Документы Сноудена будут опубликованы. Даже если убить всех главных действующих лиц, уже ничего не скроешь.

Целью этих действий могло быть запугивание тех, кто помогает Гринвальду и Пойтрас, или руководства газеты «Guardian» и ее рекламодателей. Вот это может иметь некоторый эффект: запугивание Lavabit, Silent Circle, а теперь и Groklaw, увенчалось успехом. Это сработала и в отношении некоторых других компаний. Но недовольство общественности действиями разведсообщества постоянно растет. И я не думаю, что подобный случай может напугать будущих информаторов – уж если их не остановила история с Челси Меннингом, то им уже ничто не помешает.

Остается последнее возможное объяснение: власти разозлились и поступили импульсивно под воздействием этих эмоций. Они в ярости, и этим поступком хотят показать нам, что с ними шутки плохи, что нормальные правила вежливого поведения неприменимы к людям, которые «играют» против них. Наверное, такое объяснение произошедшего хуже всего. Разведывательные ведомства США и Британии обладают огромными средствами и властью, и они продемонстрировали, что готовы игнорировать свои собственные законы. Поскольку они уже начали бездумно пользоваться своими полномочиями, это может реально плохо отразиться на всех.

Для них это тоже не обернется ничем хорошим. Они так отчаянно хотят заполучить Сноудена, что готовы сделать все, что угодно, лишь бы добраться до него. Но каждый раз, когда под воздействием эмоций они ведут себя агрессивно (еще один пример: они убедили руководство Португалии и Франции задержать самолет президента Боливии, потому что думали, что в нем был Сноуден), они теряют часть морального авторитета в глазах мирового сообщества и возможность вести себя подобным образом снова. Чем сильнее они давят на Сноудена, тем больше вероятность, что он откажется от постепенного и достаточно ответственного обнародования документов, и опубликует их все сразу: так, как WikiLeaks телеграммы Госдепа США.

Как раз на этой неделе «Wall Street Journal» сообщила о новых секретных программах АНБ для слежки за американцами. Эта информация поступила из «разговоров с нынешними и бывшими сотрудников государственных органов и разведки, а также с сотрудниками корпораций, которые участвовали в создании систем, обеспечении их работы, а также предоставлении данных», а вовсе не от Сноудена! И это только начало. СМИ не запугать, и меня не запугать, но меня пугает то, что АНБ настолько слепо, что не видит этого.

Эта статья впервые была опубликована на TheAtlantic.com:
http://www.theatlantic.com/international/archive/...

Я размышлял об этом, и вполне возможно, что АНБ не знает, какими именно материалами располагает Сноуден. Он был сисадмином, у него был доступ к данным. Большинство проверок и контролей защищают систему от проникновения обычных пользователей, но человек, обладающий root-доступом, может обойти большинство из них. И у него были технические средства, чтобы спрятать следы своих посещений в тех случаях, когда ему не удавалось обходить проверки.

Поясню: я не говорю, что среди мотивов наших властей не было запугивания. Я уверен, что было, но оно было плохо продумано: они действовали не в русле продуманной стратегии, а в приступе ярости. Если им нужны были электронные устройства Миранды, они могли их просто конфисковать и отпустить его через пятнадцать минут. Задержание на девять часов, то есть на максимальное время, разрешенное законом, - это запугивание.

Я вспоминаю о телефонном звонке представителя британских властей руководству «Guardian». Вот его точный смысл: «Поиграли и хватит, отдавайте материалы обратно». Вы вполне можете сказать это своему ребенку, но очень плохо, когда такое говорят представители властей.

Задержание Миранды:
http://www.theguardian.com/world/2013/aug/18/...
http://www.theguardian.com/world/2013/aug/19/...

Реакция британских авторов:
http://cpj.org/2013/08/...
http://www.bbc.co.uk/news/world-latin-america-23750289
http://www.theguardian.com/politics/blog/2013/aug/...
http://cpj.org/2013/08/...

Реакция авторов из других стран:
http://www.theguardian.com/theobserver/2013/aug/24/...
http://www.theguardian.com/world/2013/aug/24/...

Операцией руководили США?:
http://www.bbc.co.uk/news/uk-23769324

История о том, как Штаб правительственной разведки уничтожает компьютеры «Guardian»:
http://www.wired.com/threatlevel/2013/08/...

Утверждение, что АНБ неизвестно, какими материалами располагает Сноуден:
http://investigations.nbcnews.com/_news/2013/08/20/...

Комментарий по поводу безопасности деятельности Гринвальда и Пойтрас:
http://www.nytimes.com/2013/08/18/magazine/...

Реакция Гринвальда:
http://www.theguardian.com/commentisfree/2013/aug/...

Что ужасного в аресте Миранды:
http://www.theguardian.com/commentisfree/2013/aug/...

Истории о Lavabit, Silent Circle и Groklaw:
https://www.schneier.com/blog/archives/2013/08/...
http://silentcircle.wordpress.com/2013/08/09/...
http://www.groklaw.net/article.php?...

Отправка сообщения:
http://www.theguardian.com/commentisfree/2013/aug/...

Задержание самолета президента Боливии:
http://edition.cnn.com/2013/07/02/world/americas/...

Сообщение от New Wall Street Journal:
http://online.wsj.com/article/...

Похожее мнение:
http://barryeisler.blogspot.com/2013/08/...

История с газетой «Guardian»:
http://www.theguardian.com/commentisfree/2013/aug/...

Статья Розен:
http://pressthink.org/2013/08/...

 

Государственные секреты и разные поколения

Для хранения Больших государственных секретов требуется много людей. По данным Службы директора национальной разведки с октября 2012 года почти 5 миллионов человек имели допуск к конфиденциальной информации, из которых 1,4 миллиона на доступ к информации с грифом «совершенно секретно» или выше.

Большинство из них не имеет доступа к такому большому объему информации, как Эдвард Сноуден, бывший сотрудник АНБ, ставший информатором, или даже Челси Меннинг, бывший служащий армии США, более известный как Бредли, и осужденный за передачу материалов WikiLeaks. Но к какой-то информации доступ есть у многих, и это может быть «ахиллесовой пятой» для государства. Для хранения секретов, как и для многих других вещей в жизни, нужно обладать таким свойством, как верность, а у представителей молодого поколения это качество встречается все реже. Если АНБ и другие органы разведки хотят сохранить себя в нынешнем виде, они должны придумать, как сократить количество секретов.

Писатель Чарльз Стросс говорит, что раньше хранение секретов было частью определенной культуры разведсообщества, когда человек всю жизнь работал «в системе». Обычно людей вербовали в начале их карьеры, и они работали в службах разведки до конца жизни. Это был закрытый клуб, где существовал свой тайный язык и свои правила.

Отчасти Вы можете это увидеть в документах, опубликованных мистером Сноуденом. В АНБ принята своя терминология: документы полны кодовых названий, есть свои внутренние конференции, награды и знаки отличия. Поступая на службу в разведку, человек вступал в новый мир, о существовании которого непосвященные даже не подозревали. Членство в этом закрытом клубе подразумевало взаимную верность сотрудников и организации.

Но это время прошло. Да, кодовые названия и тайные правила еще существуют, но такую преданность, какая была раньше, встретишь нечасто. На многих должностях в разведке люди работают по принципу аутсорсинга, и культура «вся жизнь в системе» больше не существует. Трудовые ресурсы теперь используются по ситуации, функции легко передаются, а сотрудники стали «одноразовыми».

Конечно, можно сделать карьеру, выполняя секретную работу по государственному контракту, но гарантий никаких нет. Молодое поколение выросло, зная об этом: никто больше не гарантирует работу. Они видят это на примере своих друзей и всех, кто их окружает.

Многие также верят в открытость, особенно хакеры, которых вербует АНБ. Они верят в то, что информация должна быть открытой, что в основе безопасности лежит общедоступность информации и свобода ее обсуждения. Но существуют важные причины, по которым некоторые данные разведки должны оставаться в секрете, и АНБ постоянно работает над повышением секретности. А люди привыкли к радикальной открытости. На протяжении долгих лет они писали о себе в Интернете все, что угодно. Они рассказывали об очень личных вещах в Твиттере и публиковали свои интимные фотографии на Facebook, их публично бросали любимые люди. Они так долго делились личной информацией и всячески себя компрометировали, что привыкли к этому. Но путем жестокого обмана людей убеждают в том, что сохранение государственных секретов важнее, чем право общества о них знать.

Стать информатором психологически трудно. Доверие близких людей – это большая нагрузка: ты должен оправдать их доверие, ты не можешь их подвести. Верность, преданность – это естественная черта человека, это один из социальных механизмов, благодаря которым мы выживаем в нашем сложном обществе. Но из-за него хорошие люди иногда совершают плохие поступки на работе.

Когда человек становится информатором, то он (или она) совершает осознанное предательство. По сути, он начинает считать, что верность обществу важнее, чем верность коллегам по работе. И в этом вся загвоздка. Они знают своих сослуживцев по именам, а «общество в широком смысле» представляется им чем-то аморфным и безличным. Но уверенность в том, что начальству на них наплевать, облегчает этот переход.

Информаторство – это гражданское неповиновение в информационную эпоху. Для малозначительного человека это способ заявить о себе. И в информационную эпоху, когда практически вся информация хранится в компьютерах, и доступ к ней можно получить, кликнув мышью или нажав кнопку, заниматься разоблачениями легче, чем когда-либо.

Мистеру Сноудену 30 лет, Меннингу – 25. Они относятся к поколению, которое приучили не ждать от работодателя никаких долгосрочных обязательств, поэтому работодатель не должен ждать никаких долгосрочных обязательств от них. Стать информатором все еще трудно, но этому поколению сделать этот шаг гораздо проще.

Немало было написано о проблеме чрезмерного количества государственных секретов в США. Долгое время считалось, что это антидемократично, что это мешает контролировать государственные органы. Теперь мы знаем, что это еще и угрожает безопасности. Таким организациям, как АНБ, нужно изменить политику секретности и сконцентрировать усилия на обеспечении секретности тех вещей, которые действительно нужно сохранить в секрете. Их привычная практика засекречивать абсолютно всё изжила себя.

Привет, АНБ, у вас проблема!

Эта статья впервые была опубликована в «Financial Times»:
http://www.ft.com/cms/s/0/...

Допуск к секретной информации:
http://www.dni.gov/files/documents/...

Статья Чарльза Стросса:
http://www.antipope.org/charlie/blog-static/2013/08/...

Хорошие люди делают плохие вещи:
http://papers.ssrn.com/sol3/papers.cfm?...

Информаторство как гражданское неповиновение:
http://www.zephoria.org/thoughts/archives/2013/07/...

Комментарии к этой статье в блоге особенно интересны:
https://www.schneier.com/blog/archives/2013/09/...

 

Теории заговора и АНБ

Недавно мне на глаза попались две статьи, в которых речь шла о возможности шпионажа АНБ за членами Конгресса и другими избираемыми чиновниками, и о его реализации. В них присутствовали все признаки теории заговора. Я не знаю, правдивы эти истории или нет, но они хорошо иллюстрируют ситуацию утраты доверия к большинству общественных институтов.

АНБ регулярно обманывало нас, говоря о масштабе своих шпионских программ. Директор национальной разведки Джеймс Р. Клеппер врал об этом Конгрессу. Сверхсекретные документы, предоставленные Эдвардом Сноуденом и опубликованные «Guardian» и другими газетами, снова и снова подтверждают, что благодаря системам негласного сбора данных АНБ отслеживает все каналы коммуникаций жителей Америки. Министерство экономики использовало информацию, полученную из этих источников, чтобы задержать торговцев наркотиками, а потом соврало об этом в суде. Налоговое управление использовало эту информацию для обнаружения налоговых мошенничеств, а потом тоже врало об этом. Эти данные использовались даже для задержания нарушителей авторских прав. И каждый раз, когда появляются заявления, компрометирующие АНБ, они оказываются верными, даже если вначале кажутся несколько странными.

Репортер «Guardian» Глен Гринвальд правильно поступил, выдав всю информацию сразу. Все указывает на то, что руководству АНБ неизвестно, какие именно файлы скопировал Сноуден. Трудно убедительно врать, когда не знаешь точно, что известно сопернику.

Все эти случаи отпирательства и лжи привели к тому, что мы уже не верим никаким заявлениям АНБ, никаким словам президента об АНБ, никаким рассказам представителей компаний об их сотрудничестве с АНБ. Мы знаем, что секретность порождает коррупцию, и мы видим, как она возникает. Доверия просто больше нет, и реальная проблема заключается в том, что мы никак не можем проверить то, что говорят эти люди.

Это отличная среда для возникновения теорий заговора: мы никому не доверяем, предполагаем худшее, и у нас нет никакой возможности проверить факты. Вспомните версии покушения на Кеннеди, подумайте о заговоре 11 сентября, об НЛО. Все, что мы знаем, - это то, что АНБ «возможно» шпионит за выбранными чиновниками. Эдвард Сноуден говорил, что он мог шпионить за кем угодно в США в реальном времени со своего рабочего места. Его замечание недооценили, но оказалось, что он был прав.

В ближайшее время изменений к лучшему не будет. Гринвальд и другие журналисты по-прежнему изучают документы Сноудена и публикации о том, как АНБ обманывает, нарушает законы, злоупотребляет полномочиями и вторгается в частную жизнь, будут появляться и в следующем году. «Независимое» расследование истории о программах слежения, которое Обама пообещал провести, не поможет: люди, которые будут его проводить, не смогут узнать и рассказать народу обо всем, что творится в АНБ.

Пора начать наводить порядок. Нужен специальный комиссар, независимый от военных, от корпораций, замешанных в этих программах, или от действующего политического лидера, будь он демократом или республиканцем. Он должен получить доступ ко всем архивам АНБ, чтобы понять, как далеко зашло агентство, а также иметь в своем распоряжении технических специалистов, способных разобраться в этих материалах. Ему нужны полномочия, чтобы вызывать в суд госчиновников и выслушивать их показания. Он должен иметь возможность предъявлять обвинения в преступлениях, когда это необходимо. И, конечно, ему нужен доступ к секретным материалам, чтобы выполнить всю эту работу.

Еще нам нужно что-то наподобие «Комиссии по выяснению истины и примирению», как в ЮАР, в которую могут обращаться государственные служащие и сотрудники частных компаний, чтобы рассказывать о прослушивании АНБ, не опасаясь репрессий.

Да, это разрушит парадигму секретности всей деятельности АНБ, но Сноуден и репортеры, которым он предоставил документы, уже это сделали. Секреты могут всплыть наружу, и журналисты, осуществляющие разоблачения, АНБ сочувствовать не будут. Если бы руководители этой организации были умнее, они бы поняли, что лучшее, что можно сделать - опередить «утечки» информации.

Общественность должна получить отчет о злоупотреблениях АНБ. Он должен быть достаточно подробным для того, чтобы общественные наблюдательные группы убедились в том, что секретов не осталось. Только после этого страна может заняться наведением порядка: закрывать программы, реформировать законодательство о надзоре за иностранными разведками и реформировать закон о негласном сборе данных, чтобы мы были абсолютно уверены в том, что даже АНБ не может следить за американцами без ордера.

Появляются сравнения между сегодняшним АНБ и ФБР 1950-х и 1960-х годов, а также между директором АНБ Кейтом Александером и Джоном Эдгаром Гувером. Никому не удавалось как-то повлиять на Гувера из ФБР, перемены наступили только тогда, когда он умер. Не думаю, что нам так же повезет с АНБ. Хотя Александер и обладает огромным личным влиянием, большая часть этого влияния принадлежит организации, которой он руководит. Он покинет свой пост, а организация останется.

Доверие является одним из необходимых условий существования общества. Без него сразу возникают теории заговора. Еще хуже то, что без доверия мы потерпим неудачу как страна и как культура. Пора восстановить идеалы демократии: правительство работает ради людей; открытое правительство – это лучший способ защитить себя от злоупотреблений со стороны властей, а информация, которую правительство хранит в тайне от своего народа, - это редкое исключение, а не норма.

Статья впервые была опубликована на TheAtlantic.com:
http://www.theatlantic.com/politics/archive/2013/09/...

Предположения, что АНБ шпионит за Конгрессом:
http://news.firedoglake.com/2013/08/28/...
http://www.nsfwcorp.com/scribble/5695/...

Когда доверие не оправдывает ожидания:
https://www.schneier.com/essay-435.html

Директор Национальной разведки врет:
http://www.eff.org/deeplinks/2013/06/...

Данные АНБ используются для других целей:
http://www.reuters.com/article/2013/08/05/...
http://www.itnews.com.au/News/...

АНБ не знает, что есть у Сноудена:
http://www.cbsnews.com/8301-201_162-57600000/...

Обман Обамы:
http://www.washingtonpost.com/blogs/the-switch/wp/...
http://reason.com/blog/2013/08/27/...

Компании лгут:
https://www.eff.org/nsa-spying/wordgames

Как Сноуден мог шпионить за любым со своего рабочего места:
http://www.theguardian.com/world/2013/jul/31/...

Сравнение Александера с Джоном Эдгаром Гувером:
http://www.forbes.com/sites/jennifergranick/2013/08/...

Необходимость доверия:
http://www.schneier.com/essay-412.html

 

Криптографические возможности АНБ

Последний документ Сноудена посвящен «секретному бюджету» разведки США. На нескольких страницах, которые газета «Washington Post» решила опубликовать, содержится много информации, включая вступление Джеймса Клеппера, Директора национальной разведки. В своем вступлении он сделал намек: «Мы также инвестируем в новаторские криптографические решения, чтобы противостоять криптографии соперников и использовать Интернет-трафик».

Честно говоря, я скептически к этому отношусь. Как бы АНБ ни старалось все засекретить, самой безопасной частью любой криптографической системы остается математический аппарат. Меня гораздо больше беспокоят плохо спроектированные криптографические продукты, ошибки в ПО, ненадежные пароли, компании, сотрудничающие с АНБ и «сливающие» ему ключи частично или полностью, небезопасные компьютеры и сети. Именно здесь кроются по-настоящему уязвимые места, на которые и направлена большая часть усилийАНБ.

Эти слухи доходят до нас не впервые. Джеймс Бемфорд, который давно пишет об АНБ, в статье, опубликованной в прошлом месяце журналом «WIRED», рассказывает: «По словам одного высокопоставленного чиновника, участвующего в программе, несколько лет назад АНБ сделало огромный прорыв в осуществлении криптоанализа или выведении из строя сложных криптографических систем, которые используются не только государственными учреждениями разных стран мира, но и множеством обычных пользователей в США».

У нас нет дополнительной информации от Клеппера, Сноудена или от этого источника Бемфорда, но мы можем догадаться сами.

Возможно, у АНБ есть новые математические инструменты, которые могут разрушить один или несколько распространенных криптографических алгоритмов: AES, Twofish, Serpent, тройной-DES, Serpent. Такое уже было. В 1970-х годах АНБ располагало криптографической технологией, которая называлась «дифференциальный криптоанализ» и была неизвестна среди ученых. С ее помощью удалось вывести из строя множество академических и коммерческих алгоритмов, которые до этого считались безопасными. Но те специалисты, которые хорошо учились в начале 1990-х годов, теперь создают алгоритмы, устойчивые к этой технологии.

Вполне вероятно, что АНБ имеет в своем распоряжении более современные технические средства, еще не известные ученым. Даже в таком случае вряд ли с их помощью можно провести реальную атаку, которая разрушит настоящий зашифрованный чистый текст .

Простой способ взломать алгоритм шифрования – это получить ключ методом «грубой силы». Сложность такой атаки 2**n, где n – длина ключа. Все криптоаналитические атаки можно рассматривать как методы требующие меньших затрат относительно указанного. И поскольку эффективность атаки методом «грубой силы» - это прямая функция длины ключа, эти атаки эффективно укорачивают ключ. Поэтому если, например, лучшая атака на DES имеет коэффициент сложности 2**39, то это фактически укорачивает 56-битный ключ DES на 17 бит.

(Кстати, это действительно хорошая атака.)

На данный момент верхний реальный предел метода «грубой силы» лежит немного ниже 80 бит. Однако использование этого в качестве руководства показывает нам, насколько хороша должна быть атака, чтобы разрушить любой современный алгоритм. В наши дни алгоритмы шифрования содержат как минимум 128-битные ключи. Это означает, что любой криптоаналитический прорыв должен уменьшать эффективную длину ключа по меньшей мере на 48 бит, чтобы быть практичным.

Это еще не все. Той DES-атаке необходимо 70 терабайтов известного открытого текста (которых в практической жизни неоткуда взять), зашифрованного ключом, который мы пытаемся взломать. Для других математических атак требуется примерно такое же количество данных. Чтобы эффективно дешифровывать реальный операционный трафик АНБ нужна атака, которая может быть осуществлена с помощью известного открытого текста, содержащегося в обычном заголовке файла Microsoft Word, что намного меньше 70 терабайт.

Поэтому, хотя у АНБ есть методы анализа симметричных криптоалгоритмов, которые неизвестны в нашей академической среде, использование их АНБ для реальных атак на данные, с которыми они имеют дело, кажется фантастически невозможным.

Более вероятно, что у АНБ есть какое-то математическое решение, которое может воздействовать на один или несколько алгоритмов с открытым ключом. Существует много математических приемов, используемых в криптоанализе алгоритмов с открытым ключом, и абсолютно никакой теории, которая устанавливает границы того, насколько эффективными могут быть эти приемы.

Открытия в области задачи факторизации за последние несколько десятилетий происходили регулярно, позволяя нам взламывать всё более длинные открытые ключи. Большая часть криптографии с открытым ключом, которой мы пользуемся сейчас, базируется на эллиптических кривых, аппарат который более чем созрел для математических открытий. Не будет сильным преувеличением предполагать, что у АНБ могут быть приемы в этой области, которых нет у нас в академической среде. Несомненно, тот факт, что АНБ продвигает криптографию с эллиптически кривыми, является показателем того, что ей проще их взламывать.

Если мы думаем, что дело обстоит так, то выход прост: увеличить длину ключа.

Предполагая, что гипотетические прорывы АНБ полностью не разрушают криптографию с открытым ключом (и это очень логичное предположение), довольно просто обойти АНБ на несколько шагов, используя всё более длинные ключи. Мы уже пытаемся вывести из обращения 1024-битные RSA ключи, заменив их на 2048-битные. Возможно, мы должны шагнуть еще дальше и подумать о 3072-битных ключах. А, может, мы должны стать еще большими параноиками по поводу аппарата эллиптических кривых и использовать ключи длиннее 500 бит.

Последняя фантастическая возможность – квантовый компьютер. Квантовые компьютеры все еще выглядят игрушками для ученых, но теоретически они могут быстро взламывать используемые алгоритмы шифрования с открытым ключом, независимо от длины ключа, и эффективно уменьшать вдвое длину ключа любого симметричного алгоритма. Я думаю, что едва ли АНБ построило квантовый компьютер, который обладает вычислительными возможностями необходимый для этого, но это возможно. Защита проста - хоть это и досадно придерживайтесь симметричной криптографии, основанной на совместно используемом секретном ключе, и используйте 256-битные ключи.

В АНБ ходит поговорка: «Криптоанализ становится только лучше, а не хуже». Наивно предполагать, что к 2013 году мы открыли все возможные математические методы, используемые в криптографии. Многие из них разрабатываются сейчас, и эта работа будет продолжаться веками.

АНБ занимает очень выгодное положение: оно может свободно использовать как любые открытия и достижения, сделанные в академической среде, так и свои тайные разработки.

АНБ работает над решением этих задач постоянно. По некоторым данным существует тайный бюджет: на Консолидированную криптографическую программу Министерства обороны, в которой постоянно задействованы 35 тыс. человек, ежегодно выделяется11 миллиардов долларов. Из этой суммы 4%, то есть 440 миллионов долларов тратятся на исследования.

Это огромные деньги, возможно на нашей планете никто не тратит на криптографические исследования такие суммы. Я уверен, что появится много интересных, и, возможно, революционных открытий в области криптоанализа, возможно, какие-то из них найдут применение и на практике.

Тем не менее, я верю в силу математики.

Эта статья впервые была опубликована на Wired.com до того, как появилась новость о взломе хакерских криптографических систем АНБ:
http://www.wired.com/opinion/2013/09/...

«Секретный бюджет» разведки:
http://www.washingtonpost.com/world/...

Размышление о криптоаналатических возможностях АНБ:
http://www.wired.com/threatlevel/2013/08/black-budget/

Статья Бемфорда:
http://www.wired.com/threatlevel/2012/03/...

DES-атака:
http://crypto.junod.info/sac01.html

АНБ продвигает эллиптические кривые:
http://www.nsa.gov/business/programs/...

«Экономист» придерживается того же мнения:
http://www.economist.com/blogs/babbage/2013/09/...

 

Как защититься от АНБ

Теперь, когда у нас достаточно сведений о том, как АНБ следит в Интернете, включая недавние разоблачения о том, что оно намеренно ослабляет криптографические системы, мы можем, наконец, задуматься о том, как себя защитить.

В течение последних двух недель я изучал материалы об АНБ вместе с сотрудниками «Guardian» и перечитал сотни сверхсекретных документов этой организации, предоставленных информатором Эдвардом Сноуденом. Я не имею отношения к сегодняшней истории, которая началась до моего появления, но все, что я прочитал, подтверждает то, о чем «Guardian» пишет на своих страницах.

На данный момент я чувствую, что могу кое-что посоветовать, чтобы защитить себя от этого противника.

Первый способ, с помощью которого АНБ ведет слежение за Интернет-коммуникациями, - это социальные сети. Здесь для них открываются самые большие возможности. Они инвестировали огромные средства в программы по автоматическому сбору и анализу данных из сетей. Прямое проникновение в компьютеры конечных пользователей - это очень дорого и рискованно, поэтому они будут делать это осторожно и обдуманно.

Заключая тайные соглашения с телекоммуникационными компаниями США, Великобритании и других «партнеров» по всему миру, АНБ получает доступ к кабелям, по которым идет Интернет-трафик. Когда у него нет возможности воспользоваться такой дружеской помощью, оно тайно внедряется в каналы коммуникации, подключается к подводным кабелям, перехватывает данные со спутников и т.д.

Это огромный объем информации, но АНБ обладает такими же огромными возможностями, чтобы быстро анализировать эти данные в поисках интересного содержания. «Интересными» могут быть разные аспекты информации: ее источник, назначение, содержание, вовлеченные люди и т.д. Эти данные поступают в огромные системы АНБ для дальнейшего анализа.

Но в гораздо большем объеме АНБ собирает метаданные об Интернет-трафике: кто с кем общается, когда, как долго и по какому каналу коммуникации. Метаданные гораздо легче хранить и анализировать, чем контент. Это позволяет получить очень личную информацию о человеке, которая будет представлять очень большой интерес для разведки.

За сбор данных отвечает Системное разведывательное управление (Systems Intelligence Directorate), а количество задействованных ресурсов просто ошеломляет. Один за другим я читал отчеты о состоянии этих программ, в которых обсуждаются возможности, детали операций, запланированные обновления и т.д. Каждую конкретную проблему (получение сигналов через оптоволокно, хранение терабайтных потоков информации, фильтрация интересующих составляющих этой информации) решает отдельная специальная группа. Глубина охвата их работы всеобъемлюща.

АНБ также напрямую атакует сетевые устройства – роутеры, переключатели, файерволы и т.д. В большинство этих устройств уже встроены приборы слежения, самое сложное заключается в том, чтобы их тайно включить. Это наиболее эффективный способ атаки; роутеры меняют не так часто, на них, как правило, не устанавливают защитное ПО, и их не рассматривают в качестве уязвимого места.

АНБ тратит значительные ресурсы, чтобы атаковать компьютеры конечных пользователей силами «Управления специализированного доступа» (ТАО). У ТАО есть набор эксплойтов, которые оно может использовать для проникновения в Ваш компьютер (неважно, используете Вы Windows, Mac OS, Linux, iOS или другую систему), и множество видов вредоносного ПО, которое устанавливается на Ваш компьютер. Ваш антивирус их не обнаружит, и Вам самим будет непросто его найти, даже если Вы будете знать, где искать. Эти хакерские способы придумали хакеры, располагающие неограниченным бюджетом. Прочитав документы Сноудена, я понял, что если АНБ захочет проникнуть в Ваш компьютер, оно это сделает. И точка.

АНБ может прочитать любые зашифрованные данные, которые попадают в его распоряжение, при этом оно чаще взламывает криптографическую защиту, чем использует тайные математические разработки. Во-первых, существует много плохой криптографии. Если АНБ находит Интернет-соединение, защищенное, например, MS-CHAP, то взломать и получить ключ несложно. Оно использует ненадежные пароли пользователей с помощью подбора слов, которые люди используют в обычной жизни.

Только сейчас стало известно, что АНБ также сотрудничает с поставщиками программ, обеспечивающих безопасность: таким образом, оно имеет гарантию того, что коммерческие программы для шифрования можно взломать тайным способом, известным только ему. Мы знаем, что такое было и раньше: CryptoAG и Lotus Notes – это самые известные примеры, доказывающие наличия бекдора в Windows. Несколько человек рассказали мне о своем недавнем опыте такого рода, и я собираюсь скоро об этом написать. Как правило, АНБ просит внести в программы незаметные изменения: сделать генерацию случайных чисел менее случайной, опубликовать ключи, добавив обычный порядок чисел в протокол обмена открытых ключей и т.д. Если кто-то обнаружит этот бекдор, то это можно будет расценить как недоработку. Как мы теперь знаем, АНБ успешно использовало этот метод.

ТАО также проникает в компьютеры и получает ключи для долговременного пользования. Поэтому, если Вы используете VPN, использующий сложный симметричный секретный ключ для защиты Ваших данных, а АНБ решит, что он им нужен, они украдут этот секрет. Но это делается только в особо важных случаях.

Как же можно сохранить свое общение в тайне перед лицом такого противника? Во время онлайн-конференции, которая состоялась вскоре после того, как был обнародован первый документ, Сноуден сказал следующее: «Шифрование работает. Правильно установленные сильные криптосистемы – это одна из немногих вещей, на которые Вы можете полагаться».

Я верю в это, несмотря на сегодняшние разоблачения и провоцирующие высказывания об «инновационных криптоаналитических возможностях», сделанных Джеймсом Клеппером, директором национальной разведки, в еще одном сверхсекретном документе. Эти возможности подразумевают искусственное ослабление криптографической защиты.

Следующее утверждение Сноудена также важно: «К сожалению, безопасность конечного пользователя настолько слабо обеспечена, что АНБ почти всегда может найти способ, как ее обойти».

«Конечный пользователь» - это компьютер, на который Вы устанавливаете ПО, и локальная сеть, к которой подключен ваш компьютер. Если АНБ может изменить алгоритм шифрования или заразить Ваш компьютер «трояном», то тогда вся криптография мира не значит больше ничего. Если Вы хотите обезопасить себя от АНБ, Вы должны сделать все, чтобы гарантировать надежную работу шифрования.

Подводя итог, я могу дать пять советов:

1) Спрячьтесь в сети. Установите скрытые сервисы. Используйте Tor для обеспечения анонимности. Да, АНБ пытается атаковать пользователей Tor, но он пока эффективен. Чем труднее Вас заметить, тем выше уровень Вашей безопасности.

2) Зашифровывайте свое общение. Используйте TLS. Используйте IPsec. Опять же, АНБ пытается взламывать шифры, оно может располагать хорошими эксплойтами против этих протоколов, но все равно Вы будете защищены намного лучше, чем в случае открытого общения.

3) Исходите из того, что пока Ваш компьютер может быть подвергнут опасности, он подвержен рискам исходящим от АНБ, чего быть не должно. Если у Вас есть действительно важные данные, используйте «воздушных зазор» (air gap). Для работы с документами Сноудена я купил новый компьютер, который никогда не подключался к Интернету. Если я хочу передать файл, я зашифровываю файл на безопасном компьютере и переношу его на флешке в компьютер, подключенный к Интернету. Чтобы расшифровать что-то, я делаю все наоборот. Этот способ нельзя назвать абсолютно надежным, но он достаточно эффективен.

4) С недоверием относитесь к коммерческому ПО для шифрования, особенно от крупных разработчиков. Я думаю, что большинство программ для шифрования, созданных крупными американскими компаниями, содержат бекдоры для АНБ, также как, наверное, и ПО иностранных производителей. Вполне возможно, что зарубежные программные продукты содержат бекдоры, установленные по заказу зарубежных спецслужб. АНБ легче установить бэкдор в ПО с закрытым кодом, чем в ПО с открытым кодом. Системы, в основе которых лежат мастер-секреты (master secrets), АНБ может атаковать с помощью легальных или каких-то более секретных средств.

5) Постарайтесь использовать общедоступные средства шифрования, которые должны быть совместимы с другими разработками. Например, АНБ труднее внедрить бэкдор в TLS, чем в BitLocker, потому что TLS одного производителя должно быть совместимо с TLS любого другого производителя, а BitLocker должен быть совместим только сам с собой, что дает АНБ больше возможностей для внедрения. И поскольку BitLocker является запатентованным средством, меньше вероятности, что следы такого внедрения будут обнаружены. Выбирайте симметричную криптографию вместо криптографии с открытым ключом. Выбирайте обычные системы, основанные на аппарате дискретного логарифмирования, вместо систем с эллиптическими кривыми; у последних есть константы, на которые АНБ может повлиять.

Для работы с документами Сноудена я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и другие средства, о которых писать не буду. В моей программы Password Safe есть шифровальная фишка, не описанная в документации, ей я также пользуюсь.

Я понимаю, что большая часть обычных пользователей Интернет всем этим пользоваться не будет. Даже я не использую все эти средства при выполнении основной части работы. И, к сожалению, я в основном все еще пользуюсь Windows. Хотя Linux безопаснее.

Людям АНБ удалось превратить Интернет в огромную платформу для слежения, но они тоже не волшебники. Они существуют в тех же экономических реалиях, что и мы все, и лучшая защита – сделать слежение за нами настолько дорогим, насколько это возможно.

Доверяйте математике. Шифрование – Ваш друг. Пользуйтесь им правильно и сделайте все, чтобы обеспечить безопасность. Таким образом, Вы сможете защитить себя от слежки АНБ.

Эта статья изначально была опубликована в «Guardian»:
http://www.theguardian.com/world/2013/sep/05/...

Ссылки на статьи об АНБ:
http://www.theguardian.com/world/2013/sep/05/...
http://online.wsj.com/article/...
http://www.theguardian.com/business/2013/aug/02/...
http://www.washingtonpost.com/business/technology/...
http://www.theguardian.com/world/2013/jul/31/...
http://www.theguardian.com/world/2013/jun/27/...
http://www.wired.com/threatlevel/2013/09/...
http://www.foreignpolicy.com/articles/2013/06/10/...
http://www.informationweek.com/security/government/...

Другие бекдоры АНБ:
http://www.schneier.com/blog/archives/2008/01/...
http://www.heise.de/tp/artikel/2/2898/1.html
http://www.heise.de/tp/artikel/5/5263/1.html

Интервью со Сноуденом:
http://www.theguardian.com/world/2013/jun/17/...

Комментарии Клеппера:
http://www.wired.com/threatlevel/2013/08/black-budget/

Средства слежения, встроенные в роутеры:
https://www.rfc-editor.org/rfc/rfc3924.txt

Мои средства:
http://www.gnupg.org/
https://silentcircle.com/
https://tails.boum.org/
http://www.cypherpunks.ca/otr/
http://www.truecrypt.org/
http://bleachbit.sourceforge.net/
https://www.schneier.com/passsafe.html

 

Как защититься от разоблачителей

С тех пор, как в мае этого года Эдвард Сноуден покинул здание АНБ, забрав электронные копии тысяч засекреченных документов, мы сконцентрировались на поиске ошибок в системе государственной безопасности. Однако этот провал поднимает вопрос доверия к сотрудникам в любой организации.

Проблема простая. Организациям нужны сотрудники, которым можно доверить секреты, но нельзя знать наверняка, насколько надежны эти люди. Без сотрудников обойтись нельзя, но они могут предавать своих работодателей.

Так как же организация может защитить себя?

Для защиты от предательства доверенных лиц нужно выполнять три базовых принципа (которые я описываю в своей книге «По ту сторону страха» (Beyond Fear). Первый – это изоляция участков работы. Доверие не должно быть абсолютным; ключевым сотрудникам нужно предоставлять доступ только к той информации, которая им нужна для выполнения конкретных задач. В армии люди, обладающие допуском к секретным материалам, знают только то, что они «должны знать». Такую же стратегию нужно использовать в компаниях.

Не надо упрощать, считая, что более старым сотрудникам можно доверять больше. Например, только уполномоченные инкассаторы должны иметь право открывать банкоматы и класть туда деньги; даже президент банка не может это делать. Подумайте о сотруднике, являющимся «доверенным лицом», к каким ресурсам и функциям у него есть доступ. В интересах организации максимально сузить эту сферу.

Идея заключается в том, что если кто-то оказывается предателем, то он может причинить много вреда. На этом АНБ и прокололось со Сноуденом. Как системному администратору ему нужно было иметь доступ к компьютерным сетям агентства, и ему нужно было иметь доступ ко всем данным, которые были в этих машинах. Это позволило ему скопировать документы, в доступе к которым у него не было необходимости.

Второй принцип обеспечения защиты от предательства доверенных лиц – всесторонняя защищенность: нужно сделать так, чтобы один человек не смог разрушить систему в целом. Генеральный директор АНБ Кейт Александер заявил, что он использовал этот принцип в своем агентстве, установив контроль двумя лицами: задачи системных администраторов сверхсекретных компьютеров всегда выполняют два человека.

Принцип всесторонней защищенности снижает риск того, что один человек может раскрыть защищенную информацию и скомпрометировать целую организацию. Если бы этот принцип работал, то руководитель Сноудена вовремя получал бы информацию о скачивании файлов, и тот не успел бы улететь в Гонконг.

Последний принцип – это постараться сделать так, чтобы доверенные лица были на самом деле надежными. АНБ делает это с помощью процедуры проверок, проводя на высоком уровне среди прочего тесты на детекторе лжи (хотя они и не очень эффективны), а также подробно изучая прошлое соискателей. Многие организации при найме новых сотрудников собирают рекомендации, проверяют кредитоспособность и тестируют их на наркотики. Компании могут отказать людям с криминальным прошлым или лицам без гражданства; они могут принимать на работу людей только с определенным образованием или членов конкретной профессиональной организации. Некоторые из этих мер не очень эффективны (понятно, что, например, биография человека вряд ли чем-то поможет), но общая идея проверок, подтверждения сведений и тестирования кандидатов увеличит шанс найти тех, кому можно доверять.

Эти меры затратны. Проверка одного человека для приема на работу с самым высоким уровнем секретности стоит казне США порядка 4000 долларов. Проверки биографии и другие виды отбора компаниям тоже обходятся недешево, сильно удлиняют процедуру приема на работу. Ограничение доступа сотрудников только к той информации, которая им нужна для работы, может нанести вред динамично развивающимся компаниям, где задачи меняются постоянно. Меры безопасности стоят дорого, а двойной контроль еще дороже – затраты на персонал могут вырасти вдвое. Мы всегда стремимся найти компромисс между безопасностью и рентабельностью.

Лучше всего сократить количество доверенных лиц в организации. Александер уже делает это в АНБ, хотя и с опозданием, пытаясь сократить 90% системных администраторов. Это только крошечная часть проблемы, в государственных учреждениях США работает 4 миллиона людей, включая контрактников, которые имеют доступ к секретной и сверхсекретной информации. Это очень и очень много.

Удивительно не столько то, что Сноуден сбежал с похищенной информацией, сколько то, что у него нет толпы единомышленников. Этот уникальный случай (до него таких случаев было мало, и вообще информаторов мало), подтверждает, что существующая защита от предательства доверенных лиц вполне надежна.

Ну и последний совет, особенно касающийся информаторов. Хранить секреты в информационном мире намного сложнее, а разоблачительная деятельность - это форма гражданского неповиновения информационной эпохи. Лучшая защита от информаторов (в частной фирме или государственной организации) - не делать вещи, о которых будет стыдно читать на первых страницах газет. Это может стать ударом в условиях рыночной экономики, в которой поведение, сомнительное с моральной точки зрения, зачастую поощряется до тех пор, пока оно не выйдет за рамки закона, а незаконная деятельность поощряется, пока Вы можете ее осуществлять безнаказанно.

Никакая организация, будь то банк, которому клиенты доверяют свои личные данные, гангстерский синдикат, который стремится завладеть миром, или государственная организация, которая шпионит за своими гражданами, не хочет, чтобы ее секреты стали всем известны. Хотя в информационную эпоху избежать этого, наверное, невозможно.

Эта статья впервые была опубликована на Bloomberg.com:
http://www.bloomberg.com/news/2013-08-21/...

Комментатор на сайте Bloomberg добавил еще одну меру безопасности: нужно больше платить сотрудникам. Люди, которым лучше платят, вряд ли «предадут организацию, которая их наняла. Я сам должен был написать об этом, особенно учитывая, то, что об этом говорится в «Лжецах и Секретах».

Задачи сисадминов в АНБ выполняют два человека:
http://www.schneier.com/blog/archives/2013/08/...

Детекторы лжи неэффективны:
http://www.senseaboutscience.org/news.php/266/...

Сколько стоят проверки при найме людей в государственные организации:
http://news.clearancejobs.com/2011/08/07/...

Сокращение количества сисадминов в АНБ:
http://www.reuters.com/article/2013/08/09/...

В США 4 миллиона людей имеют допуск к секретной информации:
http://www.washingtonpost.com/blogs/worldviews/wp/...

Феномен информаторов:
http://www.zephoria.org/thoughts/archives/2013/07/...

Бразильское телешоу «Фантастико» показало обучающую презентацию АНБ, в которой обсуждается, как агентство проводитатаки в Интернете класса «человек посередине» (man-in-the-middle). Главным моментом этой истории был факт экономического шпионажа АНБ против Петробрас, гигантской бразильской нефтяной компании, но меня больше занимают тактические подробности:

http://g1.globo.com/fantastico/noticia/2013/09/...

http://www.theguardian.com/world/2013/sep/09/...

На этой страничке размещена длинная видеозапись, содержащая, на мой взгляд, инсценировку обучающей презентации АНБ, но там есть несколько важных эпизодов. Эта презентация показывает, как работает MITM-атака АНБ:

http://www.slate.com/blogs/future_tense/2013/09/09/... orhttp://www.slate.com/blogs/future_tense/2013/09/09/...

http://www.motherjones.com/politics/2013/09/...

На этой странице показана MITM-атака против Google и его пользователей:

https://www.documentcloud.org/documents/...

Другой скриншот из «Фантастико» означает, что DigiNotar-проникновение, произошедшее в 2011 году, было организовано либо использовалось АНБ:
http://imgur.com/a/g3UGP#1

 

Новости об АНБ и Сноудене

С конца августа я работаю вместе Гленом Гринвальдом над документами Сноудена. Я летал в Рио и прочитал многие из них, но мои отчеты пока еще не опубликованы.

Действительно хорошая статья Сьюзан Ландау о документах Сноудена и об их значении:
http://www.computer.org/cms/Computer.org/...

Статья из номера «Wall Street Journal», вышедшего в среду, подробно рассказывает об усилиях АНБ по сбору данных:
http://online.wsj.com/article/...
Кажется, после того, как эта история получила отклик, АНБ наконец нашло PR-агентство, имеющее разрешение на работу с секретными документами:
http://www.nsa.gov/public_info/_files/...
Они также провели телефонную пресс-конференцию:
http://www.reuters.com/article/2013/08/17/...
А у директора национальной разведки появились аккаунты на Twitter и Tumblr:
https://twitter.com/icontherecord
http://icontherecord.tumblr.com/

Допустим, что руководству АНБ на самом деле неизвестно, какие документы забрал с собой Сноуден, и что оно вообще не узнало бы об этом, если бы материалы не были опубликованы. Тот факт, что злоупотребления сотрудников АНБ были обнаружены из-за доноса, подтверждает это мнение. Тогда почему мы думаем, что Сноуден был первым, кто ушел из АНБ, прихватив с собой гигабайты засекреченных документов? Он, возможно, был первым, кто обнародовал эти документы, но логично предположить, что до него были информаторы, работавшие на Россию, Китай или другую страну:
http://www.cbsnews.com/8301-201_162-57600000/...
http://blogs.wsj.com/washwire/2013/08/23/...

Я не люблю, когда при обсуждении истории Сноудена акцент переходит на личности, так как это отвлекает от АНБ и политических вопросов. Но я большой любитель практической безопасности, и просто обязан написать об их первой встрече в Гонконге:
http://www.nytimes.com/2013/08/18/magazine/...
Вообще вся статья интересная. Ее автор сейчас пишет книгу о слежении и неприкосновенности частной жизни, и это будет первая из полудюжины книг о деле Сноудена, которые, вероятно, увидят свет до конца года.

Пока эта тема актуальна, вот пример довольно глупой меры обеспечения безопасности, о котором написали Гринвальд и Пойтрас:
http://joshuafoust.com/extraordinary-court-statement/

А вот статья 1983 года об АНБ. Мораль в том, что АНБ начало нам врать о слежении очень давно:
http://www.nytimes.com/1983/03/27/magazine/...

Новые разоблачения Сноудена имеют эффект взорвавшейся бомбы. В целом АНБ может расшифровать большую часть информации, которая находится в Интернете. В основном оно это делает это не с помощью математики, а путем обмана:
http://www.theguardian.com/world/2013/sep/05/...
http://www.nytimes.com/2013/09/06/us/...
http://www.propublica.org/article/...
Помните: математика – это хорошо, но у математики нет владельца. У кода есть владелец, и код взламывают.

Slashdot и Reddit тема:
http://yro.slashdot.org/story/13/09/06/0148201/...
http://www.reddit.com/r/netsec/comments/1lu6o2/...

Мэтью Грин рассуждает в своем блоге о том, как АНБ взламывает шифры:
http://blog.cryptographyengineering.com/2013/09/...
Это стоит прочитать, и не только потому, что Университет Джонса Хопкинса попросил его удалить этот материал, хотя через несколько часов он его вернул:
http://www.techdirt.com/articles/20130909/...
http://news.cnet.com/8301-1009_3-57602345-83/...
http://arstechnica.com/security/2013/09/...
http://www.baltimoresun.com/news/maryland/education/...

У Эда Фельтена есть отличная статья о вреде, который наносит АНБ, тайно взламывая системы безопасности Интернет-систем:
https://freedom-to-tinker.com/blog/felten/...

Не лучший мой текст об АНБ:
https://www.schneier.com/blog/archives/2013/09/...

 

Мы снова стали бояться рисковать

Мы боимся рисковать. Риск - это неотъемлемая часть жизни, но мы больше не хотим ему подвергаться ни в каком виде. Поэтому мы обращаемся к технологиям, чтобы защитить себя. Но проблема в том, что технические меры безопасности не бесплатны. Естественно, за них нужно платить деньги, а также приносить другие жертвы. Зачастую они не обеспечивают заявленный уровень безопасности и парадоксально увеличивают риск на каких-то других участках. Эта проблема становится особенно острой, когда риск связан с другими людьми: преступления, терроризм и т.д. Хотя технологии защитили нас от некоторых природных рисков, таких, как несчастные случаи и болезни, они не так эффективны в отношении рисков, исходящих от других людей.

Три примера:

1) Мы допустили превращение полиции в военизированную организацию. Отряды SWAT проводят свои операции несколько раз в день, причем практически всегда в ситуациях, не представляющих опасности. Они применяют электрошокеры при любой возможности, часто без основания. Растет число случаем ни чем не оправданной стрельбы. В результате досадных ошибок (неправильный адрес на ордере, недопонимание) невинных людей запугивают, а иногда и убивают, когда те пытаются оказать полиции ненасильственное сопротивление.

2) Мы проводим политику полной нетерпимости в школах. В результате возникают нелепые ситуации, когда маленьких детей исключают за то, что они показывают на других учеников пальцами, сложенными в виде пистолета, или рисуют пистолеты карандашами, или старшеклассников наказывают за то, что они дают друг другу безрецептурные обезболивающие. Проведение такой политики обходится очень дорого как в плане денег, так и в плане долгосрочного влияния на учеников.

3) За прошедшие десять лет мы принесли в жертву тысячи жизней и потратили больше триллиона долларов на борьбу с терроризмом, включая войны в Ираке и Афганистане: любое другое использование этих средств было бы более правильным. Теперь нам известно, что АНБ превратилось в организацию по массовому слежению за гражданами своей страны, и что собираемые им данные также используются другими государственными учреждениями, которые потом об этом врут. Наша внешняя политика изменилась к худшему: мы за всеми шпионим, мы повсеместно и грубо нарушаем права человека, наши беспилотники убивают без разбора, и наши дипломатические представительства закрываются или превращаются в крепости. В течение нескольких месяцев после теракта 11 сентября огромное количество людей пересело с самолетов на автомобили, в результате количество погибших в авариях превысило количество погибших в самих терактах, так как автомобили намного опаснее самолетов.

Можно привести еще много примеров, но суть в том, что мы склонны чрезмерно сосредотачиваться на каком-то конкретном риске, а потом делаем все возможное для того, чтобы его минимизировать, вплоть до отказа от свободы и независимости.

Это тонкий психологический момент. То, насколько мы готовы рисковать – это, скорее, явление культуры и зависит от среды, в которой мы живем. Поскольку наше общество очень сильно продвинулись в области технического прогресса, многие риски, которые окружали нас тысячелетиями, перестали существовать. Смертельные детские инфекции остались в прошлом, многие заболевания взрослых успешно лечатся, несчастных случаев стало меньше и в них чаще выживают, здания рушатся реже, случаи насильственной смерти значительно сократились и т.д. Во всем мире жизнь людей стала безопаснее, в том числе в богатых и благополучных странах Запада.

Наши представления о рисках относительны и основаны по большей части на том, насколько далеки какие-то обстоятельства от того, что мы считаем «нормальным». Так в нашем восприятии безопасность становится все более «нормальной», а оставшиеся риски кажутся нам более серьезными. Когда свирепствует эпидемия чумы, защита от случайного ограбления или убийцы - это роскошь. Когда все здоровы - это необходимость.

Некоторые страхи возникают вследствие неправильного восприятия рисков. Мы не в состоянии адекватно оценить степень риска; мы склонны преувеличивать зрелищные, необычные и редкие события и недооценивать привычные и распространенные. В результате мы верим, что нападения на полицейских, стрельба в школах и теракты происходят чаще и несут в себе большую опасность, чем это есть в реальности, и что затраты, опасности и риски от милитаризации полиции, ужесточения правил поведения в школах, тотальной слежки и вторжения в частную жизнь не так опасны, как это есть на самом деле.

Некоторые страхи возникают из-за того, что люди несут ответственность только за один аспект рискованной ситуации. Никто не хочет оказаться на месте старшего офицера, который не одобрил отправку SWAT-отряда для передачи повестки в суд, а в результате сотрудника полиции застрелили. Никто не хочет оказаться на месте директора школы, который не наказал (неважно, насколько серьезным было нарушение дисциплины) ученика, который впоследствии открыл в школе стрельбу. Никто не хочет оказаться на месте президента, который отменил контртеррористические меры, а после этого случился теракт. Естественно, что лица, несущие ответственность, будут делать все возможное для предотвращения рисков, поскольку ответственность ляжет на их плечи.

Мы ждем, что наука и технический прогресс уменьшат эти риски, как они снижают многие другие. На стыке безопасности, науки и технологий возникает фундаментальная проблема: взаимосвязь рисков и мер, которые мы против них принимаем.

Большинство рисков, с которыми мы сталкиваемся в жизни, исходят от окружающей среды: болезни, несчастные случаи, погода, стечение каких-то обстоятельств. Благодаря развитию науки (в первую очередь медицины, но и других отраслей науки тоже), мы успешно снизили вероятность таких рисков и их последствий.

А меры безопасности призваны предотвратить совершенно другой вид риска: риск, исходящий от другого человека. Люди обладают интеллектом и могут приспособиться к новым мерам безопасности, чего не может сделать окружающая среда. Землетрясение не может знать, как обрушить сооружения, построенные по новым и более безопасным нормам строительства. Автомобиль не может изобрести новый вид аварии, который зачеркнет медицинские достижения по повышению выживаемости. А вот террорист может сменить цель и тактику в ответ на новые меры безопасности. Также законопослушный гражданин изменит свое поведение в отношении полицейских, которые заставляют его подчиниться, угрожая электрошоком. Да мы все начнем вести себя по-новому, если будем жить в условиях постоянной слежки.

Когда Вы принимаете меры для снижения случайных рисков окружающей среды, это обеспечивает какую-то безопасность. Когда Вы принимаете меры для снижения рисков от действий людей, то люди адаптируются, риск снижается меньше, чем Вы ожидали, а побочных эффектов появляется больше, так как мы «все» подстраиваемся.

Нам нужно научиться заново оценивать все плюсы и минусы систем управления рисками, особенно рисками от действий людей. Нам нужно заново учиться принимать риски и даже пользоваться ими, так как это неотъемлемая часть прогресса человечества и нашего свободного общества. Чем больше мы надеемся, что технологии защитят нас от действий людей так же, как защищают нас от окружающей среды, тем больше ценностей нашего общества будет принесено в жертву тщетным попыткам достигнуть этой безопасности.

Впервые эта статья была опубликована на Forbes.com:
https://www.schneier.com/blog/archives/2013/09/...

SWAT-отряд случайно убил человека:
http://www.slate.com/articles/news_and_politics/...

Цена нетерпимости в школах:
http://www.texaspolicy.com/sites/default/files/...
http://www.publicinterestprojects.org/wp-content/...

Убийства с помощью беспилотников:
http://www.wired.com/threatlevel/2013/08/...

Наши посольства:
http://www.npr.org/templates/story/story.php?...

Карикатура на то, как плохо мы оцениваем риск:
http://xkcd.com/1252/

Сообщения на Slashdot:
http://news.slashdot.org/story/13/09/04/0155247/...

 

Ошибки в доверии между человеком и машиной

В прошлом месяце я украл «бейждик» посетителя, который используется для доступа в Старое административное здание Белого дома (Eisenhower Executive Office Building) в Вашингтоне, округ Колумбия. «Бейждики» электронные, они активируются при регистрации на посту охраны здания. Вы должны постоянно носить его на цепочке на шее, а на выходе опустить в специальную прорезь.

Я стащил «бейджик»: прикрыл его рукой, а цепочка, ударившись о дно, издала необходимый звук. Охранник пропустил меня через турникет.

Однако у женщины, которая шла за мной, возникли проблемы. Система «поняла», что возникла нештатная ситуация, и не пропустила ее. В конце концов, охраннику пришлось вручную что-то отменять.

Я рассказал эту историю не для того, чтобы похвастаться тем, как я обманул систему безопасности здания (я уверен, что «бейджик» был вскоре деактивирован, и рядом с моим именем появилась запись о том, что он пропал), а чтобы показать, как из-за недоверия человека к машине возникают прорехи в системе безопасности. Что-то необычное случилось между тем моментом, когда через турникет прошел я, и человек, который шел после меня. Система это зафиксировала, но не смогла предоставить охранникам точную информацию. Охранники это поняли, но без подробностей. Из-за того, что ошибка произошла тогда, когда женщина, которая шла за мной, попыталась выйти из здания, они решили, что ошибка связана с ней. И когда поняли, что она не виновата, свалили все на систему.

В любой гибридной системе безопасности человек должен проверять работу машины. Чтобы это сделать, оба должны понимать возможное поведение другой стороны: в каких случаях система может ошибиться, и как выглядят эти ошибки. Машина должна уметь сообщать о нештатной ситуации и предупреждать людей о нарушении нормальной очередности действий. Ошибки могут происходить как случайно, так и в результате намеренного воздействия, и люди должны восстанавливать работоспособность системы в реальном времени, что требует понимания с обеих сторон. Каждый раз, когда происходит сбой, и машина не сообщает об этом, человек начинает ей доверять немного меньше.

Эта проблема характерна не только для систем безопасности, но возникновение такой нештатной ситуации – это хорошая возможность обмануть систему. Когда злоумышленники поймут, как работает система (особенно машина) лучше, чем человек, работающий сам как часть этой системы, они смогут создать брешь в защите и воспользоваться ей. Многие социальные теnbsp;хнические атаки попадают в эту категорию. Ошибки возникают и другим образом: мы все хотим верить, не вникая глубоко, человек, работающий как часть системы, хочет подчиняться машине, даже если она ошибается, он считает, что «Компьютер всегда прав».

У людей и машин свои сильные и слабые стороны. Мышление человека обладает гибкостью и креативностью, что нельзя сказать о машине, но человека проще обмануть. Машины работают более стабильно, они могут работать в разных режимах и обрабатывать потоки информации лучше, чем люди. Но они плохо справляются с нестандартными ситуациями. Если люди выполняют роль датчиков безопасности, то они должны понимать, что именно нужно распознавать (вот почему так часто не срабатывает принцип «когда что-то видишь, скажи об этом»). Если машина автоматически обрабатывает входящий сигнал, она должна четко сигнализировать о чем-то неожиданном.

Чем больше автоматизируется машинная часть систем безопасности, чем больше ожиданий, что машины обеспечат безопасность без человеческого вмешательства, тем больше может быть ущерб от удачной атаки. Если это звучит как аргумент в пользу простоты интерфейса, то это так и есть. Машины обязательно нужно усовершенствовать: нужно больше устойчивости, больше ручного управления и больше внутренних проверок. Но обмен информацией между человеком и машиной должен быть ясным и понятным. Это лучший способ сделать так, чтобы люди доверяли машинам и понимали их в любой системе безопасности.

Эта статья первоначально появилась в "IEEE Security & Privacy":
https://www.schneier.com/essay-445.html

 

Рост количества смертей в автомобильных авариях после теракта 11 сентября

Люди прокомментировали замечание, которое я сделал в недавней статье: «В течение нескольких месяцев после теракта 11 сентября многие люди предпочли путешествие на автомобиле путешествию на самолете, в результате количество жертв аварий на дорогах превысило количество жертв теракта, так как автомобили намного опаснее, чем самолеты».

Да, я ошибся. Вместо «месяцев», я должен был написать «лет».

Я нашел подходящую цитату в книге Джона Мюллера и Марка Стюарта «Террор, безопасность и деньги». Это сноска 19 в первой главе:

«Из-за неудобств дополнительных проверок пассажиров и дополнительных расходов в аэропортах, которые были введены после событий 11 сентября, для поездок на небольшие расстояния люди стали предпочитать автомобиль, хотя самолет гораздо безопаснее. Это привело к тому, что в США количество смертей в автомобильных авариях выросло на 500 в год. Учитывая, что по данным статистики в среднем жизнь человека стоит 6,5 миллионов долларов, это равно потерям 3,2 миллиардов долларов в год или 32 миллиардам долларов за время с 2002 по 2011 годы (Блалок и другие, 2007 год)».

Авторы более ранней (и короткой) публикации говорят то же самое:

«Увеличившиеся задержки и дополнительные траты в аэропортах США из-за новых мер безопасности побудили многих пассажиров, путешествующих на небольшие расстояния, выбрать автомобиль, а не самолет, и, хотя путешествие за рулем намного опаснее, чем по воздуху, по некотором подсчетам увеличение автомобильного потока привело к тому, что на дорогах стало погибать больше на 500 человек в год или даже больше».

Ссылки:

* Garrick Blalock, Vrinda Kadiyali, and Daniel H. Simon. 2007. «Влияние мер безопасности, введенных после 11 сентября, на спрос на авиапутешествия» / "The Impact of Post-9/11 Airport Security Measures on the Demand for Air Travel" «Журнал о законе и экономике» / "Journal of Law and Economics" 50(4) November: 731-755.

* Garrick Blalock, Vrinda Kadiyali, and Daniel H. Simon. 2009. «Смерти в автомобильных авариях после терактов 11 сентября: скрытая цена терроризма» / "Driving Fatalities after 9/11: A Hidden Cost of Terrorism" «Прикладная экономика» / "Applied Economics" 41(14): 1717-1729.

Вот еще ссылка:

* Michael Sivak and Michael J. Flannagan. 2004. «Взаимосвязь уменьшения количества авиапассажиров и количества жертв автомобильных катастроф после 11 сентября 2011 года» / "Consequences for road traffic fatalities of the reduction in flying following September 11, 2001". «Исследование транспорта, часть Ф: психология и поведение в транспорте» / "Transportation Research Part F: Traffic Psychology and Behavior" 7 (4).

Выдержка: Джигерензер (Животный страх, теракт 11 сентября и автомобильные аварии со смертельным исходом. Психология, 15, 286­287 / (Gigerenzer, G. (2004). Dread risk, September 11, and fatal traffic accidents. Psychological Science, 15 , 286­287)) утверждает, что огромный страх перед полетами в самолетах, который появился у жителей США после событий 11 сентября, привел к тому, что в сельской местности люди стали чаще использовать автомобиль вместо полета на самолете, в результате чего количество смертей в дорожных происшествиях с октября по декабрь 2001 года увеличилось на 353. Мы снова оценили последствия 11 сентября, используя тенденции смертности в авариях с 2000 по 2001 год с сентября по август. Мы также изучили, какие виды аварий и участники движения больше всего повлияли на увеличение смертности. Мы можем сделать вывод, что:

1) Из-за частичной смены вида транспорта после 11 сентября в течение трех месяцев, о которых идет речь, произошло еще 1018 смертей, что существенно больше, чем подсчеты Джигерензера.

2) Большая часть новых аварий произошла на дорогах местного значения, что подтверждает связь между использованием автомобиля вместо самолета для путешествий по тем же направлениям.

3) Количество смертей водителей не увеличилось по отношению к количеству смертей пассажиров.

4) Увеличение количества жертв из числа пешеходов и велосипедистов непропорционально общему увеличению смертей.

Моя цитата:
https://www.schneier.com/essay-442.html

«Террор, безопасность и деньги»:
http://www.amazon.com/...

Business Week говорит о том же:
http://www.businessweek.com/articles/2012-11-18/...

Другой анализ:
http://skeptics.stackexchange.com/questions/17578/...

 

Новости

В террористических организациях такие же проблемы с менеджментом, как и в других организациях, особенно в тех, которые возникли недавно:
http://www.foreignaffairs.com/articles/139817/...
Еще об экономических особенностях терроризма:
http://www.ted.com/talks/...
http://themonkeycage.org/2008/02/11/...

Новый обзор о подростках и неприкосновенности частной жизни:
http://www.pewinternet.org/Reports/2013/...

Интересное исследование: «Будни службы безопасности: интересный случай с камерами слежения», авторы Бенджамин Гульд, Ян Лодер и Анджелика Тумала (полная статья доступна в платной версии):
http://bjc.oxfordjournals.org/content/early/2013/07/...

Орин Керр размышляет о том, как сегодня должен выглядеть «Закон о защите электронных систем связи»:
http://papers.ssrn.com/sol3/papers.cfm?...

Интересное исследование Брендона Вили о том, как избежать цензуры в Интернете (средство называется «Пыль» / "Dust"):
http://www.khanfu.com/m/plain/29/event/2032
http://blanu.net/Dust.pdf
http://github.com/blanu/Dust/
http://blanu.net/Dust.pdf
http://blanu.net/Dust-FOCI.pdf

В отношении компании, которая обучала людей обманывать детекторы лжи, сейчас ведется следствие:
http://www.mcclatchydc.com/2013/08/16/199590/...

Новое исследование о «Федеральной комиссии по торговле» и ее действиях по защите частной жизни:
http://papers.ssrn.com/sol3/papers.cfm?...

Девид Кован, партнер Bessemer Venture Partners, написал интересную статью о возможностях компаний по облачной безопасности:
http://www.technologyreview.com/view/518771/...
У отраслевого аналитика Ричарда Стайентона есть похожая статья:
http://www.forbes.com/sites/richardstiennon/2013/08/...
«Zscaler» также комментирует статью о бизнесе облачной безопасности на сайте «451 Research»:
http://www.prosecurityzone.com/...

Джон Келси из «Национального института стандартов и технологий» прочитал отличную лекцию об истории, статусе и будущем стандарте хешинга SHA-3. Слайды выложены в Интернет:

https://docs.google.com/file/d/...
Подробный отчет о лекции:
http://bristolcrypto.blogspot.co.uk/2013/08/...

Я продолжаю получать уведомления о новых выпусках журнала "Journal of Homeland Security and Emergency Management", но интересные для меня статьи там появляются нечасто:
http://www.degruyter.com/view/j/...

Деньги уменьшают доверие между людьми в малых группах, но увеличивают его в больших группах. В сущности, существование денег позволяет обществу соблюдать правильный баланс:
http://www.bbc.co.uk/news/science-environment-23623157

Управление транспортной безопасности не должно было говорить правду:
https://www.schneier.com/blog/archives/2013/09/...

 

Идентификация по отпечатку пальца в Iphone

ВНИМАНИЕ: эта статья была написана до того, как Apple сообщила о выпуске нового Iphone.

Когда корпорация Apple купила компанию AuthenTec из-за биометрической технологии, что считается ее самым дорогим приобретением, было сделано много предположений о том, как Apple будет использовать биометрию в своих продуктах. Многие думают, что новый Apple iPhone, который должен быть представлен завтра, будет иметь систему идентификации по отпечатку пальца: например, Вы подносите палец к специальному окошку, чтобы телефон Вас узнал.

Использование биометрической технологии в iPhone – это очень хорошее решение Apple. Идентификация по отпечатку пальцев – хороший баланс между удобством и безопасностью мобильного устройства.

Биометрические системы привлекательны, но на самом деле не все так просто. В них сложно обеспечить безопасность. Например, для них нет ключей. Ваш отпечаток пальца не является тайной, Вы оставляете его на всем, чего касаетесь.

У считывающих устройств отпечатков пальцев длинная история проблем с защитой. Одни из них лучше, другие хуже. Самые простые проверяют узор кожи на пальцах, и их можно обмануть с помощью хорошей ксерокопии. Другие проверяют также и поры. Лучшие проверяют пульс или температуру пальца. Обмануть их с помощью резинового пальца трудно, но зачастую возможно. Японскому исследователю удалось сделать это добрый десяток лет назад с помощью желатиновой смеси, которая используется при изготовлении мармеладных «мишек».

Лучшую систему защиты я видел на входе в одно охраняемое государственное здание. Может Вы и могли бы обмануть его фальшивым пальцем, но охранник-морпех с большим пистолетом гарантировал, что у Вас не будет возможности сделать такую попытку. «Диснейленды» используют похожую систему на входе в свои парки, правда, без морпехов.

Биометрическую систему, которая идентифицирует только Вас, спроектировать проще, чем биометрическую систему, которая должна узнавать незнакомых людей. Системе легче ответить на вопрос: «Верно ли, что этот отпечаток пальца принадлежит владельцу этого IРhone?», чем на вопрос «Чей это отпечаток?»

Есть два случая, когда система идентификации может дать сбой. Она может по ошибке предоставить доступ неавторизованному человеку, или она может по ошибке отказать в доступе авторизованному человеку. В любой потребительской системе вторая ошибка намного серьезнее, чем первая. Да, плохо, если система отпечатков пальцев на iPhone случайно предоставит доступ к Вашему телефону кому-то другому. Но намного хуже, если Вы не уверены, что всегда можете воспользоваться своим телефоном – тогда через неделю Вы его просто выбросите.

Если правда, что новый iPhone от Apple будет иметь биометрическую защиту, то разработчики, видимо, не смогут обеспечить гарантированный доступ пользователя к своему телефону. Ошибки будут чаще случаться в холодную погоду или когда пальцы сморщены после душа и т.д. Но, естественно, останется традиционная система PIN-кода, которой всегда можно воспользоваться.

Итак… можно ли взломать систему биометрической идентификации?

Практически на 100% «да». Я уверен, что если у кого-то есть достаточно хорошая копия Вашего отпечатка пальца, технологические возможности и элементарные материалы (или просто достаточно хороший принтер), то он без проблем зайдет в Ваш iPhone. Но, честно говоря, если у какого-то мошенника будет в распоряжении Ваш iPhone и отпечаток вашего пальца, то Вам уже не о чем особо беспокоиться.

Последняя проблема с биометрическими системами – база данных. Создание централизованной системы подразумевает создание большой базы данных биометрической информации, которую можно будет взломать. Система Apple почти наверняка будет изолированной (Вы идентифицируете себя в телефоне, а не в системе), поэтому нет необходимости создавать централизованную базу данных отпечатков пальцев.

Вероятно, после появления продукта Apple устройства для чтения отпечатков пальцев получат широкое распространение. Но не все приложения одинаковы. Если Вы используете пальцы для разблокировки телефона, то проблем не будет. Но совсем другое дело, если использовать отпечаток пальца для доступа к аккаунту на iCloud. Для такого приложения потребуется создать централизованную базу данных, а это огромная потенциальная угроза безопасности.

Эта статья ранее появилась на Wired.com:
http://www.wired.com/opinion/2013/09/...

Первоисточник:
http://www.patentlyapple.com/patently-apple/2013/07/...
http://www.wired.com/business/2012/09/...

Размышления об iPhone:
http://news.yahoo.com/...
http://www.bloomberg.com/news/2013-08-13/...

Моя предыдущая статья о биометрической безопасности:
https://www.schneier.com/...

Как обмануть устройство для чтения отпечатков пальцев:
http://dsc.discovery.com/tv-shows/mythbusters/...
http://www.theregister.co.uk/2002/05/16/...

Биометрическая система в парках «Диснейленд»:
http://boingboing.net/2008/03/15/...

Новости об устройствах для чтения отпечатков пальцев на iPhone:
http://www.forbes.com/sites/andygreenberg/2013/09/...
http://online.wsj.com/article/...
http://www.theverge.com/2013/9/10/4715372/...
http://techcrunch.com/2013/09/10/...
http://www.macworld.com/article/2048514/...

 

Взлом бытовых приборов

Недавно супружеская пара из Техаса обнаружила, что электронная «видеоняня» в спальне их ребенка была, вероятно, взломана. В передаче местного телеканала супруги рассказали, что из их комнаты раздался незнакомый голос, они его услышали, пошли посмотреть и обнаружили, что кто-то получил удаленный доступ к прибору и кричал бранные слова. Отец ребенка отключил монитор.

Что это значит для остальных из нас? Насколько безопасны электронные бытовые приборы теперь, когда они все подключены к Интернету?

Ответ: вовсе не безопасны, и это положение существует уже несколько лет. Есть слабые места в системах безопасности вебкамер, всех фотоаппаратов, в имплантированных медицинских устройствах, автомобилях и даже в смарт-туалетах, не говоря уже о яхтах, банкоматах, промышленных системах управления и военных беспилотниках.

Все эти устройства можно взломать. Те, кто работает в области безопасности, часто удивляются, что большинство людей об этом не знает.

Почему их можно взломать? Потому что создать надежную систему безопасности очень трудно. Необходим квалифицированный персонал, необходимо время. Большинство компаний не заботится об этом, потому что потребители, покупающие системы безопасности и «умные» устройства, в своей массе не обладают достаточными знаниями, чтобы что-то понять. Так зачем производителю «видеоняни» тратить деньги создание надежной системы безопасности, если обычный потребитель даже не обратит на нее внимание?

Хуже того: покупатель посмотрит на две похожие «видеоняни» (одна более дорогая с надежной системой безопасности, а другая дешевая со слабой безопасностью) и купит более дешевую. Если у человека нет знаний, необходимых для принятия осознанного решения о покупке, он выберет более дешевый товар.

Многие взломы происходят из-за того, что пользователи не могут правильно настроить или инсталлировать программы в своих устройствах, но на самом деле это ошибка производителя. Предполагается, что это устройства для обычных потребителей, а не специализированное оборудование для экспертов по безопасности.

Такое положение существует и в других сферах жизни, и у нас есть разнообразные механизмы для решения этих проблем. Один из них – государственное регулирование. Например, немногие из нас могут отличить настоящие лекарства от липовых снадобий от всех болезней, поэтому Управление по контролю за продуктами и лекарственными средствами регулирует, что можно продавать и какие требования могут выдвигать продавцы. Проверка конкретного товара – это другое. Мы с Вами, возможно, не сможем на глаз отличить хорошую машину от плохой, но мы можем прочитать заключения компаний, проводящих тесты.

Компьютерная безопасность не попадает под действие этих механизмов потому, что индустрия меняется очень быстро и потому что такое тестирование требует значительных затрат времени и средств. В результате нам продают много небезопасных товаров со встроенными компьютерами. И поскольку эти компьютеры подключаются к Интернету, проблем будет больше.

Дело здесь не в том, что Вашу «видеоняню» могут взломать. Дело в том, что можно взломать практически любое «умное» устройство, и, поскольку потребителей это не волнует, то рынок не будет решать эту проблему.

Эта статья была впервые опубликована на CNN.com. Я написал ее на заказ примерно за полчаса и не очень доволен. Мне следовало больше сказать об экономических аспектах хорошей безопасности и хакерства. Смысл в том, что мы не должны волноваться о хакерах, достаточно умных, чтобы найти эти уязвимые места, а беспокоиться нужно о тупых хакерах, которые просто используют программное обеспечение, написанное и распространенное умными хакерами. Ну что же, тогда в следующий раз.

Эта статья ранее появилась на CNN.com:
http://www.cnn.com/2013/08/14/opinion/...

Взлом «видеоняни»:
http://us.cnn.com/2013/08/14/tech/web/...

Также об уязвимых местах вебкамер:
http://arstechnica.com/tech-policy/2013/03/...
http://www.theregister.co.uk/2013/01/29/cctv_vuln/

Другие бытовые приборы и их уязвимые места:
http://www.wired.com/threatlevel/2012/05/cctv-hack/
http://www.forbes.com/sites/ericbasu/2013/08/03/...
http://www.forbes.com/sites/ericbasu/2013/08/03/...
http://news.cnet.com/8301-1009_3-57596847-83/...
http://www.bbc.co.uk/news/technology-23575249
http://www.bbc.co.uk/news/technology-23575249
http://www.gizmag.com/gps-spoofing-yacht-control/28644/
http://www.technologyreview.com/hack/421410/...
http://www.technologyreview.com/hack/421410/...
http://www.computerworld.com/s/article/9241293/...
http://security.blogs.cnn.com/2012/07/19/...

 

Кибератаки сирийской электронной армии

Сирийская электронная армия на прошлой неделе снова осуществила атаку, взломав веб-сайты New York Times, Twitter, the Huffington Post и другие.

Хакерство по политическому заказу – это не новость. Хакеры проникали в компьютерные системы для получения политической информации задолго до того, как коммерсанты и преступники стали пользоваться Интернетом. В течение многих лет мы видели противостояние Великобритании и Ирландии, Израиля и Арабских государств, России и бывших союзных республик, Индии и Пакистана, Великобритании и Китая.

Крупный инцидент произошел в 2007 году, когда после дипломатического инцидента с Россией компьютеры правительства Эстонии подверглись кибератаке. Это событие назвали первым эпизодом кибервойны, но Кремль отрицал участие российской стороны. Единственные, кого удалось обнаружить, были молодые русские ребята, проживающие в Эстонии.

Присмотритесь к любому из этих международных инцидентов, и Вы увидите детей, играющих в политику. Сирийская электронная армия не похожа на настоящую армию. Мы даже не знаем, сирийская ли она. И, честно говоря, я не знаю, сколько ей лет. Изучив детали их атак, понимаешь, что они не атаковали напрямую «New York Times» и другие сайты. Как сообщается, они взломали регистратор австралийских доменных имен Melbourne IT и использовали его для того, чтобы нарушить энергоснабжение нескольких известных сайтов.

Такую же тактику в прошлом году использовала группа Anonymous: она атаковала сайты произвольно, а потом придумывала политические основания в случае успешных атак. Это позволило ей выглядеть намного серьезнее, чем на самом деле.

Это не значит, что атаки на уровне государств не являются проблемой или что на кибервойну не надо обращать внимание. Как сообщают, атаки Китая являются миксом военных атак, проводимых правительством, независимых хакеров, спонсируемых правительством, и случайных хакерских групп, работающих по негласному одобрению властей. США также участвует в активных кибератаках по всему миру. Совместно с Израилем США использовали сложный компьютерный вирус (Stuxnet), чтобы атаковать компьютерные сети в Иране в 2010 году.

Для обычной компании защита от таких атак не требует каких-то особых мер, отличающихся от тех, которые Вы обычно принимаете для защиты в киберпространстве. Если Ваша сеть достаточно безопасна, то Вы защищены от непрофессиональных геополитиков, которые просто хотят заработать себе репутацию.

Эта статья впервые была опубликована на сайте "Wall Street Journal's":
http://blogs.wsj.com/speakeasy/2013/08/29/...

Сирийская электронная армия:
http://blogs.wsj.com/digits/2013/08/27/...

Кремль все отрицает:
http://online.wsj.com/article/SB117944513189906904.html

Как происходил взлом:
http://online.wsj.com/article/...

Stuxnet:
http://online.wsj.com/article/...

Новости от Шнайера

«Шнайер о безопасности» составил список лучших блогов на тему «Государство и безопасность» на Wired:
http://www.wired.com/threatlevel/2013/08/...

Журналисты MinnPost взяли у меня интервью:
http://www.minnpost.com/politics-policy/2013/09/...

Разные видео- и аудиоинтервью со мной:
http://insidecville.com/nation/bruce-schneier-8-30-13/
http://www.democracynow.org/2013/9/6/...
http://matthewf.net/2013/09/10/...
https://threatpost.com/...

Я буду выступать на Конгрессе, посвященном защите неприкосновенности частной жизни и вопросам слежения в Лозанне, Швейцария, 30 сентября:
http://ic.epfl.ch/privacy-surveillance

Вы можете здесь найти мой новый открытый ключ PGP и отпечаток моего ключа OTR (OTR key fingerprint):
https://www.schneier.com/contact.html
Hacker News обсуждают длину моего PGP ключа:
https://news.ycombinator.com/item?id=6376954

 

Криптоапокалипсис

В Black Hat в прошлом месяце прошла презентация, предупреждающая нас о факторизационном криптоапокалипсисе («factoring cryptopocalypse»): моменте, когда разложение чисел на множители и решение проблемы дискретного логарифмирования, становится простым, и RSA и DH будут взломаны. Эта презентация была провокационной и вызвала много комментариев, но я не вижу причин для беспокойства.

Да, взлом современных систем с открытым ключом за последние годы стал более простым. Этот процесс шел в продолжение нескольких последних деhttp://us.cnn.com/2013/08/14/tech/web/hacked-baby-monitor/index.html?hpt=hp_t2 br /сятилетий. В 1999 году я писал о фактКибератаки сирийской электронной армииоризаa href=ции: «Факторизация становится проще./p Она становится проще и быстрее, чем кто-тоhttp://www.bloomberg.com/news/2013-08-13/... мог ожидать. Для этого я вижу четыре причины:

1) Быстродействие компьютеров увеличивается.

2) Быстродействие сетевых соединений компьютеров растет.

3) Алгоритмы факторизации становятся более эффективными.

4) Фундаментальные достижения в математике дают нам более эффективные алгоритмы факторизации.

Я мог сказать то же самое о проблеме дискретного логарифмирования. И фактически достижения при решении одной проблемы имеют тенденцию отражать достижения при решении другой проблемы.

Причины представлены в порядке непредсказуемости. Первые две (прорыв в информационных технологиях и скорость компьютерных сетей) по существу следуют закону Мура (и другим) год за годом. Третья причина появляется постоянно, но скачками: в 2 раза улучшение здесь, в 10 раз улучшение там. Больше всего беспокойства вызывает четвертая причина. Фундаментальные математические открытия происходят лишь время от времени, но когда это случается, то последствия могут быть огромны. Если факторизация станет когда-нибудь «простой» так, что RSA больше не будет являться целесообразным криптографическим алгоритмом, то это произойдет из-за такого прорыва.

Авторы основывают свое предупреждение на недавних фундаментальных прорывах в решении дискретной логарифмической проблемы, но эта работа не обобщается на типах чисел, используемых для криптографии.

Это не значит, что решение этих проблем не продолжит становиться проще, но пока было тривиально просто увеличивать длину ключа, чтобы опередить достижения. Я надеюсь, что это так и будет в обозримом будущем.

Презентация криптоапокалисписа :
https://www.isecpartners.com/media/105564/...

Комментарий:
http://www.technologyreview.com/news/517781/...
http://www.crn.com/slide-shows/security/240159536/...
http://arstechnica.com/security/2013/08/...
http://threatpost.com/...

Моя статья 1999 года:
https://www.schneier.com/crypto-gram-9903.html#RSA140

Недавние прорывы в дискретном логарифмировании:
http://eprint.iacr.org/2013/095.pdf
http://eprint.iacr.org/2013/400.pdf
http://www.daemonology.net/blog/...

 

Измерение энтропии и ее применения в шифровании

О теории защиты информации написана куча статей с расплывчатыми и сенсационными заголовками типа: «Шифрование не так безопасно, как мы думали» и «Исследования, которые подрывают основы криптографии». На самом деле все не так уж плохо.

В основном ученые спорят, что использование в криптографии традиционного измерения, принятого в энтропии Шэннона, не правильно, а правильно использовать минимальную энтропию. Это может облегчить дешифрование шифрованных текстов, но не теми способами, которые широко применяются на практике. Благодаря этому подходу мы можем угадывать пароли по словарю или путем подбора, потому что мы знаем, что пароли создают люди, и они сами должны их запоминать.

Это не новость (во многих работах по криптографии авторы используют минимальную энтропию вместо энтропии Шэннона) и трудно понять, какой вклад сделала эта работа. Не забудьте, что работа была представлена на конференции по теории информации, а не на криптографической конференции. Я предполагаю, что у программного комитета не было достаточной криптологической экспертизы, чтобы отклонить работу.

Поэтому не переживайте – криптологические алгоритмы в ближайшее время свои позиции не сдадут. Вернее, это может случиться, но не по этой причине.

Исследование:
http://arxiv.org/pdf/1301.6356.pdf

Реакция прессы:
http://phys.org/news/2013-08-encryption-thought.html
http://www.theregister.co.uk/2013/08/14/...

Обсуждение на Slashdot:
http://it.slashdot.org/story/13/08/14/1821224/...

 

© ООО «Лайтигард», 2013, перевод


 

   


 

p

Последнее обновление 06.03.14 17:08