Как да се защитим срещу шпионирането на „Агенцията за Национална Сигурност“

от Брус Шнейър

Агенцията за национална сигурност (АНС) има огромни възможности и ако иска да влезе във вашия компютър, тя е в него. Като имаме предвид това, ето пет начина да бъдете в безопасност.

Yk8J8RLKmp2p1r91ij9fz6XnВече имаме достатъчно информация за това как Националната агенция за сигурност на САЩ, АНС, подслушва в интернет. Като включим и оповестените днес разкрития за умишлено отслабване на криптографски системи от нейна страна, става ясно, че точно сега е времето най-после да потърсим начини да се защитим.

От две седмици работя с Гардиън (Guardian) по публикациите свързани с НСА, и затова прочетох стотици свръхсекретни документи на агенцията, предоставени от човека, който стана известен с изтичане на информация – Едуард Сноудън. Не съм участвал в днешната статия – тя беше в процес на подготовка преди да се появя, но всичко, което изчетох потвърждава това за което Гардиън ни осведомява.

В момента имам самочувствието, че мога да дам няколко съвета как да се предпазим от такъв противник.

Основният начин по който АНС подслушва интернет комуникации е в мрежата. Това е мястото, където са най-добрите им възможности. Инвестирали са в огромни програми, които автоматично събират и анализират мрежовия трафик. Всичко, което изисква атака на отделни компютри е значително по-скъпо и рисковано за тях, затова те правят подобни неща внимателно и пестеливо.

Като си подсигурява тайни споразумения с телекомуникационни компании – всички такива в САЩ и Великобритания, както и много други „партньори“ по целия свят, АНС получава достъп до комуникационните стволове (trunks), които движат интернет трафика. В случаите, когато не разполага с този вид „приятелски“ достъп, агенцията прави всичко възможно да наблюдава тайно комуникационните канали: подслушване на подводни кабели, прихващане на сателитни комуникации, и т.н.

985a0-big-brother-is-watching-you-e1357169798757Това е огромно количество данни, а пък АНС има и еквивалентно огромни възможности бързо да ги пресее, търсейки интересен трафик. „Интересното“ може да се определи по много начини: източник, местоназначение, съдържание, физически лица, които участват и т.н. Тези данни са преливат в по-голямата система на АНС за бъдещи анализи.

АНС събира много повече метаданни за интернет трафика: кой с кого говори, кога, колко и с какво комуникационно средство. Метаданните се съхраняват и анализират много по-лесно от съдържанието. Те могат да бъде изключително лични за отделния човек, и са невероятно ценна разузнавателна информация.

Отдел „Разузнавателни системи“ отговаря за събирането на данни, и средствата, които отделя за това са зашеметяващи. Прочел съм доклад след доклад за състоянието на тези програми, обсъждащи възможностите им, оперативните им детайли, планираните актуализации, и т.н. Всеки отделен проблем – възстановяване на електронни сигнали от оптически влакна, следене на преминаващи терабайт потоци, филтриране на интересни неща, си има собствена група, посветена на решаването му. АНС може да стигне навсякъде по света.

АНС атакува директно и мрежови устройства, рутери, комутатори (switches), защитни стени и т.н. Повечето от тези устройства имат вградена възможност за наблюдение, но трикът е да бъдат задействани тайно. Това е особено плодотворно поле за атака; рутери се обновяват по-рядко, рядко имат вграден софтуер за сигурност, и обикновено не им се обръща внимание като на нещо уязвимо.

АНС също отделя значителни ресурси за да атакува крайни компютри. Това се прави от нейния TAO – Група за операции за адаптиран достъп (Tailored Access Operations). TAO има цяло меню с „подвизи“ (exploits), които може да „сервира“ на компютъра ви, независимо дали сте с Windows, Mac OS, Linux, IOS, или нещо друго и различни трикове за да стигне до него. Антивирусният ви софтуер няма да ги открие и ще имате проблеми с намирането им дори и да знаете къде да ги търсите. Това са хакерски инструменти, проектирани от хакери, които се ползват с неограничен бюджет. Това което разбрах четейки документите на Сноудън е, че ако АНС иска да влезе в нечий компютър, тя е в него. Точка по въпроса.

facebook-big-brother-is-watchingАНС се справя с всички криптирани данни на които се натъква главно като подкопава основната криптография, отколкото чрез тайни математически открития. Първо, пълно е с много лоша криптография. Например, ако установи интернет връзка, която е защитена от MS-CHAP, може много лесно да проникне и да възстанови ключа. Използва слаби потребителски пароли и същите „речник атаки“, които хакерите използване в незасекретения свят.

Както стана ясно днес, АНС работи и с доставчици на продукти за сигурност за да си гарантира тайно проникване в търговските продукти за криптиране, за което знае само тя. Известно ни е, че това се е случвало и преди – CryptoAG и Lotus Notes са най-явните примери, а има и доказателства за задна вратичка в Windows. Няколко души ми разказаха скорошни истории за своите преживявания, и смятам да пиша за тях в близко бъдеще. Като цяло, АНС изисква от компаниите да променят едва доловимо продуктите си, така че да не може да се усети от потребителя: избирането на случайни числа става по-малко случайно, изтичане на информация за ключа по някакъв начин, добавяне на общ показател към публичния ключ на обменния протокол т.н. Ако задната вратичка се открие, това се обяснява като грешка. И сега вече знаем, че АНС се радва на огромен успех от тази програма.

TAO също хаква компютри за да намери дългосрочни ключове. Така че, ако работите с VPN, който използва сложен за споделяне таен механизъм за защита на данните ви, и АНС реши, че й е интересно, тя ще опита да открадне тази тайна. Подобно нещо се прави само срещу „високи топки“.

Как дадете здрав отпор на такъв противник? Сноуден го каза в онлайн сесия за въпроси и отговори, скоро след като направи публични първите документи: „.. Закодирането (Encryption) работи. Правилно прилаганите и силни криптографски (закодиращи) системи са едно от малкото неща на които можете да разчитате“.

Вярвам, че това е така, въпреки днешните разкрития и затормозяващите намеци за „революционни криптоаналитични възможности“, направени от Джеймс Клапър, директор на националното разузнаване в друг свръхсекретен документ. Тези възможности включват умишлено отслабване на криптографията.

Следващото изречение на Сноудън е еднакво важно: „За съжаление, крайната точка на сигурността е толкова ужасно слаба, че АНС често може да намери начини да я заобиколи“.

Крайна точка означава софтуера, който използвате, компютъра, в който го използвате, и локалната мрежа в която е включен. Ако АНС може да промени алгоритъма за криптиране или да пусне Троянски кон във вашия компютър, цялата криптография на света вече няма никакво значение. Ако искате да останете защитени срещу АНС, трябва да направите всичко възможно да си гарантирате, че криптирането работи безпрепятствено.

Като вземе предвид всичко казано дотук, ето и моите пет съвета:

1) Скрийте мрежата. Прилагайте скрити услуги. Използвайте Tor за да бъдете анонимни. Да, АНС атакува и Tor потребители, но това им създава повече работа. Колкото по-малко се набивате на очи, толкова е по-безопасно.

2) Криптирайте вашите комуникации. Използвайте TLS. Използвайте IPsec. Отново, макар и да е вярно, че АНС атакува криптирани връзки и, че може да има изрични методи срещу тези протоколи, вие си оставате много по-добре защитени, отколкото ако общувате в отвореното пространство.

3) Приемайте, че компютърът ви може да бъде компрометиран, но това ще отнеме време и носи рискове на АНС – така че вероятно не е компрометиран. Ако имате нещо наистина важно, използвайте въздушна празнина. Тъй като започнах да работя с документите на Сноудън, купих си нов компютър, който никога не е бил свързан с интернет. Ако искам да прехвърля файл, криптирам файла в защитения компютър и го прехвърлям на моя компютър, който е свързан с интернет, с помощта на флашка. За да разшифровам нещо ползвам обратния процес. Това може да не е „непробиваемо от куршуми“, но работи доста добре.

4) Отнасяйте се с подозрение към търговски софтуери за кодиране, особено от големи доставчици. Моето предположение е, че повечето продукти за криптиране на големи американски компании имат задни вратички, настроени „приятелски“ към АНС, както вероятно и много чуждестранни. Разумно е да се предположи, че чуждестранни продукти имат и чуждестранни инсталирани задни вратички. На АНС й е по-лесно да влезе от задната врата чрез софтуер със затворен код (Closed-source) отколкото софтуер с отворен код (open-source). Системи, разчитащи само на master secrets (сигурни секретни данни, използвани за генериране на криптиращи ключове) са уязвими спрямо АНС по законови или нелегални пътища.

5) Опитайте се да използвате публично домейн криптиране, което трябва да бъде съвместимо с другите дейности. Например, за АНС е по-трудно да влезе през задната вратичка ако има TLS а не BitLocker, защото TLS трябва да бъде съвместимо с TLS на всеки друг търговец, докато BitLocker трябва да бъде съвместим само със себе си, давайки на АНС много по-голяма свобода да прави промени. И тъй като BitLocker е собственост е далеч по-малко вероятно тези промени да бъдат разкрити. Предпочитам симетрична криптография пред криптография с публичен ключ. Предпочитам конвенционални системи базирани на дискретен регистър пред системи с елиптична крива, понеже последните имат константи, на които АНС влияе, когато може.

Откакто започнах да работя с документите „Сноудън“ използвам GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit, и няколко други неща, за които няма да пиша. Има недокументирана функция за криптиране в моята програма Password Safe (сигурна парола) от командния ред, използвам и това.

Давам си сметка, че повечето от тези неща за невъзможни за обикновения потребител в интернет. Дори и аз не използвам всички тези инструменти за всичко по което работя. И аз съм все още предимно на Windows, за съжаление. Linux ще е по-безопасен.

АНС превърна тъканта на интернет в обширна платформа за шпиониране, но те не са магьосници. Те са ограничени от същите икономически реалности като останалата част от нас и най-добрата ни защита е да направим шпионирането им толкова скъпо колкото е възможно.

Доверете се на математиката. Криптирането е ваш приятел. Използвайте го добре, и направете всичко възможно да си гарантирате, че нищо не може да го компрометира. Ето как можете да останете защитен дори когато АНС е насреща ви.

The Guardian: NSA surveillance: A guide to staying secure
Превод: Мария Гинева

7 thoughts on “Как да се защитим срещу шпионирането на „Агенцията за Национална Сигурност“

  1. От години не бях чел по- безсмислена статия. md5 (алгоритъм за криптиране)се знае от многоооо години, че е бъгав и слаб (ползван при CHAP)! Ms-chap е визията на майкрософт за зашита на информацията на point-to-pont протокола, който работи на 2-и layer на оси модела. Има такива видове криптиране, които са НЕВЪЗМОЖНИ за разбиване. Буквално. Но след като криптираш съдържанието на един пакет (слой 3), хедъра на пакета не се криптира (хедъра е ключовата информация която съпровожда парченце информация), за да може да бъде рутиран и точно това позволява на ISP (интернет доставчиците) имат по 1 сървър да пази връзките кое IP с кое IP прави връзка, на кой порт. В хедъра има и информация за продължителността, т.е. някой по- амбициозен и знаещ какво търси човек би се досетил каква се пренася, но не и да го види. В БГ тази информация се пази 1 година.
    Начина да останеш скрит е TOR ама да изпадаме в драми, че правителството може да подслушва всеки😀 хахаххахахаха за абсолютен майтап! Принципът на Тор напрактика е разработен от няк’ви там военни, именно поради тая причина, да не може врагът да ги sniffi („подслушва“), като прави на 10 минути (по подразбиране) различни маршрути (компютри). Недейте да преписвате свръх естествени сили. Компютърните мрежи си имат принцип на работа и ако някой си има понятие си остава СКРИТ.

    • Анаграмата на United States of America’, e ‘Dine out, taste a Mac, fries.’ Е не са ли верни анаграмите, кажете сега. Говори си се за мак доналдс и пържени картофки :)))) Писано им е да ги ядат :)Ето го сайта с анаграмите …интересни нещица разкрива той за скрития код на имената… Нaправете на Тони Блеър примерно. Точно та точно.

      http://www.anagramgenius.com/server.html

  2. Ясно, най-добре да станем езотерици и да започнем да си дрънкаме за изпращане на Любов, с лишени от действие фрази. Разузнавателните устройства ще ни подминават без капка интерес и няма да имаме нужда от никакви екстра защити:))Хем ще изберем най-мекото на хляба, хем ще си въобразяваме, че правим нещо съществено😉 Аз много обичам езотериците. Веднъж пуснах един клип на Анонимус в един голям езо сайт, нямаше кой да гъкне, брате. Анонимус, не сте вий хора за тях, защото не развивате трактатите за любов:) На тях дори не им минава през акъла, че ако още клепаме ( ходиме) по тая зЕмя, не е благодарение на тея техни сълзливи тиради…

  3. Никой Софтуер не може да Спаси от ЦРУ освен Руски и Китайски Софтуер..
    Без Антивирусен софтуер в комбинация с криптиране е невъзможно… Антивирусния софтуер произведен в страни от НАТО е все едно да поканиш ЦРУ на твоя компютър, . всичкия е със Черни Врати.. А безплатния антивиурсен софтуер се финансира от ЦРУ.. Опен Сорс повечето фондации управляващи Опен Сорс проекти са Базирани в САЩ… В САЩ и Франция силното криптиране освен стандарта АЕS Всичко друго е забранено.

    Моето решение е Касперски или Dr.Web + Atlansys Bastion Ultimate сичкото руски софтуер..

Очакваме вашето мнение по темата, но ви молим да прочетете първо правилата за коментарите.

Попълнете полетата по-долу или кликнете върху икона, за да влезете:

WordPress.com лого

You are commenting using your WordPress.com account. Log Out / Промяна )

Twitter picture

You are commenting using your Twitter account. Log Out / Промяна )

Facebook photo

You are commenting using your Facebook account. Log Out / Промяна )

Google+ photo

You are commenting using your Google+ account. Log Out / Промяна )

Connecting to %s