Зборшчык яблыкаў Агенцтва нацыянальнай бяспекі ЗША (АНБ) у значнай ступені паставіла пад пагрозу бяспеку кожнага інтэрнэт-карыстальніка праз раней невядомую дзесяцігадовую праграму шыфравання, якая назапасіла велізарную колькасць даных, якія можна выкарыстоўваць. Шакуючае адкрыццё, якое ўбачыла свет у чацвер, а таксама новы рэпартаж з нядзелі ў нямецкім штотыднёвіку Der Spiegel яны надалі зусім новы сэнс нашым асабістым страхам.
Самыя прыватныя дадзеныя ўладальнікаў iPhone, BlackBerry і Android знаходзяцца пад пагрозай, таму што яны абсалютна даступныя, бо АНБ здольна прарваць меры абароны гэтых сістэм, якія раней лічыліся вельмі бяспечнымі. На падставе звышсакрэтных дакументаў, апублікаваных інфарматарам АНБ Эдвардам Сноўдэнам, Der Spiegel піша, што агенцтва можа атрымаць спіс кантактаў, тэкставыя паведамленні, нататкі і агляд таго, дзе вы былі з вашай прылады.
Не падобна на тое, што хакерства так шырока распаўсюджана, як пра гэта гаворыцца ў дакументах, але, наадварот, ёсць: «індывідуальныя выпадкі праслухоўвання смартфонаў, часта без ведама кампаній, якія вырабляюць гэтыя смартфоны.
Ва ўнутраных дакументах эксперты могуць пахваліцца паспяховым доступам да інфармацыі, якая захоўваецца ў айфонах, паколькі АНБ можа пракрасціся на кампутар у выпадку, калі чалавек выкарыстоўвае яго для сінхранізацыі даных у сваім айфоне, выкарыстоўваючы міні-праграму пад назвай скрыпт, які затым дазваляе атрымаць доступ да іншых 48 функцый iPhone.
Прасцей кажучы, АНБ шпіёніць з дапамогай сістэмы пад назвай бэкдор, якая з'яўляецца спосабам дыстанцыйнага ўзлому кампутара і расшыфроўкі файлаў рэзервовых копій, якія ствараюцца кожны раз, калі iPhone сінхранізуецца праз iTunes.
АНБ стварыла аператыўныя групы, якія займаюцца асобнымі аперацыйнымі сістэмамі, і іх задача - атрымаць сакрэтны доступ да дадзеных, якія захоўваюцца ў папулярных аперацыйных сістэмах, якія працуюць на смартфонах. Агенцтва нават атрымала доступ да вельмі бяспечнай сістэмы электроннай пошты BlackBerry, што з'яўляецца вялікай стратай для кампаніі, якая заўсёды сцвярджала, што яе сістэма цалкам непарушная.
Падобна на тое, што ў 2009 годзе АНБ часова не мела доступу да прылад BlackBerry. Але пасля таго, як у тым жа годзе канадскую кампанію набыла іншая кампанія, спосаб сціску даных у BlackBerry змяніўся.
У сакавіку 2010 года брытанскі GCHQ абвясціў у звышсакрэтным дакуменце, што зноў атрымаў доступ да дадзеных на прыладах BlackBerry, суправаджаючыся святочным словам «шампанскае».
У дакуменце 2009 года канкрэтна сказана, што агенцтва можа бачыць і чытаць рух SMS-паведамленняў. Тыдзень таму стала вядома, як АНБ выдаткоўвае 250 мільёнаў долараў у год на падтрымку праграмы супраць шырока распаўсюджаных тэхналогій шыфравання і як яно зрабіла вялікі прарыў у 2010 годзе, сабраўшы вялізныя аб'ёмы новых даных, якія можна выкарыстоўваць праз праслухоўванне кабельных тэлефонаў.
Гэтыя паведамленні паходзяць з звышсакрэтных файлаў як АНБ, так і ўрадавай штаб-кватэры сувязі GCHQ (брытанская версія АНБ), якія былі апублікаваны Эдвардам Сноўдэнам. АНБ і GCHQ не толькі таемна ўплываюць на міжнародныя стандарты шыфравання, яны таксама выкарыстоўваюць звышмагутныя кампутары для ўзлому шыфраў грубай сілай. Гэтыя шпіёнскія агенцтвы таксама супрацоўнічаюць з тэхналагічнымі гігантамі і інтэрнэт-правайдэрамі, праз якія праходзіць зашыфраваны трафік, які АНБ можа выкарыстоўваць і дэшыфраваць. У прыватнасці, пра Hotmail, Google, Yahoo a Facebook.
Такім чынам АНБ парушыла гарантыі, якія інтэрнэт-кампаніі даюць сваім карыстальнікам, калі яны запэўніваюць іх, што іх камунікацыі, онлайн-банкінг або медыцынскія запісы не могуць быць расшыфраваныя злачынцамі або ўрадам. The Guardian заяўляе: «Паглядзіце на гэта, АНБ таемна змяніла камерцыйнае праграмнае забеспячэнне і абсталяванне для шыфравання, каб выкарыстоўваць яго, і можа атрымаць крыптаграфічныя дэталі камерцыйных крыптаграфічных сістэм бяспекі інфармацыі праз працоўныя адносіны».
Папяровыя сведчанні GCHQ 2010 года пацвярджаюць, што велізарныя аб'ёмы раней бескарысных інтэрнэт-дадзеных цяпер можна выкарыстоўваць.
Гэтая праграма каштуе ў дзесяць разоў даражэй, чым ініцыятыва PRISM, і актыўна прыцягвае амерыканскую і замежную ІТ-індустрыю да таемнага ўплыву і публічнага выкарыстання іх камерцыйных прадуктаў і распрацоўкі іх для чытання сакрэтных дакументаў. Яшчэ адзін звышсакрэтны дакумент АНБ можа пахваліцца атрыманнем доступу да інфармацыі, якая праходзіць праз цэнтр буйнога пастаўшчыка сувязі і праз галоўную сістэму галасавой і тэкставай сувязі Інтэрнэту.
Самае страшнае, што АНБ выкарыстоўвае асноўнае і рэдка абнаўляемае абсталяванне, такое як маршрутызатары, камутатары і нават зашыфраваныя чыпы і працэсары ў прыладах карыстальнікаў. Так, агенцтва можа пранікнуць у ваш камп'ютар, калі ім гэта неабходна, хоць у рэшце рэшт гэта будзе для іх значна больш рызыкоўным і дарагім, як паказвае іншы артыкул з Апекун.
[do action=”citation”]АНБ мае велізарныя магчымасці, і калі яно захоча быць на вашым камп'ютары, яно будзе там.[/do]
У пятніцу Microsoft і Yahoo выказалі занепакоенасць метадамі шыфравання АНБ. Microsoft заявіла, што гэтыя навіны сур'ёзна занепакоеныя, а Yahoo заявіла, што існуе вялікі патэнцыял для злоўжыванняў. АНБ абараняе свае намаганні па расшыфроўцы як цану за захаванне бесперашкоднага выкарыстання і доступу Амерыкі да кіберпрасторы. У адказ на публікацыю гэтых гісторый АНБ апублікавала заяву праз дырэктара Нацыянальнай разведкі ў пятніцу:
Наўрад ці варта здзіўляцца таму, што нашы спецслужбы шукаюць спосабы, каб нашы праціўнікі маглі выкарыстоўваць шыфраванне. На працягу ўсёй гісторыі ўсе краіны выкарыстоўвалі шыфраванне для абароны сваіх сакрэтаў, і нават сёння тэрарысты, кіберзлодзеі і гандляры людзьмі выкарыстоўваюць шыфраванне, каб схаваць сваю дзейнасць.
Старэйшы брат перамагае.
Адчуванне, калі АНБ мае доступ да базы Touch ID з мільёнамі адбіткаў пальцаў :)
цяпер ён можа атрымаць гэта праз біяметрычныя пашпарты ;-)
базы дадзеных Touch ID не будзе...
о наіўнасць людзей...
Мяркую, што праз паўгода выйдзе абноўленая версія iOS, якая дазволіць цалкам выключыць сканер, а яшчэ праз год з'явяцца артыкулы пра патчы бяспекі ад уцечкі адбіткаў пальцаў у інтэрнэт.
Асабіста мне TouchID больш нагадвае пытанне ляноты, чым бяспекі.
1. друк толькі фізічна на тэлефоне (я думаю, што ён застаўся на кнопцы), і я думаю, што гэта будзе добра
2. Я буду абжора ў пабе (дзякуй Богу, не мой выпадак) і мае сябры будуць рабіць з мяне зад - купляць праграмы ў краме будзе значна лепш, чым з паролем
3. Злодзеі - стукніце мяне па галаве, вазьміце тэлефон і разблакуйце яго пальцам
вядома, я перабольшваю, але калі справа даходзіць да адбітка пальца, не кажучы ўжо пра такую паверхню (у параўнанні з датчыкамі на наўтбуках), пра бяспеку можна не казаць занадта шмат.
Але гэта не бяда, я ўсё роўна не збіраюся купляць гэты тэлефон за такія грошы.
Rika - гэта амерыканская кампанія, у канстытуцыі якой замацавана, што калі гаворка ідзе пра тэрарызм, урад павінен атрымліваць усё, што хоча, без усялякіх глупстваў, незалежна ад любых іншых правоў :-).
Рэкамендую фільм "Скура, якую я апранаю". У фільме мужчына «крыху» захапіўся і, нягледзячы на тое, што зрабіў, даверыўся зняволенаму. Вы ўбачыце, як гэта атрымалася, а я нават не думаю, як гэта магло атрымацца....
Тое адчуванне, калі хтосьці не можа зразумець, што яго адбітак нідзе не захоўваецца, і таму ў базе дадзеных Touch ID будзе роўна нулявы радок.
Тое пачуццё, калі многія людзі ўсё яшчэ не разумеюць прынцып хэшавання.
Такое адчуванне, што дагэтуль чытаеш каментары, падобныя вышэй.
Тут так шмат тэхналогій :)
Тое пачуццё, калі хтосьці не разумее сарказму :)
Тое пачуццё, калі нехта не зразумеў сарказму :) Памыляюся. Але, на жаль, я чытаў гэта меркаванне некалькі разоў раней, таму я неадкладна адрэагаваў :/
З іншага боку, нягледзячы на ўвесь хэш, усё яшчэ ёсць пэўная параноя :)
Такім чынам, калі сёння неабходна мець магчымасць кантраляваць / кіраваць мабільным тэлефонам праз iTunes, то хто можа прадухіліць атаку на нейкі чып, які, безумоўна, запатэнтаваны, і таму яго асаблівасці і функцыі апісаны ў патэнце дзесьці ў Амерыцы, дзе усё, што вам трэба зрабіць, гэта сказаць, і АНБ атрымае тое, што хоча ;-).
На мой погляд, гэта не так ужо і нерэальна, і я магу паспрачацца, што калі вы цікавы чалавек, ваш 256-біт вам падыдзе. Запусціце суперкампутар, які расшыфроўвае пароль грубай сілай даволі хутка, галоўным чынам таму, што яны спецыяльна распрацаваны для такіх метадаў (гэта не будзе працаваць на 1 звычайнай лакальнай машыне).
Але гэтак жа, як некаторыя вірусы / махлярства могуць працаваць, або, магчыма, дзяржаўная палітыка .... глупства таксама можа працаваць.
Дазвольце сказаць вам, Android сёння адстой для кожнага сярэдняга чалавека (нават па віне ўсёй тупа прыдуманай сістэмы, па непразрыстасці, нават з-за памылкі карыстальніка).
Засталося толькі дачакацца хаця б адказу на сваё пытанне 1.
Ён іх мінімальна падзяліў, калі чалавек бачыць, што за ім можна ісьці і адпаведна нагружаць, калі ў яго зусім няма пары.
Акрамя заўвагі аб тым, што яны ўзламаюць мой 256-бітны шыфр, я цалкам згодны (2^250 занадта шмат нават для ўсіх камп'ютараў свету разам узятых :) )
Пачынаецца новая эра маніпуляцыі грамадствам. Падобныя механізмы будуць выкарыстоўваць усе перадавыя ўрады, і яны будуць выкарыстоўваць атрыманую інфармацыю, каб пераканаць людзей. Гаворка можа ісці аб усталяванні пенсій, коштаў на прадукты харчавання, платы за навучанне і г.д. Палітыкі будуць мець дакладны агляд фінансаў асобных груп і проста будуць выцягваць з іх грошы. Наіўна думаць, што калі я не ў інтэрнэце, сітуацыя мяне не датычыцца.
Пра аўтара - пару рэчаў не разумею.
1. У загалоўку гаворыцца, што АНБ можа атрымаць мае дадзеныя з майго тэлефона. Але тады вы згадваеце толькі атаку рэзервовых копій праз iTunes - чаго я, лагічна, не раблю. Акрамя таго, вы можаце рабіць зашыфраваныя рэзервовыя копіі праз iTunes - гэта зашыфраваныя або незашыфраваныя рэзервовыя копіі? Акрамя таго, усе згаданыя атакі павінны адбывацца праз камп'ютар - і калі я ўвогуле не падключаю свой iPhone да Mac - гэта датычыцца і мяне? Мне было б цікава падрабязней - Сноўдэн распаліў дыскусію аб бяспецы (што добра), але цяперашняя істэрыя мне не падабаецца - таму што яна не грунтуецца на тым, што сапраўды пад пагрозай, а што не. Там проста напісана, што «яны маюць доступ да ўсяго» (што, на маю думку, глупства), і на гэтым усё скончана. Тым не менш, з маім 256-бітным шыфраваннем, альбо яны мусяць катаваць мяне, каб я раскрыў ім пароль, альбо яны могуць паспрабаваць узламаць яго грубай сілай (дзе нават з лепшым алгарытмам патрабуецца каля 2^250 спробаў, што цалкам немагчыма сёння і будзе на працягу сотняў гадоў). Так што мне проста цікава, наколькі гэта падман і наколькі сучасныя алгарытмы шыфравання сапраўды знаходзяцца пад пагрозай. Згодна з усім, што я прачытаў, АНБ выкарыстоўвае сацыяльную інжынерыю і слабыя месцы ў сістэме, каб усё роўна атрымаць невялікую частку дадзеных. Гэта калі чалавек шыфруе (усе iMessages, напрыклад), тады сапраўды няма пра што турбавацца.
2. Абарона АНБ, наадварот, лагічная (што не азначае, што я згодны з іх дзеяннямі). Калі вам трэба выбраць - каго вы хочаце першым парушыць бяспеку вашай сістэмы? Дзяржаўнае агенцтва бяспекі або кітайска-расійская хакерская група, якая знішчыць усе нашы банкаўскія рахункі? Калі я гляджу на гэта з пункту гледжання - я на самой справе не вінавачу АНБ у спробе знайсці нашы ўласныя межы - мне проста падабаюцца людзі, якія зусім не клапоцяцца пра бяспеку, і пакуль вы іх не напалохаеце, яны гэтага не зробяць. Калі, напрыклад, нехта дзесьці мае пароль «password1234», але лаецца на АНБ, то дапамогі яму няма.
Буду рады кожнаму, хто мае пункт 1. vi vic. Мне вельмі цікава, было б крыўдна, каб у масе гістэрыкі знікла карысная інфармацыя.
З артыкула мяне дагэтуль не праходзiць жах ад таго, што дзяржаўныя органы будуць захоўваць i ўважлiва чытаць, што, дзе, якi чалавек напiсаў у фб, цi хто дзе набывае порна... Гэтая iстэрыка здаецца зусiм непатрэбнай. для мяне ўрады заўсёды мелі спосабы кантраляваць дзейнасць сваіх мэтаў з дапамогай камунікацыйных тэхналогій. Я ўсё яшчэ люблю гэта больш, чым узарваны цягнік у Мадрыдзе.