Ημέρα: 19 Οκτωβρίου 2013

Αττική: προσαγωγές αντιφασιστών

Προσήχθησαν 5 αντιφασίστες στον σταθμό Αττική στην Λιοσίων, μέλη του Αντιφασιστικού Συντονισμού Αθήνας – Πειραιά, οι οποίοι προπαγάνδιζαν (μοίραζαν κείμενα) την αντιφασιστική διαδήλωση που θα λάβει χώρα το Σάββατο 26/10 στον Αγ. Παντελεήμονα. Η «αγανακτισμένη» επιτροπή κατοίκων Αγ. Παντελεήμονα, μαζί…

NSA, Microsoft, Intel˙ όλοι για έναν και ένας για όλους! (Κοινός εχθρός τους η κρυπτογράφηση…)

 

sucks-nsa_ms_intel

Η μάχη του συστήματος στις κοινωνίες έχει επιβληθεί. Αφ’ ενός με κοινοβουλευτικές δημοκρατίες και διορισμένους δικτάτορες, αφ’ ετέρου με τις πολυεθνικές και τη συνεχή προπαγάνδα από τα ΜΜΕ.
Η NSA σε παγκόσμια κλίμακα, οι τοπικές “NSA”, της κάθε κυβέρνησης στον πλανήτη, είναι εδώ, ο αόρατος μπάτσος που προείπαμε και όχι μόνο αυτό. Απειλούν, άλλοτε κρατώντας τα προσχήματα, άλλοτε, χρησιμοποιώντας τα γνωστά άλλοθι, σταυροφορίας και προστασίας της κοινωνίας από τρομοκρατία και παιδική πορνογραφία και άλλα τέτοια πιασάρικα και γλαφυρά:

Στο πλαίσιο μιας οιασδήποτε προσπάθειας κρυπτογράφησης, απαιτείται η διατήρηση όλων των ανακοινώσεων που είναι κρυπτογραφημένες ή που αιτιολογημένα πιστεύεται ότι περιέχουν μυστική σημασία. Η διάρκεια διατήρησής τους ποικίλλει και πάντως σίγουρα μιλάμε για κάποιο χρονικό διάστημα κατά το οποίο το κρυπτογραφημένο υλικό υπόκειται σε κρυπτανάλυση.

NSA -25 Ιουνίου 2013

Ένα σημαντικό αγκάθι, για την NSA, αποτελούσε και το DeepWeb, καθώς και το δίκτυο Tor, ένα από τα πιο δημοφιλή μέσα εισόδου σε αυτό.
H παραβίαση, η οποία έγινε στο δίκτυο Tor, είναι γνωστή, όπως και τα επακόλουθα αυτής. Το Tor, αποτελούσε τον υπ’ αριθμό ένα στόχο της NSA, λόγω της ισχυρής ανωνυμίας που προσφέρει καθώς και λόγω του περιεχόμενου που υπάρχει σε αυτό.
Το ενδιαφέρον δε της υπόθεσης, και είναι κάτι που δεν του έδωσε κάνεις βάση, είναι πως η παραβίαση δεν έγινε άμεσα με κάποιες εξελιγμένες τεχνικές, μα προήλθε πλάγια, μέσω της σύλληψης του Eric Eoin Marques, ιδιοκτήτη μιας εταιρείας hosting για το Tor της Freedom Hosting, με την κατηγορία διακίνησης παιδικής πορνογραφίας.
Ενώ λοιπόν, όλος ο κόσμος το είχε τούμπανο, δεν είχε υπάρξει κάποια αντίδραση ή παραδοχή από το FBI/NSA, μέχρι πρόσφατα η οποία και πάλι κινούνταν στο επίπεδο έμμεσου εκφοβισμού, όπως άλλωστε, είχε δηλώσει και λίγο διάστημα πριν την επίθεση στο Tor το FBI/NSA.

Από παραδοχή του ίδιου του FBI.

Αν τα Δεδομένα Σας είναι κρυπτογραφημένα, ίσως είστε Διεφθαρμένοι, γι αυτό θα τα Κρατήσουμε μέχρι να Βεβαιωθούμε.

ΝSA 24/Ιούνη 2013]

NsA

Στόχος πλέον η Κρυπτογράφηση, το τελευταίο καταφύγιο της Ιδιωτικότητας:

Σκοπός αυτού του άρθρου είναι να δούμε με μια, όσο το δυνατόν πιο, σφαιρική ματιά τις διαστάσεις που παίρνει το πιο καυτό ζήτημα της χρονιάς που διανύουμε (2013) που δεν είναι άλλο από την κρυπτογράφηση και την καμπάνια της NSA εναντίον της, που πλέον αποδεικνύεται με μυστικά έγγραφα που διέρρευσαν από την ίδια την Μυστική Υπηρεσία Πληροφοριών.

Διαβάζοντας κανείς τις διάφορες τεχνολογικές ειδησεογραφικές σελίδες θα διαπιστώσει πως πολλοί δημοσιογράφοι θέτουν μεν ερωτήματα που υπόβαθρό τους έχουν την κρυπτογράφηση, διαφαίνεται όμως ταυτόχρονα η πεποίθησή τους ότι η NSA έχει τεράστιες δυνατότητες να την νικήσει.
Απλά, εξετάζουν τις λεπτομέρειες των μεθόδων της Υπηρεσίας Πληροφοριών και τις επιπτώσεις αυτών των μεθόδων.

Έτσι, θα μπορούσαμε να πούμε ότι μόνο κεραυνός εν αιθρία δεν ήταν οι αποκαλύψεις βόμβα της 5ης Σεπτεμβρίου, όταν η New York Times έδωσε στη δημοσιότητα μυστικά έγγραφα στα οποία περιγράφονται με κάθε λεπτομέρεια οι προσπάθειες της NSA να νικήσει την κρυπτογράφηση. Τα έγγραφα αυτά ήταν από τον οικονομικό προϋπολογισμό του 2013.
(Το osarena είχε βγάλει άρθρο νωρίτερα, την Δευτέρα 2 Σεπτεμβρίου 2013. Δείτε το, αν δεν το θυμόσαστε.)

Αποκαλύφθηκε τότε πως το συνδυασμένο κόστος υπερβαίνει κατά πολύ τα 250 εκατομμύρια δολάρια ετησίως, καθώς πέρα από το ποσόν των 278 εκατομμυρίων δολαρίων που καταβάλλονται μέσω ενός προγράμματος ονόματι «Corporate Access Partner» (=Πρόσβαση Εταίρων), υπάρχουν και κάποιες άλλες πληρωμές για το πρόγραμμα «Foreign Partner Access», συνολικού ύψους 56.600.000 δολαρίων.

4

Ο πακτωλός αυτών των χρημάτων περιλαμβάνει:

  • 1. Αθέμιτες παρεμβάσεις που υπακούουν στα εθνικά πρότυπα που δεν είναι άλλα από το να προωθήσουν την αδύναμη ή άλλως ευάλωτη κρυπτογραφία. Αναφέρεται, μάλιστα, ρητά η NIST, η ομοσπονδιακή τεχνολογική υπηρεσία που συνεργάζεται με τη βιομηχανία για να αναπτύξει και να εφαρμόσει την τεχνολογία, τις μετρήσεις, και τα περιβόητα πρότυπα, που μόλις εξηγήσαμε ποια είναι.
  • 2. Το να επηρεάζουν τα πρότυπα των επιτροπών ώστε να αποδυναμώνουν τα πρωτόκολλα.
  • 3. Το να συνεργάζονται με προμηθευτές hardware και software για να αποδυναμώσουν την κρυπτογράφηση και τη δημιουργία τυχαίων αριθμών.
  • 4. Την επίθεση εναντίον της κρυπτογράφησης που χρησιμοποιείται από την επόμενη γενιά των 4G τηλεφώνων.
  • 5. Το να αποκτούν πρόσβαση, με πλήρη εξουσιοδότηση δικαιωμάτων, σε ένα σημαντικό peer-to-peer σύστημα επικοινωνιών˙ φωνής και κειμένου (Να αναφέρονται άραγε στο Skype; Λέω εγώ.)
  • 6. Τον εντοπισμό και το «σπάσιμο» των ευάλωτων κλειδιών.
  • 7. Τη θέσπιση μιας Διεύθυνσης Ανθρώπινης Νοημοσύνης, που θα ακούει στο όνομα Human Intelligence, για να διεισδύσει στην παγκόσμια βιομηχανία τηλεπικοινωνιών.
  • 8. Και το χειρότερο όλων;
    Με κάποιο τρόπο, στόχος τους είναι η αποκρυπτογράφηση των συνδέσεων SSL.

ΙΝFO: Το Secure Sockets Layer (SSL) είναι το πιο διαδεδομένο πρωτόκολλο ασφαλείας που χρησιμοποιείται σήμερα σχεδόν παντού.
Πρόκειται για ένα πρωτόκολλο που παρέχει ένα ασφαλές κανάλι μεταξύ των δύο υπολογιστών που συνδέονται μέσω διαδικτύου ή και μέσω ενός εσωτερικού δικτύου.
Το SSL είναι ένα διαφανές πρωτόκολλο, το οποίο απαιτεί ελάχιστη αλληλεπίδραση από τον τελικό χρήστη κατά τη δημιουργία μιας ασφαλούς σύνδεσης.
Σίγουρα το έχετε συναντήσει πολλές φορές σε κάποια από τις αναζητήσεις σας ή σε κάποιες σελίδες που οι χρήστες παραχωρούν δεδομένα. Την παρουσία του SSL την καταλαβαίνουμε από μια ένδειξη με ένα λουκέτο και μια πράσινη μπάρα.
Το SSL χρησιμοποιεί μεθόδους κρυπτογράφησης των δεδομένων που ανταλλάσσονται μεταξύ δύο συσκευών (συνηθέστερα Ηλεκτρονικών Υπολογιστών) εγκαθιδρύοντας μία ασφαλή σύνδεση μεταξύ τους μέσω του διαδικτύου. Το πρωτόκολλο αυτό χρησιμοποιεί το TCP/IP για τη μεταφορά των δεδομένων και είναι ανεξάρτητο από την εφαρμογή που χρησιμοποιεί ο τελικός χρήστης. Για τον λόγο αυτό μπορεί να παρέχει υπηρεσίες ασφαλούς μετάδοσης πληροφοριών σε πρωτόκολλα ανώτερου επιπέδου όπως για παράδειγμα το HTTP, το FTP, το telnet κοκ.

Όλα αυτά τα προγράμματα έχουν διαφορετικούς κωδικούς, όπως για παράδειγμα το «Bullrun» που είναι το πρόγραμμα αποκρυπτογράφησης της NSA.

images

Πώς να σπάσουν ένα κρυπτογραφικό σύστημα

Με δυο λόγια, θα πρέπει να γνωρίζουμε ότι ουσιαστικά υπάρχουν τρεις τρόποι για να σπάσει ένα κρυπτογραφικό σύστημα.

  1. Να επιτεθούν στην κρυπτογράφηση.
    Αυτό είναι δύσκολο και απίθανο να λειτουργήσει κατά το πρότυπο αλγορίθμων που χρησιμοποιούμε (αν και υπάρχουν εξαιρέσεις). Ωστόσο, υπάρχουν πολλά σύνθετα πρωτόκολλα κρυπτογράφησης και μερικές φορές είναι ευάλωτα.
  2. Να «κυνηγήσουν» την εφαρμογή/υλοποίηση.
    Η κρυπτογραφία σχεδόν πάντα εφαρμόζεται σε λογισμικό (software)˙ και το λογισμικό είναι πολύ ευάλωτο. Όχι βέβαια ότι και το hardware βρίσκεται σε πολύ καλύτερη μοίρα.
    Δυστυχώς (για αυτούς), τα ενεργά exploits του software δουλεύουν μόνο εάν υπάρχει κάποιος στόχος.
    Σ’ αυτό το σημείο ίσως καλό θα είναι να διευκρινίσουμε ότι το exploit είναι ένα πρόγραμμα το οποίο παρακάμπτει την ασφάλεια υπολογιστών.
    Εάν ο στόχος είναι η μαζική παρακολούθηση, θα πρέπει να «χτίσουν» «τρύπες» από την αρχή ακόμα.
    Αυτό σημαίνει συνεργασία με τους προμηθευτές προκειμένου να προσθέσουν κερκόπορτες.
  3. Το βλέπουν από την… ανθρώπινη πλευρά. Γιατί να μπαίνουν στον κόπο και στη φασαρία να hack-άρουν τον υπολογιστή κάποιου, αν μπορούν να τον κάνουν να τους δώσει το κλειδί;

Ο Bruce Schneier, που έχει δει τα έγγραφα, αναφέρει ότι

Καλά είναι τα μαθηματικά, αλλά το πρόγραμμα με κωδικό όνομα Bullrun της NSA έχει υπονομευθεί.

Λέει, επίσης, ότι

Η NSA «εξαπατά».

Αυτό είναι κάπως παρηγορητικό˙ αν υποθέσουμε ότι μπορούμε να εμπιστευθούμε αυτά τα έγγραφα.

Βέβαια, το ερώτημα παραμένει:

Για ποια προγράμματα θα πρέπει να ανησυχούμε; Για ποιο hardware;

Αυτό είναι ίσως το πιο κρίσιμο ερώτημα.
Αν μιλάμε για εμπορικά προγράμματα κρυπτογράφησης, τη μερίδα του λέοντος έχει ένας μικρός αριθμός εκδοτών.
Τα πιο συνηθισμένα είναι το Microsoft CryptoAPI (και SChannel της Microsoft) όπως επίσης και το OpenSSL library.

Από τα παραπάνω, η Microsoft πιθανότατα έχει τον μεγαλύτερο έλεγχο. Ενώ το προσωπικό της Microsoft ελέγχει τους αλγόριθμούς της, το οικοσύστημά της είναι προφανώς κλειστού κώδικα (πιο κλειστού δεν γίνεται ;) ). Μπορείτε να δείτε τον κώδικα της Microsoft (αν έχετε υπογράψει συμφωνία αδειοδότησης), αλλά ποτέ δεν θα έχετε τη δυνατότητα να τον φτιάξετε εσείς οι ίδιοι˙ κοινώς, δεν μπορείτε να παρέμβετε.
Επιπλέον, έχουν μια μεγάλη μερίδα της αγοράς.
Εάν οποιαδήποτε εμπορική πωλήτρια εταιρεία αποδυναμώσει τα συστήματα κρυπτογράφησης, τότε ίσως η Microsoft είναι ο πιο πιθανός ύποπτος.

Και αυτό είναι όντως ένα μεγάλο πρόβλημα, αφού οι υπηρεσίες IIS της Microsoft εξουσιάζουν περίπου το 20% των web servers στο Διαδίκτυο και σχεδόν το 40% των SSL servers!
Επιπλέον, ακόμη και τρίτα προγράμματα κρυπτογράφησης που τρέχουν σε Windows συχνά εξαρτώνται από συστατικά της CAPI, συμπεριλαμβανομένης και της υπηρεσίας που παράγει τυχαίους αριθμούς.
Στην ουσία, δηλαδή, όλα αυτά τα προγράμματα εξαρτώνται από την ειλικρίνεια της Microsoft :lol: .

Πιθανώς, ο δεύτερος πιο πιθανός υποψήφιος είναι το OpenSSL. Ξέρω ότι φαίνεται παράδοξο να υπονοούμε ότι το OpenSSL – που είναι open source και ευρέωςintel-inside αναπτυγμένο- μπορεί να είναι ευάλωτο. Αλλά την ίδια στιγμή εξουσιάζει μία τεράστια μερίδα της ασφαλούς κίνησης στο Διαδίκτυο, χάρη όχι μόνο στην κυριαρχία του Apache SSL, αλλά και εξαιτίας του γεγονότος ότι το OpenSSL χρησιμοποιείται παντού. Αρκεί να ρίξουμε μια ματιά στις FIPS λίστες επικύρωσης CMVP για να συνειδητοποιήσουμε ότι πολλά «εμπορικά» προϊόντα κρυπτογράφησης είναι, απλά, περίτεχνα περιτυλίγματα γύρω από το OpenSSL.

Δυστυχώς, ενώ το OpenSSL είναι open source, περιοδικά την «πληρώνει» με τρωτά σημεία. Εν μέρει, αυτό οφείλεται στο γεγονός ότι η κρυπτογράφηση είναι απίστευτα πολύπλοκη.

Τώρα, όσον αφορά το hardware θα ήταν δόκιμο (και σώφρον μη σας πω) να δούμε πιο υποψιασμένοι το θέμα Intel Secure Key που, λίαν συντόμως, θα έχουν οι περισσότεροι επεξεργαστές της Intel.

Ποια πρότυπα;

Τα πρότυπα είναι ίσως το πιο ενδιαφέρον και ανησυχητικό μέρος της όλης υπόθεσης.
Το λογισμικό είναι σχεδόν πάντα σπασμένο, αλλά τα πρότυπα, θεωρητικά τουλάχιστον, πρέπει να έχει τη δυνατότητα να τα διαβάζει ο καθένας. Θα πρέπει να είναι εξαιρετικά δύσκολο να αποδυναμώσουν ένα πρότυπο χωρίς κάποιος να το προσέξει.
Ως φαίνεται, όμως, η NSA είναι ειδική στο να κάνει την αποδυνάμωση των προτύπων, παιχνιδάκι.

Οι κρυπτογράφοι έχουν περίπλοκα συναισθήματα για το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) και αυτό γιατί όλοι γνωρίζουν ότι η NSA έχει την εξουσία να χρησιμοποιήσει το NIST προς όφελός της.
Δυστυχώς, εξαρτόμαστε σε μεγάλο βαθμό από τα πρότυπα του NIST. Και το χειρότερο είναι πως πλέον δεν μπορούμε να εμπιστευτούμε αυτά τα πρότυπα.

nsa-award-winner-abolish7

Ποιοι;

Πιθανότατα, η μεγαλύτερη ανησυχία σε όλα αυτά είναι η απόδειξη της συνεργασίας μεταξύ της NSA και των απροσδιόριστων παρόχων των τηλεπικοινωνιών. Γνωρίζουμε ήδη ότι οι μεγάλοι αμερικανικοί (και διεθνείς) φορείς τηλεπικοινωνιών βοηθούν συστηματικά την NSA για τη συλλογή δεδομένων από τα καλώδια οπτικών ινών.

Ενώ το λογισμικό συμβιβάζεται, κάνει παραχωρήσεις και προχωράει σε μυστικές συμφωνίες με την Υπηρεσία Πληροφοριών και τα αδύναμα πρότυπα βοηθούν την NSA να συνάπτει συμφωνίες με κάποιες (?) από τις εταιρείες, μακράν ο πιο εύκολος τρόπος για να αποκτήσει πρόσβαση σε κρυπτογραφημένα δεδομένα είναι απλά να το ζητήσει -ή να κλέψει- τα κλειδιά.

Οι ΗΠΑ διαθέτουν τις περισσότερες δημοφιλείς ψηφιακές online υπηρεσίες (όπως η Google, το Facebook και η Yahoo). Μην ξεχνάμε, όμως, πως ταυτόχρονα κρατάνε και τα κλειδιά τους.
00
Στην τελική, τι σημαίνουν όλα αυτά;
Ειλικρινά, μακάρι να ήξερα.
Αυτήν τη στιγμή, πάντως, υπάρχουν πάρα πολλά αναπάντητα ερωτήματα και το μόνο σίγουρο είναι πως δεν μπορούμε να μένουμε αδρανείς και έρμαια των αποφάσεων των Μυστικών Υπηρεσιών.

fu_nsaΤο βέβαιο είναι πως έχουμε χάσει κάθε εμπιστοσύνη όσον αφορά τις υπηρεσίες που ισχυρίζονται πως μας παρέχουν ασφάλεια.
Εδώ και χρόνια, σαν osarena, το φωνάζουμε ότι δεν μπορείτε να εμπιστεύεστε λογισμικά κλειστού κώδικα και ότι δεν υποστηρίζονται από πρότυπα και κανόνες.
Ίσως, επιτέλους, αυτό να έγινε καταφανές.

Κάθε ελευθερία που σκοτώνουν στη πραγματική ζωή έχει αντίτιμο και στο διαδίκτυο. Κάθε ελευθερία που σκοτώνουν στο διαδίκτυο, έχει αποτελέσματα και στη καθημερινή μας ζωή…

 

 

 

osarena.net

Γερμανία: Ein Volk, Ein Reich, Ein Internet!

Αρκετοί φίλοι, από κοινότητες Linux και Ανοιχτού/Ελεύθερου Λογισμικού, έχουν γράψει κατά το πρόσφατο παρελθόν διθυραμβικά άρθρα, για την στροφή της γερμανίας στο ΕΛΛΑΚ, μια κίνηση που μοιάζει να γίνεται σταδιακά και έχει αρχίσει εδώ και ορισμένα χρόνια πριν. Aν και…