Топ популярних книг за місяць!
Knigoed.Club » Публіцистика » ВІЙН@: битви в кіберпросторі, Шейн Харріс 📚 - Українською

Шейн Харріс - ВІЙН@: битви в кіберпросторі, Шейн Харріс

199
0
В нашій бібліотеці можна безкоштовно в повній версії читати книжку "ВІЙН@: битви в кіберпросторі" автора Шейн Харріс. Жанр книги: Публіцистика.

Шрифт:

-
+

Інтервал:

-
+

Добавити в закладку:

Добавити
1 ... 31 32 33 ... 79
Перейти на сторінку:
використало як бекдор таку очевидну й усім відому вразливість. (Рік тому цю вразливість виявили фахівці компанії Microsoft.) Почасти відповідь полягала у тому, що АНБ уклало угоду з компанією RSA, одним із провідних підприємств світу в галузі комп’ютерної безпеки й піонером у цій індустрії. Згідно зі звітом агентства Reuters, оприлюдненим 2013 року, компанія почала застосовувати створений алгоритм АНБ «іще до його схвалення в NIST. Згодом АНБ посилалося на раннє впровадження алгоритму… в урядових організаціях, наводячи цей факт як арґумент для схвалення його в NIST». Алгоритм став «опцією за замовчуванням для генерації випадкових чисел» у програмному продукті bSafe компанії RSA, як відомо зі звіту Reuters. «Нікого це не збентежило, як визнали колишні працівники, позаяк угоду укладали управлінці, а не технарі». Згідно зі звітом Reuters, за згоду й готовність упровадити алгоритм зі вразливістю у технологічний продукт компанії RSA заплатила $10 млн.

АНБ створило для себе очевидну лазівку, але це не мало жодного значення. Алгоритм продавала одна з провідних світових компаній у галузі безпеки, а схвалила його не лише NIST, а й міжнародна організація зі стандартизації. Кампанія АНБ з ослаблення глобальної безпеки заради власних цілей виявилася ефективною.

Про діяльність АНБ заговорили 2013 року, після оприлюднення Едвардом Сноуденом деяких документів, і RSA та NIST відмежувалися від шпигунського агентства, хоча й не спростували інформації про інсталяцію бекдорів.

У заяві, зробленій після оприлюднення звіту Reuters, компанія RSA заперечувала таємну змову з АНБ, наполягаючи, що ніколи не мала «будь-яких домовленостей або спільних проектів із наміром ослаблення продуктів RSA або впровадження потенційних бекдорів у продукти масового вжитку». Але компанія не заперечувала, що бекдор існував або міг існувати. RSA визнала, що кілька років тому, коли ухвалювали рішення щодо використання вразливого генератора випадкових чисел, «АНБ користувалося довірою суспільства й докладало зусиль задля підвищення безпеки шифрування, а не його ослаблення». Тепер усе змінилося. Оприлюднені Сноуденом документи доводили втручання АНБ, і компанія RSA закликала відмовитися від використання цього генератора випадкових чисел. Так само вчинив і NIST.

Після викривальних заяв Сноудена Комітет зі стандартизації оприлюднив власну заяву, ретельно добираючи слова. «NIST не ослаб­ляв би криптографічні стандарти навмисне, – йшлося у цій заяві організації, яка не відкидала закидів, але й не заперечувала того, що АНБ таємно інсталювало вразливість або зробило це проти волі NIST. – NIST має тривалу історію тісної співпраці з експертами з криптографії світового рівня заради підтримки надійних стандартів шифрування. [АНБ] брало участь у криптографічних розробках інституту, позаяк в агентстві працюють визнані експерти в цій галузі. Статут інституту передбачає консультування з АНБ».

Інститут стандартизації чітко заявив світові, що не міг перешкодити АНБ. Навіть якщо б установа хотіла усунути АНБ від розробки стандартів, згідно із законом цього вчинити не могла. Один із керівників АНБ навів саме цей арґумент. У грудні 2013 року Енн Нойберґер, яка відповідала за співпрацю АНБ з технологічними компаніями, під час інтерв’ю блогові Lawfar, присвяченому питанням безпеки, прямо запитали, чи агентство втручалося в розробку алгоритму. Вона не підтвердила, але й не спростувала ці звинувачення. Нойберґер назвала NIST «надзвичайно шанованим, близьким партнером у багатьох питаннях». Але зауважила, що інститут «не є членом розвідувального співтовариства».

«Усе, що вони роблять… чистий білий аркуш, – продовжувала Нойберґер, маючи на увазі відсутність зловмисних намірів і прагнення передусім захистити шифрування та сприяти його безпеці. – Вони відповідають лише за стандарти й за те, щоб зміцнити їх так, як це тільки можливо».

І АНБ начебто зовсім не причетне. Здається, Нойберґер видала NIST перепустку на волю, звільняючи інститут від будь-якої відповідальності за впровадження вразливості.

Спроби послабити безпеку генератора випадкових чисел у 2006 році не були одиничним випадком. Це частина масштабної тривалої кампанії АНБ з ослаблення безпеки основних стандартів захисту інформації, якими користуються приватні особи й організації цілого світу. Документи свідчать, що АНБ почало співпрацювати з NIST іще на початку 1990-х, намагаючись послабити стандарти шифрування ще до їхнього прийняття. АНБ контролювало процес розробки стандарту цифрового підпису (DSS) – методу верифікації відправника електронного повідомлення та достовірності інформації у ньому. «NIST відкрито запропонував [стандарт] у серпні 1991 року і спочатку не згадував про будь-яку участь АНБ у розробці цього стандарту, призначеного для використання в несекретних цивільних системах комунікації», – йдеться у доповіді Інформаційного центру захисту електрон­них персональних даних, який отримав документи щодо процесу розробки стандарту, посилаючись на закон про свободу інформації. Потому, як група експертів із комп’ютерної безпеки подала судовий позов, NIST визнав, що АНБ розробило стандарт, який «масово розкритикували представники комп’ютерної індустрії за ненадійність і посередній рівень, якщо порівнювати з наявними технологіями перевірки достовірності. <…> Багато спостерігачів припускали, що АНБ не підтримало [наявної] технології, тому що насправді вона була безпечнішою за алгоритм, запропонований агентством».

З погляду АНБ жодного підступу в його спробах контролювати процес шифрування немає. Зрештою, агентство займається зламуванням закодованої інформації. Це завдання, яке йому доручили і виконання якого очікують. Якщо агентство зробило лазівки в алгоритмах шифрування, про які знало лише воно, кому це зашкодить?

Проте ці лазівки не були секретом. До 2007 року про бекдори в генераторі випадкових чисел писали популярні сайти й провідні експерти з кібербезпеки. Використати цю вразливість, тобто підібрати ключ, який відкривав би «чорний хід», залишений АНБ, було складно, але можливо. Іноземні служби могли знайти спосіб зламати алгоритм шифрування, щоб потому шпигувати за власними громадянами або за американськими компаніями й агентствами, які використовували цей алгоритм. Злодії мали змогу використовувати вразливості алгоритму для крадіжки персональної й фінансової інформації. Алгоритм був уразливий скрізь, де його застосовували, зокрема і в продуктах однієї з провідних світових компаній у сфері безпеки.

Фахівці АНБ могли заспокоювати себе, припускаючи, що криптографічні служби інших країн, безсумнівно, спробують обійти шифрування, зламуючи й ті алгоритми, якими маніпулювало АНБ. Звісно, так воно й було. Проте це не відповідь на запитання: навіщо свідомо дискредитувати не лише один алгоритм, а й процес створення стандартів шифрування загалом? Секретне втручання АНБ підірвало довіру до NIST і зруйнувало давню репутацію агентства як надійного й цінного партнера у створенні деяких засадничих технологій в Інтернеті та пристроїв, в яких люди зберігали власну інформацію, захищаючи недоторканність особистого життя. Лише уявіть, що АНБ займалося б виробництвом дверних замків і заохочувало всі будівельні компанії країни віддавати перевагу моделям, в яких є прихований недолік. Ніхто би цього не терпів. Споживачі завалили б компанію судовими позовами та вимагали б відставки керівників організації.

Проте реакція на антишифрувальну кампанію АНБ була порівняно кволою. Почасти тому, що багато експертів, серед яких були й криптографи,

1 ... 31 32 33 ... 79
Перейти на сторінку:

 Увага!

Сайт зберігає кукі вашого браузера. Ви зможете в будь-який момент зробити закладку та продовжити читання книги «ВІЙН@: битви в кіберпросторі, Шейн Харріс», після закриття браузера.

Коментарі та відгуки (0) до книги "ВІЙН@: битви в кіберпросторі, Шейн Харріс"