Berta Sándor

A kormányok veszélyeztetik a kiberbiztonságot

Egyetlen állam vagy komoly cég sem tartalmazna kiskaput tartalmazó technológiát, míg a bűnözők nagyon is örülnének az egyszerű behatolási lehetőségnek.

A San Francisco-ban megtartott RSA Security Conference az amerikai kormánynak szóló bírálatokkal és kritikákkal volt teli. Amit Yoran, az RSA cég vezérigazgatója nyitóbeszédében kiemelte, hogy a kiberbiztonságot veszélyeztető támadások jelentik a legnagyobb fenyegetést a társadalom számára. Ennek tükrében a titkosítások felpuhítását és kiskapukat követelni a különböző technológiákhoz, ezáltal katasztrofális mértékben meggyengíteni az infrastruktúrákat hihetetlen nagy őrültség. Hozzátette, hogy egyetlen komoly terrorista vagy támadó szándékú szervezet sem alkalmazna olyan kommunikációs technológiát, amelyről kiderül, hogy kiskaput tartalmaz. Azonban a bűnözők nagyon is élnének a lehetőséggel, hogy minél nagyobb károkat okozzanak.

Yoran ezután azért támadta az amerikai hatóságokat, mert azok folyamatosan azt ismételgetik, hogy több adatra van szükségük a bűnözés és a terrorizmus elleni harc sikeres megvívásához. Úgy vélte, hogy nem igaz, hogy sötét korszak köszöntött ránk, sokkal inkább az ellenőrzés arany korszakában élünk, amelyben a hivatalok megfelelő eszközökkel vannak felruházva ahhoz, hogy elvégezhessék a nyomozati munkát. A kormányoknak inkább a biztonsági szektort kellene támogatniuk, ahelyett, hogy akadályozzák az ágazat megoldásainak működését.


Brad Smith, a Microsoft főjogásza beszédében kifejtette, hogy természetesen együttműködnek a hatóságokkal, a párizsi merényletek kapcsán például 14 esetben 30 percen belül továbbítottak fontos adatokat. Ugyanakkor nem szabad, hogy kényelmi okokból a hivatalok automatikusan hozzáférést követeljenek olyan felhasználói adatokhoz, amelyek külföldön vannak tárolva. Leszögezte, hogy amennyiben egy kormány egy vállalatot górcső alá akar venni, akkor keresse fel azt és kérdezzen rá az őt érdeklő információkra, vagy tartson házkutatást ha akar, ahogy az évtizedeken át a gyakorlat volt. A felhőkörnyezetek kora nem vezethet oda, hogy ezeket az eljárásokat megkerülik, s más államok határait és jogrendszerét semmibe veszik. Sem a kabinetek, sem a technológiai vállalkozások nem állhatnak a törvények fölött.

Súlyosbítja a helyzetet, hogy a technológia előtti korszakból származó törvényeket alkalmazzák napjainkban, holott, amikor azokat kidolgozták és bevezették, akkor az adott technológiák még nem is léteztek. Kiemelte, hogy a jelenleg vitákat generáló terrorista-iPhone feltörésének ügyében az Apple mellett állnak. "Jó törvényekre van szükség, amelyek egyensúlyt teremtenek a közbiztonság és a magánszféra között. Az Amerikai Egyesült Államok Kongresszusa a szakértőktől megtanulta, hogy veszélyes következményekkel járna a járművek titkosítási mechanizmusának megkerülése vagy kijátszása" - hangsúlyozta Brad Smith.

Art Coviello, az RSA korábbi vezérigazgatója arra szólította fel az ágazatot, hogy harcoljon. Amennyiben a kormány valamit rosszul csinál, akkor meg kell mutatni, hogy van jobb út is. Szerinte hasonló a helyzet, mint ami az 1990-es években volt, akkor is a titkosítás volt a téma és az RSA-t technológiai exporttilalommal sújtották. Ugyanakkor rávilágított, hogy az Amerikai Egyesült Államokban legalább lehet harcolni az ilyen dolgok ellen, nem úgy, mint Oroszországban vagy Kínában.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Skylake #9
    Tetszik-nem tetszik, az a személy, csoport, vagy szervezet, amelyet T kategóriával címkézünk a legtöbb esetben nem hülye. Azért is jutott oda, ahova jutott, tehát eredményesen lő, vagy robbant, illetve feltör és rabol. Ha hülye a staff, és a kommunikációját nem védi, elérhetővé teszi, már rég a börtönben, vagy a föld alatt vannak a tagjai. Ezek a szervezetek, és tagjaik nagyon is tisztában vannak azzal, hogy tevékenységeiknek milyen következményeik vannak. Így ha eljutnak egy párizsi kategóriás akcióig, teljesen biztosra vehető, hogy megvan a know-how ahhoz, hogy tevékenységüket koordinálják. Különben lásd. előbb.

    Mivel tevékenységük és céljaik számára szó szerint életbevágóan fontos, hogy kommunikációjuk ne legyen elérhető mások számára, ezért alapvetően kétfajta megoldást használnak és kombinálnak. Plusz egy harmadikat, amire – mély fájdalom – nem ad megoldást a titkosítások gyengítése és digitális surveillance technológiák, bármennyire is érzik magukat f*szának az NSA-nál, GCHQ-nál, Roskomnadzor-nál, a PLA-nál, vagy bármely más biztonsági szervezeteknél. A megoldások a következők:

    - Elrejtőzés a zajban: olyan kommunikációs csatornák használata, amelyet tömegesen használnak, a jellegük okán a közlések tartalma „nem lóg ki” az adott csatornán történő kommunikáció témáiból és jellegéből. Vagy ha nem ilyet használnak, itt a kommunikáció, a lényegi közlések triviális dolgokba történő elrejtése, kombinálva mondjuk szteganográfiával, ha mondjuk, a virágnyelvnél többet kell közölni. Van ilyen kommunikáció dekódolására ont he fly megoldás a fenti szervezetek részéről? Tudomásom szerint nincs. Segít ebben a titkosítások begyengítése? Nem!
    - A másik megoldás, amikor különleges, speciális, általuk ismert, ismeretlenséggel és komoly biztonsági technológiákkal rendelkező kommunikációs megoldásokat alkalmaznak, kihasználva hogy azok szolgáltatói más államok, földrészek területén vannak, ahova az adott állam szervezeti nem tudnak elérni. Ezen kívül mindezt tényleg megbízható, ismert sebezhetőséggel nem rendelkező további titkosítóeszközökkel összekapcsoltan használják – security through obscurity a köbön. Ez a fajta kommunikáció csak célzott eljárásokkal található meg, ha megtalálható, ugye? Akkor van értelme az átlagemberek számára elérhető titkosítási megoldások gyengítésének? K*rvára nincs, mivel ők biztosan azon lesznek, hogy naprakészek legyenek abban, mi az amit nem szabad használni!
    - Azt csak mellékesen jegyzem meg, hogy legyengített titkosítások kiválóan alkalmasak további támadásokra az adott T szervezetek részéről, hiszen dokumentáltan ismert lesz, hogy hol van, ahol be lehet menni. És ha bement valamelyik szolgálat, akkor ők is be fognak tudni menni. Segített ez a nemzetbiztonság javításában? Nem, épp ellenkezőleg, jelentősen rontott!
    - És ha minden kötél szakad, ott vannak a klasszikus megoldások számukra. NSA-ul HUMINT. Na most, nekem az a véleményem, hogy ezek a szervezetek az utóbbi időben működésük fókuszát eléggé átállították (-> = mire mennyi zsét költenek el). Ott van minden előttük digitálisan, nézzük újra azt a retkes NSA-t, meg azt a keveset, amit Snowden nyilvánosságra hozott. Ebből tökre azt látom, hogy ez a szervezet is úgy lehet vele: szinte minden bejön a drótokon. Vélhetőleg más szervezetek is így vannak ezzel. Azaz, ebből azt akarom kihozni, hogy kevésbé fókuszálnak a HUMINT-re, főleg mert az sokkal drágább, mint az öltönyös-kosztümös droidhadsereggel nézni, mi jön be Muscular-on, Turbine-n, Xkeyscore-n és egyéb, általunk nem ismert társain. Így a T-sek részéről kézenfekvő lehet, hogy a meetingek nagy része személyes, (jó sok biztonsági tényezővel együtt, klasszikus konspirálás jegyében), mivel a szervezetek figyelme ebbe az irányba sokkal lanyhább lehet. V.ö.: Szun-Ce: mindig olyan területet támadunk, amit az ellenség nem véd. Ez erre is vonatkozik az ő nézőpontjukból. Tehát visszatérve a kiinduláshoz, a személyes konspiráció feltárásához segít valamit a széles körben használt titkosítási technológiák begyengítése, egy nemzetállam területi illetőségében? K*rvára nem!

    Egyébként egy bizonyos Bill Binney osztotta az észt a Reddit-en korábban. Ez a tag korábban elviekben az NSA technológiai igazgatója volt, szóval nem egy aktatologató, vagy Keyscore-b*szó majom. Neki az egész NSA adatgyűjtésről ez a véleménye:

    „All the programs currently in use by NSA have failed to produce results on anything, but are really good at bulk collection.” (https://www.reddit.com/r/IAmA/comments/3sf8xx/im_bill_binney_former_nsa_tech_director_worked/)

    Átfordítva amit mond, szerintem igaz lehet, hogy a titkosítások gyengítése ugyanígy nem produkálna kézzelfogható eredményt a robbantani és lőni szándékozók elkapása kapcsán, viszont még több bulk adatot lehetne véleményem szerint teljesen jogosulatlanul, az adatok tulajdonosai és eredeti kezelői szándékai ellenére összegyűjteni. Hogy ezekkel hogyan lehet visszaélni, nem hiszem, hogy magyarázni kellene. Ezek a szervezetek ugyanis jogszabály-irányítottak: azaz ha olyan jogszabályt hoznak, amely szerint az összegyűjtött adatokat feldolgozás után hova kell továbbítaniuk, akkor ezt fogják tenni. Egy represszív, vagy ilyen irányba eljutni kívánó rezsim számára ez maga a Kánaán, tökéletes kontroll alatt tartható bárki. Tehát megéri gyengíteni a titkosítási technológiákat? Nem, hiszen ezzel önkényuralmi lehetőségeknek ágyazunk meg. De majd a nagyon okos, többségében digitálisanalfabéta választópolgárok eldöntik, annak alapján, amit a médiából előre megcsócsálva a fejükbe öntenek. Minden ide fut ki ugyanis szerintem: mennyire hülye, vagy sem az informatikához az átlagátlag.
  • gforce9 #8
    "Sztem ha megnehezítik a terrorok dolgát (többet kell azzal foglalkozniuk hogy biztonságossá tegyék a kommunikációjukat) az mindenképpen előny. "
    Nem kell ezzel foglalkozniuk az eszközök készen vannak, csak 10 percet rá kell szánni.


    "Nem érdemes végletekben gondolkodni, hogy vagy mindenki feltöri vagy senki, vannak árnyalatok is."
    Nem végletekben gondolkodok. Csak ez a gyengítés többet árt mint használ. A záras példádnál maradva, mi lenne ha törvényben köteleznének arra, hogy csak olyan zárat szerelhetsz fel, amit a rendőr ki tud nyitni? Onnantól bárki ki tudja.
  • nkmedve #7
    Egy robbantást megakadályoznak, cserében pedig megsokszorozódik a kiberbűnözéses esetek száma (az is lehet a terrorizmus egy formája, vezethet halálesetekhez, anyagi kárt okozhat, megfélemlitésre használható). Szóval az éremnek itt is két oldala van.

    Az Apple botránnyal kapcsolatban azzal egyetértenék hogy az adott eszközt feltörje az Apple (ha legetséges), és átadja az adatokat birósági végzés alapján (és kizárólag úgy hogy az eset nem használható jogi precedensnek a jövőben). Azzal viszont egyáltalán nem, hogy az FBI (vagy NSA) kezébe egy eszközt adjanak amit bármikor felhasználhatnak.
  • lammaer #6
    Ilyen alapon zárat se tegyél a lakásodra mert a felkészült betörő úgyis bemegy, akkor hadd menjen be az egyszeri piti tolvaj is (aki amúgy nem ment volna)...

    Sztem ha megnehezítik a terrorok dolgát (többet kell azzal foglalkozniuk hogy biztonságossá tegyék a kommunikációjukat) az mindenképpen előny.
    Ha csak 1 robbantással többet megakadályoznak ezáltal (mondjuk a kevés sütnivalójú terrorokat) sztem már megérte.

    Nem érdemes végletekben gondolkodni, hogy vagy mindenki feltöri vagy senki, vannak árnyalatok is.
    Utoljára szerkesztette: lammaer, 2016.03.03. 16:23:42
  • gforce9 #5
    Megoldhatatlan. Ha valaki tényleg lehallgathatatlanul akar kommunikálni, megteheti, számtalan lehetőség van rá. Ha meg a hivatalos verziók törhetőek leszenk, majd jönnek az egyedi megoldások. Szóval az eredmény az lesz, hogy a legyengített titkosításokat mindenki le tudja hallgatni, de a "terrorisát" amelyiknek van sütnivalója, azt meg ugyanúgy nem tudják.
  • lammaer #4
    Az tudtommal szabályozva van - pl az orvosi titoktartás megszűnik, ha mások életének, testi épségének és egészségének védelme azt szükségesség teszi illetve ha büntetőügyben zajlik nyomozás.

    Pontosan ez kellene itt az ITben is.
  • lammaer #3
    Sztem pedig kell egy értelmes kompromisszum, mert az sem pálya hogy a terrorokat nem lehet lenyomozni/lehallgatni.

    Konkrétan pl nem tudom miért púposkodik az apple, hogy egy bizonyítottan terrorista pacák iPhoneját nem törik meg. Ok, ne adja ki a módszert, törje meg ő azt jutassa vissz az adatokat a hatóságnak.
    Nehogymá egy terrornak a személyiségi jogairól elmélkedjünk már...
  • gemihu #2
    Az orvosi, papi és hasonló titoktartással mit csinálnak a hatóságok? Azt senki se firtatja?
  • Skylake #1
    Jó látni, hogy vannak akik értik, micsoda agyament hülyeség titkosítási technológiák legyengítése.