24/9/2015
Rząd Stanów Zjednoczonych coraz częściej domaga się obowiązkowych, tzn. wymuszanych przez prawo, tylnych furtek. Miałyby one być implementowane przez firmy w tworzonych przez siebie programach i urządzeniach. Potrzeba wbudowania backdoora jest prosta — wszechobecna kryptografia znacząco utrudnia służbom pozyskiwanie materiału dowodowego i masową inwigilację (podsłuch przesyłanych przez internet danych).
Jak wbudować backdoora
Wbudowanie backdoora w oprogramowanie to dość kontrowersyjny pomysł. Taki backdoor może się bowiem zemścić na jego pomysłodawcach, ponieważ zachodzi ryzyko, że korzystać z niego mogłyby nie tylko amerykańskie służby, ale i wrogowie Stanów Zjednoczonych. Wymuszając backdoorowanie sprzętu i oprogramowania, USA strzeliłoby sobie więc w stopę…
Politycy mimo wszystko nie ustają w pomysłach na “bezpiecznego” backdoora, tzn. takiego, który używany byłby tylko przez odpowiednie służby i nie narażałby obywateli na “zhackowanie” przez byle kogo. Oto 4 propozycje implementacji backdoora, jakie są obecnie rozważane:
- Wbudowanie fizycznego portu z zaszyfrowanym dostępem. Nowe urządzenia musiałyby być produkowane z dodatkowym portem/gniazdem, do którego, w razie potrzeby, mogłyby się podpiąć służby. Dostęp przez ten port byłby szyfrowany oddzielną parą kluczy będącą w posiadaniu producenta i udostępnianą tylko służbom na wniosek sądu. Plusem jest ograniczenie wykorzystania backdoora przez internet (port jest “fizyczny”), minusem — dodatkowe koszty i modyfikacja urządzeń.
- Złośliwa wykorzystanie automatycznych aktualizacji. Służby mogłoby zażyczyć sobie, aby producent na konkretne urządzenie (to, należące do podejrzanego) udostępnił aktualizację, ale nie taką jak dla wszystkich swoich klientów, a “zbackdoorowaną”, zawierającą oprogramowanie szpiegowskie dające dostęp do urządzenia służbom. Minusy: użytkownicy mogą celowo wyłączać aktualizacje w obawie o podesłanie im przez producenta jakiegoś backdoora. To z kolei może spowodować, że będą korzystali z nieaktualnego oprogramowania i paradoksalnie, będą bardziej podatni na ataki poprzez niezałatane dziury.
- Podzielenie się kluczami szyfrującymi. To rozwiązanie zaproponowało NSA. Producenci musieliby zapewnić dodatkowy klucz rozszyfrowujący dane użytkownika, ale musieliby go podzielić na kilka “części”. Tylko na wniosek sądu, wszystkie części mogłyby zostać połączone w “backdoorowy” klucz.
Takie rozwiązanie, czyli tzw. “dzielenie sekretu”, np. algorytm Secret Sharing Shamira, jest wykorzystywane przez DNSSEC do podzielenia klucza wykorzystywanego dO podpisywania strefy root DNS-a. (por. Restart internetu czyli siedmiu krasnoludków). NSA zapewne nieprzypadkowo proponuje takie rozwiązanie — najprawdopodobniej agencja miałaby możliwość “dogenerowania” sobie brakujących części klucza samodzielnie ;)
- Wymuszony backup. Na wniosek sądu, firma musiałaby przechowywane przez siebie dane wskazanego użytkownika wysłać do niezaszyfrowanej lokalizacji. Notatka twierdzi, że taki system wymusiłby na firmach zbudowanie nowego kanału tworzenia kopii bezpieczeństwa lub znaczącej modyfikacji obecnych rozwiazań.
Ta sama notatka, z której pochodzą powyższe 4 propozycje ma dopisek, że ich ujawnienie w kontekście prowadzonych przez rząd dyskusji zapewne będzie postrzegane przez opinie publiczną jako próby wprowadzenia tylnych furtek, co zaogni spory i dyskusje, zamiast budować współpracę pomiędzy rządem i twórcami oprogramowania i sprzętu. No shit. Swoją drogą, Chiny już mają takie prawo.
Jaki pomysł uważacie za najlepszy? Ma może macie inne propozycje?
PS. W temacie polityków i ich wpływu na bezpieczeństwo polecamy nadchodzącą konferencję CYBERSEC …i przypominamy, że jeszcze przez 2 godziny trwa nasz konkurs, w którym można wygrać darmową wejściówkę.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Czy rządzącym czubkom nie przyszło do głowy, że ludzie po prostu przestaną tego używać, albo zaczną rozwiązanie trolować? Kryminaliści znajdą inne sposoby, osoby nie lubiące podsłuchów i inwigilacji nie będą korzystać z takich rozwiązań, a cała reszta to nieinteresujący motłoch i tak mający prywatność w d…. Naprawdę niewiele trzeba, pół roku mojego bojkotowania wytwórni za wpływanie na polityków spowodował, że tak naprawdę nie wiem co leci w kinie. Pogubiłem się, którą część którego filmu już widziałem. Coraz mniej mi oglądania filmów brakuje. Informacja i rozrywka to nałóg jak fajki, a obecna rzeczywistość i polityka wyraźnie daje mi do zrozumienia że to szkodzi. Wydaje mi się, że z cyfrowym wirtualnym światem mógłbym zrobić coś podobnego. Moje życie to komputery od zawsze, spędziłem przy nich 30 lat życia, uczestnicząc i tworząc to co teraz można zobaczyć. Niestety Microsoft walnął mi ostatnio kolejnego wielkiego policzka swoją polityką “prywatności”, a niekompetentni obłudni politycy wychowani w czasach bez wszechobecnych kamer i powszechnego piractwa praktycznie codziennie zaciskają społeczeństwu KAFTAN bezpieczeństwa. Tak. To kaftan, panoptykon i wielki brat. Podpowiem wam jaki jest koniec.
“Spojrzał na ogromną twarz. Zajęło mu 40 lat, nim odkrył, jaki to uśmiech kryje się pod czarnym wąsem. Och, cóż za okrutna, niepotrzebna pomyłka! Och, cóż za upór i arogancja nie pozwalały mu się przytulić do miłującej piersi! Dwie pachnące ginem łzy spłynęły mu wolno po policzkach. Ale wszystko już było dobrze, wreszcie było dobrze; walka się skończyła. Odniósł zwycięstwo nad samym sobą. Kochał Wielkiego Brata. ” 1984
Z jakiej książki ten cytat na końcu :)?
USA Obamy to największe zagrożenie dla wolnego świata.
Warto by porównać na ile krajów napadła np. Polska, a na ile USA.
Śmieszne USA zza oceanu wie, że jest powoli upadającym mocarstwem, a Chiny rosną w siłę, więc próbuje wykorzystać ostatnie lata swej siły i terroryzować niepokornych, którzy nie zgadzają się na złodziejską “demokrację” USA. Już niedługo
@Kamil – masz podpisane. A tu szczegóły: http://lubimyczytac.pl/ksiazka/241181/rok-1984
Fantastyczna, swoją drogą, i bardzo na czasie. Gratuluję autorowi komentarza, samo czytanie było przyjemne.
Świetny komentarz.
i wszystkie te cuda na wniosek sądu :) a jak wszyscy wiemy stare ale jare prawo mowi: wasal mojego wasala jest moim wasalem :) rząd ma sąd a rząd to ludzie którzy bardzo chcą się dobrać do tego co ukryte a cała idea szyfrowania polega na tym by dostęp do danych miał tylko ten kto dane zaszyfrował.. Rząd to ludzie tacy sami jak wszyscy Ci przed którymi chowa sie informacje niejawną. Doskonale wie o tym każdy kto slyszał o wikileaks gdzie dowiadujemy sie rzeczy o rządzie które nigdy nie miały ujrzeć swiatla dziennego… oni ukrywaja cos przed nami to i my mamy prawo przed nimi i to sie nie zmieni no moze tylko technologie szyfrowania by backdoory mogli sobie zamontować z tyłu w swoich 4 literach ;)
a o trójpodziale władzy słyszałeś w szkole? Sądy są niezawisłe i żaden urzędas nie ma wpływu na wyroki, a żaden sędzia nie odpowiada przed urzędnikiem. Po to jest ten właśnie uważany za niepotrzebny immunitet. Właśnie po to, żeby sędzia nie musiał się zastanawiać jaka ekipa rządząca dojdzie do władzy w następnych wyborach.
PS. Inna sprawa, że polskie sądy muszą działać zgodnie z obowiązującym prawem, a jakie prawo mamy stanowione to każdy widzi. Wielki lament, że pedofilowi nie ucięto jajek. Głosuj na partię, która tego chce. Powstanie nowy kodeks karny, a sędziowe będą nakazywać ucięcie cohones bo innego wyjścia nie będą mieli. Pamiętaj sądy orzekają zgodnie z literą prawa, a nie sprawiedliwie. Teoretycznie powinno być to to samo, ale politycy, rząd i owszem nieraz sędziowie sprawiają, że jest inaczej.
“Sądy są niezawisłe i żaden urzędas nie ma wpływu na wyroki, a żaden sędzia nie odpowiada przed urzędnikiem”
Porażająca naiwność :) Nawet jeżeli sędzia świadomie nie współpracuje z nikim, to jak sam napisałeś że musi przestrzegać prawa, które stanowi “rząd”.
By daleko nie szukać, np sprawa odbierania prawa jazdy, brak możliwości odwołania się, i inne tego rodzaju faszystowskie pomysły. Tak, polska państwem prawa! :)
niezawisły sąd ? kolego obudź się bo śpisz jak będziesz miał kiedyś problem z jakimś prokuratorem to do kogo się poskarżysz? “prawo” to pewien skrypt napisany w języku polskim jak program posiada błędy i backdoory tak jak każde oprogramowanie jeśli mam dostęp do kodu źródłowego to mogę zarządzać “prawem”.
słyszałeś o miejscowości w polsce w której amerykanie przesłuchują terrorystów ? a w zasadze torturują by uzyskać informacje. w usa jest prawo mowiace ze jesli ktos jest podejrzany o terroryzm to mozna go torturować fajne nie? teraz dajmu mu bombe do lapy i powiedzmy ze mial to w samochodzie co nie terrrorysta? idziemy z tym do sądu a ten daje nam zgode na wszystko.. chcesz posluchać polskich realiów? w polsce przeszukanie robione jest “na blache” potem tylko musza ci dac nakaz wystarczy ze wezmą jakas reklamówke z twoiego pokoju wladują tam pol kilo amfy i jestes ugotowany sankcję masz w kieszeni i jak sie wytlumaczysz jak 5 kryminalnych zezna ze miales to w szufladzie co twoim zdaniem bedzie mogl stwierdzic sąd a jak sie znajdzie jeszcze 2ch nieznajomych co zeznaja ze im to sprzedales ?
nie ma czegos takiego jak trojpodzial wladzy – wladza sadownicza nie pochodzi z woli ludu a wiec nie ma oparcia w demokratycznym systemie a wiec nie jest wladza – to jedynie specyficzna forma urzedowania.
” a jak wszyscy wiemy stare ale jare prawo mowi: wasal mojego wasala jest moim wasalem”
no właśnie, że jest na odwrót wasal mojego wasala NIE jest moim wasalem
A czy jest dużym problemem opracowanie nowego standardu szyfrowania poza terenem USA? Wtedy można mieć głęboko gdzieś to co oni chcą.
Podobno idee tego typu grożą samobójstwem.
To ja z góry uprzedzam, że takowego nie planuję :)
i pewnie zakazali by importu
@Borygo samobójstwa? nie musisz, oni zaplanują za Ciebie :)
jak tu sie piwa stawia ?
@up: ale masz racje :D
Co do pomysłu pt. “Złośliwe wykorzystanie automatycznych aktualizacji”: ekspresowo powstanie aplikacja porównująca hashe ściągniętej aktualizacji z hashami tej samej aktualizacji ściągniętej przez innych użytkowników.
#1 dotyczy wyłącznie hardware’u i “sprzętowej” czy też “firmowej” – wbudowanej w system operacyjny itp. – warstwy szyfrowania. Wystarczy nałożyć kolejną i nic to nie da. Przykładowo na twardym dysku wspierającym sprzętowe szysfrowanie z rządową wtyką założyć partycję szysforwanę LUKSem czy czym innym. Po drugie, jeśli firma ma te klucze i ma je ujawniać tylko na żądanie sądu – to jaka jest pewność, że nie ujawni na żądanie byle dupka z legitymacją? I jaka jest pewność, że sędzia wnikliwie rozpatrzy sprawę i nie da się oszukać przedłożonymi fałszywymi oskarżeniami? Albo że firma się postawi rządowej agencji, jeśl ta zagrozi zerwaniem lukratywnego kontraktu? Po trzecie tym, skoro skutecznie włamano się do amerykańskiego urzędu trzymającego dane osób, którym wydano poświadczenia bezpieczeństwa, i wykradziono całą bazę – to tak samo można się włamać do firmy X i wykraść całą bazę kluczy… i wszystkie urządzenia stoją otworem przed złodziejami. Ba, włam może zrobić sama NSA przez chińskie proxy i zwalić na nich, nie musi potem się prosić sądu o żaden nakaz.
#2 skoro firma w ogóle może wysłać aktualizację, która udostępni odszyfrowane dane to znaczy, że albo ma klucz i patrz #1, albo ta aktualizacja jest np. keyloggerem kradnącym hasło otwierające wolumen itp. To niech sobie sama NSA instaluje keyloggery, przecież juz to robi. I znowuż, czy można ufać firmie X, że postawi się rządowi, oraz sędziom, że zrobią to samo. Ponadto, jeśli ktoś ukradnie taką aktualizację to może ją podłożyć komukolwiek.
#3 to samo co #1, tylko kto inny będzie trzymał klucz, albo będzie kilka podmiotów trzymajacych fragmenty klucza – ale tak samo wystarczy jeden skorumpowany, wprowadzony w błąd, albo leniwy sędzia – wszyscy dostaną ten sam nakaz. Prawdopodobieństwo wykradzenia bazy kluczy mniejsze niż w #1 co prawda.
#4 to samo co #1, czyli producent ma klucz, ale na dodatek jeszcze trzyma kopię danych użytkownika! czyli może sobie do nich zaglądać i robić z nimi co chce.
A wszystkie te metody nie dotyczą sprzętu i softu produkowanego poza USA – no bo jak ich zmuszą? Ci, którym zależy, po prostu przestaną używać USAńskich zabawek. Reszta i tak jest na widelcu, jeśli nie szyfruje lub robi to źle.
“A wszystkie te metody nie dotyczą sprzętu i softu produkowanego poza USA – no bo jak ich zmuszą?”
Proste, zagrożą nie wpuszczeniem produktów na rynek, a to dla większości producentów softu czy sprzętu oznaczałoby by dziś wylecenie z rynku.
Tak na prawdę wszystkie te prawa mają na celu tylko jedno -�szpiegowanie firm i przechwytywanie patentów, co do kolejnej warstwy szyfrowania, hasło przy szyfrowaniu będziesz wpisywać na sprzęcie i systemie przez nich pisanych, więc co da szyfrowanie jak hasło dawno już będzie wysłane na serwery w chmurze? I tak zablokują paten tutaj a pół roku później się okaże że w izraelu opatentowali Twój wynalazek …
“najprawdopodobniej agencja miałaby możliwość “dogenerowania” sobie brakujących części klucza samodzielnie ;)”
Raczej nie (rozumiem, że końcowy uśmiech wskazuje na zawarty w stwierdzeniu żart). Shamir jest odporny na “dogenerowywanie”.
Też zwróciłem na to uwagę i od razu myśl “czy to żart czy nie kompetencja autora” ;)
Nie trzeba zresztą używać skomplikowanych algorytmów, nawet proste dodawanie również wystarczy by było to niemożliwe.
I wlasnie dlatego Windows promuje platforme Azure.Wszystko w chmurze to latwy dostep sluzb do informacji.Moze neidlugo bedziemy swoje cale zycie zapisywac i damy przegladac kazdemu.
Whoa, serio facebookow i twitterow nie widziales? ;)
@mariusz – Co innego sieć społecznościowa gdzie wrzucasz zdjęcie kota a co innego chmurka do firmy w których niektóre korporacje już ochoczo przetrzymują wrażliwe dane.
Do Mariusz: WIdzialem:) Mialem na mysli inna forme kontroli.Chipy zapisujace cale nasze zycie:) Do ktorej dostep beda mialy postronne osoby.Zapis obrazu przez galke oczna,Kontrola chemiczna zachowania organizmu,nagrywanie dzwieku.:)) To troche wiecej niz facebook:))
A czy google ze swoim gmailem dla korporacji nie był pierwszy?
Do Wiking SE: widzisz – ja sam byłem świadkiem tego, co widzą tylko nieliczni – a dokładnie badania nad podsłuchiwaniem myśli, sterowaniem emocjami, a nawet możliwością decydowania kiedy człowiek zemdleje a kiedy może być przytomny. Większość ludzi nie wierzy jak takie coś piszę jak teraz, ale takie rzeczy sie niestety dzieją.
Nawet niezdajesz sobie sprawy, co umożliwia taki czip wstrzyknięty do głowy człowieka.
Ja ci powiem tylko tyle że znacznie więcej umożliwia niż to co robi NSA i inne agencje podsłuchujące ludzi.
Raczej nie że “raczej nie”; Secret Sharing Shamir’a w zależności od implementacji może pozwalać na odszyfrowanie danych nawet nie posiadając wszystkich części klucza.
No znowu raczej nie. Shamir potrzebuje dowolnych t z n fragmentów klucza – taka jest zasada, a nie ‘w zależności od implementacji nie potrzeba wszystkich części’ (choć oczywiście może być t==n, jest to prostsza opcja do implementacji).
Co do dogenerowywania, zależy od tego czy implementacja jest bezpieczna:
“A secure secret sharing scheme distributes shares so that anyone with fewer than t shares has no extra information about the secret than someone with 0 shares.”
z https://en.wikipedia.org/wiki/Secret_sharing#.22Secure.22_versus_.22insecure.22_secret_sharing
Podniecacie się – a przecież wielu producentów nie gada o tym, ale takie triki dawno wsadziło już – np. huawei napakowany chińskimi dodatkami, cisco – dziurawe i wielce amerykańskie… mam wrażenie że im droższe rozwiązanie, tym bardziej trefne… Pozostaje używać otwartych systemów na architekturach z normalnych czasów – każdy ma w szafie kilka pentiumów 90 czy nawet 166MMX – które z powodzeniem poradzą sobie z rolą routera domowego, a jakby nie to są płytki typu embedded gdzie się gada ze scalakami – nie mówię, w scalaku też można schować wytrych – ale nie wszędzie i nie we wszystkich…
Owszem, jednak do tej pory była to dobra “wola” producenta. Na dodatek nie musiał się tym dzielić z żadnymi służbami. Narzucenie tego z góry, znacząco zmienia perspektywe.
Pomysł z portem jest totalnie zryty – łatwo można przecież takie coś uszkodzić. Łamiąc piny, wtykając tam gazetę, itp.
Nie zapomnij o zdrapaniu padow i sciezek z wielowarstwowych pcb w srodku urzadzenia.
Ta. Posadzą tam scalaczek od obsługi tego portu i tak zaprogramują płytę główną, żeby nie wystartowała, jeśli scalaczek nie powie “dzień dobry”. Czyli nie możesz go uszkodzić, odpiąć/odpiłować części jego nóżek, bo się nie przywita i klops ;)
Wikrap, wystarczy że go się na tyle uszkodzi, żeby nie zadziałał. W moim starym telewizorze CRT miałem wejście scart. Po podłączeniu do tego złącza urządzenia (np. dekodera kablówki), dekoder wykrywało. Ale obrazu/dźwięku za wacka nie było.
Czyli działało mimo, że nie działało. Jak takie złącze-backdoor się pojawi, to mogę się założyć o dowolną sumę zielonych jabłek, że zaraz na YT się pojawią tutki jak to udogodnienie wyłączyć. A jak nie na YT, to już na pewno na *chanach i torze.
spoko spoko to zaraz dodadza do “prawa” ze jak uszkodzisz taki port to jesteś kryminalista a moze i nawet terrorysta hobbysta i sankcja 2 lata na wydobycie kluczy szyfrujących :D
W moim starym notesie elektronicznym Casio SF-3990, posiadającym funkcję zabezpieczenia danych pinem, obok baterii znajduje się 6-stykowe gniazdo, łatwo dostępne po odsunięciu klapki. Zastanawiam się, do czego ono służy. Wydaje mi się, że do zmiany firmware’u (na przykład programatory USBasp też mają 6 styków: VCC, GND, wysyłanie danych, odbieranie danych, reset i sygnał zegarowy). Ale może już wtedy wprowadzali takie backdoory?
Słuchajcie, rozmawiamy o tak poważnych praktycznie rzeczach, dodatkowo z samych komentarzy dowiadujemy się więcej niż z przeciętnej prasy – np chociażby wzmiankach o ciekawych algorytmach szyfrujących.
Jak to jest możliwe, że w serwisie w którym mają miejsce tak konkretne dyskusje nie istnieje możliwość stawiania piwa :(
Wiadomo, ciężko jest do niektórych implementacji wordpressa zrobić czasami nawet proste rzeczy – np możliwość sterowania ekspresem do kawy, ale na litość boską zróbcie nareszcie tą brakującą funkcjonalność bo naprawdę z jednej strony dystrybutor browaru mógłby zarobić, z drugiej strony wszyscy bylibyśmy za to wdzięczni gdyby dało się postawić tego symbolicznego browara jednym przyciskiem :(
@krastley aj, nie pomyślałem, że to tytuł : D. Ale dzięki, muszę przeczytać :)
Prawidłowe rozwiązanie ‘lokalne’ to penalizacja szyfrowania silniejszego, niż konieczne do codziennego użytku i wprowadzenie licencji na stosowanie kryptografii silniejszej (banki itp. – oczywiście prawo musiałoby zezwolić na używanie silniejszej a nie słabszej metody z tych, na jakie strony połączenia mają zezwolenia). Kryptografia w nieodpowiednich rękach jest bronią i jako taka mogłaby podlegać ograniczeniom (patrz: ograniczenia eksportowe USA). A ja już jakiś czas temu tutaj pisałem, że mi osobiście silne szyfry nie są potrzebne do tego, żeby zabezpieczyć dysk przed przypadkowym złodziejem laptopa, a przed Służbami(TM) nie mam czego chować. A nawet słaba kryptografia wymagać będzie zaangażowania pewnej mocy obliczeniowej, a więc nie będzie możliwa bezkosztowa inwigilacja totalna.
To nie jest przehandlowywanie wolności za bezpieczeństwo, bo chyba żaden cywilizowany kraj nie pozwala na posiadanie zupełnie dowolnej broni – możesz paradować z pistoletem (słaba kryptografia, państwowy aparat przemocy może ją zneutralizować), ale nie możesz sobie budować atomówek (silna kryptografia, nie do ruszenia wprost).
Masz do ukrycia wiele przed służbami, jeśli chcesz zachować doze wolności. Obecnie załóżmy, że ufasz rządowi, ale to sie może zmienić. Wtedy dostęp służb do Twoich danych może wystawić Cię na celownik, bo opozycje się likwiduje. Po to się stara kontrolować służby, pilnować ich działania etc byś mógł się nie zgodzić z władzą i głosować za inną na kolejnych wyborach. W przypadku absolutnej władzy ‘służb’ nigdy nie wiesz kiedy staniesz się ‘obstrukcjonistą’, a wtedy różne rzeczy mogą się zdażyć: kontrole podatkowe, włamania za cichym przyzwoleniem policji, wizyta smutnych panów w garniturach czy w skrajnych przypadkach samobójstwo.
Dodam, że big data już teraz może całkiem nieźle opisać poglądy i preferencje, a w pewnym stopniu nawet przewidzieć zachowania. Gdybym ja miał dostep ‘do wszystkiego’ kosiłbym konkurentów politycznych jeszcze zanim zaczęli by działać.
@Maciek – nie, nie mam do ukrycia przed służbami NIC, co wymagałoby od nich:
1. zaangażowania kogoś, żeby wziął/zwrócił uwagę/zainteresował się moim sprzętem,
2. zaangazowania chociaż jednej godziny superkomputera.
I to nie ma nic do rzeczy, czy ufam rządowi czy nie – jeżeli nastanie taki terror, że będę się go obawiał, to metodą gumowej pałki łamie się wszystkie zabezpieczenia elektroniczne bez superkomputera. W takim terrorze zresztą żadna kryptografia nie będzie legalna, a dostęp do sieci mocno ograniczony, po prostu.
Natomiast przed zagrożeniami, o jakich piszesz, tj. inwigilacją masową, zbieraniem kwitów na każdego “na przyszłość” itp. wystarczająco chroni kryptografia słaba.
“Gdybym ja miał dostep ‘do wszystkiego’ kosiłbym konkurentów politycznych jeszcze zanim zaczęli by działać.”
Przcież masz dostęp do wszystkiego! Wystarczy, że socjotechniką czy brute forcem złamiesz ich hasła! Stopień skomplikowania wejścia taki sam, jak słabej kryptografii, a jednak nie dasz rady tego na masową skalę zrobić. Więcej powiem – nie stojąc “z tyłu” to nie jesteś w stanie masowo analizować nawet kompletnie niechronionych danych, takich jak profile na FB, gdzie ludzie sami wszystko na tacy podają.
Szczerze mówiąc to bardziej obawiam się działalności zwykłych grup przestępczych niż tych mitycznych ‘służb’ oraz ‘terrorystów’ razem wziętych. Bo można nie tylko stracić fotki z wakacji (ransomware), ale także stracić telefon i dostać po mordzie w najbardziej ‘przyjemnym’ scenariuszu.
Silna kryptografia potrzebna jest tam, gdzie wartość chronionych danych przewyższa koszt celowanego długotrwałego ataku. Zwykły człowiek kontakt z taką kryptografią powinien mieć w przypadku korzystania z banku oraz może w pracy, jeżeli jest zatrudniony w jakiejś dużej/innowacyjnej firmie.
“kryptografia znacząco utrudnia” czyli nie uniemożliwia ?:)
Masz czas, wygrywasz.
Dlaczego szanowny Niebezpiecznik uparcie milczy na temat szeroko zakrojonej bezczelnej i nie dającej się wyłączyć inwigilacji prowadzonej przez Windows 10 (i również implementowanej do 7 i 8 przy pomocy aktualizacji, http://www.express.co.uk/life-style/science-technology/601936/Windows-10-Data-Collection-Usage-Privacy-Windows-7-Windows-8-1)? Czyżby ktoś “przytulił” jakieś gratyfikacje w zamian za kompletne milczenie na ten temat?
(Tak na marginesie rok temu gdy narzekałem na inwigilację testowej wersji Win10 zostałem wyśmiany i zbesztany tłumaczeniami że “to normalne w wersji testowej, w finalnej na pewno tego nie będzie”. Okazało się, że jak najbardziej jest.)
Ściągnij sobie z torrentów programy do blokowania tego shitu, a najlepiej nie instaluj Win 10.
@Martzepan: bez obaw, nie instaluję (chociaż jak wspomniałem po nowszych “poprawkach” systemy 7 i 8.x również otrzymują inwigilacyjną “funkcjonalność”, nie mówiąc już o tym że na chama ściągają i wciskają instalator 10). Nie zmienia to faktu, że nie rozumiem uporczywego milczenia na ten temat.
No jak, przecież ostatnio jest seria artykułów sponsorowanych przez MS, to nie mogą teraz pisać o szpiegowskim win10.
Fajnie.
I sprzedaj komuś w innym kraju program, jak wie, że ma backdoory.
Największym serwisem szpiegującym jest Facebook.
Kiedy zakładacie konto, prosi was o dostęp do książki adresów e-mail znajomych.
Potem was namolnie nęka, abyście podali gdzie mieszkacie, gdzie pracujecie, uczycie się i co robicie. Powtarza to wielokrotnie posyłając wam podpowiedzi do kliknięcia z waszymi znajomymi.
Regulamin tego portalu to istna zgroza.
Któregoś dnia, dowiadujecie się, że bez powodu wasze konto zostało zablokowane i musicie wysłać skan dowodu osobistego ze zdjęciem i z Imieniem i nazwiskiem – jeśli namiętnie nie umieszczaliście swoich danych i zdjęć na stronie Facebooka.
To jest jawne przekroczenie wszelkich granic inwigilacji. Nawet się z tym nie kryją. Robią globalną bazę wszystkich ludzi i chcą o każdym niewolniku wszystko wiedzieć.
Wprowadzili plan tak zwanego ratowania ziemi – z założeniem 15 lat. Tyl mniej więcej macie jeszcze przed sobą cywilizacji i wolności jaką znacie. Za 15 lat będziecie niewolniczym bydłem. Czy was będą czipować? Nie wiem, ale o prawach i wolności będziecie mogli zapomnieć.
http://iv.pl/images/55531766138267760544.jpg
A przypadkiem w Polskim prawie nie ma zapisu, że wymaganie skanów itp dokumentów tożsamości jest już karalne :)? Ostatnio jak mi ubezpieczyciel wysłał żądanie o wysłanie paru dokumentów (z nimi to tam pal licho, je rozumiem) oraz skanu dokumentu tożsamości właściciela pojazdu to coś mi się w głowie zapaliło i Pani prawnik z UOKiK’u mówiła mi, żebym to zgłosił do GIODO bo to bezprawne jest i że takie żądanie jest karalne, ponieważ od lat wiadomo, że wysyłanie skanów dokumentów może prowadzić do bub :).
vardes – jest karalne :) Ale Facebook rządzi się swoimi prawami.
W sumie tak dziś przeglądam Google i okazało się, że Facebook usunął z dostępu publicznego wszystkie moje zdjęcia – to przynajmniej jakaś miła wiadomość. Ogólnie powołując się na Ustawę o Ochronie Danych Osobowych, kazałem im usunąć moje dane. Pewnie i tak ich nie usuną, ale przynajmniej nie udostępniają u innych użytkowników i publicznie.
Mi niedawno komputery wykrywały 2 nowe przedłużacze USB (takie same) jako nieznane urządzenia USB. Ale nie ma co popadać w paranoję ;)
@vardes każdy usługodawca, którego znam żąda skanu dowodu do wydania authinfo domeny
Geez, przecie analiza firmłeru to żadna filozofia et cetera
Trzeba sie jako naród organizować i wystawiać rzadania do polityków i rządu , że jak multikulti sie nie sprawdziły w Niemczech ,Francji ,Szwecji ,Filandi to rząda sie wprowadzenia przepisów dla uchodzców (bo sie z nich i tak nie wykręcimy) — ze zabronione są: prawo szariatu , zabujstw honorowych , obrzezanie kobiet , ubuj rytualny , skrajne odmiany wiary gdzie jest namiawianie do zabijania ludzi , prześladowania religijne , zasłanianie twarzy burka i wymagane jest przestrzeganie prawa kraju opiekuńczego pod groźbą wydalenia z rodziną . Do tego rzadamy wprowadzenia prawa ochrony miru domowego , ze kazdy napastnik go zakłaucajacy robi to na własną odpowiedzalnośc pod grożbą śmierci bez odpowiedzialnosci karnej — to na poczatek
Najlepiej jak zrobia hardwerowe backdoory np w procesorach, plytach glownych itp, jak hackerzy zlmia to nie bedzie mozliwosci wycofania
Wszystkie tego typu rozwiązania (powtarzam – wszystkie) dziwnym trafem nie rozwiązują problemu a jedynie tworzą nowy. Za dużo przy takich pomysłach polityki, braku wiedzy (analityk by się przydał), zwykłego lęku rządzących niż racjonalnego podejścia do tematu.
Widzę, że Niebezpiecznik ma ambicje bycia magazynem historycznym. Za czasów SLD (2001-2005) było dość głośno o podpisaniu przez rząd umowy z Microsoftem, która zawierała także klauzule niejawne. Czego mogły dotyczyć?
Obecnie pracuje się nad materiałami hybrydowymi, które można wypełniać środkiem wybuchowym lub toksycznym, a które będą wszczepiane każdemu noworodkowi zaraz po urodzeniu. Trwałość takich materiałów ma wynosić ok. 100 lat. Detonowanie lub uwalnianie środka będzie możliwe w przypadku “zejścia obywatela na złą drogę”. To taki NEP w kontroli społeczeństwa, niewyobrażalnie tańszy i efektywniejszy od obecnych inwigilacji i analiz.
Backdory to historia. Obecnie backdory mają w sobie zaszyte kolejne backdory, w których siedzą backdory zawierające backdory. Jest ciekawym zagadnieniem ile poziomów osiąga rekordzista i kto nim jest :)