Zersetzung: NSA wpędza świat IT w paranoję?
Słynna NRD-owska organizacja wywiadowcza Stasi znana była zopanowania do perfekcji sztuki psychicznego łamania swoich ofiar,znanej jako Zersetzung (degradacja, w sensie chemicznym). Zamiastotwartego zastraszania czy przemocy, agenci Stasi krok po krokuwpędzali prześladowanych w paranoję, włamując się do ich domów tylkopo to, by podmienić zdjęcie w ramce na ścianie, przysłać dziwnyprezent członkowi rodziny, czy podmienić lekarstwa w apteczce. To cow ostatnich miesiącach zaczęło się dziać w branży bezpieczeństwa ITpo ucieczce Edwarda Snowdena do Rosji, w coraz większym stopniuprzypomina praktyki operacyjne Stasi, przeprowadzane nie tylko wobecjednostek, ale wobec całej rzeszy internautów. Jeśli nie możesz ufać swojemu dostawcy rozwiązań bezpieczeństwa,to komu możesz ufać? W ostatni piątek Reuters poinformował,że według dopiero co ujawnionego dokumentu z NSA, pochodzącego zezbioru wykradzionego przez Snowdena, należąca dziś do koncernu EMCfirma RSA, od lat oferująca korporacjom oprogramowanie szyfrujące inarzędzia ochrony sieci, miała wśród swoich klientów amerykańskąAgencję Bezpieczeństwa Narodowego. Nie byłoby w tym nicniepokojącego, gdyby NSA było zainteresowane po prostu kupnemoprogramowania, niestety jednak klient miał tu szczególne potrzeby.Miał w 2005 roku zapłacić 10 mln dolarów za wykorzystanie bazującegona krzywych eliptycznych generatora liczb pseudolosowych (Dual ECDRBG) jako domyślnego źródła losowości w produktach RSA. Generatoraopracowanego oczywiście przez matematyków NSA.[img=paranoia]Kwota wydaje się niewielka, szczególnie biorąc pod uwagę wartośćRSA, kupionej w 2006 roku przez EMC za ponad 2 mld dolarów, ale jakReuters twierdzi, w okresie w którym doszło do transakcji, sytuacjafinansowa firmy nie była różowa. Pion firmy odpowiedzialny zabiblioteki szyfrujące BSafe przyniósł w 2005 roku ledwie 27,5 mlndolarów przychodu, więc przyjęcie 10 mln dolarów od federalnejagencji pozwoliło na odczuwalny wzrost przychodów. Czy 10 mln dolarów z budżetu NSA trafiło na konto RSA, czy teżnie, faktem jest że Dual EC DRBG został domyślnym źródłem losowości wproduktach tej firmy. Nie przeszkodziły temu nawet wątpliwościekspertów od bezpieczeństwa: w 2007 roku Dan Shumow i Niels Fergusonz Microsoftu znaleźli sposóbataku na ten generator (podkreślając przy tym, że wcale nietwierdzą, że furtka znalazła się w algorytmie celowo). Zainteresowanidziwną historią DUAL EC DRBG mogą znaleźć więcej wewpisie na blogu Bruce'a Schneiera.Dopiero we wrześniu tego roku RSA powiedziało jednak swoimklientom, że należy zaprzestać korzystania z algorytmu, któremu ufalioni przez 7 lat. Po rewelacjach opublikowanych przez Reutersa firmazareagowała zaś bardzogwałtownie, kategorycznie zaprzeczając pomówieniom,jakoby wiedziała o słabościach w swoim generatorze i przedstawiłacztery mniej lub bardziej wiarygodne powody, dla których DUAL EC DRBGzostał wybrany na standard (m.in. w tamtych czasach NSAcieszyło się zaufaniem społeczności jako organizacja zainteresowanawzmacnianiem, a nie osłabianiem szyfrowania (…) algorytmzostał zaakceptowany jako standard NIST, zgodny z wymogami FIPS[odpowiednio Narodowy InstytutStandardów i Techniki oraz Federalny Standard PrzetwarzaniaInformacji – przyp. red.].W całym blogowym wpisie nieznajdziecie co ciekawe ani słowa na temat 10 mln dolarów, o którychpisze Reuters, podsumowuje go za to zdanie, że RSA jakofirma z branży bezpieczeństwa nigdy nie ujawnia szczegółów swoichinteresów z klientami, ale przy tym kategorycznie podkreśla, że nigdynie zaangażowała się w żaden projekt, którego celem miałoby byćosłabienie produktów RSA czy wprowadzenie do nich potencjalnychfurtek.Co po takiej odpowiedzi powinni sobieteraz myśleć klienci RSA, tego nie wiemy. Być może firma faktyczniejest niewinna, a cała afera służy jedynie wywołaniu ogólnejniepewności co do wartości narzędzi kryptograficznych – w końcuskoro RSA wzięło pieniądze, to kto jeszcze mógł je wziąć? Ogólnaparanoja jest tym, co spotyka ofiary wspomnianego na początku tegotekstu Zersetzung, a skuteczność takich działań powinna dziś skłaniaćagencje wywiadowcze do stosowania ich nie tylko wobec organizacji ispołeczności, ale i pojedynczych, a kluczowych dla bezpieczeństwa ITosób.Coś takiego właśnie spotkało słynnegoJakoba Appelbauma, jednego z deweloperów Tora, człowieka, który mapełen dostęp do kompletu dokumentów wykradzionych z NSA przezSnowdena. Deutsche Welle donosi,że kilka dni temu ktoś pod jego nieobecność włamał się do jegomieszkania w Berlinie, sforsował trzy z czterech zainstalowanych tamsystemów alarmowych i próbował dobrać się do jego komputerów. Zmieszkania oczywiście nic nie zginęło. Można chyba się jednakspodziewać, że Appelbaum już komputerów tych więcej nie użyje. Żyjemy najwyraźniej w bardzo ciekawychczasach.
23.12.2013 11:26