Wstępniak: w świecie widzącego nas Internetu Rzeczy backdoory będą zbędne?

Opera mydlana, która rozpoczęła się wokół iPhone'anależącego do Syeda Rizwana Farooka, zamachowca z San Bernardino,wyciągnęła na światło dzienne kwestię odpowiedzialnościproducentów za nasze prywatne dane w stopniu do tej poryniespotykanym. Gdy administracja federalna zażądała od Appleczegoś, co technicznie było niemożliwe, dowiedzieliśmy sięszybko, co jest możliwe w iOS-ie, a o czym wcześniej nikt niemówił. Poznając zaś determinację władz, by dostęp do danychzamachowca uzyskać – i determinację producenta, by jednak niepozwolić na ten precedens, otwierający drogę do zniweczeniawszelkich zabezpieczeń, dowiedzieliśmy się, jak bardzo świat wtej kwestii jest podzielony. Przedstawiciele obu stron na ustach mająsłowo „bezpieczeństwo”, jednak w głowie zupełnie innewyobrażenia. Dzisiaj, gdy urządzenia Internetu Rzeczy zaczynająoplatać świat, od tego jak skonkretyzujemy to pojęcie będziezależało, czy świat w którym obudzimy się jutro będzie bardziejpodobny do Panoptykonu, czy Cyferpunku.

Wstępniak: w świecie widzącego nas Internetu Rzeczy backdoory będą zbędne?

29.02.2016 16:07

Od początku tej afery ostrzegano, że na jednym iPhonie się nieskończy, mimo deklaracji FBI, że furtka miała być „jednorazowa”(jak to dziwnie brzmi – jednorazowe oprogramowanie, któreprzestaje istnieć po użyciu?). Oczywiście szybko okazało się, żedyrektor FBI James Comey po prostu kłamał, ujawniono listę 12telefonów, w których odszyfrowaniu Apple miałoby pomóc. Nictylko czekać na korzystny dla władz precedens, który zmusiłbyproducentów sprzętu do wspierania władz w neutralizowaniuzabezpieczeń na każde żądanie. Takich czekających na „otwarcie”iPhone'ów są dziś setki, w samym dystrykcie nowojorskim leżeć wpolicyjnych przechowalniach ma 175 sztuk. Ciekawe, ile z nich zostałozablokowanych przez samych policjantów, próbujących nieudolniedostać się do treści za pomocą zgadywanki…

Twarda odmowa Apple'a, wspierana przez większość innych firm zDoliny Krzemowej i potępiane przez (jakżeby inaczej) przez samegoBillaGatesa, zaprowadzi sprawę prawdopodobnie na wokandę samego SąduNajwyższego USA, gdzie rozstrzygnięte zostanie, czy producent maprawo złamać obietnicę, jaką dał konsumentom, zapewniając ich onienaruszalności danych zabezpieczonych kryptosystemami użytymi wiPhonie. Złamać tę obietnicę technicznie jest w stanie,wykorzystując tryb Devide Firmware Update urządzeń z iOS-em, wktórym można wgrać im podpisaną kluczem Apple'a aktualizacjęsystemu, bez uprzedniego ładowania bootloadera czy samego iOS-a, bezkonieczności wprowadzania jakiegokolwiek hasła. Służącapolicyjnym celom aktualizacja eliminować by miała mechanizmychroniące przed siłowym atakiem na PIN, pozwalając nanieograniczoną liczbę prób, bez wydłużających się przerwmiędzy nimi.

W ten sposób mechanizm stworzony przez Apple do ratowaniaurządzeń z dowolnie uszkodzonym obrazem systemu stał siępotencjalną furtką, pozwalającą samemu producentowi dostać sięjednak do zaszyfrowanego iPhone'a czy iPada, wbrew wcześniejszymdeklaracjom, że nie jest to możliwe. Od odszyfrowania telefonu panaFarooka FBI dzieli więc dziś nie matematyka, lecz jedynie prawnicyfirmy z Cupertino – sytuacja nie do pozazdroszczenia dla tych,których telefony leżą w policyjnym depozycie. Czy jednak na pewnochodzi tu o sprawy kryminalne, jak amerykańska policja twierdzi? Takmogliby uważać postronni, nie znający realiów amerykańskiegosystemu sprawiedliwości. Znalazłem jednak blogowywpis doświadczonego eksperta od amerykańskiej informatykiśledczej i bezpieczeństwa iOS-a, pana Jonathana Zdziarskiego, wktórym wyjaśnia on, że takie jednorazowo zmodyfikowane firmwarenie miałoby żadnej wartości dla śledztwa, a wręcz pozwoliłobyna odrzucenie wszelkich pozyskanych za jego pomocą dowodów.

By stworzona przez Apple furtka dla iOS-a mogła stać sięlegalnym instrumentem śledczym, musi przejść długą drogęweryfikacji przez ekspertów, spełnić standardy powtarzalnościwyników i przewidywalności działania i zdobyć certyfikaty„naukowości” od National Institute of Standards and Technology.To jednak nie wszystko – zaakceptowana przez ekspertów i naukowcówmetodyka śledcza musi zostać obroniona przed sądem, gdzieinżynierowie firmy z Cupertino będą musieli udowodnić, żetworząc ją przestrzegali dobrych praktyk i że nie pozwala nazrobienie niczego więcej, niż to, co zostało udokumentowane. Jeślita kwestia zostałaby zaniedbana, to taki instrument śledczy, jakpisze Zdziarski, może zostać podważony na drodze pierwszegolepszego pozwu, zmuszając do przejścia ścieżki apelacyjnej odsamego początku.

Tych wszystkich ograniczeń nie ma jednak, gdy odbiorcą nowejmetody śledczej nie są działające w ramach prawa organy ścigania,lecz służby specjalne. Stosowane przez nich metody nie muszą byćprzez nikogo weryfikowane, więc wydaje się prawdopodobnym, że tonie FBI miałoby być prawdziwym odbiorcą wymuszonego na Apple'ubackdoora – gdyż dla federalnej policji byłby on bezużyteczny –ale służby takie jak CIA czy NSA, które działając w imiębezpieczeństwa narodowego zrobią z nią to, co im się podoba.

Szanse Apple'a na skuteczne odmówienie służbom są raczejnikłe, należy zakładać, że taki backdoor w postaci złośliwegofirmware'u powstanie i będzie używany, zapewne nie tylko przezsłużby, ale i tych, którzy mają przeróżne powiązania zeświatem hakerów w czarnych kapeluszach. W końcu nie od dziświadomo, że relacje między NSA a amerykańską sceną hakerską sądość zażyłe. Podkreślali to niedawno niemieccy hakerzy z ChaosCommunication Club, wyjaśniająć, że dla nich niewyobrażalnebyłoby zaprosić na Chaos Communication Congress w Berlinie ludzi z„bezpieki”, czyli coś, co w USA na największej tamtejszejkonferencji DefCon jest zupełnie normalne. Jednak cała ta sprawadla firmy z Cupertino może mieć jeszcze jeden aspekt: czystomarketingowy.

How encryption for iPhone works and why FBI can not decrypt it @apple @FBI @TheJusticeDept

Chcecie iPhone'a 7? Pewnie że chcecie. Najszybszy,najpiękniejszy, i w ogóle naj, smartfon po prostu niedościgły.Jestem pewien, że jednym z głównych wątków w komunikacjimarketingowej nowego iPhone'a będzie jego całkowita odporność nainwigilację. Kilka dni temu doradca prawny Apple'a Ted Olson wwywiadzie udzielonym CNN stwierdził, że jeśli narzędziepozwalające uzyskać dostęp do zablokowanych urządzeń powstanie,to przyczyni się to do powstania świata Wielkiego Brata, rodem zOrwella. Anonimowe źródła bliskie firmie z Cupertino donoszą zaś,że Apple pracuje nad zabezpieczeniami, które uczynią spełnienieżądań podobnych obecnym żądaniom FBI czymś po prostuniemożliwym – nawet jeśli władze zdecydowałyby się złamaćKonstytucję USA. Tym zaś, którzy zaczną przypominać, że to samoobiecywano w iPhonie 6 z iOS-em 8, przypomni się, że nikt nie mógłsię spodziewać, że władze wolnego kraju zażądają czegoś takniewyobrażalnego, jak w wypadku iPhone'a zamachowca z SanBernardino.

Celowo piszę tutaj o „wolnym kraju”, bo w innym kraju, jużnie tak wolnym jak mówią, polityka Apple'a jest zupełnie inna.Chodzi oczywiście o Chińską Republikę Ludową, gdzie firma zCupertino robi wszystko co może, by zadowolić władze w Pekinie.Los Angeles Times w tej sprawie cytujeJamesa Lewisa, eksperta z Center for Strategic and InternationalStudies, który stwierdził, że nie może sobie wyobrazić, bywładze chińskie zaakceptowały szyfrowanie end-to-end czy odmowęwspółpracy z policją. Jest wręcz przeciwnie – w Chnach Applecenzuruje swój własny sklep, uniemożliwiając pobranie na iPhone'abezpiecznych komunikatorów, dane chińskich użytkownikówprzechowuje w centrach danych pod zarządem kontrolowanego przezpaństwo China Telecom, i regularnie przechodzi audytybezpieczeństwa, prowadzone przez miejscowych specjalistów. Powodówtakiego zachowania nie trzeba chyba wyjaśniać. Chiny stały siędla Apple'a najważniejszym rynkiem, w zeszłym roku sprzedaż w tymkraju przekroczyła 59 mld dolarów. Sprzedawany w Państwie ŚrodkaiPhone 7 też będzie więc odpowiednio dopasowany do lokalnychwarunków.

Na co patrzą popularne kamerki chińskiej firmy Foscam?
Na co patrzą popularne kamerki chińskiej firmy Foscam?

A jakie te warunki są, pokazuje dobrze znany autor blogapoświęconego bezpieczeństwu Brian Krebs, który niedawno odkrył,że popularna kamerka IP chińskiej firmy Foscam, przeznaczona dodomowego monitoringu, potajemnie łączy się z ogromną siecią P2P,prowadzoną przez producenta. Jej zablokowanie jest bardzo trudne,stworzone przez Chińczyków oprogramowanie przebija się przezwiększość domowych zapór sieciowych – i co najciekawsze, niemożna tego wyłączyć w ustawieniach urządzenia. Krebs twierdzi,że nie jest to jedyne urządzenie, które ze wspomnianą siecią P2Psię łączy w taki sposób. Instalując rozmaite urządzeniaInternetu Rzeczy, które działają na własnościowymoprogramowaniu, możemy po prostu instalować w swoich domachszpiegów. Czego o nas mają się dowiedzieć, po co to komu ma być– to już kwestia dowolnych spekulacji. Wydaje się jednak, żewielu ludzi nie obraziłoby się, gdyby do domowych kamerekmonitoringu policja miała jakiś uprzywilejowany dostęp. Nawet naszredakcyjny kolega Tomek Bryja przecież w swoim felietoniepodkreślał,że absolutnej prywatności nie mamy i mieć nie powinniśmy. W końcugdyby domowe kamerki mogły pokazać, że ktoś jest obleśnymfrustratem, przez Tora wymieniającym się zdjęciami i filmami zsobie podobnymi, albo że trzyma w piwnicy związaną sąsiadkę…

Jak może jeszcze pamiętacie, na początku tego felietonu,napisałem o tym, że nasze działania wpłynąć mogą na to, czynasz świat w przyszłości będzie bardziej podobny do panoptykonu(permanentnej inwigilacji i monitoringu wszystkiego przez władzę),czy też cyferpunku (anarchistycznej i niekontrolowanej przez nikogoswobodnej wymiany doskonale utajnionych danych). Jedno i drugie toutopie/dystopie (ocena zależy od naszych poglądów), które jak toutopie/dystopie do siebie mają, są po prostu niemożliwe,funkcjonują raczej jako pewne granice, do których możemyasymptotycznie się zbliżać. I w panoptykonie będą tacy, którzyswoją prywatność ukryją, i w cyferpunku będą tacy, którychinni prześwietlą – tu chodzi o jedynie o to, by nie być zupełniebezsilnym pionkiem w tym wszystkim. Jakoś tak wyszło, żezaczęliśmy żyć w bardzo ciekawych czasach, nawet na naszympodwórku, gdy nagle pojawiające się skądś informacje, staredokumenty, wpływają na aktualną politykę. A gdyby te wszystkiedokumenty były należycie zaszyfrowane, zaś klucze przepadały donich wraz ze śmiercią ich posiadaczy? Tak moim zdaniem byłobylepiej, gdyż wiedzieć wszystko o wszystkim – to musiałoby byćpiekło, zupełnie tak samo, jak nic nie wiedzieć o niczym.

I można i warto za to wiedzieć, co dobreprogramy mają dla Was wprzygotowaniu na ten tydzień. Mimo że Raspberry Pi nie wydaje sięidealnym wyborem na domowy serwerek NAS, wielu próbuje go w tym celuwykorzystać. Czy ma to sens? Już niebawem to sprawdzimy. Przyjrzymysię też bliżej tematowi bardzo ekscytującemu wielu graczy, tj.cosplayowi – i myślę, że będziecie zaskoczeni naszym ujęciemsprawy. Zbliżająca się wiosna dla wielu oznaczać będziewyciągnięcie roweru. Oprogramowanie mobilne znajdzie tu swojezastosowanie, sprawdzimy, czym warto się zainteresować. Niezapomnimy też o naszych cyklach poświęconych bezpieczeństwu,przyglądając się bliżej mechanizmom całodyskowego szyfrowania naWindowsach oraz złemu bliźniakowi, czyli niepokojącej metodzieataków na routery. Serdecznie zapraszam!

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (24)