Se pare că și finalul de an va sta, ca mai tot anul care a trecut, sub semnul dezvăluirilor lui Snowden despre activitățile NSA în privința urmăririi comunicațiilor din Internet.
Săptămână de săptămână, apar noi informații. Aflăm despre interceptarea convorbirilor unor oficiali europeni, despre activități de spionare a cetățenilor Braziliei, Mexicului, Franței, Germaniei și tot așa.
Oricâtă agitație ar provoca aceste știri, ele nu ar trebui să ne surprindă prea tare. Pe de o parte, instituțiile care se ocupă cu adunarea de informații fac ceea ce știu mai bine. Tehnologia computerelor le-a dat posibilitatea să facă asta la o scară la care de exemplu Securitatea lui Ceaușescu nu putea decât să viseze. Pe de altă parte, principiul “ noi vrem informație și nu vrem să știm cum o obțineți” a fost cultivat prea multă vreme chiar de societatea civilă, ca să nu mai vorbim de politicieni, așa încât revolta de acum seamănă cu vărsatul lacrimilor de crocodil.
E interesantă însă mai ales desfășurarea evenimentelor în zona întreprinderilor din domeniul tehnologiei. Una din știrile mai recente acuză RSA – pionieri ai criptografiei cu chei publice și inventatori ai algoritmului cu același nume ( provenind de la inițialele lui Ron Rivest, Adi Shamir, și Len Adleman, fondatorii firmei și creatorii acestui algoritm) că ar fi primit 10 milioane de dolari pentru a implementa un generator de numere pseudo-aleatoare greșit în produsele lor. O mică digresiune: algoritmii cu chei publice nu folosesc o singură cheie pentru securizarea datelor, ci doua: una publică, cu care datele sunt transmise criptat, și una privată cu care sunt decriptate. Astfel se elimină punctul slab al algoritmilor simetrici, și anume necesitatea transmiterii cheii către corespondent ( cheie care ar putea fi interceptată și folosită de o terță parte). In cazul algoritmilor cu chei publice, cel care transmite informația folosește cheia publică a corespondentului; în principiu nici măcar el nu poate decoda mesajul, ci doar proprietarul cheii private.
Problema principală a acestor algoritmi este că folosește un aparat matematic sofisticat, care depășeste în general cunoștințele unui analist care lucrează pe cont propriu. Cu alte cuvinte, putem implementa algoritmul așa cum e descris de autori, dar nu putem să știm prea ușor dacă funcționează sau nu. Chiar dacă,în cazul Linux sau freeBSD, putem cerceta codul sursă, e greu să putem găsi acolo un potențial backdoor, dată fiind complexitatea matematicii necesare. E drept, totdeauna vor exista nebuni care să încerce să facă asta, pentru glorie … dar cred că și premiul pentru spargerea algoritmului e încă în vigoare.
Faptul că se depune atât efort pentru compromiterea mecanismului de numere pseudo-aleatoare e un indiciu indirect că algoritmul în sine e puternic. Cam toate cazurile de compromitere a acestuia au vizat nu algoritmul în sine, ci faptul că numerele aleatoare alese nu erau chiar aleatoare, astfel că atacatorul putea să știe ce numere aleatoare s-au folosit.
RSA a negat acuzațiile, dar suspiciunea rămâne. Mai mult, dezvoltatorii freeBSD au anunțat că vor adăuga un algoritm de randomizare suplimentară a numerelor aleatoare generate de chip-urile hardware de la Intel și Via, ca măsură de protecție suplimentară.
Problema Snowden este însă de discutat și sub alte aspecte. Vorbim de un contractor care a avut acces la date din interior și după cum pare, a avut acces la mai multe date decât prevedea contractul său. Putem deci avea încredere in NSA ( sau în alte agenții, de exemplu “ale noastre” ) că datele pe care le colectează rămân măcar în interiorul instituției? Snowden ni se înfățișează acum drept un luptător pentru drepturi civice – dar dacă în locul său ar fi avut acces la date un aventurier care s-ar fi gândit să le folosească într-un mod lucrativ sau pur și simplu un găinar care le-ar fi vândut pentru un preț bun?
Avem vreo siguranță că acest lucru nu se va întâmpla sau nu s-a întâmplat deja?
Dezvăluirile despre care vorbim s-au suprapus și probabil chiar au estompat alte situații care arată încercarea autorităților de a impune un control asupra Internetului: cenzurarea conținutului în Marea Britanie, acțiuni în forță anti-piraterie în Franța și altele. Mai devreme sau mai târziu probabil acest control va deveni o realitate; trăim într-o societate suprareglementată în care anarhia Internetului e un element de contrast. Presupun că va trebui cumva să stabilim niște limite rezonabile, iar primul pas ar fi renunțarea la ipocrizie în privința serviciilor.
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Trăim într-o societate suprareglementată pentru că așa vrea publicul larg. ”Mahalaua ineptă” aplaudă orice reglementare, iar cei aflați la putere au folosit încă din antichitate legea pentru a da o falsă aură de obiectivitate măsurilor pe care le adoptau pentru a exercita puterea.
Din fericire, Internetul e mult prea vast pentru a fi reglementat și controlat, așa că tot ”mahalaua ineptă” suferă consecințele reglementărilor, plătesc amenzi pentru download ilegal etc etc. E drept că nu credeam că o să ajungem așa repede să apreciem existența site-urilor rusești, dar asta e, never say never.
Nu stiu cum a ajuns sa se incetateneasca ideea ca a protesta impotriva spionajului pe scara larga al comunicatiillor private de catre NSA este „ipocrizie”. Nu faptul ca NSA si altii ne spioneaza in permanenta este de comdamnat, ci presa si societatea civila care protesteaza impotriva intruiunilor acestora este „ipocrita” ! Ciudata pasare a responsabilitatii de la vinovat la victima, operata de catre sefii NSA insisi in interviul in fata Congresului, repetata obsesiv pe toate canalele media, si preluate de comentatori (ex. d-l Valentin Naumescu pe acest blog) al caror pro-americanism nu se impiedica de faptul ca America incepe sa semene din ce in ce mai mult cu caricatura pe care i-o fac anti-americanii…
Eu consider ipocrit faptul ca am acceptat tacit targul ” securitate contra tacere” de multa vreme. Consecintele erau previzibile, cel putin pentru noi cei crescuti in „lagar” .
Oricine poate sa scrie un program foarte simplu in orice limbaj de programare in care sa foloseasca functia Random() sau echivalent pt a genera numere aleatoare
algoritmul propriu-zis e simplu:se aduna starile momentane ale trecerii curentului alternative prin acea zona de processor si de memorie folosita
si apoi se imparte la o alta stare astfel incat sa iasa in plaja specificata
deci nu e ceva care sa poata fi spart si daca va imaginati ca cineva poate sa predetermine acele stari va inselati
ah si ati descoperit si algoritmul PGP sau GPG care sta la baza Bitcoin
chei publice si private! ce dragut:)
Ati avea dreptate, dar ce ne facem cu functia random()? Pe asta cine a scris-o? :) Chestia cu curentul alternativ care trece prin procesor ma depaseste putin . Exista solutii hardware de generare a numerelor aleatoare bazate oarecum pe ce ziceti dvs, dar pana acum nu stiu pe nimeni care sa isi construiasca singur acest dispozitiv. De fapt stiu pe cineva, dar lucreaza pentru STS :)
Cheile publice si private se folosesc in mai multe locuri, primul care imi vine in minte e comunicatia ssh; de asemenea se foloseste si pentru schimbul de chei pentru algoritmii simetrici. Domeniul criptarii e fascinant, dar de la un punct incolo devine prea arid pentru articole de presa…
O,asa de inteligenti or ajuns spionii?
Ca parca aia care se plimbau dupa mine pe strada prin 2004-5 erau mai prosti:)
Pai si pe 286-le meu la 20 de Mhz cu 2 MB de memorie si 40 MB hard,aveam adica lucram in turbo Basic si un turbo Pascal pt scoala
si aveam acolo,faceam algoritmi care generau numere aleatoare
nu mai tin minte exact ca or trecut vreo 20-25 de ani de atuncea
da era ceva simplu,banal si ni s-a explicat la scoala ceea ce domnu de la STS o aflat acuma:)
Ceea ce faceati dvs se numesc numere pseudoaleatoare. In general numerele aleatoare se obtin hardware. Pe de alta parte, dupa ce faceti dvs un generator de numere aleatoare, cum il legati de bibliotecile ssl? Recompilati windows-ul si il redistribuiti? :) Vorbim de niste biblioteci care sunt incluse in sistemul de operare si disponibile ca atare.
Gradul de entropie al generatorului de numere aleatoare determina fundamental puterea criptarii. De-a lungul timpului au fost raportate mai multe atacuri reusite legate de generatoarele de numere pseudoaleatoare. Probabil ca entropia generata de un generator aproximativ precum cel descris de dvs e suficienta pentru a implementa un joc de zaruri sau de carti, dar pentru criptare trebuie sa fie cu adevarat bun. Din cauza asta in general se folosesc generatoare de „zgomot alb” sau alte metode la care corelatia este cat mai aproape de zero. Un exemplu pe care il dadea domnul Spataru la TTI (pe vremea aia predominau comunicatiile analogice) era forma curentului la un tub cu descarcari in gaze.
Pe vremuri nu era atata de dificil:)
Aveam compilatorul Borland care era ceva diferit de aplicatia in care scriam programul.,dar il invocam la sfarsit dupa ce fixam bugurile cu depanatorul linie cu linie:D
si daca am un program spybot pe calculator care imi intercepteaza adresele oricum exista un lag de timp
daca la momentul T0 eu adun datele din 2 registri de memorie ,spybot=ul imi intercepteaza registrii la momentul T1 si la acel moment deja am alte date in registrii programului
dupa care la momentul T2 mai fac un calcul:o adunare,o scadere ,o impartire cu un alt set de registri
si se poate face un program destul de simplu de 5-7 linii in care in mod recurrent sa apelezi acelasi algoritm in cazul in care numarul final nu iti iese in plaja specificata de utilizator
Domnul profesor Spataru – unul dintre putinii profesori pe care i-am respectat si admirat in timpul facultatii – stia (mult) mai multe decat putea spune.
Am avut privilegiul sa-mi scriu lucrarea de diploma (in criptografie, desigur) sub directa sa coordonare si va asigur ca exista circuite analogice relativ simple si compacte – suficient de compacte pentru a fi incluse pe un card SD – care genereaza numere aleatoare… Dar ma opresc aici, aud deja elicopterul negru care se apropie ;)
Sunt destul de convins ca se pot face; totusi constat ca problema e de actualitate, stirea la care ma refer nu are nici o saptamana. Discutia este daca sa avem incredere sau nu in cei care le produc; cei de la freeBSD care mizeaza pe faptul ca produsul lor e considerat foarte sigur au ales sa nu; este o consecinta a afacerii Snowden lipsa de incredere in fabricantii de astfel de chip-uri. Daca e justificata sau nu… nu stim, problema e ca e greu de dovedit ceva.
Si din punct de vedere al conformismului, avem gama completa, de la cei care nu se conformeaza la nimic, pana la cei care se conformeaza la orice.
Omul este o „fiinta sociala”. Face parte din Viata, precum o „za” dintr-o „camasa de zale”.
Ca „za” separata nu face nici doi bani. Nici ca ferfenite din camasa imprastiate in cele patru zari nu face mai multi.
Omul este (ma rog, ar trebui sa fie) ca randunica. Doar „in stol” e la el acasa.
Dar ca si randunica, trebuie sa isi cunoasca fiecare drumul si nu sa se tina precum oile
dupa magar sau sa fie manate din urma de orice cioban.
Viata umana trebuie sa fie asemeni unui autobuz in care sa incapa 7 miliarde si cati or mai fi de soferi, care sa cunoasca drumul ca si unul. Ca orice autobuz, nu incap la volan mai multi deodata ci trebuie sa fie condus de unul.
Omul e dator sa stie (pentru a putea vorbi „in cunostinta de cauza”). E dator sa-si respecte
contemporanii sai de pe planeta (spre a-si acorda sansa de a primi ca reciproca, ceea ce a lansat catre fiecare din semenii sai).
Abia dupa aceea se va putea numi „om”.
Ma gandeam la un mic „zombie” criptat pe care sa-l trimit prietenilor.
Desigur, acestia nu-l vor putea decripta deci imi vor raspunde cel mult „???”. In schimb, „baietii veseli” de la SRI, NSA si altii asemenea il vor decripta fara mari probleme, transformandu-l intr-un virusel de toata frumusetea!
Astept sa-mi ceara extradarea pentru ca s-au infectat singuri decriptand un mail interceptat ilegal :)
:)
Chestia asta ar trebui popularizata pe forumuri; un gen de protest civic. Aplicarea lui ar schimba multe lucruri…
Fara comentarii…
http://www.theverge.com/2013/11/12/5082666/the-edge-of-the-abyss-exposing-the-nsas-all-seeing-machine
Ce mi se pare mie penibil este ca inainte de snowden politicienii se bateau cu pumnul in piept ca „privacy”-ul e sfant, ca atacurile de la 911 nu au schimbat cu nimic „the american way of life” :))… iar acum se vede de fapt cat de mare a fost minciuna… undeva mereu am crezut ca ceva instrumente de monitorizare exista, dar baiatul asta a deschis ochii intregii lumi in ce priveste magnitudinea…
Mai putina ipocrizie nu ar strica nimanui.
Exista o iluzie a privacy-ului la nivel de informatie*produse electronice si software-ul lor*
Adevarul, fara machiaj, TOTUL E ACCESIBIL
Insa costurile accesibilitatii variaza enorm de mult, iar anumite costuri doar guvernele si corporatiile mari pot sa-si permita.
De la hardware fake- cabluri de 30 de dolari care permit celor care supravegheaza sa urmareasca direct ceea ce se petrece pe ecranul unui user pana la turnuri GSM care permit simularea unui turn de telefonie celulara si permit interceptarea tututor convorbirilor *cost 40 000 dolari+.
Acolo unde un hardware e supersofisticat s-a mers la polizarea sub microscop a cipurilor respective pentrua observa fluxul de electroni.
So, cea mai buna securitate in opinia mea, pentru a protecja datele este no internet, no wirelles, no phyisical acces to the devices.
Asta duce la imaginea unui calculator alimentat de o sursa locala de energie, intr-un buncar Faraday, la care programatorul poate sa aiba acces doar intrand gol si iesind gol. Dar si asta poate fi sparta*programatorul are o memorie* care poate reproduce secventa si actiunile anterioare. Insa, noroc :) cu cercetarile care arata ca stimularea electrica a creierului poate sterge memorii.SF. Not. Ne indreptam spre o lume ciudata.
Ma refer la o utilizare in scopuri pacifice a echipamentelor sau software-ului.
Antivirusii , firewallurile sunt o iluzie, protejeaza privati vs privati, de multe ori sunt folositi de serviciile de informatii pentru a colecta date cel mai probabil.
The bad guys are in that case guvernele.
Big Brother este o realitate zilnica.
Exista si alternativa, don’t care about privacy , e doar iluzionism accepta faptul ca cineva stie totul despre tine.
PS.
Bonus Cine nu a poseda un SD..?
http://phys.org/news/2014-01-30c3-sd-card-mitm.html