Internetová bezpečnost, či spíše její iluze, v éře Edwarda Snowdena NOVÁ ÉRA NEDŮVĚRY

NSA – DIGITÁLNÍ EKVIVALENT … ČEHO ? • Vládní kruhy: Oka Božího. • Technologické kruhy: Godzilly. • Podobné organizace existují všude ve světě. •O NSA jsme momentálně asi nejlépe informováni. • NSA má výjimečné postavení. • Vysoký rozpočet (~ 11 miliard USD). • Velké množství HW a SW je vyráběno v USA.

NESPORNÁ FAKTA O NSA • Vznik: 1952 transformací z vojenského oddělení MI-8 (zal k dešifrování německé komunikace). • Základní cíle v době vzniku • Sledování a dešifrování zahraniční a přeshraniční komunikace za účelem vytěžení informací (stručně: SIGINT neboli špionáž). • Zajištění zabezpečení vnitřní komunikace americké vlády a armády před svými cizozemskými „kolegy“.

POZVOLNÝ VÝVOJ A RŮST • Již v 70. letech byl zákaz domácí špionáže rutinně obcházen. • Úzká spolupráce s britskou GCHQ – Britové směrem k NSA „odklánějí“ informace o amerických občanech a naopak. • „Five Eyes“ – Kanada, USA, Británie, Austrálie, Nový Zéland. • Nové rozsáhlé pravomoce díky Patriot Actu (po ). • Použití ofenzivních prostředků schvaluje tajný soud FISA. Jeho rozhodnutí jsou rovněž neveřejná, ani sami soudci si je nesmějí ponechávat. • Pokud jeden soudce FISA použití neschválí, mohou jít agenti k jinému soudci FISA s toutéž žádostí, aniž by mu něco řekli o svém předešlém odmítnutí. • Počet žádostí ( ): • Z toho odmítnuto: 11

NSA A INTERNET • Hlavní cíle (ochrana amerických komunikací a špionáž všech ostatních) nemusely být v úplném rozporu před érou Internetu. • Úřady jednotlivých zemí používaly své vlastní specializované vybavení. • Rozlomit šifrování v Moskvě neznamenalo hrozbu pro New York. • Čím více se šířilo levné, standardizované síťové vybavení, tím více se do rozporu dostávaly. • Ty samé routery, počítače a smartphony používají jak Američané, tak Číňani, Rusové, Evropané, Malajci, Arabové… • Je silná motivace „sbírat všechno odevšud“.

„NOBUS“ PŘÍSTUP • „ Nobus“ = „Nobody but us “, zkratka pro mentalitu vyskytující se ve „složkách“ všeho druhu. • „Chceme být ti jediní, kdo se dostanou všude - dejte nám klíče, zadní vrátka, zabudujte do svých produktů slabiny, které můžeme využít.“ • „ Nutně potřebujeme tyto schopnosti k chytání teroristů (zločinců, cizích agentů, dosaďte dle libosti ). Pokud o tom pochybujete, jste podezřelý.“ • „Vedlejší efekty a důsledky nás absolutně nezajímají.“ • Celosvětový jev • Velmoci – Rusko, Čína, Británie, USA – ochrana velmocenských zájmů. • Industriální vyvinuté země – Německo, Japonsko – ochrana obchodních zájmů. • Všichni ostatní – jen tak. („ostatní mají hračku, my chceme taky“).

NEDOSAŽITELNOST STAVU „NOBUS“ • Příliš mnoho navzájem znepřátelených organizací se snaží o totéž. • V těchto organizacích je zaměstnáno příliš mnoho lidí. • „Přísně tajné“ materiály neustále utíkají na veřejnost, případně k nepříteli. • Žádná země nemá takový monopol na produkci HW a SW, aby toto mohla vynutit. • Ani velké země nedokáží produkovat veškerý potřebný HW a SW samy. • S dovozem cizozemského vybavení riskujete i cizí „štěnice“.

NÁSLEDKY A DŮSLEDKY - 1 • Důsledky takové činnosti bývají mnohdy přesně opačného rázu, než původní záměr. • V případě oslabování bezpečnosti digitálních produktů – nebezpečí roste, místo aby klesalo. • Nespolehlivost digitálního podpisu • (kdo to podepsal, když X organizací má možná tajné klíče?). • Impersonace jiné osoby • Za zištným účelem – vysát kreditní karty. • Za mocenským účelem – znemožnit někoho. • Úniky všech možných utajovaných skutečností.

NÁSLEDKY A DŮSLEDKY - 2 • Industriální špionáž. • Zdaleka není jen doménou východní Asie. • Má negativní dopad na technickou inovaci. • Pokušení silových složek – místo sluhů pány • Složka „na každého“ – bohaté možnosti vydírání neposlušných lidí. • Informace jsou moc – dochází k imbalanci rozložení moci ve státě. • Zasévání atmosféry nedůvěry a strachu. • Zvýšení „křehkosti“ systémů • Gigantické databáze apod., když už selžou, mají tendenci selhávat katastrofálně (trvalé škody). • Úmyslné oslabování informačních systémů usnadňuje jejich napadení.

NÁSLEDKY A DŮSLEDKY - 3 • Nedůvěra k HW / SW vybavení • Mohu důvěřovat modemu či notebooku? Kolik mých dat posílá v tichosti na opačný konec světa? • Mohu svěřit zaměstnanci „práci domů“? Nevykrade někdo skrze děravý firmware obchodní tajemství? • Mohu se odvážit provést nákup po Internetu? Nezačne zítra někdo v Jakartě vybírat na můj účet? • Ráj pro určité druhy zločinnosti • Zneužití osobních údajů všeho druhu. • Distribuce závadných materiálů cizím jménem (např. dětská pornografie). • Prorůstání kriminality a státní správy (cenné informace mají mnoho potenciálních kupců, a tedy se najdou i potenciální prodávající).

ČEHO SE KONKRÉTNĚ BÁT (TECHNICKY)? • Vyčerpávající přehled je nemožný – omezíme se na vzorky. • Aktivní sabotáž • Úmyslně vynucené oslabení operačního systému či jiného bezpečnostně relevantního produktu již u výrobce (univerzální klíče, zadní vrátka). • Cílené úpravy HW / SW na cestě mezi výrobcem a zákazníkem. • Vzdálená instalace škodlivého SW na cílové systémy. • Nabourávání certifikačních autorit. • Pasivní sabotáž • Ponechávání známých bezpečnostních závad (bugů) „v oběhu“.

AKTIVNÍ SABOTÁŽE – OCHUTNÁVKA 1 • PRISM – program hromadného sběru dat přímo ze serverů cloudových společností • Výrazně usnadněn tím, že tyto organizace vesměs sídlí v USA. • Důvodně podezřelí: Microsoft, Yahoo!, Google, Facebook, AOL, Skype, Apple. • Potenciální smrt pro cloud, zejména v korporátní sféře. • Masivní roztržka mezi EU, Brazílií a USA coby důsledek.

AKTIVNÍ SABOTÁŽE – OCHUTNÁVKA 2 • Tailored Access Operations (TAO) – operace zamířené proti konkrétním cílům. • Instalace keyloggerů a dalšího malware do cílového zařízení. • Důvodně podezřelí: AT&T, Verizon, Sprint, Microsoft, Cisco, Dell. • Obvykle prováděno na dálku skrze využití různých slabin. • V některých případech dochází k „odchycení“ balíčků u přepravní služby na území USA a instalaci „štěnic“ přímo do objednaných produktů již na cestě od prodejce k zákazníkovi. • Používáno např. proti zahraničním mobilním operátorům. • Aféra „Belgacom“.

PASIVNÍ SABOTÁŽE – OCHUTNÁVKA 1 • „Heartbleed“ bug (2014) • Softwarová zranitelnost zavlečená do openSSL knihovny koncem roku • Veřejně oznámeno • Existuje podezření, že (nejen) NSA objevila bug podstatně dříve, ale neupozornila na něj. • Seznam obětí je rozsáhlý (Android 4.1, různé Linuxy, Amazon, Wikipedia). • Goto FAIL; bug (2014) • Softwarová zranitelnost v iOS 6-7 a OS X 10. • Zdvojení řádku – přeskočení životně důležité kontroly správnosti SSL certifikátu. • Umožňuje útoky MitM prakticky dle libosti.

ZÁVĚRY … ? • Je příliš brzo na definitivní závěry. • V každém státě dříve nebo později vznikne „velký skandál“, který bude místní společnost muset nějak „zpracovat“. Někde už vznikl. (Brazílie, Německo – odposlech vlád.) • Veškerá snaha o nápravu situace bude intenzivně mařena mocenskými složkami států. • Typická reakce: Američani to dělají, my tedy musíme taky (Francie, Slovensko, Nový Zéland). • Důvěra se těžko získává, velmi snadno a nenávratně se ztrácí. • Cloudová řešení se nejspíš omezí na výměnu fotek dětí a z dovolených. • Je možné, že některé databáze se po větších skandálech s únikem dat přestěhují opět offline, nebo nedojde k jejich vzniku. • Firmy s velkým know-how jsou v neřešitelném dilematu: • Budou-li chránit data dobře, mohou se stát terčem represí od „vlastních“ vlád. • Nebudou-li, exponují se všem svým protivníkům po celém světě. • „Návrat k psacím strojům“ je obvykle nerealizovatelný.