16 800
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 800
/ContentUploads/A302/USA_Security_Edward_Snowden_NSA_PRISM_Big.jpg
Kattints ide  ➜

Az NSA botrány ‑ Ahogyan én látom

Tarjányi Tamás2013.10.20. 22.51
Az alábbiakban az NSA botránnyal kapcsolatos híreket és a hozzájuk fűzött megjegyzéseimet olvashatjátok.

"The world is a dangerous place to live
not because of the people who are evil,
but because of the people who don't do anything about it.
" – Albert Einstein

2013.06.06.

Hír: Kiderült, hogy az USA kormánya több millió Verizon ügyfél hívásának adatait gyűjtheti össze egy titkos engedély alapján.

A magyarázat szerint, mivel csak a hívások metaadatait tárolták – ki kit hívott, mikor és mennyi ideig tartott a hívás – de magukat a hívásokat nem és a metaadat nem minősül kommunikációnak, ezért nem volt szükség külön engedélyre minden egyes adat eltárolásához.

Megjegyzés: Bár már önmagában ennek az adatgyűjtésnek a kitudódása is elég kínos – legalábbis Obama arcán szerintem látszik némi kín, amikor próbálta védeni a dolgot – itt még főként csak a személyiségi jogi aktivisták hangoskodtak. Többfelé lehetett olvasni és hallani olyan véleményeket, hogy ez még simán belefér egy titkosszolgálat tevékenységébe.

Érdemes azt is megjegyezni, hogy ez a fajta metaadat minden telefon szolgáltató rendelkezésére áll és azt legalább statisztikai célra tipikusan fel is használják, viszont ők nem látják a másik szolgáltatók adatait. Látják viszont a más hálózatba tőlük menő és más hálózatból hozzájuk érkező hívásokat.

A később megismert adatok alapján azonban kijelenthetjük, hogy ez csak a bemelegítés volt.

2013.06.07.

Hír: Az NSA internet "lehallgatási" botrányának kitörése, az első Prism dokumentumok megjelenése.

A dokumentumok szerint az NSA-nek közvetlen hozzáférése volt több internetes cég, köztük a Google, az Apple és a Yahoo! rendszereihez. A projekt Prism néven futott 2007 óta. A dokumentum szerint a lehallgatás a cégek tudtával történt, amit azonban például a Google és az Apple azonnal cáfolt.


Megjegyzés: Az előzőekhez képest itt fontos újdonság (és ettől szólt igazából nagyot), hogy már nemcsak metaadatról van szó, hanem magáról a teljes kommunikációról. Azaz például az e-mailek tartalma vagy a meglátogatott weblapok tartalma is a megfigyelés tárgyát képezi, nem beszélve a chatről, illetve az internet alapú hanghívásokról. Ez merőben szembe megy azzal az Obama által korábban a telefonos hírben hangoztatott védekezéssel, hogy csupán metaadatokról volt szó.

A törvényességet azzal magyarázzák, hogy a törvény lehetőséget ad a programban résztvevő cégek Amerikán kívül élő felhasználóinak, vagy azon amerikai felhasználóknak, akiknek a kommunikációjában nem Amerikában tartózkodó is részt vesz megfigyelésére. Bár itt is találtak magyarázatot a törvényességre, azért itt már jóval több ember érezte úgy, hogy az ilyen jellegű megfigyelés tényleg törvénytelen lehet.

A megismert adatok alapján az tűnik a legvalószínűbbnek, hogy a lehallgatást technikailag az üvegszálon haladó adatok "bontásával" hajtják végre. Ez megmagyarázná azt is, miért nevezték a projektet Prism<-nek. Mivel itt a teljes forgalmat megkapják, legalábbis azt a forgalmat, ami a Prism csomópontokon átfolyik, szakmailag nagyon érdekes lenne tudni, hogy hogyan elemeznek ekkora mennyiségű adatot, mit keresnek benne és milyen technológiákat alkalmaznak.

Két dolgot érdemes még megemlíteni és mindkettő a titkosítás témakörhöz kapcsolódik. Amikor kiderült a lehallgatás, a szakértők azt mondták, hogy azért nincs nagy vész, mert a legtöbb adat titkosított csatornán halad keresztül, amibe nem lehet belelátni. Bár bizonyos információk szerint a titkosított adatokat is mentették a lehallgatás folyamán, ám ezeket egyelőre visszafejteni nem tudják. A tárolás célja az volt, hogy ha később lehetségessé válik az adatok visszafejtése, akkor azt majd megtehessék akár célzottan, valakire fókuszálva.

Az első fontos dolog, hogy például a Gmail böngészős változatának használatakor a böngésző titkosított csatornát használ, – Gmailnél az IMAP szerver is támogat titkosítást – azonban a levél címzetthez juttatása legtöbbször titkosítatlan protokollon – SMTP-n keresztül – történik. Ez még akár akkor is lehallgathatóvá teszi az e-maileket, ha Gmail-ről Gmail-re megy a levél, de különböző szerverek között utazik az e-mail és közben áthalad egy Prism csomóponton. Egyébként is a legtöbb kommunikáció esetében a két fél között nem áll fent úgynevezett end-to-end titkosítás, tehát valahol lehallgatható lesz a kommunikáció.

A másik dolog, hogy bár a titkosítás mint technológia rendelkezésre áll és például a Gmail webes felületéhez is van viszonylag egyszerűen használható e-mail titkosítás – PGP/GPG – kínáló böngészőbe beépülő program, és ennek használatával valódi end-to-end titkosítást érhetünk el, de az ehhez szükséges kulcsok generálása és megfelelő kezelése egyáltalán nem triviális, illetve ennek használatához mindkét félnek rendelkeznie kell a megfelelő kulccsal. Továbbá az e-mail metaadatok ilyen módon sem titkosíthatóak.


2013.06.10.

Hír: Edward Snowden felfedi kilétét és azt, hogy Hong Kongban tartózkodik.

Megjegyzés: Elsőre logikusnak tűnik, hogyha az NSA tudta, hogy ki szivárogtatja ki az adatokat, akkor Snowdennek érdeke volt megmutatni magát, nehogy csendben eltegyék láb alól. Azonban, ha megmutatja magát, akkor egy másik titkosszolgálat, vagy egy elvakult fanatikus is megölheti – mivel tudják ki volt – és ezzel az NSA-re terelné a gyanút. Továbbá Snowden azt nyilatkozta, hogyha vele történik valami, akkor is nyilvánosságra kerülnek az adatok. Tehát akár emiatt is érdeke lehetne másik titkosszolgálatnak megölni. Ennek ellenére Snowden él. Nos, azt hiszem arra, hogy miért fedte fel magát – és hogy jól tette-e – csak az idő fog választ adni.

2013.06.26.

Hír: Putyin elismerte, hogy Snowden egy moszkvai reptéren tartózkodik. Az USA-ból többen is üzentek neki – ki finoman, ki kevésbé – hogy adják ki férfit.


2013.08.01.

Hír: Dokumentumokkal bizonyították, hogy az NSA 100 millió angol fontot fizetett a Brit Kormányzati Kommunikációs Központnak (GCHQ), hogy segítse a lehallgatást.

Megjegyzés: A dolog lényege, hogy a brit szervezetek is nyakig benne vannak. Szerintem ez sem kellett volna túl nagy meglepetést okozzon. Nyilvánvaló, hogy minden titkosszolgálat nagyjából ugyanazt akarja. Tudni mindenről. Az is világos, hogy a titkosszolgálatok szükség esetén össze szoktak dolgozni. Az is elég egyértelmű, hogy a elég szabadon tudják értelmezni a törvényeket a tevékenységük igazolására. Mivel eddig nem volt bizonyíték ilyen jellegű tömeges adatgyűjtésre, ami ráadásul országhatárokon átível, azért ez is nagyot durrant. Ráadásul fontos momentum volt, mert kihozta az egész botrányt az USA területéről és globális szintre emelte.

2013.08.20.

Hír: A Guardiannál megsemmisítettek olyan merevlemezeket, amin a Snowden anyagokat tárolták.

Megjegyzés: A Guardian a brit hatóságok többszöri nyomásának engedett, amikor megsemmisítették az adathordozókat. Hozzátették azonban, hogy az anyagok megtalálhatóak máshol is az ország határain kívül, tehát tulajdonképpen csak az országban lévő adatokat semmisítették meg, nem az összes adatot. Tették mindezt egyébként azért, mert a hatóságok azzal fenyegették meg őket, hogyha nem teszik meg ezt, akkor ők fogják lefoglalni az adathordozókat, ezt pedig a Guardian el akarta kerülni. Nem ismerem a vonatkozó jogot, de amennyiben ez igaz, akkor szerintem még elég kíméletesen is jártak el velük szemben, mert ahelyett, hogy simán rájuk törik az ajtót, adtak nekik időt a cselekvésre.


Az már kevéssé volt kedves a hatóságtól, hogy David Miranda-t a Heathrow reptéren terrorizmus gyanújával őrizetbe vették és a maximálisan megengedett 9 óráig fogva tartották. Ilyen esetben sokkal kevesebb joga van a gyanúsított illetőnek, mint normál esetben, amivel a hatóságok állítólag próbáltak is visszaélni.

2013.09.05.

Hír: Az amerikai és a brit titkosszolgálatok az interneten használt titkosítások nagy részét képesek feltörni.

Nem egyértelmű, hogy pontosan hogyan, de a dokumentumok szerint az NSA hosszú ideje többféle módon is azon dolgozott, hogy a különböző titkosításokat lehallgathatóvá tegye. A módszerek között feltételezések szerint szerepelt az algoritmusok gyengítése és nagy titkosítással foglalkozó cégek befolyásolása, melynek során különböző kiskapukat építtettek a kereskedelmi rendszerekbe. A dokumentumok szerint a 10 éve futó program 2010-ben ért el áttörést, amikorra is a legtöbb interneten használt titkosítást képesek voltak megkerülni.

Megjegyzés: Számomra a dolog innentől kezd igazán érdekessé és aggasztóvá is válni egyben. Arról, hogy az algoritmusok – például az AES – mennyire biztonságosak, voltak már találgatások régebben is. De amíg egy titkosítási algoritmusban – amit egyszer már elfogadtak – nem találnak hibát, addig jónak veszik. A TLS-t is bizonyos esetekben lehet törni. Ám az a kijelentés azért elég meredeknek tűnik, hogy az internetes titkosítások nagy részét fel tudják törni. Mivel semmit nem lehet tudni arról, hogy hogyan csinálják, ez nagyon veszélyes lehet. Mert ha az NSA meg tudja tenni, akkor honnan tudhatjuk, hogy más nem? És igazából ez a kérdés független attól, hogyan csinálják. Ha akár azt a végtelenül hülye ötletet vesszük, hogy a földönkívüliek adtak egy eszközt, ami ezt tudja, akkor sincs rá garancia, hogy nincs másik ilyen eszköz más kezében. De a probléma akkor is fennáll, ha azt a sokkal valószínűbb eshetőséget vesszük, hogy az algoritmusok gyenge pontjait vagy szoftverbe épített hátsó kapukat használnak. Más is megteheti ezt, ha ilyenek léteznek.

Márpedig, ha más is meg tudja tenni, akkor innentől mi lesz a biztonságos kommunikációt igénylő alkalmazásokkal? Nem fizetünk online bankkártyával többet? Nem tudunk netbankolni? A titkosítások mellett ezeket a technikákat például digitális aláírások és tanúsítványok készítésére is használják. Mivel nem tudjuk milyen messzire jutott az NSA vagy bárki más a feltörésben, lehet ezek is használhatatlanok lesznek?

Akkor viszont például a szoftverekbe épített biztonsági ellenőrzéseket is ki lehet játszani: Egy Windows frissítés nem is a Microsofttól jön, de a rendszer úgy fogja látni, hogy hitelesen onnan jövő frissítés, miközben éppen a kedvenc kémprogramját telepítjük, jobb esetben az NSA-nek. Ne adja Isten az összes digitális aláírás hamisíthatóvá válik?

Szerintem ez messzebbre vezet, mint egyszerűen csak a magánszféra megsértése, az e-mailek és a chatek lehallgatása. Ahogy fent olvasható, két módszert említ a dokumentum.

Az algoritmusok gyengítése esetén a védekezés, illetve a megoldás viszonylag egyszerű lehet. Ki kell kapcsolni az érintett titkosító algoritmusokat. Algoritmusok kézi tiltására már eddig is volt példa, amikor valamelyik algoritmusról kiderül, hogy nem megfelelő, akkor azt a szerver illetve a kliens oldalon is lehet tiltani. Sok kliens, illetve szerver azonban kényszerűségből meghagyja ezeket a "rossz" algoritmusokat is, mivel a kikapcsolásuk a specifikációt és a kompatibilitást sértené. Ha ez a helyzet, akkor következő lépésben az érintett algoritmusok listája szivároghat ki.


A másik módszer a kereskedelmi, vagy akár nem kereskedelmi – bár erről nem volt szó – termékekbe épített kiskapuk használata. Nos ez már egy nehezebb terület. Ebben az esetben azt feltételezném, hogy következő lépésben az érintett cégek/rendszerek listája fog elkezdeni szivárogni. Hogy mi lesz ezekkel a cégekkel, az kérdés. Vissza tudják-e a bizalmat valaha is szerezni? Illetve bízhatunk-e ezután bármilyen titkosításban? A zárt kódúak eleve problémásak lesznek. A nyitott kódúak esetében jobb a helyzet, de azokat is végig kell nézni, illetve a jövőben folyamatosan figyelni a módosításokat. Igazából abban sem vagyok biztos, hogy a bizalom el fog veszni. Hiszen ezek a cégek/rendszerek "CSAK" megfeleltek a törvényi körülményeknek. Nem véletlenül perli most a Google és a Microsoft, hogy nyilvánosságra hozhassák azt, amit ők tudnak.

Ami itt még felmerült bennem, mint kérdés, hogy mit szenved az NSA ezzel az egésszel. Csak meg kell szereznie a nagy úgynevezett ROOT CA-któl a megfelelő kulcsokat, és bármit lehallgathatnak. Erre a fajta tevékenységre azonban egyelőre semmi jel nem utal.

Ezzel az infóval az eddigi "a titkosítás megvéd a lehallgatástól" teória is megbillent kicsit, mivel nem tudjuk melyik véd meg és meddig.

Azért szögezzük le, hogy amíg nem derül ki több információ, nem tudhatjuk, hogy mennyire rossz a helyzet. Lehet csak felfújták a dolgot a jelentésben, hogy jobban mutasson. Úgyhogy egyelőre még ne dőljünk a kardunkba.


2013.09.08.

Hír: Újabb dokumentumok kiszivárgása, amelyekből a legfelkapottabbak a Brazil Petrobras olaj óriás lehallgatását bizonyító dokumentumok lettek. Ezek a dokumentumok az új ügynököknek szóló képzések anyagai voltak, amelyek azt mutatták be, hogyan lehet a kormányzati, üzleti szervezetek belső hálózatához hozzáférni és megfigyelést folytatni. Az nem derül ki a dokumentumokból, hogy milyen mélységű volt a lehallgatás és pontosan milyen adatokhoz jutottak hozzá, de a tanfolyami anyagban szereplő adatok a szakértők szerint valódinak tűnnek.

Megjegyzés: Két ok miatt került épp a brazil lehallgatás a középpontba abból a sok mindenből, ami az új dokumentumokból kiderült. Egyfelől a dokumentumok bizonyították, hogy az NSA az USA területén kívülre is kinyúló kémkedési tevékenységet is folytat, együttműködve más országokkal. A másik, ami fontosabb, hogy gazdasági/pénzügyi jellegű kémkedést is folytatnak. Ennek azért volt hírértéke, mert pár nappal korábban pont ezt tagadták egy levélben.

A Guardian cikke szerint az NSA azt is elismerte, hogy nemcsak terrorellenes tevékenységet folytat, hanem a pénzügyi válságokat előre jelző adatokat is gyűjtenek. Nyilvánvaló, hogy ilyen jellegű adatok akár versenyelőnyhöz is juttathatják az ezeket birtokló cégeket.

Szerintem azonban az előző két pont sem kellene nagy meglepetést okozzon. Végül is kémkedésről beszélünk. Számomra a cikk igazi hírértéke technológiailag abban a mondatban van, ami azt mondja, hogy az NSA képes volt úgynevezett man-in-the-middle – magyarul közbeékelődéses – támadást végrehajtani anélkül, hogy azt a kommunikációban résztvevő felek észrevették volna. Gyakorlatilag ez azt jelenti, hogy mind a kliens, mind a szerver azt hiszi, a csatorna közöttük titkos, és csak ők tudják írni/olvasni, de valójában mind a ketten egy közbenső entitással kommunikálnak, aki minden lát és írni is tud bele. Ez a korábban megfogalmazott félelmeimet – például banki adatok biztonsága, illetve szoftver frissítések megbízhatósága – támasztja alá. Illetve az egyik dokumentum arra is utalhat, hogy az NSA valahogyan érintett lehetett a DigiNotar nevű ROOT CA kulcsának ellopásában. Az, hogy a ROOT CA-k kulcsának megszerzésével tudják "dekódolni" a titkosított forgalmat, számomra sokkal hihetőbb, mint a feltört algoritmus. Azonban az sem kizárt, hogy ezeket a technikákat – ROOT CA, gyenge algoritmus és beépített backdoor – egymás mellett alkalmazzák.

Valójában amíg sokkal több részletet meg nem tudunk az alkalmazott technikákról, addig a jelenleg elterjedt titkosításokban és titkosító programokban nem érdemes megbízni. Persze, hogy tehetünk-e mást, az egy jó kérdés. Úgy gondolom egyelőre nem.

Gondolom, hamarosan jön a folytatás!
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
2016 legjobb okostelefonjai ‑ Sebességteszt
Ilyen lehetne a Google Pixel 2
A Nokia nagy visszatérése
Android 1.0 Apple Pie vs. Android 7.1 Nougat
A Chrome 55 már alig ad esélyt az Adobe Flash‑nek
LEAGOO M8 ‑ Elindult az egyik legolcsóbb okostelefon előrendelési időszaka
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Állásajánlatok
Kereskedelmi Termék manager
Java fejlesztő
Termékdokumentációs munkatárs – változásmenedzsment a logisztika területén
Termékfelelős mérnök gyakornok
Product engineer
BI üzleti elemző
Junior Java Developer