szukaj

15.09.2013 | 21:55

avatar

Adam Haertle

Po lekturze dokumentów NSA Schneier radzi, jak zabezpieczać swoje dane

Bruce Schneier, znany ekspert z dziedziny kryptografii, przez ostatnie tygodnie pracował z redaktorami Guardiana nad dokumentami wyniesionymi przez Edwarda Snowdena. Podsumowując zdobytą w ten sposób wiedzę dzieli się z nami swoimi radami.

Schneier pomagając redaktorom Guardiana zrozumieć część archiwum NSA, sam zapoznał się z setkami ściśle tajnych dokumentów. Według jego wiedzy podstawowym sposobem zdobywania informacji przez NSA jest hurtowe podsłuchiwanie sieci. Przeprowadzane są również ataki na pojedyncze komputery lub urządzenia, jednak cele takich ataków są wybierane bardzo selektywnie – ten rodzaj ataku jest bardzo kosztowny i niesie ze sobą spore ryzyko wykrycia. Z drugiej strony Schneier podkreśla, że jeśli NSA zechce dostać się do jakiegoś komputera, to się do niego dostanie – i to w sposób niezauważalny dla jego właściciela. Dysponując nieograniczonym budżetem i wysoce wykwalifikowanym personelem jest w stanie pokonać każdy system operacyjny. Jakie zatem metody zabezpieczeń przed takim przeciwnikiem rekomenduje Schneier?

Po pierwsze, ukryć się w sieci. Korzystać z ukrytych usług sieci TOR i transmisji przez sieć TOR. Choć NSA atakuje użytkowników TORa, to kosztuje to ich trochę wysiłku.

Po drugie, szyfrować komunikację, korzystać z TLS czy IPSec. Nawet jeśli NSA zna skuteczne ataki na te protokoły, to lepiej z nich korzystać, niż przesyłać dane w formie jawnej.

Po trzecie, choć Wasz komputer mógł paść ofiarą NSA, to prawdopodobnie tak nie było. W celu przetwarzania ważnych danych warto skorzystać z innego komputera. Sam Schneier korzysta z komputera, który nigdy nie był podłączony do sieci, na którym szyfruje i deszyfruje pliki przenoszone na nośnikach USB.

Po czwarte, nie ufać komercyjnym produktom szyfrującym, szczególnie pochodzącym od dużych dostawców. Schneier zakłada, ze większość produktów kryptograficznych firm amerykańskich posiada tylną furtkę NSA. To samo dotyczy także produktów firm z innych krajów (które prawdopodobnie mają dodatkowo furtkę swojej krajowej służby). Problem ten dotyczy wszystkich rozwiązań o zamkniętym kodzie źródłowym.

Po piąte, korzystać z szyfrowania, które wymusza kompatybilność wielu produktów. Na przykład Bitlocker musi być kompatybilny tylko z samym sobą, zatem szansa tylnej furtki jest spora. Z kolei TLS musi być kompatybilny z wieloma wdrożeniami, zatem trudniej wstawić do niego tylną furtkę. Schneier poleca także kryptografię symetryczną, opartą o logarytmy dyskretne, przeciwstawiając im kryptografię asymetryczną i krzywe eliptyczne.

Sam Schneier korzysta z takich produktów jak GPG, Silent Circle, Tails, OTR, TrueCrypt oraz BleachBit – oraz kilku innych, o których postanowił nie pisać. Zasady, które przedstawił, mogą być trudne do wdrożenia w codziennym użytkowaniu komputera, jednak – jak w każdym przypadku – wystarczy przeprowadzić analizę ryzyka związanego z ujawnieniem przetwarzanych informacji i zastosować selektywnie odpowiednie narzędzia i metody.

Powrót

Komentarze

  • avatar
    2013.09.15 22:09 1337

    True Crypt* :)

    Odpowiedz
    • avatar
      2013.09.16 00:54 Kuba

      To się już zaczyna robić nudne. Albo jest furtka, albo nie ma. Jak nie ma, to nie ma o czym pisać, jak jest to mi ją pokaż.

      P.s sam TC nie używam i nie jestem wielkim fanem, ale skoro kod jest otwarty, to zanim stwierdzi się obecność backdoora warto ten kod przejrzeć…

      Odpowiedz
      • avatar
        2013.09.16 08:38 xD

        Jeżeli ukrywasz w szyfrowanym kontenerze porno przed mamą to żadne backdoory ci nie straszne, ale w sytuacji gdy przechowywane materiały gwarantuja poważny wyrok to cieżko ufać nawet kodowi który sie samemu napisało xD

        >jak jest to mi ją pokaż.
        nikt nie podpisuje backdoorów, a przeróżne błedy mogące być tylnymi furtkami to norma w rozbudowanym oprogramowaniu

        Odpowiedz
      • avatar
        2013.09.16 09:21 jan kowalski

        Ale po co backdoor w TC ? Przecież tam podaje się hasło „z głowy” więc w 99% TC pada przy ataku słownikowym, bo jest bardzo niewielka ilość osób które zapamiętują skomplikowane wieloznakowe hasło. TC to kloc jakich mało a programów do łamania kontenerów TC jest od groma.

        Odpowiedz
      • avatar
        2013.09.16 11:25 Adam

        Pierwszy komentarz dotyczył literówki, którą zrobiliśmy w nazwie programu :)

        Odpowiedz
      • avatar
        2013.09.16 12:31 kuba3

        to sprawdza nie marudzisz. ;]
        wytykac bledy jest latwiej niz je rozwiazywac.
        just do it jak w najku. ;)

        Odpowiedz
  • avatar
    2013.09.16 00:42 night

    … OpenVPN (?)

    Odpowiedz
  • avatar
    2013.09.16 08:11 Jan

    Szczeże mówiąc to tor do internetu obniża moje bezpieczeństwo, bo end node ma cały nieszyfrowany ruch podany na tacy

    Odpowiedz
    • avatar
      2013.09.16 08:12 Jan

      oczywiście przez rz ;-)

      Odpowiedz
    • avatar
      2013.09.16 10:52 Adam

      Tylko kto Ci każe słać cokolwiek nieszyfrowanego?

      Odpowiedz
    • avatar
      2013.09.16 12:00 jan kowalski

      Owszem, jest nieszyfrowany na wyjściu, ale możesz sobie wykluczyć exity z Polski, Niemiec, USA i innych krajów. Niech więc patrzy ktoś na twój ruch z Rosji czy innego zaścianka i potem niech cię ścigają :)

      Odpowiedz
  • avatar
    2013.09.16 08:24 hoek

    Nic nowego, wszystko to wiadomo od dawna.
    Każdy świadomy użytkownik Internetu od dawien dawna korzysta z tych samych metod co Schneier. Nieświadomi to szara masa, która nawet uświadomiona nic nie zmieni. „jak się nie wywrócisz to się nie nauczysz.”

    Odpowiedz
    • avatar
      2013.09.16 08:51 ppp

      >Każdy świadomy użytkownik Internetu od dawien dawna korzysta z tych samych metod co Schneier.
      znaczy paranoicy, pedofile, dzieci bawiące sie w hakerów i jeszcze kilku paranoików usprawiedliwiających sie ochroną prywatnosci i byciem swiadomym internałtą

      >Nieświadomi to szara masa, która nawet uświadomiona nic nie zmieni
      dla szarego człowieka prywatnośc w internecie to kolejna fajna ciekawostka pokroju nwo, szkodliwosci mleka czy jakis chemicznych pasków na niebie. Z samego uswiadamiania to im moze co najwyżej temat do rozmów i spekulacji zostać. Jeżeli jest fb, smieszne koty i cycochy to internet działa jak trzeba i nikt nie wezmie do serca tego co mówi jakiś nawiedzony koles

      Odpowiedz
      • avatar
        2013.09.17 08:02 hoek

        czyli twierdzisz, że ludzie dbający o swoją prywatność w sieci są źli?

        To przerzuć to teraz na real life i ja stwierdzę, że jesteś pedofil itp itd skoro żądasz prywatności.

        Odpowiedz
        • avatar
          2013.09.17 09:44 ppp

          >czyli twierdzisz, że ludzie dbający o swoją prywatność w sieci są źli?
          nie masz konta na fb to pewnie jestes psychopatą
          http://www.dailymail.co.uk/news/article-2184658/Is-joining-Facebook-sign-youre-psychopath-Some-employers-psychologists-say-suspicious.html
          korzystanie z kryptografi implikuje posiadanie czegos na sumieniu. Nic na to nie poradzisz, dbanie o prywatnośc w internecie jest jak chodzenie po zmroku w kapturze, niby nic wielkiego ale w oczach innych wyglądasz podejrzanie

          Odpowiedz
          • avatar
            2013.09.18 07:54 hoek

            Podsumowując, nie mam konta na Facebooku i szyfruje dane na dysku oraz maile aby np. hasła czy prywatne wiadomości nie trafiły w niepowołane ręce, to oznacza że jestem podejrzany a w dodatku psychopata? Bo tak idę dalej Twoim tokiem myślenia i tylko to z tego wynika. Czyli wierzysz też w artykuły w sieci i statystyki amerykańskich naukowców, jeśli ktoś będzie nasłuchiwał Twoją skrzynkę pocztową na klatce i tą w Internecie to nie masz nic przeciwko bo przecież nic nie ukrywasz i jesteś zdrowym normalnym człowiekiem. (pal licho, że jakiś domorosły hakier zdobył już Twoje loginy i hasła do konta w banku oraz udostępnia wszystkie Twoje miłosne wypociny do ukochanej na demotywatorach :)

      • avatar
        2013.09.17 08:07 hoek

        Mylisz pojęcia kolego. Anonimowość i prywatność.

        Odpowiedz
    • avatar
      2013.09.16 12:04 jan kowalski

      Tzw. „masa” ma przyswoić sobie przekaz: „NIc nie ukryjesz, jesteś podsłuchowywany, monitorowywany, I’m watching you, every breath you take…” Jeśli ten oddech NSA na karku zwykłego użytkownika spowoduje chociaż niewielką korzystną zmianę w postępowaniu, to ok – aczkolwiek życzyłbym sobie, aby takie uświadamianie odbywało się poprzez edukację a nie prymitywne straszenie ludzi.

      Odpowiedz
  • avatar
    2013.09.16 09:22 jan kowalski

    NSA jest w stanie dostać się do każdego komputera…. pod warunkiem, że jest podłączony do sieci. Ale za chwilę może się okazać, że Snowden wyleci z rewelacją jak to NSA może się włamać do komputera poprzez gniazdko elektryczne.

    Odpowiedz
    • avatar
      2013.09.16 11:07 Amadeuszx

      Żart Ci się nie udał:
      http://pl.wikipedia.org/wiki/Internet_z_gniazdka
      więc w niektórych przypadkach można się włamać przez gniazdko elektryczne…

      Odpowiedz
      • avatar
        2013.09.16 12:09 jan kowalski

        Poziom paranoi przekracza już wszelkie granice zdrowego rozsądku. Jeszcze powiedz, że się NSA włamie do komputera przez zwykły zasilacz do laptopa za 29,90 z Allegro.

        Internet z gniazda to zupełnie inna para kaloszy.

        Odpowiedz
  • avatar
    2013.09.16 09:30 John

    BleachBit ? To czyszczenie, czegos nie łapię… Od zawsze mamy to na linuxie.

    Odpowiedz
  • avatar
    2013.09.16 09:42 sRogi

    Do autora: jest „korzystać z TSL czy IPSec.” a nie powinno być „korzystać z TLS czy IPSec.” ??? a Open VPN nic nie pisali?

    Odpowiedz
    • avatar
      2013.09.16 11:17 Adam

      Oczywiście literówka, poprawione. O OpenVPN nie wspomniał.

      Odpowiedz
      • avatar
        2013.09.16 12:12 jan kowalski

        O OpenVPN nie wspomniał bo pewno jest to ta jedna z metod o których nie chciał pisać :)

        Odpowiedz
  • avatar
    2013.09.16 10:09 Kamil

    Fajnie.. Zaleca używania Silent Circle które zawiesiło swoją działalność.

    Odpowiedz
    • avatar
      2013.09.16 11:16 Adam

      Silent Circle dalej działa – wyłączyło tylko usługę email, ale ich głównym produktem jest telefonia.

      Odpowiedz
  • avatar
    2013.09.16 10:13 embros

    BleachBit lepszy od ccleaner?

    Odpowiedz
    • avatar
      2013.09.16 14:20 wilk

      Tu nie chodzi o to czy lepszy, bo zapewne identyczny. Chodzi o to, że Otwarty.

      Odpowiedz
  • avatar
    2013.09.16 12:26 asdf

    No hej, chlopcy. Rozumiem, ze to moze zostac wymoderowane, ale mimo wszystko, nie dosc, ze robicie przepiski, to jeszcze nie podajecie zrodla. Smutek. :(
    http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

    Odpowiedz
    • avatar
      2013.09.16 12:29 Adam

      Link do źródła jest (i zawsze był) w pierwszym akapicie.

      Odpowiedz
  • avatar
    2013.09.16 12:52 emlmo

    polecam tez buldoga do pilnowania laptopa w czasie spoczynku

    Odpowiedz
  • avatar
    2013.09.16 18:06 brthn

    „Schneier poleca także kryptografię symetryczną, opartą o logarytmy dyskretne”
    OH MY FUCKING GOD! Nawet przy przepisywaniu!? Osoba odpowiedzialna za artykuł powinna być powieszona! Widać, że zero pojęcia „autora” o nawet podstawach kryptografii.

    Redakcji należy się publiczne zbesztanie.

    Odpowiedz
    • avatar
      2013.09.16 18:23 jan kowalski

      Ja wohl, Translate Fuhrer!

      Odpowiedz
    • avatar
      2013.09.16 23:08 Adam

      Chodziło nam o użycie logarytmów dyskretnych do bezpiecznej wymiany kluczy – niezbędnej przy szyfrowaniu symetrycznym. Faktycznie, zdanie brzmi niezbyt fortunnie bez tego kontekstu.

      Odpowiedz
  • avatar
    2013.09.16 22:06 MarcinM

    Racja, logarytmy dyskretne to raczej asymetryczna kryptografia. Ja się zastanawiam jaką Schneier ma motywację pisząc o omijaniu rządowych podsłuchów. Teraz jego rząd bedzie musiał wydać więcej kasy aby opracować nowe metody, czy o to chodzi?

    Odpowiedz
  • avatar
    2014.02.04 13:21 Arthur

    A jak się to ma dla zwykłego klikacza w klawiaturę mającego konto na FB i przeglądającego strony ? Czy możecie polecić jakiś prosty sposób zabezpieczenia przez ingerencją z zewnątrz oprócz antywirusa i firewalla ?
    Bo jakby powiedzieć odłączyć kompa od netu to chyba nie dam rady

    Pozdrawiam,
    Artur

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Po lekturze dokumentów NSA Schneier radzi, jak zabezpieczać swoje dane

Komentarze