Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

NSA a spájzban

2013.09.09. 23:27 | buherator | 2 komment

Az NSA-féle lehallgatási botrány még mindig pörög, a média (nagyon helyesen) nem hajlandó ejteni a témát, és Snowden anyagai még bőven tartogatnak izgalmakat az egyszeri nethasználó számára. A kiszivárgott dokumentumok azonban koránt sem tartalmaznak minden részletet az NSA vagy más titkosszolgálat működésével kapcsolatban, így a híradásokban sok a spekuláció és gyakori a tények hatásvadász félreértelmezése is (ami helytelen). Mivel én sem látok bele jobban egy amerikai titkosszolgálat működésébe, mint bárki más, aki eddig beleolvasott a Snowdentől származó anyagoka, eddig nem is nagyon erőltettem a témába történő belefolyást, de az utóbbi időben annyian annyifélét írtak a témában itthon és külföldön, hogy úgy gondolom, most már ideje néhány dolgot (ismételten) helyretenni.

w4CCAiv.gif(via)

Először is, hihetetlen naivitás kellett ahhoz, hogy valaki azt gondolja, hogy az USA titkosszolgálatai nem tudnak belenézni a helyi cégeknél tárolt adatainkba. Erre a mi törvényeink is felhatalmazzák a mi titkosszolgáinkat, a különbség "mindössze" annyi, hogy mi nem vagyunk szuperhatalom és nem megy keresztül rajtunk a világ netforgalmának jelentős része. A PRISM nem azért okozott akkora botrányt, mert az NSA a dolgát végezte, hanem azért, mert a szervezet a képességeit amerikai állampolgárokkal szemben is alkalmazta, erre pedig nem volt alkotmányos felhatalmazása (majd megpróbálták letagadni az egészet), amire arrafelé elég háklisak az emberek.

Ettől persze szabadságharcos szempontból nagyon is pozitívan értékelhető, hogy ma már az átlagfelhasználó agyán is átfut, hogy kinek adja a titkait.

Az emberek persze megpróbálnak megoldást találni a problémára, a megoldás pedig kézenfekvő: használjunk kriptográfiát! Aztán jön a nyakleves: az NSA évente nagyjából 100 milliárd (!) forintnak megfelelő összeget költ alapkutatásra, le képesek hallgatni minden titkosított internetes forgalmat, és bele tudnak hallgatni bármilyen telefonbeszélgetésbe - azt gondolhatnánk, hogy itt vége a játéknak.

Ez azonban még mindig nem jelenti azt, hogy "feltörték az SSL-t", hatékonyan faktorizálnak egész számokat, vagy polinom időben oldják (bármelyik) diszkrét-logaritmus problémát. Az ugyan gyakorlatilag biztos, hogy az amerikai (illetve más nagyhatalmakhoz tartozó) hírszerzők hatalmas számítási kapacitással rendelkeznek, és azt is tényként kezelhetjük, hogy előrébb járnak a matekban, mint amiről a nyilvánosság tudhat (az NSA-nek minden nyilvános kutatás rendelkezésére áll, ők viszont nem osztanak meg semmit), de ez mégsem jelenti a meglévő algoritmusaink bukását:

A titkosítási algoritmusokkal szembeni támadások hatékonyságát a tisztán nyers erőt alkalmazó, a teljes lehetséges kulcstér bejárására játszó naív támadáshoz mérjük. A modern kriptográfia történetében ugyan gyönyörű eredmények születtek, melyek akár sok nagyságrenddel rontottak egy-egy titkosítás jóságán, de a mai algoritmusok és kulcshosszak mellett még a legjobb kriptanalízis módszereknél is milliárdszor jobbak kellenének, hogy a világ legjobb szuperszámítógépei elboldoguljanak velük - és akkor még nem beszéltünk az ezekhez tartozó támadói modellekről, melyek sokszor elképzelhetetlen mennyiségű összefüggő kriptoszöveget, vagy nagy mértékben ismert nyílt szövegeket feltételezhetnek. Ha pedig mindez mégis megvalósíthatónak látszana, akkor növelhetünk a kulcshosszakon (az NSA feltehetően képes 1024 bites számok faktorizálására, a Google a nyáron áll át 2048 bites tanúsítványokra).

Gond akkor van, ha a tengeren túlon (vagy akár valahol Ázsiában) sikerült valamilyen forradalmi matematikai áttörést elérni, vagy építettek egy kellően nagy kvantumszámítógépet, de még így is csak a rendelkezésre álló algoritmusok egy részét lennének képesek legyűrni, méghozzá igen drágán.

A kriptográfia valószínűleg még mindig a legerősebb láncszem a biztonsági gépezetben. Ez azonban azt is jelenti, hogy vannak nála gyengébbek, a kegyetlen közgazdaságtan pedig minden bizonnyal itt is érvényesül:

Míg Dr. Günter Janekhez hasonló kvalitásokból nem sok szaladgál az utcán, egy fuzzing farm egészen jól skálázható, de még tehetséges biztonsági szakértőkből is elég jó az ellátmány, ha odafigyelünk a képzésre és nevelésre. Ha pedig az embernek van évi 250 millió dollár a zsebében, könnyen rávehet bizonyos egyéneket illetve cégeket, hogy az algoritmusaikat a Terror Ellenes Harcnak megfelelően alakítsák.

Szoftver sérülékenységekre vonatkozó információk birtokában nincs szükség korszakalkotó elméletekre, a TLS forgalmad már azelőtt kiszivárgott a munkaállomásodról, hogy titkosításra került volna. Nem fognak a telefonodra varázssugarakat küldeni a HAARP-ról, elég egy trójai, ami figyel, mikor használod a laptopod USB-jét töltésre, vagy néhány spéci SMS (Szerk: friss poszt itta rosszul implementált kriptográfia kijátszásához. Ha pedig valaki megtalálná az egyik hátsó kapudat, hivatkozhatsz egyszerű fejlesztői hibára, a patch után használsz egy másik bejáratot. (Persze, ha a célpont odafigyel ilyen apróságokra egyáltalán: a Tor hálózat jelentős részén még mindig olyan elavult szoftverváltozatok futnak, melyek 1024 bites DHE kulcsokat használnak, melyeket a hárombetűs feltehetően meg képes fejteni)

Összefoglalásként tehát a jó hír az, hogy egyrészt egyelőre jó eséllyel nem kell kidobni a TLS-t, az RSA-t, az AES-t meg a többi kedvencünket (a kulcshosszakra viszont érdemes odafigyelni), továbbá szintén jó észben tartani, hogy egyik fenti módszer sem működik globális méretekben, a hírszerzésnek célzottan kell dolgoznia, ha kriptó jön szembe.

A rossz hír az, hogy a szoftver infrastruktúránk ugyanolyan sérülékeny mint eddig is volt, minden, az eszközeinkre kerülő kódot pedig lehetetlen leellenőrizni (a Tor Project erőfeszítései a témában - thx stef!). A kérdés innentől az, hogy kiben hajlandó megbízni az ember: van, aki a nyílt-forrásban hisz, mások jobb híján maradnak a nagy gyártóknál, és sajnos olyanok is lesznek, akik bedőlnek a hisztéria hullámain feltörekvő kuruzslóknak. Ahogy azonban a poszt elején is írtam, a első és legfontosabb az, hogy az ember tudatában legyen a potenciális fenyegetésnek, és ennek tudatában válasszon a rendelkezésre álló lehetőségek közül. Mindehez persze nem ártana, ha nem a média által gyártott démonokkal állnánk le küzdeni az orrunk előtt vicsorgó ragadozók helyett.

Címkék: privacy nsa kriptográfia prism snowden

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nevergone 2013.09.13. 18:17:32

„a Tor hálózat jelentős részén még mindig olyan elavult szoftverváltozatok futnak, melyek 1024 bites DHE kulcsokat használnak, melyeket a hárombetűs feltehetően meg képes fejteni”

Akkor ez egyet jelent azzal, hogy a Tor mégsem olyan biztonságos, mint amilyennek eddig sokan gondolták?

buherator · http://buhera.blog.hu 2013.09.14. 12:26:27

@nevergone: A Tor, mint technológia továbbra is OK-nak tűnik, de sajnos úgy tűnik, hogy (mint sok más kriptográfiávalösszefüggő esetben is) a konkrét megvalósítás gyengébb, mint reméltük, ráadásul a probléma nem oldható meg varázsütésre: a node üzemeltetőknek egyénlileg kellene cselekedniük. Elképzelhetőnek tartok ugyanakkor egy olyan megoldást (lehet hogy ilyen már létezik), amiben a kliens választhatná meg, hogy milyen kulcshosszakkal működő szervereket hajlandó igénybe venni.

Megjegyzendő továbbá, hogy a rövid kulcshosszak még mindig csak jól célzott, anonimitást (és nem az alsóbb rétegekben megvalósított bizalmasságot) sértő támadásokra adnak lehetőséget.