perjantai 6. syyskuuta 2013

Snowdenin suurin paljastus

Snowdenin kohutut paljastukset ovat tähän asti olleet melko laimeita. Se, että NSA salakuuntelee runkoverkkoja ja saa tietoja suoraan jenkkiläisistä nettipalveluista, ei ollut varsinainen yllätys. Asia on ollut tiedossa, Snowden vain antoi todisteet.

Mutta viime yön paljastukset ovat oikeasti kovaa kamaa. Nyt vihdoin Snowden kertoi, miten kieroja keinoja NSA käyttää tietoja saadakseen. Se varastaa salausavaimia nettipalveluista, hankkii niitä ilmeisesti solutettujen agenttien avulla (varokaa maailman operaattorit, myös Suomessa), heikentää salausalgoritmeja ennen niiden standardointia, asentaa ulkomaisille tiedustelupalveluille myytäviin koneisiin urkintapiirejä, lisää takaovia kaupallisiin tietoturvaohjelmiin ja mahdollisesti jopa lisää ohjelmiin tahallaan tietoturvaongelmia. Jos vielä jokin kierous jäi listaamatta, sekin luultavasti löytyy NSA:n työkalupakista. Kun kyse on kansallisesta turvallisuudesta (tai uteliaisuudesta), anything goes.

Lista on ällistyttävä. Keinot ovat katalampia kuin mitä agenttiromaanien kirjailijat ikinä pystyisivät keksimään. Kiinalaisten kohutut tietomurrot amerikkalaisiin yrityksiin ja viranomaispalveluihin vaikuttavat tämän jälkeen pyhäkoulupoikien puuhastelulta.

Snowdenin viime yön paljastukset maksavat Yhdysvalloille miljardeja dollareita ja todennäköisesti myös ihmishenkiä. Kuka enää tämän jälkeen uskaltaa käyttää mitään jenkkituotetta tietoturvan kannalta tärkeisiin tehtäviin? Lehtien paljastuksista oli ilmeisesti viranomaisten pyynnöstä poistettu yhteistyötä tekevien jenkkiyritysten nimiä, joten emme tiedä, ovatko kaikki mukana urkinnassa, vai onko joukossa (vielä toistaiseksi) luotettaviakin tahoja.

Ei ihme, että kaupallisissa ohjelmissa on usein turva-aukkoja -- ne saattavat olla tarkoituksellisia. Ei ihme, että niiden korjaaminen kestää joskus luvattoman pitkään -- mahdollisesti NSA:lla on käynnissä jokin aukkoihin perustuva seurantaoperaatio.

Näiden paljastusten jälkeen naurattavat viime joulukuun ITU-konferenssin keskustelut siitä, pitäisikö netin hallinnointia siirtää YK:n alaisuuteen. USA ja EU vastustivat ehdotusta voimakkaasti, koska ne pelkäsivät siirron antavan valtioille keinoja urkkia kansalaisiaan. Nyt on selvää, että suurin urkkija on USA itse -- eikä se halua luopua tästä mahdollisuudesta jatkossakaan.

Jos Snowden vielä elätteli jotain toiveita kotiinpääsystä, nyt hän saa unohtaa asian. Parasta alkaa opiskella venäjää ihan tosissaan. Eikä henki ole turvassa edes siellä, liian moni haluaa nyt hänen päänahkaansa.

Ei ihme, että juuri Microsoft osti Nokian. NSA:n kannalta olisi ollut kestämätöntä, jos Microsoftin mobiilipalveluihin liittyvä urkintamahdollisuus ja puhelintekniikan kontrolli olisi päätynyt jollekin aasialaiselle valmistajalle.

Meille suomalaisille Snowdenin paljastukset ovat tavallaan positiivinen asia. Suomen hyvä maine, korkea turvaosaaminen sekä liittoutumattomuus sen paremmin Ruotsin kuin Natonkaan kanssa, kantavat nyt hedelmää. Tietoturvaohjelmista ja alan palveluista voi tulla Suomelle todellinen menestystarina.

Pitää vain toimia, ennen kuin jenkit ehtivät ostaa yritykset meiltä pois. 

38 kommenttia:

Anonyymi kirjoitti...

Lieneekö enää edes PGP Desktop ja TrueCrypt turvallisia...

Anonyymi kirjoitti...

Tiedämmekö, millaiset ovat Suomen viranomaisten suhteet USA:n vastaaviin? Ettei joskus myöhemmin paljastu, että Suomi olikin suurin turva-aukko.

Anonyymi kirjoitti...

Aika historiallinen päivä väittäisin. Sellainen johon palataan vielä vuosien päästä. Tuuletin on vasta heittänyt luonnonlannoitteet seinille. Lisää samaa lienee tulossa. Ja siivouslaskut maksavat USA:n omat yritykset loppujen lopuksi.

Anonyymi kirjoitti...

Mikäänkö ei viittaa että muut valtiot tekisivät samoin? Todisteita ei suuremmin ole.

Petteri Järvinen kirjoitti...

Varmasti muutkin valtiot tekevät. Toisaalta ne eivät esiinny nettivapauden puolustajina ja urkinnan vastustajina.

Anonyymi kirjoitti...

Taannoin esitettiin väitteitä, että Ruotsin viranomaiset olivat pystyneet avaamaan Gottfried Wargin (anakata) TrueCrypt-osion. Väite kuitattiin hölynpölynä. Ei vaikuta niin mahdottomalta ajatukselta enää...

Anonyymi kirjoitti...

3 kappaletta ennen "bullrun bottom line" -kuvaa antavat ainakin sellaisen kuvan että etupäässä kaupalliset salausratkaisut olisivat takaportitettuja.

Yksi Turkkulaanen kirjoitti...

Ainoa keino lienee paluu takaisin menneeseen, jos sinulla on jotakin todella tärkeää, ainoa keino viestittää se turvallisesti on luotettu kuriiri. Tai viedä itse, vastaanottajan käteen. Sinetöidyssä kirjekuoressa tai vastaavassa.

Juho Heikkilä kirjoitti...

Liekö tämä myös Stonesoftin ostamisen taustalla. Open Source toteutukset lienevät turvallisia, suljetut eivät, varsinkaan jenkkituotteet.

Muutkin valtiot varmaan yrittävät tai yrittäisivät tehdä samaa, mutta muilla valtioilla ei ole USAn etua siinä, että merkittävä osa laitteista ja softasta tulisi omasta maasta.

Anonyymi kirjoitti...

No jopas on jäänyt huomaamatta tämäkin takaportti. Älypuhelimesta saadaan kyseltyä tarkka GPS sijanti ilman käyttäjän lupaa tai, että käyttäjä huomaa sitä.
http://laforge.gnumonks.org/weblog/2010/12/17/

Ktk kirjoitti...

Hauskinta tässä on kirjoittajan täydellinen tietämättömyys asiasta lehtien uutisoinnin ulkopuolelta ja Microsoftin demonisointi.

News flash: Jok'ikinen Yhdysvalloissa toimiva yhtiö joutuu tekemään saman, NSA:lla on "oikeus" koska "terrorismi".

Ei MS tai muutkaan firmat luovuta yhtään enempää tietoja NSA:lle kuin heidän on pakko, eikä Nokia-kaupoilla ole yhtään mitään tekemistä asian kanssa. NSA:lla on ja oli ihan samat mahdollisuudet vakoilla myös Nokian luureilla tehtyjä puheluita yms oli firman takana sitten Nokia itse, Microsoft tai vaikka joku kiinalainen firma

Anonyymi kirjoitti...

New York Timesin kirjoituksessa (http://www.nytimes.com/interactive/2013/09/05/us/unlocking-private-communications.html?ref=us)sanotaan, että NSA osaa avata jonkun Encrypted Chat ohjelman, joka on End to End salattu ja toimii mm. Adium'issa. Monen mielestä kuvaus sopii avoimen koodin OTR'ään (Off the Record messaging).

Dan Kaminsky twitterissä: 'you don't think someone couldn't infiltrate an _OPEN SOURCE_ project?'

Anonyymi kirjoitti...

En näe mahdollisuutta että TrueCryptin kaltaiset ohjelmat joiden lähdekoodi ja buildit ovat asiantuntijoiden tarkastettavissa koska vain voisivat olla murrettavissa muuten kuin brute forcella, joka pitkien salasanojen kohdalla on erittäin vaivalloista joskaan ei mahdotonta.
Tietenkin kun salattu kansio avataan ja tieto tallennetaan käyttömuistiin salaamattomana, voi jokin ohjelma joka on koneella tunnistaa sen ja mahdollisesti lähettää eteenpäin. Keylogger-piiri tai sovellus voi kaapata salasanan. Kysymys on jatkuvasta taistelusta yksityisyyden ja valvonnan välillä, jossa kummallakaan puolella ei ole pysyvää etulyöntiasemaa. Snowdenin paljastukset ovat saaneet ohjelmistojen valmistajat ja käyttäjät tarkastelemaan tietoturvaansa ja paikkaamaan aukkoja, myös Yhdysvalloissa. NSA vastaa tähän taas uusilla liikkeillä.

Anonyymi kirjoitti...

KtK: Vuodetut dokumentit osoittavat, että juuri MS oli ensimmäinen NSA-yhteistyötä tekevä ja NSA:n läheisin kumppani. Toki vuosien myötä muutkin amerikkalaiset yritykset on saatu pakotettua tuolle linjalle. MS:n hitaalle paikkaustahdillekin löytyy nyt selitys, sillä joitakin aukkoja ei vain millään haluttu sulkea NSA-yhteyden vuoksi.

En paljonkaan laskisi Suomen liittoutumattomuuden varaan, sillä SUPOhan on avoimesti kertonut haluavansa samanlaiset viralliset vakoiluoikeudet, jottei sille naurettaisi alan piireissä. Jo nyt kaikki Suomessa kerätty tiedustelutieto on automaattisesti USA:n käytössä.

Tässä vaiheessa lienee jokaiselle selvää, ettei amerikkalaisia tuotteita kannata käyttää liiketoiminnassa, sillä vakoilu on ollut myös kaupallista. Ehkä tämä lisää avoimen lähdekoodin suosiota myös valtionhallinnossa. Vaikka virallinen Suomihan on edelleen sitä mieltä, että USA saa vakoilla vaikka mitä kun se on hyvis.

Anonyymi kirjoitti...

Tietoviikon artikkelissa oli, että Pretty Good Privacy (PGP) ja vastaavat ovat NSA:n kannalta ongelmallisia kun niihin ei pysty vaikuttamaan niin paljon kuin kaupallisiin tuotteisiin.

Yllä olevan perusteella NSA:n vallan alla olevista tuotteista löytyvät tietoturvareiät pitää julkistaa heti, eikä antaa aikaa vetkuttelijoille.

Anonyymi kirjoitti...

Vuodelta 1999: http://en.wikipedia.org/wiki/NSAKEY

Anonyymi kirjoitti...

Liekö mahdotonta että Nokian haaliminen Microsoftin omistukseen olisi aloitettu NSA:n hankkimilla tuotetietovuodoilla vuonna 2008?

Anonyymi kirjoitti...

"En näe mahdollisuutta että TrueCryptin kaltaiset ohjelmat joiden lähdekoodi..."

Toisaalta lähdekoodin avoimuus voi tuoda kuviteltua turvallisuuden tunnetta. Jos NSA on onnistunut muuttamaan avoimia _standardeja_ omaksi edukseen, mikä estää vaikuttamasta avoimen koodin ohjelmiin. Kun vielä ottaa huomioon, että open source ohjelmista löytyy haavoittuvuuksia aika reipasta tahtia, niin on täysin mahdollista, että ne ovat tiettyjen tahojen tiedossa paljon aikaisemmin ennen kuin "yhteisö" niitä löytää.

Lisäksi kuten jo mainittiinkin, vaikka koodi olisikin turvallista, niin koodin ajoympäristö ei sitä välttämättä ole. Esim. TrueCryptkin käyttää käsittääkseni windowsissa MS CryptoAPIa satunnaislukugeneraattorina. Voiko sen "satunnaisuuteen" luottaa?

Anonyymi kirjoitti...

Minua ihmetyttää suuresti oikeasti tekniikasta tietävänä miksei näiden Snowdenien paljastuksien todenperäisyyttä tai toteutettavuutta edes kyseenalaisteta.

Tämä viimeisin paljastus menee tasolle scifiä ja käytännön resursseilla mahdotonta saavuttaa. Lisäksi esityksien tekninen sisältö on tasolla "15v murobbs-pojan kouluaine", juuri mitään oikeasti konkreettista noissa ei esitetä. Uhotaan vaan, että näin teemme (tai voisimme tehdä, ihan eri asia toteutetaanko ko. dokkareissa olevia juttuja käytännössä).

Tiedemaailmassakin esitetään monesti ppt-kalvoja, että voisimme tehdä tämmöistä ja tämmöistä, kunhan joku antaa meille rahaa. Myös jenkkien sisällä jokainen osasto joutuu kamppailemaan rahoituksesta. Kyseessä voi hyvin olla "materiaalia", millä NSA perustelee valheellisesti rahoitustaan kongressille.

Kannattaa muistaa, että edelleen esim. 256bit AES suojauksen purkaminen ilman avaimia on äärimmäisen hankalaa. Ja kyse on standardoidusta algoritmistä, jota kaikkien on noudatettava. Ja jos standardiin saadaan "heikkous", niin miksei tiedemaailma (eli siis alansa huiput) huomaa niitä? NSA:lla on vielä parempia tiedemiehiä käytettävissä, jotka ovat niin neroja, että keksivät juttuja, mitä muut eivät voi tajuta tai huomata? Herätkää nyt..

Ja vaikka NSA:lla olisi halutessaan mahdollisuus selvittää SSL-salattu liikenne, niin miettikääpä minkälainen määrä dataa Internetissä joka sekuntti siirretään SSL:n yli? Aikamoiset datakeskukset saa NSA:lla olla, että pystyvät tästä mitään selvittämään, ellet sitten syystä tai toisesta ole joutunut heidän seurantalistalle.

Ja ketä yllättää, että amerikkalaisiin tuotteisiin saatetaan ujuttaa takaovia vakoilua varten. Mutta pistäppä siihen NAT ja palomuuri väliin. Olipas helppo estää.. Ei toki kännyköillä onnistu, mutta Nokiallakin on tukiasemakehittäjänä ollut aina mahdollisuus tehdä mitä vaan puheluilenne.

Petteri Järvinen kirjoitti...

NSA:lla on vielä parempia tiedemiehiä käytettävissä, jotka ovat niin neroja, että keksivät juttuja, mitä muut eivät voi tajuta tai huomata?

Snowden luultavasti liioittelee jonkin verran, mutta oletan että hän on esittänyt toimittajille ihka aitoja dokumentteja väitteidensä tueksi. Ne kesäkuun PRISM-kalvot olivat niin harrastajamaisen näköisiä, että niiden täytyi olla aitoja - jos joku väärentäisi NSA:n Powerpointteja, hän tekisi niistä parempia : -)

NSA on tiedemaailmaa edellä. Se vahvisti DES-salausta tavalla, jonka merkitys ymmärrettiin vasta n. 15 vuotta myöhemmin, kun tiedemaailma keksi differentiaalisen kryptografian. NSA oli keksinyt sen jo paljon aikaisemmin.

Snowden ei väitä, että NSA pystyisi purkamaan AES:ää (joka ei ole sen itsensä kehittämä, toisin kuin esim. SHA). Tällainen väite olisikin varmasti perätön. Sen sijaan Snowden väittää, että NSA urkkii, varastaa tai kopioi salauksiin ja SSL-varmenteisiin liittyviä avaimia. Se on loogista ja mahdollista.

Liikenteen määrää varmaankin karsitaan, esim. kaikki video- ja piraattimateriaali pudotetaan heti pois, sen jälkeen rajataan vain tietyistä maista (ip-osoitteista) tulevaan liikenteeseen.

petrip kirjoitti...

"Liikenteen määrää varmaankin karsitaan, esim. kaikki video- ja piraattimateriaali pudotetaan heti pois, sen jälkeen rajataan vain tietyistä maista (ip-osoitteista) tulevaan liikenteeseen"

Nukkuvia terroristi soluja on varsin monissa maissa. Ja ainakin osa terroristeista on piiloittanut viestejänsä pornograafiseen materiaaliin. Tosin sellaisen viestinnän havaitseminen ja purkaminen on aika mahdotonta.

Salaajalla on aina helpompaa kuin hyökkääjällä. Niin kauan kuin käytetyt tuotteet itsessänsä ovat luotettavia

Anonyymi kirjoitti...

Kuulin eräältä ex Nokialaiselta, että kännykät eivät saaneet myyntilupaa, ellei kryptograafisia-avaimia toimitettu U.S viranomaisille.

Anonyymi kirjoitti...

NSA on tiedemaailmaa edellä. Se vahvisti DES-salausta tavalla, jonka merkitys ymmärrettiin vasta n. 15 vuotta myöhemmin, kun tiedemaailma keksi differentiaalisen kryptografian. NSA oli keksinyt sen jo paljon aikaisemmin.

Se että NSA ei julkaise menetelmiään, ei tarkoita, että he olisivat tiedemaailmaa edellä. Se tarkoittaa, että he tekevät töitään salassa, mikä lienee ihan luonnollista organisaation luonne huomioon ottaen.

Internetissä onneksi käytännössä kaikki perustuu avoimiin standardeihin.. kannattaa muuten joskus perehtyä miten monta suomalaista löytyy vaikuttamasta esim. IETF:än RFC:istä; niitä on aika monta, monikohan on NSA:n myyrä?

Todennäköisesti NSA:kin kannattaa käyttää ennemin aikaa keksiäkseen olemassa olevia aukkoja, kuin yrittää onnistua ujuttamaan niitä mukaan ja toivomaan, ettei kukaan muu ikinä vain löydä niitä. Luultavasti näin tekevätkin ja pitänevät aukot omana tietonaan.. se kun palvelee heidän intressejään.

Ainakin Guardianin juttu sisälsi niin paljon asioita, jotka ovat käytännössä teknisesti mahdottomia NSA:kin kokoiselle organisatiolla. Jaksaa naurattaa, kun tämä näkyy vetävän osaa "asiantuntijoistakin" vipuun. Ilmeisesti twitteröinneistä havaittuna joillekin on jopa pseudosatunnaislukujen generoinnin toistettavuus uusi ja kamala asia.

Mutta onhan tämä Internetin Fox Mulderien housuun p****minen hauskaa viihdettä.

Internet on onneksi edelleen hyvin vapaa ja avoin. Ihan yksityishenkilönäkin täällä voi selvittää vaikka mitä ja kovin kummoisia taitoja ei tarvitse olla selvittääkseen paljon lisää.

Anonyymi kirjoitti...

Kuulin eräältä ex Nokialaiselta, että kännykät eivät saaneet myyntilupaa, ellei kryptograafisia-avaimia toimitettu U.S viranomaisille.

Normaalia toimintaa, myös Suomessa viranomaiset voivat kuunnella sinun GSM -puheluitasi ja niin tekevätkin oikeuden annettua luvan, jos olet epäiltynä yli 2v vankeustuomion mahdollistavaan rikokseen.

Anonyymi kirjoitti...

Muutama poiminta guardianista:

The breakthrough, which was not described in detail in the documents, meant the intelligence agencies were able to monitor "large amounts" of data flowing through the world's fibre-optic cables and break its encryption, despite assurances from internet company executives that this data was beyond the reach of government.

Sontaa.. jos on jotain käsitystä, miten runkoverkko toimii ISP:n välillä, miten pakettikytkentäinen reititys toimii ja minkälaisista datamääristä on kyse, on laaja-alainen monitorointi teknisesti nyt käytännössä mahdotonta vaikka data olisi salaamatontakin. Ehkä tämä on mahdollista ISP:n verkossa joko lähellä lähdettä tai kohdetta, mutta ei runkoverkkotasolla. Silloinkin monitorointi (reaaliaikaista) olisi hyvin kyseenalaista, jos data on salattu, ellei NSA ole sitten keksinyt jotain todella mullistavaa (tuskin).

The document reveals that the agency has capabilities against widely used online protocols, such as HTTPS, voice-over-IP and Secure Sockets Layer (SSL), used to protect online shopping and banking.

HTTPS:lle ja SSL:lle on jo tiedetyt heikkoutensa, selviää vaikka wikipediasta, jos eivät vaan lue dataa jälkeen päin selväkielisenä esim. FB:n serveriltä, mikä lienee helpompaa; VoIP ei ole oletuksen mikään protokolla, toteutuksia on monia. VoIP:kin tarvitsee päästä lähelle lähdettä/kohdetta, jotta monitorointi onnistuu (ilman hostile clienttiä jommassa kummassa päässä).

Ja backdooreja tuotteissa.. no voivoi, Microsoft voi selvittää missä minun puhelin on milloin vaan. Mitäs valitsin Microsoftin. Jännää asiassa on se, että tätä nykyään sitä tarjotaan jo käyttäjälle itselleenkin palveluna ;).

Anonyymi kirjoitti...

Mielenkiintoinen kertomus NSA:n toiminnasta standardikomiteassa:

http://www.metzdowd.com/pipermail/cryptography/2013-September/017218.html

Osmo kirjoitti...

Puhelujen kuuntelu tapahtuu operaattorin tiloissa, ei kuuntelemalla salattua radiolinkkiä.

Anonyymi kirjoitti...

Sontaa.. jos on jotain käsitystä, miten runkoverkko toimii ISP:n välillä, miten pakettikytkentäinen reititys toimii ja minkälaisista datamääristä on kyse, on laaja-alainen monitorointi teknisesti nyt käytännössä mahdotonta vaikka data olisi salaamatontakin. Ehkä tämä on mahdollista ISP:n verkossa joko lähellä lähdettä tai kohdetta, mutta ei runkoverkkotasolla.


NSA pääasiallinen kohde johtuen lainsäädännöstä on ulkomainen liikenne, eli pelikenttä on paljon helpompi kuin se että kaapattaisiin kaikki jossain "sattumanvaraisesti" vaihdettu liikenne. On myöskin täysin selvää että runkoverkko-operaattorit on velvoitettu splittamaan liikenne tarpeen mukaan NSA:lle, kuten tehtiin jo vuosia sitten esimerkiksi tunnetussa room 641a tapauksessa. Liikenteen analysointiin löytyy kyllä rautatason ratkaisuja (nopealla googlauksessa löytyy helposti 10Gbit/s tason laitteita), joten isolla budjetilla toimivalle toimijalle ei ole mikään mahdottomuus tehdä vähintään liikenneanalyysia. Analyysin pohjalta voidaan sitten tehhdä kohdennettua valvontaa kiinnostavien kohteiden koko liikenteelle.


Silloinkin monitorointi (reaaliaikaista) olisi hyvin kyseenalaista, jos data on salattu, ellei NSA ole sitten keksinyt jotain todella mullistavaa (tuskin).


Ei missään väitetty että kaikkea salattua liikennettä valvottaisiin reaaliaikaisesti, vaan se tallennetaan sitä varten että se voidaan purkaa myöhemmin jos tarvetta ilmenee.


HTTPS:lle ja SSL:lle on jo tiedetyt heikkoutensa, selviää vaikka wikipediasta, jos eivät vaan lue dataa jälkeen päin selväkielisenä esim. FB:n serveriltä, mikä lienee helpompaa;


Tunnetuilta yhdysvaltalaisilta palveluilta saadaan avaimet luultavimmin ihan lainsäädännön voimalla, joten tallennetun salatut liikenteen purkaminen voidaan tehdä suht pienellä vaivalla.


VoIP ei ole oletuksen mikään protokolla, toteutuksia on monia. VoIP:kin tarvitsee päästä lähelle lähdettä/kohdetta, jotta monitorointi onnistuu (ilman hostile clienttiä jommassa kummassa päässä).


Lehtijutuissa käytetään yleensä yleistyksiä, kuten varmasti käytetään myös siinä kun tehdään muutaman lauseen pituisia powerpoint slideja. Kyseessä lienevät lähinnä esimerkiksi Skype ja muut vastaavat ratkaisut joissa on ihan tunnetusti jo lawful interception ominaisuudet olemassa.


Ja backdooreja tuotteissa.. no voivoi, Microsoft voi selvittää missä minun puhelin on milloin vaan. Mitäs valitsin Microsoftin. Jännää asiassa on se, että tätä nykyään sitä tarjotaan jo käyttäjälle itselleenkin palveluna ;).


Kyseessä eivät välttämättä ole varsinaiset suoran pääsyn mahdollistavat takaovet, vaan yksinkertaisesti ohjelmien käyttämät salausmenelmät saattavat olla heikompia kuin olisi mahdollista käyttää. Esimerkeiksi voi ottaa esimerkiksi julkisen avaimen salausmenetelmien lyhyehköt avainkoot vaikka raudan tehot ovat kasvaneet vastaamaan tarvittavaa tehonkasvua. Toinen hyvä esimerkki on perfect forward secrecyn hidas leviäminen.

Toinen mielenkiintoinen asia on tietenkin se että onko tuotteissa heikkouksia, jotka muodostavat covert channelin jota NSA voi käyttää hyväkseen heikentääkseen salauksen efektiivistä tehoa.

Näiden syiden takia varsinkin yhdysvaltalaiset closed source ohjelmat ovat tämän jälkeen luokiteltava täysin turvattomiksi.

Petteri Järvinen kirjoitti...

Toimittajat ovat käyttäneet tietoturvaguru Bruce Schneieria varmistamaan Snowdenin paljastamia teknisiä yksityiskohtia.

http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

Tämä antaa merkittävästi lisää uskottavuutta hurjille väitteille.

Anonyymi kirjoitti...

Bruce Schneierin blogikirjoitukset aiheesta ovatkin lukemisen arvoisia. Mies on siis ilmeisesti päässyt tutustumaan näihin Guardianin Snowdenin-tiedostoihin.

Schneierin analyysi muuten on, että NSA:lla on hyvin hämärä käsitys siitä mitä kaikkea Snowden sai latailtua, päätellen tiedusteluihmisten hajanaisesta damage controllista (puolusteluissaan jääneet jo nyt kiinni valehtelusta).

Tästä sitten pnkin aihetta pohtia mielenkiintoista kysymystä: Jos Snowdenin kaltainen henkilö (tulkinnasta riippuen joko naiivi idealisti tai julkisuudenkipeä luuseri), jonka asema NSA:n organisaatiossa low-level perusjantteri) on onnistunut saamaan käsiinsä tällaista materiaalia, ja tarjoaa niitä lehdistölle henkilökohtaisen hyötynsä ollessa lähinnä nolla (ellei peräti negatiivinen: maanpakolainen elinikänsä ja tuskin Guardian mitään mahtavia rahoja on hälle maksanut), niin...

...mistä vetoa että joku toinen NSA:n sysadmin tjsp hemmo on jo mennyt myymään samantasoista (tai vielä enempi topsecret-eyesonly -tietoja, kuten suoranaista infoa 'NSA-only' satunnaislukugeneraattori-backdooreista yms) muille tiedusteluorganisaatioille, yrityksille tai suoranaisille rikollisille? Venäjän (ja Kiinan) tiedusteluviranomaisillahan on ollut jo kylmän sodan ajoista alkaen perinteitä senkaltaisesta agenttijännäritoiminnasta ja ne aktiivisesti yrittävät hankkia tietoa NSA:n operaatioista. Mikään ei tietysti estä muita osapuolia omatoimisesti löytämästä kaupallisista softista NSA:lle tarkoitettuja 'ominaisuuksia'.

Anonyymi kirjoitti...

Muutama linkki Schneierin blogiteksteihin:

https://www.schneier.com/blog/archives/2013/09/conspiracy_theo_1.html

https://www.schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html

https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html

Petteri Järvinen kirjoitti...

Tästä sitten pnkin aihetta pohtia mielenkiintoista kysymystä: Jos Snowdenin kaltainen henkilö

Aivan. NSA:n sisäinen turvallisuus on osoittautunut yhtä huonoksi kuin tavallisilla yrityksillä. Yhden vertauksen mukaan yritykset ovat kuin ranskalaista patonkia: kuori on kova, mutta sisältä aivan pehmeä. Jos hakkerina pääset kuoresta läpi, kaikki on saatavilla.

Todennäköisesti NSA:n tietoja on myyty ulkomaisille tiedustelupalveluille aiemminkin. On NSA:lle itselleen häpeällistä, ettei turvallisuutta ole pantu kuntoon. Tämän luulisi huolestuttavan NSA:n johtoa enemmän kuin Snowdenin julkiset paljastukset.

Anonyymi kirjoitti...

Stuxnet madollekkin löytyi nyt henkinen koti, tai kodit.

LyhjeHylje kirjoitti...

Snowdenin vuotamat powerpointit olivat kyllä amatöörimäisen näköisiä ja minäkin epäilin niiden todenperäisyyttä kunnes britannia lähetti öykkärinsä hajottamaan tietokoneita ja pidättämään journalistien kumppaneita.

Se koira älähtää...

ac kirjoitti...

@Petteri

NSA nopeuttaakseen analysointia ja pysyäkseen paremmin tilanteen tasalla laajensi voimakkaasti kontraktorien käyttöä 9/11 jälkeen. Perinteiset menetelmät koettiin liian kankeiksi, hitaiksi ja myös osaavista ihmisistä oli huutava puute, jota ei voitu täyttää nopeasti kuin kontraktoreita käyttämällä.

2002 aloitettu Poindexterin TIA hanke oli yksi ensimmäisistä, jonka rahoituksen 2003 kongressi lopetti liian tunkeilevana. Hankkeessa syntyneitä NSA:n ja Pentagonin mielestä erinomaisia ideoita ei kuitenkaan haudattu kuten on todettavissa Snowdenin viemistä dokumenteista, vaan ne piilotettiin muiden hankkeiden sisään jatkamista varten.

Samalla kun palkattiin kontraktoreita ja ulkopuolisia firmoja hallitsemaan kasvavaa dataa kaupallisilla tuotteilla ja mahdollistamaan sen tehokasta analysointia, oli välttämätöntä purkaa raja-aitoja ja osastointia, jotta prosesseista saatiin joustavampia ja nopeampia. Näin NSA siis reagoi ja toteutti sitä mitä kansa ja päättäjät siltä vaativat. Se teki tarvittavia muutoksia löytääkseen vaaratekijät aiemmin ja kyetäkseen reagoimaan niihin nopeammin.

Edellä mainitut muutokset sitten mahdollistivat Snowdenin kaltaisen järjestelmäylläpitäjän pääsyn niinkin laajaan aineistoon kun nyt on käynyt ilmi.

Ilmeisesti riskianalyysissä ennen prosessien muutosta ja kovien osastointien purkua he tekivät raskaita virheitä aliarvoinnissa sen suhteen mihin laaja vuoto voi johtaa.

No, nyt jälkiviisaana ulkopuolisena voi todeta, että kiiressä tehtyjä virheitä on aiemminkin kaduttu myöhemmin.

samaollipekka kirjoitti...

Tiedämmekö, millaiset ovat Suomen viranomaisten suhteet USA:n vastaaviin? Ettei joskus myöhemmin paljastu, että Suomi olikin suurin turva-aukko.

Kuulin eräältä ex Nokialaiselta, että kännykät eivät saaneet myyntilupaa, ellei kryptograafisia-avaimia toimitettu U.S viranomaisille.

Normaalia toimintaa, myös Suomessa viranomaiset voivat kuunnella sinun GSM -puheluitasi ja niin tekevätkin oikeuden annettua luvan, jos olet epäiltynä yli 2v vankeustuomion mahdollistavaan rikokseen.


Kyllä se jo Soneran aikoihin onnistui muutenkin ja vaikka Nokian/Supon/Ympäristöministeriön ja joukon firmoja yhteistyönä.

Kyllä NSA?/CIAlla on riittänyt yksi pakettiautolastillinen perinteisesti, kun kohde on selvillä (edes likimain).

No, nyt jälkiviisaana ulkopuolisena voi todeta, että kiiressä tehtyjä virheitä on aiemminkin kaduttu myöhemmin.

En tiiä katuivatko edes, kun Silversteinin vakuuttama lukaali romuttui 11/9.

Anonyymi kirjoitti...

Itseäni on mietityttäni se, että eräällä jenkkiforumilla, jolla on varsin fiksuja ihmisiä maan yleiskuvaan nähden, asiasta ei ole oikeastaan keskustelu ollenkaan.

Mitä älykäs amerikkalainen tuumaa tästä NSA-touhusta?

Petteri Järvinen kirjoitti...

Mitä älykäs amerikkalainen tuumaa tästä NSA-touhusta?

On tietysti tyytyväinen, että heillä on presidentti joka urkkii epäilyttäviä ulkomaalaisia ja suojaa maataan.

Jenkkejä huolettaa lähinnä omien puhelutietojensa analysointi, mutta senkin lainvastaisuus on tulkinnanvaraista koska teletunnistetiedot eivät ole samalla tavalla luottamuksellisia kuin Suomessa.

Tuoreet tiedot salausten heikentämisestä ja takaporteista ovat niin teknisiä, etteivät ne ehkä herätä kansaa keskustelemaan, vaikka ovat uhka myös amerikkalaisille itselleen.

Website Security Test