Vzhledem k tomu, že web je plný různých hrůzostrašných scénářů sledování, rád bych se tu nad tím trošku zamyslel.
Nebudu tu hodnotit politické otázky, zda je potřeba to omezit, nebo je bezva nápad to nechat rozjet pořádně a sledovat všechny všude a natvrdo, jako to třeba plánuje EU v projektu Indect. Jde mi o více technické věci. Nebudu diskutovat o tom, jestli je dobré, aby měli přístup na servery, k uloženým datům a mohli mi odposlouchávat telefon a kabely, které vedou od ISP.
Princip bezpečnosti
No nechápu, jak se může někdo z nějaké vlády nebo armády divit, že ho jiná vládá, nebo armáda odposlouchává. To je snad jasné, ne? Jestli nějaké velvyslanectví, nebo diplomati obecně komunikují nezašifrovaně, nebo nemají počítače a data šifrovaná a fyzicky bezpečná, tak je snad nad slunce jasnější, že si to libovolná jiná strana ráda přečte.
Stejně jako v případě soukromých osob. V době elektronických komunikací se nemůžu divit, že moje nešifrované zprávy někdo odchytává. To je asi tak stejné, jako bych svoje texty psal na letáky a rozhazoval to na náměstí. I když pošlu dopis poštou, tak sice existuje listovní tajemství, ale jestli je pošťačka prostě jenom zvědavá, tak si to otevře.
Neříkám, že to je dobře, ale obrana proti tomuhle náleží mě samotnému. A musím prostě očekávat, že moje komunikace někdo poslouchá. Všichni jsou zlí, každý musí chránit sám sebe.
Takže šifruju, dávám si fyzicky pozor na svoje zařízení a nenechávám je bez dozoru, aktualizuju software, mám to zabezpečené nejlépe jak umím a mám tam antimalware. Vím, že věci, které moc nechráním jsou prozrazené a uvědomuju si to riziko při naopak nižších nákladech na jejich správu.
Nedávám si na počítač čínský ani iránský software a beru to tak, že software americký je samozřejmě v jejich rukou, ale snad u mě nemají co najít a hodlám jim přístup co nejvíce komplikovat. Kdybych byl terorista, nepočítal bych s ničím a prostě bych elektronicky nekomunikoval.
Čísla kreditních karet, aby si mohli nenápadně nakupovat pro svoje agenty, si samozřejmě objednávají od různých hackerů dlouhodobě. To je mimochodem zajímavost, kterou jsem od Snowdena ještě neslyšel. Buď o tom neví, nebo je nechtěl zas až tak nasrat, že by to vykecal.
Pokud mám heslo v jedné webové službě stejné, jako v jiné webové službě - tak prostě počítám s tím, že nikoliv NSA, ale rovnou nějací zaměstnanci těch webových služeb lezou do té druhé a dívají se mi tam na data. Prostě nemám stejná hesla na citlivé služby.
Schopnost odposlechu a dešifrování TLS/SSL nebo BitLocker
Pochybuju, že by borci byli schopni kreknout "rychle" AES a SHA256 a RSA 2048. Samozřejmě mají určitě ultrahardware na slabší kryptografii typu SHA1/DES/MD5/RC4 apod., ale pokud ho využívají, tak nejspíš na ty nejkrutější případy, kdy to opravdu potřebují a mnohdy to trvá v řádech měsíců a let.
Aktuální algoritmy jsou neporazitelné, to by si je sami USA/EU nestandardizovali pro secret a top secret použití na vládní data. Ale to se jedná samozřejmě o správně nastavené a použité algoritmy. Kdyby byly porazitelné, vědělo by se o tom. Na světě pracuje moooc kryptologů, ale jen malá část jich pracuje pro NSA.
Co určitě NSA dělá, je že má přístup k datům na serverech. Nebo může zkusit udělat MITM (man in the middle attack), protože si prostě jenom zajde do Verisign, nebo do Godaddy a řeknou si o fejkovní certifikát. Pokud máte taky klienta nebo server nastavené špatně, můžou zkusit zaútočit na domluvu algoritmů (negotiation) a zkusit obě strany přesvědčit, že by neměly používat ty nejlepší algoritmy, ale nějaké staré šunky (downgrade attack).
Stejně tak samozřejmě neumí kreknout BitLocker (to je AES 512). Kdyby dostali takto zašifrovaný disk, tak by ho nekrekli. Oni sami potřebují, aby to nešlo krektovat, protože právě kvůli tomu to Microsoft dává do svých systémů, aby to mohla používat vláda.
Co mohou udělat je ale dostat klíče z TPM, pokud je tam máte. Nějak ten hardware kreknou. Stejně jako kdyby vám vzali i čipovou kartu, tak z toho ten privátní klíč nakonec dostanou. Když máte technické vybavení, tak to samozřejmě dostanete. Jenže k tomu už potřebují ukrást váš notebook.
Spolupráce s výrobci software a operačních systémů
Samozřejmě spolupracují. Byla zmínka o tom, že NSA radila MS při vývoji Windows na téma Security Guide. To jsou ale jen procedury a postupy. A oni jim radili proto, aby jejich vlastní vládní systémy postavené na Microsoft systémech byly v pořádku. Pokud Microsoft dává za určitých podmínek zdrojové kódy ke svým operačním systémům, tak v tom prostě nemohou být příliš zjevné "sledovací balíky".
Ano, samozřejmě tam může být něco, co vypadá jako nevinná chybka, ale o tom dále.
Samozřejmě, věřím, že jim MS a Apple a Google hlásí všechny chyby ve svých systémech dříve, než je zazáplatují.
Ale to je NSA zase na stejné pozici jako jiní hackeři, kteří na vás útočí. Prostě nesmíte je pustit na svůj počítač. Musíte mít firewall na stanici, na síti, nestahovat prasečinky, neotevírat zlé přílohy atd.
Infrastrukturní bezpečnost
Jak jsem říkal, nediskutuju zde politiku. Pokud ale dodržujete infrastrukturní zabezpečení, můžete být v pohodě chránění. Pokud máte data u sebe a nedáváte je Microsoftu do Office365 zadarmo, při slušné bezpečnosti se k nim nedostanou.
Stejně jako se k nim nedostane jakýkoliv jiný hacker, který o ně má zájem.
To co mají vlády lepší, je (ne)zákonný přístup všude možně, ale to bylo snad jasné o jakživa, ne?