回忆斯诺登泄密事宜:写在《永远的证据》出书之际 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

申博_安全预警 申博 55次浏览 未收录 0个评论

Sunbet官网

欢迎光临Sunbet官网,Sunbet官网客户端下载。Sunbet官网一直坚持公平、公正、公开三大原则的服务理念,24小时为您提供会员开户、代理加盟等相关业务办理.

,

作者简介:

马修·D·格林(Matthew Green)是美国着名的暗码学家和平安手艺专家,也是约翰霍普金斯大学信息平安研究所的计算机科学传授。他曾介入过揭破 RSA BSAFE、Speedpass 和 E-ZPass 的破绽的构造。

2013年 9 月,格林曾宣布了一篇名为《论美国国家平安局》(On the NSA)的博客文章,对美国国家平安局减弱暗码学的设想举行了总结和推想。这在当时引发了极大的争议,因而该文章被约翰•霍普金斯大学(Johns Hopkins)的学术系主任撤下,该大学厥后向格林致歉,恢复了被撤下的博客文章。

近日,爱德华 · 斯诺登的新书《Permanent Record》(中文名:永远的证据)正式出书,格林在他的名为“关于暗码学工程的一些思索”的博客中宣布了关于斯诺登泄密事宜的回忆文章。

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

爱德华 · 斯诺登近来宣布了他的回忆录。 在互联网的某些范畴,这重新点燃了一场陈旧的争辩: 换句话说,这统统值得吗? 是斯诺登的泄密让我们过得更好了,照样斯诺登让我们变得尴尬,照样让美国平安倒退了几十年? 大多数的争辩都是云云的熟习,以至于在这一点上这些争辩是何等的无聊。 然则不论我把这些争辩看了若干遍,我依然以为有一些重要的东西被遗漏了。

这是一个关于暗码学的博客,关于我在本文所述的内容而言这并不是偶合,这也意味着我不会体贴平常民众所体贴的事变。 也就是说,我对辩论告密者执法的代价不是迥殊感兴趣(关于个中的一些内容,请参阅杰克 · 威廉姆斯在 Twitter 上宣布的优异推文)。 相反,当涉及到斯诺登泄密事宜时,我以为我们每一个人对本身发问的题目是异常差别的。 换句话说:

关于当代社会的监控才能,斯诺登泄密事宜通知了我们什么? 关于我们抵抗监控的才能,我们又学到了什么?

只管泄密事宜本身已过去了一段时候,而且天下还在继承变得越发庞杂,但斯诺登泄密事宜警示于我们的手艺题目只会变得越发凸起。

2013年6月前的生涯

很难置信斯诺登泄密事宜是六年前最先的。 人们也很轻易遗忘在这几年中发作了多大的变化。

六年前,我们的大部份交换都是用明文举行的。很难置信事变有多蹩脚,然则回到2013年,谷歌是唯一默许在其效劳中布置 HTTPS 的大型科技公司之一,即便云云,他们也有一些严峻破例。 Web 客户端以至更蹩脚。 这些图表(泉源请点击这里和这里检察)并没有涵盖悉数时候段,但它们供应了一些基础信息:

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

除了 HTTPS 的题目以外,状况以至更糟。 2013年,绝大多数短信都是经由过程未加密的短信、彩信或加密水平较低的即时通信效劳发送的,这简直是隐私的恶梦。 将来的生长,比方在 WhatsApp 中到场默许的端到端的加密功用,还需要数年时候。 能够唯一的(也是使人惊奇的)破例是苹果,它在布置端到端加密方面走在了前线。这在很大水平上被当时Android的“轮胎起火”事宜抵消了。

但纵然是这些原始的现实也不能申明悉数状况。

难以用图表表达的是,在斯诺登之前,人们对监控的立场有何等的差别。政府会对我们的通信流量举行大范围监听,这类主意是很少有某个“正常人”会花时候去斟酌的——这重要局限于平安邮件列表和《X 档案》(译者注:美国福克斯公司出品的一部影戏作品)。 固然,每一个人都邃晓政府监控是一件笼统的事变。但现实上,议论这些肯定会让你看起来有点傻,纵然在多疑的人际圈子里。

斯诺登为我们做的最重要的事变之一,就是让这些担心获得了尊敬。

那末,斯诺登的泄密终究通知了我们什么?

斯诺登泄密事宜的绝妙的地方在于,他并没有通知我们若干事变。 而是他给我们看了很多东西。 大多数原形都是以 PPT 的情势表露出来的,这类不幸在某种水平上让统统变得越发实在。 只管人们已阅历了一切的揭破委靡,但他向我们展现的东西倒是特殊的。 我将从我的角度来点明一些亮点。个中很多亮点都与暗码学有关,因为这就是与本博客有关的内容。 另一些泄密则向我们报告了一个更加基础的故事:我们的网络是何等软弱。

“悉数网络起来”

在斯诺登之前,纵然是对监控持怀疑立场的人也能够认可,美国国家平安局会网络特定目的的数据。 然则,即便是最多疑的视察人士,也对美国国家平安局在监控中的现实行动的范围之大而觉得震动。

斯诺登泄密事宜详细描述了几个项目,这些项目网络的数据的广度和范围都使人震动,对这些监控项目来讲,唯一真正的限定是因为美国国家平安局硬件的手艺限定。 我们大多数人都熟习这些有名的例子,比方全国范围的电话元数据网络。 然则,真正让我们邃晓这一点的,是那些新奇而艰涩的泄密事宜。 比方:

“视神经(Optic Nerve)”。从2008年到2010年,美国国家平安局和政府通信总局从每一个 Yahoo! Messenger 的网络谈天流中网络了数百万张静态图片,并运用这些图片建立了一个庞大的人脸辨认数据库。数据的网络没有迥殊的规律或来由。也就是说,这个项目并没有针对能够对国家平安构成威胁的特定用户。这个项目只是针对一切用户。不置信我的说法? 我们晓得这是何等不分青红皂白的,请看下文:这个项目以至不肯定针对人脸。另有其他的数据: 

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

MYSTIC/SOMALGET。 除了网络大批的互联网元数据以外,美国国家平安局还纪录了在巴哈马群岛的每一个手机通话的完全音频。 (注重: 这不是简朴地打电话到巴哈马群岛,这多是一类事变。 他们滥用执法部门的接入功用,以便纪录美国国内一切的移动电话通信。) 不用说,巴哈马政府不是这个隐秘的当事人。

MUSCULAR。假如有人以为美国国家平安局避开了对美国供应商的进击,那我们来看看发作在 2014  年的一系列泄密事宜,这些事宜证实,美国国家平安局窃听了用来衔接谷歌和雅虎数据中心的内部租用线路。这使得情报机构能够猎取大批的、多是不加区分的美国和欧洲用户的海量数据,这些信息的数目能够超出了这些公司在现有项目(如棱镜设想)中已与美国政府同享的数据。此次泄密最着名的多是这张 PPT:

以Linux系统为目标:分析新型Golang语言勒索软件

0x00 概述 在过去的两个月中,我一直在研究使用Golang编写的逆向软件,并对其进行逆向工程。Go语言,也成为Golang,是Google设计的一种静态类型的、已编译的编程语言,目前在恶意软件开发社区中正在变得越来越流行。在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。 0x01 Go二进制样本分析 我们所分析的样本是已经stripped的ELF可执行文件。Strippe

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

Yahoo!, post-Snowden。 假如你以为这统统在斯诺登泄密以后就完毕了,那我们从此次泄密事宜以后相识到的更多事变更使人不安。 比方,在2015年,雅虎被发明装置了一个所谓的“rootkit”软件,该软件是应美国政府的请求举行装置的,该软件扫描了数据库中的每一封电子邮件,寻觅特定的人。 公司以至没有通知他们的 CISO,这太甚分了 ,这位 CISO 在一周后就离开了公司。 现实上,多亏了斯诺登,让我们对雅虎在这段时候里的协作有了更多的相识。

这些例子并不肯定是我们从斯诺登泄密事宜中相识到的最蹩脚的事变。 我挑选解读这些项目,只是为了申明美国国家平安局的监控是何等的不分青红皂白。 不是因为美国国家平安局迥殊罪恶,而是因为它很轻易做到这些事变。 假如你有任何空想,以为这些数据经过了细致的过滤,消除掉了属于美国公民或美国公司的数据,那末斯诺登泄漏的信息应当会让你邃晓这一点。

SIGINT Enabling 项目

斯诺登的泄密还粉碎了人们的另一个空想: 即在增强互联网平安方面,美国国家平安局是站在天使一边的。我已在我的这个博客上写了很多关于这个的东西(有时会有使人兴奋的效果),然则也要再说一遍。

我们从斯诺登泄密事宜中获得的最重要的经验之一是,美国国家平安局异常重视其监控任务,以至于情愿积极地向美国网络运用的加密产物和规范中插进去破绽。这类事变不仅仅是有时的时机犯法——该机构每一年消费 2.5 亿美圆在一个名为 SIGINT Enabling  的项目上。它的目的基础上是不惜统统代价绕过我们的贸易加密防护。

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

不用说,纵然是最多疑的平安研究人员也没法从我们本身的情报机构预测到这类损坏活动。这些机构表面上承担着庇护美国网络的任务。 

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

斯诺登的报导不仅揭破了这些项目的存在,还揭破了很多使人不快的细节,引发了大批的后续观察。

比方,斯诺登泄漏的文件中包含了 NIST 规范 Dual EC 中的破绽。 早在几年前,美国平安研究人员 Dan Shumow 和 Niels Ferguson 就已注重到了这类破绽的能够性。 然则,只管为重新设想这个算法供应了合理的来由,这些研究人员(和其他人)的主意基础上被 NIST 的“庄重”人士所拒绝了。

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

斯诺登的文件转变了这统统。 此次泄密事宜对美国暗码机构来讲是毁灭性的袭击,并致使了一些现实的转变。 美国国家平安局不仅故意在 Dual EC 上设置后门,好像他们如许做(并运用 NIST)是为了将后门布置到美国的平安产物中。 厥后的观察显现,Dual EC 存在于 RSA 平安公司的软件中(据称是因为与美国国家平安局签署的一份隐秘合同)和 Juniper Networks 公司制作的防火墙中。

(为了让统统变得越发恐怖,Juniper 的 Dual EC 后门厥后被不着名的黑客挟制并转而进击美国——申明这统统是何等的不计后果。)

末了,另有一些未解之谜。 斯诺登的幻灯片显现,美国国家平安局一直在大范围解密 SSL/TLS 和 IPsec 衔接。其损坏水平以至超出了 SIGINT Enabling 监控项目,人们的脑海里不禁会涌现一个庞大的问号,这里终究发作了什么。 在这里有一些理论。 这些能够准确,也能够不准确,但最少如今人们在思索这些题目。最少,很明显有些事变是异常异常毛病的。 

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

状况有所改善吗?

这是一个代价 2.5 亿美圆的题目。

一些顶级目标出人意表地优越。 HTTPS 的采纳像火箭一样飞速生长,部份原因是谷歌情愿将其作为搜刮排名的信号——以及像 LetsEncrypt 如许的免费证书认证机构的鼓起。 假如没有斯诺登,这些事变能够终究也会发作,但能够性不大。

端到端的加密音讯通报也最先变得盛行,这在很大水平上要归功于 WhatsApp 和一系列相对较新的运用采纳了这类加密手艺。 正如下面的幻灯片所申明的那样,执法机构已最先觉得恐慌了。 

回忆斯诺登泄密事宜:写在《永远的证据》出书之际

泉源: CSIS (或许检察这篇文章)

斯诺登值得为此遭到赞赏吗? 或许这不好直接评说,但险些能够肯定的是,对他所揭破的监控行动的担心确切起到了肯定作用。 (值得注重的是,这类做法在环球范围内的散布并不匀称。)

一样值得指出的是,最少在开源社区,加密软件的质量已大大提高,这重要是因为大公司在增强体系方面投入了大批资金,部份原因是“心脏出血”(Heartbleed)等严峻破绽的涌现,部份原因是该公司本身对监控的担心。

自斯诺登事宜以来,美国国家平安局极能够已失去了相称一部份才能。

将来不是美国的

我曾就说过,也像其他人说过的: 纵然你支撑美国国家平安局的任务,而且置信美国政府做的统统都是准确的,那也没紧要。 不幸的是,监控的将来与马里兰州米德堡发作的事变险些没有关系。 现实上,斯诺登引发我们注重的天下并不肯定是美国人有很多话语权的天下。

举个例子: 本日,美国政府正在就华为在环球布置5G 无线网络的题目与中国堕入僵局。 这是一个庞杂的题目,经济利益能够扮演着重要角色。 但环球平安在这里也很重要。 这场争执或许是我们能够会看到的最清晰的熟悉,我们本身的政府晓得对通信网络的掌握有多重要,而我们在这些网络上庇护通信的无能能够真的会危险我们。 这意味着,在西方,我们最好把本身的东西准备好,不然我们就得试试自作自受的味道。

假如没有其他事变,我们应当谢谢斯诺登协助我们理解了个中的利害关系。

本文翻译自:https://blog.cryptographyengineering.com/2019/09/24/looking-back-at-the-snowden-revelations/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明回忆斯诺登泄密事宜:写在《永远的证据》出书之际
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址