Вы наверняка уже слышали об АНБ (или их британских коллегах из GCHQ), которые взламывают 99% зашифрованных сообщений в Интернете. Это ужасно.
Но на самом деле они не взламывают шифрование, так как способы криптографии всё ещё хороши и это может занять достаточно времени, прежде чем их можно будет расшифровать. Вместо этого АНБ взламывает поток сообщений. По сути, они используют грубую силу как в старые времена, а не магию техники.
Старые шпионские трюки
Думая о разведчиках, пожалуйста, не представляйте Джеймса Бонда. Фильмы о нём, конечно, интересные (убей плохих парней и получи девушку!), но они даже близко не стоят рядом с настоящим шпионским ремеслом.
Аналитика — это ужасно. Шпионы ищут слабые места людей и делают из них свои преимущества. Весь день, каждый день. Всё упирается в контроль над людьми. Заставлять кого-то раскрывать секреты, вводить команды в компьютер, ставить что-то где-то… и не дать врагам сделать то же самое. Большинство из них даже не думает о последствиях, просто работая так, как сказали.
Именно этим и занимается АНБ. Естественно, у них есть много технарей, уровень некоторых из них близок к гениальному, но всё же их способность «взломать шифрование» чаще всего сводится к обычному запугиванию людей.
Мы можем сказать, что именно так они и распотрошили большую часть онлайн-шифрования. Когда это происходит, агенты АНБ (куча их, и все вооружённые) приходят в компанию на встречу с боссами. Они говорят, что им нужно внедрить вредоносный код (или «защитный», главное, что свой код) в их продукцию или систему, либо получить доступ к их базам данных, либо ещё что-то плохое.
Если боссы жалуются, агенты могут пойти несколькими путями. Во-первых, они будут использовать страшные угрозы, как мифические и реальные террористы с большими пушками и ядерными бомбами. Если это не действует, они переходят к промежуточному шагу до того, как прибегнуть к прямой угрозе. Если компания соглашается, АНБ может «познакомить их с друзьями», которые могут повысить их. И, в конце концов, когда АНБ подчиняет систему, оно хочет, чтобы все ею пользовались.
Из их недавних действий, вызвавших негодование, можно отметить «установку секретных уязвимостей» и «дизайн продукта со скрытым влиянием». Hotmail, Google, Yahoo и Facebook были одними из первых. (ATT, Microsoft, Apple и другие крупные фирмы тоже подчинились некоторое время назад). Далее пошли звёзды-защитники, такие как Symantec, Comodo и GoDaddy.
Мы не знаем точно, каким именно компаниям «нанесли визит», но, судя по тому, что они разрушили практически всё, что у них было, эти большие компании должны быть в вершине списка.
Что это значит…
А для нас это значит то, что протокол HTTPS, используемый для защиты покупок в Интернете и транзакций (а ещё он ставит иконку в виде замочка в углу вашего браузера) бесполезен. Это означает, что разговоры по VoIP не дают никакой безопасности (Skype использует такую систему, например). Это также означает, что никогда не стоит верить ни одному средству защиты, включая VPN (если только у сервиса, которым вы пользуетесь, нет собственной частной инфраструктуры).
Их план
План АНБ, по-видимому, заключается вот в чем:
Отказаться от контроля над криптографией как таковой. До тех пор, пока у них не появятся серьёзные квантовые компьютеры (что случится очень нескоро, если вообще случится), это просто не представляется возможным. К тому же квантовые компьютеры позволят и шифрование усилить, поэтому эта дорога АНБ не выгодна.
Не полагаться на взлом компьютерных алгоритмов. Это слишком дорого и почти невозможно.
Лучше разрушьте что-либо, а затем продвигать это. Именно это, по-видимому, произошло в вышеописанных случаях. Зачем делать что-то сложное, когда и простое работает?
Уничтожить всё, что нельзя изменить. Не самая приятная мысль, но в свете нынешних событий это приобретает смысл.
Самое страшное в АНБ то, что боссы, по-видимому, верят своей собственной рекламе. Это означает, что они считают эти жесткие и беспринципные действия абсолютно необходимым для выживания Соединённых Штатов. В одном из утекших документов 2007 года написано следующее:
В будущем сверхдержавы будут созданы или разрушены, исходя из мощи криптоаналитических программ. Это плата США за установление неограниченного доступа и использование киберпространства.
Мы не уверены, является ли это просто болтовнёй для технарей, работающих в АНБ, или боссы правда верят в это (им придётся проигнорировать факт, что страна уже существует 200 лет как, и без современных криптографических систем), но кажется, они одержимы этой идеей, что очень и очень опасно.
Нет худшего тирана, чем тот, который верит в свою правоту. Он способен на всё, что его правоту приняли другие.
С другой стороны, чтобы немного разрядить обстановку, хочется вспомнить рассказы и выступления российского юмориста Михаила Задорнова. Он на тему криптографии и защиты данных высказывался. Суть такова: американский шпион может приехать в Москву или куда-либо и попробовать взломать компьютер, но кроме пары игр там ничего не найдет. А в сейфе лежат не планы атаки, а нечто более важное, например, заначка с водочкой и закусочкой. Генералы по старинке рисуют планы на бумаге, а самый страшный сторож всего этого – уборщица тетя Клава со шваброй, мимо которой не пройдет никто.
Вот так и живем. К тому же прийти к России и потребовать от них «сделать уязвимость» вряд ли получится. С другой стороны конкурентоспособных программных и IT продуктов у России и всего пост-Союза немного (а что было, уже практически всё купили). Поэтому, если пользуетесь самыми известными сервисами в Интернете, понимайте, что если вы начнете представлять интерес для спецслужб, вас быстро вычислят и найдут по вашему аккаунту на Facebook или Google accounts.
Так что на данный момент, Интернет-безопасность становится таким же мифом, как и банковская тайна с защитой личных данных. Предпринимать меры необходимо самому, ведь даже Скайп может шпионить за вами. Стоит использовать собственный защищенный канал для общения, приобретать надежный ноутбук с правильным софтом и вообще, использовать имеющиеся средства по назначению, а не для дословного пересказа своей жизни.