12.07.2013 10:09:46
Microsoft andis NSAle ligipääsu privaatsetele e-kirjadele ning Skype videokõnedele ja vestlustele
Avalikult on mitmed IT-ettevõtted (va. Skype ning Microsoft) kinnitanud, et nad on USA ametivõimudele andnud informatsiooni, mida nad on neilt soovinud. The Guardiani uue artikli kohaselt jääb siiski mulje, et vähemalt Microsoft andis ligipääsu oma teenuste andmetele ametivõimudele ilma suuremate probleemideta. Allikate väitel pääsesid NSA agendid ligi Outlook.com privaatsetele e-kirjadele, Skype videokõnedele ja vestlustele ning SkyDrive pilveteenusele.
We have clear principles which guide the response across our entire company to government demands for customer information for both law enforcement and national security issues. First, we take our commitments to our customers and to compliance with applicable law very seriously, so we provide customer data only in response to legal processes.
Second, our compliance team examines all demands very closely, and we reject them if we believe they aren't valid. Third, we only ever comply with orders about specific accounts or identifiers, and we would not respond to the kind of blanket orders discussed in the press over the past few weeks, as the volumes documented in our most recent disclosure clearly illustrate.
Finally when we upgrade or update products legal obligations may in some circumstances require that we maintain the ability to provide information in response to a law enforcement or national security request. There are aspects of this debate that we wish we were able to discuss more freely. That's why we've argued for additional transparency that would help everyone understand and debate these important issues.
In a joint statement, Shawn Turner, spokesman for the director of National Intelligence, and Judith Emmel, spokeswoman for the NSA, said:
tsitaat:
The articles describe court-ordered surveillance – and a US company's efforts to comply with these legally mandated requirements. The US operates its programs under a strict oversight regime, with careful monitoring by the courts, Congress and the Director of National Intelligence. Not all countries have equivalent oversight requirements to protect civil liberties and privacy.
They added: "In practice, US companies put energy, focus and commitment into consistently protecting the privacy of their customers around the world, while meeting their obligations under the laws of the US and other countries in which they operate."
Hakka või ameeriklaseks.
On aga näha, et korporatsioonidel on tõsine probleem, kus ühelt poolt nad ei saa otseselt keelduda ametiasutuste päringutest, üritades siiski võimalikult vähe edastada, teiselt poolt nõuavad eranditult kõik õigusi avaldada nõutud andmete kohta statistikat klientide rahuldamiseks.
According to two witnesses attending the conference, even Microsoft’s top crypto programmers were astonished to learn that the version of ADVAPI.DLL shipping with Windows 2000 contains not two, but three keys. Brian LaMachia, head of CAPI development at Microsoft was “stunned” to learn of these discoveries, by outsiders. The latest discovery by Dr van Someren is based on advanced search methods which test and report on the “entropy” of programming code.
Within the Microsoft organisation, access to Windows source code is said to be highly compartmentalized, making it easy for modifications to be inserted without the knowledge of even the respective product managers.
Researchers are divided about whether the NSA key could be intended to let US government users of Windows run classified cryptosystems on their machines or whether it is intended to open up anyone’s and everyone’s Windows computer to intelligence gathering techniques deployed by NSA’s burgeoning corps of “information warriors”.
According to Fernandez of Cryptonym, the result of having the secret key inside your Windows operating system “is that it is tremendously easier for the NSA to load unauthorized security services on all copies of Microsoft Windows, and once these security services are loaded, they can effectively compromise your entire operating system“. The NSA key is contained inside all versions of Windows from Windows 95 OSR2 onwards.
1999 aasta artikkel
tsitaat:
How NSA access was built into Windows
Duncan Campbell 04.09.1999
Careless mistake reveals subversion of Windows by NSA.
A CARELESS mistake by Microsoft programmers has revealed that special access codes prepared by the US National Security Agency have been secretly built into Windows. The NSA access system is built into every version of the Windows operating system now in use, except early releases of Windows 95 (and its predecessors). The discovery comes close on the heels of the revelations earlier this year that another US software giant, Lotus, had built an NSA "help information" trapdoor[1] into its Notes system, and that security functions on other software systems had been deliberately crippled.
The first discovery of the new NSA access system was made two years ago by British researcher Dr Nicko van Someren. But it was only a few weeks ago when a second researcher rediscovered the access system. With it, he found the evidence linking it to NSA.
Computer security specialists have been aware for two years that unusual features are contained inside a standard Windows software "driver" used for security and encryption functions. The driver, called ADVAPI.DLL, enables and controls a range of security functions. If you use Windows, you will find it in the C:\Windows\system directory of your computer.
ADVAPI.DLL works closely with Microsoft Internet Explorer, but will only run cryptographic functions that the US governments allows Microsoft to export. That information is bad enough news, from a European point of view. Now, it turns out that ADVAPI will run special programmes inserted and controlled by NSA. As yet, no-one knows what these programmes are, or what they do.
Dr Nicko van Someren reported at last year's Crypto 98 conference that he had disassembled the ADVADPI driver. He found it contained two different keys. One was used by Microsoft to control the cryptographic functions enabled in Windows, in compliance with US export regulations. But the reason for building in a second key, or who owned it, remained a mystery.
A second key
Two weeks ago, a US security company came up with conclusive evidence that the second key belongs to NSA. Like Dr van Someren, Andrew Fernandez, chief scientist with Cryptonym of Morrisville, North Carolina, had been probing the presence and significance of the two keys. Then he checked the latest Service Pack release for Windows NT4, Service Pack 5[2]. He found that Microsoft's developers had failed to remove or "strip" the debugging symbols used to test this software before they released it. Inside the code were the labels for the two keys. One was called "KEY". The other was called "NSAKEY".
Fernandes reported his re-discovery of the two CAPI keys, and their secret meaning, to "Advances in Cryptology, Crypto'99" conference held in Santa Barbara. According to those present at the conference, Windows developers attending the conference did not deny that the "NSA" key was built into their software. But they refused to talk about what the key did, or why it had been put there without users' knowledge.
A third key?!
But according to two witnesses attending the conference, even Microsoft's top crypto programmers were astonished to learn that the version of ADVAPI.DLL shipping with Windows 2000 contains not two, but three keys. Brian LaMachia, head of CAPI development at Microsoft was "stunned" to learn of these discoveries, by outsiders. The latest discovery by Dr van Someren is based on advanced search methods which test and report on the "entropy" of programming code.
Within the Microsoft organisation, access to Windows source code is said to be highly compartmentalized, making it easy for modifications to be inserted without the knowledge of even the respective product managers.
Researchers are divided about whether the NSA key could be intended to let US government users of Windows run classified cryptosystems on their machines or whether it is intended to open up anyone's and everyone's Windows computer to intelligence gathering techniques deployed by NSA's burgeoning corps of "information warriors".
According to Fernandez of Cryptonym, the result of having the secret key inside your Windows operating system "is that it is tremendously easier for the NSA to load unauthorized security services on all copies of Microsoft Windows, and once these security services are loaded, they can effectively compromise your entire operating system". The NSA key is contained inside all versions of Windows from Windows 95 OSR2 onwards.
"For non-American IT managers relying on Windows NT to operate highly secure data centres, this find is worrying", he added. "The US government is currently making it as difficult as possible for "strong" crypto to be used outside of the US. That they have also installed a cryptographic back-door in the world's most abundant operating system should send a strong message to foreign IT managers".
"How is an IT manager to feel when they learn that in every copy of Windows sold, Microsoft has a 'back door' for NSA - making it orders of magnitude easier for the US government to access your computer?" he asked.
Can the loophole be turned round against the snoopers?
Dr van Someren feels that the primary purpose of the NSA key inside Windows may be for legitimate US government use. But he says that there cannot be a legitimate explanation for the third key in Windows 2000 CAPI. "It looks more fishy", he said.
Fernandez believes that NSA's built-in loophole can be turned round against the snoopers. The NSA key inside CAPI can be replaced by your own key, and used to sign cryptographic security modules from overseas or unauthorised third parties, unapproved by Microsoft or the NSA. This is exactly what the US government has been trying to prevent. A demonstration "how to do it" program that replaces the NSA key can be found on Cryptonym's website[3].
According to one leading US cryptographer, the IT world should be thankful that the subversion of Windows by NSA has come to light before the arrival of CPUs that handles encrypted instruction sets. These would make the type of discoveries made this month impossible. "Had the next-generation CPU's with encrypted instruction sets already been deployed, we would have never found out about NSAKEY."
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
parasiit läheb ikka sinna, kust teda väga raske tuvastada või ära peletada. nii et closed source linuxid/unixid, mis kompileeritud ameerikas ja sealt eksporditud võivadki sisaldada (loe: peavadki sisaldama, säädus olevat nisike) NSA kaasavara.
On operatsioonisysteemivahetuskuu! Tundub küll nii LOL.
Mitte et see koik nii suure uudisena nüüd tuli... lihtsalt jarjekordne confirmation, mis eelnevalt ignorantide poolt mugavalt konspiratsiooniteooria valda liigitati. _________________ 17/1/2023, Scart: "Selle sajandi senise möödunud aja üks suuremaid skandaale on hetkel lahti rullumas..."
võib vist eeldada, et kõik nutitelefonid ka "haiged". tea mis sellisel juhul Tizen-ist saab - Intel ja Samsung jämedam ots vist Samsungil, et ehk jääb puhtaks?
lihtsalt jarjekordne confirmation, mis eelnevalt ignorantide poolt mugavalt konspiratsiooniteooria valda liigitati.
Teatud ringkondades pole seda kunagi ignoreeritud. Alati kohapeal kompileeritud freebsd/openbsd kasutatud ja windowsi kasutamist on peetud suurimaks rumaluseks.
Minuteada üks avidi tööjaam lippab freebsd peal. nii freebsd kui avid'i protools kompileeriti eestis kohapeal.
OT: Paistab, et NSA-Backdooridest sünnib varsti vist küll mingi iseseisev mass-teema, kuna "sahinad" järjest kasvavad ning järjest huvitavamaks lähevad.
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
parasiit läheb ikka sinna, kust teda väga raske tuvastada või ära peletada. nii et closed source linuxid/unixid, mis kompileeritud ameerikas ja sealt eksporditud võivadki sisaldada (loe: peavadki sisaldama, säädus olevat nisike) NSA kaasavara.
Kui keegi veel ei teadnud, siis Linuxi kernelisse on alates versioonist 2.6. integreeritud NSA eestvõttel loodud SELinux.
Teemasse puutub see niipalju, et... täiesti turvaline operatsioonisüsteem kirjutatakse ilmselt ise
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
parasiit läheb ikka sinna, kust teda väga raske tuvastada või ära peletada. nii et closed source linuxid/unixid, mis kompileeritud ameerikas ja sealt eksporditud võivadki sisaldada (loe: peavadki sisaldama, säädus olevat nisike) NSA kaasavara.
Kui keegi veel ei teadnud, siis Linuxi kernelisse on alates versioonist 2.6. integreeritud NSA eestvõttel loodud SELinux.
Teemasse puutub see niipalju, et... täiesti turvaline operatsioonisüsteem kirjutatakse ilmselt ise
ja kes keelab toda selinuxit välja rookimast? kerneli sorts on avalik.
You are required to thoroughly know C or C++, and x86 Assembly language. You must also understand general, and complex programming concepts such as Linked Lists, Queues, etc.
Oookei, see võib vist natuke aega võtta. Ma arvan, et Linux From Scratch võib olla hea algus?
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
parasiit läheb ikka sinna, kust teda väga raske tuvastada või ära peletada. nii et closed source linuxid/unixid, mis kompileeritud ameerikas ja sealt eksporditud võivadki sisaldada (loe: peavadki sisaldama, säädus olevat nisike) NSA kaasavara.
Kui keegi veel ei teadnud, siis Linuxi kernelisse on alates versioonist 2.6. integreeritud NSA eestvõttel loodud SELinux.
Teemasse puutub see niipalju, et... täiesti turvaline operatsioonisüsteem kirjutatakse ilmselt ise
ja kes keelab toda selinuxit välja rookimast? kerneli sorts on avalik.
Tundub, et SELinuxi NSA käepikenduseks pidajad ei tea eriti, misasi see SELinux on üldse. Et NSA käsi selle loomises mängus on, ei ole tingimata midagi halba või kahtlast. SELinux võimaldab muuta Linuxi NSA siseselt kasutamiseks piisavalt sissemurdmiskindlaks, ehk just vastupidiselt vandenõuteoreetikute arvamusele, teeb Linuxi häkkimiskindlamaks kui ta ilma selleta on. Wiki artikkel peaks andma piisava ülevaate. See on süsteem, mida NSA ise kasutada eelistab ja kuna kood on avatud, siis võib üsna kindel olla, et meelega sinna tagauksi pole jäetud hiinlastele avastamiseks.
Igatahes muudab SELinuxi rakendamine süsteemi sissemurdmise ja seal troojalaste või viiruste jooksutamise väga-väga keeruliseks, kontroll iga faili ja protsessi ligipääsuõiguste ja turvataseme üle muudab nende muutmise ja asendamise kui mitte lausa võimatuks, siis vähemalt väga keeruliseks.
Aga lähtekood on tal samamoodi avalik ja põhjalikult üle kontrollitud ning igaüks võib seda ka ise lugeda soovi korral.
Aga muidugi, kui ikka kahtled, et üle maailma kõik SELinuxi arendajad ja seda analüüsinud turvaspetsid erinevates Linuxit laialdaselt rakendavates suurtes kompaniides NSA heaks töötavad, siis roogi ikka välja. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
OT: Iseasi, kas see "nuhkvara-peksmine" ikka saadab ainult Microsofti. Linuxi-maailmas käivad suured vaidlused, et kas ka Linuxisse on taolised Backdoorid peidetud või mitte.
parasiit läheb ikka sinna, kust teda väga raske tuvastada või ära peletada. nii et closed source linuxid/unixid, mis kompileeritud ameerikas ja sealt eksporditud võivadki sisaldada (loe: peavadki sisaldama, säädus olevat nisike) NSA kaasavara.
Kui keegi veel ei teadnud, siis Linuxi kernelisse on alates versioonist 2.6. integreeritud NSA eestvõttel loodud SELinux.
Teemasse puutub see niipalju, et... täiesti turvaline operatsioonisüsteem kirjutatakse ilmselt ise
ja kes keelab toda selinuxit välja rookimast? kerneli sorts on avalik.
Tundub, et SELinuxi NSA käepikenduseks pidajad ei tea eriti, misasi see SELinux on üldse. Et NSA käsi selle loomises mängus on, ei ole tingimata midagi halba või kahtlast. SELinux võimaldab muuta Linuxi NSA siseselt kasutamiseks piisavalt sissemurdmiskindlaks, ehk just vastupidiselt vandenõuteoreetikute arvamusele, teeb Linuxi häkkimiskindlamaks kui ta ilma selleta on. Wiki artikkel peaks andma piisava ülevaate. See on süsteem, mida NSA ise kasutada eelistab ja kuna kood on avatud, siis võib üsna kindel olla, et meelega sinna tagauksi pole jäetud hiinlastele avastamiseks.
Igatahes muudab SELinuxi rakendamine süsteemi sissemurdmise ja seal troojalaste või viiruste jooksutamise väga-väga keeruliseks, kontroll iga faili ja protsessi ligipääsuõiguste ja turvataseme üle muudab nende muutmise ja asendamise kui mitte lausa võimatuks, siis vähemalt väga keeruliseks.
Aga lähtekood on tal samamoodi avalik ja põhjalikult üle kontrollitud ning igaüks võib seda ka ise lugeda soovi korral.
Aga muidugi, kui ikka kahtled, et üle maailma kõik SELinuxi arendajad ja seda analüüsinud turvaspetsid erinevates Linuxit laialdaselt rakendavates suurtes kompaniides NSA heaks töötavad, siis roogi ikka välja.
Ei ole see avatud kood ka midagi nii turvaline. Üsnagi turvaliseks ja tasakaalukaks peetav Debian lonkas oma vigase SSL'iga üle kahe aasta, enne kui keegi märgata oskas.
Netiavarustest tuli meelde selline härra nagu Kenneth Lane Thompson, kelle trikki kasutatakse *nix hõimlaste puhul siiani. Tegu lahendusega, kus kompilaator kompileerib eelnevalt iseenese ning järgnevalt sihtmärgi, milleks oli tegevus mõeldud.
Väga primitiivne näide:
def compile(code):
if (looksLikeLoginCode(code)):
generateLoginWithBackDoor(code)
elif (looksLikeCompilerCode(code)):
generateCompilerWithBackDoorDetection(code)
else:
compileNormally(code)
OT: kõigile kes mõtlevad suunas "kui NSA asjaga seotud oli siis ei tasuks kasutada" veel natuke hirmumaterjali: millised on tänapäeval enimkasutatavad räsi- ja krüpteerimisalgoritmid? SHA-2 ja AES. Kes lõi SHA? NSA. Kes andis omapoolse kinnituse, et AES/Rijndael sobib kõige krüptimiseks? NSA. Ehk siis, idee tasandil, on igati võimalik, et igasugune autentimine mida su meiliklient/brauser/OSi uuendaja/installerid/kõikvõimalikud proged räside vahendusel teostab on NSA poolt võltsitav + kogu krüptitud inf lahtitehtav.
PS! Ja ärme unusta paari aasta tagust lugu sellest, kuidas OpenBSD IPSEC stack FBI poolt väidetavalt tagauksega varustati (mis ei tundu hull senikaua kui ei meenu, et asi ise toimus aastatuhande alguses ja avatuse tõttu on see kood ka teistesse projektidesse edasi liikunud... kes ütleb, et nende 10+ aasta jooksul pole just too jupp sest võrgukoodist mis ligipääsu võimaldas jõudnud sinu lemmikprogesse ) _________________ IMO & GPLed
+ tagauksed riistvaras juba chip-i tasemel... _________________ 17/1/2023, Scart: "Selle sajandi senise möödunud aja üks suuremaid skandaale on hetkel lahti rullumas..."
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.