Video: The Bottom of the Barrel—Scraping Pastebin for Obfuscated Malware (Lokakuu 2024)
Kun Bruce Schneier siirtyi RSA-konferenssin toiseen vaiheeseen, koristeltu purppuraisella kukkapaitolla, hän esitti aivan erilaisen esityksen kuin aikaisempi paneeli Washingtonin tiedustelupalvelun sisäpiiriläisistä. Schneier, Co3 Systemsin tekninen johtaja ja kirjoittaja, esitti turvallisuusnäkymän. Hän antoi myös vastauksen kysymykseen, jota kaikki ovat kysyneet: miten voimme estää vakoilusta?
Kerää kaikki
Schneier kuvasi tilanteen sellaisena kuin hän näkee sen tänään: NSA on muuttanut Internetistä jättiläismäiseksi seurantaalustaksi, joka on sekä teknisesti että juridisesti vankka. "Periaatteessa NSA: n tehtävänä on kerätä kaikkea", sanoi Schneier ja jäljitteli tätä näkemystä Yhdysvaltojen "tirkistelijä" kiinnostuksesta Neuvostoliittoon kylmän sodan aikana.
Neuvostoliiton romahtamisen jälkeen ajatus kaikkialla olevasta valvonnasta oli lepotilassa syyskuun 11. päivään saakka. "Tiedustelulle annettiin mahdoton tehtävä: ei koskaan enää", sanoi Schneier. "Jos sinulle annetaan kvesioottinen tavoite estää jotain tapahtumasta, ainoa tapa saavuttaa se on tietää kaikki."
Tietenkin, NSA ei toiminut tyhjiössä. Schneier huomautti kahdesta avainmuutoksesta, jotka auttoivat luomaan tänään tunnetun massiivisen vakoilutoimenpiteen. Ensimmäinen oli etsintä- ja tallennuskustannukset, jotka Schneierin mukaan oli pudonnut pisteeseen, jossa oli mahdollista tallentaa ja hakea valtavia määriä tietoja.
Toinen oli filosofinen muutos sekä käyttäytymisessä että teknologiayrityksissä. "Rakennamme järjestelmiä, jotka vakoovat ihmisiä vastineeksi palveluista", sanoi Schneier. "Valvonta on Internetin liiketoimintamalli." Ajattele tätä Facebookin kiihkeän henkilökohtaisten tietojen halun tai mobiilisovellusten avulla, jotka myyvät käyttäjätietoja ansaitaksesi ilmaisen pelin. "Tämä on valvonnan kultainen aika yksinkertaisesti siksi, että siellä on niin paljon tietoa", hän sanoi.
Salaus on edelleen avain
Huolimatta jokaisesta kurjuudesta ja synkkyydestä, jonka voit lukea Snowdenin vuodoista, Schneier väitti yksiselitteisesti, että yritykset ja yksityishenkilöt voivat suojautua valvonnalta. "Salaus toimii", hän sanoi. "NSA ei voi rikkoa sitä ja se kiusaa heidät pois."
Esimerkiksi hän mainitsi vuotaneita tietoja, joiden mukaan NSA veti kymmenen kertaa tietoja Yahoo! kuin Googlelta, vaikka Googlella on paljon enemmän käyttäjiä. Schneier selitti, että tuolloin Google käytti oletuksena SSL: ää ja Yahoo! ei ollut. NSA luottaa lähinnä salaamattomaan tietoon, jota on paljon. "Olemme tehneet bulkkien keräilystä liian helppoa, ja NSA hyödyntää sitä."
Tärkeintä, Schneier vaati, oli salaustekniikan käyttäminen irtotavarakeräyksen vaikeuttamiseksi. "NSA: lla saattaa olla valtava budjetti, mutta he eivät ole taikuutta", hän sanoi. "Tavoitteenamme tulisi olla talouden, fysiikan ja matematiikan hyödyntäminen salakuuntelun lisäämiseksi kalliimmaksi." Hän myönsi, että kohdennettu keräys olisi todennäköisesti aina vaihtoehto tiedustelujen keräämiselle, mutta joukkojen keruu aiheutti huomattavasti suuremman uhan.
Tietenkin, se ei ole kaikki suklaata ja ruusuja. Schneier jakoi myös vuotaneiden asiakirjojen lukemiinsa perustuvan uskonsa, että NSA: lla on oltava jokin tehokas kappale kryptoanalyysitekniikkaa. Hän sanoi, että NSA näyttää laatineen matematiikan osan, mutta oli turhautunut tekniseen ongelmaan saada se toimimaan paljon ja paljon tietoa. "Suurin osa krypto ajaa NSA: n battya, ainakin mittakaavassa", hän sanoi.
Sikäli kuin mitä NSA: lla on salauksenpurkamisessa, Schneier pystyi tarjoamaan vain oletuksiaan. He NSA: lla ovat ehkä murtaneet jonkin elliptisten käyrien luokan, jota käytetään elliptisten käyrien kryptografiassa, tai löytäneet tavan torjua satunnaislukujen muodostumisen muiden menetelmien joukossa.
Korjaa NSA, suojaa yksilöitä joukkotiedoissa
Kuten muutkin RSA: n esittelijät, Schneier kertoi, että NSA: ta voitaisiin parantaa kotimaisilla ja kansainvälisillä normeilla, jotka määrittelevät valvonnan toiminnan. Hän vaati myös lakeja, jotka ovat suurempia kuin tietyt valvontamuodot tai virastot. Hänen mukaansa lainsäädäntökeskustelu perusoikeuksien suhteen oli oikea tapa keskustella.
Schneier kertoi kuitenkin, että NSA: n ohjelmien ympärillä käydyssä keskustelussa oli suurempi aihe: massadatan analyysi. "Yleinen kysymys on, miten suunnitellaan tietojärjestelmiä, jotka hyödyttävät yhteiskuntaa mutta suojaavat ihmisiä yksilöllisesti", hän sanoi. Schneier esitteli esimerkiksi hypoteettisen tietokannan, joka sisältää lääketieteellisiä tietoja jokaisesta ihmistä maapallolla. Tämä olisi erittäin arvokasta lääkäreille tutkimusvälineenä, mutta se paljastaisi tietokannassa olevien henkilöiden henkilökohtaiset tiedot.
"Mielestäni tämä on tietokauden peruskysymys", Schneier sanoi. "NSA ei ehkä ole paras paikka aloittaa, mutta se on paikka, joka meillä on."
