Tylne drzwi producenta

Subskrybuj RSS A A A
22 września 2009
Marcin Marciniak

Firmy rozwijające swoje programy mogą umieścić niepożądane opcje dodatkowe, takie jak tylne drzwi. Należy wziąć to pod uwagę przy wykorzystywaniu kluczowych systemów.



Na łamach Computerworld pisaliśmy wielokrotnie o tym, że korzystanie ze Skype może powodować zagrożenie dla sieci lokalnej, gdyż za pomocą Skype API można przeskanować sieć lokalną przedsiębiorstwa. Skype oferuje także szyfrowany tunel komunikacyjny, który może posłużyć do przesłania dowolnego połączenia. Najpoważniejszym z zarzutów jest jednak możliwość zdalnego przechwycenia kluczy wykorzystywanych do szyfrowania połączenia.

Sama aplikacja jest napisana w taki sposób, aby maksymalnie utrudnić analizę kodu, stosowane są bardzo zaawansowane sztuczki, które mają na celu utrudnienie rozpoznania za pomocą debuggera. Dodatkowo sama transmisja danych VoIP przez Internet także jest opracowana w sposób maksymalnie utrudniający analizę protokołu. Wbrew temu, co sądzono na początku analizy działania Skype, algorytm RC4 służy wyłącznie do utrudnienia rozpoznania, jego zadaniem nie jest zapewnienie prywatności korespondencji. Szyfrowanie samej transmisji odbywa się po autoryzacji użytkowników, właściciel sieci dysponuje informacjami, które wystarczają do odtworzenia klucza dla każdej z sesji. Zatem do odzyskania informacji przesyłanej za pomocą takiej sieci wystarczy przechwycenie komunikacji i odzyskanie kluczy przez operatora sieci. Dla kontrastu - wykorzystanie w korporacji telefonii VoIP na przykład z użyciem protokołu SIP wewnątrz tunelu VPN sprawia, że odtworzenie rozmów jedynie na podstawie pakietów wysyłanych przez sieć nie jest możliwe nawet przez operatora telekomunikacyjnego czy producenta rozwiązań VoIP.

Ograniczenia wprowadzane przez przepisy
Czasami presja instytucji rządowych jest bardzo silna i powoduje sprzedaż rozwiązań o celowo obniżonej sile ochrony danych. Jeszcze do stycznia 2000 r. obowiązywało prawo, które ograniczało dopuszczalną moc stosowanego modułu kryptograficznego eksportowanego poza USA. Ostatnim systemem Microsoftu, który posiadał celowo obniżoną długość klucza szyfrującego, był Windows 2000. Z tamtych czasów wywodzi się jeden z obiektów o nazwie NSAKEY, który służy do określenia, czy w systemie Windows zainstalowano wersję eksportową (słabą) czy amerykańską (silną) bibliotek szyfrujących. Właśnie ze względu na ograniczenia eksportowe, siedzibą twórców projektu OpenBSD była Kanada, gdyż tam amerykańskie prawo nie obowiązywało.
Należy przy tym pamiętać, że przepisy dotyczące eksportu technologii kryptograficznych z USA nadal mają zastosowanie i ograniczają sprzedaż niektórych produktów (na przykład komputerów o dużej mocy obliczeniowej, baz danych klasy enterprise lub oprogramowania kryptograficznego) do krajów takich jak Afganistan, Kuba, Iran, Irak czy Północna Korea. Po atakach z 11 września podnoszono temat administracyjnego wymuszenia dostępu przez służby specjalne do zaszyfrowanych danych (przykładem może być plan senatora Judda Gregga z New Hampshire, który proponował wprowadzenie albo backdoora, albo mechanizmu odzyskania klucza szyfrującego. Chociaż projekt nie ujrzał światła dziennego, agencje nadal pracują nad sposobami legalnego pozyskania zaszyfrowanych informacji.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4.8 liczba ocen: 2
« wstecz 1  2  3  4 
Podziel się |

Komentarze (2)

+Dodaj komentarz

~Tomasz

23-09-2011 23:44
odpowiedz zmoderuj

No niestety Open Source też nie jest bezpieczne. Kawałek historii backdoor w OpenBSD:[[http://seclists.org/fulldisclosure/2010/Dec/335]] Po prostu w informatyce wystepuje brak równowagi sił i wiedzy. Klient po prostu się nie zna. Bez audytu firm trzecich się chyba nie da. Ale - kto będzie audytował audytujących?

Ossi

18-11-2009 00:26
odpowiedz zmoderuj

Najpaskudniejszym oprogramowaniem typu back-door jest Norton Antywirus. Wyposazony dokladnie w system opisany na przykladzie Skype. Nikt, absolutnie nikt nie wie co robi Norton kiedy nie robi nic. Ufam zreszta ze kazde oprogramowanie rodem z USA to swego rodzaju ''trojan''. Jest nim Windows(kazda wersja), IE, Skype, Lotus Notes, Office, wszelkie systemy i tzw''wtyczki'' rodem z AOL, yahoo i MSN. Wesolej zabawy:))0

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88