Tylne drzwi producenta

Magiczny klucz

Obecnie siła szyfrowania używana w komercyjnych aplikacjach jest znacznie większa, ale nadal mogą zdarzać się pokusy producenta lub agencji rządowych, aby w oprogramowaniu wbudować tylne drzwi. Dotyczy to szczególnie popularnych programów, reklamujących bezpieczeństwo, ale jednocześnie przetwarzających wrażliwe dane, takie jak finanse. Najpopularniejszym oprogramowaniem konsumenckim w Stanach Zjednoczonych - przeznaczonym do prowadzenia domowego budżetu - jest Intuit Quicken. Program ten jest używany przez miliony ludzi na całym świecie, producent informuje, że stosuje w swoim produkcie zaawansowane technologie kryptograficzne, chroniące poufne dokumenty użytkowników i transakcje internetowe. Ochrona obejmuje szyfrowanie plików i połączenia do usług związanych z tym programem. Stosowane zabezpieczenia wydają się wystarczające, ale takimi nie są.

Rosyjska firma Elcomsoft, specjalizująca się w narzędziach łamiących zabezpieczenia opracowała bowiem oprogramowanie, które usuwa ochronę plików tego programu. Nie jest to poszukiwanie haseł metodą brute force lub słownikową - co wymagałoby dość dużej ilości obliczeń i byłoby czasochłonne - ale deszyfrowanie za pomocą złamanego klucza. Istnienie takiego klucza, niezależnego od wprowadzonego hasła udowadnia, że albo producent nie przywiązuje wagi do rzeczywistego bezpieczeństwa powierzanych danych, albo osłabienie ochrony kryptograficznej było celowe.

Intuit Quicken od wersji 2003 do 2007 zabezpiecza dane za pomocą pojedynczego klucza RSA o długości 512 bitów. Jest to na tyle długi klucz, że hacker-amator raczej nie złamie go szybko, nie można jednak tego powiedzieć o instytucjach zainteresowanych pozyskaniem cudzych informacji. Elcomsoft, dokonując faktoryzacji klucza RSA udowodniła, że w tym programie istnieją tylne drzwi, umożliwiające przechwycenie danych związanych z domowymi finansami przez takie amerykańskie agencje, jak IRS, FBI czy CIA. Istnienie takiego klucza stawia pod znakiem zapytania bezpieczeństwo wrażliwych danych, takich jak informacje o finansach czy dane kart płatniczych. Fakt bardzo słabej ochrony danych milionów użytkowników tego oprogramowania został zgłoszony do CERT.

Rola open source

Jedynym modelem rozwoju oprogramowania, który wnosi ze sobą bardzo niski poziom ryzyka celowej ingerencji, jest open source. W przypadku najważniejszych projektów, przejrzanych przez specjalistów z wielu krajów, prawdopodobieństwo umieszczenia konia trojańskiego lub innego, podobnego tworu programistycznego, jest bardzo niskie. Dzięki dostępności kodu źródłowego, grupa specjalistów może dokonać audytu aplikacji i upewnić daną organizację, że w aplikacji nie wbudowano żadnych mechanizmów, które w sztuczny sposób obniżyłyby moc stosowanych szyfrów. Przykładem rozwiązań, w których podkreśla się rolę niezależnego audytu opublikowanego kodu źródłowego, jest jeden z najlepszych programów przeznaczonych do szyfrowania danych - TrueCrypt. Podobnie oprogramowanie zestawiające bezpieczne połączenie głosowe przez sieć GSM (GSMK CryptoPhone) także jest dostarczane z kompletnym kodem źródłowym. Kostarykański operator telekomunikacyjny Ex4u Telecom idzie znacznie dalej, oferując telefony komórkowe z serii E-Crypto, które są dostarczane razem z kodem źródłowym firmware.


TOP 200