Tych zabezpieczeń nie potrafi złamać nawet NSA. A przynajmniej do niedawna nie potrafiło
Poważne zagrożenie bezpieczeństwa, utrudniające organizacjom rządowym pracę - w ten sposób NSA określiło niektóre z publicznie dostępnych rozwiązań umożliwiających szyfrowanie przesyłanych przez Internet treści czy pozwalających zachować w nim przynajmniej częściową anonimowość. Okazuje się bowiem, że wbrew pozorom nie wszystkie z nich są możliwe do złamania, a niektóre określane są wręcz jako "katastrofalnie trudne".
Der Spiegel, który w niedzielę w nocy ujawnił nie tylko część metod NSA, ale także listę standardów zabezpieczeń, z których złamaniem Amerykanie nie mają najmniejszych problemów, nie przebiera w określeniach i plany agencji określa wprost jako "śmiertelne zagrożenie dla internetowego bezpieczeństwa". Określenie całej sytuacji jako "wojna NSA z Internetem" również nie wydaje się być zbytnio przesadzone, tym bardziej, że wszelkie rozwiązania szyfrujące są traktowane faktycznie jako przeciwnicy na drodze do pełnej kontroli, a starcia z nimi, jako bitwy, które trzeba w ten czy inny sposób wygrać.
Dziś, po miesiącach pełnych informacji o kolejnych "zamachach" na prywatność internautów prawdopodobnie mało kogo dziwi spora część najnowszych doniesień. Nikogo nie powinno też dziwić, że NSA podzieliło rozwiązania szyfrujące na 5 grup, zaczynając od najprostszych, z których odszyfrowaniem nie ma najmniejszych nawet problemów, a kończąc na tych, które pozostają właściwie niemożliwe do złamania, lub wymaga to ogromnych nakładów. Przy czym właściwie tylko dwie ostatnie z pięciu ostatnie stanowią jakąkolwiek przeszkodę, a przynajmniej stanowiły w okolicach 2012 - na ten rok bowiem datowana jest większość ujawnionych dokumentów.
Dla przeciętnego użytkownika Internetu, nawet tego, który stara się przynajmniej w minimalnym stopniu dbać o swoją prywatność, jest to jednak niewielkie pocieszenie. Większość powszechnie stosowanych i komercyjnie dostępnych rozwiązań zalicza się do trzech pierwszych kategorii. Metod faktycznie bezpiecznych pozostaje więc bardzo niewiele, a przy tym i tak nie ma pełnej pewności, że okażą się skuteczne.
Jednym z przykładem działań dla NSA "banalnych" jest przykładowo prześledzenie trasy, jaką przebył w Internecie dokument.
Niewiele większe problemy sprawia monitorowanie rozmów prowadzonych przez komunikator Facebooka. W środku stawki, na poziomie trzecim, Spiegel jako przykład podaje rosyjski serwis pocztowy mail.ru. Jednocześnie zaznacza jednak, że pomimo stopnia skomplikowania na poziomie "umiarkowanym", NSA nie ma większych problemów z przechwytywaniem wiadomości przesyłanych za pomocą i tego pośrednika. Większego wyzwania nie stanowił także jeden z najczęściej używanych komunikatorów internetowych - Skype. To samo można zresztą powiedzieć o popularnym HTTPS (stosowanym m.in. do logowania do banków), czy wykorzystywanym przez wiele firm VPN.
W tym pierwszym przypadku do końca 2012 roku planowano przechwytywać dziennie nawet do 10 mln takich połączeń, natomiast w przypadku VPN - 20 tys. na godzinę (choć nie wszystkie próby kończyły się sukcesami), przy czym był to plan na koniec 2011 roku. Nie wiadomo, jak prezentuje się ta sytuacja obecnie i czy udało się osiągnąć zakładane poziomy, czy też wyników tych nie osiągnięto, lub udało się je przekroczyć. Pewne jest natomiast, że ataki na sieci VPN stosowane m.in. przez organizacje rządowe Grecji, Pakistanu czy Turcji zakończyły się powodzeniem.
Grupa rozwiązań względnie bezpiecznych, jak łatwo się domyślić, skupia propozycje zdecydowanie rzadziej używane i w dużej części otwartoźródłowe.
NSA miało poważne trudności m.in. z TOR-em, Truecryptem (którego rozwój został wstrzymany przez autorów), protokołem OTR, algorytmem AES czy PGP, przy czym z tego ostatniego w niektórych przypadkach... samo nawet korzysta. Te pozycje znalazły jednak swoje miejsce w kategorii oznaczonej numerem 4, czyli trudnych, ale też niekoniecznie całkowicie niemożliwych do rozwiązania.
W piątej, "katastrofalnej" kategorii nie znajdziemy jednak konkretnych narzędzi, które zapewnią nam pełną prywatność. Zdaniem NSA, największy problem, prowadzący niemal do całkowitej nienamierzalności, stanowią osoby, które umiejętnie łączą możliwości oferowane przez co najmniej kilka z dostępnych rozwiązań. Przykład podawany przez Spiegela obejmuje m.in. korzystanie z sieci TOR i (!) dodatkowego rozwiązania anonimizującego, w parze z systemem wymiany wiadomości CSpace i telefonią VoIP z ZRTP. Nietrudno jest się domyślić, że z takich rozwiązań korzysta bardzo niewielki odsetek internautów.
Nie wiadomo przy tym, czy teraźniejszość nie jest jeszcze bardziej przerażająca.
Od momentu utworzenia dokumentów, na których bazował Spiegel, minęły bowiem w większości przypadków co najmniej dwa lata, w trakcie których wiele mogło (choć oczywiście nie musiało) się zmienić. Szczególnie, że dla NSA, "testowanie systemów zabezpieczeń", czyli mówiąc wprost - próby ich złamania, jest normalną częścią pracy.
I o ile samo badanie słabości internetowych zabezpieczeń nie jest teoretycznie niczym złym, o tyle wykorzystywanie tej wiedzy nie tyle do ich naprawy, co do przechwytywania i odczytywania informacji, szczególnie na taką skalę i przy takich możliwościach (dwa lata temu!), budzi już słuszny niepokój. Tym bardziej, że przez lata NSA nie zawsze zajmowało się nadzorem i cyfrowym podsłuchem tych, którzy na to zasługiwali, a tak potężne narzędzia zawsze będą kusić, aby wykorzystać je niekoniecznie zgodnie z przeznaczeniem.
Choć czy można w ogóle "zgodnie z przeznaczeniem" tworzyć i korzystać z narzędzi umożliwiających niemal całkowitą kontrolę nad informacjami przesyłanymi przez Sieć przez prawie każdego, w prawie każdym momencie?
* Zdjęcia pochodzą z serwisu Shutterstock