標籤彙整: NSA

NSA 指摘中國散播 BIOS 惡意程式

資料來源:NSA 指摘中國散播 BIOS 惡意程式

美國 CBS 著名訪談節目「60 分鐘時事雜誌」(60 Minutes) 訪問美國國家安全局 (NSA) 總監 Keith Alexander 將軍和資訊保證總監 (Information Debora Plunkett,在其中一段對話 Plunkett 表示 NSA 成功阻截一個由中國開發的 BIOS 惡意程式,拯救了美國,甚至全世界的經濟,由此論證 NSA 無遠弗屆的網絡監控是保衛國家安全不可或缺的手段。問題是,BIOS 惡意程式根本不是新鮮事物,也不是什麼了不起的威脅,比它影響更深遠的東西例如橫掃歐美國家的勒索軟體 CryptoLocker、困擾全球電腦用戶多年以盜取銀行登入資料聞名的 Zeus 木馬程式等 NSA 卻束手無策,這次訪談顯然只是 NSA 的公關工程,但在科技界眼中只是另一個笑柄,「60 分鐘時事雜誌」也為此賠上聲譽。

 

Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

資料來源:Google、Microsoft、Yahoo 等公司對網絡通訊的保密措施足夠嗎?

鑒於各國情報機關積極監視網絡上的通訊,Electronic Frontier Foundation (EFF) 調查主要的網上服務企業如何保障網絡通訊不受監視,並製成列表供我們參考。EFF 從五方面評估企業保護網絡通訊的工作,獲得滿分的只有寥寥幾家,包括 Dropbox, SpiderOak 和 Sonic.net,Google 的完成度也十分高。另一方面,Microsoft, Yahoo, Amazon 等一些我們熟悉,每天對媒體高呼多麼注重資料的保障和客戶隱私安全性的公司,對網絡通訊的保護卻嚴重不足。

斯諾登的文件揭露美國國家安全局 (NSA) 透過監聽互聯網光纖主幹上的通訊,和 IT 企業數據中心之間的通訊,肆意侵犯網民的隱私。一葉知秋,其他國家的情報機關也在做同樣的事,唯一的分別是他們的員工裡面沒有斯諾登。所以 EFF 認為任何東西在進入網絡前都必須加密,為此他們提出了五項建議,並就此評估大型的 IT 企業對保護網絡通訊的工作。

當然這五項建議並不能使我們完全擺脫情報機關的監視,尤其是當他們看上了你,他們大可逼使 IT 企業透露你的資料,例如你的 IP 地址和使用服務的歷史紀錄。但至少在某些國家,尤其是一些較為民主的國家,情報機關需要向法庭申請許可令,即使法庭只是一個橡皮圖章,最低限度負責任的企業還有一個平台可以反抗一下。

2013 年 12 月 21 日更新:更新了 Microsoft 的資料。

IT 企業保護網絡通訊評估
IT 企業保護網絡通訊評估 (圖片來源:EFF)

EFF 的五項評估包括:

1. 為數據中心之間的通訊加密:自從斯諾登揭露 NSA 偷聽 Google 和 Yahoo 數據中心 (Data Centers) 之間的通訊後,我們知道除了用戶和企業之間的通訊要加密外,企業和企業之間的通訊也要加密。

2. 支援 HTTPS:HTTPS 確保網站和用戶之間的通訊數據都被加密,這可說是最基本的保護。儘管如此,我們仍可看到 Amazon 和 Yahoo 連這麼基本的工作都做不好。

3. 使用 HSTS:為了確保瀏覽器與網站之間的所有通訊都使用 HTTPS (而非僅限於包含機密資訊的頁面),在建立安全通訊渠道的時候,網站應使用 HSTS 告訴瀏覽器這個網站只使用 HTTPS,任何情況下不能使用 HTTP 與這個網站聯繫。

4. 完美遠期保密:這是 HTTPS 下一種加密技術,HTTPS 的解密鑰匙萬一被破解,或者被情報機關強逼網站透露,也不能解讀過去使用這條鑰匙加密的通訊。

5. STARTTLS:這是加密電郵伺服器通訊的一種網絡協定。從用戶傳送到伺服器 (SMTP Server) 的電子郵件可以藉著 SSL/TLS 加密,但是伺服器與伺服器之間的通訊便要靠 STARTTLS 加密。

斯諾登套取美國國安局職員的密碼,取得超越自己權限的機密文件

資料來源:Reuters

美國路透社華盛頓分社獨家報道,斯諾登利用社交工程 (social engineering) 技巧套取美國國安局 (NSA) 夏威夷辦公室職員的密碼,取得超越他權限的機密文件,部份泄露給傳媒的國安局機密就是透過這方法取得。

美國國安局一直在調查斯諾登如何取得那些超越他權限的機密文件,最近發現數名夏威夷辦公室的職員曾向斯諾登透露個人密碼,斯諾等對他們說需要他們得密碼來執行系統管理工作,該等人士現已被調離崗位 (但消息來源沒有說明他們是調到另一個崗位,還是被辭退)。斯諾登曾經在夏威夷的辦公室任職外判系統管理員大約一個月,在這期間他可能套取了 20-25 名國安局職員的密碼,並取去數以萬計國安局和英國國家通訊總局 (GCHQ) 的機密文件。

所以說,不論系統多麼嚴密,密碼如何複雜,授權機制如何完善,系統的安全性其實只繫於最弱的一環:「人」。

Tom.com 協助 Skype 加入監聽功能以便進入大陸市場

資料來源:Tom.com 協助 Skype 加入監聽功能以便進入大陸市場

斯諾登揭露美國國安局 (NSA) 與大型軟件商和網絡服務供應商聯手進行網絡監控,其中微軟及其即時通訊軟體 Skype 被點名有份參與。這件事令人回想 Skype 當年夥拍 Tom.com 進入中國市場的時候,曾經在 Tom.com 的協助下為了滿足中國政府的監控要求而在 Skype 中加入關鍵字過濾及舉報功能,微軟也曾經間接承認這項指責。

由於盧森堡特殊的稅務結構,很多大型企業包括 Amazon、Netflix 都在盧森堡註冊,Skype 也不例外,盧森堡政府正在就斯諾登揭露的網絡監控行為調查 Skype,Skype 有機會受到刑事及行政制裁,並遭受罰款。

Skype 2003 年在北歐創立,它提供 P2P 即時通訊服務,即是說兩名用戶之間的語音、視像或文字通訊都是從一部電腦直接傳送到另一部電腦,中途無需經過中央伺服器,通訊的內容也得到加密處理。基於它的安全性和效能,Skype 在一年光景便累積了近一千三百萬用戶,它也受到記者和社會運動搞手的青睞,用來逃避政府監控的通訊工具。

轉捩點發生在 2005 年,那年 eBay 買下了 Skype,同年與 Tom.com 結盟進軍中國市場,並為此而在 Skype 種下監控的種子。一名 Skype 前工程師向英國衛報,該公司在系統中加入「監聽的元素」,透過在文字通訊中搜尋關鍵字來監視用戶,並向當權者發出警告。

2006 年一群投資者從 eBay 手上買下 Skype,斯諾登的文件揭露,自此 Skype 便與 NSA 狼狽為奸,提供用戶的通訊資料給美國政府。

2011 年微軟又買下 Skype,公司與 NSA 的關係比以前更密切,送交給 NSA 的資料大幅上升。不過,Skype 只能截取有多人參與的會議通訊,因為這些通訊的數據必須經過 Skype 的伺服器,個人與個人之間的通訊屬於直接聯繫,Skype 也無法得知,根據英國衛報得到的一封由 Skype 副總裁在 2012 年發出的信件,及 Skype 2012 年在英國國會聽證會上的證供,Skype 確實對這類通訊束手無策。不過,紐約時報在今年六月報道, Skype 有一個內部專案,研究怎樣讓執法機構獲取這些通訊。

無國界記者一名資訊安全專家認為,不應低估各國政府對 Skype 通訊的興趣,Skype 與政府的充分合作的往績也令人憂慮,他建議大家不要用 Skype。

最新瀏覽器附加元件,使情報機關的關鍵字搜尋工作徒勞無功

資料來源:http://www.slate.com/blogs/future_tense/2013/10/09/scaremail_benjamin_grosser_s_gmail_extension_aims_to_drown_nsa_in_nonsense.html

不論是極權的中國和伊朗,還是自稱民主自由的美國和英國,他們的情報機關都會監視互聯網上的通訊是否涉及一些敏感詞語,例如中國政府眼中的「六四」、「法輪功」,或者美國政府眼中的「阿爾蓋達」、「塔利班」,藉此從海量的網上通訊中鎖定某些可疑的部分和人物。

一個美國藝術教授想到一個方法抗衡這種文字審查,他設計了一個瀏覽器插件 ScareMail,自動在你發出的每一封 GMail 郵件中插入一些包含敏感字詞的段落,這些段落以自然語言處理技術 (Natural Language Processing) 生成,一般自動掃描的程式無法分辨是有真人撰寫還是機器生成的「廢話」。以下是部分生成的內容:

Captain Beatty failed on his Al-Shabaab, hacking relentlessly about the fact to phish this far, and strand her group on the wall-to-wall in calling suspicious packages

上文粗體部分就是所謂敏感詞語,它取材自美國本土安全部一份有關監視媒體的參考手冊

這位教授表示他的附加元件不單止可干擾美國國安局 (NSA) 的網絡監控工作,也希望刺激大家反思文字與監控的關係,他在個人網站上說:

能夠使用任何詞語是我們最基本的自由之一,但 NSA 日益嚴重的電子語音監控威脅著我們的第一修正案權利。ScareMail 所做的只是在用戶的電子郵件中添加英語詞語,藉此揭露 NSA 的監控的主要缺陷之一:詞語不等於意圖。

他又說如果每一封電子郵件都包含敏感詞例如「陰謀」,搜尋這個詞語便變成徒勞無功,一個送回所有東西的搜尋,是一個沒有意義的搜尋。

完全不接上網的電腦

資料來源:https://www.schneier.com/blog/archives/2013/10/air_gaps.html

電腦安全專家 Bruce Schneier 協助英國衛報解讀斯諾登的涉密文件,以致他對自己的電腦也要打醒十二分精神,美國國家安全局 (NSA) 的駭客小組可能正儘全力入侵他的電腦和監控他的網上活動,他說他家中有一部完全不連接上網的電腦,用來儲存和閱讀斯諾登的文件。他解釋了怎樣配置這部電腦,如何安全地把文件傳送到這部電腦,或者傳送出來。若果有天基於某些原因你需要相似的配置,不妨參考一下 Bruce Schneier 的做法。