κινητά – Skytales Blog https://skytal.es/blog Ειδήσεις, Αναλύσεις και άλλα από τον Ψηφιακό Κόσμο Tue, 07 Jan 2014 17:13:43 +0000 en-US hourly 1 https://wordpress.org/?v=6.1.1 Μια ιστορία για βαλίτσες και κρυπτογραφίες κινητής τηλεφωνίας https://skytal.es/blog/articles/cell-phone-encryption/ https://skytal.es/blog/articles/cell-phone-encryption/#comments Wed, 11 Sep 2013 23:19:15 +0000 https://skytal.es/blog/?p=333 ]]>

Πως λειτουργεί η κρυπτογραφία στην κινητή τηλεφωνία;

Για όσους βαριούνται να διαβάσουν το παρακάτω άρθρο η TL;DR (Too Long; Didn’t Read) απάντηση στο παραπάνω ερώτημα είναι ΔΕΝ ΛΕΙΤΟΥΡΓΕΙ

GSM ή αλλιώς breaking me badly

Αρχικά πρέπει να γνωρίζουμε ότι κάθε SIM έχει αποθηκευμένο ένα μακράς-διάρκειας κρυφό κλειδί (Κ). Θα αναλύσουμε παρακάτω γιατί είναι σημαντική η φράση “μακράς-διάρκειας”. Ο φορέας της κινητής τηλεφωνίας που μας χορήγησε τη SIM έχει ένα αντίγραφο αυτού του κλειδιού (κακό). Ο τρόπος με τον οποίο επικοινωνεί η συσκευή μας με τον φορέα απεικονίζεται συνοπτικά στο παρακάτω σχήμα:

gsmauth

Όπου MS(Mobile Station) είναι το κινητό μας, HLR(Home Location Register) είναι η κεντρική βάση δεδομένων στον φορέα και VLR(Visitor Location Register) είναι η βάση δεδομένων σε περίπτωση που κάνουμε roaming μέσω άλλου φορέα. Όπως βλέπουμε και στο σχήμα μετασχηματίζεται το κλειδί Κ μέσω της RAND (μια συνάρτηση που προσθέτει “τυχαιότητα”) και δημιουργείται ένα session κλειδί Kc. Όπου A3/A8 στο σχήμα είναι αλγόριθμοι κρυπτογράφησης που χρησιμοποιεί το GSM πρωτόκολλο (περισσότερα παρακάτω). Η παραπάνω διαδικασία δημιουργεί ένα session κλειδί για τον φορέα και τον χρήστη που χρησιμοποιείται για την κρυπτογράφηση των δεδομένων καθώς και ένα authentication token -SRES στο σχήμα- για την αυθεντικοποίηση του κινητού με την κεραία. Τα προβλήματα που προκύπτουν από το παρακάτω μοντέλο είναι τα εξής:

  1. Μη αυθεντικοποίηση του πύργου(κεραία κινητής): Οι συσκευές αυθεντικοποιούν τον εαυτό τους στην κεραία αλλά η κεραία δεν κάνει το ίδιο. Αυτό σημαίνει πως οποιοσδήποτε μπορεί να δημιουργήσει μια κεραία στην οποία θα συνδεθεί η συσκευή. Το βασικό πρόβλημα σε αυτό το σενάριο είναι ότι στο GSM πρωτόκολλο ο πύργος επιλέγει τον αλγόριθμο κρυπτογράφησης.. Αυτό σημαίνει πρακτικά ότι ο επιτιθέμενος μπορεί να επιλέξει να απενεργοποιήσει την κρυπτογράφηση (Α5/0 mode) και να διαβάζει σε cleartext όλη την κίνηση των δεδομένων.. Θεωρητικά η συσκευή προειδοποιεί τον χρήστη σε αυτή την περίπτωση αλλά οι κάρτες SIM περιέχουν ένα bit που απενεργοποιεί αυτή την προειδοποίηση..
  2. Κακοί αλγόριθμοι κρυπτογράφησης: Οι αλγόριθμοι του GSM όταν δημιουργήθηκαν ακολούθησαν τη λογική κρυπτογράφησης security through obscurity (=αυτοσχεδίασε και ήλπιζε πως δεν θα το καταλάβει κανείς). Η λογική security through obscurity είναι λάθος στους αλγόριθμους κρυπτογράφησης καθώς λαμβάνει σαν δεδομένο πως ο επιτιθέμενος δεν γνωρίζει τον αλγόριθμο κρυπτογράφησης. Επίσης έχει απορριφθεί σαν λογική εδώ και κάποιους αιώνες. Επίσης τέτοιοι αλγόριθμοι όταν “σκάνε” (αποκαλύπτονται) σκάνε πολύ άσχημα και γεννούν διαμάντια. Αυτά όμως είναι λεπτομέρειες για τους γονείς του GSM που επέλεξαν να εμπιστευτούνε για την κινητή τηλεφωνία. Για αυτό το λόγο και οι Α3/Α8 που δημιουργήθηκαν αρχικά και χρησιμοποιούσαν μια κοινή function με όνομα COMP128-1 η οποία είναι “σπασμένη” σε τέτοιο σημείο που κάποιος μπορεί να κλωνοποιήσει το κλειδί της SIM με 8 δοκιμές.
  3. Πολύ κακοί αλγόριθμοι κρυπτογράφησης: Ευτυχώς το πρόβλημα με τον COMP128-1 μπορούσε να διορθωθεί με μια αλλαγή της SIM. Δυστυχώς τα πράγματα έγιναν πολύ χειρότερα με τον A5/1 αλγόριθμο ο οποίος ήταν ενσωματωμένος στις περισσότερες συσκευές (κινητά) και κεραίες. Ο A5/1 διέρευσε περίπου την ίδια περίδο με τον COMP128-1 και άρχισε να δέχεται απανωτά χτυπήματα. Σήμερα είναι εφικτή μια κρυπτανάλυση με μέθοδο known-plaintext στον Α5/1 χρησιμοποιώντας rainbow tables που κυκλοφορούν ελεύθερα στο διαδίκτυο. Το καλύτερο είναι ότι πλέον οι περισσότερες κλήσεις που χρησιμοποιούν τον A5/1 μπορούν να αποκρυπτογραφηθούν με έναν καλό υπολογιστή (όχι υπερυπολογιστή, καλό υπολογιστή όπως αυτόν που έχει ένας gamer π.χ)
  4. Απαράδεκτοι αλγόριθμοι κρυπτογράφησης: Τα πράγματα δυστυχώς έγιναν ακόμα χειρότερα.. Το πρωτόκολλο υποστήριζε μια παραλλαγή του Α5/1 τον A5/2 που ήταν τόσο χάλια που μπορούσε να σπάσει σε real time (δηλαδή την ίδια στιγμή) και ο οποίος έσπασε (σαν αλγόριθμος) τον ίδιο μήνα που εκδόθηκε (good job!). Το χειρότερο ήταν πως ο αλγόριθμος χρησιμοποιούσε το ίδιο κλειδί με τον A5/1. Αυτό σήμαινε πως μπορούσε κάποιος να κλέψει το session key μέσω ενός ψεύτικου πύργου όπου θα γύρναγε την κρυπτογράφηση σε Α5/2, θα έκλεβε το session key και στη συνέχεια θα γύρναγε στον Α5/1 της πραγματικής κεραίες. Active sniffing και στη συνέχεια passive sniffing δηλαδή αφού κατέχει το κλειδί. Το 2006 (7 χρόνια μετά το σπάσιμο του Α5/2) η GSM Association όρισε πως οι νέες συσκευές δεν θα υποστηρίζουν πλέον τον Α5/2 (μα γιατί;) ειδικά από τη στιγμή που η 3G επικοινωνία όριζε ως αποκλειστική τη χρήση του Α5/1. Φυσικά υπάρχει και η περίπτωση να μην χρησιμοποιείται καν κρυπτογράφηση σε περίπτωση που το δίκτυο δεν υποστηρίζει τον Α5/1. Ένα καλό ερώτημα είναι κατά πόσο αυτές οι οδηγίες ισχύουν στα ελληνικά δεδομένα τηλεπικοινωνίας..

 

3G/4G/LTE και μεταξωτές κορδέλες

Οκ το GSM καθιερώθηκε πριν 30 χρόνια. Λογικό να υπάρχουν προβλήματα (αν και είπαμε ότι η λογική security through obsurity είναι λογική 16 αιώνα). Βέβαια το 90+ % των χρηστών κινητής τηλεφωνίας το χρησιμοποιούνε αλλά οκ αφού κάναμε την πατάτα και δεν διορθώνεται (δες (3) παραπάνω) ας φτιάξουμε κάτι νέο.. 3G:

3gAKA

Το παραπάνω σχήμα κάτι θυμίζει;

Η χρήση του 3G όρισε νέα standards (LTE) για την ασφάλεια του GSM. Αυτά είναι συνοπτικά:

  1. Αυθεντικοποίηση από κοινού: Το 3G πρωτόκολλο χρησιμοποιεί ένα “Authentication and Key Agreement “ (AKA) πρωτόκολλο το οποίο απαιτεί την αυθεντικοποίηση της κεραίας. Για να επιβεβαιώσει μια συσκευή ότι μιλάει με μια νόμιμη κεραία ο φορέας πλέον δημιουργεί ένα Message Authentication Code (MAC) που η συσκευή επιβεβαιώνει πριν συνδεθεί.
  2. Καλύτεροι αλγόριθμοι αυθεντικοποίσης: Τα session κλειδιά καθώς και το authentication tag υπολογίζονται κάνοντας χρήση κάποιων νέων αλγορίθμων f1-f5 κλειστού κώδικα (security through obscurity will not be beaten!) που είναι θεωρητικά ισχυροί. Το κακό (που είναι το καλό άραγε;) είναι πως ο φορέας επιλέγει τη χρήση των αλγορίθμων καθώς και το μέγεθος των κλειδιών.. Κάποια έγγραφα με υποδείξεις μας οδηγούν στο συμπέρασμα ότι οι αλγόριθμοι αυτοί είναι κάποιου είδους block cipher όπως ο AES. Το πρόβλημα με τους block ciphers αλγορίθμους είναι ότι αν δεν είναι κάποιος αρκετά προσεκτικός στη σχεδίαση αλλά και στην υλοποίησή τους μπορεί να έχει καταστροφικά αποτελέσματα.. Αλλά εμείς εμπιστευόμαστε τους τύπους που επί 7 χρόνια υποστήριζαν επίσημα αλγόριθμο που έσπαγε σε πραγματικό χρόνο..
  3. Καλύτερη κρυπτογράφηση: Η κρυπτογράφηση των κλήσεων στο 3G γίνεται με τη χρήση ενός block cipher κλειστού κώδικα με όνομα KASUMI. Ο KASUMI βασίζεται στον MISTY1 που δημιούργησε η Mistubishi το 1995 και είναι αρκετά τροποποιημένος ώστε να δουλεύει γρήγορα σε συσκευές κινητής τηλεφωνίας. Το πρόβλημα με τον KASUMI είναι ότι οι (τόσο έξυπνες ώστε να είναι κρυφές) τροποποιήσεις που έχει σε σχέση με τον MISTY1 τον κάνουν αρκετά πιο αδύναμο σε σχέση με τον MISTY1. Το 2010 επιτεύχθηκε ανάκτηση ενός 128 bit κλειδιού του KASUMI μέσα σε 2 ώρες. Αυτό φυσικά επετεύχθη σε “συνθήκες εργαστηρίου” (μη ρεαλιστικές συνθήκες) αλλά αποδεικνύει ότι ο KASUMI δεν είναι τόσο ισχυρός όσο υποστηρίζεται…

Ένα ακόμη πρόβλημα είναι ότι το 3G δεν υποστηρίζεται παντού και οι συσκευές είναι ρυθμισμένες ώστε να συνδέονται μέσω GSM όταν μια σύνδεση 3G/4G δεν είναι εφικτή.

GSM vs 3G and the winner is….

Ένα βασικό πρόβλημα είναι ότι και το GSM και το AKA δεν έχουν Perfect Forward Secrecy (PFS) που έχει για παράδειγμα το otr plugin του pidgin. Τι είναι το PFS; Το PFS είναι ουσιαστικά μια ιδιότητα ενός πρωτοκόλλου συμφωνίας κλειδιού (ανταλλαγής κλειδιού) που διασφαλίζει πως το sesion key δεν μπορεί να ανακτηθεί αν ανακτηθεί το long term (μακράς διάρκειας) κλειδί. Για όσους χάθηκαν κοιτάξτε πάλι την ενότητα “GSM ή αλλιώς Breaking me badly”. Αυτό σημαίνει στην περίπτωση της κινητής τηλεφωνίας πως αν κάποιος αποκτήσει το long term κλειδί (Κ) μπορεί να αποκρυπτογραφήσει όποια συνομιλία έγινε ή θα γίνει στο μέλλον. Τέλειο;

Ελληνικά δεδομένα

Δεν αναφερθήκαμε καθόλου όμως στα ελληνικά δεδομένα και στα περίφημα βαλιτσάκια και τσαντάκια (πλάκα κάνω δεν υπάρχει τσαντάκι) της ΕΥΠ. Καταρχάς πέραν της “βαλίτσας” υπάρχει η πολύ απλή παρακολούθηση με ένταλμα στον πάροχο ή με παρακολούθηση από το κτήριο της ΕΥΠ. Η δεύτερη περίπτωση (παρακολούθηση από το κτήριο της ΕΥΠ) αν όντως ισχύει σημαίνει ότι η ΕΥΠ έχει εγκαταστήσει ένα είδος κοριού στο δίκτυο κινητής τηλεφωνίας των παρόχων. Αν ισχύει αυτή η περίπτωση τότε το περίφημο βαλιτσάκι (θα αναλύσουμε σε λίγο) είναι απαραίτητο σε περίπτωση που δεν είναι γνωστός ο αριθμός του τηλεφώνου που χρησιμοποιεί ο “ύποπτος”.

Φυσικά το γεγονός ότι οι άρσεις απορρήτου έχουν αυξηθεί εκθετικά μας διδάσκει ότι μερικές φορές ένα χαρτί προκαλεί μεγαλύτερη καταστροφή από ένα σφυρί. Έτσι λοιπόν δεν χρειάζεται να επιστρατευθούν βαλιτσάκια και περίεργοι τύποι με καπαρντίνες. Αρκεί ένα χαρτί που θα επικαλείται “λόγους εθνικής ασφάλειας” για να διασφαλίσει τη συνεργασία των παρόχων και την ελεύθερη πρόσβαση στα άδυτα της κινητής τηλεφωνίας. Με λίγα λόγια, ακόμα και αν οι αλγόριθμοι κρυπτογράφησης της κινητής τηλεφωνίας λειτουργούσαν άψογα,  ένα χαρτί από την εισαγγελία επικαλούμενο “λόγους εθνικής ασφάλειας” θα εξασφάλιζε την απόλυτη πρόσβαση στα δεδομένα και στις επικοινωνίες ενός πολίτη.

Το βαλιτσάκι μου και πάμε διακοπές

Με βάση τις παραπάνω πληροφορίες που παραθέσαμε σχετικά με την κρυπτογράφηση στην κινητή τηλεφωνία, δεν φαντάζει και τόσο εξωπραγματικό το γεγονός ότι υπάρχει εξοπλισμός που προσποιείται πως είναι κεραία κινητής τηλεφωνίας με σκοπό να υποκλέψει τη συνομιλία. Τέτοιου είδους εξοπλισμός πωλείται από 700 δολάρια στο internet (IMSI-catcher). Το θέμα είναι πως ακριβοπληρωμένοι εξοπλισμοί τύπου “βαλιτσάκι” (είναι προφανές ότι οι έλληνες δαιμόνιοι ρεπόρτερ το ονόμασαν έτσι επειδή έχει το μέγεθος και ίσως την εμφάνιση βαλίτσας) υποστηρίζουν την ταυτόχρονη σύνδεση με πολλούς υπόπτους και φυσικά έχουν πολύ μεγαλύτερη εμβέλεια. Κατά τα άλλα δεν είναι καμιά φοβερή δυνατότητα που θα οδηγούσε τους συνωμοσιολόγους να αναφωνήσουν “είχαμε δίκιο, η κυβέρνηση τα παρακολουθεί όλα!”

685

Συμπέρασμα

Δυστυχώς τα πράγματα δεν είναι αστεία. Αν δεν σας έφτανε το γεγονός ότι κουβαλάτε μαζί σας ένα ρουφιάνο που καταγράφει τη θέση σας (clickme#1, clickme#2, clickme#3, clickme#4) τότε αποκτήσατε και μια σιγουριά πως ότι λέτε μπορεί να το ακούσει όχι απλά η κυβέρνηση/αστυνομία αλλά οποιοσδήποτε έχει γύρω στα 800 ευρώ να ξοδέψει.. Άλλωστε έχουν έρθει στη δημοσιότητα (στην ελλάδα) περιπτώσεις όπου εταιρίες χρησιμοποιούσαν αντίστοιχα “βαλιτσάκια” για εταιρική κατασκοπία..

 

Το παραπάνω άρθρο είναι σε μεγάλο μέρος μετάφραση με προσθαφαιρέσεις από εδώ

Επιπλέον πηγές και αναγνώσματα:

Παρακολουθήσεις κινητών τηλεφώνων

Defcon 18 – Practical Cellphone Spying

GSM Cloning

GSM Cloning #2

Cryptanalysis of A5/1

IMSI-Catcher

Intercepting GSM Traffic

Perfect forward secrecy

]]>
https://skytal.es/blog/articles/cell-phone-encryption/feed/ 3
Μεταβαλλόμενες απειλές για την ιδιωτικότητα – Moxie Marlispike https://skytal.es/blog/analysis/changing-threats-to-privacy-moxie/ Wed, 31 Jul 2013 21:25:02 +0000 https://skytal.es/blog/?p=291 ]]> Τα ακόλουθα είναι αποσπάσματα από ομιλία που έδωσε ο Moxie Marlinspike στο hacker συνέδριο defcon18. Ορισμένα σημεία έχουν αποδοθεί πιο ελεύθερα καθώς πρόκειται για προφορικό λόγο. Ολόκληρο το βίντεο της ιδιαίτερα ενδιαφέρουσας ομιλίας του, στα αγγλικά, υπάρχει εδώ : https://youtube.com/watch?v=eG0KrT6pBPk.

[…]Αλλά αυτό που έχουμε τελικά είναι δημοκρατία, όχι φασισμό. Και δεν είναι απαραίτητα καλύτερο, είναι απλά διαφορετικό. Να σας δώσω ένα παράδειγμα. Πόσοι άνθρωποι σε αυτή την αίθουσα θα αισθάνονταν καλά με έναν νόμο ο οποίος θα υποχρέωνε τους πάντες να φέρουν μαζί τους συνεχώς μια κυβερνητική συσκευή εντοπισμού; Κανείς; Ούτε ένας, εντάξει. Λοιπόν αυτό θα γινόταν στον φασισμό, αυτό είναι το φασιστικό μέλλον. Τώρα επιτρέψτε μου να σας ρωτήσω κάτι άλλο. Πόσοι άνθρωποι εδώ μέσα κουβαλάνε κινητό τηλέφωνο; Μαντεύω πως είναι το 100% των ανθρώπων εδώ μέσα. Αυτό λοιπόν λέγεται δημοκρατία, έτσι; Διότι, ποια είναι η διαφορά μεταξύ μιας συσκευής εντοπισμού που η κυβέρνηση σε υποχρεώνει να κουβαλάς, από ένα κινητό τηλέφωνο, βλέπετε; Ένα κινητό τηλέφωνο είναι μια συσκευή εντοπισμού που αναφέρει σε πραγματικό χρόνο την θέση σας σε έναν τηλεπικοινωνιακό πάροχο εταιρεία, η οποία είναι από το νόμο υποχρεωμένη να παραδώσει τις πληροφορίες αυτές στην κυβέρνηση. Έτσι, το αποτέλεσμα είναι το ίδιο, άρα ποιά είναι η διαφορά; Μπορείς να απενεργοποιήσεις το κινητό αλλά δεν το κάνεις! Επιλογή! Και πληρώνεις για να το αποκτήσεις. Η επιλογή είναι η μεγάλη διαφορά.

Επιλέγεις να έχεις κινητό τηλέφωνο, δεν θα επέλεγες να έχεις μια κυβερνητική συσκευή εντοπισμού. Ας μιλήσουμε λοιπόν για αυτό. Ποτέ, ούτε στα πιο τρελά μου όνειρα, δε θα σκεφτόμουν ότι θα είχα κινητό τηλέφωνο. Γιατί να έχω δηλαδή; Είναι μια κινητή συσκευή εντοπισμού, ένας κινητός κοριός, λειτουργεί με ένα ανασφαλές πρωτόκολλο, γιατί να θέλω ένα τέτοιο πράγμα; Παρόλα αυτά έχω ένα. Και το κουβαλάω συνεχώς μαζί μου, κάθε μέρα. Λοιπόν νομίζω ότι αν δούμε τον τρόπο με τον οποίο οι άνθρωποι τείνουν να επικοινωνούν και να συντονίζονται σε ομάδες, συχνά υπάρχουν, κατά κάποιο τρόπο άτυποι, μηχανισμοί και κανάλια που χρησιμοποιούν για να επικοινωνούν, να κάνουν σχέδια, να έχουν επαφή. Αν εγώ φτιάξω έναν περισσότερο κωδικοποιημένο/διαφορετικό τρόπο επικοινωνίας, υπάρχει ένα γνωστό πρόβλημα που λέγεται “φαινόμενο μη-ύπαρξης δικτύου”. Εφευρίσκω κάτι τέτοιο, για παράδειγμα, το δίκτυο κινητής τηλεφωνίας (GSM), και αρχίζω να το χρησιμοποιώ αλλά με δυσκολία. Επειδή η αξία ενός τέτοιου δικτύου βρίσκεται στον αριθμό των χρηστών που είναι συνδεδεμένοι σε αυτό, αν είμαι ο μόνος που το χρησιμοποιεί τότε δεν αξίζει και πάρα πολύ.

Αν όμως καταφέρω με κάποιο τρόπο να βάλω όλους να χρησιμοποιούν αυτό το πράγμα, τότε γίνεται πολύ χρήσιμο και πολύτιμο.Αλλά υπάρχει και μια παρενέργεια, η οποία είναι ότι οι παλιές άτυπες μέθοδοι επικοινωνίας και συντονισμού καταστρέφονται. Η τεχνολογία στη πραγματικότητα αλλάζει την δόμηση της κοινωνίας. Εννοώ ότι υπάρχουν πολλά τετριμμένα και δοκιμασμένα παραδείγματα αυτού του πράγματος στην εποχή των κινητών τηλεφώνων, όπου βλέπουμε ότι τα κινητά έχουν αλλάξει τον τρόπο με τον οποίο οι άνθρωποι κάνουν σχέδια, έτσι; Παλιά οι άνθρωποι κάναν σχέδια, ας πούμε θα σε συναντήσω στη γωνία του δρόμου την τάδε ώρα και θα πάμε εκεί, τώρα οι άνθρωποι λένε θα σου τηλεφωνήσω όταν τελειώνω τη δουλειά. Και έτσι αν δεν έχεις αυτό τεχνολογικό μαραφέτι δεν μπορείς να συμμετέχεις με τον τρόπο που η κοινωνία επικοινωνεί και αλληλεπιδρά.

Έτσι λοιπόν αυτό που τελικά συμβαίνει είναι ότι τώρα αν επιλέξω ότι δεν θέλω να συμμετέχω σε αυτό το κωδικοποιημένο κανάλι επικοινωνιών(κινητά), είμαι πάλι θύμα του φαινομένου μη-ύπαρξης δικτύου. Διότι αυτό που προσπαθώ να κάνω είναι να είμαι μέρος ενός δικτύου που έχει καταστραφεί, που δεν υπάρχει πλέον και πάλι είμαι ο μόνος που το χρησιμοποιεί και τελικά είμαι μέρος ενός δικτύου χωρίς αξία. Οπότε ναι, έκανα μια επιλογή, εντάξει, να έχω κινητό τηλέφωνο. Αλλά τι είδους επιλογή έκανα; Και νομίζω αυτός είναι ο δρόμος που παίρνουν τα πράγματα πλέον. Αυτό που τελικά συμβαίνει είναι ότι οι επιλογές αρχικά είναι πολύ απλές “Έχω στη τσέπη μου ένα ηλεκτρονικό μαραφέτι ή όχι;”. Και στο πέρασμα του χρόνου η έκταση της επιλογής αυτής αυξάνεται μέχρι που γίνεται μια επιλογή συμμετοχής στην κοινωνία ή όχι. Αφού σε κάποιο βαθμό σήμερα το να επιλέξεις να μην έχεις κινητό τηλέφωνο, σημαίνει κατά κάποιο τρόπο να επιλέγεις να μην συμμετέχεις στο κοινωνικό σώμα. […]

Γιατί αν ανατρέξετε πίσω και δείτε ποιος ήταν ο σκοπός του Total Information Awareness (προγράμματος παρακολούθησης στις ΗΠΑ), η google τα έχει πραγματοποιήσει όλα! Στη πραγματικότητα, έχει πάει ακόμα παραπέρα από τα δεδομένα αυτά που το TIA ονειρευόταν να συλλέγει και να επεξεργάζεται. Και ένα πράγμα που γνωρίζουμε ότι η Google διακρίνεται, και από το οποίο βγάζουν λευτά είναι δυνατότητα που έχουνε να επεξεργάζονται σε βάθος τα δεδομένα που συλλέγουν, εξάγοντας στατιστικά και σχέσεις από αυτά. Προφανώς ο σκοπός της είναι διαφορετικός. Δεν είναι ο John Poindexter(εμπνευστής του TIA), προσπαθούν να πουλάνε διαφημίσεις. Αλλά μην ξεγελιέστε, ανήκει στη βιομηχανία της επιτήρησης. Έτσι βγάζουν λευτά, παρακολουθούν τους ανθρώπους και βγάζουν κέρδος. Το αποτέλεσμα είναι το ίδιο. Ποιος γνωρίζει περισσότερα για τους πολίτες στη χώρα του, ο Kim Jong-il (πρωην ηγέτης της Βόρειας Κορέας) ή η Google; Νομίζω η Google, νομίζω ξεκάθαρα η Google. Τώρα τίθεται το ερώτημα γιατί οι άνθρωποι ανησυχούν τόσο για τύπους σαν τον Kim Jong-il ή τους Poindexters αυτού του κόσμου και όχι για περιπτώσεις όπως η Google; Λοιπόν, νομίζω ότι ανάγεται πάλι στο προηγούμενο ζήτημα, αυτό της επιλογής. Επιλέγεις να χρησιμοποιείς την Google και δεν επιλέγεις να παρακολουθείσαι από τον Poindexter ή τον Kim Jong-il. Αλλά και πάλι νομίζω ότι το εύρος της επιλογής αυτής επεκτείνεται και γίνεται όλο και πιο δύσκολο να κάνεις την επιλογή αυτή, μέχρι που καταλήγει να είναι επιλογή συμμετοχής στην κοινωνία ή όχι. Δηλαδή αν λέγατε, δεν θέλω να είμαι μέρος αυτής της συλλογής δεδομένων από την google, και δεν θα στείλω σε κανέναν που έχει διεύθυνση gmail. Αυτό πιθανόν είναι κάτι δύσκολο.

Εννοώ θα ήταν κατά κάποιο τρόπο αποκλεισμός από τον κοινωνικό περίγυρο, από ένα κομμάτι της σύγχρονης επικοινωνίας που είναι βασική στην λειτουργία της κοινωνίας. Επαναλαμβάνω λοιπόν, οι επιλογές επεκτείνονται στο επίπεδο της κοινωνικοποίσης. Οι καιροί αλλάζουν. Αυτή τη στιγμή αντιμετωπίζουμε μια κατάσταση όπου η τεχνολογία μεταλλάσσει την ίδια την δόμηση της κοινωνίας. Το γεγονός ότι οι πληροφορίες συσσωρεύονται σε διακριτά σημεία και αυτοί που μας παρακολουθούν απλώς μετακινούνται στα σημεία αυτά. Στο παρελθόν αυτό γινόταν ευθέως, έτσι; Είδαμε ότι προσπάθησαν(στις ΗΠΑ)να ενσωματώσουν μηχανισμό παρακολούθησης σε κάθε συσκευή επικοινωνίας της αγοράς. Σήμερα, είναι πιο ύπουλοι. Αντί για αυτό, απλώς εστιάζουν σε μεμονωμένα σημεία όπου τείνουν να σωρεύονται πληροφορίες. Σημεία, όπως το δωμάτιο στις εγκαταστάσεις της AT&T, που η NSA είχε εξοπλισμό καταγραφής κίνησης, ποιος ξέρει για πόσο καιρό. Στο παρελθόν τα πράγματα ήταν πιο ξεκάθαρα, προσπαθούσαν να αποκτήσουν τα δεδομένα σου, πλέον όχι. Τώρα προσελκύουν τα δεδομένα σου, δεν τα απαιτούν και στη συνέχεια αυτοί που παρακολουθούν μετακινούνται στα σημεία που συλλέγονται τα δεδομένα.

 

]]>
Άσε το κινητό σου σπίτι (τελευταίο μέρος) https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/ https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/#comments Thu, 24 Jan 2013 12:51:44 +0000 https://skytal.es/blog/?p=185 ]]> σε συνέχεια του δεύτερου μέρους

Resnick: Τι πρέπει να γνωρίζουμε για τα κινητά τηλέφωνα; Είναι δύσκολο να φανταστούμε να πηγαίνουμε σε μια διαμαρτυρία χωρίς κινητό. Αλλά όπως όλες οι δικτυακές τεχνολογίες, σίγουρα έχουν δύο όψεις…

Appelbaum: Τα κινητά τηλέφωνα είναι συσκευές εντοπισμού που κάνουν τηλεφωνικές κλήσεις. Είναι λυπηρό αλλά και αληθινό. Που σημαίνει ότι οι λύσεις όσον αφορά το λογισμικό του κινητού τηλεφώνου δεν έχουν ιδιαίτερη σημασία. Μπορείς να έχεις ένα σύνολο από ασφαλείς εφαρμογές εγκατεστημένες στο κινητό σου, αλλά αυτό δεν αλλάζει το γεγονός ότι εξακολουθεί να σε εντοπίζει όπου κι αν είσαι. Και η αστυνομία μπορεί ενδεχομένως να σπρώξει ενημερώσεις στο κινητό σου που θα εγκαθιστούν μια “πίσω πόρτα” και να επιτρέπουν την απομακρυσμένη ενεργοποίση του μικροφώνου και άλλα τέτοια. Η αστυνομία μπορεί να αναγνωρίσει τους πάντες σε μια διαμαρτυρία, φέρνοντας μια συσκευή που λέγεται συλλέκτης IMSI. Είναι μια ψεύτικη κεραία για κινητά τηλέφωνα που μπορεί να κατασκευαστεί με 1500 δολάρια. Και όταν η κεράια αυτή είναι κοντά, τα τηλέφωνα όλων θα συνδεθούν πάνω της αυτόματα, και καθώς τα κινητά τηλέφωνα εκπέμπουν ένα μοναδικό αναγνωριστικό, το μόνο που έχει να κάνει η αστυνομία είναι να συλλέξει τα αναγνωριστικά αυτά και να πάει στην τηλεφωνική εταιρεία να ζητήσει πληροφορίες για αυτά.

R: Άρα λοιπόν τα κινητά τηλέφωνα είναι συσκευές εντοπισμού. Μπορούν ακόμα να χρησιμοποιηθούν και για υποκλοπές συνομιλιών. Αν βγάλουμε την μπαταρία από ένα κινητό απενεργοποιούμε τη δυνατότητα αυτή;

Α: Ίσως. Αλλά τα iPhone για παράδειγμα, δεν έχουν αφαιρούμενη μπαταρία, απενεργοποιούνται μέσω ενός κουμπιού. Οπότε αν έγραφα ένα πρόγραμμα “πίσω πόρτα” για το iPhone θα το έβαζα να εμφανίζει μια κενή μαύρη οθόνη. Και όταν πάταγες το κουμπί να ανοίξει, θα παρίστανε πως μπαίνει σε διαδικασία εκκίνησης. Σαν να παίζει δύο βίντεο.

R: Και πόσο εύκολο είναι να φτιάξεις κάτι σαν αυτό;

A: Υπάρχουν σετ εργαλείων που πωλούνται από εταιρείες όπως η FinFisher που δίνουν τη δυναότητα να διαρρήξεις κινητά τηλέφωνα όπως BlackBerry, Android, iPhone, Symbian και άλλες πλατφόρμες. Με ένα και μόνο κλικ, η αστυνομία για παράδειγμα, μπορεί να αποκτήσει τον έλεγχο ενός κινητού τηλεφώνου και άρα να “έχει” το άτομο που το χρησιμοποιεί.

R: Μάλιστα. Τον Νοέμβριο του περασμένου χρόνου, η Wall Street Journal, πρώτη αναφέρθηκε σε αυτή την νέα παγκόσμια αγορά της τεχνολογίας επιτήρησης και δημιούργησε έναν “Κατάλογο Παρακολούθησης” στον ιστότοπό της, που περιελάμβανε έγγραφα εταιρειών που συμμετείχαν σε ένα μυστικό συνέδριο για την παρακολούθηση που έλαβε χώρα στην Washington D.C. Ακόμα το Wikileaks έχει δημοσιεύσει έγγραφα για τις εταιρείες αυτές. Η βιομηχανία αυτή μεγάλωσε απότομα και έχει διαστάσεις μια αγοράς 5 δις δολλαρίων το χρόνο. Και παρόλο που οι εταιρείες αυτές που κατασκευάζουν και πωλούν τον εξοπλισμό αυτό, λένε ότι είναι διαθέσιμος μόνο σε κυβερνήσεις και την αστυνομία και έχει ως σκοπό την σύλληψη εγκληματιών, οι επικριτές λένε ότι πρόκειται απλώς για μια νέα αγορά όπλων που προμηθεύει τις κυβερνήσεις των δυτικών κρατών και άλλα καταπιεστικά καθεστώτα.

A: Είναι τρομακτικό το πόσο εύκολα μπορείς να βρεις αυτά τα προϊόντα. Μια εταιρεία φτιάχνει λογισμικό με “πίσω πόρτες”, και το πουλάει και λέει εμπιστευθείτε μας, μόνο οι καλοί θα το χρησιμοποιήσουν… βασικά, δεν ξέρουμε να ασφαλίζουμε τα υπολογιστικά συστήματα και όποιος λέει το αντίθετο λέει μαλακίες. Αν μπορεί κάποιος να χακάρει την Google, την Boeing, την Lockheed Martin, αν διέρρευσαν αρχεία σχεδίασης και επικοινωνίας της Marine One, είναι ρεαλιστικό να συμπεράνουμε ότι είναι δυνατή η απόλυτη ασφάλεια; Γνωρίζοντας ότι έτσι έχουν τα πράγματα, το σωστό είναι να μην υπάρχει καμιά πίσω πόρτα (που να δίνει πρόσβαση σε δεδομένα χρηστών). Ή απλά να υποθέσουμε ότι οποιαδήποτε πίσω πόρτα θα χρησιμοποιηθεί κακόβουλα και καταχρηστικά, οπότε το μόνο που μας μένει είναι να τις παρακάμπτουμε με τρόπο ώστε τα δεδομένα που θα φαίνονται(χρησιμοποιώντας πίσω πόρτες) να μην έχουν κανένα ενδιαφέρον. Όπως για παράδειγμα οι κρυπτογραφημένες τηλεφωνικές κλήσεις – πράγματι μπορούν να υποκλέψουν τα δεδομένα, αλλά το μόνο που θα λαμβάνουν είναι θόρυβος.
[…]

R: Λοιπόν, ένα πράγμα που έχω ακούσει αρκετές φορές σε συναντήσεις όταν εμφανίζεται μια κουλτούρα ασφάλειας είναι ότι… να, υπάρχει η αίσθηση ότι η υπερβολική πρόληψη διογκώνεται σε (ή προέρχεται από την) παράνοια, και ότι η παράνοια τροφοδοτεί την έλλειψη εμπιστοσύνης και όλο αυτό μπορεί να οδηγήσει στην παράλυση και σε ένα είδος αδράνειας. Πώς θα απαντούσες σε κάτι τέτοιο;

A: Οι άνθρωποι που λένε κάτι τέτοιο, αν δεν είναι μπάτσοι, αισθάνονται αδύναμοι. Η πρώτη τους αντίδραση είναι “δεν είμαι σημαντικός”. Και η δεύτερη είναι, “δεν με παρακολουθούν”, κι ακόμα κι αν το κάνουν, δεν μπορούν να βρουν τίποτα διότι δεν κάνω κάτι παράνομο. Αλλά το θέμα είναι ότι, το να λαμβάνεις μέτρα προστασίας στις επικοινωνίες σου είναι σαν το σέξ με προφυλάξεις. Έχεις μια ευθύνη απέναντι σε άλλους ανθρώπους να είσαι ασφαλής – τα λάθη σου μπορεί να επηρεάσουν κι άλλους. Και η πραγματικότητα είναι ότι θα το καταλάβεις όταν είναι ήδη αργά. Δεν μιλάμε για την τέλεια προστασία, μιλάμε πρωτίστως για την αναγνώριση από τον καθένα ότι έχει την ευθύνη να παίρνει μέτρα προστασίας, και να κάνει ο,τι καλύτερο μπορεί χωρίς να χαλάει τις επικοινωνίες του, χωρίς να καταστρέφει τη μέρα του και καταλαβαίνοντας ότι μερικές φορές δεν είναι ασφαλές να υποτιμάς μερικά πράγματα, ακόμα κι αν το έκανες άλλες φορές. Αυτό είναι το μάθημα. Λοιπόν, η κουλτούρα της ασφάλειας ακούγεται υπερβολική αλλά οι τεχνολογικές δυναότητες της αστυνομίας, και ειδικά με τα διάφορα εργαλεία που πωλούνται, είναι μεγάλες. Και για να ακυρώσεις αυτό το πράγμα μπορείς να πάρεις όλα τα τηλέφωνα του πάρτυ, να τα βάλεις σε μια τσάντα και την τσάντα στο ψυγείο, και να δυναμώσεις την μουσική στο άλλο δωμάτιο – βέβαια μπορεί να υπάρχει ένας ρουφιάνος στη μάζωξη – αλλά τουλάχιστο δεν υπάρχει ηχητική καταγραφή αυτών που λέτε.

R: Υπάρχουν άλλα εργαλεία ή συμβουλές προς έναν ακτιβιστή ή οποιονδήποτε ενδιαφέρεται για τα ζητήματα αυτά;

A: Λοιπόν, είναι σημαντικό να έχουμε μια συνολική εικόνα για τη λειτουργία όλων των ηλεκτρονικών συσκευών που χρησιμοποιούμε. Πρώτα, καλό είναι να χρησιμοποιείς τον Tor Browser για να πλοηγηθείς στο internet. Να ξέρεις ότι πιθανόν η σπιτική σου σύνδεση στο internet δεν είναι ασφαλής, ιδίως αν είναι στο όνομά σου. Αν χρησιμοποιείες Mac ή Windows λειτουργικό σύστημα, να είσαι ιδιαίτερα προσεκτική. Για παράδειγμα, υπάρχει ένα λογισμικό που λέγεται “Evilgrade” που κάνει πολύ εύκολο για έναν επιτιθέμενο να εγκαταστήσει μια “πίσω-πόρτα” στον υπολογιστή σου, εκμεταλλευόμενο αδυναμίες στις αυτόματες ενημερώσεις διφόρων προγραμμάτων. Έτσι, αν για παράδειγμα έχεις το Acrobat PDF Reader της Adobe και κατεβάζεις και εγκαθιστάς τα update από την Adobe, τότε ίσως κάποια στιγμή κατεβάζεις και κάτι extra που θα είναι κακόβουλο. Και οι μπάτσοι έχουν διαφορετική αλλά καλύτερη έκδοση του λογισμικού αυτού. Και αυτό είναι ένας από τους λόγους που ενθαρρύνω τους ανθρώπους να χρησιμοποιούν Ubuntu ή Debian ή κάποια άλλη διανομή Linux αντί των κλειστών συστημάτων όπως Mac ή Windows. Επειδή υπάρχουν πολλά κενά ασφαλείας σε αυτά. Αν βρίσκεσαι σε μια ιδιαίτερα ευαίσθητη κατάσταση, χρησιμοποίησε ένα live-CD που ονομάζεται TAILS – σου προσφέρει ένα Linux λειτουργικό όπου όλη η κίνηση δρομολογείται μέσω του Tor χωρίς κάποια ρύθμιση από τον χρήστη. Ή, αν είσαι πολύγλωσσος, μπορείς να φιλοξενήσεις δεδομένα σε κάποια άλλη χώρα. Άνοιξε έναν λογαριασμό email στη Σουηδία και χρησιμοποιήσε το TAILS για πρόσβαση σε αυτόν. Το πιο σημαντικό είναι να γνωρίζεις τι επιλογές υπάρχουν. Ένα σημειωματάριο δίπλα σε μια φωτιά είναι πολύ περισσότερο ασφαλές από έναν υπολογιστή σε ορισμένες περιπτώσεις, ειδικά σε έναν υπολογιστή που δεν είναι κρυπτογραφημένος. Μπορείς πάντα απλώς να ρίξεις το σημειωματάριο στη φωτιά και να τελειώνεις.

Όσον αφορά το email, το να χρησιμοποιείς το Riseup.net είναι καλά νέα. Οι λύσεις που προσφέρουν είναι ενσωματωμένες με το Tor όσο το δυνατό περισσότερο. Είναι γαμάτοι. Εξαιτίας του τρόπου με τον οποίο λειτουργούν ένα σύστημα, είμαι σχεδόν σίγουρος ότι τα μόνα δεδομένα που έχουν είναι κρυπτογραφημένα. Και θα ήθελα να σκέφτομαι ότι οποιαδήποτε μη κρυπτογραφημένα δεδομένα έχουν, θα κάνουν το παν για να τα προστατεύσουν. Από την άλλη, ναι, μπορείς να χρησιμοποιήσεις το Tor και το Gmail μαζί, αλλά δεν είναι το ίδιο, όταν συνδέεσαι στο Gmail δεν σε ρωτάει αν θέλεις να δρομολογηθείς μέσω Tor. Επιπλέον, η Google παρακολουθεί την κίνησή σου για να βγάζει κέρδος. Θα προτιμούσα να δίνω πενήντα δολλάρια το μήνα στη Riseup για τις ίδιες υπηρεσίες που προσφέρει το Gmail, γνωρίζοντας την αφοσίωση της Riseup στην ιδιωτικότητα των χρηστών. Και γνωρίζοντας ότι θα πούνε στους μπάτσους να πάνε να γαμηθούν. Έχει μεγάλη αξία αυτό.

Όσο για το κινητό σου τηλέφωνο, θεώρησέ το μια συσκευή εντοπισμού και παρακολούθησης της επικοινωνίας σου, και αντιμετώπισέ το ανάλογα. Να είσαι πολύ προσεκτική όταν χρησιμοποιείς κινητό, αλλά σκέψου ειδικά τα μοτίβα συμπεριφοράς που παράγεις. Αν βγάλεις την μπαταρία, παράγεις μια ανωμαλία στη συμπεριφορά σου, και αυτό πιθανόν να είναι λόγος να ξεκινήσει μια εκ του φυσικού παρακολούθησή σου. Αντί για αυτό, καλύτερα μην βγάλεις την μπαταρία, απλώς άφησε το κινητό σου σπίτι. Επειδή, όπως είπα και νωρίτερα, σε έναν κόσμο που πάρα πολλά δεδομένα καταγράφονται, το μονοπάτι των δεδομένων μας αφηγείται μια ιστορία για εμάς, και ακόμα κι αν η ιστορία απαρτίζεται από αληθινά στοιχεία, δεν αντανακλά απαραίτητα την συνολική αλήθεια. Σε ένα κινητό τηλέφωνο μπορείς να εγκαταστήσεις λογισμικό όπως το OStel, το οποίο σου επιτρέπει να κάνεις κρυπτογραφημένες συνομιλίες πάνω από το internet, ή όπως το PrivateGSM – δεν είναι δωρεάν αλλά είναι διαθέσιμο για Blackberries, Android, iPhones και λοιπά. Το οποίο σημαινει ότι εάν θέλουν να υποκλέψουν το περιεχόμενο της συνομιλίας σου, πρέπει να “διαρρήξουν” το τηλέφωνό σου. Δεν είναι τέλειο. Το Gibberbot για Android, σου δίνει τη δυνατότητα να χρησιμοποιήσεις Tor και Jabber – το οποίο είναι σαν τον Google Chat – με αυτόματα ρυθμισμένο OTR. Πληκτρολογείς το jabber αναγνωριστικό σου, δρομολογεί την κίνηση μέσω Tor και όταν συνομιλείς με άλλους ανθρώπους, κρυπτογραφεί τα μηνύματα από άκρη σε άκρη, ούτως ώστε ούτε ο jabber server γνωρίζει τι λέτε. Και υπάρχει πληθώρα από τέτοια εργαλεία να διαλέξεις.

Ένα άλλο πράγμα να έχει υπόψιν είναι ο τρόπος με τον οποίο συναντιόμαστε. Εάν θέλουμε να επεξεργαστούμε κάτι συνεργατικά, υπάρχει ένα πρόγραμμα που λέγεται Etherpad. Και υπάρχει μια εφαρμογή κοινωνικής δικτύωσης που λέγεται Crabgrass, που φιλοξενείται στο we.riseup.net. Είναι σαν ένα ιδιωτικό Facebook. Το Riseup έχει αρκετά από τα δεδομένα, αλλά είναι ιδιωτικά από προεπιλογή. Έτσι είναι ασφαλή, με εξαίρεση περιπτώσεις hacking ή κάποιας νομικής διαδικασίας. Και αν το χρησιμοποιήσεις μέσω Tor Browser και δεν αποκαλύψεις ποτέ πληροφορίες για το άτομό σου, είσαι σε ένα καλό επίπεδο. Σε αντίθεση με το Facebook, που είναι κάτι σαν την Στάζι με πληροφορίες που οι χρήστες προσφέρουν εθελοντικά. Κάποια εποχή είχα λογαριασμό στο Facebook – έχει πλάκα και είναι ένας καλός τρόπος να γνωρίζεις κόσμος. Αλλά δεν είναι ασφαλές για πολιτική οργάνωση, ειδικά εάν είσαι μέλος κάποιας κοινωνικής μειονότητας, ή σε περίπτωση που δεν είσαι μέλος μια μειονότητας αλλά μια αδύναμης πλειονότητας.

Μια τελευταία σκέψη. Θα έλεγα να θυμόμαστε ότι ένα μεγάλο κομμάτι όλων των προαναφερθέντων είναι κοινωνική συμπεριφορά και όχι τεχνολογία από μόνη της. Και ακόμα ότι αν και ζούμε σε μια δυστοπική κοινωνία στο τώρα, δεν χρειάζεται να ζούμε έτσι για πάντα. Υπάρχει αυτό το αντιστάθμισμα, έτσι; Διότι, για ποιό πράγμα παλεύει το Occupy Wall Street; Η απάντηση είναι, κάτι διαφορετικό. Και αν θέλουμε να μπει ένα τέλος στην κοινωνική ανισότητα, το κράτος επιτήρησης είναι κάτι που πρέπει να αλλάξουμε. Εάν η επιτήρηση των ανθρώπων δεν έχει αξία, θα το καταφέρουμε. Λοιπόν, θα πρέπει αυτό που κάνουμε να μην μας απομακρύνει από αυτό που επιθυμούμε να δημιουργήσουμε.
_______

το άρθρο στα αγγλικά : http://nplusonemag.com/leave-your-cellphone-at-home

]]>
https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/feed/ 2