Agentura Bloomberg včera přinesla zprávu, že americká špionážní agentura NSA už od roku 2012 věděla o závažné chybě v protokolu OpenSSL, který využívaly až dvě třetiny internetových stránek. Ovšem místo, aby uživatele internetu varovala, čile tuto chybu využívala k získání citlivých dat, jelikož díky ní dokázala prolomit šifrování. Tato chyba byla odstraněna teprve asi před týdnem. Celou zprávu si můžete přečíst ZDE.
NSA má sice také na štítě napsáno cosi jako "pomáhat a chránit", ale spíš se věnuje špehování a slídění. Samozřejmě lze souhlasit, že v dnešní době je třeba bojovat s kyberzločinem, jelikož počítač můžete mít dneska i v ledničce a citlivé informace jsou žádaný cíl. Problém je, že NSA fakticky nikdo nekontroluje, takže se může hrabat v osobních datech komukoliv a nikdy to nikdo nezjistí a také za to nikdo neponese odpovědnost.
Navíc díky utajení si NSA může s informacemi, které získá exploatací různých chyb v internetovém šifrování, dělat naprosto, co chce. Možnost zneužití je značná. Kdo může zaručit, že politici nezačnou s pomocí podobných institucí hledat kompromitující informace na své odpůrce a konkurenty?
NSA vědomě vystavovala více než rok všechny uživatele internetu riziku, že jejich data ukradne první hacker, který na tuto chybu přijde. A to čistě proto, aby se mohla k citlivým informacím sama snadno dostat. A pokud se někdy v budoucnu objeví nějaké další chyba, můžete se vsadit, že NSA se ji bude zase snažit využít. Podle zmíněné zprávy zaměstnává přes tisíc počítačových expertů, kteří je hledají. Za chvíli bude možná bezpečnější vrátit se k tužce a papíru.
Není to poprvé, co se NSA nabourávala do šifrované komunikace. Doporučil bych vám podívat se na jedno video na youtube, dostupné ZDE. Jedná se o video z youtube kanálu jménem Numberphile, který se věnuje různým matematickým tématům. A právě matematika je to, oč v kyberšpionáži jde především. Jelikož nejsem expert, hlavní myšlenku shrnu jen stručně:
K zakódování dat se používají náhodně zvolená čísla. V zásadě ale nic jako skutečně náhodně generované číslo neexistuje. "Náhodná" čísla musejí být generována nějakým algoritmem. V praxi se využívá matematicky velice komplikovaný mechanismus, který pracuje s ohromnými čísly. Problém je, že navrhnout čísla pro tak složitý algoritmus není nic snadného.
"Naštěstí" americká vláda nabízí řešení, neboť vám potřebná čísla dá (v rovnici se označují jako hodnoty P a Q). Tato čísla jsou volně publikovatelná a může je použít každý. To samo teoreticky nevadí. Generátor čísel musíte nejdříve nakrmit nějakým vstupem, který si volíte sami, takže výsledek celého procesu by nemělo být možné předpovědět.
Ale teď přijde háček. Jak ukazuje video, mezi hodnotami P a Q existuje určitý matematický vztah. Jelikož se jedná o obrovská čísla, ani supervýkonný počítač nemá šanci odhalit, o jaký vztah se jedná. Problém je v tom, že to byla pravděpodobně NSA, kdo obě hodnoty zkonstruoval a to samozřejmě tak, aby znala vztah mezi nimi. Díky tomu dokáže se znalostí uspořádání šifrovacího algoritmu uhodnout, jaká čísla bude generovat.
Doufám, že to bylo alespoň trochu srozumitelné, ale opravdu je lepší se podívat na video. Pointa je, že NSA navrhla "sofistikovaný" šifrovací mechanismus, který samozřejmě řada institucí bude používat, protože ho dostanou na stříbrném podnose. Tento matematický kolos je ale zároveň šikovně navržen tak, aby se do něj NSA dokázala snadno dostat a mohla si třeba číst vaše emaily.
Je patrně načase předefinovat termín "internetová bezpečnost", jelikož se ukazuje, že vlády mohou být nebezpečnější než hackeři. NSA roky využívá bezpečnostních chyb internetu ke svému prospěchu a zároveň vystavuje riziku ostatní uživatele, které by naopak měla chránit. V budoucnu už zkrátka nebude možné přejímat slepě to, co vám v úhledném balíčku americká vláda předloží, jakkoli to vypadá lákavě. Nikdy totiž nevíte, kdy to někdo použije proti vám.
