Casa Securitywatch Com'è quando l'FBI ti chiede di eseguire il backdoor del tuo software

Com'è quando l'FBI ti chiede di eseguire il backdoor del tuo software

Video: Comment Out #24 / Юра Музыченко х Лолита (Novembre 2024)

Video: Comment Out #24 / Юра Музыченко х Лолита (Novembre 2024)
Anonim

In una recente conferenza sulla sicurezza della RSA, Nico Sell era sul palco che annunciava che la sua società, la Wickr, stava apportando cambiamenti drastici per garantire la sicurezza dei suoi utenti. Ha detto che la società passerebbe dalla crittografia RSA alla crittografia a curva ellittica e che il servizio non avrebbe una backdoor per nessuno.

Mentre lasciava il palco, prima ancora di avere la possibilità di togliersi il microfono, un uomo le si avvicinò e si presentò come agente presso il Federal Bureau of Investigation. Ha quindi proceduto a chiedere "casualmente" se sarebbe stata disposta a installare una backdoor in Wickr che avrebbe permesso all'FBI di recuperare informazioni.

Una pratica comune

Questo incontro, e il comportamento disinvolto dell'agente, sono apparentemente normali come gli agenti di intelligence e le forze dell'ordine cercano di ottenere un maggiore accesso ai sistemi di comunicazione protetti. Dal suo incontro con l'agente della RSA, Sell afferma che è una storia che ha ascoltato ancora e ancora. "Sembra che sia così che fanno adesso", ha detto a SecurityWatch. "Sempre casual, test, perché la maggior parte delle persone direbbe di sì."

L'obiettivo dell'FBI è vedere sistemi crittografati e sicuri come Wickr e altri. In base alla legislazione sull'Assistenza alle comunicazioni per legge (CALEA), le forze dell'ordine possono toccare qualsiasi telefono negli Stati Uniti ma non possono leggere le comunicazioni crittografate. Abbiamo anche visto come le forze dell'ordine hanno seguito l'esempio della NSA e hanno raccolto dati in massa dalle torri dei telefoni cellulari. Con la NSA, secondo quanto riferito, l'installazione di backdoor sull'hardware installato nelle strutture UPS e presumibilmente funzionante per minare gli standard crittografici, non sorprende che l'FBI opererebbe secondo linee simili.

La differenza

Era chiaro che l'agente dell'FBI non sapeva con chi aveva a che fare, perché Sell non si tirava indietro. Invece, gli ha insegnato su argomenti che vanno dal Primo e al Quarto emendamento alla Costituzione, alla creazione di George Washington di un ufficio postale negli Stati Uniti. "Il mio antenato era un batterista sotto Washington", spiegò Sell. "Washington pensava che fosse molto importante avere la libertà di informazione e corrispondenza privata senza sorveglianza del governo".

Conclusa la lezione, procedette a grigliare l'agente. "Ho chiesto se aveva documenti ufficiali per me, se questa era una richiesta ufficiale, chi fosse il suo capo", ha detto Sell. "Si è arretrato molto rapidamente."

Anche se non si è mossa per l'agente, Sell chiarisce che la sorveglianza e la sicurezza sono un problema complicato. "Dieci anni fa avrei detto di sì", ha detto Sell. "Perché se le forze dell'ordine ti chiedessero di catturare i cattivi, chi non vorrebbe aiutare?"

La differenza ora, ha spiegato, è stata la sua esperienza con BlackHat. Tra questi, Sell ha indicato un evento di BlackHat in cui Thomas Cross ha dimostrato come entrare in macchine di intercettazione legali o intercettazioni telefoniche. "Era molto chiaro che una backdoor per i bravi ragazzi è sempre una backdoor per i cattivi".

Come essere un bravo ragazzo

"Non sono contrario ad aiutare le forze dell'ordine, ma la cosa più importante per me è proteggere i miei amici e la mia famiglia nel modo migliore che conosco", ha detto Sell. Ha suggerito che la NSA e altre agenzie tornino a un modello in cui gli individui sono presi di mira, invece di monitorare tutte le comunicazioni e risolverle in seguito. "Esistono molti modi per rintracciare le persone senza calpestare i diritti umani", ha affermato.

Come esempio di come fare la sicurezza nel modo giusto, Sell ha sorprendentemente indicato Wickr. Ha detto che la sua azienda non possiede le chiavi di crittografia per decrittografare i messaggi degli utenti o vedere le loro identità. In questo modo, se Wickr fosse costretto a consegnare i dati di un ordine del tribunale, gli investigatori troveranno solo spazzatura. E oltre a impiegare chi vende chiama le "migliori persone crittografiche", Sell ha affermato che i singoli messaggi sono associati al dispositivo previsto. "Anche tra 20 o 100 anni, se l'NSA rompe miracolosamente queste equazioni, non sarebbero ancora in grado di leggere questi messaggi."

È chiaro che per Sell, si tratta di qualcosa di più di una buona sicurezza. "Sto facendo la cosa giusta qui, ed è la cosa giusta anche per loro", ha detto. "Non ho paura di loro."

Com'è quando l'FBI ti chiede di eseguire il backdoor del tuo software