Tales from the Crypto Community

The NSA Hurt Cybersecurity. Now It Should Come Clean.

Nadia Heninger and J. Alex Halderman

NADIA HENINGER is an assistant professor of computer and information science at the University of Pennsylvania, where her research focuses on cryptography and security.
J. ALEX HALDERMAN is an assistant professor of computer science and engineering at the University of Michigan, where his research focuses on computer security and public policy.

Of all of the revelations about the NSA that have come to light in recent months, two stand out as the most worrisome and surprising to cybersecurity experts.
The first is that the NSA has worked to weaken the international cryptographic standards [1] that define how computers secure communications and data.
The second is that the NSA has deliberately introduced backdoors into security-critical software and hardware. If the NSA has indeed engaged in such activities,
it has risked the computer security of the United States (and the world) as much as any malicious attacks have to date.




More:

http://www.foreignaffairs.com/artic...ommunity-122113

Diplomacy is about surviving until the next century - politics is about surviving until Friday afternoon
Sir Humphrey Appleby

אוקי, ומה דעתך? פשוט הבאת חלק מהמאמר ולא
הוספת את 'חצי השקל' שלך בנידון או מה הקשר
בינו לבין 'צבא ובטחון'. הרי מן-הסתם דווקא
מערכות אזרחיות הינן פגיעות יותר לפעילות
המתוארת במאמר.

על כל פנים, מבין שתי הנקודות שמעלים הכותבים
במבואה לכתבה, אותי מסקרנת דווקא הנקודה השניה - זו
שמדברת על יצירת 'דלתות אחוריות' בתוכנה ובחומרה.

האם יש מישהו פה בפורום, שמגיע מתחום מדעי המחשב, או
לפחות מתעניין בו ברמה חצי-מקצועית, שיכול להסביר
איך יוצרים 'דלת אחורית' בחומרה (כי בתוכנה זה די ברור)?
שאלה נוספת היא איך מערכת צבאית, שנשענת על מערכת הפעלה
אזרחית, כמו אולי לדוגמא מערכת בק"ש של טנק, הופכת
פגיעה ל'דלתות אחוריות' כאלה, אם בכלל?

מערכת ההפעלה "מדברת" עם החומרה באמצעות דרייברים (Drivers). הדרייבר משמש כמגשר לביצוע הפעולות בפועל ברכיב החומרה.
איך יוצרים דלת אחורית? בשלב התיכנון של רכיב החומרה - נניח כרטיס רשת, לצורך העיניין - קובעים בתוכנה של הרכיב פרוצדורה שמאפשרת "דלת אחורית". הרי כרטיס הרשת עומד בין המחשב ולבין הרשת, ומאזין פנימה והחוצה ומסנן אותות לא רצויים.
קובעים בפרוצדורה הנ"ל, שכשברגע שמתקבל אות מסויים וקבוע מראש, כרטיס הרשת יזרים מידע ישירות למחשב ללא סינון כלשהו - מכאן ועד לביצוע פעולות זדוניות במחשב המותקף הדרך קצרה מאוד, ובין אם לשתול במחשב קוד זדוני או שימוש בפרצות אבטחה במערכת ההפעלה שלא נתגלו ולא טופלו (נקראות "Zero-day") - לתוקף יש הרבה דרכי פעולה.

אני לא יודע מה הכוונה בדבריך ב"מערכת צבאית שנשענת על מערכת הפעלה אזרחית" ואז ההתייחסות לבק"ש של טנק - אני דיי בטוח שאין שום מערכת אזרחית שנועדה להפעיל בק"ש של טנק
מה שכן, בצבא משתמשים הרבה פעמים גם במערכות הפעלה מסחריות כגון Windows בשביל שלל אופרציות, מעבודה משרדית עד טאבלטים ויחידות שליטה למזל"טים (שגם הם הרבה פעמים מוצר מדף מסחרי, שעבר שינוי מסויים כדי להתאים לשוק הבטחוני).
זה נעשה גם כי זה פתרון מדף זמין ופשוט - לפתח מערכת הפעלה זה עסק לא זול - וגם כי קל לפתח למערכת כזו רכיבים.
כשמקבלים מערכת הפעלה "אזרחית" לתוך ארגון בטחוני, בד"כ מבצעים בה שינויים רבים כמו למשל הסרה או עיקור רכיבים שלא יהיה בהם שימוש, ושיש להם פוטנציאל להיות נקודות תורפה לפריצות.
על כל שאר הרכיבים עושים בדיקה מדוקדקת כדי לגלות בהם פרצות אבטחה, ולאחר מכן מאשרים את השימוש במערכת בארגון.

נניח ושתלו קוד זדוני ברכיב מסויים בטאבלט המשמש לצפיה במידע ויזואלי המתקבל ממזל"ט - ניתן לגרום לקוד להזרים את המידע שמתקבל מהמזל"ט לגורם שלישי, או אולי אפילו להציג נתונים שגויים על המסך שיגרמו למטיס של המזל"ט לרסק אותו...

טוב, אני צריך ללכת כבר לעבודה אז זה מספיק בנתיים

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

ציטוט:

במקור נכתב על ידי efekt עושים בדיקה מדוקדקת כדי לגלות בהם פרצות אבטחה, ולאחר מכן מאשרים את השימוש במערכת בארגון.

ואיך עושים בדיקה שכזו כשאין לך את קוד המקור? ע"ע Windows שהזכרת? עוברים על מגה-בייטים של קוד אסמבלי? או שפשוט מניחים שאין backdoor כי אין איך לבדוק את זה באופן ריאלי... ?

אני מניח שבדיקה כזו של רכיבים תהיה הגישה האופטימלית לארגון בטחוני, אבל אני לא יודע אם בצה"ל זה באמת מה שעשו. אולי ברישיון שרכשו ממיקרוסופט ניתנה לצה"ל גישה לקוד או לחלקים ממנו, ואולי פשוט עושים לרכיבים reverse engineering, ואולי שניהם יחד...
מה שבטוח זה שבצה"ל אכן משתמשים ב-Windows ואני חושב שזה בטוח להניח שבגרסה המותקנת בצה"ל נעשו אי-אילו שינויים ובדיקות כדי להביא את המערכת לרמה מאובטחת יחסית (כי אין כזה דבר 100% אבטחה).
פה יש באמת יתרון למערכות קוד פתוח, שם יש גישה לכל הקוד וניתן לשנות ולהתאים את המערכת כך שתתאים בדיוק לצרכים של המשתמשים, אבל מצד שני זה גם החיסרון שלה - ארגון בטחוני משתמש במקור באותה המערכת שכל משתמש פרטי יכול להוריד גם הוא (אם כמובן הארגון לא רכש הפצה מוכנה), ואפילו אם הארגון ביצע במערכת אי-אילו שינויים משלו, תמיד יתכן שגורם זדוני -בגלל הגישה הבלתי אמצעית לקוד המקור - מכיר במערכת איזו שהיא פרצה שאף אחד עדיין לא עלה עליה, ופשוט ישתמש בה כדי לפגוע בארגון הנ"ל.
ההבדל בין מערכת קוד-פתוח ולבין מערכת מסחרית בעיניין הזה, זה שהמערכת המסחרית (שוב, לדוגמא נניח Windows) עוברת כל הזמן תהליך של בדיקות ואופטימיזציה כי עומדת מאחוריה חברת תוכנה שמחוייבת לתת לה גב, כך שאם נמצא exploit במערכת הוא יתוקן בהקדם האפשרי והחברה תוציא טלאי לתיקון הפרצה.
במערכת קוד פתוח זה לא בהכרח יקרה, וארגון שמשתמש בה עלול לגלות על ה-exploit רק כשיהיה מאוחר מדי...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

חוששני שאתה חי בסרט לגבי מה שקורה בצה"ל :\

אני אהיה בספק מאווווווווווווד גדול שלצה"ל יש קוד מקור של חלונות, מספיק כדי למצוא באגים ולקמפל את המערכת הזו מחדש (אני לא רוצה לחשוב על כוח החישוב שנדרש לקמפל מפלצת שכזו...) - וכל מה שאתה אומר שאפשר (אולי) לשנות בחלונות, אפשר (בוודאות) דווקא בקוד הפתוח. יותר עיניים מסתכלות על הקוד = יותר מציאת באגים.

לגבי הטענה שזה שהמערכת מסחרית ולכן עוברת יותר בדיקות ואופטימיזציה... האם ראית חברת תוכנה שבה המצב הוא כמו שאמרת? כלומר, שמשחררים את המוצר when it's ready ולא when marketing wants?

כמה אחוזים מנפילות התוכנה בכלל מערכות צה"ל נובעות מחלונות ו/או שאר ה ecosystem של מיקרוסופט, וכמה מכל מערכת אחרת?

האם אתה יודע שיש מערכות בצה"ל במקומות מסויימים (לא אנקוב כי אני לא יודע אם זה מסווג או לא), אשר מריצות מספר עותקים נוספים ספייר של המערכת על מחשבים נוספים, משום שחלק מהתחנות קורסות דרך קבע, ופשוט מקבלים את זה, שככה זה? (וכמובן, שימשיכו בעתיד להתבסס על אותה טכנולוגיה, שהוכיחה את עצמה כגרועה...)

מי צריך backdoor בחומרה כשגוף בטחון מתבסס על מיקרוסופט :\

ציטוט:

במקור נכתב על ידי שימי חוששני שאתה חי בסרט לגבי מה שקורה בצה"ל :\ אני אהיה בספק מאווווווווווווד גדול שלצה"ל יש קוד מקור של חלונות, מספיק כדי למצוא באגים ולקמפל את המערכת הזו מחדש (אני לא רוצה לחשוב על כוח החישוב שנדרש לקמפל מפלצת שכזו...) - וכל מה שאתה אומר שאפשר (אולי) לשנות בחלונות, אפשר (בוודאות) דווקא בקוד הפתוח. יותר עיניים מסתכלות על הקוד = יותר מציאת באגים.

וגם יותר עיניים זדוניות שמוצאות Exploits. לא בטוח שזה עדיף.

ציטוט:

במקור נכתב על ידי שימי לגבי הטענה שזה שהמערכת מסחרית ולכן עוברת יותר בדיקות ואופטימיזציה... האם ראית חברת תוכנה שבה המצב הוא כמו שאמרת? כלומר, שמשחררים את המוצר when it's ready ולא what marketing wants? כמה אחוזים מנפילות התוכנה בכלל מערכות צה"ל נובעות מחלונות ו/או שאר ה ecosystem של מיקרוסופט, וכמה מכל מערכת אחרת?

ומה עם Red Hat? או SUSE Enterprise? הן משחררות גרסאות 100% Bug/exploit free? בהתחשב בזה ש-Windows צריכה להיות גם Legacy compatible וגם להתאים לכמעט כל צירוף חומרה בשוק, אני חושב שמיקרוסופט עשו עבודה לא רעה בסה"כ.

ציטוט:

במקור נכתב על ידי שימי האם אתה יודע שיש מערכות בצה"ל במקומות מסויימים (לא אנקוב כי אני לא יודע אם זה מסווג או לא), אשר מריצות מספר עותקים נוספים ספייר של המערכת על מחשבים נוספים, משום שחלק מהתחנות קורסות דרך קבע, ופשוט מקבלים את זה, שככה זה? (וכמובן, שימשיכו בעתיד להתבסס על אותה טכנולוגיה, שהוכיחה את עצמה כגרועה...)

לא יודע - אבל אני גם לא יודע מה גורם לקריסה הזו שהיא כאמור מתרחשת דרך קבע. שני המחשבים שלי בבית מריצים Windows 8.1, כאשר אחד מהם הוא לפטופ בן יותר מ-5 שנים והם כמעט שמעולם לא קרסו לי - אם אלו שהמערכת אצלהם קורסת מאפשרים לזה לקרות ככה מבלי לנסות ולטפל בבעיה באמת (כי כאמור, לא לכולם המע' הפעלה קורסת "דרך קבע"), אז אני לא בטוח שהמצב היה משתפר אם היתה להם מערכת מבוססת open source.
לפעמים לא יעזור לך שום דבר בעולם, אם אתה לא מסוגל לעזור לעצמך...

ציטוט:

במקור נכתב על ידי שימי מי צריך backdoor בחומרה כשגוף בטחון מתבסס על מיקרוסופט :\

זה מצחיק. בחברה הקודמת שעבדתי בה - חברה ממדינה אירופאית כלשהיא - השרת המרכזי היה שרת open source מסוג שאתה בוודאי מכיר.
את השרת תיחזקו כמה חבר'ה חזקים בתחום עם רקע עשיר ב-C ו-cpp, רק כדי שתבין שהשרת לא הופקד בידיים חובבניות, והם גם דאגו לעדכן אותו כמה שיותר מהר מהרגע שיצאו טלאים או נמצאו פרצות.
Long story short, יום בהיר אחד כשאחד החבר'ה שמתחזקים את השרת עבר על כמה קבצי LOG בגלל מישהו שהיו לו קשיי התחברות לשרת, ושם הוא גילה כמה תנועות חשודות. בבדיקה מקיפה נמצאו עקבות של גורם חיצוני לא מורשה (כנראה ארגון פשע כלשהוא) ששתל backdoor בשרת כמה שבועות לפני כן (אם כי לא נראה שהשתמש בה עדיין - כנראה רק הכין את הקרקע).
לא קפץ שום flag, לא נשמעה כל אזעקה או התראה. אז לא הכל ורוד בממלכת הקוד הפתוח, ואין מה לעשות - שום דבר הוא לא 100% מאובטח, גם לא מוצרים מבית מיקרוסופט וגם לא מוצרי קוד פתוח...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אין ספק ש Zero-day שהתגלה בטעות, שהסיכוי שיעלו עליו לא גבוה במיוחד (כי אף אחד לא יכול לקרוא את הקוד, וכאמור, הוא התגלה במקרה...) - הוא בעייתי הרבה יותר. אני מעדיף לא לסמוך על טעויות. וכך, אגב, רוב מוחלט של האתרים באינטרנט... או שכולם מטומטמים, או שכנראה שבאמת עדיף קוד פתוח. (זה לא אומר שלא צריך לעדכן כאשר כן מתגלה בעיית אבטחה. זה גם לא קשה לעדכן...)

אף מוצר הוא לא Bug free. אבל יש מוצרים שיותר סביר שימצאו בהם יחסית מהר באגים חמורים, ויעשו responsible disclosure, והתיקונים יהיו מהירים, טובים, ואיכותיים (ככה זה שאלפי אנשים יכולים לעשות לך code review)... ואין ספק שככל שאתה מריץ יותר קוד בשביל לעשות את אותה המשימה (מי אמר הרצת GUI בשביל שרת שהתקשורת איתו טקסטואלית בלבד???) - יש לך יותר סיכוי לבאגים.

מיקרוסופט דואגת לחומרות? הממ... יצרני הדרייברים דואגים לחומרות. לצערנו רובם דואגים בעיקר למיקרוסופט (אבל אל דאגה, זו לא בגלל איכות, אלא בגלל כמות) - למזלנו זה רק בשוק המחשבים הביתיים. בשוק השרתים, אין דבר כזה חומרה שלא נתמכת... והאמת היא שהשוק עבר כזו יונפיקציה, שבשנים האחרונות, למעט מוצר מאוד מאוד מסויים, שהוא מקלוני DVB-T [לא בדיוק משהו שרלוונטי לבטחון ישראל (נראה לי...)], טרם יצא לי לראות חומרה שלא פועלת out-of-the-box בלינוקס (מבלי להתקין שום דרייבר, למען הסר ספק). אגב, אם כבר דיברנו על דרייברים - הדרייברים הם חלק חיצוני מחלונות, שמסופק על ידי יצרנים חיצוניים (למשל - מסין...) - שגם את קוד המקור שלו אין - וגם שם יש באגים בשפע - שמשפיעים על יציבות מערכת ההפעלה חלונות. במערכת לינוקס טיפוסית, כל הדרייברים, כולל קוד המקור שלהם, חשופים ויכולים להיבדק...

היא קורסת משום שהיא XP. אולי אפילו בלי SP. אני יכול לנחש למה. יש את הקטעים האלה שמתקינים עדכונים שדופקים תוכנות שהתבססו על התנהגות ישנה של המערכת. אני מכיר את הסיפורים האלה על האנשים הבודדים שמצליחים להריץ חלונות אפילו שנים ללא בעיות. חלקם אפילו אנשים שאמינים עלי. אבל ודאי שאינם מייצגים את רובם המוחלט של שאר האנשים שאני מכיר, שלא זוכים לחוויה שכזו... יש לציין שלתמוך באנשים עם תקלות בחלונות הוא בין תפקידי בחיים. וגם בחבר'ה שלא משתמשים בחלונות. משום מה אלה שלא, אף פעם לא צריכים עזרה עם תקלות... רק שואלים איך עושים משהו (ולמי שיגיד ש"בחלונות זה יותר קל" - בד"כ זה משהו מתקדם שבכלל לא ניתן לעשות בחלונות...)

ודאי שלא קפץ שום דבר... כנראה אלה שתחזקו את השרת המאוד קריטי הזה לא התקינו מערכות רלוונטיות לאיתור דברים כאלה - ויש כאלה - ובחינם. לא תמצא אותי מגן על אפאצ'י - למרות שאני מכיר אותו - ועבדתי איתו - אני באופן כללי לא סובל אותו. הצורה שבה הוא עובד דווקא מאוד דומה לנושא השיחה שלנו - חלונות. והיא צורה מיושנת ובעייתית (ובדיוק כמו חלונות - ממש לא מעניין אותי שרוב העולם משתמש בו - זה לא אומר שהוא טוב...). אני באופן אישי משתדל מאוד לא להשתמש בו ככל שרק ניתן, מהסיבות האלה. יש עוד הרבה סיבות אחרות מדוע לא להשתמש בו, אבל לא ניכנס לזה. האמת היא שאני לא כל כך מבין מה הקשר בין ידע ב C/C++ לניהול שרתים, ומי אמר שמי שיודע לתכנת יודע מה שצריך לדעת כשמריצים שרת, ועוד כל מיני דברים אחרים, שזה לא המקום לדון בהם.

אני מסכים איתך - שום דבר הוא לא 100% מאובטח. זה לא משנה את העובדה שמי שבוחר בחלונות - מתאבד מבחינה אבטחתית. פשוט, מלכתחילה, אין לו סיכוי. וזה ההבדל.

ושל תוכנות נוספות.

הדבר נחשף כשהאקרים השיגו את הקוד

בשעתו דובר על כך שההודים לא לבד בעניין

סימנטק היא לא מיקרוסופט.

בהמשך למה שכתב efekt- חומרה דיגיטאלית מתקדמת נבנית למעשה על ידי שפת תכנות לחומרה (ראה verilog או vhdl), כשאתה בונה מוצר אתה קונה לא פעם ספרייה של רכיבים (למשל ממשקי רשתות מסוגי שונים נבנים על ידי חברות שמתמחות בכך ונמכרים כ Intellectual Property IP)

כמה דוגמאות ל backdoor חומרתי בתחום ההצפנה שאני יכול לחשוב עליהן-
מחולל מספרים אקראיים חומרתי שאינו אקראי כפי שפורסם, או שלמישהו יש מידע שהופך את האקראיות לפחות אקראית.
אפשרות לגשת למידע שנמצא על מחשב/מוצר שמכיל מעבד בדרך לא מורשית, למשל תוכנת מחשב שתוכל לגשת לאזור זכרון מוגן על ידי רצף פעולות מסוים,
גישה למידע על טלפון באזורים המוצפנים שאחרת רק למי מחזיק מפתח הצפנה יש גישה אליהם, אפשרות לשלוח קוד דרך
הפעלה מרחוק של תכונות מסוימות, למשל על ידי חומרה שמאזינה לרשת ומגיבה לרצף כלשהו (הפל את מערכת המחשב אם עבר ברשת הצירוף 0XDEADDEAD)

אגב לפעמים מספיק לדעת את רשימת הבאגים בחומרה כדי לאפשר לפתח בקלות יחסית תוכנה שתדע לנצל אותם בחוכמה.

אם אתה משתמש ב"חומרה ניתנת לתכנות" (נקרא FPGA), תהליך ההצפנה של החומרה כולל קבלת מפתח מיצרן הFPGA.
מטרת ההצפנה היא למנוע מהאקרים אפשרות לשנות את החומרה (גם מרחוק, בגישה מהרשת).
אלא מה? יצרנית הFPGA מספקת עותק מאותן מפתחות גם לרשתות הריגול, שבהחלט יכולות לשנות כך את החומרה כרצונן.

בנוסף, הבנתי שיש שיתופי פעולה בין ממשלות לחברות רכיבי חומרה - כך שבקנפוג מסויים הרכיבים ממש מעבירים את המידע שעובר בהן.
העניין הוא - שזה ממש לא סוד. זה ידוע למי שעוסק בתחום התקשורת.

תחום התוכנה יותר קל: מכיוון שהרבה יצרניות משתמשות בלינוקס, והגרסאות של כל תוכנה בשימוש מתועדות - ארגוני ביון יכולים לנצל פרצות בגרסאות לינוקס ישנות - שהרי הן מתועדות היטב.