Internet Security |
|
Sigurnost na internetu |
SSL and Big Government
|
|
SSL i vladin nadzor
|
Why I wrote PGP?
|
|
Zašto sam napisao PGP?
|
Defeating wiretaps
|
|
Sprečavanje prisluškivanja
|
The day the wiretaps go dead
|
|
Dan kada prestane prisluškivanje
|
Court rules against NSA's illegal spying
|
|
Sud presudio protiv nezakonitog špijuniranja američke Agencije za nacionalnu sigurnost (NSA)
|
Eavesdropping on SSL communications
|
|
Prisluškivanje SSL komunikacija
|
Law enforcement appliance subverts SSL
|
|
Uređaj za provedbu zakona ruši SSL
|
Zfone by the inventor of PGP
|
|
Zfone od izumitelja PGP-a
|
|
|
|
Sigurnost na internetu |
vrh |
|
SSL and Big Government
What an interesting year 2010 is already turning out to be in technology, politics, and life as we know it.
More censorship battles are going on than ever before (e.g. Google vs. China) and the possibility of more ramp up of governments' control over Internet traffic in their respective companies.
Australia has content filters on all ISPs in the name of decency, but political dissident websites have slipped into the "indecent" categories.
The UK and US are pushing harder to take control of private access to the Internet.
Iran shuts down all Internet access within the country during elections.
But now there are also reports that governments are manipulating the hierarchical Certificate Authority model to eavesdrop on "secure" encrypted connections over the Internet - and vendors are creating turn-key appliances to make it easy.
The researchers have developed a threat model based on their discoveries...
|
|
SSL i vladin nadzor
Kako samo postaje zanimljiva 2010. godina već sada u tehnologiji, politici i životu kakvog poznajemo.
Vodi se više borbi oko cenzure nego ikada prije (npr. Google protiv Kine), a rastu i mogućnosti povećanja vladinih kontrola nad internetskim prometom u svojim tvrtkama.
Australija filtrira sadržaj svih svojih pružatelja internetskih usluga u ime pristojnosti, no internetske stranice političkih disidenata prešle su u kategoriju "nepristojnih".
Velika Britanija i SAD sve se više trude preuzeti kontrolu nad privatnim pristupom internetu.
Iran onemogućuje sav pristup internetu unutar zemlje tijekom izbora.
Ali sada postoje i izvješća da vlade manipuliraju hijerarhijskim modelom tijela za izdavanje digitalnih certifikata (Certificate Authority - CA) kako bi prisluškivali "sigurne" šifrirane veze preko interneta - a proizvođači stvaraju uređaje po principu "ključ u ruke" kako bi to olakšali.
Istraživači su razvili model prijetnje koji se temelji na njihovim otkrićima...
|
Why I wrote PGP?
By Phil Zimmermann
It's personal.
It's private.
And it's no one's business but yours.
You may be planning a political campaign, discussing your taxes, or having a secret romance.
Whatever it is, you don't want your private electronic mail (email) or confidential documents read by anyone else.
There's nothing wrong with asserting your privacy.
The right to privacy is spread implicitly throughout the Bill of Rights.
But when the United States Constitution was framed, the Founding Fathers saw no need to explicitly spell out the right to a private conversation.
That would have been silly.
Two hundred years ago, all conversations were private.
If someone else was within earshot, you could just go out behind the barn and have your conversation there.
No one could listen in without your knowledge.
The right to a private conversation was a natural right, not just in a philosophical sense, but in a law-of-physics sense, given the technology of the time.
But with the coming of the information age, starting with the invention of the telephone, all that has changed.
Now most of our conversations are conducted electronically.
This allows our most intimate conversations to be exposed without our knowledge.
Cellular phone calls may be monitored by anyone with...
|
|
Zašto sam napisao PGP?
Phil Zimmermann
To je osobno.
To je privatno.
I ne tiče se nikoga osim vas.
Možda planirate političku kampanju, raspravljate o svojim porezima, ili imate tajnu ljubavnu vezu.
Što god bilo, ne želite da itko drugi čita vašu privatnu elektroničku poštu ili povjerljive dokumente.
Nema ničeg lošeg u zagovaranju svoje privatnosti.
Pravo na privatnost širi se implicitno kroz cijelu Povelju o pravima.
No, kada je sastavljen Ustav SAD-a, utemeljitelji nisu uvidjeli potrebu izričito istaknuti pravo na privatni razgovor.
To bi bio glupo.
Prije dvjesto godina, svi su razgovori bili privatni.
Ako je netko drugi bio u mogućnosti čuti vas, mogli ste jednostavno otići iza štaglja i pričati tamo.
Nitko nije mogao slušati razgovor bez vašeg znanja.
Pravo na privatni razgovor bilo je prirodno pravo, ne samo u filozofskom smislu, već i u smislu zakona fizike, s obzirom na tehnologiju tog vremena.
Ali s dolaskom informacijskog doba, koje je počelo izumom telefona, sve se to promijenilo.
Sada se većina naših razgovora vodi elektroničkim putem.
To omogućava da naši najintimniji razgovori budu razotkriveni bez našeg znanja.
Razgovore mobitelom može prisluškivati svatko s...
|
Defeating wiretaps
With all the attention on AT&T, Verizon, NSA, warrantless wiretaps, and the whole host of other institutions involved monitoring the communications that we use everyday, the question arises exactly how can a wiretap be worked around.
What is interesting is the sudden attention on the use of encryption in programs from free Torrent to Skype.
Encryption is not just for shopping anymore.
More and more people become aware of the level of spying that has happened, and the danger that this presents to corporate data, personal data, embarrassing data, medical, dental, and other forms of data from where you go, what you do, to the diseases you talk about with your family.
Most people do not use encryption, but if we begin to treat our cell phone, phone, and internet communications as discussions that we will have in a crowd, there will be a fundamental shift away from those technologies, and a fundamental shift in technologies that offer a bit more privacy.
They will be used because vendors are going to make them easier to use, easier to make function, or even part of the default configuration.
This will annoy many people on the internet who are interested in what you are doing, and there are steps you can take today...
|
|
Sprečavanje prisluškivanja
Uz sav oprez oko AT&T-a, Verizona, NSA, prisluškivanja bez naloga te cijelog niza drugih institucija koje se bave nadzorom komunikacija koje svakodnevno koristimo, pojavljuje se pitanje kako točno možemo izbjeći prisluškivanje.
Ono što je interesantno je nagla pozornost koju je dobila uporaba enkripcije u programima od besplatnog Torrenta do Skypea.
Enkripcija se više ne koristi samo kod kupovine.
Sve više i više ljudi postaje svjesno razine špijuniranja koja se događa te opasnosti koje ono predstavlja za podatke u poduzećima, osobne podatke, nezgodne podatke, medicinske, stomatološke i druge oblike podataka, od toga kamo idete i što radite do bolesti o kojima pričate sa svojom obitelji.
Većina ljudi ne koristi enkripciju, ali ako se počnemo odnositi prema svojim komunikacijama putem mobitela, telefona i interneta kao prema razgovorima koje obavljamo u gomili, dogodit će se temeljni odmak od tih tehnologija te temeljni pomak prema tehnologijama koje nude nešto više privatnosti.
One će se koristiti jer će ih proizvođači učiniti lakšima za uporabu, lakšima za funkcioniranje ili čak dijelom osnovne konfiguracije.
To će smetati mnogim ljudima na internetu koje zanima što radite, a ovdje su koraci koje možete poduzeti već danas...
|
The day the wiretaps go dead
The telecom companies are willing to completely ignore consumer privacy in order to help law enforcement and the intelligence community.
With the telecom companies getting handsomely paid for their participation in illegal surveillance programs, it is clear that consumers cannot rely upon AT&T and Verizon to protect their privacy.
Consumers will need to take matters into their own hands - and luckily, secure communication technology is finally user-friendly enough to be usable by non-geeks.
In addition to enabling the average citizen to regain a bit of his privacy, the spread of easy to use cryptography will have a major impact on our society: The end of large scale surveillance.
The big problem with the surveillance techniques currently used by the NSA, aside from the fact that they are creepy and illegal, is that they scale so well.
Just like Google, if the NSA wants to expand its surveillance abilities, it simply has to build another data centre.
Want real-time spying on the phone calls of 10 million more people?
No problem - just buy another 10,000 computers...
|
|
Dan kada prestane prisluškivanje
Telekomunikacijske tvrtke su spremne u potpunosti zanemariti privatnost potrošača kako bi pomogle provođenju zakona i obavještajnoj zajednici.
Uz telekomunikacijske tvrtke koje su izdašno plaćene za svoje sudjelovanje u nezakonitim programima nadzora, jasno je da se potrošači ne mogu oslanjati na AT&T i Verizon za zaštitu svoje privatnosti.
Potrošači će morati uzeti stvari u svoje ruke - a na sreću, tehnologija sigurne komunikacije napokon je dovoljno jednostavna za korištenje kako bi je mogle koristiti i osobe koje nisu stručnjaci.
Osim što prosječnom građaninu omogućavaju da vrati dio svoje privatnosti, širenje kriptografije jednostavne za korištenje imat će velik utjecaj na naše društvo: kraj nadzora velikih razmjera.
Veliki problem s tehnikama nadzora koje trenutno koristi NSA, osim činjenice da su jezive i protuzakonite, je taj što tako dobro skaliraju.
Baš poput Googlea, ako NSA želi proširiti svoje mogućnosti nadzora, jednostavno treba napraviti još jedan podatkovni centar.
Želite špijuniranje telefonskih poziva 10 milijuna ljudi u realnom vremenu?
Nema problema - samo kupite još 10.000 računala...
|
Court rules against NSA's illegal spying
What could be a significant legal victory in the on-going battle against blanket surveillance transpired March 31 in district court in San Francisco, along with a stinging rebuke of the Obama administration?
Chief Judge of the US District Court, Vaughn R. Walker, ruled that the government had violated the Foreign Intelligence Surveillance Act (FISA) and that the National Security Agency's warrantless spying program was illegal.
In "Al-Haramain Islamic Foundation versus Obama" case, Walker found that the government employed illegal means in 2004 to wiretap the now-defunct Islamic charity's phone calls, as well as those of their attorneys.
Ruling that the plaintiffs had been "subjected to unlawful surveillance", Walker declared that the government was liable to pay them damages.
The court's decision is a strong rejection of administration assertions that an imperious Executive Branch, and it alone, may determine whether or not a case against the government can be examined by a lawful court, merely by invoking the so-called "state secrets privilege".
The Justice Department has not decided whether it will appeal the decision; it appears likely however given the stakes involved, that the case will be remanded back to the...
|
|
Sud presudio protiv nezakonitog špijuniranja američke Agencije za nacionalnu sigurnost (NSA)
Ono što bi moglo predstavljati značajnu zakonitu pobjedu u borbi protiv masovnog nadzora dogodilo se 31. ožujka na okružnom sudu u San Franciscu, uz bolan ukor Obaminoj administraciji.
Glavni sudac američkog Okružnog suda, Vaughn R. Walker, presudio je da je Vlada prekršila Zakon o nadzoru stranih obavještajnih službi (FISA) i da je špijuniranje Agencije za nacionalnu sigurnost bez naloga bilo nezakonito.
U slučaju "Islamska zaklada Al-Haramain protiv Obame", Walker je utvrdio kako je Vlada 2004. godine koristila nezakonita sredstva da bi prisluškivala telefonske pozive sada već ugašene islamske dobrotvorne organizacije, kao i njihovih odvjetnika.
Presuđujući da su tužitelji bili "podvrgnuti nezakonitom nadzoru," Walker je izjavio kako je Vlada dužna isplatiti im odštetu.
Odluka suda predstavlja snažno odbacivanje tvrdnji administracije kako izvršna vlast, sama po sebi, može odrediti može li ili ne može zakonitost predmeta protiv vlade biti ispitana na sudu, jednostavnim pozivanjem na takozvani "privilegij državne tajne".
Ministarstvo pravosuđa nije odlučilo hoće li se žaliti na odluku; no ipak se čini vjerojatnim, s obzirom na uloge koji su u igri, da će predmet biti vraćen na...
|
Eavesdropping on SSL communications
State agencies are probably able to routinely eavesdrop on SSL-encrypted internet connections.
Many governments routinely compel companies to cooperate with surveillance measures.
In the USA, the statute which allows companies to be compelled to assist with such measures is "remarkably broad".
According to the researchers, these statutes have been used to, for example, compel a SatNav manufacturer to activate the built-in microphone in one of its devices in order to record conversations in a vehicle.
VeriSign, the largest provider of SSL certificates, is, according to the paper, also involved in outsourcing telecommunications surveillance.
The government agencies must therefore also be able to compel certification service providers such as VeriSign to issue arbitrary SSL certificates.
In many countries, there are government certification authorities (CA) which are stored as trusted root instances in all of the common browsers.
Internet Explorer, Firefox, Safari and Chrome blindly trust more than 100 root certificates...
|
|
Prisluškivanje SSL komunikacija
Državne agencije su vjerojatno sposobne rutinski prisluškivati internetske veze enkriptirane SSL tehnologijom.
Mnoge vlade rutinski prisiljavaju tvrtke na suradnju s mjerama nadzora.
U SAD-u, zakon koji dopušta da tvrtke budu prisiljene na pomaganje takvih mjera "izuzetno je opširan".
Prema istraživačima, ovi su se zakoni koristili, na primjer, da bi prisilili proizvođača SatNav da aktivira mikrofon ugrađen u jedan od svojih uređaja u cilju snimanja razgovora u vozilu.
VeriSign, najveći dobavljač SSL certifikata, prema ovom istraživanju također je uključen u izdvajanje djelatnosti nadzora telekomunikacija.
Vladine agencije stoga također moraju biti u stanju prisiliti davatelje usluga certificiranja kao što je VeriSign za izdavanje proizvoljnih SSL certifikata.
U mnogim zemljama postoje državni davatelji usluga certificiranja (CA) koji su pohranjeni kao pouzdane osnovne smjernice u svim uobičajenim internetskim preglednicima.
Internet Explorer, Firefox, Safari i Chrome slijepo vjeruju više od 100 osnovnih certifikata...
|
Law enforcement appliance subverts SSL
That little lock on your browser window indicating you are communicating securely with your bank or e-mail account may not always mean what you think its means.
Normally when a user visits a secure website, such as Bank of America, Gmail, PayPal or eBay, the browser examines the website's SSL certificate to verify its authenticity.
At a recent wiretapping convention, however, security researcher Chris Soghoian discovered that a small company was marketing internet spying boxes to the federal authorities.
The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections.
To use the appliance, the government would need to acquire a forged certificate from any one of more than 100 trusted Certificate Authorities.
The attack is a classic man-in-the-middle attack, where Alice thinks she is talking directly to Bob, but instead Mallory found a way to get in the middle and pass the messages back and forth without Alice or Bob knowing...
|
|
Uređaj za provedbu zakona ruši SSL
Onaj maleni lokot na prozoru vašeg internetskog preglednika (browsera) koji pokazuje da sigurno komunicirate sa svojom bankom ili elektroničkom poštom ne mora uvijek značiti ono što mislite da znači.
Normalno, kada korisnik posjeti sigurnu internetsku stranicu, kao što su Bank of America, Gmail, PayPal ili eBay, internetski preglednik provjerava SSL certifikat internetske stranice kako bi ustanovio njezinu autentičnost.
Na nedavnoj konvenciji o prisluškivanju, međutim, istraživač sigurnosti Chris Soghoian otkrio je kako je mala tvrtka oglašavala internetske uređaje za špijuniranje saveznim vlastima.
Uređaji su projektirani da presretnu takve komunikacije - bez zadiranja u enkripciju - koristeći krivotvorene sigurnosne certifikate, umjesto onih pravih koje internetske stranice koriste za provjeru sigurnih veza.
Za korištenje uređaja, vlada bi trebala pribaviti krivotvorene certifikate od bilo kojeg od više od 100 pouzdanih davatelja usluga certificiranja (Certificate Authority - CA).
Napad je klasični napad "osobe u sredini", gdje Alice misli kako priča izravno s Bobom, ali umjesto toga je Mallory pronašla način da se ubaci u sredinu i prosljeđuje poruke među njima bez da Alice i Bob znaju...
|
Zfone by the inventor of PGP
Zfone is a new secure VoIP phone software product (www.zfoneproject.com) which lets you make encrypted phone calls over the Internet.
Its principal designer is Phil Zimmermann, the creator of PGP, the most widely used email encryption software in the world.
Zfone uses a new protocol called ZRTP, which has a better architecture than the other approaches to secure VoIP.
Features:
- Doesn't depend on signalling protocols, PKI, or any servers at all.
Key negotiations are purely peer-to-peer through the media stream
- Interoperates with any SIP/RTP phone, auto-detects if encryption is supported by other endpoint
- Available as a "plugin" for existing soft VoIP clients, effectively converting them into secure phones
- Available as an SDK for developers to integrate into their VoIP applications
- Submitted to IETF as a proposal for a public standard, and source code is published
Zfone is not itself a VoIP client, but lets you make secure calls with your existing VoIP client, by filtering, encrypting and decrypting all your VoIP media packets as they pass in and out of your computer.
You can use a variety of different software VoIP clients...
|
|
Zfone od izumitelja PGP-a
Zfone je novi softverski proizvod za sigurno VoIP telefoniranje putem interneta (www.zfoneproject.com) koji vam omogućuje da ostvarite enkriptirane telefonske pozive putem interneta.
Njegov glavni projektant je Phil Zimmermann, tvorac PGP-a, najkorištenijeg softvera za enkripciju na svijetu.
Zfone koristi novi protokol po imenu ZRTP, koji ima bolju arhitekturu od drugih pristupa sigurnom VoIP telefoniranju.
Karakteristike:
- Ne ovisi o protokolima za signalizaciju, PKI, ili bilo kakvim poslužiteljima.
Ključne komunikacije odvijaju se izravno (peer-to-peer) kroz protok podataka
- Međuoperabilan je s bilo kojim SIP/RTP telefonom, automatski otkriva je li na drugom kraju podržana enkripcija
- Dostupan je kao "dodatak" (plugin) postojećim softverskim VoIP klijentima te ih u praksi pretvara u sigurne telefone
- Dostupan je kao SDK (set alata za razvoj softvera) za programere kako bi ga mogli integrirati u svoje VoIP aplikacije
- Poslan je IETF-u kao prijedlog za javni standard, a izvorni kod je objavljen
Zfone sam po sebi nije VoIP klijent, ali vam omogućuje da ostvarite sigurne pozive koristeći svoj postojeći VoIP klijent, filtriranjem, enkripcijom i dekripcijom svih svojih VOIP paketa podataka dok ulaze i izlaze iz vašeg računala.
Možete koristiti različite VoIP softverske klijente...
|
|
|
