|
||||
|
||||
המממ. אני מניח שהסיסמאות שלי ב lastpass חשופות לעיני ה NSA ומצפה בחרדה לנקישות על הדלת. לך תסביר להם שהעניין שלך ב"מדריך לבניית פצצת אטום בגרז' הביתי שלך" הוא תיאורטי בלבד, והקניה של קילו פלוטוניום באיביי היתה בטעות (פלוטוניום, פלטינה, קל להתבלבל). |
|
||||
|
||||
קילו? באיביי? בטח שחטו אותך במשלוח. מצד שני, קילו פלוטוניום זה בגודל קופסת גפרורים, לא? |
|
||||
|
||||
זו בדיוק הנקודה: למקרא הכותרות אפשר להבין שכן, וחשוב להבין שלא כצעקתה. אני לא מכיר בדיוק את lastpass, אז זו הזדמנות טובה ל"בדיקת איומים" על תוכנה לא מוכרת לפי החומר שזמין באינטרנט. לצורך הניתוח אנחנו פרנואידיים ורוצים להבין מהו המקרה הגרוע ביותר. חשוב מאוד להבין שצורת החשיבה הזו נועדה, בין השאר, גם כדי לבדוק את הגבולות הסבירים של האיומים ולאפשר לנו לישון בשקט בלילה. בתור קריאה בסיסית ר' לפחות לפי מה שכתוב שם, נראה שתוכנה עובדת בצורה הגיונית: מצפינה את המידע אצלך על המחשב. מה שמגיע לשרת כבר מוצפן עם הסיסמה הראשית שלך ולכן לא ניתן לפענוח ללא הסיסמה. בהנחה שהסיסמה שלך חזקה, גם מי שיש לו גישה למידע שבשרת, לא יכול להשתמש בו. איפה יכולה להיות בעיה? התוכנה היא תוכנה קניינית. אם אנחנו פרנואידים ומנסים לחשוב איפה ה־NSA היו יכולים להשתיל דלתות אחוריות בקלות יחסית: כנראה שבצד הלקוח, לפני ההצפנה (שמירת העותק הלא מוצפן בצד? דלת אחורית לכל הסיסמאות? דלת אחורית לחלק מהסיסמאות?). כל המימוש של ההצפנה והפענוח הוא על ידי התוכנה. אין לי מושג אם מישהו ניסה לפענח בעצמו את הסיסמאות המוצפנות ולוודא שהם באמת משתמשים בהצפנה עם AES256. אבל דלת אחורית כזו היא סוד שיש לו לא מעט שותפים. יש סיכוי לא רע שהוא ידלוף. אפשרות אחרת היא להשתלט ישירות על המחשב שלך. זה מצריך השקעה גדולה הרבה יותר (התמקדות במחשב בודד במקום התקפה על מחשבים רבים ביחד) ולכן מעלה את הרף הנדרש. שוב, זכור את מפתח הצינורות. אם יש לך דרך לבנות פצצת אטום מקילו פלטינה וכמה פלאגים, כדאי שתגן על המערכת שלך בצורה קצת יותר טובה (כולל גם אבטחה פיזית). בוויקיפדיה יש קטגוריה שלמה (wikipedia Category:Password managers>) של מנהלי סיסמאות. אחד מהם (Password safe) נכתב במקור על ידי ברוס שנייר. אני אישית משתמש במנהל הסיסמאות של פיירפוקס לססמאות החשובות פחות ובקובץ טקסט מוצפן לססמאות החשובות יותר. |
|
||||
|
||||
השאלה המעניינת באמת היא אם כתוצאה מההתחכמויות המטופשות (הה) שלי אני מופיע בכל מיני רשימות מעקב, כך שכל מכתב שאני שולח זוכה בתשומת לב של איזו תוכנה משועממת. |
|
||||
|
||||
ראשית כל, כל מיני דיונים תמימים שבמקרה מזכירים אל קעידה ומטעני צינור הם בדיוק האתגרים שאתם אמורות להתמודד אותן תוכנות. נסה לחשוב כמה אנשים מזכירים במקרה את אל קעידה כאיום וכמה אנשים במקרה צריכים להטעין צינורות על משאיות. יהיה מעניין ליצור סוללה בצורת צינור ולהשתמש בה כדי ליצור מטען (לקראת הנסיעה האחרונה לחו"ל קניתי מטען לטלפון הסלולרי, וזה בהחלט עזר לי להסתובב זמן רב יותר ללא צורך בשקע. מצד שני, דווקא סוללה עלולה להתפוצץ בתנאים המתאימים). אז על מה דיברנו? יש לי הרגשה שמי שבאמת מתעסק עם מטעני חבלה כבר טורח לדבר במילות קוד ושלאנשי ה־NSA זה כבר ידוע. לכן עצם החיפוש של מילים חשודות היא שיטה שתיצור הרבה רעש ועבודה מיותרת ולא מספיק תוצאות. |
|
||||
|
||||
מפתיע אותי שעוד לא קראתי על אף נסיון עיתונאי לבדוק את זה1. 1 למשל למצוא צעיר ממדינה ערבית עם ויזה תקפה לארה"ב, שישלח כמה מיילים עם כוונות ברורות, ולראות איך יתייחסו אליו ולמזוודות שלו בשדה התעופה. כמובן עם עיתון מכובד שמוכן להופיע בכל רגע ולהצהיר שזה תרגיל עיתונאי, ואין סיבה לכלוא אותו לנצח על סמך אותו המייל. זה גם יכול להיות ניסוי מעניין לבדוק עד כמה ארה"ב מרגלת אחרי אזרחיה שלה (שוב, צעיר ערבי, אזרחות אמריקאית, מיילים בתוך ארה"ב). |
|
||||
|
||||
להיפך, היה מפתיע אם היית קורא על זה. (עשו תחקיר, אבל העורך קיבל טלפון) |
|
||||
|
||||
אני לא חושב שהוושינגטון פוסט או הNYT היו מטייחים ריגול של ממשלת ארה"ב כנגד אזרחיה על סמך טלפון לעורך. הם היו הולכים עם זה עד העליון (וזה לא שאני מעריך אותם יתר על המידה, אבל דמוי עמוד שידרה עדיין יש להם). חוץ מזה יש עוד כלי תקשורת אחד או שניים בארה"ב ומחוצה לה שלא נבהלים מטלפון או אפילו מצו סודי (אפשר גם למשל לשלוח את כל ההכנות לפירסום מושהה, שאי אפשר לעצור). |
|
||||
|
||||
אכן, התחקיר בוצע ופורסם. גם לי לא ברור איך לא שמעתם על הסיפור הזה: (תקציר: משפחה אמריקאית זכתה לביקור משטרתי בעקבות חיפושים מחשידים בגוגל) |
|
||||
|
||||
לטובת מי שאין לו כוח לקרוא הכל: על פי תגובת המשטרה, המידע על החיפושים נמסר לה בידי המעסיק של אבי המשפחה. האלמוני המזוהה לא היה עולה ברשת. |
|
||||
|
||||
האם הפיצוח של אותן הצפנות יכול לאפשר לnsa למשל גישה לסודות או למערכות ההייטק של חברות ההייטק הישראליות? הצה"ליות? |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |