Postřehy z bezpečnosti: NTRU algoritmus odolný vůči NSA?

Martin Čmelík 13. 1. 2014

V dnešním díle Postřehů se podíváme na šifrovací algoritmus, který by mohl být odolný vůči NSA a útoku kvantovým počítačem, deface blogu a Twitter účtu Microsoftu a jaký HW používá NSA pro vzdálené monitorování sítí. Povíme si také o infikování statisíců počítačů pomocí služby Yahoo a spoustě dalšího.

Pokud jste to ještě nepostřehli, tak vězte, že komunita, bezpečnost i soukromí celkově dostalo ještě před Vánoci ten nejkrásnější dárek. Společnost Security Innovation uvolnila pod licencí GPL svůj šifrovací algoritmus NTRUEncrypt (NTRU), který je (oproti RSA, ECC,…) odolný vůči útoku kvantovým počítačem! NSA staví právě takový počítač v rámci projektu za 80 milionů dolarů. S takovým počítačem je možné dešifrovat data za zlomek času oproti konvenčním počítačům.

Pár údajů o NTRU:

  • mladý (1996) kryptosystém postavený na problému matematické „mřížky

  • šifrování i dešifrování je nenáročné na paměť

  • šifrování i dešifrování je 5× až 200× rychlejší než RSA, El Gamal, či ECC (eliptické křivky)

  • délka klíčů je mnohem menší než u RSA a ECC

  • díky tomu je vhodný i pro použití v čipech/kartách či embedded systémech s nízkým výpočetním výkonem

  • odolný vůči útoku kvantovým počítačem (Shorovým algoritmem – faktorizace velkých čísel) a útoku hrubou silou

  • algoritmus pro digitální podpis se jmenuje NTRUSign

Úryvek zprávy NIST: “Of the various lattice based cryptographic schemes that have been developed, the NTRU family of cryptographic algorithms appears to be the most practical… smallest key size… highest performance.”

Co víc si přát? Otázkou už jen je, jak rychle bude tento algoritmus podporován prohlížeči a aplikacemi. Díky implementaci v knihovně CyaSSL si ho můžete vyzkoušet bez větších problémů již teď.

Nenašel jsem nevýhody či slabiny NTRU. Pokud nějaké znáte, prosím o komentáře pod článkem.

Naše postřehy

Všem známá skupina Syrian Electronic Army si k mnoha defacům webů a účtů na Twitteru či Facebooku nyní připsala i kompromitování Twitter účtu Microsoft News (@MSFTNews) a oficiálního blogu Microsoft TechNet (blogs.technet.com). Na Twitter účtu zanechali vzkaz: “Don’t use Microsoft emails (Hotmail, Outlook), They are monitoring your accounts and selling the data to the governments.” Minulý týden SEA takto napadla i blog a Twitter Skypu. K tomu všemu skupina zveřejnila i screenshot z interní emailové komunikace zaměstnanců Microsoftu. Může to vypadat i tak, že mají přístup do mailového systému Microsoftu. A co vaše společnost? Také používá cloudovou službu Office365?

Pokud by vás zajímalo, jaký HW či techniky používá ANT team z NSA pro vzdálený odposlech sítí, firewallů, počítačů, monitorů, telefonů apod., jak exploitují embedded zařízení a firewally (Cisco, Juniper,…), tak si prohlédněte dokument přiložený ke článku. Pokud máte predispozici/sklon k záchvatům paranoie, tak článek raději nečtěte.

Google na konferenci CES v Las Vegas oznámil, že v rámci Open Automotive Alliance bude spolupracovat s několika společnostmi významných výrobců automobilů na Androidu do automobilů (Smart Car). Bezpečnostní odborníci se obávají dopadů. Nejen že je tu možnost hromadného šíření malwaru (a to i z automobilu na automobil?), možných zadních vrátek pro NSA, ale tak i možnost sledování pohybu, zvyklostí a chování řidiče.

Google (Mateusz Jurczyk a Gynvael Coldwind) oznámil tisíce chyb nalezených v celosvětově užívané knihovně pro přehrávání, či konverzi audio i video záznamů, FFmpeg. Tato, řekněme, knihovna, se používá pro přehrávání médií v Google Chrome, MPlayeru, VLC, Xine a ve spoustě dalších. Během dvou let bylo díky Googlu opraveno na 1120 nalezených chyb pomocí fuzz testování. Stejným způsobem tým Googlu opravil i stovky bezpečnostních chyb v Acrobat Readeru a dalších.

Společnost Sophos sestavila krátký test s cílem vyhodnotit bezpečnostní rizika ve vaší společnosti na síťové úrovni. Na konci testu vyhodnotí vaše skóre a doporučí postupy pro zvýšení zabezpečení vaší sítě.

Nástupcem známé bezpečnostní distribuce BackTrack je Kali Linux. Tato distribuce se primárně zaměřuje na penetrační testování, ale může být i dobrou volbou pro kohokoliv se zájmem o bezpečnost, protože obsahuje snad všechny aplikace, které může kdy bezpečnostní odborník potřebovat. V poslední aktualizaci této distribuce přibyla možnost zvolit si kromě fráze pro kompletní šifrování disku i heslo/frázi ke kompletnímu smazání disku (Emergency self-destruction of LUKS). Pokud používáte šifrování disku, tak musíte ještě před nabootováním operačního systému zadat frázi pro dešifrování disku. Pokud by se vám tedy stalo, že vás někdo na devět hodin zadrží na letišti a bude po vás vyžadovat heslo k dešifrování počítače, tak prostě zadáte to, které disk smaže. Nejde jen o ochranu citlivých dat, ale už se také nejednou stalo, že pak postižení našli v notebooku vládního trojského koně. Nutno podotknout, že pokud bude vyšetřovatel trochu chytrý, tak si udělá binární kopii disku a nesmaže tak originál.

Reklamní služba Yahoo zobrazuje svůj obsah 300 000 lidem během jedné hodiny, od konce prosince díky malwaru takto infikovala přibližně 27 000 počítačů každou hodinu. Jednalo se o Magnutude Exploit Kit. Protože jsou reklamní služby velkých společností téměř na každém webu, jedná se o účinný způsob šíření malwaru.

Máme tu pokračování Analýzy cíleného útoku. V minulém dílu Analýzy cíleného útoku jsme si podrobně rozebrali co podezřelého máme sledovat v logu webserveru, počáteční analýzu útoku, odhalení postupu útočníků za pomoci logů serveru, jak komunikovat s hostingovou společností a jaká data a informace po nich chtít. Nakonec jsme vystavili většinu útočných skriptů, jež útočníci zanechali na serveru. Vzhledem ke skutečnosti, že od prvního dílu článku už uplynul nejeden měsíc, doporučujeme článek před pokračováním znovu pročíst.

Konference Chaos Computer Club [30c3]

Kdo se nemohl zúčastnit této konference, pořádané vždy mezi svátky, tak může alespoň shlédnout 108 přednášek na YouTube.

widgety

Výběr těch nejzajímavějších je velmi subjektivní, ale doporučil bych alespoň tyto:

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI