Autoritatile SUA ar fi cerut companiilor de internet sa divulge parole ale utilizatorilor - surse

de Vlad Barza     HotNews.ro
Vineri, 26 iulie 2013, 12:34 Economie | IT

Scandalul supravegherii comunicatiilor ia amploare dupa ce surse de la companii de intermet spun ca FBI si alte agentii guvernamentale din SUA ar fi cerut parole ale userilor si formulele de criptare ale acestora, scrie CNET. Marile companii nu au confirmat ca ar fi dat autoritatilor parolele, insa informatia este ingrijoratoare fiindca arata cat de extinsa este supravegherea in cadrul criticatului program Prism.

Agentiile guvernamentale ar fi cerut companiilor de internet sa divulge parolele userilor, spun doua surse din industrie. Daca obtin aceste parole, oficialii pot vedea exact ce contin comunicarile dintre utilizatori si pot chiar sa se dea drept acei useri in conversatii din care sa obtina informatii.

Una dintre surse spune ca a vazut clar cereri pentru astfel de informatii, insa compania la care omu lucra ar fi refuzat sa le dea. O a doua sursa care a lucrat la o companie din Silicon Valley spune ca a primit cereri pentru astfel de informatii, insa adauga ca firma privieste cu un ochi critic aceste cereri si ca in foarte multe cazuri le refuza categoric.

Sursele mai spun ca unele cereri se refera si la algoritmii de criptare ce fac parola mai greu de "spart", iar in unele cazuri sunt solicitate si intrebarile care te ajuta sa recuperezi parola daca o uiti.

Jurnalistii au trimis intrebari catre toate cele zece mari companii de internet care ar fi colaborat cu autoritatile, dorind sa stie daca acestea au primit cereri legate de parole si coduri de criptare. Doar Microsoft, Yahoo! si Google au raspuns, insa nu au dorit sa spuna daca au primit de la autoritati astfel de cereri. Apple, Facebook, AOL, Verizon, AT&T, Time Warner Cable si Comcast nu au raspuns la intrebari.

Insa, cei care au raspuns - Microsoft, Yahoo! si Google - au spus ca daca ar veni astfel de cereri, nu ar da autoritatilor informatii legate de parole si coduri de criptare, fiindca e vorba de informatii personale ale utilizatorilor.


Citeste mai multe despre   











Material sustinut de Superbrands

Recomandari de vara de la librarii Humanitas

Librariile Humanitas au aparut ca entitate juridica in anul 1993, insa primele doua librarii au fost deschise sub egida Editurii Humanitas inca din 1991. Cu peste 25 de ani in piata de distributie si vanzare de carte din Romania, compania isi propune sa ramana in continuare lantul de librarii cu cea mai mare pondere de carte din Romania, acordand editurilor nationale si locale, dar si autorilor romani, sansa de a ajunge la public.

2669 vizualizari

  • +2 (10 voturi)    
    right (Vineri, 26 iulie 2013, 12:58)

    V44 [utilizator]

    Orice firma de soft care se respecta (mai putin yahoo), tine parolele encriptate unidirectional.
    Din parola ta reala se obtine un "cuvant" pe care il tin ei pe server ei, dar treaba merge intr-o singura directie.
    Adica poti sa schimbi parola, dar nu poti sa o afli, ca de fapt nimeni nu ti-o stie.
    Asa ca idee....
    • 0 (4 voturi)    
      Fals (Vineri, 26 iulie 2013, 14:12)

      bogdan192 [utilizator] i-a raspuns lui V44

      In momentul in care te loghezi pe un site, parola pe care o bagi tu in plain text e criptata cu un algoritm de criptare (MD5. SHA1) si comparata cu un hash salvat local intr-o baza de date a website-ului. Aproape nimeni nu mai tine parole in plain text. Procesul este foarte rapid, raspunsul vine imediat (OK, iti poti vedea continutul asociat contului, sau not OK, parola nu se potriveste).

      "Treaba" nu merge intr-o singura directie. Desi hash-urile salvate in baza de date sunt criptate, ele pot fi usor decriptate. Mai ales pentru parole "obisnuite", formate din 8-16 caractere. Exista deja tabele care fac match direct, fara sa fie nevoie sa faci bruteforce pe hash intre hasul tau si un hash salvat intr-o baza de date aflata la dispozitia hackerului. Practic daca tu ai o parola comuna intr-o baza de date criptata cu MD5, iar eu facand rost de hash-ul din baza aia de date si folosind un soft ca HashCat, un laptop, un set de hashuri comune deja sparte si cunoscand ce algoritm de criptare foloseste baza aia de date, iti pot afla parola ta comuna in mai putin de 3 secunde.

      Ce e infiorator, e ca intre 10 si 20% din continutul unei baze de date cu hashuri pot fi sparte prin metoda explicata mai sus in mai putin de 3 minute cu un laptop amarat. Vezi articolul asta http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

      Pentru restul se pot folosi masini dedicate, formate din 3-4 GPU-uri puternice (genereaza milioane de hashuri pe secunda si le compara cu dictionarul), iar munca poate fi distribuita usor intre masini cu algoritmi paraleli.

      Daca un novice cu un laptop vechi, niste softuri arhicunoscute si un pic de timp liber poate recupera 20j de mii de parole in plain text dintr-o baza de hashuri de 30j de mii in cateva zile, imagineaza-ti ce poate face o echipa de experti in securitate cu algorimi facuti loco si resurse hardware nelimitate.
      • +1 (1 vot)    
        partial corect (Vineri, 26 iulie 2013, 14:45)

        V44 [utilizator] i-a raspuns lui bogdan192

        Felicitari, am uitat ca intr-adevar majoritatea lumii foloseste parole puerile.
    • +1 (3 voturi)    
      tot ca idee (Vineri, 26 iulie 2013, 14:23)

      Reshape [utilizator] i-a raspuns lui V44

      Chiar daca ei tin in baza parola criptata unidirectional, la un moment dat server-ul stie parola in clar, cea batuta de user pe tastatura. O stie in clar, o incripteaza, o verifica cu cea pe care o are in baza si, daca se potrivesc, user-ul e autentificat si poate intra in cont. Si, eventual, se trimite un mail la FBI, cu parola in clar.
      Merge si cu algoritmul, dar mai greu, ca sint unii care-si pun parole o fraza intreaga. Dar, daca stii algoritmul de incriptare si parola incriptata poti sa incerci un dictionary attack; daca omul si-a pus parola admin123, nu cred ca-ti ia mai mult de 3-4 ore sa o gasesti.
    • +1 (3 voturi)    
      Cateva observatii (Vineri, 26 iulie 2013, 14:33)

      urfe [utilizator] i-a raspuns lui V44

      Hashing-ul este o function criptografica, dar nu totuna cu encriptarea. Reprezinta un alt capitol din securitate.

      Encriptarea unidirectionala este un oximoron.

      Tinand cont de dimensiunea si componenta media a unei parola (in jur de 7 caractere), avand salt-ul si hash-ul, poti pur si simplu testa in cateva zile majoritatea combinatiilor posibile.

      Iar un serviciu secret are oricum access direct la mesaje, asa ca nu vad unde-ar fi adevartul avantaj al unei parole cu adevarat singure pentru cei urmariti de NSA sau prieteni de-ai lor, atat timp cat folosesc servicii publice. I-ar scapa numai PGP.

      PS: Yahoo cu ce-a gresit? Nu salveaza parole in plaintext. Daca te referi la leak-ul de acum ceva timp, board-ul nu tinea direct de yahoo (mail), ci era o platforma afiliata.
      • 0 (2 voturi)    
        @urfe (Vineri, 26 iulie 2013, 15:00)

        bogdan192 [utilizator] i-a raspuns lui urfe

        Tor, darknets, steganografie si alte metode de obscurare a comunicatiilor. Ma indoiesc ca Rashid si Abdullah le folosesc in comunicatiile lor, rahat, distrusul ala care a bubuit oalele in Boston, a dat pe FB ca avea de gand sa devina martir.

        Pana la urma e irelevant daca au sau nu acces la comunicatiile tale in plain text, daca reusesc sa le descifreze, daca-ti asculta telefoanele si iti citesc mailurile, atata timp cat Ahmed si alAllah se arunca in aer cu oameni nevinovati. Degeaba te cauta si-n tur la aeroport, daca baietii fac poc in trenuri si la olimpiade. Tot sistemul lor de supraveghere si control e vax atata timp cat nebunii inca omoara oameni nevinovati la ei in tara. Pentru mine ar fi fost un rau acceptabil sa stiu ca-s urmarit, ca comentariul asta m-ar fi facut suspect, atata timp cat Abdul si Hafiz ar fi la racoare sau 2 metri sub pamant INAINTE sa apuce sa bubuie. Faptul ca au suspecti, au informari de la servicii (nu doar alea loco, ci si de la cele prietene) si nu fac nimic ca sa nu-i incalce drepturile omului ma ingrijoreaza mai mult decat ca asculta telefoane si fac strongarm la companii de soft sa le dea date personale.
        • +2 (2 voturi)    
          Pentru mine conteaza (Vineri, 26 iulie 2013, 15:45)

          urfe [utilizator] i-a raspuns lui bogdan192

          Mai ales cand lupta anti-terorista nu este decat o scuza, si nu scopul final.

          Si mi se pare absurd sa crezi ca ai certitudinea unei sigurante sporite, cand noi (99.99% din lume) suntem oricum considerati carne de tun pentru orice manevra politica importanta.

          Intre a folosi informatia in scopuri politice si economice (vezi recenta poveste cu santajarea Ecuadorul sau summit-ul G8 din Anglia in care s-au monitorizat telefoane si discutii etc) si siguranta unui oarecare urfe sau bogdan192, care crezi ca e mai relevanta pentru guvernul unei tari straine cu access la schimburi private de informatii?
  • +5 (5 voturi)    
    :) (Vineri, 26 iulie 2013, 13:08)

    Analfabet [utilizator]

    Daca e adevarat inseamna ca "agentiile guvernamentale" sunt conduse de prosti si ca, probabil, "companiile de internet" au ras de ei si, si mai probabil, inca mai rad. La ce le trebuie o parola cand pot trece peste sau pe langa ea? Sa-mi testeze creativitatea?
  • +1 (5 voturi)    
    democratie, nu gluma (Vineri, 26 iulie 2013, 13:26)

    jackalphonse [utilizator]

    baietii astia chiar se cred dumnezei
  • +3 (3 voturi)    
    1984... (Vineri, 26 iulie 2013, 14:02)

    liviu_ [utilizator]

    incepe sa devina o utopie...
    macar acolo te puteai duce in padure sa faci ce vrei....
    • 0 (4 voturi)    
      Trecatori (Vineri, 26 iulie 2013, 15:04)

      Daniels22026 [utilizator] i-a raspuns lui liviu_

      1984 descrie un sistem idiot, sustinut involuntar de oameni idioti. Este posibil si in realitate, dar asemenea sisteme nu se pot auto-mentine la infinit. Sistemele, ca si istoria, evolueaza. Nimic nu poate opri un sistem viu din evolutie. Prostia e puternica, dar e trecatoare.
      • +2 (2 voturi)    
        E adevarat (Vineri, 26 iulie 2013, 15:47)

        urfe [utilizator] i-a raspuns lui Daniels22026

        Dar exista intotdeauna generatii care platesc costul abuzurilor, si sunt, ca intotdeauna, marii nevinovati uitati.
  • +1 (1 vot)    
    Asa se intampla (Vineri, 26 iulie 2013, 15:54)

    zugurudumba [utilizator]

    Asa se intampla cand oameni care habar nu au de tehnologie traduc articole din engleza.

    NSA nu a cerut parole, ci cheile cu care puteau sa decodeze sesiunile HTTPS ale utilizatorilor. Cu aceste chei la dispozitie, utilizatorul poate sa-si schimbe de o mie de ori parola si tot n-are importanta, fiindca urechea si timpanul stau bine-mersi pe fir.

    La ora asta eu sunt complet convins ca nu mai exista confidentialitate pe internet. Tehnologia nu te poate proteja cand entitati de genul statului american, cu resurse nelimitate de bani si timp, au ca singur scop interceptarea tuturor celor care fac trafic pe internet, fara discriminare, fara discernamant, fara mandate si legi care sa le ingradeasca puterile.

    Iar daca se gaseste cineva care sa vrea sa faca de la zero un nou serviciu curat (de email, de exemplu), este imediat abordat si constrans ori convins sa renunte sau sa colaboreze.
  • +1 (1 vot)    
    parole, parole (Vineri, 26 iulie 2013, 16:17)

    Razvan_M [utilizator]

    Telefoanele mobile pe care le caram dupa noi peste tot sunt niste dispozitive de spionat. Mai nou, cumparam din banii nostri dispozitive de spionat cu imagini!
    Atunci cand introducem o parola in calculator, folosim tastatura. Aceasta tastatura trimite apasarile de taste catre calculator; de acolo, sistemul de operare interpreteaza acele apasari de taste si le comunica formurilor de login - deja am identificat cateva locuri prin care tot ce scriem este vizibil in clar.
    Internet Explorerul sau Firefox sau orice alt browser ne da impresia ca parola noastra este ascunsa prin intermediul acelor stelute. Insa parola este disponibila in clar aplicatiei browser si site-ului unde o introducem. In plus, majoritatea folosim optiunea de stocare in browser a conturilor de acces la diverse site-uri.
    Sa presupunem ca site-ul ne permite autentificarea peste https. Asta inseamna ca browserul nostru comunica printr-o teava incriptata cu un server autentificat cu un certificat in care browserul are incredere. Okay, cine detine autoritatile de certificare? SUA! Cine detine root dns serverele care stau la baza Internetului? SUA! Cine detine cei mai importanti producatori de routere pe care se afla la baza comunicatiilor din Internet? Etc. Deci comunicatiile noastre prin https sunt incriptate pentru majoritatea consumatorilor de Internet, dar nu si pentru cei care detin platforma numita Internet sau sistemul de operare cel mai popular - Windows.

    Dictionarele de cuvinte... In primul rand majoritatea metodelor de incriptare sunt dezvoltate de americani. Daca nu sunt cunoscute public slabiciuni ale algoritmilor curenti de incriptare, nu inseamna ca nu sunt cunoscute de agentii precum NSA. Apoi, cu dictionarele de cuvinte probabil ca in momentul de fata exista resurse pt. spart aproape instant de parole pana in 15 caractere, daca aceste parole nu contin combinatii de cifre si caractere speciale. Asta inseamna 99.9%.


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Sâmbătă