Video: RSAC Innovation Sandbox 2020 - SECURITI.ai (Mayıs 2024)
Bruce Schneier, RSA Konferansı'nda, mor çiçekli bir tişörtle süslenen farklı bir sahneye çıktığında, Washington istihbarat uzmanlarının önceki bir panelinden çok farklı bir sunum yaptı. Co3 Systems'in CTO'su ve yazar Schneier güvenlik açığı görüşü verdi. Ayrıca, herkesin sorduğu soruya cevabını verdi: nasıl casusluk yapılmasını önlüyoruz?
Her şeyi topla
Schneier bugün gördüğü durumu ortaya koydu: NSA, interneti hem teknik olarak hem de yasal olarak sağlam olan dev bir gözetleme platformuna dönüştürdü. Schneier, "Temel olarak, NSA'nın misyonu her şeyi toplamaktır" dedi ve bu görüşü ABD'nin Soğuk Savaş sırasında SSCB'ye olan "röntgenci" ilgisine çekiyor.
Sovyetler Birliği'nin dağılmasından sonra, her yerde gözetim fikri 9 / 11'e kadar uyuya kaldı. Schneier, "İstihbarat imkansız bir görev verildi: bir daha asla, " dedi. “Eğer bir şeylerin olmasını engellemek için titiz bir hedef verilirse, bunu başarmanın tek yolu her şeyi bilmektir.”
Tabii ki, NSA bir boşlukta çalışmıyordu. Schneier, bugün bildiğimiz büyük casusluk operasyonunun yaratılmasına yardımcı olan iki önemli değişikliğe işaret etti. Bunlardan ilki, Schneier’in çok büyük miktarda veri saklamanın ve aramanın uygun olduğu noktaya düştüğünü söylediği arama ve depolama maliyeti idi.
İkincisi, hem kullanıcı davranışında hem de teknoloji şirketlerinde felsefi bir kayma oldu. Schneier, "İnsanlara hizmet karşılığında casusluk yapan sistemler kuruyoruz" dedi. "Gözetim, İnternet'in iş modelidir." Bunu, Facebook'un kişisel bilgilerinize duyduğu şiddetli iştah veya ücretsiz bir oyundan para kazanmak için kullanıcı bilgilerini satan mobil uygulamalar açısından düşünün. “Bu altın bir sürveyans çağı, çünkü orada çok fazla bilgi var” dedi.
Kripto Hala Anahtardır
Snowden sızıntıları hakkında okuyabileceğiniz bazı mahkum ve kasvetlere rağmen, Schneier, şirketlerin ve bireylerin kendilerini sürveyanstan koruyabileceğini iddia etmede açıktı. "Kriptografi çalışıyor" dedi. “NSA kıramaz ve onları kızdırır.”
Örnek olarak, NSA’nın Yahoo! Google’dan çok daha fazla kullanıcısı olmasına rağmen. Schneier, Google’ın varsayılan olarak SSL’yi ve Yahoo! değildi. NSA, çoğunlukla bol miktarda bulunan şifrelenmemiş verilere dayanmaktadır. “Toplu koleksiyonu çok kolay hale getirdik ve NSA bundan faydalanıyor” dedi.
Schneier, ısrar etmenin anahtarı, toplu tahsilatı zorlaştırmak için şifreleme kullanmaktı. "NSA büyük bir bütçeye sahip olabilir, ancak sihirden yapılmadı" dedi. “Amacımız, dinlenmeyi daha pahalı hale getirmek için ekonomiyi, fiziği ve matematiği güçlendirmek olmalıdır.” Hedefli koleksiyonun her zaman istihbarat toplama için bir seçenek olabileceğini kabul etti, ancak toplu koleksiyon çok daha büyük bir tehdit oluşturdu.
Tabii ki, hepsi çikolata ve güller değil. Schneier, sızdırılmış belgelere ilişkin okumalarına dayanarak NSA'nın güçlü bir kriptanaliz teknolojisine sahip olması gerektiğine dair inancını da paylaştı. NSA'nın matematik bölümünü çözdüğünü göründüğünü, ancak çok ve çok fazla bilgi için çalışmasının mühendislik sorunu yüzünden sinirlendiğini söyledi. "Çoğu kripto NSA'yı en azından ölçekte batırıyor" dedi.
NSA'nın kripto taramasında sahip olduğu sürece, Schneier yalnızca varsayımını sunabildi. NSA, eliptik eğri kriptografisinde kullanılan bazı eliptik eğri sınıflarını kırabilir veya diğer yöntemlerin yanı sıra rasgele sayı oluşturmayı altüst etmenin bir yolunu bulabilirdi.
NSA'yı Onarın, Toplu Veride Bireyleri Koruyun
RSA'daki diğer sunucular gibi, Schneier de NSA'nın gözetimin nasıl çalışması gerektiğini tanımlayan yerel ve uluslararası normlarla geliştirilebileceğini söyledi. Ayrıca, belirli gözetim veya ajans biçimlerinden daha büyük olan yasalar için de çağrıda bulundu. Mevzuatın temel haklar açısından tartışılmasının, tartışmayı çerçevelemek için doğru yol olduğunu söyledi.
Bununla birlikte, Schneier, NSA programları etrafındaki tartışmada iş yerinde daha büyük bir sorun olduğunu söyledi: toplu veri analizi. “Buradaki genel soru, topluma yarar sağlayan ancak insanları bireysel olarak koruyan veri sistemlerini nasıl tasarladığımız” dedi. Örnek olarak, Schneier, dünyadaki her insandan tıbbi bilgilerin bulunduğu varsayımsal bir veri tabanı sundu. Bu, bir araştırma aracı olarak doktorlar için son derece değerli olacaktır, ancak veritabanındaki kişilerin kişisel bilgilerini ortaya koyacaktır.
Schneier, "Bunun bilgi çağının temel sorunu olduğunu düşünüyorum." Dedi. “NSA başlamak için en iyi yer olmayabilir, ancak sahip olduğumuz yer.”
