reklama

Kontroverzní NSA zabezpečila Linux a Android

NSA se v roce 2013 stala téměř dokonalým symbolem Velkého bratra. Tatáž kontroverzní agentura ale dala světu open-source technologie, které dnes mnozí z vás mají na telefonu.

Pokud by se rozdávaly mezinárodní ceny za nejhorší PR, vítězem roku 2013 by se musel stát buď Kim Čong-un, který se zatím mediálně proslavil snad jen tím, že do posledního genu vyvraždil rodinu svého strýce, nebo americká Národní bezpečnostní agentura, jejíž zkratka NSA se loni stala jedním z nejcitovanějších termínů počítačového zpravodajství. A o pochvaly rozhodně nešlo.

NSAmánie

Jestli běžný smrtelník ještě na jaře 2013 slýchával o NSA snad jen z populárních hollywoodských trháků jako třeba Nepřítel státu, od loňského června nás zpravidla The Guardian a The Washington Post skoro každý týden zásobují novou informací, koho všeho NSA zase sleduje. S trochou nadsázky by se dalo konstatovat, že už to pomalu začíná být nuda. Z Edwarda Snowdena se stala globální a stále tajemná celebrita a poslední zjištění, že prý NSA a britská GCHQ údajně monitorovaly i hráče Angry Birds, už nechává leckoho naprosto klidným.

Klepněte pro větší obrázek
Loni The Guardian zveřejnil snímek od Edwarda Snowdena s aktivitou odposlechů NSA podle jednotlivých zemí. Čím tmavší odstín zelené, tím menší zájem NSA. Přes veškerou opodstatněnou kritiku nadměrného sledování se tedy agentura soustředí hlavně na své legitimní cíle jako každá jiná zpravodajská služba.

BBC půl roku po první aféře PRISM vydalo souhrnný výkladový slovník NSA a webové diskuze se plní zděšenými komentáři, jestli je vůbec ještě bezpečné používat internet. Aniž bych chtěl mnohaměsíční kauzu jakkoliv relativizovat, troufám si tvrdit, že je NSA, GCHQ a desítkám dalších informačních služeb z celého světa naprosto jedno, co si na svůj Dropbox uložil René Paštika z Mostkovic. Mnohem více bych se obával toho, jestli už není můj počítač součástí nějakého botnetu, jestli mě v práci a na vysokoškolské koleji náhodou nemonitoruje správce sítě, jaké statistiky si k mé internetové přípojce vede můj ISP, jestli neprovádí DPI a tak dále.

Pětkrát bohatší než české ministerstvo

NSA byla zřízena počátkem 50. let minulého století jako agentura, která sbírá a analyzuje takzvané zprávy SIGINT pro potřeby bezpečnosti USA. Jedná se o data získaná dálkovým telekomunikačním a elektronickým odposlechem. NSA tedy na rozdíl od zmíněného snímku Nepřítel státu nedisponuje žádnými pistolníky, ale pouze sbírá data. Tato role se v posledních letech rozšířila i o aktivní elektronickou účast, kdy může pronikat do zahraničních počítačových systémů v rámci nové americké doktríny kybernetické obrany a útoku. NSA ostatně spadá pod Pentagon, v jejím čele tedy nestojí civilista, ale už několik dlouhých let generál Keith Alexander.

Klepněte pro větší obrázek
Zatímco dnes NSA sleduje primárně třeba muslimské extrémisty, před šedesáti lety bylo v hledáčku společného britsko-amerického sledování především sovětské velení. Britský Národní archiv v roce 2010 zveřejnil plné znění tajné dohody UKUSA z roku 1946 o spolupráci zpravodajských služeb obou zemí. Později se k nim přidala Kanada, Austrálie a Nový Zéland. V rámci tohoto svazku byl v dobách studené války vybudovaný třeba legendární systém Echelon pro monitorování světových telekomunikačních sítí a principiálně z něj vychází i současná velmi úzká spolupráce NSA a britské zpravodajské agentury GCHQ.

NSA v každém případě není nikterak mytologická organizace tahající za nitky světového řádu. Dělá úplně to samé co ostatní zpravodajské a bezpečnostní agentury po celém světě. Liší se snad jen v tom, že má k ruce několik desítek tisíc kmenových a externích pracovníků a údajný rozpočet ve výši bezmála 11 miliard dolarů. Po přepočtu to činí zhruba 221 miliard korun, což je pětkrát více, než mělo v roce 2012 k dispozici zdejší ministerstvo obrany. Možností NSA jsou tedy obrovské a zaměstnavatel dokáže přitáhnout ty nejlepší techniky, matematiky, informatiky a kryptografy s americkým pasem a „dostatečným národním cítěním“.

NSA a open-source

Ačkoliv se to bude pod vlivem aktuálních zpráv mnohým jevit jako sci-fi, NSA má velmi dobré vztahy s open-source komunitou. Jedním z dalších úkolů agentury je totiž vedle zpravodajské činnosti také zabezpečení amerických počítačových sítí počínaje těmi vládními a konče posledním domácím tabletem. NSA proto vystupuje jako autorita, která sepisuje doporučení pro správné zabezpečení domácí Wi-Fi sítě a notebooku a veřejnosti nabízí dokonce i ovoce svého vlastního výzkumu.

Klepněte pro větší obrázek
Berlínská demonstrace proti NSA (Foto:Shutterstock)

V roce 2008 tak třeba NSA vyvinula databázový software Accumulo pro práci s rozměrnými daty vybudovaný na systému BigTable od Googlu. Systém se liší v tom, že zajišťuje práva k přístupu pro různé uživatelské úrovně. NSA systém vyvíjela pro své vlastní účely, aby mohly tisíce analytiků s různou bezpečnostní prověrkou přistupovat k jedné centrální databázi. Jelikož se jedná o systém pro práci s ohromným množstvím dat, je zřejmé že jej NSA nevyvíjela pro evidenci výplat, ale pro přístup ke zmíněným zpravodajským datům SIGINT. Ale to je vedlejší. Podstatné je to, že NSA celý systém v roce 2011 uvolnila pod svobodnou licencí a jeho další vývoj dnes zastřešuje nadace Apache jako projekt Apache Accumulo. Je napsaný v Javě a k dispozici pro každého zájemce.

Projekt Flask

Accumulo je relativně okrajový produkt, NSA však dala světu ještě jednu mnohem významnější technologii. Mám na mysli projekt Flask z devadesátých let minulého století. Jednalo se o bezpečnostní softwarový systém, který implementoval techniku MAC, tedy mandatorní řízení přístupu k počítačovým datům.

Pro neznalé si vypůjčím vysvětlení z české Wikipedie a pokusím se to co nejjednodušeji popsat. Z hlediska řízení přístupu programů k datům v počítači máme dva základní typy: diskrétní řízení (DAC) a zmíněné mandatorní řízení (MAC). V režimu DAC má aplikace spuštěná s právy uživatele X přístup ke všem jeho datům. Pokud útočník takovou aplikaci pozmění, může pak laborovat se všemi soubory uživatele. Pokud se bude jednat o administrátora na Windows a roota na Linuxu, získává takový útočník totální moc nad počítačem.

Režim MAC je oproti DAC mnohem přísnější, každá aplikace a proces totiž mají přístup pouze k tomu, k čemu jsou určené. I kdyby tedy takovou aplikaci ovládl nějaký útočník, nemůže ji použít k přístupu do jiných částí systému, přestože by se třeba jednalo o administrátora. Každá aplikace má prostě své pevně vyhrazené pískoviště – doménu a je tím pádem lépe zabezpečená před útočníky, kteří si skrze ní chtějí otevřít zadní vrátka do systému.

SELinux nejen na Androidu

Flask byl úspěšně testovaný na linuxovém jádře, brzy o něj projevily zájem linuxové firmy jako třeba Red Hat a NSA v roce 2008 předala další vývoj otevřené komunitě.

Dnes technologii známe jako Security-Enhanced Linux – respektive SELinux, který je součástí linuxového jádra a aktivně jej používá hromada distribucí. Její masové rozšíření pak v blízké budoucnosti zajistí zejména Android, který používá SELinux od loňské verze 4.3. Zabezpečení jádra „made by NSA“ je tedy na bezmála 10 % všech zařízení s Androidem.

Klepněte pro větší obrázek

NSA tedy není pouze onen nechvalně známý Velký bratr, kterému se zalíbil masivní internetový data mining ospravedlněný honbou na zloduchy, ale také tvůrce, který opravdu přispěl lepšímu zabezpečení.

Témata článku: Software, Internet, Open source, Android, Historie, Kauzy, NSA, Angry, Angry Birds, The Guardian, Birds, Apache, Guardian, Bubble, Alexander

95 komentářů

Nejnovější komentáře

  • palocx 30. 1. 2014 12:41:47
    Jak se bránit proti permanentnímu špehování?...
  • 1049an 29. 1. 2014 17:45:26
    Já NSA fandím. Kdo odsuzuje zpravodajsou činnost této organizace, je buď...
  • Kuba78 29. 1. 2014 11:58:36
    I Adolf H. dal svetu mnoho dobreho - posunul o desitky let vyvoj v mnoha...
reklama
Určitě si přečtěte

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

** Dnes žádnou elektroniku programovat nebudeme ** Štěnice totiž funguje sama o sobě ** Stačí připojit baterii a naladit frekvenci

22.  1.  2017 | Jakub Čížek | 31

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 408

Takto si špičkoví grafici představují nový Facebook. S čistým vzhledem a bez reklam

Takto si špičkoví grafici představují nový Facebook. S čistým vzhledem a bez reklam

** Design Facebooku se delší dobu nemění a pro mnohé je nudným ** Grafici zkouší navrhovat nové koncepty toho, jak by mohla síť vypadat ** Hlasujte pro nejzdařilejší návrh

22.  1.  2017 | Stanislav Janů | 64

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

** Strojové učení lze skvěle použít pro vylepšení modelů pro předpověď srdečních komplikací ** Nová technologie umožňuje přesněji určit rizikové pacienty ** Dřívější diagnostika může díky včasně léčbě do budoucna zachránit životy

21.  1.  2017 | Karel Javůrek | 7

8 produktů, o kterých byste neřekli, že nesou značku Apple

8 produktů, o kterých byste neřekli, že nesou značku Apple

** Věděli jste, že Apple vyvinul celkem 45 modelů tiskáren? ** ** Monitor na výšku, plotter nebo herní konzole - to vše měl Apple ve své nabídce ** Většinu z těchto produktů pohřbil Steve Jobs

19.  1.  2017 | Stanislav Janů | 43


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama