reklama

Kontroverzní NSA zabezpečila Linux a Android

NSA se v roce 2013 stala téměř dokonalým symbolem Velkého bratra. Tatáž kontroverzní agentura ale dala světu open-source technologie, které dnes mnozí z vás mají na telefonu.

Pokud by se rozdávaly mezinárodní ceny za nejhorší PR, vítězem roku 2013 by se musel stát buď Kim Čong-un, který se zatím mediálně proslavil snad jen tím, že do posledního genu vyvraždil rodinu svého strýce, nebo americká Národní bezpečnostní agentura, jejíž zkratka NSA se loni stala jedním z nejcitovanějších termínů počítačového zpravodajství. A o pochvaly rozhodně nešlo.

NSAmánie

Jestli běžný smrtelník ještě na jaře 2013 slýchával o NSA snad jen z populárních hollywoodských trháků jako třeba Nepřítel státu, od loňského června nás zpravidla The Guardian a The Washington Post skoro každý týden zásobují novou informací, koho všeho NSA zase sleduje. S trochou nadsázky by se dalo konstatovat, že už to pomalu začíná být nuda. Z Edwarda Snowdena se stala globální a stále tajemná celebrita a poslední zjištění, že prý NSA a britská GCHQ údajně monitorovaly i hráče Angry Birds, už nechává leckoho naprosto klidným.

Klepněte pro větší obrázek
Loni The Guardian zveřejnil snímek od Edwarda Snowdena s aktivitou odposlechů NSA podle jednotlivých zemí. Čím tmavší odstín zelené, tím menší zájem NSA. Přes veškerou opodstatněnou kritiku nadměrného sledování se tedy agentura soustředí hlavně na své legitimní cíle jako každá jiná zpravodajská služba.

BBC půl roku po první aféře PRISM vydalo souhrnný výkladový slovník NSA a webové diskuze se plní zděšenými komentáři, jestli je vůbec ještě bezpečné používat internet. Aniž bych chtěl mnohaměsíční kauzu jakkoliv relativizovat, troufám si tvrdit, že je NSA, GCHQ a desítkám dalších informačních služeb z celého světa naprosto jedno, co si na svůj Dropbox uložil René Paštika z Mostkovic. Mnohem více bych se obával toho, jestli už není můj počítač součástí nějakého botnetu, jestli mě v práci a na vysokoškolské koleji náhodou nemonitoruje správce sítě, jaké statistiky si k mé internetové přípojce vede můj ISP, jestli neprovádí DPI a tak dále.

Pětkrát bohatší než české ministerstvo

NSA byla zřízena počátkem 50. let minulého století jako agentura, která sbírá a analyzuje takzvané zprávy SIGINT pro potřeby bezpečnosti USA. Jedná se o data získaná dálkovým telekomunikačním a elektronickým odposlechem. NSA tedy na rozdíl od zmíněného snímku Nepřítel státu nedisponuje žádnými pistolníky, ale pouze sbírá data. Tato role se v posledních letech rozšířila i o aktivní elektronickou účast, kdy může pronikat do zahraničních počítačových systémů v rámci nové americké doktríny kybernetické obrany a útoku. NSA ostatně spadá pod Pentagon, v jejím čele tedy nestojí civilista, ale už několik dlouhých let generál Keith Alexander.

Klepněte pro větší obrázek
Zatímco dnes NSA sleduje primárně třeba muslimské extrémisty, před šedesáti lety bylo v hledáčku společného britsko-amerického sledování především sovětské velení. Britský Národní archiv v roce 2010 zveřejnil plné znění tajné dohody UKUSA z roku 1946 o spolupráci zpravodajských služeb obou zemí. Později se k nim přidala Kanada, Austrálie a Nový Zéland. V rámci tohoto svazku byl v dobách studené války vybudovaný třeba legendární systém Echelon pro monitorování světových telekomunikačních sítí a principiálně z něj vychází i současná velmi úzká spolupráce NSA a britské zpravodajské agentury GCHQ.

NSA v každém případě není nikterak mytologická organizace tahající za nitky světového řádu. Dělá úplně to samé co ostatní zpravodajské a bezpečnostní agentury po celém světě. Liší se snad jen v tom, že má k ruce několik desítek tisíc kmenových a externích pracovníků a údajný rozpočet ve výši bezmála 11 miliard dolarů. Po přepočtu to činí zhruba 221 miliard korun, což je pětkrát více, než mělo v roce 2012 k dispozici zdejší ministerstvo obrany. Možností NSA jsou tedy obrovské a zaměstnavatel dokáže přitáhnout ty nejlepší techniky, matematiky, informatiky a kryptografy s americkým pasem a „dostatečným národním cítěním“.

NSA a open-source

Ačkoliv se to bude pod vlivem aktuálních zpráv mnohým jevit jako sci-fi, NSA má velmi dobré vztahy s open-source komunitou. Jedním z dalších úkolů agentury je totiž vedle zpravodajské činnosti také zabezpečení amerických počítačových sítí počínaje těmi vládními a konče posledním domácím tabletem. NSA proto vystupuje jako autorita, která sepisuje doporučení pro správné zabezpečení domácí Wi-Fi sítě a notebooku a veřejnosti nabízí dokonce i ovoce svého vlastního výzkumu.

Klepněte pro větší obrázek
Berlínská demonstrace proti NSA (Foto:Shutterstock)

V roce 2008 tak třeba NSA vyvinula databázový software Accumulo pro práci s rozměrnými daty vybudovaný na systému BigTable od Googlu. Systém se liší v tom, že zajišťuje práva k přístupu pro různé uživatelské úrovně. NSA systém vyvíjela pro své vlastní účely, aby mohly tisíce analytiků s různou bezpečnostní prověrkou přistupovat k jedné centrální databázi. Jelikož se jedná o systém pro práci s ohromným množstvím dat, je zřejmé že jej NSA nevyvíjela pro evidenci výplat, ale pro přístup ke zmíněným zpravodajským datům SIGINT. Ale to je vedlejší. Podstatné je to, že NSA celý systém v roce 2011 uvolnila pod svobodnou licencí a jeho další vývoj dnes zastřešuje nadace Apache jako projekt Apache Accumulo. Je napsaný v Javě a k dispozici pro každého zájemce.

Projekt Flask

Accumulo je relativně okrajový produkt, NSA však dala světu ještě jednu mnohem významnější technologii. Mám na mysli projekt Flask z devadesátých let minulého století. Jednalo se o bezpečnostní softwarový systém, který implementoval techniku MAC, tedy mandatorní řízení přístupu k počítačovým datům.

Pro neznalé si vypůjčím vysvětlení z české Wikipedie a pokusím se to co nejjednodušeji popsat. Z hlediska řízení přístupu programů k datům v počítači máme dva základní typy: diskrétní řízení (DAC) a zmíněné mandatorní řízení (MAC). V režimu DAC má aplikace spuštěná s právy uživatele X přístup ke všem jeho datům. Pokud útočník takovou aplikaci pozmění, může pak laborovat se všemi soubory uživatele. Pokud se bude jednat o administrátora na Windows a roota na Linuxu, získává takový útočník totální moc nad počítačem.

Režim MAC je oproti DAC mnohem přísnější, každá aplikace a proces totiž mají přístup pouze k tomu, k čemu jsou určené. I kdyby tedy takovou aplikaci ovládl nějaký útočník, nemůže ji použít k přístupu do jiných částí systému, přestože by se třeba jednalo o administrátora. Každá aplikace má prostě své pevně vyhrazené pískoviště – doménu a je tím pádem lépe zabezpečená před útočníky, kteří si skrze ní chtějí otevřít zadní vrátka do systému.

SELinux nejen na Androidu

Flask byl úspěšně testovaný na linuxovém jádře, brzy o něj projevily zájem linuxové firmy jako třeba Red Hat a NSA v roce 2008 předala další vývoj otevřené komunitě.

Dnes technologii známe jako Security-Enhanced Linux – respektive SELinux, který je součástí linuxového jádra a aktivně jej používá hromada distribucí. Její masové rozšíření pak v blízké budoucnosti zajistí zejména Android, který používá SELinux od loňské verze 4.3. Zabezpečení jádra „made by NSA“ je tedy na bezmála 10 % všech zařízení s Androidem.

Klepněte pro větší obrázek

NSA tedy není pouze onen nechvalně známý Velký bratr, kterému se zalíbil masivní internetový data mining ospravedlněný honbou na zloduchy, ale také tvůrce, který opravdu přispěl lepšímu zabezpečení.

Témata článku: Software, Internet, Open source, Historie, Android, Kauzy, NSA, Angry, Angry Birds, The Guardian, Birds, Apache, Guardian, Bubble, Alexander

95 komentářů

Nejnovější komentáře

  • palocx 30. 1. 2014 12:41:47
    Jak se bránit proti permanentnímu špehování?...
  • 1049an 29. 1. 2014 17:45:26
    Já NSA fandím. Kdo odsuzuje zpravodajsou činnost této organizace, je buď...
  • Kuba78 29. 1. 2014 11:58:36
    I Adolf H. dal svetu mnoho dobreho - posunul o desitky let vyvoj v mnoha...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 102

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74


reklama