Kontroverzní NSA zabezpečila Linux a Android

NSA se v roce 2013 stala téměř dokonalým symbolem Velkého bratra. Tatáž kontroverzní agentura ale dala světu open-source technologie, které dnes mnozí z vás mají na telefonu.

Pokud by se rozdávaly mezinárodní ceny za nejhorší PR, vítězem roku 2013 by se musel stát buď Kim Čong-un, který se zatím mediálně proslavil snad jen tím, že do posledního genu vyvraždil rodinu svého strýce, nebo americká Národní bezpečnostní agentura, jejíž zkratka NSA se loni stala jedním z nejcitovanějších termínů počítačového zpravodajství. A o pochvaly rozhodně nešlo.

NSAmánie

Jestli běžný smrtelník ještě na jaře 2013 slýchával o NSA snad jen z populárních hollywoodských trháků jako třeba Nepřítel státu, od loňského června nás zpravidla The Guardian a The Washington Post skoro každý týden zásobují novou informací, koho všeho NSA zase sleduje. S trochou nadsázky by se dalo konstatovat, že už to pomalu začíná být nuda. Z Edwarda Snowdena se stala globální a stále tajemná celebrita a poslední zjištění, že prý NSA a britská GCHQ údajně monitorovaly i hráče Angry Birds, už nechává leckoho naprosto klidným.

Klepněte pro větší obrázek
Loni The Guardian zveřejnil snímek od Edwarda Snowdena s aktivitou odposlechů NSA podle jednotlivých zemí. Čím tmavší odstín zelené, tím menší zájem NSA. Přes veškerou opodstatněnou kritiku nadměrného sledování se tedy agentura soustředí hlavně na své legitimní cíle jako každá jiná zpravodajská služba.

BBC půl roku po první aféře PRISM vydalo souhrnný výkladový slovník NSA a webové diskuze se plní zděšenými komentáři, jestli je vůbec ještě bezpečné používat internet. Aniž bych chtěl mnohaměsíční kauzu jakkoliv relativizovat, troufám si tvrdit, že je NSA, GCHQ a desítkám dalších informačních služeb z celého světa naprosto jedno, co si na svůj Dropbox uložil René Paštika z Mostkovic. Mnohem více bych se obával toho, jestli už není můj počítač součástí nějakého botnetu, jestli mě v práci a na vysokoškolské koleji náhodou nemonitoruje správce sítě, jaké statistiky si k mé internetové přípojce vede můj ISP, jestli neprovádí DPI a tak dále.

Pětkrát bohatší než české ministerstvo

NSA byla zřízena počátkem 50. let minulého století jako agentura, která sbírá a analyzuje takzvané zprávy SIGINT pro potřeby bezpečnosti USA. Jedná se o data získaná dálkovým telekomunikačním a elektronickým odposlechem. NSA tedy na rozdíl od zmíněného snímku Nepřítel státu nedisponuje žádnými pistolníky, ale pouze sbírá data. Tato role se v posledních letech rozšířila i o aktivní elektronickou účast, kdy může pronikat do zahraničních počítačových systémů v rámci nové americké doktríny kybernetické obrany a útoku. NSA ostatně spadá pod Pentagon, v jejím čele tedy nestojí civilista, ale už několik dlouhých let generál Keith Alexander.

Klepněte pro větší obrázek
Zatímco dnes NSA sleduje primárně třeba muslimské extrémisty, před šedesáti lety bylo v hledáčku společného britsko-amerického sledování především sovětské velení. Britský Národní archiv v roce 2010 zveřejnil plné znění tajné dohody UKUSA z roku 1946 o spolupráci zpravodajských služeb obou zemí. Později se k nim přidala Kanada, Austrálie a Nový Zéland. V rámci tohoto svazku byl v dobách studené války vybudovaný třeba legendární systém Echelon pro monitorování světových telekomunikačních sítí a principiálně z něj vychází i současná velmi úzká spolupráce NSA a britské zpravodajské agentury GCHQ.

NSA v každém případě není nikterak mytologická organizace tahající za nitky světového řádu. Dělá úplně to samé co ostatní zpravodajské a bezpečnostní agentury po celém světě. Liší se snad jen v tom, že má k ruce několik desítek tisíc kmenových a externích pracovníků a údajný rozpočet ve výši bezmála 11 miliard dolarů. Po přepočtu to činí zhruba 221 miliard korun, což je pětkrát více, než mělo v roce 2012 k dispozici zdejší ministerstvo obrany. Možností NSA jsou tedy obrovské a zaměstnavatel dokáže přitáhnout ty nejlepší techniky, matematiky, informatiky a kryptografy s americkým pasem a „dostatečným národním cítěním“.

NSA a open-source

Ačkoliv se to bude pod vlivem aktuálních zpráv mnohým jevit jako sci-fi, NSA má velmi dobré vztahy s open-source komunitou. Jedním z dalších úkolů agentury je totiž vedle zpravodajské činnosti také zabezpečení amerických počítačových sítí počínaje těmi vládními a konče posledním domácím tabletem. NSA proto vystupuje jako autorita, která sepisuje doporučení pro správné zabezpečení domácí Wi-Fi sítě a notebooku a veřejnosti nabízí dokonce i ovoce svého vlastního výzkumu.

Klepněte pro větší obrázek
Berlínská demonstrace proti NSA (Foto:Shutterstock)

V roce 2008 tak třeba NSA vyvinula databázový software Accumulo pro práci s rozměrnými daty vybudovaný na systému BigTable od Googlu. Systém se liší v tom, že zajišťuje práva k přístupu pro různé uživatelské úrovně. NSA systém vyvíjela pro své vlastní účely, aby mohly tisíce analytiků s různou bezpečnostní prověrkou přistupovat k jedné centrální databázi. Jelikož se jedná o systém pro práci s ohromným množstvím dat, je zřejmé že jej NSA nevyvíjela pro evidenci výplat, ale pro přístup ke zmíněným zpravodajským datům SIGINT. Ale to je vedlejší. Podstatné je to, že NSA celý systém v roce 2011 uvolnila pod svobodnou licencí a jeho další vývoj dnes zastřešuje nadace Apache jako projekt Apache Accumulo. Je napsaný v Javě a k dispozici pro každého zájemce.

Projekt Flask

Accumulo je relativně okrajový produkt, NSA však dala světu ještě jednu mnohem významnější technologii. Mám na mysli projekt Flask z devadesátých let minulého století. Jednalo se o bezpečnostní softwarový systém, který implementoval techniku MAC, tedy mandatorní řízení přístupu k počítačovým datům.

Pro neznalé si vypůjčím vysvětlení z české Wikipedie a pokusím se to co nejjednodušeji popsat. Z hlediska řízení přístupu programů k datům v počítači máme dva základní typy: diskrétní řízení (DAC) a zmíněné mandatorní řízení (MAC). V režimu DAC má aplikace spuštěná s právy uživatele X přístup ke všem jeho datům. Pokud útočník takovou aplikaci pozmění, může pak laborovat se všemi soubory uživatele. Pokud se bude jednat o administrátora na Windows a roota na Linuxu, získává takový útočník totální moc nad počítačem.

Režim MAC je oproti DAC mnohem přísnější, každá aplikace a proces totiž mají přístup pouze k tomu, k čemu jsou určené. I kdyby tedy takovou aplikaci ovládl nějaký útočník, nemůže ji použít k přístupu do jiných částí systému, přestože by se třeba jednalo o administrátora. Každá aplikace má prostě své pevně vyhrazené pískoviště – doménu a je tím pádem lépe zabezpečená před útočníky, kteří si skrze ní chtějí otevřít zadní vrátka do systému.

SELinux nejen na Androidu

Flask byl úspěšně testovaný na linuxovém jádře, brzy o něj projevily zájem linuxové firmy jako třeba Red Hat a NSA v roce 2008 předala další vývoj otevřené komunitě.

Dnes technologii známe jako Security-Enhanced Linux – respektive SELinux, který je součástí linuxového jádra a aktivně jej používá hromada distribucí. Její masové rozšíření pak v blízké budoucnosti zajistí zejména Android, který používá SELinux od loňské verze 4.3. Zabezpečení jádra „made by NSA“ je tedy na bezmála 10 % všech zařízení s Androidem.

Klepněte pro větší obrázek

NSA tedy není pouze onen nechvalně známý Velký bratr, kterému se zalíbil masivní internetový data mining ospravedlněný honbou na zloduchy, ale také tvůrce, který opravdu přispěl lepšímu zabezpečení.

Témata článku: Software, Historie, Internet, Android, Open source, NSA, Kauzy, The Guardian, Celebrita, Birds, Bbc News, Apache, Bubble, Plné znění, Linuxová aplikace, Guardian, June, Lin, Svobodný přístup, Nový Zéland, Ministerstvo obrany, Linuxové jádro, Angry Birds, Úzká spolupráce, Kim Čong-un

Určitě si přečtěte

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 146

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

Včera | Jakub Čížek | 93


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji