Bizalomkrízis

Újabb szivárgás, ismét RSA.

A cégnek óriási mákja, hogy véget ért az idei RSA-konferencia, így már sokkal nehezebb őket kérdezni a legújabb, őket érintő problémákról. Persze a korábbi tízmilliónyi ezüstpénz miatt is neves biztonsági szakértők maradtak távol a rendezvénytől. A mostani hírek szerint az RSA egy másik pszeudo-véletlenszám generátort is belecsomagolt a BSAFE eszközkészletbe, amit az NSA fejlesztett. Az Extended Random elméletben azt a célt szolgálná, hogy addicionális entrópiával lássa el a kriptográfiai kulcsokat. Nos, az olyan jól sikerült, hogy az Extended Random eljárással készült kulcsok bizonyos esetekben 65000-szer gyorsabban törhetők, mint az ezt mellőzők.

A protokoll készítői Margaret Salter (balra), az NSA egyik technikai igazgatója és egy külsős arc, Eric Rescorla (jobbra). Salter részvétele az akcióban nem is annyira meglepő, hiszen azt tette, amiért fizetik, Rescorla viszont sokkal érdekesebb. Jelen pillanatban a Mozillánál dolgozik. Igen, ugyanaz a Mozilla, amelynek vezető terméke a Firefox.

Az RSA öt évvel ezelőtt elkészítette a BSAFE Java verzióját, amikor az IETF azon gondolkodott, hogy a protokollt beépítse az ipari sztenderdek közé – szerencsére legalább ez nem történt meg.

Mindazonáltal most már elmondható, hogy az RSA, mint “biztonsági” cég, aktívan részt vett a jelenlegi internet alapjának, a bizalomnak az aláásásában. Sajnos az RSA termékeit elég sok helyre beette a fene, ámbátor aki egy kicsit is törődik a biztonsággal, az szívfájdalom nélkül kiebrudalja a rendszereiről az RSA megoldásait és visszakéri a pénzét, mivel azok úgysem nyújtanak biztonságot. Ráadásul az összes üzleti titok lehetséges kiszivárgása miatt kártérítést követel az RSA-től, valamint büntetőfeljelentést tesz ipari kémkedésért és banktitok megsértéséért.

Ezenkívül nem lehet figyelmen kívül hagyni Rescorla tevékenységét sem. Jelen pillanatban egyébként is nehéz jó böngészőt találni, mert mindegyik egy erőforrás-zabáló, lassú, instabil és megbízhatatlan vacak, de Rescorla ténykedése a Mozillánál alááshatja a Firefox és egyéb termékek iránti bizalmat. A Mozilla jobban tenné, ha újra átnézné Rescorla kódjait, ha fejlesztőként közreműködött a cég termékeinek előállításában, tanácsadóként az általa javasolt és a kódokba beemelt részeket kell igen tüzetesen felülvizsgálni, de mindenekelőtt fel kell függeszteni a munkaviszonyát a vizsgálatok idejéig. Tudom, hogy igen elborultnak hangzik, de a security ipar ilyen: nemigen engedheti meg magának valaki a hibázást, különben oda a reputációja.

Sajnos, amikor az Internet alapjait adó bizalomról beszélünk, akkor tulajdonképpen a téma a saját pénzünk, függetlenül attól, hogy vállalkozók, vagy alkalmazottak vagyunk: a partnerekkel a kapcsolatot az Interneten tartjuk; a pénzügyeinket ott intézzük; az adóhivatal felé az elszámolásainkat ott intézzük. Szerintem nem kell tovább sorolnom, miért problémás az RSA és az NSA tevékenysége.

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community