Forrás: cnet.com
Az NSA kémkedési botrány legújabb epizódja szerint az Amerikai Nemzetbiztonsági Hivatal legalább egy alkalommal a Google-nak adta ki magát adatgyűjtési akciója során.
A Fantastico nevű brazil weboldal egy Edward Snowden által kiszivárogtatott dokumentumot tett közzé, ami bemutatja a Google kihasználásával kivitelezett ?közbeékelődéses? támadás működési elvét.
A hekkerek által gyakran alkalmazott módszer során hamis biztonsági tanúsítványt alkalmaznak, hogy a támadó legitim webes szolgáltatónak tűnjön, és ezzel megkerülhesse a böngésző biztonsági beállításait, megszerezve a gyanútlan felhasználó által az adott szolgáltató felé küldött adatokat. A hekkerek ezzel a módszerrel tudják ellopni például a felhasználók banki adatait. Ilyenkor a bank valós weboldalának adják ki magukat egy, az eredeti oldalhoz megtévesztésig hasonlító felület közbeiktatásával.
A módszer különösen alattomos, mert segítségével a hekkerek a felhasználó saját jelszavával juthatnak be a legitim internetes banki felületre, így az ügyfél és a bank közötti információk az ő szerverükön át haladnak, úgy, hogy se az ügyfél, se a bank sem is sejti, mi történik. Az ilyen típusú támadások az email szolgáltatók ellen is alkalmazhatók.
Az nem egyértelmű, hogy a Fantastico által közzétett esetben az NSA vagy annak brit megfelelője, a GCHQ követte el a támadást. A cikk szerint ?az adott esetben az adatok az NSA központon haladtak át, mielőtt továbbították volna az igazi címzetthez, anélkül, hogy bármelyik fél észrevett volna valamit.?
?Korábban is keringtek hírek arról, hogy az NSA ilyen MITM (közbeékelődéses) típusú támadást alkalmazott,? mondja Mike Masnick a Techdirt cikkében. ?Annak alátámasztása viszont, hogy a Google-hoz hasonló céggel szemben tették ezt, nagyon komoly dolognak számít és az az érzésem, hogy a [Google] nem túl boldog ettől.?
A Mother Jones oldal megkeresésére a Google egy rövid nyilatkozatot adott ki:
?Ami azokat a híreket illeti, amelyek szerint az amerikai kormány kijátszotta biztonsági rendszerünket, elmondhatjuk, nincs bizonyítékunk, hogy ilyesmi valaha is történt volna. A felhasználói adatokat kizárólag a törvényben meghatározottak szerint bocsátjuk a kormány rendelkezésére.?
(A cég egyébként a felhasználói adatok átadására vonatkozó kormánykérések nagyobb átláthatóságáért is küzd.)
A CNET megkeresésére az NSA csupán annyit közölt, hogy ?nincs közölnivalójuk?.
A TechDirt viszont rámutat, hogy egy MITM támadás az NSA vagy GCHQ részéről nem olyan megdöbbentő hír. Éppen a múlt héten a New York Times arról írt, hogy az NSA már számtalan módon kijátszotta a gyakran használt titkosítási módszereket, beleértve olyan akciókat os, amelyek során magáncégek szervereit törték fel, hogy ellophassák a titkosítási kulcsokat, különböző technológiai cégekkel együttműködve a rejtett hátsó ajtók kiépítésére és nem utolsó sorban azért, hogy szándékosan gyengeségeket építsenek be a titkosítási szabványokba.
Nem lenne túl nehéz feladat hamis biztonsági tanúsítványokat beszerezni a weboldalak hitelességét bizonyító SSL protokollok kijátszására.
A Google-t már több ilyen támadás is érte a múltban, például 2011-ben is, amikor egy hekker a holland DigiNotar, webes biztonsági tanúsítványokat kiállító cég rendszerét törte fel és több mint 500 SSL tanúsítványt készített rajta keresztül.
Az NSA/GCHG legújabb akciójának hozományaként egy új Google logo javaslat született, ami akár a Google saját Doodle készítőinek tetszését is elnyerheti:
Ahogy Peterqe mondta. Annyit fognak ezekről beszélni, hogy a végén már a kutyát sem fogja érdekelni. Amikor a felmérések ezt kimutatják, egy-két további false flag és már iktathatják is törvénybe a bírósági engedély nélküli lehallgatást, rögzítést, tárolást. Nem nagy kunc, csak még egy elmélet ami valóra fog válni.
A Snowden gyerek pedig, meg az egész CIA-s bagázs, Assange-stől Greenwald-ostól mind mind kapják be! Oops!
Sajnos így van. A két vihar közötti csendben azért néha érdemes egy-egy bekezdés erejéig szót ejteni erről, bár látszik, hogy itt is lankad az érdeklődés.
Ez mai: http://www.zerohedge.com/news/2013-09-15/guest-post-hackers-government-hire-growing-and-deeply-disturbing-industry A videót ne hagyd ki a végén.
Na meg a nagy klasszikusokról se feledkezzünk meg.
http://news.softpedia.com/news/Germany-Claims-the-NSA-Has-Access-to-Every-Windows-8-Computer-377501.shtml (az elődjéről is ugyanezt susogták).
Ez is ugyanarról szól. Középtávú hisztéria és figyelem felkeltés, aminek hatására egy idő után az emberek vagy belefáradnak vagy megunják. Annyira átlátszó ez a csapatmunka.