az Exabeam-nél nem csak a legújabb kiberbiztonság fejlesztése érdekel minket, hanem az is, hogy mit tanulhatunk a régebbi biztonsági technológiákból. Ezért hoztuk létre nemrégiben a kiberbiztonság története 2019 naptárat. Minden hónap kulcsfontosságú dátumokat tartalmaz a kiberbiztonsági történelemben, valamint egy kapcsolódó trivia kérdést és más érdekes dolgokat, amelyek az adott hónapban az elmúlt években történtek.
ez a negyedik a kiberbiztonsági naptárat tartalmazó bejegyzések sorozatában, ahol a Clipper chip emelkedését és bukását vizsgáljuk. Több történetet fogunk közzétenni az egész évben kutatott kiberbiztonsági dátumok körül. Ha úgy gondolja, hogy elmulasztottunk egy fontos dátumot (vagy valami rosszat kaptunk), kérjük, ossza meg velünk. Ön is megoszthatja visszajelzését velünk a Twitteren.
a magánélet a szüleid korában is számított
hogyan éreznéd magad, ha felfedeznéd, hogy a telefonod tartalmaz egy chipet, amit kifejezetten arra terveztek, hogy átadja a privát kommunikációidat a kormánynak? Valószínűleg megdöbbenne, és legalább a gyártótól választ kérne. Manapság az embereket viszonylag kisebb lehallgatások rangsorolják, például a marketingszakemberek számítógépes böngészési előzményeiket vagy mobiltelefonjuk GPS-jét használják célzott hirdetések táplálására. Most képzeljük el, hogyan érezték magukat az emberek az 1990-es években, amikor az amerikai kormány kifejlesztett és támogatott egy beépített hátsó ajtóval tervezett lapkakészletet.
Április 16, 1993, a Fehér Ház bejelentette az úgynevezett “Clipper chip.”Hivatalosan MYK-78 néven ismert, biztonságos kommunikációs eszközökben, például kripto telefonokban való használatra szánták, amelyek algoritmusok és kriptográfiai kulcsok segítségével védik a hívásokat a lehallgatástól a jelek titkosításához és visszafejtéséhez. A chip kriptográfiai algoritmusát, az úgynevezett Skipjack-et a Nemzetbiztonsági Ügynökség (NSA) fejlesztette ki, a mélyen titkos katonai hírszerző ügynökség, amely a külföldi kormányzati kommunikáció lehallgatásáért és az ilyen átviteleket védő kódok feltöréséért felelős.
minden Clipper chipen volt egy titkos egységkulcs programozva a gyártás során. Mivel minden chipnek saját sorozatszáma és kulcsegysége volt, a technológiát használó minden biztonságos kommunikációs eszköz egyedi lenne.
de a Clipper chip esetében a “biztonságos” rész nem igazán vonatkozott a kormányra. Egy biztonságos kommunikációs rendszerben, mint például a kriptográfiai telefon, a megfelelő kriptográfiai kulcsok lehetővé teszik a telefon számára a hangjelek visszafejtését, hogy a fogadó fél hallja a hívást. A Clipper chip segítségével az eszközgyártóknak át kellett adniuk a kriptográfiai kulcsokat a kormánynak. Nyilvánvalóan a szándék az volt, hogy lehetővé tegyék a hírszerző és bűnüldöző szervek, mint például a CIA és az FBI számára a hanghívások visszafejtését megfigyelési célokra.
bár ma nem úgy tűnik, mintha valaki nyilvánosan bejelentené, a koncepció legalább megpróbált egy kis bólintást adni az emberek magánélethez való jogára. A végrehajtó szervek általi visszaélések elleni védelem érdekében a fejlesztők megállapodtak abban, hogy az egyes Clipper chipek kriptográfiai kulcsát két szövetségi ügynökség közösen letétbe helyezi. Lényegében két részre osztják az Egységkulcsot, és mindegyik felét az egyik ügynökség kapja. A tényleges egységkulcs rekonstruálásához mindkét ügynökség adatbázisához hozzáférni kellett, majd a feleket speciális szoftver segítségével újra össze kellett állítani.
az Adatvédelem szószólói és a kriptográfusok gyorsan nekiláttak a chip szárnyainak levágásának
nem meglepő, hogy a Clipper chip bejelentését hamarosan visszahatás követte. Az olyan adatvédelmi szervezetek, mint az Electronic Frontier Foundation és az Electronic Privacy Information Center, elutasították a Clipper chip javaslatát. Ezek és más ellenzők azt állították, hogy az egyszerű állampolgárokat illegális kormányzati megfigyelésnek vetné alá.
egy 1994-es cikkben A New York Times odáig ment, hogy a Szilícium-völgy technológusainak visszahatását az információs autópálya első szent háborújaként írta le.
“a Cypherpunks úgy véli, hogy a Clipper az a kar, amelyet a Nagy Testvér használ a számítógépes korszak beszélgetéseibe, üzeneteibe és tranzakcióiba. Ezek a high-tech Paul Reveres megpróbálják mozgósítani Amerikát a kibertér rendőrállam gonosz előjele ellen, ahogy az egyik internetes jeremiádjuk fogalmazott. A csatába való csatlakozás félelmetes erő, beleértve szinte az összes kommunikációs és számítógépes ipart, a kongresszus számos tagját és a politikai rovatvezetőket.”
másrészt a Clinton Fehér Ház azzal érvelt, hogy a Clipper chip a bűnüldözés alapvető eszköze. Amikor mások azt javasolták, hogy a terroristák eszköze lehet, az adminisztráció azt mondta, hogy valójában növeli a nemzetbiztonságot, mert a kormány meghallgathatja hívásaikat.
a kriptográfiai közösség azt is kifogásolta, hogy a Clipper chip titkosítását a nyilvánosság nem tudta megfelelően értékelni, mivel a Skipjack algoritmust titkosnak minősítették. Ez azt eredményezheti, hogy a biztonságos kommunikációs eszközök nem olyan biztonságosak, mint a hirdetettek, ami hatással van a vállalkozásokra és az egyénekre, akik támaszkodnának rájuk.
1993-ban, a& T Bell gyártotta az első és egyetlen telefonkészüléket, amely a Clipper chipen alapult. Egy évvel később Matt Blaze, az AT&T kutatója közzétett egy jelentős tervezési hibát, amely lehetővé teheti egy rosszindulatú fél számára, hogy meghamisítsa a szoftvert. Úgy tűnt, hogy ez a hiba volt az utolsó szög a technológia koporsójában. Az AT&T eszköz volt az első és egyetlen biztonságos kommunikációs technológia, amely a Clipper chipet használta; 1996-ra a chip megszűnt.
a Clipper Chipre adott erőteljes választ és annak gyors pusztulását tekintve tanulhatunk egy kicsit a történelemből a mai kiberbiztonságról. A kiberbiztonsági technológiáknak valódi emberek számára kell létezniük egy világban, és az emberek ma nagyon törődnek a személyes adatvédelemmel. Függetlenül attól, hogy az innovációk a kormánytól vagy az ipartól származnak-e, egyensúlyba kell hozniuk a biztonságot a technológiával való visszaéléssel kapcsolatos aggodalmakkal. Végül is a legtöbb ember nem bűnöző vagy terrorista. A hibás biztonsági technológiák olyan rendszerekbe történő beépítése, amelyeket “biztonságosnak” hirdetnek, veszélyeztetheti azokat az egyéneket és vállalkozásokat, amelyek bíznak ezekben az eszközökben.