В последнее время появляется все больше свидетельств того, что Агентство национальной безопасности США имеет возможность узнать секреты практически любого пользователя Интернета. Бывший сотрудник агентства, а ныне известный правозащитник, Уэйн Мэдсон заявил на прошедшей в Англии международной конференции по проблемам неприкосновенности частной жизни, что огромное число коммерческих программ для ПК имеют специально встроенные “черные ходы”, позволяющие спецслужбам проводить свои операции. “Многие производители программного обеспечения нашли общий язык с АНБ, - говорит он. - Это именно та область, которая всегда привлекала внимание спецслужб”.
АНБ, численность сотрудников которого составляет около 40 000 человек, напряженно работает над тем, чтобы средства защиты информации, используемые правительством США, совершенно не поддавались взлому. С другой стороны, оно всячески стремится к тому, чтобы ослабить экспортные версии криптографических программ американских компаний. Например, агентство тратит массу времени и усилий на то, чтобы заставить производителей программного обеспечения, а также коммутаторов и маршрутизаторов внести в выпускаемую продукцию требуемые изменения. Цель предельно проста – гарантировать правительству США свободный доступ к чужим шифрованным данным.
Как известно, АНБ проводит операции по сбору разведывательной информации в интересах американского правительства. Оно осуществляет перехват данных и из трафика Интернета. Для того чтобы все проходило без проблем, требуется “небольшая” подготовительная работа. Например, программисты могут при написании исходного кода приложений включить туда модули, реализующие некие недокументированные возможности. Причем такие вставки очень трудно обнаружить. Некоторые софтверные компании, в том числе Microsoft, ранее уже обвинялись прессой в сотрудничестве с АНБ, так как пошли на включение в свои программы специальных “черных кодов”. Аналогичный случай, возможно, имел место с программой PGP, когда в ней был обнаружен очень серьезный дефект. Эта программа обычно применяется для шифрования электронной почты. Чтобы понять, как же люди из АНБ “портят” чужие программы, обратимся к предыстории этого события.
Известный криптограф Брюс Шнайер еще в прошлом году поведал читателям ежемесячного электронного бюллетеня о некоем таинственном сотруднике АНБ Лью Джайлзе, занимавшемся исключительно тем, что заставлял производителей ослаблять защиту, которую должны были обеспечить выпускаемые ими программные средства. В конце концов, говорил он, всегда можно все “дыры” в защите объяснить случайно допущенными ошибками. Именно в это время в PGP и была введена функция “восстановления ключа”, имевшая скрытый дефект, который стал недавно широко известен. Впоследствии в различных версиях этой программы были обнаружены и другие серьезные недостатки. Например, оказалось, что в версии PGP для Linux и OpenBSD вырабатываются слабые ключи. Эти программы, по сообщениям Bugtraq, были созданы как раз в 1997 году.
Конечно, большинство обнаруженных дефектов в программах появляется всего лишь по недосмотру разработчиков. Но очень вероятно и то, что некоторые из них являются специально внедренными “черными ходами”. В различных средствах массовой информации время от времени публикуется информация, полученная от сотрудников компаний по производству компьютерной техники и ПО, о том, как их “обрабатывало” АНБ. Крупнейшие агентства новостей CNN и Network World рассказали о том, как АНБ заставляло фирмы, производящие сетевое оборудование, вносить в выпускаемую продукцию изменения в своих интересах. К компаниям, сотрудничающим с АНБ, хотя и не всегда с охотой, относятся, например, Netscape, Sun, Microsoft. Один из сотрудников фирмы Sun Крис Толлес говорит, что все в Силиконовой долине, в том числе и сотрудники этой фирмы, были вынуждены сотрудничать с АНБ. Но если все компании работали с АНБ, то осталась ли вообще какая-либо “неиспорченная” продукция?
Еще в 1995 году это ведомство заинтересовалось системами шифрования сообщений электронной почты, используемыми в продукции фирм Microsoft, Netscape и Lotus. Под давлением со стороны АНБ эти компании согласились ослабить защиту своих программных приложений, предназначенных на экспорт. Английский журналист Данкен Кэмпбелл сообщает, что АНБ добилось успеха в компрометировании броузеров Microsoft, Netscape и пакета Lotus Notes. Это ведомство настояло на сокращении длины ключей шифрования до той величины, при которой оно легко могло взломать код.
Тахер Элгамал, реализовывавший “план по восстановлению данных” в Netscape, как того требовало АНБ, сообщил, что у этой компании просто не было никаких шансов избежать подобной участи. Дело в том, что примерно половину доходов Netscape получает от экспорта. Для того чтобы получить экспортную лицензию, требуется разрешение АНБ, а это возможно только в случае ослабления продаваемой продукции. И вот выясняется, что хотя в экспортных версиях популярных броузеров Microsoft и Netscape используются ключи длиной 128 бит, 88 бит каждого ключа передаются вместе с зашифрованным сообщением. Поэтому только 40 бит остаются секретными. Поскольку почти на каждом компьютере в Европе установлены эти броузеры, АНБ может легко взломать код и читать секретную переписку пользователей Интернета.
АНБ имело также доступ к шифрованной электронной почте пользователей ПО Lotus Notes, поскольку этот программный пакет был специально “подпорчен”. Это было обнаружено шведским правительством в 1997 году и вызвало у него сильный шок. Ранее система Lotus Notes широко использовалась для конфиденциальной переписки членами парламента Швеции, многочисленными ведомствами и отдельными гражданами этой страны. Как такое стало возможным? Дело в том, что в систему защиты электронной почты Lotes Notes, предназначенной для экспорта, был включен модуль, дающий АНБ доступ к шифрованным данным. Это превращало задачу по вскрытию секретных сообщений в дело нескольких секунд. Даже сама компания Lotus призналась в этом. Вот что она сообщила газете Svenska Dagbladet: “Разница между американской версией Notes и экспортной заключается только в степени защиты. Всем пользователям мы предоставляем 64-битные ключи, но 24 бита ключа экспортной версии программы предоставляются американскому правительству”.
АНБ добралось и до систем защиты банковских сетей. Когда компания MasterCard International вырабатывала стандарт шифрования SET, используемый сейчас в электронных транзакциях, АНБ быстро охладило ее энтузиазм. “Они сообщили нам, что можно и что нельзя делать”, - сказал Джон Ванкмюллер, отвечающий в компании за электронную коммерцию. АНБ настояло на том, чтобы большая часть информации при каждой транзакции вообще не шифровалась. В США хотят знать, кто и куда переводит деньги. |