Неинтересно быть циником, считая, что все вокруг плохо и будет только хуже. Это слишком просто, особенно в отношении информационной безопасности, и совершенно не интересно. Но в свете последних откровений о деятельности Агентства национальной безопасности (АНБ), размывающей основы индустрии защиты информации, единственной доступной альтернативой остается вера в лепреконов, катающихся на единорогах.

Не сообщество по информационной безопасности придумало страх, неуверенность и сомнения, но именно в нем они оформились и выросли до масштабов религии. Это уже не только продвижение и продажи средств защиты информации, но и путь к оправданию применения незаконных, неконституционных технологий по сбору данных. Только разработчики ПО в целях повышения продаж при этом эксплуатируют призрак глобального взлома, потери данных и широкого общественного резонанса, а АНБ сотоварищи прикрываются мрачной тенью 9/11 и международным терроризмом, чтобы оправдать свои все более агрессивные методы. Причем некоторые из них, как уже неоднократно подтверждалось, направлены на сознательное разрушение фундамента информационной безопасности.

Последней убийственной каплей стало сообщение о том, что АНБ, похоже, создало «черный ход» к ключевому криптографическому алгоритму DUAL EC DRBG. Это плохо. Но что еще хуже, так это то, что компания RSA на днях направила своим клиентам предупреждение о немедленном прекращении использования генератора случайных чисел и обновлении данных при использовании криптобиблиотек компании BSAFE.

Значительное ухудшение ситуации произошло только сейчас, но накопившиеся события последних трех месяцев заставляют сделать вывод, что ничему не следует верить.

А точнее, нет ничего, чему можно было бы доверять. И это намного хуже, чем знать об угрозе продуктам X, Y и Z. Ведь в последнем случае можно просто не пользоваться ими. Но теперь, когда у нас есть прямые доказательства активного участия АНБ в разрушении определенных криптографических протоколов и налаживании партнерских отношений с поставщиками технологий для производства сертифицированного уязвимого программного и аппаратного обеспечения, возникает большой вопрос: а что еще не сломано?

Увы, мы не знаем на него ответа.

В более простые и не столь циничные времена (скажем, в мае) мы думали, что наши спецслужбы шпионят только за нашими врагами. Затем появились первые утечки информации от Эдварда Сноудена, и мы обнаружили, что АНБ коллекционирует все наши телефонные разговоры. На всякий случай, понимаете? Затем мы обнаружили, что агентство шерстит большую часть интернет-трафика, попадающего на территорию США, из-за — ужас-ужас! — терроризма. Но у нас еще осталось шифрование. Пока мы можем зашифровать нашу электронную почту и интернет-трафик, мы же защищены от ее перехвата, верно? Увы. Оказывается, АНБ уже хозяйничает и в этом курятнике, взламывая стандарты и криптоалгоритмы, а также изобретая пути обхода таких нюансов, как SSL (Secure Sockets Layer — криптографический протокол, обеспечивающий безопасность связи).

И вот теперь в этой атмосфере обвинений и инсинуаций появляется известие о том, что недавняя атака на бельгийскую телекоммуникационную компанию Belgacom является работой британских спецслужб в лице Центра правительственной связи (Government Communications Headquarters, GCHQ). Какая связь с АНБ? Похоже, GCHQ использует технологии взлома, разработанные АНБ.

И так далее, и так далее, и так далее.

Итак, настал момент, когда самыми здравомыслящими из нас оказались параноики и конспирологи. Некоторые безумцы твердят: все еще не так плохо, как вы думаете, успокойтесь, небо еще не падает на наши головы. И в какой-то мере они правы. Небо еще не падает. Оно уже упало.

Фото David Sedlmayer. Источник: Flickr

Категории: Другие темы