NSA dała 10 mln dolarów łapówki za lukę w technologii szyfrowania od RSA?

23-12-2013, 07:25

Ile musi zapłacić agencja rządowa, aby firma zostawiła w swojej technologii tylną furtkę dla amerykańskich władz? Najnowsze doniesienia mówią, że firma RSA wzięła 10 mln dolarów. Sama firma zaprzecza.

We wrześniu tego roku w mediach pojawiły się wycieki na temat narzędzi szyfrowania złamanych przez amerykański wywiad. Wyszło wówczas na jaw, że Agencja Bezpieczeństwa Narodowego (NSA) wiele zrobiła w celu promowania takich standardów szyfrowania, które nie będą całkiem skuteczne. 

Również wtedy okazało się, że jedną z firm współpracujących z NSA mogła być RSA Security LLC, która w swoim oprogramowaniu BSafe zastosowała wadliwy generator liczb losowych, znacznie ułatwiający złamanie zabezpieczeń. Warto zaznaczyć, że jeszcze przed wyciekami Snowdena eksperci od bezpieczeństwa wyrażali wątpliwości co do tej technologii i nawet sugerowali, że mogła to być tylna furtka dla władz.

10 mln dolarów za tylną furtkę

Do tej pory o tym wszystkim mówiono, ale nie wspominano, że firma RSA mogła wziąć 10 mln dolarów łapówki za wdrożenie wadliwej technologii. Taką właśnie informację podał przed weekendem Reuters, powołując się na dwa źródła zbliżone do sprawy.

To wiele zmienia, bo do tej pory sądzono, że firma RSA mogła współpracować z NSA pod naciskiem. Oczywiście łapówka nie wyklucza istnienia jakiejś dodatkowej presji, ale jednak wiele zmienia w ocenie sytuacji (zob. Reuters, Exclusive: Secret contract tied NSA and security industry pioneer).

Wcześniejsze wycieki wspominające o kontraktach amerykańskiego wywiadu z firmami informatycznymi mówiły, że kontrakty te zawierane są w najwyższej tajemnicy. Czasem wie o nich szef i kilku najważniejszych pracowników w firmie. Warto jednak zauważyć, że 10 mln dolarów to nie jest kwota łatwa do przeoczenia. Z pewnością stanowiła ona dla RSA ważny zastrzyk finansowy.

RSA zaprzecza

Firma RSA początkowo nie skomentowała najnowszych doniesień Reutersa (zob. aktualizacja). Ograniczyła się do oświadczenia, że "zawsze działa w najlepszym interesie swoich klientów" oraz "w żadnych okolicznościach nie projektuje i nie wdraża tylnych furtek" do produktów. Użyty w tym oświadczeniu czas teraźniejszy mógł sugerować, że firma w przeszłości robiła coś takiego.

Dopiero wczoraj RSA opublikowała na swoim blogu obszerniejszy komentarz dotyczący doniesień prasowych. Firma kategorycznie oświadczyła, że nigdy nie weszła w kontrakt albo inny projekt z intencją osłabienia swoich produktów lub wprowadzania "tylnych furtek"dla czyjegokolwiek użytku. Firma zwróciła też uwagę na to, że gdy w przeszłości wprowadzała wadliwą technologię, była ona szeroko wspierana, a NSA stanowiła podmiot bardziej zaufany niż dziś. 

zdjęcie
Dawanie łapówki - fot Shutterstuck.com

Opłacone tylne furtki -  trzy problemy

Czy wierzyć RSA czy doniesieniom prasowym? Prawda może być gdzieś po środku, bo może źródła Reutersa wiedziały o kontrakcie, który ostatecznie nie został zawarty? Tak czy owak dla amerykańskich obywateli te doniesienia otwierają trzy problemy.

Po pierwsze, można się teraz zastanawiać, jaka część czarnego budżetu amerykańskich służb, wynoszącego ponad 52 mld dolarów rocznie, jest przeznaczana na podobne łapówki? To istotne pytanie, bo Amerykanom może się naprawdę nie podobać to, że agencja rządowa płaci firmom za osłabianie tych technologii, za które następnie płacą klienci, bo wierzą w ich skuteczność. 

Sonda
Czy służby specjalne powinny się angażować w osłabianie powszechnych zabezpieczeń?
  • tak
  • raczej tak
  • raczej nie
  • nie
wyniki  komentarze

Po drugie, należy poważnie się zastanowić nad tym, czy służby specjalne w ogóle powinny być uprawnione do zawierania takich kontraktów z firmami? Tylne furtki mogą służyć każdemu, nie tylko wywiadowi amerykańskiemu. Skoro Snowden mógł wynieść tak wiele dokumentów z NSA, ktoś inny mógł wynieść informacje o tylnych furtkach. NSA nie tyle zapewniła sobie tylne furtki, ile stworzyła je, by potem korzystał z nich każdy zainteresowany. 

Trzeci problem to szkodzenie gospodarce. Mówiono o tym już nieraz przy okazji dyskusji o amerykańskiej inwigilacji. Skoro amerykańskie firmy biorą łapówki za dziury, to czy warto ufać amerykańskim firmom? Tutaj trzeba podkreślić, że nawet jeśli RSA nie wzięła pieniędzy, to medialne doniesienia na podstawie wycieków mogą zaszkodzić jej interesom.

Czytaj także: NSA złamała popularne narzędzia szyfrowania? Nowe wycieki od Snowdena


  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930