Nevidljivi hardverski trojanci

(1) Lako je reći da te neko špijunira, teško je dokazati. To je sve još uvijek na razini propagande. Zamjenjivanje kineskih računara je pametan potez u cilju predostrožnosti. Nisu oni koji to rade Hrvatska da nemaju domaće prizvođače kojima mogu da vjeruju pa moraju da koriste strane.

(2) Pitaj nekog kriptografa / sigurnosnog eksperta / sigurnosnog implementatora šta misli o tome. Ovo što ti tvrdiš nema veze sa mozgom.

Očito baš ništa nisi shvatio. Ali neka, tako je i puno bolje. Gdje bi stigli kada bi svi mislili svojom glavom.... Samo mali uvid u stvari - pitaj prosječnog ekonomista, pa čak i vrhunskog 2007 godine u šta je najisplatljivije ulagati.... Ovo ti je na neki perverzan način vrlo slično tome. Imaš svu matematiku (statistiku i modele), sve je otvoreno i dostupno, sve se kao zna, ali nekim "čudom" na kraju ipak nije tako..... Nema tu nikakvog čuda. Samo su svi gledali na krivo mjesto.

oh god, facepalm. nisam citao vijest aaaaaaaaaaa

Da si "napao" povijest, medicinu ili ekonomiju prihvatio bi to, jer i sam smatram da ima mnogo izokrenutih i skrivenih činjenica. Ali čovječe ti govoriš o matematici (teoriji vjerovatnoće, velikim prim brojevima, entropiji) i kažeš kako postoji neka "nezvanična" matematika koja je u suprotnosti sa "zvaničnom", i u kojoj je moguće nešto izračunati u n (n relativno mali broj) koraka, za razliku od "zvanične" u m koraka (gdje m teži u beskonačno). Gotovo svi komercijalni algoritmi kriptiranja su javni, tako da je nemoguće da postoji backdoor u samom algoritmu. Naravno uvijek postoji mogućnost da "službe" posjeduju tehnologiju za probijanje zaštite (kvantna računala), ali opet ne možeš reći da je problem u samoj implementaciji. Neki algoritmi se i danas usavršavaju pa vjerujem da bi neki od genijalaca do sada shvatio da je zaštitu moguće zaobići zbog manjkavosti matematičkog proračuna.

Pa ja i ne tvrdim da postoji "backdoor" u samom algoritmu. To bi bilo i u suprotnosti sa samom definicijom backdoor-a i čak je i meni to nezamislivo. Ja tvrdim da je velika vjerojatnost da postoji algoritam, odnosno matematička metoda kojom se istom problemu pristupa na potpuno drugačiji način, te se tako efektivno "zaobilazi" zaštita. I tvrdim da se ti algoritmi baziraju na matematičkim metodama koje nisu javno dostupne. Da budem još precizniji da je riječ o drugačijoj matematici koja se ne bazira ili se samo djelomično naslanja na uobičajene teoreme metematike, za razliku od ove koja se javno podučava. Ako bolje razmisliš ništa tu nije u suprotnosti jedno sa drugim. Riječ je o drugačijem metodološkom pristupu.

Čak i sa tradicionalnom matematikom vjerojatno postoje mnogi načini kako nešto riješiti a da se za njih ne zna javno. Osnovno što treba shvatiti (a tiče se znanosti) je sljedeće: Kada ti netko kaže da ništa nije brže od svjetlosti - taj priča gluposti i nije u pravu. Kada netko tvrdi da nešto generalno nije moguće postići - taj nije znanstvenik. Odnosno u pravu je ali samo u specijalnim situacijama koje NE čine pravilo. Dakle (da jako karikiram)  2+2=4 je točno, ali samo u specijalnim okolnostima .

Da citiram riječi poznatog pijanca i neprocesuiranog ratnog zločinca Čerčila (a i taj citat je isti ukrao od nekog drugog): "Možete varati neke ljude sve vrijeme i sve ljude neko vrijeme, ali ne možete varati sve ljude sve vrijeme." Ono što je pijanac propustio napomenuti (da pritom ponovim i samoga sebe) je da hvala nebesima to nije niti potrebno. Sasvim je dovoljno varati neke ljude svo vrijeme i neke ljude neko vrijeme. Kada to više ne prolazi samo zamijeni jednu laž za drugu i nastavi sve po starome. One koji su dovoljno pametni da te prokuže i dovoljno hrabri da se tome suprotstave - njih ili korumpiraj ili ih ubij ili im podmetni nešto (drogu, pedofiliju, neplaćanje poreza,...) da ih tako skloniš sa puta. Ako se kojim čudom nakon 5-7 godina "suđenja" i izvuku od lažnih optužbi pretvorio si ih u neopasnu, materijalnu i moralnu ruševinu.  I ne, to nije Machiavelli, to je "demokratska" praksa slobodnoga svijeta.... I da, to ima veze sa ovom temom.

Nisu te pljuvali radi toga vec sto si 2, 3 strane trollao da je moguce bez po muke ubaciti skrivene funkcionalnosti u otvoreni kod, a da to nitko ne moze primjetiti. Na sto si dobio odgovor da je takvo sto moguce implementirati upravo u zatvoreni SW ili HW, a gle cuda, ovdje je upravo o HW rijec.

Pljuvali su me između ostaloga i radi toga ovoga što ti kažeš, ali ne samo radi toga. I nikada i nigdje nisam rekao da je moguće takvo nešto napraviti "bez po muke". Pa ću sada ponoviti još jednom: Moguće je u otvoreni kod podmetnuti skrivenu funkcionalnost (dakle ne slučajni bug). Umjetnost je u tome da ista ostane "dovoljno dugo" skrivena kako bi bila iskoristiva. E to je ono što nije niti lako niti jednostavno. I najčešće se to radi u suradnji sa faktorima sa strane. Ti faktori su hardware (to je sada valjda svima jasno), ali i javni protokoli (TCP/IP,...) na koje se neka funkcionalnost naslanja. Najčešće sve zajedno. Osim tih tehničkih faktora to se postiže iskorištavanjem ljudskih slabosti. Od toga imamo nenamjerne (krive pretpostavke, nedovoljno znanje ili marljivost, nemogućnost sagledavanja cijele slike, kompleksnost implementacije, loša organizacija i sl.) i namjerne (njih neću nabrajati). Osnovni i temeljni problem je složenost ukupnog sustava i ljudska nemogućnost da u plastu sijena pronađe iglu u realnom vremenu bez resursa koji su za to potrebni. Realno vrijeme je ono vrijeme koje je netkome dovoljno da isplativo iskoristi propust. Osim toga ima namjernog podmetanja lakše uočljivih propusta (držite lopova), maskiranje u lošu implementaciju i/ili namjerna implementacija buga koju je relativno lako otkriti, unošenje nereda u proces kontrolinga, namjerno zakompliciravanje stvari i promjena smjera usred procesa standardizacije (dobivanje vremena) itd, itd, itd. Drugim riječima software kao složeni sustav je podložan svim boljkama kao i svi ostali složeni sustavi.

Defetizam? Fatalizam? Nažalost BILO je u ljudskoj prirodi biti slobodan. Deset-tisućljetnim postupkom civiliziranja i "uzgajanja" ljudskog stada je izgubljen i sam pojam što bi sloboda trebala značiti. Redovitim biološkim istrebljivanjem jedinki koje misle svojom glavom i djeluju, uništava se i genetska baza slobode.  Sama dostupnost informacije nije nažalost presudna. Naravno da stvari mogu izmaknuti kontroli, ali povijest je pokazala da time nije automatski osigurana sloboda. Često baš suprotno. U čemu je problem? Pa evo jednog banalnog primjera. Počni od sebe. Sigurno ti je palo na pamet da bi bilo dobro donijeti neki novi zakon o nečemu. Ali da te netko pita: U redu, da li se slažeš da taj novi zakon bude primjenjiv samo nad tobom i eventualno nad tvojim istomišljenicima? Mogu se kladiti da bi ti, i ostalih 99.99% ljudi rekao: A ne, zakon mora vrijediti za sve. Pa ti vidi koliko se može biti slobodan kada imaš milione zakona i propisa koji vrijede jednako za sve (a ustvari i ne vrijede nego njihova primjena ovisi o mnogo faktora), i njihov se broj još dramatično povećava. I to se ne mijenja. Porezi (60-70%+ ukupnog poreznog opterećenja), dakle ne odlučuješ niti o svom radu. Alternativa? Ne bih o tome. Nije niti vrijeme niti mjesto. Sloboda? Nemoj biti smiješan.

Mnogo je gore što ljudi vide opasnost tamo gdje je nema, dok im prava opasnost visi ispod nosa. Da vidimo kakva je realna situacija kod većine korisnika. Recimo da imaš uobičajene dokumente, glazbu, normalne fotografije, aplikacije i gomilu ostalih stvari koje svakodnevno gomilamo na disk. Za mene je najveća opasnost da slučajno ne izgubim sve te podatke, jer mi se često desi da ih poslije ne mogu pronaći na bespućima interneta, a mjesecima ih marljivo skupljam. Bude tu svega, raznih tutoriala, naučnih tekstova, raznih dodataka za aplikacije. Zato sve držim sinhronizirano u oblaku, i u slučaju havarije ili krađe mogu vratiti podatke. Pazi, ovdje pada i najčešći argument kako je dobro koristiti neko RAID polje, jer u slučaju krađe, poplave, požara sve otkazuje. Znači mene ne zanima što netko iz neke tajne agencije može vidjeti te podatke, jer ih ne želim skrivati. Isto bi o meni mogao saznati i prateći svakodnevno koje stranice posjećujem, jer ostavljam jako predvidiv otisak. Veća je opasnost da ti netko od poznanika i "prijatelja" dobije pristup podacima. E tu većina nas zakaže, jer se plašimo tamo nekih Amera, Kineza ili Rusa a znamo da se pravi neprijatelj krije među nama. Može to biti neki kolega sa faksa, posla, iz političke partije ili bivši ljubavni partner. Posebno je opasno ako ste neka javno eksponirana ličnost.

Svoje jako važne podatke možemo zaštititi kriptiranjem i čuvanjem na USB stiku. Ako vam performanse nisu previše važne stavite višestruke algoritme npr. AES-Twofish-Serpant i jako dug ključ. Ovdje sam svjestan mogućnosti da aplikacija za kriptiranje ima neke neželjene opcije, ugrađene u svrhu špijuniranja. Svakako je preporučljivo koristiti open source, ali je jako slab izbor kvalitetnih rješenja.

Ajme sto jos necu procitati ovdje. Tajne vrste matematike, matematicke metode koje nisu javno dostupne, sto je sljedece, voodoo matematika? Masonska matematika? Mislim, znam ljudi da vam je vecini matematika enigma i da ste imali jedva dvojku u skoli, ali dajte se skockajte i ne pisite nebuloze.

Cognitor kaže...

...Osnovno što treba shvatiti (a tiče se znanosti) je sljedeće: Kada ti netko kaže da ništa nije brže od svjetlosti - taj priča gluposti i nije u pravu. Kada netko tvrdi da nešto generalno nije moguće postići - taj nije znanstvenik. Odnosno u pravu je ali samo u specijalnim situacijama koje NE čine pravilo. Dakle (da jako karikiram)  2+2=4 je točno, ali samo u specijalnim okolnostima .

Da, taj JEST u pravu. Zasad, dok se ne dokaze suprotno. A to "zasad" traje vec dobrih 108 godina i jos ce trajati. I ne, nema tu nikakvih specijalnih situacija. Ako se iznese neka teorija, tada ta teorija mora vrijediti u SVIM slucajevima, a ako postoje specijalni slucajevi u kojima ne vrijedi, tada teorija NE valja i vrijeme je za rafiniranje ili odbacivanje.

2+2 = 4 je uvijek tocno (u uobicajenom algebarskom smislu, ne govorimo sad o npr. modularnoj aritmetici i sl.), a s obzirom da tvrdis da to nije istina i da je tocno samo u specijalnim okolnostima, koje su to okolnosti u kojima ne vrijedi (modularnu aritmetiku i sl. smo iskljucili)?