Single point of failure: le richieste del governo degli Stati Uniti per le password possono essere un vettore di attacco?

Naviga le tue risposte
7

Nelle notizie recenti, CNET ha segnalazioni richieste di password, hashing e / o algoritmi di crittografia e sali da parte delle agenzie governative degli Stati Uniti:

The U.S. government has demanded that major Internet companies divulge users' stored passwords, according to two industry sources familiar with these orders, which represent an escalation in surveillance techniques that has not previously been disclosed.

Anche se sono solo leggermente preoccupato che possano impersonare gli utenti a piacimento, mi sembra una seria preoccupazione che i blackhats intraprendenti, privati o non statunitensi, APT-affiliati possano tentare di impersonare il governo degli Stati Uniti e ottenere l'accesso ai dati. Forse sto pensando troppo a questo ...

Related:

posta Deer Hunter 26.07.2013 - 11:52
fonte

1 risposta

5

Impersonare agenti di polizia è un vecchio trucco usato dai criminali per ingannare le persone oneste. Questo è un meccanismo utilizzato in numerosi film, ad es. questo .

Sebbene sia stato rivelato che il governo degli Stati Uniti ha richiesto (e presumibilmente ottenuto) alcuni dump di password utente da società Internet, i dettagli esatti dei protocolli utilizzati per tale scambio non sono noti. Possiamo immaginare che ha coinvolto un incontro faccia a faccia con alcuni agenti del governo, probabilmente in modo discreto (l'intera operazione doveva essere segreta, quindi nessun mandato o ufficiale in uniforme), ma il le persone responsabili delle società Internet di destinazione erano in qualche modo convinte che stessero parlando con autentici agenti statunitensi.

Se fossi nella posizione dell'agente dell'agenzia governativa che tentava di impostare questa intercettazione, vorrei prima invitare il CEO dell'ISP a incontrarmi in un edificio dall'aspetto molto ufficiale, ad esempio il Pentagono o il Quartier generale della CIA a Langley. Il ragazzo poi mi vedrà e si convincerà che sono davvero un membro ufficiale delle forze nascoste degli Stati Uniti, in virtù del fatto che potrò assicurare un ufficio nell'edificio principale della CIA. Quindi , ho potuto incontrare di nuovo il ragazzo di nuovo, nel suo ufficio, e lui mi riconoscerebbe e accetterà di consegnarmi un nuovo lotto di password.

Il punto importante in tutto questo è che la vulnerabilità non è il governo degli Stati Uniti; è che gli ISP sono apparentemente disposti a consegnare le password a qualcuno che potrebbe convincerli che opera sotto un mandato diretto del governo degli Stati Uniti. La vulnerabilità sarebbe ancora presente anche se il governo degli Stati Uniti non fosse mai stato coinvolto affatto!

Un altro vettore di attacco è in seguito. Supponiamo che un vero agente del governo abbia ottenuto le password. Quindi li conserverà. Da qualche parte. Saranno ben protetti lì? I contribuenti statunitensi sperano certamente che le costose agenzie di intelligence siano competenti e non archivieranno dati sensibili su server hackerabili. Ma possono esserne sicuri?

    
risposta data 26.07.2013 - 17:01
fonte

Leggi altre domande sui tag

Qual è la differenza tra attestazioni, attributi e ruoli? Quanto è importante una password mysql per localhost?