Tag Archives: служби

Реформа в службите: електронен обмен на класифицирана информация

Post Syndicated from Bozho original https://blog.bozho.net/blog/4298

„Реформа в службите“ е интуитивно ясно какво цели – службите да спрат да се занимават с компромати и активни мероприятия, а да се фокусират върху разузнаване, контраразузнаване и национална сигурност. Но немалко хора, с право, питат за конкретика.

Та ето една от многото теми, по които трябва реформа: електронен обмен на класифицирана информация и съответната криптографската сигурност.

Класифицирана информация (държавните тайни и информацията, чието изтичане би застрашило сигурността на страната) има три нива: поверително, секретно, строго секрерно. Информация с ниво „секретно“ и „строго секретно“ в България се обменя само на хартия (освен ако не е с партньори в ЕС и НАТО, за които има електронна система). От много отдавна трябва да има електронен обмен, но това не се случва.

ДАНС разполага със система за обмен на класифицирана информация до ниво „поверително“, но липсват т.нар. криптори, които ДАНС да сертифицира за по-високи нива.

Какъв е проблемът да се обменя на хартия (с т.нар. секретни куриери).

На първо място удобството за работа. Което пряко влияе на ефективността. Наскоро, напр., приехме поправка: искания за СРС да се издават от регионални началници в МВР, защото иначе едни куфари с класифицирани документи пътуват до София за подпис).

Но също така: ограничаване на рисковете в работата на разузнавачите зад граница, които са поставени в невъзможност да си вършат работата сигурно и законосъобразно; ограничаване на рисковете при преноса от куриери; възможности за предаване на класифицирана информация в почти реално време, когато времето е важно.

За да стане това има две опции: разработване на криптори в България и адаптиране на криптори на европейски производители.

Крипторите са устройства, които се слагат в двата края на комуникационния канал („кабела“ най-грубо казано), които криптират комуникацията и я правят нечетима за всички извън тези, които имат сертифициран криптор с правилните ключове.

Да направим български такива е скъпо – държавата трябва да възложи на някоя фирма да ги разработи, но това е доста работа, и дори да има фирма с подходящата експертиза, устойчивостта на това решение е под въпрос. Затова и не се случва вече десетилетия.

Другата опция е са адаптира криптор на западна компания, като моето предложение е българските алгоритми да се насложат върху стандартните (напр. AES), за да е защитена информацията в случай на пробив/backdoor в един от двата. Така ще е и доста по-евтино.

И този подход не е безрисков – може да прочетете историята на Crypto AG, чрез чиито криптори ЦРУ е чело класифицираната информация на други държави, но в днешно време криптографията е доста по-развита и конвенционалните алгоритми за симетрично криптиране дават висока сигурност. Аз бих отишъл и по-далеч, като изследвам възможностите за ползване на асиметрична криптография, но това става твърде експертен разговор.

За целта, обаче, трябва промяна в закона за ДАНС, а преди промяната – сериозна дискусия, за да сме сигурни, че ще има резултат.

Дори тези много технически въпроси имат отношение и към ефективността на работата и към рисковете за корумпиране на системата.

Та, като казваме „реформа в службите“ имаме предвид много конкретни неща, които обаче (разбираемо) биха били скучни на широката публика. Но целта е ясна: ефективни служби, които се занимават с разузнаване и контраразузнаване, а не със създаване на политически интриги.

Материалът Реформа в службите: електронен обмен на класифицирана информация е публикуван за пръв път на БЛОГодаря.

За скандала с Pegasus и следенето на журналисти

Post Syndicated from Bozho original https://blog.bozho.net/blog/3790

Тази сутрин по БНР обсъдихме шпионския софтуер Pegasus, използван за следене на журналисти и опозиционери в режими по света, в т.ч. в Унгария. Ето накратко:

  • софтуерът влиза през отваряне на злонамерен линк или през компрометирано приложение и получава пълен достъп до телефона, благодарение на уязвимости на операционните системи
  • оправданието винаги е „борба с тероризма“. Обаче никога няма данни за реално предотвратени атентати.
  • само „добрите“ правителства ще имат достъп е наивен аргумент и не работи. Всяко правителство може да се изкуши, а може и от некадърност да „изпусне“ софтуера в по-лоши ръце
  • NSO (компанията, която разработва и продава Pegasus) казват, че не знаят как клиентите им го ползват. Но някак знаят, че се ползва за борба с тероризма. Последно?
  • наличието на обобщен списък от следени номера може да значи, че компанията всъщност знае кои са следените с нейния софтуер. Това е още по-голям проблем.
  • имам призив към ИТ сектора: имаме лукса да отчитаме етичните аспекти на предлаганата ни работа, защото добре платена работа има много. Нека не избираме да създаваме кибероръжия. Това във връзка с факта, че NSO има българска дъщерна компания – Circles, в която (вероятно) се работи по продуктите им.
  • много е важен демократичният (парламентарен и не само) контрол върху службите. Засега няма индикации България да е ползвала този софтуер, но следва съответната парламентарна комисия да провери имало ли е транзакции към NSO или нейни свързани дружества.
  • трябва да се помисли за забрана на търговията с уязвимости и произтичащ от тях софтуер – от това се възползват репресивни режими и чужди служби и няма легитимна пазарна стойност.

Всеки път трябва да си припомняме, че няма как да гарантираме, че само „добрите“ имат достъп до дадена технология. Както при дебатите около отслабване на криптирането, така и при използването на spyware.

Материалът За скандала с Pegasus и следенето на журналисти е публикуван за пръв път на БЛОГодаря.