Общепринятое мнение специалистов по безопаности всегда заключалось в следующем: если вы предпринимаете определённые меры, пользуясь Интернетом, то можете со спокойной душой работать в Сети. Однако совместный доклад New York Times и Guardian открыл большую тайну, что американская служба национальной безопасности NSA и центр правительственной связи Великобритании GCHQ уже на протяжение длительного времени используют уязвимости в протоколах передачи данных и занимаются взломом зашифрованной информации.
Для секретных служб особый интерес представляют не столько открытые коммуникации, сколько зашифрованные переписки и переговоры. NSA запустила проект под названием "Bullrun", а их коллеги из британского GCHQ - "Edgehill". Оба проекта разработаны, чтобы отследить информацию, например, распространяемую Эдвардом Сноуденом. Бюджет, выделенный на эти проекты, намного превышает любые суммы когда-либо выделявшиеся службам безопасности. В этом году американское правительство потратило $254,9 млн., что в 10 раз больше, чем стоимость другого проекта - PRISM. В этой области американской разведкой задействовано более 30000 человек.
Чтобы обойти шифрование данных, агентства используют различные методы. Например, TAO (Tailored Access Operation) нацелен на то, что перехватить сообщения в системе ещё до того, как оно будет зашифровано. В основном это касается серверов, маршрутизаторов и сетевых коммутаторов, но также этому подвержены и конечные пользовательские устройства (например, домашний компьютер). Огромные средства выделяются и на так называемые уязвимости нулевого дня (Zero Day Exploits), то есть ранее неизвестные уязвимости, которые впоследствие можно использовать для достижения своих целей. Протокол PPTP в виртуальных частных сетях (VPN) из-за различных проблем с безопасностью уже не является надёжным, однако он по-прежнему используется.
Что касается самого шифрования, то здесь секретные службы прибегают к другим способам взлома. Для этих целей им необходимо либо украсть ключ, либо внедрить "бэкдор" в аппаратное или программное обеспечение, используемое для шифрования. Этот подход уже не имеет прямого отношения к NSA, а выглядит как случайные ошибки и уязвимости в устройствах и в ПО. Однако даже небольшая брешь в системе может стать настоящей бомбой для разрушения шифрования. В связи с этим возникает один вопрос: сотрудничают ли разработчики устройств и программного обеспечения с секретными службами для оставления таких бэкдоров, или это всё чисто случайные ошибки? В отчётах New York Times и Guardian конкретные названия компаний не сообщаются, но предполагается, что такое сотрудничество время от времени происходит.
Как можно защитить себя, и какие меры безопасности можно предпринять?
Очевидно, что основной целью секретных служб являются виртуальные частные сети, сервисы VoIP и мобильные 4G-сети. UMTS уже несколько лет считается ненадёжной в плане конфиденциальности информации, поэтому следует учитывать, какие данные вы передаёте через мобильные сети. В VPN-сетях следует отказаться от использования протокола PPTP, и если возможно, то перейти на OpenVPN с AES-256-CBC. Можно посмотреть на само шифрование. Чем более открыта разработка, тем выше шанс, что какая-то третья сторона сможет вклиниться в процесс общения или расшифровать его. Сноуден сказал: "Шифрование работает. Правильно реализованное и сильное шифрование - это одна из немногих вещей, на которые пока можно полагаться."