וִידֵאוֹ: RSAC x ELLA — NBA (Не мешай) (OFFICIAL VIDEO) (נוֹבֶמבֶּר 2024)
כשברוס שנייר עבר לבמה אחרת בכנס RSA, שופע בחולצה פרחונית סגולה, הוא נתן מצגת שונה מאוד מאשר פאנל מוקדם יותר מבוחני המודיעין בוושינגטון. שנייר, ה- CTO של Co3 Systems והמחבר, נתן את השקפתו של חנון האבטחה. הוא גם נתן את תשובתו לשאלה שכולם שאלו: איך נמנע מלהיות מרגלים?
אסוף הכל
שנייר פירט את המצב כפי שהוא רואה אותו היום: כי ה- NSA הפך את האינטרנט לפלטפורמת מעקב ענקית שהיא גם חזקה מבחינה טכנית וגם מבחינה משפטית. "ביסודו, המשימה של ה- NSA היא לאסוף את הכל", אמר שנייר, והתחקה אחר השקפה זו לאינטרס "המציצני" של ארה"ב בברית המועצות במהלך המלחמה הקרה.
לאחר קריסת ברית המועצות, הרעיון של מעקב בכל מקום היה רדום עד ה- 9/11. "מודיעין קיבל משימה בלתי אפשרית: לעולם לא עוד", אמר שנייר. "אם נותנת לך את המטרה הקוויסיקוטית למנוע ממשהו לקרות אי פעם, הדרך היחידה להשיג זאת היא לדעת הכל."
כמובן, ה- NSA לא פעל בוואקום. שנייר הצביע על שני שינויים מרכזיים שסייעו ביצירת פעולת הריגול המסיבית המוכרת לנו כיום. הראשון היה עלות החיפוש והאחסון, שלדברי שנייר צנחה למצב שבו ניתן היה לאחסן ולחפש כמויות אדירות של נתונים.
שנית, היה שינוי פילוסופי הן בהתנהגות המשתמשים והן בחברות הטכנולוגיה. "אנו בונים מערכות המרגלות על אנשים בתמורה לשירותים", אמר שנייר. "מעקב הוא המודל העסקי של האינטרנט." חשבו על זה מבחינת התיאבון הגועש של פייסבוק למידע אישי, או אפליקציות לנייד שמוכרות מידע על המשתמש בכדי לייצר רווחים ממשחק בחינם. "זהו תור זהב של מעקב, פשוט מכיוון שיש כל כך הרבה מידע בחוץ", אמר.
קריפטו הוא עדיין המפתח
למרות חלק מהאבדון והקדרות שאולי תקראו על הדלפות השלגדן, שנייר היה חד משמעי בטענה כי חברות ואנשים פרטיים יכולים להגן על עצמם מפני מעקב. "קריפטוגרפיה עובדת, " אמר. "ה- NSA לא יכול לשבור את זה וזה מעצבן אותם."
כדוגמא, הוא הצביע על מידע שהודלף שהצביע על כך שה- NSA שלף פי עשרה את הנתונים מ- Yahoo! מאשר מגוגל, למרות של- Google יש הרבה יותר משתמשים. שנייר הסביר כי בזמנו גוגל משתמשת ב- SSL כברירת מחדל ו- Yahoo! לא היה. ה- NSA מסתמך בעיקר על נתונים לא מוצפנים, שיש בהם המון. "הפכנו איסוף בתפזורת לקל מדי, וה- NSA מנצלת את זה."
המפתח, התעקש שנייר, היה להשתמש בקריפטוגרפיה כדי להחמיר את איסוף הכמויות. "ל- NSA אולי יש תקציב ענק, אבל הם לא עשויים קסם, " אמר. "המטרה שלנו צריכה להיות למנף את הכלכלה, את הפיזיקה ואת המתמטיקה כדי להפוך את הציתות ליקרות יותר." הוא הודה כי אוסף ממוקד ככל הנראה יהיה תמיד אפשרות לאיסוף מודיעין, אולם אוסף גורפים מהווה איום גדול בהרבה.
כמובן שלא הכל שוקולד ורדים. שנייר גם שיתף את אמונתו, בהתבסס על קריאתו במסמכים שהודלפו, כי ל- NSA יש צורך באיזו טכנולוגיה קריפטנליזה חזקה. הוא אמר כי נראה כי ה- NSA הצליח לפתח את החלק במתמטיקה, אך הוא היה מתוסכל מהבעיה ההנדסית של לגרום לו לעבוד הרבה והרבה מידע. "רוב הקריפטו מניע את NSA מלוכלך, לפחות בקנה מידה, " אמר.
בכל מה שיש ל- NSA בנושא קריפטוק קריפטה, שנייר יכול היה להציע רק את ההשערה שלו. ייתכן שה- NSA פיצח איזושהי סוג של עקומות אליפטיות המשמשות בקריפטוגרפיה של עקומת אליפסה, או מצאו דרך להחתיר את דור המספרים האקראיים, בין שיטות אחרות.
תקן את ה- NSA, הגן על אנשים בנתונים גורפים
כמו מגישים אחרים ב- RSA, שנייר אמר כי ניתן לשפר את ה- NSA באמצעות נורמות מקומיות ובינלאומיות המגדירות את אופן הפעולה של המעקב. הוא גם קרא לחוקים גדולים יותר מצורות מעקב או סוכנויות מסוימות. לדבריו, הדיון בחקיקה במונחים של זכויות יסוד הוא הדרך הנכונה למסגרת הדיון.
עם זאת, שנייר אמר שיש נושא גדול יותר בעבודה במסגרת הדיון סביב התוכניות של ה- NSA: ניתוח נתונים בכמות גדולה. "השאלה הכללית כאן היא כיצד אנו מעצבים מערכות נתונים המועילות לחברה אך מגנות על אנשים באופן אינדיבידואלי", אמר. כדוגמה, שנייר הציג מאגר מידע היפותטי עם מידע רפואי מכל אדם על כדור הארץ. זה יהיה בעל ערך רב לרופאים ככלי מחקר, אך זה יחשוף את המידע האישי של האנשים במאגר.
"אני חושב שזה הנושא הבסיסי של עידן המידע", אמר שנייר. "אולי ה- NSA אינו המקום הטוב ביותר להתחיל בו, אבל זה המקום שיש לנו."