كيف مكتب التحقيقات الفدرالي مقابل يمكن لشركة Apple أن تشل أمن الشركات والحكومة

في الوقت الذي تحارب فيه العبارات الخطابية والقانونية لمكتب التحقيقات الفدرالي ووزارة العدل تشفير Apple تواصل التصعيد، من الطبيعي أن معظم النقاش تركز على الخصوصية الشخصية والدور التكافلي الذي تلعبه هواتفنا الآن في حياتنا.. حتى الرئيس أوباما نفسه ، انحياز مع مكتب التحقيقات الفدرالي في الجنوب من قبل مؤتمر الجنوب الغربيقال ، "لا يمكنك اتخاذ موقف مطلق في هذا الشأن. إنه يجذب هواتفنا فوق كل قيمة أخرى ، ولا يمكن أن يكون هذا هو الجواب الصحيح ".

بينما تركز المناقشة على الخصوصية والجريمة ، فإن ما يضيع في الغالب هو تحليل الآثار التجارية المحتملة والحكومية - وليس فقط التأثير على شركة Apple ، بائعي التكنولوجيا ، ووكالات إنفاذ القانون ، ولكن الآثار على مجتمع الأعمال الأوسع والتشغيل اليومي لآلاف الوكالات على جميع المستويات حكومة. من وجهة النظر هذه ، يمكن أن يصبح بيان الرئيس ، "... إنه منفتش التحقيق في مجموعة محدودة من الجرائم شديدة الخطورة فوق كل قيمة أخرى."

أعمل يوما بعد يوم كمحلل صناعة أمن تكنولوجيا المعلومات. عملت سابقًا نائبة رئيس أبحاث في Gartner ، حيث كنت المحلل الرئيسي لتشفير مراكز البيانات ، وأدير الآن شركتي الخاصة. على مدار الخمسة عشر عامًا الماضية ، قدمت المشورة لبعض أكبر الشركات والهيئات الحكومية في العالم بشأن استخدام أنظمة التشفير. لقد كتبت أوراق بحثية متعددة ، وما زلت أعمل مع معظم موردي تكنولوجيا التشفير الرئيسيين.

بمعرفة كيفية استخدام التشفير في جميع أنحاء عالم الأعمال ، من الواضح أن إحدى أدوات الأمان الأساسية لدينا هي في قلب نقاش حول الحقوق المدنية ، وأقل خطأ يمكن أن يعيق أمن الشركات والحكومة عقود.

في SXSW ، حذر الرئيس أوباما من اتخاذ موقف "مطلق".

التشفير هو العمود الفقري للتكنولوجيا ، ونحن نقطعه طوال الوقت

التشفير في كل مكان في العالم الرقمي. نحن نستخدمها في كل معاملة تتم باستخدام بطاقة الائتمان ، وفي كل مرة نقوم فيها بفتح سيارة بحامل مفتاح ، في كل مرة نقوم بتسجيل الدخول إلى أي شيء تقريبًا باستخدام كلمة مرور أو زيارة موقع ويب آمن أو الاتصال بشبكة لاسلكية أو تحديث البرامج أو القيام بأي شيء باستخدام مصرف. يعتمد المجتمع على التشفير لأكثر من مجرد حماية هواتفنا والدردشات عبر الإنترنت.

التشفير هو مجرد الرياضيات ، وليس السحر. إنه مجال رياضي مدروس بشكل مكثف مع مجموعة كبيرة من الأعمال في المجال العام. قيدت حكومة الولايات المتحدة مرة واحدة تصدير منتجات التشفير القوية ، مما أجبر الشركات على استخدام أضعف الإصدارات في الخارج ودعم التشفير الأضعف هنا في المنزل نظرًا لأن الإنترنت لا يحترم الوطنية الحدود. إنه قرار ما زلنا ندفع سعره يوميًا ، كما في وقت سابق من هذا العام اكتشف الباحثون نقطة ضعف أخرى في حوالي ثلث الإنترنت مباشرة بسبب هذا الضعف المتعمد في التسعينات.

كانت المعركة والمعروفة باسم حروب التشفيروالحكومة في عهد الرئيس كلينتون تراجعت في نهاية المطاف. لم تفعل محاولات السيطرة أكثر من إضعاف أمن المنتجات والشركات. خوارزمية التشفير ليست جهاز طرد مركزي نووي ، وعندما كان كل ما عليك فعله هو طباعة كود المصدر للبرنامج في كتاب وشحنه إلى الخارج لكي يقوم شخص بمسحه ضوئيًا إلى جهاز كمبيوتر وتجميعه، أصبحت فكرة تقييد القليل من الرياضيات بحدود وطنية هزلية. خاصة عندما كانت تلك الرياضيات قانونية وعامة بالفعل.

تراجعت حكومة الولايات المتحدة عن معركة التشفير لأنها كانت ضرورية لإدارة الشركات والخدمات الحكومية عبر الإنترنت. أدت محاولات السماح بالتشفير خارج الدولة فقط في حالة ضعف إلى ترك الجميع عرضة للهجوم نظرًا لأن الأنظمة المحلية بحاجة أيضًا إلى دعم المستويات الأمنية الدنيا. لا تزال بقايا تلك المحاولات المبكرة لها عواقب بعد عقود.

حتى من دون قيود على التشفير ، فإن التنفيذ الصحيح صعب. عندما قمت بتأليف أ ورقة حول الدفاع عن بيانات المؤسسة على iOS 7، كان عليّ أن أصف أفضل طريقة للتعامل مع تشفير Apple غير المكتمل - الثغرات التي بدأت هذا النقاش ، وتم إغلاقها لاحقًا في iOS 8.

ال وزارة العدل ، في آخر موجز لها ، تنص على ذلك، "هذا العبء ، الذي هو غير معقول ، هو نتيجة مباشرة لقرار التسويق المتعمد من شركة آبل لتصميم منتجاتها حتى لا تتمكن الحكومة من تفتيشهم ، حتى بأمر. " هذا البيان هو كذب كاذب متنكرا في التمني تفكير. كان تحسين تشفير iOS 8 قرارًا أمنيًا ، أشاد به قسم أمن تكنولوجيا المعلومات في كل مكان ، والذي لطالما كان يشفر أجهزة الكمبيوتر المحمولة إلى مستوى متساوٍ.

التشفير صعب بما فيه الكفاية دون الحاجة إلى إضافة أبواب خلفية أو آليات مشاركة مفاتيح آمنة لا تتناسب بشكل جيد.

كل مفتاح ذهبي هو مفتاح هيكلي

في جنوبه بخطابه الجنوبي الغربي ، صرح الرئيس أوباما، "أظن أن الإجابة ستنشأ عن كيفية إنشاء نظام يكون فيه التشفير قويًا قدر الإمكان ، والمفتاح هو آمنة قدر الإمكان ، يمكن الوصول إليها من قبل أقل عدد ممكن من الناس ، لمجموعة فرعية من القضايا التي نوافق عليها مهم."

هناك تقنيات موجودة لتمكين وصول طرف ثالث إلى أنظمة مشفرة بشدة. تستخدم إحدى الطرق المستخدمة على نطاق واسع مفتاحًا بديلاً لفك تشفير البيانات. غالبًا ما تدعم الشركات أكثر من مفتاح لقطعة بيانات أو كمبيوتر لأسباب مختلفة ، مثل التأكد من أن قسم تكنولوجيا المعلومات لا يزال بإمكانه استعادة نظام الشركة إذا حاول الموظف قفلها خارج.

Apple ومقدمو التكنولوجيا الآخرون استطاع استخدم هذه الطريقة المعروفة للسماح للحكومة بالوصول إلى الأنظمة. الحقيقة هي أنه يمكن القيام بذلك بشكل آمن نسبيًا. نحن نعرف كيف نحافظ على أمان مفاتيح التشفير الحساسة للغاية. عادة ما يتضمن العديد من الأشخاص الذين يحملون أجزاء فقط من إجمالي المفتاح ، والأمن المادي الشامل ، والأنظمة غير المتصلة بالشبكة. تجاهل اعتبارات الخصوصية الدولية ، وتأثير ذلك على موفري التكنولوجيا الدوليين العمليات التجارية ، إذا تم إنشاء مثل هذا النظام واستخدامه في ظروف نادرة ، فمن غير المرجح أن يكون مكسورة.

المشكلة هي أنه من المستحيل توسيع نطاق هذا النوع من النظام. أولاً ، إذا كان مكتب التحقيقات الفدرالي يرغب حقًا في التخلص من التخزين والاتصالات المشفرة (المشفرة بشكل صحيح) ، فسوف يحتاجون إلى المفتاح لكل منتج مشفر وخدمة على الإنترنت. سيحتاجون إلى آليات عالية الأمان لكل مطور برامج ومصنع للأجهزة لتوفير مفاتيحهم. نظرًا لأن هذا غير قابل للتطبيق تمامًا ، ربما فقط الشركات المصنعة والمطورين الرئيسيين الذين يتجاوز حجمهم معينًا عليهم المشاركة.

ثم هناك مسألة الوصول. هل يستطيع مكتب التحقيقات الفدرالي فقط استخدام النظام في قضايا الإرهاب؟ هل يمكن لضباط إنفاذ القانون المحليين الوصول إلى صيد الأطفال المفترسين؟ تجار المخدرات؟ هل يمكن أن يقتصر هذا على الولايات المتحدة فقط؟ أو هل ستحصل دول أخرى ، بما في ذلك دول مثل الصين ، التي تتهمها الحكومة الأمريكية نفسها علنًا باختراق أنظمة الشركات ، على إمكانية الوصول أو تتطلب مفاتيح بديلة خاصة بها؟ هذه أسئلة مشروعة ومعقدة ، وليست مجرد حجج منحدرة زلقة. كلما زاد الوصول إلى المفتاح ، كلما تم استخدامه بشكل أكبر ، كلما كان التعريف أقل أمانًا.

تجاهل مخاوف الخصوصية ، يمكن أن يصبح التأثير على أنظمة الأعمال والحكومة (وبالتالي العمليات) معوقًا.

التأثير على الأجهزة

عندما أنصح الشركات بتشفير أجهزة الكمبيوتر المحمولة بشكل صحيح ، وبصرف النظر عن التعقيدات في الإدارة الرئيسية ، يجب علي توجيهها من خلال جميع نقاط الضعف المحتملة. على سبيل المثال ، أخبرهم إذا كانوا يعبرون حدودًا دولية معينة أو يحتفظون بمعلومات حساسة للغاية على جهاز Mac فقد يفقدون جسديًا التحكم في ضمان إغلاق النظام دائمًا ، وعدم وضعه في وضع السكون ، لأن مفاتيح التشفير غالبًا ما يتم تخزينها في ذاكرة الوصول العشوائي غير المرغوبة ، تاركة نظام التشغيل Mac غير حصين.

ما الأجهزة التي ستحتاج إلى مفاتيح الاسترداد؟ فقط في الولايات المتحدة أو في كل مكان؟

هذه ليست جنون العظمة. نحن ندرك حقيقة أن بعض الحكومات تخترق الشركات (والحكومات الأخرى) ، والكمبيوتر المحمول المسروق يمكن أن يكون مصدرًا رائعًا للمعلومات. وينطبق الشيء نفسه على التجسس الصناعي (إنه حقيقي) أو الهجمات الإجرامية المستهدفة. تنفق الشركات ملايين عديدة من الدولارات لتأمين أجهزة الكمبيوتر المحمولة باستخدام برامج تشفير للمؤسسات ، وملايين أخرى على إدارة الهواتف والأجهزة اللوحية الآمنة.

إذا كان مكتب التحقيقات الفدرالي يفرض مفاتيح فك تشفير بديلة لجميع الأجهزة ، فمن المحتمل أن يتم إنشاء هذه المفاتيح لجميع أنظمة الشركة ، وليس فقط هواتف المستهلكين. إذا لم يطبق مثل هذا القانون على أجهزة الكمبيوتر المحمولة ، فستكون هذه طريقة سهلة للتغلب على المتطلبات. إذا حدث ذلك ، فإن الحكومة تحصل على وصول مباشر إلى جميع تلك الأنظمة ، وآليات تبادل المفاتيح المعقدة ستحتاج إلى إنشاء ويجب على كل شركة أو وكالة حكومية تقوم بتشفير توفير الانتعاش مفاتيح.

ثم كيف ستتعامل الشركات مع العمليات الدولية؟ أو شركات دولية لديها عمال في الولايات المتحدة؟ هذا قبل أن ندخل في مسألة الدول الأخرى التي تتطلب مفاتيح الوصول الخاصة بها. قد تكون إحدى النتائج أن الأجهزة المشفرة دوليًا لا يمكن الوصول إليها بواسطة الولايات المتحدة ، وأنظمة الولايات المتحدة آمنة في بلدان أخرى - ما لم تتعاون الحكومات في القضايا الكبرى وتبادل الأدلة ، وهو أمر غير مسبوق.

إذا كان النطاق مقصورًا على الهواتف فقط ، وفقط في الولايات المتحدة ، وفقط للإرهاب وقليل من الحالات الأخرى ، فإن المخاطر والعبء الواقع على الشركات الأمريكية قد يكون قابلاً للإدارة. ولكن بناء على الأهداف المعلنة لمكتب التحقيقات الفدرالي والرئيس أوباما ، فمن المنطقي أن نتحمل النطاق أوسع ، ومن الصعب أن نتخيل أن الولايات المتحدة فقط هي التي ستفرض مفتاحًا ذهبيًا ، ولها فقط هواتف. حتى بدون بعض المتسللين الخبيثة الذين يسرقون المفاتيح ، فإن النتيجة النهائية هي أجهزة الشركات ، خاصة تلك المستخدمة في السفر الدولي ، لم تعد تعتبر آمنة في كثير من العالم الحقيقي مواقف.

التأثير على الاتصالات والإنترنت

في تصريحات سابقة ، أعرب مدير مكتب التحقيقات الفدرالي جيمس كومي عن قلقه بشأن الاتصالات المشفرة ، مثل iMessage ، حيث لا تستطيع الحكومة الوصول إلى المفتاح. تعتمد الشركات على اتصالات آمنة على مستويات متعددة ، تتراوح من اتصالات الموظفين لتأمين المعاملات مع الشركاء والخدمات.

مع بعض هذه الأنظمة ، يمكن للحكومة أن تفرض الوصول إلى الباب الخلفي ، مما يجبر المزود مثل Apple أو الفيسبوك للاحتفاظ بسجلات الاتصالات ، أو على الأقل القدرة على شم الاتصالات متى مطلوب.

ولكن ليست كل هذه الأنظمة مركزية. عادةً ما تقوم الشركات بإعداد أنظمة الاتصالات الخاصة بها المستضافة نظرًا لأنها لا تثق في مزودي الخدمة الخارجيين أو لأسباب تنظيمية. إذا كانت أداة مثل iMessage تتطلب الوصول ، فماذا عن شبكات VPN؟ اتصالات آمنة لمواقع الويب وخوادم البريد الإلكتروني؟ أنظمة المراسلة الآمنة؟ أنظمة نقل الملفات الآمنة؟ أنظمة المعاملات المالية التي تعمل عبر الإنترنت؟

كل هذا يعتمد على نفس مجموعة التقنيات التأسيسية ، وكلها يسيء استخدامها من قبل المجرمين كل يوم. إن القلق من أنها قد تكون ضمن النطاق التنظيمي ليس أمرًا عقليًا.

هناك الآلاف من الأنظمة والتقنيات الموجودة ، وعدد قليل من الخطوط بين تلك التي تستخدمها الشركات والجمهور العام. إذا تحول الأشرار من مقدمي الخدمات المعروفين للعمل مع الحكومة إلى المصدر المفتوح و التقنيات التجارية المستخدمة من قبل الأعمال التجارية ، ومن المرجح أن تدعم هذه الأنظمة الحكومة التمكن من. وهذا يعني الأبواب الخلفية ومفاتيح الاسترداد ، نظرًا لعدم وجود أي بديل معروف.

هذا يعيدنا إلى نفس المشاكل التي لدينا مع الأجهزة. ببساطة ليس لدينا القابلة للتطوير آليات لدعم الوصول القانوني دون الحد من الأمن. هناك خطر حقيقي للغاية من أن الاتصالات الآمنة على مستويات متعددة يمكن أن تتعرض لخطر شديد ويؤدي إلى خسائر جنائية حقيقية. وذلك قبل أن نبدأ القلق بشأن الحكومات الأجنبية.

التأثير على مراكز البيانات والتطبيقات

لا يوجد التشفير الأقوى في عالم الشركات في الهواتف ، ولكن في مراكز البيانات. تستخدم الشركات بشكل عام أجهزة أمان متخصصة تم تصميمها كخزائن غير قابلة للكسر لمفاتيح وعمليات التشفير. هؤلاء وحدات أمان الأجهزة، أو HSMs ، والبنوك الآمنة ، وتجار التجزئة ، وحتى النسخ الاحتياطية لـ iCloud Keychain. يتطلب الوصول بطاقات ذكية (أحيانًا بطاقات متعددة يحتفظ بها موظفون مختلفون) ، ويمكن أن يؤدي العبث المادي إلى حذف جميع المفاتيح المخزنة بشكل آمن.

إذا كنت لا ترغب في شراء HSM ، فيمكنك دائمًا استئجار واحد من أحد مزودي الخدمات السحابية الرئيسيين. إنها ليست رخيصة ، ولكنها توفر أقصى درجات الأمان حيث لا يمكن حتى لمزود الخدمة السحابية الوصول إلى بياناتك.

هذا مجرد مثال واحد لأدوات التشفير القوية الضرورية تمامًا لتأمين مراكز البيانات والتطبيقات. هذه المعدات وهذه الأدوات ليست أنواع الأشياء التي يمكنك التقاطها في Best Buy ، لكنها بالتأكيد ضمن ميزانيات الإرهابيين ومجموعة من المجرمين. فهي أكثر أمانًا من أجهزة iPhone ويمكن استخدامها بسهولة لبناء أنظمة التخزين والاتصالات. نستخدمها لقواعد البيانات المالية والطبية المشفرة ، أو تخزين الملفات بشكل آمن ، أو حتى للحفاظ على رموز CVV الصغيرة هذه على ظهر بطاقة الائتمان الخاصة بك آمنة.

إذا ظلت هذه الأدوات قانونية للمؤسسات ، فمن المرجح أن تستخدمها المجموعات الشائنة لتجنب المراقبة الحكومية لتكنولوجيا المستهلك. إذا كان مطلوبًا من الشركات إضافة أبواب خلفية ومفاتيح ذهبية أيضًا ، فإننا نقوض مرة أخرى أساس الأمن الرقمي.

  • Aug 04, 2021
  • 31
  • 0
instagram story viewer