美国国家安全局的指责游戏:挑出RSA分散了其他人的注意力

RSA可能已经赢得了很多批评,因为它被指控根据与美国国家安全局(nationalsecurityagency)签订的一份合同,在其一项加密技术中启用了后门。但是,将该公司列为指责对象,会转移人们对其他技术供应商在支持国家安全局数据收集活动中可能扮演的角色的注意力。

在过去几天里,至少有8位知名演讲者取消了下个月RSA安全会议的会谈或小组报告,以抗议该公司与NSA的关系。

退出此次活动的人包括Mozilla隐私主管亚历克斯·福勒(Alex Fowler)、谷歌安全研究员亚当·兰格利(Adam Langely)和克里斯·帕尔默(Chris Palmer)、电子前沿基金会特别顾问玛西娅·霍夫曼(Marcia Hofmann)、芬兰安全公司F-Secure Mikko Hyponen首席研究官克里斯托弗·索吉安(Christopher Soghoian),美国公民自由联盟的高级政策分析师。未来几天可能会有更多的人加入。

抗议活动源于路透社12月20日的一篇文章,文章指称RSA在其BSafe加密软件中嵌入了一个有缺陷的随机数生成器,该生成器由美国国家安全局开发。这篇文章是根据美国国安局前承包商爱德华·斯诺登(Edward Snowden)泄露的文件撰写的,似乎证实了早些时候对这项技术安全性的怀疑。

据路透社报道,RSA获得了1000万美元作为交换,使NSA的双椭圆曲线算法成为该公司加密工具箱中随机数生成的默认选项。报告指出,政府可能在软件的真实性质上误导了RSA的官员。

在这份报告发表后的几天里,许多安全行业人士抨击了EMC公司的子公司RSA向这家间谍机构出售产品。RSA是加密领域的先驱,其产品被数百万公司和消费者用于保护敏感文档。该公司可能已经削弱了自己的加密产品,以使国家安全局窥探震惊了许多人。

八位发言人的抵制是这种愤怒的最新表现。

Hypponen是第一个退出会议的公司之一,他指责RSA继续使用有缺陷的随机数生成器,尽管多年来一直知道它有一个内置的后门。

在致RSA和EMC首席执行官的一封公开信中,Hyponnen表示,他取消了谈话,因为RSA默认接受了NSA提供的1000万美元,用于嵌入有缺陷的随机数生成器。

他写道:“贵公司已就此发表声明,但你们并没有否认这一说法。”。

其他一些取消了在RSA的露面的人在博客和Twitter上表达了类似的观点。安全咨询公司Taia Global的创始人兼首席执行官杰弗里•卡尔(Jeffrey Carr)呼吁RSA和EMC的领导层提高透明度。

卡尔在博客中写道:“非常重要的是,我们这些强烈反对RSA与NSA签订的1000万美元秘密合同的人不仅仅是在推特上表达我们的愤怒。”我们需要采取行动。”

RSA会议计划委员会主席休•汤普森(hughthompson)周三表示,他对事态发展感到失望,并指出,会议本身是供应商中立的,与公司RSA是独立的。他还指出,在570名已确认发言的人中,表示将抵制该活动的人数只占一小部分。他说,这次会议为安全行业提供了一个很好的场所,让他们讨论美国国家安全局监视活动曝光后引发的问题。

如果路透社报道中的说法是准确的,那么针对RSA的批评是可以理解的。但RSA可能不是唯一一家意外或故意帮助NSA的公司。

德国《明镜》(Der Spiegel)杂志最近的报道披露了美国国家安全局(NSA)如何开发漏洞,并通过后门侵入一些全球最大技术供应商的网络设备、PC和服务器,这些供应商包括思科(Cisco)、Juniper Networks、戴尔(Dell)、华为(Huawei)和惠普(Hewlett-Packard)。

据《明镜》报道,这些工具是由美国国家安全局(NSA)定制访问操作(IAO)部门内的一个专门黑客团体开发的,被列在一个50页的产品目录中,并被美国国家安全局用于穿透网络路由器和防火墙、监控手机通话等任务。到目前为止,还没有证据表明,国家安全局获得其产品的任何供应商与国家安全局合作,使其能够获得这些产品。

但很可能至少有几个人是被间谍机构以同样的方式接近RSA的。鉴于美国国家安全局拥有大量可用的工具,几乎不可想象的是,没有一家供应商知道他们的产品受到了损害。

路透社的报道指出,RSA是有缺陷随机数发生器的最大分销商,但不是唯一一家。斯诺登泄露的国安局文件明确提到,国安局正在寻求并建立商业关系,以帮助其数据收集工作。

包括谷歌、微软、雅虎等公司都声称,他们不知道美国国家安全局正在通过接入连接他们数据中心的光缆,从他们的网络中窃取数据。但SANS研究所(SANS Institute)新兴安全趋势主管约翰•佩斯卡托雷(johnpescatore)表示,他们应该这样做。

佩斯卡托雷说:“微软、谷歌、雅虎等大型科技公司的很多反应……都是不真诚的。”美国国家安全局,英国,中国,可能还有法国和德国,可以窃听光纤的事实早已为人所知,甚至被公开。那些选择不加密的公司为了省钱,做出了一个基于风险的决定,他们说政府拦截的后果不足以影响我们花钱。”。

他指出,对于RSA和其他美国技术供应商来说,斯诺登泄密意味着他们需要做华为在英国做过的事。2010,当中国公司不得不说服英国政府,电信设备BT想购买的时候,中国政府没有安装后门。

华为不得不在英国投资一个测试中心,以支持国家安全局在英国的对应机构GCHQ检查其源代码。U、 他说,美国公司可能也必须这样做,以表明他们的产品没有受到美国国家安全局的类似暗箱操作。

Gartner分析师Lawrence Pingree说:“我认为公众和安全从业者都在寻找答案,看看是否有任何组织与国家安全局的内部绝密目标串通或共谋。”。

但目前,还没有足够的公开信息来确定RSA所做的事情是否独特。

平格里说:“为了让这次讨论恢复理智,我们必须提醒自己,斯诺登泄密事件披露的信息实际上是绝密的。”。因此,即使一家公司在某种程度上与美国国家安全局合作,也只有少数公司知道此事。

安全咨询公司Securosis的分析师richmogull表示,针对RSA的批评是基于不完整的信息他说:“我认为他们受到的打击远比事实所证明的要严重。”我们只有一篇文章,而潜在的证据尚未公开。

“现在如果发现RSA故意削弱BSAFE以协助NSA窃听,他们应该受到惩罚。但我们还没有足够的信息来做出这个决定。当我们了解到更多信息时,也许是时候对RSA采取行动了,但不是大会。”

这篇文章,美国国家安全局的指责游戏:挑出RSA转移别人的注意力,最初发表在计算机世界.com.

Jaikumar Vijayan涵盖数据安全和隐私问题、金融服务安全和Computerworld的电子投票。在Twitter@jaivijayan上关注Jaikumar或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。

更多信息请参见Jaikumar Vijayan计算机世界.com.