În lumina știrilor șocante de ieri, că NSA a introdus în mod deliberat puncte slabe în produsele de securitate a computerului, dezvoltatorul popularului aplicația de parolă și securitate pentru Mac și iOS, 1Password, a scris o postare destul de grăitoare pe blog despre vulnerabilitatea lor la acest tip de NSA intervenţie.
Iată ce spune AgileBits:
1Password a fost în mod deliberat slăbit?
Nu.
Am fost noi, AgileBits, vreodată întrebați / constrânși / presați / contactați de vreo entitate care ne cere să slăbim 1Password?
Nu.
Aceasta este partea ușoară; oricine ar putea spune asta. Să privim puțin mai adânc.
AgileBits petrece destul de mult timp explicând de ce este adevărat cele de mai sus. Are sens, întrucât întregul său model de afaceri se bazează pe faptul că criptarea sa - și, prin urmare, datele clienților săi - este sigură, chiar și de la NSA.
Postarea de pe blog explică faptul că AgileBits are dezvoltatori în Canada, SUA, Marea Britanie și Olanda. Chiar dacă NSA ar fi legat AgileBits, o companie deținută în Canada, cu un ordin gag, nu ar putea obliga cetățenii non-americani care locuiesc în afara țării. Orice ordine din alte țări nu ar obliga, de asemenea, niciun cetățean american care locuiește aici. Singura modalitate de a păstra tăcerea companiei ar fi, prin urmare, să coordoneze cel puțin patru agenții separate de tip NSA din toate cele patru țări. Posibil, dar nu probabil.
În al doilea rând, sistemul în care funcționează 1Password este în totalitate în mâinile clientului. „În afara cutiei”, scrie compania, „1Password creează un fișier de date locale („ seiful ”dvs.) și sincronizarea este dezactivată. Nu avem niciodată ocazia să vă vedem parola principală sau chiar datele dvs. 1Password criptate. ”
Compania nu vede niciodată cum folosiți 1Password. Niciuna dintre datele dvs. de navigare private sau înregistrările financiare sensibile nu trec prin sistemele 1Password. Nici măcar nu știu dacă utilizați software-ul sau nu după ce l-ați cumpărat. Acestea oferă o anumită sincronizare a datelor, dar chiar și asta se face la nivel local, conform site-ului web. „Când 1Password 4 pentru Mac va sosi în curând”, spune blogul, „Sincronizarea Wi-Fi (în curs de testare) vă va permite să vă sincronizați local, adică datele dvs. nu trebuie să părăsească niciodată rețeaua dvs. locală. ” Acest lucru poate fi, desigur, verificat cu un program precum LittleSnitch sau orice altă analiză de rețea instrument.
În cele din urmă, compania spune că și formatul lor de date este verificabil. Au furnizat detalii despre criptarea pe care o utilizează 1Password, care permite oricărei persoane preocupate de puterea relativă sau de slăbiciunea deliberată să o testeze singure.
Postul continuă să spună că cel mai probabil vor urma precedentul stabilit de Lavabit, o companie care a devenit publică cu propriile sale pretinse comenzi gag, închizându-se. AgileBits (fără legătură) spune: „... posibilitatea reală de a ne închide (ceea ce ar fi public) mai degrabă decât să sabotăm ceea ce facem și iubim, ar trebui să acționeze ca un element de descurajare pentru cei care ar putea dori să ne oblige să introducem un ușa din spate."
Postarea de pe blog afirmă în cele din urmă că, din cunoștințele AgileBits, au fost vizate doar instrumentele de comunicare și nu instrumente care protejează parolele și datele consumatorilor la nivel local, cum ar fi 1Password.
Acestea sunt un set destul de robust de motive pentru care AgileBits ar putea avea încredere în criptarea datelor noastre. În plus, nu au fost nevoiți să facă un pas înainte și să-l strige; deși acesta poate fi semnul unei conspirații, din nou, nu este probabil. În cele din urmă, cu toții renunțăm la un pic din securitatea noastră folosind instrumente digitale și, eventual, mai mult dacă folosim produse ca acestea.
Alte companii care produc produse similare nu au făcut declarații în acest sens, din câte știm, și una, LastPass, este posibil să fi fost deja încălcat.
Postarea de pe blogul AgileBits rezumă totul, spunând:
Chiar dacă nu găsiți niciunul dintre motivele enumerate mai sus pentru a fi persuasiv, acestea interacționează puternic. În combinație, fac mult mai dificil să obții o slăbiciune în 1Password fără a-ți asuma riscuri mari de a fi prins și a eșua. Orice atacator, inclusiv NSA, va evita atacurile cu risc ridicat și cu costuri ridicate dacă există alternative mai sigure și mai ușoare. Prin urmare, am încredere că NSA ar prefera să treacă peste 1Password decât prin ea.
Ce părere aveți, utilizatori Mac?