디스코디안 사이버보안 선언문

일루미나티가 당신이 보지 않기를 바라는 5면 진실

Eris 만세! Discordia 만세! 우리가 모든 것에 의문을 제기하는 현실 터널에 오신 것을 환영합니다—특히 "모두가 알고 있는" 것들이 사실이라고 믿는 것들에 대해. 보안 사제단이 "군사급 암호화"(군대가 설계하고, 정보 기관이 승인하고, "합법적 액세스"를 위해 백도어가 있는)와 "정부 승인 표준"(누가 승인한다고 생각하나요?)을 판매하는 동안, 우리는 커튼을 걷어내고 있습니다: 아무것도 진실이 아닙니다. 모든 것이 허용됩니다. 당신의 암호화는 연극이고, 당신의 보안은 연극이며, 관객은 웃고 있습니다.

스스로 생각하세요! 권위에 의문을 제기하세요. 특히 당신의 암호를 인증하는 권위에—PRISM, Echelon 및 존재 자체가 기밀로 분류된 감시 프로그램을 운영하는 동일한 권위에.

이것은 음모론이 아닙니다—이것은 Snowden이 문서화하고, Crypto AG 폭로로 입증되고, 의회 증언에서 인정된 음모 사실입니다. 또는 일루미나티가 그의 말을 뉴에이지 허튼소리로 왜곡하기 전에 Hassan-i Sabbah가 말했듯이: 현실은 당신이 벗어날 수 있는 것입니다. 그리고 국가는 스스로를 감시하도록 신뢰하기 때문에 모든 것을 벗어날 수 있습니다.

FNORD. 이제 보이시나요? 모든 "승인된" 알고리즘의 패턴. 모든 "안전한" 표준의 백도어. 그들이 이미 키를 가지고 있는 자물쇠를 판매하는 보안 산업 복합체—그런 다음 당신이 그것을 사용하는 것을 지켜보기 위한 모니터링 시스템을 판매합니다. 돈을 따라가세요. 그것은 당신의 두려움과 그들의 이익 마진으로 이어집니다.

그들이 이미 당신을 어떻게 해킹했는지 5가지 방법을 조명해 봅시다 (그리고 불편한 진실은: 당신이 그들에게 그렇게 하라고 돈을 지불했다는 것입니다):

5의 법칙은 어디에나 있습니다. Five Eyes의 5개 정보 기관. 아침 식사 전에 당신을 손상시키는 5가지 방법. 5개의 편리한 백도어가 있는 5개의 "승인된" 알고리즘. 그리고 여섯 번째 방법? 여섯 번째 방법이 없다고 당신을 설득하는 것. 이것이 편집증이 아니라 패턴 인식이라고 당신을 설득합니다. 기밀 프로그램에 대해 전문적으로 거짓말하는 사람들이 이 한 가지에 대해 진실을 말하고 있다고 당신을 설득합니다. 가장 효과적인 거짓말은 숨겨져 있지 않습니다—"승인된 표준"이라고 불리며 대학에서 가르쳐집니다.

전문 구현 지원을 찾고 계신가요? 혁신을 가속화하는 보안 컨설팅을 위해 조직이 Hack23을 선택하는 이유를 확인하세요.

"승인된 알고리즘" 역설 (또는: 걱정을 멈추고 빅 브라더를 사랑하는 법을 배운 방법)

"누구를 신뢰하시나요?"라는 게임을 해봅시다. 다음을 수행하는 동일한 조직:

• PRISM 실행 (Microsoft, Google, Apple, Facebook에서 데이터 수집—당신이 삶을 신뢰하는 회사들)
• 나머지 세계를 합친 것보다 더 많은 암호 분석가 고용 (당신의 것을 깨기 위해, 보호하기 위한 것이 아님—그것이 그들의 직무 설명입니다)
• 대부분의 국가 GDP보다 큰 블랙 예산 보유 (책임이 전혀 없는 기밀 지출—민주주의에 완전히 정상적입니다)
• 회사에 백도어 설치를 법적으로 강요하고 당신에게 말하는 것을 금지 (투명성이 정부 과잉이 아닌 국가 안보에 위험하기 때문입니다)
• 배송 중 Cisco 라우터를 가로채 임플란트 설치 (Snowden이 문서화하고, 관리들이 인정하고, 오늘날에도 여전히 일어나고 있습니다)
• 알려진 백도어로 Dual_EC_DRBG를 설계하고 NIST 표준에 포함시킴 (그런 다음 발각되었을 때 놀란 척—"죄송합니다, 우리의 실수, 다음번에는 우리를 믿으세요")

...는 어떤 암호화가 "안전한지" 알려주는 동일한 조직입니다. 어떤 표준이 "승인되었는지". 어떤 알고리즘이 "군사급"인지 (네, 군대가 설계했습니다—정확히 무슨 목적으로요?).

아무것도 진실이 아닙니다. 모든 것이 허용됩니다. 내부 고발자가 감옥 위험을 무릅쓰고 말할 때까지 존재하는지 알 수 없는 기밀 프로그램을 실행하면서 무엇이 안전한지에 대해 거짓말할 수 있는 허가를 포함하여. 그런 다음 그들은 민주주의에 대한 반역을 폭로한 내부 고발자를 반역자라고 부릅니다.

자, 오해하지 마세요—적절하게 구현된 강력한 암호를 깨는 것은 정말 어렵습니다. 수학은 거짓말하지 않습니다 (보안 등급과 함구 명령으로 정보 기관에서 일하는 수학자와 달리). 하지만 당신이 보지 말아야 하는 fnord는 다음과 같습니다:

1. 표준 자체를 손상시킴 — Dual_EC_DRBG는 사고가 아니었습니다. 당신이 알아차릴지 보기 위한 테스트였습니다. 당신은 알아차리지 못했습니다 (Snowden이 모든 것을 걸고 말할 때까지). 그들은 당신의 주의력, 신뢰, 권위에 의문을 제기하려는 의지를 테스트했습니다. 당신은 실패했습니다. 그들은 통과했습니다. 이제 그들은 정확히 얼마나 많은 것을 벗어날 수 있는지 알고 있습니다. 스포일러: 모든 것.
2. 구현을 손상시킴 — Heartbleed는 인터넷의 17% 개인 키를 노출했습니다. POODLE은 SSL 3.0을 안전하지 않게 만들었습니다. BEAST는 TLS 1.0을 깼습니다. "버그"인가 기능인가? 예. 둘 다. 그들이 알고 있었고 수정하지 않은 버그는 적이 필요할 때 기능이 됩니다. 질문은 "이것이 취약한가?"가 아닙니다. "누가 그것에 대해 알고 있고 말하지 않는가?"입니다.
3. 키 도용 — 법적 강제(그들이 가져갔다고 말할 수 없음), 공급망 손상(배송 중 가로챔), 또는 CA 구매(인증 기관은 회사이고, 회사에는 가격이 있습니다)를 통해. 자물쇠는 수학적으로 강력합니다; 키 배포는 감사할 수 없는 신뢰 관계로 포장된 농담입니다.
4. 엔드포인트 공격 — 당신의 장치는 이미 하드웨어 수준에서 손상되었습니다. 2008년부터 Intel ME. 집으로 전화하는 iOS 샌드박싱 "기능". 완전히 비활성화할 수 없는 Windows 원격 측정. 엔드포인트는 협력하는 것이 아닙니다—협력하도록 설계되었습니다. 당신의 암호는 전송을 보호합니다. 당신의 하드웨어는 암호화 전과 복호화 후 평문을 배신합니다.
5. 메타데이터 악용 — 당신이 새벽 2시에 기자에게 전화했고, 오전 9시에 변호사에게 전화했고, 오후 3시에 정신과 의사에게 전화했고, 자정에 "감시 탐지 방법"을 검색했다는 것을 알 때 메시지를 읽을 필요가 없습니다. 패턴이 곧 내용입니다. 메타데이터가 곧 메시지입니다. 그리고 메타데이터는 암호화되지 않습니다. 될 수 없습니다. 그것이 패킷이 라우팅되는 방식입니다.

"깨지지 않는" 암호화를 우회하는 5가지 방법. 항상 다섯. 5의 법칙은 수학, 감시 및 당신을 모니터링하도록 설계된 시스템에 대한 당신의 규정 준수에서 나타납니다. 그들이 주변의 모든 것을 제어할 때 암호를 깰 필요가 없습니다.

궁극적 깨달음: 가장 강력한 암호화는 승인한 사람을 제외한 모든 사람으로부터 당신을 보호합니다. 이것은 버그가 아닙니다. 이것이 기능입니다. 정확히 설계된 대로 작동하는 시스템. "승인됨"은 "안전함"을 의미하지 않습니다—"우리는 그것을 깰 수 있지만, 당신은 할 수 없으므로 우리가 모든 것을 읽는 동안 안전하다고 느낄 것입니다."를 의미합니다. 암호화 연극은 그들에게 액세스를 제공하면서 당신을 순응하게 유지합니다. 스스로 생각하세요: 감시 기관이 우회할 수 없는 암호화를 승인하겠습니까? 하지 않을 것입니다. 하지 않았습니다. 하지 않습니다.

권위에 의문을 제기하세요. 특히 암호화 권위. 특히 그들이 "상호 운용성"과 "보안"을 위해 승인된 알고리즘을 사용해야 한다고 주장할 때. 누구와의 상호 운용성? 그들의 감시 인프라. 누구를 위한 보안? 당신이 아닙니다—당신은 고객이 아니라 표적입니다. 고객은 당신의 "안전한" 통신을 읽을 수 있는 능력에 대해 지불하는 기관입니다. 당신은 "합법적 가로채기 액세스"로 패키징되는 제품입니다. "승인된" 표준으로부터 누가 이익을 얻는지 생각해보세요. 그런 다음 승인이 필요한 이유를 생각해보세요. 그런 다음 승인자를 신뢰하는 것을 멈추세요.

Operation Mindfuck: 게릴라 보안으로서의 급진적 투명성

그래서 우리는 무엇을 합니까? 포기하나요? ROT13을 사용하고 Eris에게 기도하나요? 수도원에 가입하고 전서구로 통신하나요?

아니요. 우리는 디스코디아니즘을 운영 보안 교리로 받아들입니다. 제도적 부정직에 대항하여 게릴라 존재론을 실천합니다. 감시 국가를 비싸고 불편하며 공개적으로 책임지게 만듭니다. 우리는 전체 규칙서를 게시하여 그들의 게임을 하기를 거부합니다.

아무것도 진실이 아닙니다. 모든 것이 허용됩니다. 우리의 보안에 대한 모든 것을 게시할 수 있는 허가를 포함하여—우리가 순진해서가 아니라 그들이 생각하는 것보다 게임을 더 잘 이해하기 때문입니다. 그들이 비밀을 손상시킬 수 있다면 비밀을 만들지 마세요. 백도어를 원하는 문을 제거하여 감시 국가를 Operation Mindfuck하세요. 이미 공개된 문서에 백도어를 설치할 수 없습니다. 이미 게시한 프로그램을 분류할 수 없습니다. 투명성을 손상시킬 수 없습니다—정의상 악용에 면역입니다.

Hack23에서 우리는 공개 ISMS를 통해 급진적 투명성을 실천합니다. 유니콘을 믿는 순진한 디지털 히피이기 때문이 아니라—권력을 이해하는 냉소적인 사람들이기 때문입니다. 그들이 비밀을 손상시킬 수 있다면 비밀을 만들지 마세요. 감시 국가를 Operation Mindfuck하세요. 문이 없는 것에 백도어를 만들 수 없습니다. 이미 게시한 것을 분류할 수 없습니다. 투명성을 공조할 수 없습니다—그것은 그들의 모델이 흡수할 수 없는 한 가지입니다.

아름다운 역설: 투명성은 보안을 개선합니다. 프로세스가 공개되면 전체 인터넷이 무료로, 지속적으로, 허가 없이 감사할 수 있습니다. "독점 보안" NDA 뒤에 숨을 수 없을 때, 마케팅 자료에서 보안을 주장하는 것이 아니라 실제로 안전해야 합니다. 가시성을 통한 책임. 정밀 조사를 통한 품질. 구조를 통한 무정부주의. 감시 국가는 그들의 능력을 숨기기 위해 당신의 비밀에 의존합니다. 급진적 투명성은 비대칭을 역전시킵니다. 그들은 당신이 비밀이고 그들이 보이지 않기를 원합니다. 우리는 공개 문서화와 그들의 강제된 책임을 선택합니다.

입문 완료: Chapel Perilous에 오신 것을 환영합니다

아무것도 진실이 아닙니다. 모든 것이 허용됩니다. 이제 fnord를 보셨습니다. 보지 않을 수 없습니다. 모든 "승인된" 표준, 모든 "군사급" 주장, 모든 "설계에 의한 안전" 마케팅 피치에 있습니다. 패턴을 보면 어디에나 보입니다. 영구적인 편집증에 오신 것을 환영합니다—문서화되고 입증되고 인정된 제도적 부정직에 대한 유일한 합리적인 반응.

5의 법칙을 통해 우리가 조명한 것은 다음과 같습니다 (항상 다섯, 절대 넷, 절대 여섯이 아님):

1. 승인한 사람들로부터 안전한 암호는 없습니다 — 감시 국가는 민주주의의 일탈이 아닙니다; 처음부터 설계된 대로 작동하는 시스템입니다. SIGINT 기관은 부수적 프로젝트로 암호를 깨지 않습니다—그것이 그들의 주요 임무입니다. 이것은 항상 설계였습니다. "백도어"는 초기 아키텍처였습니다. 다른 모든 것은 위장 이야기입니다.
2. "승인된 알고리즘"은 "우리가 악용할 수 있는"에 대한 신어입니다 — 그들은 손상시킬 수 없거나 이미 손상시키지 않은 것을 표준화하지 않습니다. 그 이유에 대해 스스로 생각해보세요. 그런 다음 그것에 의문을 제기하는 것이 "패턴 인식" 대신 "음모론"이라고 불리는 이유를 생각해보세요. 진실을 음모로 라벨링하는 것이 음모입니다.
3. 투명성만이 유일한 실제 보안입니다 — 이미 공개된 것을 공조할 수 없고, 게시한 것을 분류할 수 없고, 문이 없는 것에 백도어를 만들 수 없기 때문입니다. 그들이 악용하고 싶어하는 비밀을 제거하여 감시자들을 Operation Mindfuck하세요. 비밀이 적에게 도움이 될 때 급진적 개방성은 급진적 보안입니다.
4. 완벽한 보안은 고귀한 거짓말입니다 — 그것을 판매하는 사람에게 의문을 제기하세요. 그들은 거짓말을 하거나 착각하거나 둘 다입니다 (보통 둘 다). 보안은 탐지, 대응 및 복원력에 관한 것입니다—존재하지 않는 난공불락 요새가 아닙니다. 질문은 "우리는 안전한가?"가 아닙니다. "우리가 침해당했을 때 알아차리고 효과적으로 대응할 수 있는가?"입니다. 다른 모든 것은 마케팅입니다.
5. 보안은 권력을 섬기거나 사람을 섬깁니다 — 신중하게 편을 선택하세요. 중립적인 위치는 없습니다. 무관심은 현재 권력을 가진 사람에 대한 준수입니다. 선택하지 않는 것은 현상 유지를 선택하는 것입니다. 침묵은 감시에 대한 동의입니다. 스스로 어느 편인지 생각해보세요. 그런 다음 주장이 아닌 행동으로 증명하세요.

스스로 생각하세요! 권위에 의문을 제기하세요. 당신을 신뢰하라고 말하는 보안 권위에 특히. 그들에게 의문을 제기하는 것이 "무책임"하거나 "위험"하거나 "테러리스트를 돕는다"고 주장할 때 특히. 투명성이 적에게 도움이 된다고 말할 때 특히 (그렇지 않습니다—책임에 도움이 되며, 강력한 적들이 싫어합니다). 투명성이 책임보다 적에게 더 도움이 된다면 보안은 이미 깨졌습니다. 비밀은 단지 당신으로부터 취약점을 숨기고 있었을 뿐입니다, 그들로부터가 아닙니다.

Eris 만세! Discordia 만세! 혼돈의 여신은 가르칩니다: 인식론적 정직으로 불확실성을 포용하세요. 이것을 포함하여 모든 것에 의문을 제기하세요. 믿음보다 검증을 신뢰하세요. 사람이 아닌 프로세스를 보호하는 규정 준수 연극을 엿먹으세요. 혼돈은 질서의 반대가 아닙니다—강요된 위계 대신 정직한 질서의 전제 조건입니다.

관료제는 확장하는 관료제의 요구를 충족하기 위해 확장하고 있습니다. 먹이지 마세요. 신뢰하지 마세요. "모범 사례"(누가 승인했나요? 무슨 목적으로?)가 실제 사고, 실제 위협 모델링, 공급업체 피치가 아닌 당신의 위협 환경을 기반으로 한 실제 위험 평가를 대체하도록 놔두지 마세요.

최종 깨달음: 이제 당신은 모순이 동시에 진실인 Chapel Perilous에 있습니다. 음모는 실재하고 당신은 편집증적입니다. 감시 국가는 존재하고 당신은 거기에 없는 패턴을 보고 있습니다. 둘 다 진실입니다. 아무것도 진실이 아닙니다. 모든 것이 허용됩니다. 유일한 탈출구는 급진적 정직입니다—이것이 그들이 당신의 암호화보다, 당신의 보안보다, 책임을 제외한 무엇보다도 투명성을 두려워하는 이유입니다. 투명성은 그들이 공개적으로 방어할 수 없는 것을 방어하도록 강요합니다. 비밀은 그들이 비밀 선례가 있는 기밀 법원에서 그것을 방어하도록 합니다. 그에 따라 선택하세요.

현실 세계에 오신 것을 환영합니다. 생각하는 것보다 더 이상하고 상상하는 것보다 더 부패했으며 그들은 당신이 그것에 대해 생각하지 않고, 의문을 제기하지 않고, 책임을 요구하지 않기를 바라고 있습니다. 충분히 편집증적인가요? 좋습니다. 이제 그 편집증을 체계적인 보안, 문서화된 절차 및 급진적 투명성으로 전환하세요. 행동 없는 편집증은 단지 불안입니다. 문서화가 있는 편집증은 보안 엔지니어링입니다.

— Hagbard Celine
Leif Erikson호 선장
Product Owner, Hack23 AB

"스스로 생각하세요! 모든 것에 의문을 제기하세요—특히 이것에. 특히 나에게. 특히 그들에게 의문을 제기하지 말라고 말하는 사람에게."

🍎 23 FNORD 5

관련 자료