Prometni podatki

Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).

Strokovnjaka vprašajmo!

»Vi ste strokovnjak za to področje. Povejte, ali naj to naredimo?«
»Ne, mislim, da to ne bi bilo najpametneje.«
»Hm … Toda mi bi to kljub temu radi naredili.«

Ta poenostavljeni dialog pokaže, kako sem že kar nekajkrat v preteklosti doživljal pogovore, največkrat so se nanašali na izvedljivost internetnih volitev. V spominu mi je ostala okrogla miza s profesorji družboslovnih smeri, noben od njih pa ni bil res doma v tehnoloških vodah IT sveta, kaj šele na področju informacijske varnosti. »Problemi varnosti internetnih volitev so že vsi rešeni,« je odločno zatrdil eden od njih, pri čemer je bilo bolj ali manj očitno, da se je tega zavedel šele pred nekaj minutami, ko sem o tem začel govoriti sam. Hočem reči: o tem ni imel pojma. Priznam, dodobra me je zmedlo in sem nespametno odgovoril z vsemi argumenti, analogijami in doslej znanimi izkušnjami iz sveta. Že ko sem govoril, mi je bilo jasno, da nič od tega ne bo pomagalo. Odločitev je profesor sam pri sebi že sprejel: »Mi to hočemo,« in je tiho počakal, da končam svoj del, ne da bi me zares poslušal.

Navadno tak odnos opišemo kot »gostilniško debato«, ko lahko vsi brez zavor pametujemo o vsem povprek. Gre za folkloro, ki pa se je očitno izza šanka prebila v resnejše kroge: v televizijske pogovorne oddaje, akademske kroge in politiko. Vsi naenkrat vemo, kako rešiti zdravstvo in pokojninsko blagajno, ali tisti otrok mora na takšno ali drugačno operacijo, in nič čudnega ni, če za direktorja postavijo človeka, ki tako rekoč nič ne ve o dejavnosti svoje ustanove. In to tudi mirno prizna. Najbolj pa kritiziramo tistega, ki zastopa stroko in se morda vse življenje posveča področju, ki ga mi znamo urediti z levo roko.

Tudi na Si-CERTu tu in tam naletimo na koga, ki nam želi dobrohotno razložiti, kako se stvarem streže, in nam seveda s tem pomagati. Recimo, kako je treba z izsiljevalci v primerih sextortiona bolj resno in trdo, pri čemer pa ne ve, da delujejo iz Slonokoščene obale (torej, srečno s policijskim pregonom). Ali pa, da ni nič hudega, če nam kriptovirus zašifrira podatke, ker je na voljo brezplačna povrnitev podatkov (pa čeprav v svetovna stroka pravi, da ne bo šlo). Taki primeri so čisto zabavni, težava pa nastane, ko se kdo odloči napraviti kakšne »študije« na tujih računalnikih, usmerjevalnikih ali uporabnikih in šele potem pomisli, da bi lahko bilo kaj od storjenega protizakonito ali vsaj v nasprotju s tako opevano etiko »white-hat« hekanja.

Prav res, na koncu smo vsi le ljudje in tudi strokovnjaki se kdaj zmotimo. Takih primerov je polna zgodovina. Sploh na zahtevnejših in nedeterminističnih področjih, pri kakšni zdravstveni diagnozi, recimo. Ali naj se zato, ker se tudi strokovnjak lahko včasih zmoti, postavimo na stališče, ki zahteva sto-odstotno zanesljivost, karkoli manj od tega pa pomeni, da je vsaka druga odločitev enakovredna ali še boljša? Za večino primerov je quicksort kljub vsemu res hitrejši od bubblesorta. Tisti, ki obvladate programiranje, boste, recimo, hitro našli poseben zgled vhodnih podatkov, pri katerih bo bubblesort vseeno hitreje uredil podatke kot quicksort. »Ha! Vidite?! Pa pravite, da je quicksort boljši, tu imate zgled, da ni!« Če se to zgodi v televizijski oddaji, bo voditelj pogovor končal z izjavo, da je resnica nekje vmes, v podtonu pa bo slutiti, kako so tiste druge strokovnjake kupile farmacevtske multinacionalke, mi smo pa tako ali tako na plačilni listi tajnih služb.

Zakaj je tako? Težko bom podal resno analizo, saj nisem strokovnjak za to! 🙂 Je problem v tem, da ni nikjer več jasno, kdo sprejema odločitve in kdo potem prevzame odgovornost? Na računalniškem področju (verjetno tudi drugje) pa svoje verjetno prispeva tudi poplava kadra, ki prihaja iz vedno novih in novih visokih šol. Kolikor sem lahko videl na razgovorih za službo programerjev in sistemskih administratorjev, je danes sorazmerno enostavno dobiti diplomo informacijske smeri, z veliko zlobe pa bi dodal, da je glavni namen nekaterih šol bolj dodeliti status študenta za nekaj let in nato papir, s katerim bo imel morda nekaj več možnosti na trgu dela, kot pa podati res uporabna znanja za delo. Devalvacija strokovnosti in poplava amaterizma, je to naša usoda?

Da pa ne bo izpadlo, kako je vse to spet nekakšna posebnost Slovencev, si oglejte spot »The Expert«. Uživajte!

Kolumna je bila objavljena v reviji Monitor, maj 2016.

Enaki problemi, drugačne rešitve

Obisk DefCona izkoristim tudi za obnovitev članstva v EFF – Electronic Frontier Foundation. Zakaj plačujem članarino neprofitni ustanovi v ZDA? Zato, ker se z zelo konkretnimi ukrepi borijo za svobodo na omrežju: od plačevanja odvetnikov drznim risarjem stripov, do zagovarjanja omrežne nevtralnosti in boja proti ACTA, SOPA, TTIP, CISA, itn. sporazumom.

Recimo. Dandanes vas spletna mesta stalno obveščajo, da uporabljajo piškotke, ker tako zahteva EU direktiva, preslikana v lokalne zakonodaje. Zdi se mi, da so večini uporabnikov ta obvestilca bolj zoprna kot koristna, večina skrbnikov strežnikov pa vam samo pove, da bo s piškotki vaša izkušnja boljša in vam da na voljo samo potrditev, kar tudi ni čisto prava rešitev. Sam sem bil že od začetka skeptičen, da bo EU direktiva o piškotkih res dosegla namen: da vam veliki internet fevdalci ne bodo mogli več slediti. Navadili smo se hitro klikniti na OK/Potrdi, da gre obvestilo stran in lahko naredimo tisto, za kar smo na spletno mesto prišli.

badger-strokeEFF se je problema lotil drugače: z dodatkom za Firefox in Chrome brskalnika, ki preprečuje, da bi vam lastniki velikih spletišč in oglaševalci sledili med brskanjem. Dodatek se imenuje Privacy Badger in je seveda na voljo brezplačno. Morda lahko tu vidimo različne pristope k reševanju istega problema: bolj “inženirski”, ki najde tehnološko rešitev problema, ter bolj “pravniškega”, ki se tudi problemov novih tehnologij loti primarno s tem, da napiše nov zakon oz. direktivo. EU je tu izpustila lepo priložnost, da bi s financiranjem konkretne in dolgoročno vzdrževane programske rešitve uporabnikom samim omogočila nadzor nad uporabo spleta in prevzela s strani Komisije tako opevano vodilno vlogo na vsaj enem malem koščku informacijske družbe. No, je pa tu EFF.

Poznamo več neskončnosti, sam se iz matematike spomnim števne in neštevne. Pri mobilnih operaterjih pa izraz “neskončno” uporabljajo za pakete, ki to niso, kar pa naj bi bilo itak vseem jasno. Tržni inšpektorat RS in Oglaševalsko razsodišče menita, da to ni problem. Osvežujoče je bilo na to temo poslušati predavanje ameriške FTC (Fedral Trade Commission) na DefConu o primerih, ko se borijo proti spornim praksam zasebnih podjetij na internetu.

IMG_2321

Predavanje ni pustilo dvoma: če se brskanje “zabremza” po določeni količini, mora biti jasno prikazano in gre torej za zavajanje. Je pa to bil eden izmed bolj trivialnih primerov. Borijo se recimo tudi proti temu, da bi trgovci spremljali vaše gibanje po trgovini, čeprav se ne priključite na njihov Wi-Fi (zraven pa zajamejo še osebe, ki se gibajo izven prostorov trgovine). Ali pa še bolj noro: ko želi ponudnik neke storitve na internetu povezati vse vaše naprave, brez da bi vam to povedal. Kako? Z zvočnimi signali, ki so pod slišnim frekvenčnim pragom, elektronske naprave pa jih brez težav zaznajo in dekodirajo.

Na koncu so pozvali publiko, naj jim pomaga pri obravnavi tehnoloških vprašanj, ki posegajo v zasebnost posameznikov, ter dali nekaj nasvetov o tem, kako se boriti proti tovrstnim problemom. Z jasnimi razlagami problemov, trdnimi prispodobami, fokusiranjem na konkreten problem (in ne razložiti vsega interneta nasploh), ter izogibanju kraticam.

Sodeč po vprašanjih iz publike in močnem aplavzu, so to bili eni redkih “feds”, ki so bili na DefConu dobrodošli.

Splošna prepoved šifriranja za državljane?

Teroristični napad na Charlie Hebdo je opogumil nekatere državnike po svetu, da so ponovno prišli na plano z idejami o prepovedi šifriranja, saj ob njegovi uporabi država ne more nadzirati komunikacij in pravočasno preprečiti terorističnih napadov (pustimo ob strani dejstvo, da šifriranje ob poboju v Parizu ni igralo popolnoma nobene vloge). Šifriranje je danes na spletu v široki uporabi za e-bančništvo, spletno nakupovanje in prenos naših vsakdanjih sporočil, zato se ga kar ukiniti ne da. Plan B torej: države v šifrirne postopke vgradijo stranska vrata, ki samo njim omogočajo hitro dešifriranje. Vendar ne bo šlo, vsaj ne na hitro.

Katere države?

Vsak državnik ima verjetno v mislih pač svojo državo, ki bi prisilila proizvajalce programja in aplikacij, da bi za njih vgradila stranska vrata. Mogoče bi se nekaj velikih držav vsedlo in podpisalo sporazum, po katerem bi si delile dostop. V luči medsebojnih prisluškovanj med zaveznicami na zahodu, ki jih je razkril Snowden, takšna rešitev danes ni preveč verjetna. Vendar imajo želje po tem tudi drugi režimi, ki med cilji državne politike niti slučajno ne omenjajo svobode govora in zaščite zasebnosti posameznika. Bosta Lukašenko in Kim Jong Un imela isto pravico do stranskih vrat, kot David Cameron? Spomnimo se tudi na probleme državnih trojancev in kam vse so prodali FinFisherja.

Kriminaliziranje neodvisnih rešitev

Pogosta refleksna reakcija v državni upravi za reševanje operativnih problemov je: sprejmimo zakon! Zakon, ki bo recimo določal, da lahko programerji implementirajo le državno-odobrene šifrirne algoritme (s stranskimi vrati in za katere so se medtem morale države uskladiti, kot smo videli malo prej, saj sicer lahko svojo rešitev prodajate samo na domačem tržišču). In Platon reče: “Dobri ljudje ne potrebujejo zakonov da bi delovali odgovorno; medtem, ko slabi ljudje vedno znajo zaobiti zakone.”

Seveda bodo resni teroristi in kriminalci plačali razvoj lastnih kvalitetnih rešitev, zakon seveda ni ovira. Razen, če se zraven še prepove uporabo računalnikov za splošno rabo in se prodaja le še specializirane naprave, nad katerimi nimamo nadzora (blizu temu pride Apple s svojim iOS okoljem in nadzorom aplikacij). Ampak morda kriminalci vendarle lahko pohekajo in sprogramirajo te naprave po lastnih načrtih navkljub prepovedi? Zato potem še omejimo dostopnost znanja o šifriranju in programiranju. Z današnje perspektive, kjer družba uživa sadove odprtokodnega programja in se računalniška industrija zanaša na neodvisne varnostne strokovnjake, ki jim iščejo napake po kodi, povsem absurdno. Neprijetno vprašanje je, ali se bomo začeli premikati v bolj orveljanski svet, kjer bodo takšni ukrepi postali običajni?

Tehnologija

Ne gre pa pozabiti tudi na to, da voditelji držav govorijo eno, kriptografi pa javno razlagajo, kako “zadeva ne bo delovala“. Vendar pa stroka dandanes že ne more biti ovira, ne?

Če pustim cinizem ob strani, lahko končam s pozitivnim primerom. Gre za odziv nizozemske kriminalistke na konferenci o kibernetski varnosti pred kratkim, ki je protestirala ob trditvah, da si organi pregona vedno želijo slabo šifriranje, takšnega ki ga lahko vedno zlomi. Nizozemci so vedno nekaj posebnega.

Tisti, ki želite vedeti več, so oglejte pa še posnetek predavanja Cory Doctorowa: “The coming war on general computing” iz konference 28c3, ki jo vsako leto organizira Chaos Computer Club.

So internet volitve varne?

Razpis volitev v čas šolskih počitnic je zopet obudil debato o e-volitvah, bolj natančno: o volitvah preko interneta. O tem sem že pisal že dve leti nazaj in tam opisal različne pomisleke, ki jih imam ob vpeljavi internet volitev “na horuk”. Poskusimo tokrat v obliki pogostih trditev oz. vprašanj in odgovorov.

Baje tehnoloških in varnostnih vprašanj ni več?

To ne drži. Strokovnjaki s področja informacijske varnosti smo običajno zadržani pri vprašanju volitev preko interneta, saj vidimo pri realizaciji kar nekaj problemov. Večino razlogov za to zadržanost sem opisal v prispevku “Bodo volitve anonimne ali Anonymousove?”

Kaj ni to kot e-bančništvo, ki ga uporabljamo brez problemov?

Paralela med internet banko in internet volitvami ni ravno prava. Banke lahko vračunajo pričakovane izgube zaradi zlorab e-bančništva in zakon recimo določa pri nakupih preko interneta zgornjo mejo, za katero odgovarja kupec (150 EUR pri nas), ostalo mora pokriti banka (poenostavljam). To kaže, da zlorabe so in da je na njih treba računati. Kako jih bomo vračunali v volilni izid?

Ampak Estonci jih imajo že nekaj let!

Res je, vendar so trenutno izjema in ne pravilo. Protiargument je recimo, da večina informacijsko razvitih držav še nima internet volitev, nekatere pa so pilotske projekte uvajanja celo ukinile zaradi problemov (glej Wikipedia: Electronic voting examples, recimo primeri Nemčije in Nizozemske). Če torej kot argument vzamemo eno državo, potem velja tudi protiargument drugih držav, ali ne?

Programerji si estonsko kodo za njihov volilni strežnik lahko ogledate na GitHubu.

Kaj ne bi internet volitve rešile trenutnega problema poletnih volitev?

Udeležba bi bila sigurno višja, v to ne dvomim. In tudi veliko bolj praktično bi bilo! Vseeno pa ni tako enostavno – za začetek bi morali vsem državljanom razdeliti digitalna potrdila (certifikate). Estonci imajo te shranjene na čipu osebne izkaznice, pri nas smo imeli podobne ideje na prelomu tisočletja, pa so se ustavile (ve kdo, zakaj?).

Letos je itak prepozno tudi zato, ker bi morali spremeniti vsaj kakšen zakon.

Vi infosec ljudje ste malo čudni in povsod vidite probleme.

Mislim, da ne gre za to. Če je vprašanje, ali so problemi varnosti internet volitev rešeni, potem je strokovno utemeljen odgovor: ne. Če pa je vprašanje, ali si želimo internet volitev in bomo vzpostaviti učinkovite mehanizme za upravljanje tveganj, ki so s tem povezana, potem pa to ni samo vprašanje tehnologije in njene varnosti, ampak najprej stvar odločitve družbe oz. politike. Napačno pa je negirati strokovno argumentirano mnenje zaradi tega, ker moti izid, ki si ga želimo. Da ponazorim:

A: Poglej, ti si strokovnjak za to: ali zadevo uvedemo?
B: Ne, raje ne.
A: Hm. No, vseeno mislim, da bi jo uvedli.

Proti argumentu “to je vse čisto res, ampak jaz še vedno mislim drugače” se je nemogoče boriti, saj ni racionalen. Govori o tem, kaj si nekdo želi, da bi bilo res ne glede na dejansko stanje (in je pravzaprav zanikanje realnosti).

Ampak internet volitve so napredne in praktične!

Že mogoče in zna biti, da bomo nekoč vsi volili na daljavo. Obstajajo tudi bolj načelni zadržki, ki jih je zelo dobro opisal Žiga Dolhar v zapisu “Tajnost in svoboda volitev v dobi informatizacije” in te je prav upoštevati pri odločitvah. Napačno pa je, da se vedno skuša vpeljati internet volitve zaradi trenutnih političnih točk nekoga ali zaradi svojevrstne zapletene situacije, ki si jo skuhamo sami. Dolgoročen projekt e-participacije na različne načine bi sigurno osvetlil vrsto nerešenih vprašanj tudi pri volitvah v Državni zbor in morda celo našel kakšno rešitev.

 

Turčija proti Twitterju

Turčija je Twitterju poslala nekaj sto sodnih odredb za podatke o njegovih uporabnikih. Ker jih ta ni upošteval, se je odločila zablokirati dostop do njega. Najprej so uporabili DNS preusmerjanje: vsem turškim ponudnikom so ukazali, naj za ime twitter.com njihovi imenski strežniki podtaknejo IP naslov v Turčiji. Ta način blokade je najlažje realizirati, a se mu uporabniki tudi zlahka izognejo, kot kaže tudi grafit iz Turčije.

Navodila za izogib DNS blokadi (via @utku)

Navodila za izogib DNS blokadi (via @utku)

Uporabnik si nastavi DNS strežnik, ki ni pod državno zakonsko kontrolo in je. Zgornji primer kaže podatke za strežnika Google Public DNS, se je pa oglasilo tudi podjetje OpenDNS, ki je najbolj znan ponudnik brezplačne DNS storitve. Vidijo celo povečan promet, ki izvira iz Turčije.

Seveda pa s tem zgodbe ni konec, saj ni pričakovati, da se bo Erdoganova vlada kar tako vdala. Kot je slišati, so se že lotili tudi blokad na nivoju IP naslovov, tako Twitterja, kot Googlovih DNS strežnikov. Verjetno jim bo šel v nos tudi Youtube. Blokade IP naslovov lahko realizirajo preko BGP usmerjanja, ali z namestitvijo filtrov, vendar pa se jim zviti uporabniki še vedno lahko izognejo z uporabo VPN dostopov. Tudi to je enostavno – namestite aplikacijo in je. Recimo Freedome.

 

Če zgodbo tako nadaljujemo preko udarcev in protiudarcev, bo na koncu Erdoganova vlada ugotovila, da morajo centralizirati promet v in iz države preko nekaj točk, kamor bodo namestili DPI (deep packet inspection) naprave in preko njih pregledovali ves promet. Lahko posežejo v šifrirani promet in gredo po Kitajski poti. Ko pa tako z samovšečnega piedestala gledamo na blokade tam nekje v Turčiji, ne pozabimo, da so te zakonsko opredeljene tudi pri nas.

Zakonsko omejitev v Turčiji pa je zaobšel tudi sam predsednik države, ki je še naprej tvital do predvčerajšnjim.

 

Državni trojanec

Ali je prav, da policija podtakne na vaš računalnik prisluškovalni program? Zakaj? Zato ker ne more posneti vaših pogovorov po Skypu, kot jih lahko na mobilnih ali stacionarnih telefonih, vi pa ste osumljeni resnega kaznivega dejanja in so potrebni dokazi o vašem početju. Vsaj tako si predstavljam, da gre argumentacija v prid predlaganim spremembam Zakona o kazenskem postopku (ZKP-M). Tole recimo piše v sami obrazložitvi:

Naslednja posledica razvoja informacijske in komunikacijske tehnologije je možnost, da uporabniki že pri viru kriptirajo komuniciranje preko spletnega omrežja (na primer Skype in elektronska pošta). S tem praktično onemogočijo izvedbo prikritega preiskovalnega ukrepa iz 1. točke prvega odstavka 150. člena ZKP (nadzor elektronskih komunikacij s prisluškovanjem in snemanjem), saj se ta ukrep izvaja tako, da operater prestreže komunikacijo v svojem omrežju in nato vsebino komunikacije posreduje nadzornemu centru policije, kjer se izvaja nadzor prestreženih komunikacij. Zato je treba na ustrezen omogočiti prestrezanje komunikacije že pri viru – torej preden se kriptira in samo v primeru, ko so izpolnjeni zakonski pogoji za odreditev ukrepa iz 1. točke prvega odstavka 150. člena ZKP (ožji nabor hujših in zapletenejših kaznivih dejanj s hujši predpisano kaznijo, obstoj utemeljenih razlogov za sum, nemožnost pridobitve dokazov z drugimi – manj invazivnimi – ukrepi, odredba preiskovalnega sodnika).

Res je. Tehnološki napredek je omogočil šifriranje, ki je dostopno vsem, razbiti pa ga je praktično nemogoče (razen velikanom, kot je ameriška NSA, pa še to ne vedno in ob dragem dolgoletnem trudu). Edina možnost, ki ostane policiji, je torej prestrezanje na enem ali drugem koncu komunikacije – preden se besedilo ali govor zašifrira, ali potem, ko se že odšifrira. Ker se to dogaja na napravah osumljencev, predlog sprememb predvideva namestitev prestreznih programov prav tam. Tu pa se stvari zapletejo.

IMG_1499Stranski učinki

S podtikanjem programa na tuj računalnik nanj vnesemo spremembe. Te so lahko manjše ali večje in bolj ko želimo, da bo podtaknjen program deloval pritajeno in ne bo odkrit, globje posege v operacijski sistem moramo praviloma narediti. V nemškem primeru iz leta 2011, ko je Chaos Computer Club odkril “Bundestrojaner”, so ugotovili tudi, da je ta omogočal namestitev dodatnih modulov in da “je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.”

Tudi industrija je že pomislila na pritajene programe. Sony je pred leti na 22 milionov CD plošč namestil rootkit, ki je okužil računalnik in tako poskusil preprečiti njihovo kopiranje. Podtaknjence je nekdo odkril in Sony je doživel odmeven škandal in nekaj tožb.

Naloga protivirusnih programov je, da takšne “artefakte” zaznavajo. Če bi vlade po svetu želele od teh podjetih, da vzdržujejo seznam državno odobrenih trojancev, se stvari zapletejo. Za katere države? Kitajsko? Savdsko Arabijo? ZDA? Če pristanejo na ene države, ne pa na druge, potem izgubijo sloves nepristranskosti in verjetno tudi tamkajšnji trg. Kaj, če trojanca najdejo v kriminalnem podzemlju in ga (ker vedo, da ga protivirusniki ignorirajo) ugrabijo zase in začnejo z njim krasti e-bančne podatke? Bomo morali tudi na odzivnih centrih razmišljati pri preiskovanju škodljive kode s kakšnega prenosnika o tem, da gre morda za policijsko kodo? Nas bo kdo o tem obveščal, ter kakšne bodo takrat naše zakonsko določene obveznosti? Predvidene ta trenutek niso nobene.

Če se počutimo čisto malo futuristično, pa moramo misliti tudi na prepletanje elektronskega in biološkega. Google Glass je samo začetek in čez nekaj let lahko pričakujemo kontaktne leče, kasneje pa bo mogoče naša čutila nadgraditi z elektronskimi komponentami — malimi računalniki (nekaj tega se dogaja že sedaj). Bodo danes sprejete zakonske spremembe pravno utemeljile podtikanje trojancev čez leta tudi v naše telo? Kakšni bodo lahko stranski učinki v tem prepletenem okolju?

Stroški izdelave

Ni nujno, da je izdelava ali nakup takšne opreme drag. Enostavne “tarče” bi verjetno organi pregona lahko ustrezno naciljali že z majhnimi in sorazmerno nezahtevnimi trojanci. Ne verjamem, da bodo vsi osumljenci blazno pripravljeni na takšne vdore v njihove sisteme (se recimo spomnite vdora Anonimnih v sistem HB Gary?). Ni treba vedno kupiti 0-day ranljivosti, socialni inženiring dela čuda (glej “spear phishing”). Na njem tudi večinoma temeljijo ciljani napadi s škodljivo kodo. Tisti zelo resni pa bodo morda res nedosegljivi, ali pa bo treba za vdor v njihov sistem povezan velik strošek priprave.

Če bi policija želela na trgu kupiti tako programje, pa imamo nov problem. Trg ponudbe IT storitev in programske opreme vsebuje polno zanič podjetij, ki želijo zaslužiti na hitro. Ponudili bodo nekaj za visoko ceno in kako bo naročnik vedel, da je res dobil kvalitetno opremo?

Kaj sedaj?

Če želimo, da se policija bori proti kriminalu, potem ji moramo dati na voljo primerna orodja in pooblastila. To je treba uravnotežiti s primerno zaščito zasebnosti državljanov in nadzorom. Zelo jasno, kajne? Vsak bo to podpisal. Kako pa v praksi najti tisto pravo razmerje? Glede državnega trojanca lahko ta trenutek sam rečem le to, da je tema vsaj kontroverzna in da odpira kopico zapletenih vprašanj, na katera ta trenutek še ni videti jasnih odgovorov.