varnost

Prometni podatki

Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).

Advertisements

DEF CON 21

Pred enaindvajsetimi leti je Jeff Moss alias Dark Tangent v Las Vegasu naredil poslovilno zabavo za kanadskega prijatelja, ki je zaradi odhoda družine v tujino zapiral svoje BBS vozlišče. Prijatelj je žal moral na pot še preden se je začelo, a zabava za okoli 100 hekerjev je vseeeno stekla. Čeprav je bila mišljena kot enkratni dogodek, je eden od udeležencev Mossu po zaključku pisal in ga vprašal, kdaj bo naslednji DEF CON. Ostalo je zgodovina.

DEF CON 20 closing

DEF CON nikakor ni običajna konferenca. Drugačna je že registracija nanjo, ki je možna samo na licu mesta in ob plačilu dvesto dolarjev v gotovini (letos 180). Nič vnaprej, nič kreditnih kartic ali Paypala. Prijava je anonimna in na značkah ni imen – vsak se lahko predstavlja kot želi in tako zlahka ohranja svoj omrežni jaz. Od sto hekerjev je udeležba zrasla na osem do deset tisoč ljudi. Tako se namreč reče navadnim udeležencem (human), za red in gladek potek pa skrbijo goons1, ki to veliko množico ljudi usmerjajo in skrbijo za varnost. To pa ob številu udeležencev ni majhna naloga.

Za registracijo se je pametno postaviti v vrsto pred pol osmo uro zjutraj prvi dan in tako le kakšno uro in pol čakati na registracijo. Če pa mislite preskočiti uvodna predavanja, je manjša vrsta popoldne. Ne mislite pa, da se boste brez značke izmuznili goonom in registrirali kasneje! Če imate nekaj smisla za uganke in šifriranje, si lahko brezplačno udeležbo priigrate z zmago v izzivu, ki je objavljen kakšen mesec prej na spletni strani.

DEF CON pravilo 3-2-1Vsaj tri ure spanja na dan.

Vsaj dva obroka hrane na dan.

Vsaj eno tuširanje na dan.

Prvi dan je DEF CON 101 in je namenjen vsem, ki so na konferenco prišli prvič. Razložili vam bodo osnovna pravila, nekaj zgodovine konference in ves spremljevalni program. Sledi nekaj bolj osnovnih predavanji. Vseeno je dan zapolnjen, konča se s projekcijo kakšnega relevantnega dokumentarnega filma ali zabavo ob hotelskem bazenu. Sledijo trije polni dnevi s predavanji v kar petih stezah in ob bogatem spremljevalnem programu.

“Spremljevalni program” za opis različnega DEF CON dogajanja zveni popolnoma suhoparno in neustrezno. Na konferenco nekateri sploh ne pridejo poslušat predavanj, ampak zato, da se dokažejo s svojo ekipo v hekerskem Capture the Flag tekmovanju (zadnja leta se lahko preizkusite tudi v različici za socialni inženiring). V Lockpick Village se lahko naučite odklepanja klasičnih ključavnic, na BCCC tekmujete s svojo napravo v hlajenju piva, lahko pa prvi dan preživite na toksičnem žaru (Toxic BBQ), kamor prinesete svojo hrano in recepte. Zvečer lahko na hekerskih kareokah tudi zapojete. Vsega je ogromno, organizatorji pa svojo družbeno ozaveščenost nedvomno kažejo tudi z dogodki za otroke (prej DEF CON kidz, zdaj r00tz), srečanji istospolno usmerjenih udeležencev queercon in podporo za udeležence z okvarami sluha DEAF CON.

Sem in tja lahko skočite pogledat, ali se je zaradi trenutne nepazljivosti kakšno vaše geslo ujelo na Zidu za ovce (Wall of Sheep). Tam lovijo udeležence, ki so prišli na hekersko konferenco in so tako neuki, da iz svojih naprav po brezskrbno po odprtem brezžičnem omrežju pošiljajo gesla v čisti obliki. Večina ujetih gesel je poštnih, preko IMAP ali POP3 protokola. Organizatorji ponujajo tudi varnejše brezžično omrežje s samoregistracijo, zato se velja takoj registrirati nanj in pozabiti na odprto omrežje. Ker pa se “nikoli ne ve,” si pred odhodom uredite še kakšen lastni šifrirani VPN dostop, preko katerega boste usmerjali ves svoj promet.

Letošnja predavanja

Predavanj je res veliko. Potekajo na petih, včasih celo šestih stezah. Od tega, kaj boste izbrali od predavanj, bo odvisen tudi občutek o kvaliteti predstavljenega. To boste hitro ugotovili v pogovorih med odmori, ko boste primerjali slišano vsebino. Predavanja se običajno končajo petnajst minut pred naslednjim, kar pusti dovolj časa za masovne migracije ljudi po hodnikih od ene predavateljske dvorane do druge.

Tokrat smo lahko poslušali o posebnostih IPv6 hekanja, ter uporabi Microsoftove lupine Powershell za “penetracijske teste”. No, ali pa za hekanje v tuje računalnike, ne? Oblaki so bili na tapeti, ko je bil predstavljen način pridobivanja neomejenega prostora na Dropboxu: datoteko razdelite na majhne koščke, te pa shranite kot različne verzije iste datoteke in izkoristite neomejene možnosti sledenja različic. Potem naredite svoj vmesnik, ki upravlja s tako shranjenimi podatki. Seveda boste v težavah takoj, ko bo Dropbox uvedel omejitve in zaščito pri shranjevanju različic. Prepričan sem, da kmalu.

Kako ne biti pwnan

  1. možnost: papirnat blokec in kuli, ter star “neumen” telefon, ki ga boš zavrgel.
  2. možnost: svež, ponastavljen in zaščiten prenosnik brez dostopa do podatkov doma, ki ga po konferenci zradiraš.
  3. možnost: prenosnik ali tablica, ki lahko preko VPN dostopa pride le do manj občutljivih podatkov doma in določenih poštnih predalov, brez katerih ne moreš teh nekaj dni.
  4. možnost: si l33t hax0r in tebe že ne bodo pwnali, vzameš svoj prenosnik. Srečno.

Že prvi dan smo z odra lahko slišali nekoliko zlobno pripombo, da s seboj ne nosite androidnih naprav, ker boste pwnani!2 Tako enostavno verjetno le ni, smo pa lahko vseeno slišali kar nekaj predavanj o takšnem ali drugačnem hekanju androida in pomanjkljivosti Googlove zaščite pri podtikanju zlonamernega programja v njegovo Play trgovino. Prikazan je bil tudi način vdora v Google Apps storitev z ukradenim android telefonom. Googlovi inženirji so sigurno sedeli med publiko.

Pomanjkljiva zaščita na popularnih spletnih mestih za poslušanje glasbe je izpostavila tiste ranljive, kjer lahko MP3 datoteke z manipulacijo spletnih zahtev zastonj shranite na svoj računalnik. Predavanje o izgradnji lastnega javascript botneta, kamor porazdelite svoje šifrirane datoteke se je končalo z zanimivim pogovorom o zanesljivosti in odpornosti takšnega botneta na izpade posameznih vozlišč. Letos je kar nekaj predavateljev tudi govorilo o reverznem inženiringu avtomobilskih sistemov, ki komponente povezujejo s CAM vodilom. Vsak prikaz konkretne izrabe varnostne luknje je pospremljen z vljudnim aplavzom publike, bolj zanimivi heki pa tudi s kakšnim vzklikom.

Dobro obiskano je bilo predavanje o DoS napadih, ki izkoriščajo slabosti IPv6 implementacije na različnih operacijskih sistemih in strežnike “zamrznejo” tudi brez podatkovnih poplav velikih botnetov. V drugem delu pa smo za kontrast lahko slišali izkušnje ponudnika CloudFlare ob letošnjih napadih na njegovo stranko Spamhaus, ki so dosegli pasovno širino kar 300 Gb/s. Napad je bil izveden preko odprtih rekurzivnih DNS strežnikov in predavatelj je opisal zamisel, da bi lahko za obrambo “rekurzivce” prepričali, da se napadejo medsebojno in se zato ne bi imeli več časa ukvarjati z napadom na originalno tarčo! Njihov pravnik ob tem presenetljivo ni rekel odločnega: “Ne!” vendar nadaljnjih podrobnosti v predstavitvi nismo slišali.

Predavanje o “mrcvarjenju podatkov” je pokazalo na nepredvidljive posledice kombiniranja javno dostopnih podatkov in je podalo protiutež “open data” inciativam, ki se verjetno ne zavedajo posledic na posameznikovo zasebnost.

Nekoliko napeto vzdušje pa je spremljalo ambasadorja ZDA, nekdanjega člana skupine za pogajanja o nuklearnem programu Severne Koreje. Potegnil je nekakšno paralelo med atomskim in kibernetskim orožjem, češ, zakaj tudi računalniški virusi ne bi bili predmet kakšne omejevalne mednarodne konvencije. Ni bilo sprejeto z navdušenjem, res pa so vprašanja iz publike kmalu začela vleči v smer NSA prisluškovanja.

Na DEF CON lahko obiščete tudi (recimo temu) podporna predavanja. “Kako razkriti ali prodati izrabo ranljivosti (exploit) in pri tem ne zaiti v težave” je opisovalo uzance ameriškega pravnega sistema, predvsem zakona CFAA (Computer Fraud and Abuse Act), drugje ste slišali o etičnih vprašanjih hekanja, lahko pa ste šli na delavnico o preprečevanju samomorilnosti, ki naj bi bila v delu hekerske skupnosti še kar prisotna. Med bolj bizarnimi pa bi omenil predavanje o zgodovini ukrepov vlade ZDA ob pojavu NLP (neznanih letečih predmetov) po drugi svetovni vojni. Misli te hitro odnesejo v Area 51 tam v bližini.

Streznitev

Enaindvajset je tista zaresna polnoletnost v ZDA, ko lahko alkoholno pijačo. DEF CON je lani z dvajsetlo obletnico obrnil nov list, ko je med glavnimi predavatelji daleč najbolj izstopal direktor NSA, general Keith B. Alexander. Takrat ni skoparil s komplimenti hekerski skupnosti in v majici EFF (Electronic Frontier Foundation) na oder povabil mlado CyFi, zmagovalko na DEF CON kidz tekmovanju, ter jo predstavil kot svetlo prihodnost ZDA. Čez kakšen dan je prvi guru informacijske varnosti Bruce Schneier pred publiko dejal: “Pa mu ja niste nasedli?!”

Vseeno je lani kazalo na pričetek sožitja s “feds”, zveznimi agenti, ki že od nekdaj v civilu hodijo na DEF CON. Letos je bilo v zraku jasno čutiti težo streznitve, ki jo je prineslo Snowdenovo razkritje programa PRISM. Pred konferenco je Jeff Moss objavil javni poziv vladnim uslužbencem, da naj se vzdržijo obiska. “Potrebujemo nekaj časa narazen,” je dejal. Tako je umanjkala tudi zabavna “Spot the Fed” aktivnost prepoznavanja agentov v civilu.

DEF CON je en in edini. Kako se bo razvijal v zrela leta, bomo videli, velik del njegove privlačnosti pa je njegov širši kontekst in številni dogodki v njem. Predavanja pa so ena boljših in so v celoti posneta, zato jih kar poiščite na Youtube.

Članek je bil objavljen v septemberski številki revije Monitor.

Pravica do pozabe in izbris zgodovine

Pred nekaj tedni je Matej Kovačič objavil zanimiv sestavek o potvarjanju številke klicočega v telefonskih omrežjih. Prikazal je metode, ki omogočajo pošiljanje SMS sporočil in izvedbo klicev iz poljubne telefonske številke. Čeprav so te metode strokovnjakom znane že kar nekaj časa, jih je lepo povzel in prikazal v praksi. Na koncu Matej namigne na (recimo temu) stranski sklep, ki se nanaša na prometne podatke. Hramba naj bi bila nepotrebna že zato, ker obstaja način, da se podatek potvori. Tu pa mislim, da nakazuje na napačen sklep.

Kaj je prometni podatek

Sporočila so sestavljena iz vsebine in glave sporočila (včasih imenovane tudi ovojnica). Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo na kakšen način naj sporočilo potuje). Ko sporočilo potuje po poti, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: “Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.” V primeru telefonskega klica prometni podatki vsebujejo podatke o klicoči telefonski številki, klicani številki, datum in čas klica, ter njegovo trajanje. Elektronska komunikacija na internetu je sestavljena iz kar sedmih različnih nivojev, na vseh teh pa se ustvarjajo prometni podatki. Na nižjih nivojih iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek IP naslov, višje izvemo izvorni in ciljni IP naslov komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (port), čisto na vrhu pa podatke, ki so vezani na samo aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Skoraj vse naprave na omrežju beležijo prometne podatke (OK, določene naprave, kot so recimo električno-optični pretvorniki res ne beležijo nič, a saj veste, kaj sem hotel reči). Vsak spodobno napisan računalniški program, ki komunicira preko omrežja, beleži dogajanje v svoj dnevnik. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in preko katerega ga je predal naprej (oz. če ga ni, zakaj tega ni storil).

Kje vse se hranijo prometni podatki

Povsod. Vsak upravitelj spletnega strežnika hrani dnevniške datoteke, v njej pa so prometni podatki na aplikacijskem nivoju. Notri je datum in čas, IP naslov obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je tudi z drugimi strežniki, od pošte in DNS sistema do namenskih strežnikov.

Vsaka organizacija običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki preko požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in še kaj več. Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke.

Operaterji beležijo prometne podatke tudi na usmerjevalnikih svojega omrežja. Preko njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. Operaterjem zakon predpisuje obvezno hrambo, po drugi strani pa jo prepoveduje.

Namen in uporaba prometnih podatkov

Prometni podatki so nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče. To si je pomembno zapomniti in najraje bi to zapisal še vsaj petkrat zapovrstjo.

Brez njih je internetni ponudnik (ali ponudnik drugih storitev, recimo gostovanja) kot človek brez spomina. Ko se znajde v slepi ulici, ne ve, zakaj je tja prišel, kako je prispel, niti ne ve, od kod je.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: “Poslal sem pomembno (elektronsko) pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.” V takšnem primeru ponudnik pogleda v svoje “zbirke prometnih podatkov” (pravni termin) oziroma “log fajle”, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku.

Tu pa se začne zgodba o z zakonom določeni hrambi prometnih podatkov. V bistvu se začne še nekoliko prej. Začne se pri strahu, da se lahko sledi vsakemu posamezniku preko shranjenih prometnih podatkov. 104. člen Zakona o elektronskih komunikacijah zato določa:

(1) Podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, morajo biti izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo, takoj ko niso več potrebni za prenos sporočil, razen če sodijo v kategorijo podatkov iz 107.b člena tega zakona, ki se hranijo v skladu s četrtim in petim odstavkom 107.a člena tega zakona.

Po uspešnem prenosu sporočila naj bi operater povezane podatke o prometu anonimiziral ali izbrisal. Kaj to pomeni v zgornjem primeru pritožbe? Če bi operater izbrisal ali anonimiziral podatke, čez kakšen teden dni (ko se uporabnik pritoži), ne bo več vedel, ali je sporočilo uspel predati naprej ali ne. Primera nisem naključno izbral, saj so napake pri delovanju poštnih strežnikov zelo zelo redke, pritožbe glede dostave pošte pa ne.  Običajno “zamočijo” pošiljatelji ali prejemniki (ti se včasih še celo zlažejo, da kakšne pošte niso dobili, ker jim pač njena vsebina poslovno preveč ne prija; lahko verjamete kaj takšnega, a?).

Vsak ponudnik na podlagi zbranih in analiziranih prometnih podatkov spremlja stanje na omrežju in ugotavlja, kje so ozka grla. Te podatke uporablja za načrtovanje razširitev in nadgradenj, ki bodo zagotavljale udobno delo na omrežju.

Ko pa gre za namerne napade na strežnike ali omrežje, prometni podatki pokažejo, kaj pravzaprav se je dogajalo. Ponudniku omogočijo zaznavo napada, ustrezno zaščito pred njim in omogočijo izsleditev izvora napada. Reakcija na napad vedno pride šele za njim. Če prometne podatke prehitro vržemo stran, potem ne moremo narediti nič. Ponudnik takrat lahko le zatisne oči in počaka, da vse skupaj mine. O tem smo pisali tudi ob napadih skupine Anonymous februarja letos.

No, ampak v zgoraj citiranem odstavku obstaja izjema pri hrambi, določena v 107.a. in 107.b. členih. Ta sta nastala na podlagi Direktive 2006/24/ES za namen boja proti terorizmu. Določata zelo omejen obseg prometnih podatkov, ki so jih operaterji dolžni hraniti. Vsi ponudniki po vsem svetu so seveda že pred tem beležili prometne podatke za namene zagotavljanja normalnega delovanja omrežja in načrtovanja. Direktiva je le na neroden način določila neko podmnožico podatkov, ki jih operaterji nujno morajo hraniti in omogočajo izsleditev storilca. Zato se je tudi moral popraviti 104. člen. Če sem malo ciničen, se je slaba rešitev “popravila” s še eno slabo.

Potvarjanje številke klicočega

Matej v svojem prispevku opiše, kako lahko v tujini najdete operaterja internetne telefonije, ki vam dovoli potvoriti telefonsko številko in potem preko ovinka pošiljate lažne klice in SMS sporočila. V računalniški srenji bi seveda lahko rekli: “It’s not a bug, it’s a feature,” predvsem za tistega ponudnika telefonije, ki to trži kot prikladno fleksibilnost. V svojem članku za Sobotno prilogo Lenart J. Kučić nekoliko posplošeno opisane aktivnosti povzame, da je Matej pri “… več slovenskih operaterjih mobilne, fiksne in internetne telefonije (voip) … uspešno preizkusil spreminjanje klicne identifikacije.” Matej ni spremenil identifikacije pri nobenem od slovenskih operaterjev, ampak je izbral tujega operaterja, ki to deklarirano dovoljuje, in potem preko njega izvedel klic v slovenska omrežja. To je velika razlika. Matej je uporabil možnost pri tujem VoIP ponudniku, ki jo ta pač ponuja svojim strankam. Ne moremo govoriti o varnostni pomanjkljivosti, ker gre za poslovni model. Ali je ta pameten ali ne, je drugo vprašanje.

Kot Matej pravilno ugotavlja, se je podobno dogajalo tudi na internetu. Preko potvorjenih IP naslovov so se izvajali različni napadi, dokler sčasoma ponudniki sami niso ugotovili, da je treba uvesti določena pravila na mejah omrežja, od koga boš sprejel kaj. Morda se bo to zgodilo tudi pri internetni telefoniji.

Najbolj pa je pomembno naslednje: kako se lahko lotimo preiskovanja v primeru, ko gre za podtaknjene in lažne klice? Odgovor je: preko analize prometnih podatkov! Vi boste ob Matejevem “napadu” res na zaslonu svojega telefona videli izmišljeno številko, ki jo bo on poljubno nastavil, vendar pa bo vaš operater telefonije lahko preko prometnih podatkov lahko preveril, od kod je klic dejansko prišel v njegovo omrežje. To ponudniki redno počnejo pri elektronski pošti, kadar pride do pritožb ali goljufij. Ko pa bo vaš operater prometne podatke izbrisal (zaradi zakonske določbe), tega ne bo mogel več ugotoviti in vi sami kot žrtev napada boste bolj izpostavljeni tveganju.

Druga napaka leži v domnevi, da se v preiskovanju zlorab na omrežju vedno zanašamo le na en sam podatek in da nikoli ne podvomimo v verodostojnost kateregakoli od njih. To seveda ni res. Vsako preiskovanje na omrežju vedno temelji na tem, da se primerjajo podatki iz različnih koncev in na podlagi njih se izdelajo možni scenariji, eni bolj, drugi manj verjetni. Koristno je, da se prometni podatki ustvarjajo pri različnih skrbnikih, z njihovo primerjavo pa se lahko povečuje ali zmanjšuje to verjetnost.

Preveč enostavno je tudi reči: “ker lahko na enem primeru pokažemo, da je možno, da prometni podatek ne ustreza dejanskem stanju, ne potrebujemo njihove hrambe.” Dvomim, da se kdajkoli samo na podlagi enega takšnega podatka odloča o pomembnih rečeh na sodišču. Ne smemo pa tudi mimo dejstva, da tveganja opisujemo z verjetnostmi in se na podlagi teh vedemo.

Povsem verjetno pa je, da se pri telefoniji takšne preiskovalne varovalke še najmanj uporabljajo, zato je v tem kontekstu Matejevo opozorilo na mestu.

Zakonska regulacija kot način urejanja kršitev

Pred leti je Mobitel d.d. predal policiji seznam klicanih številk, a pri tem pozabil vprašati, kje je odredba sodišča. Delodajalci na ministrstvu so preko izpiskov klicev službenih telefonov iskali zaposlene, ki so se pogovarjali z novinarji in jih za to kaznovali (po naši lokalni folklori seveda z obveznim političnim priokusom). Potem pa imamo še poskus tržnega inšpektorja, da bi pridobil identiteto internetnega uporabnika na podlagi zakonskega določila, ki ga je zakonodajalec sicer namenil pregonu hujših kaznivih dejanj. Kaj je skupno tem primerom? Namesto da bi v posameznem primeru prišli do ustreznega pravnega epiloga, se je dostikrat ubrala najlažja pot: ali malo spremenimo zakon, ali pa si ga razložimo na tako izviren način, da bo cilj dosežen. S pravno akrobacijo uvedbe razlikovanja statično in dinamično dodeljenih IP naslovov se je sicer rešil tisti problem z inšpektorjem, a nastali so problemi pri policijskih postopkih, zaradi političnih iger pa morajo sedaj vsi operaterji delno skrivati telefonske številke na izpiskih, ki nam jih pošljejo. Lahko, da se je v nekem primeru dobila bitka za zaščito zasebnosti zaposlenega, a zraven tudi jaz kot uporabnik občutim zame neželene stranske učinke, ki se dostikrat ob iskanju rešitve zanemarijo. Refleksno dodajanje členov in celih zakonov nas pelje v vedno bolj zbirokratizirano in konfuzno družbo, to da napišemo še en zakon, pa je nemalokrat tudi zatiskanje oči pred problemi in bežanje pred njihovim korenitim reševanjem. Da je stvar sedaj urejena in problema ne bi smelo več biti. Spam pri nas urejamo s kar štirimi zakoni, pa je pregon domačih spamerjev vseeno dolg, poln zapletov in čeri.

Prav tako so po krivem v središču prometni podatki. To “čast” si zaslužijo tisti, ki prometne podatke zlorabljajo ali prodajajo. Ker ne zmoremo kot družba kaznovati teh zlorab, raje vsem predpišimo, da prometnih podatkov sploh ne sme biti? Če gremo predaleč lahko tudi zaščita zasebnosti posameznika škodi njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo. Sploh pa: medtem, ko se mi v peskovniku mikastimo glede tega in si eden drugemu mečemo v oči zdaj statični, zdaj dinamični internetni pesek, se velike firme, kot so Google in Facebook, smejejo na široko in naše podatke zajemajo z zelo velikimi lopatami.

Predstavitev varnostnih vprašanj v oblačnem računalništvu

Img_0008
Arnesova uporabniška konferenca v sklopu dogodka SIRIKT bo letos oblačno obarvana. Splavili bomo nekaj novih oblačnih storitev, sam pa bom govoril (seveda) o varnostnih vprašanjih in pomislekih. Prezentacija dobiva svojo obliko, saj smo samo par dni od interne generalke pred sodelavci na Arnesu. Predstavil bom vprašanja avtentikacije in avtorizacije (AA) v oblaku (oz. njuno podhranjenost), migraciji med oblaki, stabilnosti, nivojski zasnovi pri načrtovanju, razširljivosti oz. velikosti oblaka in jurisdikciji nad skladiščenimi podatki.
Pri pripravi uporabljam super nasvete za pripravo bolj zanimivih prezentacij in predavanj iz Presentation Zen knjig.

Vrednost našega profila na Facebooku

498122926_443eaf90edLjudje smo družabna bitja in Facebook nam omogoča enostavno, udobno, in široko komunikacijo s prijatelji in znanci. Prišel pa je hitro in morda zato še nismo imeli dovolj časa razviti obrambnih mehanizmov, s katerimi bi se uspešno izognili pastem sodobnega “druženja”.

Internetna družabna omrežja temeljijo na tem, da si zgradimo mrežo prijateljev, tem pa nato oznanjamo, kaj počnemo, kje smo bili, kam gremo in kaj si o kakšni aktualni stvari mislimo. Objavljamo slike, povezave na bloge in video posnetke, ter komentiramo objave svojih prijateljev. Ker na internetu velja, da je z objavljeno stvarjo tako kot z zobno pasto, ko jo iztisnemo iz tube (t.j. zelo težko jo spravimo nazaj), bi morali biti pozorni na vsaj dve stvari.

Najprej, koga vse na Facebooku vzamemo za svojega prijatelja? Dovolimo bežnim znancem in popolnim tujcem v svoje omrežje, ker se želimo postaviti z visokim številom FB prijateljev, ali pa nam je nerodno koga zavrniti? Bolj ko je temu tako, težje napovemo, kako bodo ti “prijatelji” ravnali z našimi podatki. In nato: kdo vse vidi naše podatke, samo prijatelji, tudi prijatelji prijateljev, ali kdorkoli na internetu?

Vedno govorimo, da imajo informacije vrednost. To vrednost sami večamo z objavami na FB o tem, kdo smo in kaj počnemo. Tako lahko nekdo recimo izkoristi dejstvo, da ste se odpravili na pot po Afriki in v vašem imenu pošlje obvestilo FB prijateljem, kako so vas okradli, ste v hudi stiski in nujno potrebujete denar za vrnitev domov, nakazilo pa naj bo v neko banko v Nigeriji (dvig z geslom, brez osebne identifikacije) … Takšne goljufije se redno dogajajo že danes, pričakujemo lahko le, da bodo jutri goljufi postali še bolj zviti s pomočjo informacij, ki jih mi sami dajemo na voljo.

FB in podobna omrežja so dejansko platforma za izmenjavo različnih tipov informacij med uporabniki, te pa so lahko tudi neposredno škodljive, denimo računalniški virusi in črvi. V pradavnini so ti potovali po disketah, včeraj po elektronski pošti, družabna omrežja pa so naslednja na spisku.

Na koncu ne smemo pozabiti na to, da vse podatke na FB hrani in upravlja zasebno podjetje v ZDA. Kaj bodo z njimi počeli bo verjetno prej stvar zaslužka, kot neke nedefinirane skupne koristi uporabnikov.

Je torej glede na zgoraj nametane probleme rešitev v popolni web 2.0 abstinenci in strogo anonimnem brskanju po spletu? Za nekatere morda res, za večino nas pa bo verjetno dovolj, če poskrbimo za osnovno zaščito in higieno pri uporabi. Zato si priskrbimo profesionalni zaščitni program, ki nas bo obranil virusov in podtaknjenih stvari na spletu (ter nas na leto stane toliko kot ena cenejša večerja v mestu). FB, spletne pošte in drugih omrežnih storitev raje ne uporabljajmo s tujih računalnikov (cybercafeji), lahko nam ukradejo geslo in z njim našo omrežno identiteto. Preverimo nastavitve na FB, ki določajo, kdo lahko pregleduje naše objave. Pri objavljanju osebnih podatkov, slik in video posnetkov pa bodimo raje bolj na konzervativni strani. In ker odrasli zaradi svojih izkušenj to mejo konzervativnosti lažje najdemo kot otroci in mladostniki, jim pomagajmo z nasveti.

Reblog this post [with Zemanta]Slika: pshab

Črvi na Twitter omrežju

Call me the bird or the worm
Image by sevenoh via Flickr

Med velikonočnimi prazniki so se na Twitterju pojavili XSS (cross-site scripting) črvi. Ob obisku okuženega profila vam lahko podtaknjena koda na strani ukrade Twitter piškotek, s katerim se identificirate. Črv v vašem imenu (a brez vaše vednosti, seveda) počivka, kjer skuša vaše prijatelje namamiti na stran z zlonamerno kodo in tako okužiti tudi njihov profil.

Kot vse kaže, je v tem primeru šlo za “proof-of-concept” črva, doživel pa je par mutacij. Sigurno ni to zadnji varnostni problem, s katerim se je Twitter soočil. Družabna omrežja vabijo s tem, da so preprosta in prijazna, včasih tudi na račun opuščanja razmisleka o varnem snovanju za splet.

Zaenkrat svetujem, da bodisi izklopite Javascript (radikalno), ali pa bodite zelo rezervirani pri klikanju po Twitterju (verjetno dovolj). Še posebej, pri povezavah novih neznanih “sledilcev”. Twitter ekipa pa pravi, da so izbruh spravili pod nadzor, vendar pa še “pregledujejo vse podrobnosti.” Torej še ni čisto jasno ali je zadeve konec, zato previdno.

Reblog this post [with Zemanta]