zakonodaja

Državni trojanec

Ali je prav, da policija podtakne na vaš računalnik prisluškovalni program? Zakaj? Zato ker ne more posneti vaših pogovorov po Skypu, kot jih lahko na mobilnih ali stacionarnih telefonih, vi pa ste osumljeni resnega kaznivega dejanja in so potrebni dokazi o vašem početju. Vsaj tako si predstavljam, da gre argumentacija v prid predlaganim spremembam Zakona o kazenskem postopku (ZKP-M). Tole recimo piše v sami obrazložitvi:

Naslednja posledica razvoja informacijske in komunikacijske tehnologije je možnost, da uporabniki že pri viru kriptirajo komuniciranje preko spletnega omrežja (na primer Skype in elektronska pošta). S tem praktično onemogočijo izvedbo prikritega preiskovalnega ukrepa iz 1. točke prvega odstavka 150. člena ZKP (nadzor elektronskih komunikacij s prisluškovanjem in snemanjem), saj se ta ukrep izvaja tako, da operater prestreže komunikacijo v svojem omrežju in nato vsebino komunikacije posreduje nadzornemu centru policije, kjer se izvaja nadzor prestreženih komunikacij. Zato je treba na ustrezen omogočiti prestrezanje komunikacije že pri viru – torej preden se kriptira in samo v primeru, ko so izpolnjeni zakonski pogoji za odreditev ukrepa iz 1. točke prvega odstavka 150. člena ZKP (ožji nabor hujših in zapletenejših kaznivih dejanj s hujši predpisano kaznijo, obstoj utemeljenih razlogov za sum, nemožnost pridobitve dokazov z drugimi – manj invazivnimi – ukrepi, odredba preiskovalnega sodnika).

Res je. Tehnološki napredek je omogočil šifriranje, ki je dostopno vsem, razbiti pa ga je praktično nemogoče (razen velikanom, kot je ameriška NSA, pa še to ne vedno in ob dragem dolgoletnem trudu). Edina možnost, ki ostane policiji, je torej prestrezanje na enem ali drugem koncu komunikacije – preden se besedilo ali govor zašifrira, ali potem, ko se že odšifrira. Ker se to dogaja na napravah osumljencev, predlog sprememb predvideva namestitev prestreznih programov prav tam. Tu pa se stvari zapletejo.

IMG_1499Stranski učinki

S podtikanjem programa na tuj računalnik nanj vnesemo spremembe. Te so lahko manjše ali večje in bolj ko želimo, da bo podtaknjen program deloval pritajeno in ne bo odkrit, globje posege v operacijski sistem moramo praviloma narediti. V nemškem primeru iz leta 2011, ko je Chaos Computer Club odkril “Bundestrojaner”, so ugotovili tudi, da je ta omogočal namestitev dodatnih modulov in da “je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.”

Tudi industrija je že pomislila na pritajene programe. Sony je pred leti na 22 milionov CD plošč namestil rootkit, ki je okužil računalnik in tako poskusil preprečiti njihovo kopiranje. Podtaknjence je nekdo odkril in Sony je doživel odmeven škandal in nekaj tožb.

Naloga protivirusnih programov je, da takšne “artefakte” zaznavajo. Če bi vlade po svetu želele od teh podjetih, da vzdržujejo seznam državno odobrenih trojancev, se stvari zapletejo. Za katere države? Kitajsko? Savdsko Arabijo? ZDA? Če pristanejo na ene države, ne pa na druge, potem izgubijo sloves nepristranskosti in verjetno tudi tamkajšnji trg. Kaj, če trojanca najdejo v kriminalnem podzemlju in ga (ker vedo, da ga protivirusniki ignorirajo) ugrabijo zase in začnejo z njim krasti e-bančne podatke? Bomo morali tudi na odzivnih centrih razmišljati pri preiskovanju škodljive kode s kakšnega prenosnika o tem, da gre morda za policijsko kodo? Nas bo kdo o tem obveščal, ter kakšne bodo takrat naše zakonsko določene obveznosti? Predvidene ta trenutek niso nobene.

Če se počutimo čisto malo futuristično, pa moramo misliti tudi na prepletanje elektronskega in biološkega. Google Glass je samo začetek in čez nekaj let lahko pričakujemo kontaktne leče, kasneje pa bo mogoče naša čutila nadgraditi z elektronskimi komponentami — malimi računalniki (nekaj tega se dogaja že sedaj). Bodo danes sprejete zakonske spremembe pravno utemeljile podtikanje trojancev čez leta tudi v naše telo? Kakšni bodo lahko stranski učinki v tem prepletenem okolju?

Stroški izdelave

Ni nujno, da je izdelava ali nakup takšne opreme drag. Enostavne “tarče” bi verjetno organi pregona lahko ustrezno naciljali že z majhnimi in sorazmerno nezahtevnimi trojanci. Ne verjamem, da bodo vsi osumljenci blazno pripravljeni na takšne vdore v njihove sisteme (se recimo spomnite vdora Anonimnih v sistem HB Gary?). Ni treba vedno kupiti 0-day ranljivosti, socialni inženiring dela čuda (glej “spear phishing”). Na njem tudi večinoma temeljijo ciljani napadi s škodljivo kodo. Tisti zelo resni pa bodo morda res nedosegljivi, ali pa bo treba za vdor v njihov sistem povezan velik strošek priprave.

Če bi policija želela na trgu kupiti tako programje, pa imamo nov problem. Trg ponudbe IT storitev in programske opreme vsebuje polno zanič podjetij, ki želijo zaslužiti na hitro. Ponudili bodo nekaj za visoko ceno in kako bo naročnik vedel, da je res dobil kvalitetno opremo?

Kaj sedaj?

Če želimo, da se policija bori proti kriminalu, potem ji moramo dati na voljo primerna orodja in pooblastila. To je treba uravnotežiti s primerno zaščito zasebnosti državljanov in nadzorom. Zelo jasno, kajne? Vsak bo to podpisal. Kako pa v praksi najti tisto pravo razmerje? Glede državnega trojanca lahko ta trenutek sam rečem le to, da je tema vsaj kontroverzna in da odpira kopico zapletenih vprašanj, na katera ta trenutek še ni videti jasnih odgovorov.

Advertisements

All your base are belong to us 2.0

Poslanka islandskega parlamenta, Birgitta Jónsdóttir, je v petek zvečer (7.1.2011) prejela obvestilo Twitterja, da je ameriško Ministrstvo za pravosodje (Department of Justice) preko ameriškega okrožnega sodišča zahtevalo kopije vseh sporočil, ki si jih je izmenjala preko Twitterja in sicer od 1. januarja 2009 dalje. Odredba zahteva seveda tudi vsa zasebna sporočila, ki si jih je poslanka izmenjala z drugimi uporabniki Twitter omrežja. Še več – Twitter mora razkriti tudi vse kontaktne naslove, trajanje sej, vse IP naslove, ki jih je uporabljala, in za plačljive storitve tudi številke računov in kreditnih kartic.

Poslanka je v preteklosti tudi sodelovala z Wikileaks ob objavi helikopterskega napada na civiliste in novinarje v Iraku. Kot članica islandskega parlamentarnega odbora za zunanje zadeve se je leta 2009 udeležila zabave na ameriški ambasadi v Reykjaviku, s seboj pa je vzela tudi Assanga. Zanimalo jo je, ali ga bodo spoznali.

Poleg tega, da bo Wikileaks spet po nekaj tednih priplaval na medijsko površje, se lahko vprašamo tudi, kako to, da se lahko ameriška vlada vtika v komunikacijo islandske poslanke? Zlahka. Zato, ker je nadaljevanje web 2.0 koncepta pripeljalo do centralizacije storitev. V oblaku, bi lahko še dodali, če bi radi bili modni. Platforme, kot so Facebook, Twitter, WordPress, Google, Blogger, Tumblr, Posterous, FourSquare, pa so vse ameriška podjetja, ki morajo spoštovati ameriške zakone in ne islandskih ali slovenskih.

Ironično je, da je razvoj interneta kot distribuiranega omrežja pripeljal do centralizacije storitev, kjer se tudi zasebna komunikacija seli na samo par platform v lasti par podjetij. E-pošto so zamenjala sporočila na Facebooku in Twitterju. Dobro zasnovan porazdeljen sistem je zamenjalo centralno skladišče. Dostop do teh podatkov pa ima podjetje, ki upravlja platformo in ameriška država. No, še e-pošta se vse bolj seli na Gmail, tako da se tudi “stara” e-pošta vedno bolj koncentrira pri enem ponudniku.

The phrase is a line of subtitled dialogue fro...
Image via Wikipedia

All your base are belong to us” je kultni citat hekerske subkulture, vzet iz Zero Wing igre, z zanič japonsko-angleškim pregovorom. Velikokrat se uporablja ob vdorih v računalnike kot vzklik zmage ali oznanjanje samega dejanja. Izjavo lahko danes razumemo tudi kot zmagoslavni vzklik ameriške države, ki ima neoviran dostop do vedno večjega nabora svetovne komunikacije, ker se vsi selimo v oblake ali platforme v ZDA. No, nekaj je še zakonskih ovir, ampak bomo videli na primeru Birgitte Jónsdóttir in drugih Wikileaks podpornikov, kako bo s tem.

V EU izgubljamo kar nekaj časa in energije na zaščito prometnih podatkov in fantaziramo o tem, ali je IP naslov osebni podatek, ali ne. Še dobro, a ne?

twitter.com/gbozic

Enhanced by Zemanta