zasebnost

Prometni podatki

Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).

Državni trojanec

Ali je prav, da policija podtakne na vaš računalnik prisluškovalni program? Zakaj? Zato ker ne more posneti vaših pogovorov po Skypu, kot jih lahko na mobilnih ali stacionarnih telefonih, vi pa ste osumljeni resnega kaznivega dejanja in so potrebni dokazi o vašem početju. Vsaj tako si predstavljam, da gre argumentacija v prid predlaganim spremembam Zakona o kazenskem postopku (ZKP-M). Tole recimo piše v sami obrazložitvi:

Naslednja posledica razvoja informacijske in komunikacijske tehnologije je možnost, da uporabniki že pri viru kriptirajo komuniciranje preko spletnega omrežja (na primer Skype in elektronska pošta). S tem praktično onemogočijo izvedbo prikritega preiskovalnega ukrepa iz 1. točke prvega odstavka 150. člena ZKP (nadzor elektronskih komunikacij s prisluškovanjem in snemanjem), saj se ta ukrep izvaja tako, da operater prestreže komunikacijo v svojem omrežju in nato vsebino komunikacije posreduje nadzornemu centru policije, kjer se izvaja nadzor prestreženih komunikacij. Zato je treba na ustrezen omogočiti prestrezanje komunikacije že pri viru – torej preden se kriptira in samo v primeru, ko so izpolnjeni zakonski pogoji za odreditev ukrepa iz 1. točke prvega odstavka 150. člena ZKP (ožji nabor hujših in zapletenejših kaznivih dejanj s hujši predpisano kaznijo, obstoj utemeljenih razlogov za sum, nemožnost pridobitve dokazov z drugimi – manj invazivnimi – ukrepi, odredba preiskovalnega sodnika).

Res je. Tehnološki napredek je omogočil šifriranje, ki je dostopno vsem, razbiti pa ga je praktično nemogoče (razen velikanom, kot je ameriška NSA, pa še to ne vedno in ob dragem dolgoletnem trudu). Edina možnost, ki ostane policiji, je torej prestrezanje na enem ali drugem koncu komunikacije – preden se besedilo ali govor zašifrira, ali potem, ko se že odšifrira. Ker se to dogaja na napravah osumljencev, predlog sprememb predvideva namestitev prestreznih programov prav tam. Tu pa se stvari zapletejo.

IMG_1499Stranski učinki

S podtikanjem programa na tuj računalnik nanj vnesemo spremembe. Te so lahko manjše ali večje in bolj ko želimo, da bo podtaknjen program deloval pritajeno in ne bo odkrit, globje posege v operacijski sistem moramo praviloma narediti. V nemškem primeru iz leta 2011, ko je Chaos Computer Club odkril “Bundestrojaner”, so ugotovili tudi, da je ta omogočal namestitev dodatnih modulov in da “je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.”

Tudi industrija je že pomislila na pritajene programe. Sony je pred leti na 22 milionov CD plošč namestil rootkit, ki je okužil računalnik in tako poskusil preprečiti njihovo kopiranje. Podtaknjence je nekdo odkril in Sony je doživel odmeven škandal in nekaj tožb.

Naloga protivirusnih programov je, da takšne “artefakte” zaznavajo. Če bi vlade po svetu želele od teh podjetih, da vzdržujejo seznam državno odobrenih trojancev, se stvari zapletejo. Za katere države? Kitajsko? Savdsko Arabijo? ZDA? Če pristanejo na ene države, ne pa na druge, potem izgubijo sloves nepristranskosti in verjetno tudi tamkajšnji trg. Kaj, če trojanca najdejo v kriminalnem podzemlju in ga (ker vedo, da ga protivirusniki ignorirajo) ugrabijo zase in začnejo z njim krasti e-bančne podatke? Bomo morali tudi na odzivnih centrih razmišljati pri preiskovanju škodljive kode s kakšnega prenosnika o tem, da gre morda za policijsko kodo? Nas bo kdo o tem obveščal, ter kakšne bodo takrat naše zakonsko določene obveznosti? Predvidene ta trenutek niso nobene.

Če se počutimo čisto malo futuristično, pa moramo misliti tudi na prepletanje elektronskega in biološkega. Google Glass je samo začetek in čez nekaj let lahko pričakujemo kontaktne leče, kasneje pa bo mogoče naša čutila nadgraditi z elektronskimi komponentami — malimi računalniki (nekaj tega se dogaja že sedaj). Bodo danes sprejete zakonske spremembe pravno utemeljile podtikanje trojancev čez leta tudi v naše telo? Kakšni bodo lahko stranski učinki v tem prepletenem okolju?

Stroški izdelave

Ni nujno, da je izdelava ali nakup takšne opreme drag. Enostavne “tarče” bi verjetno organi pregona lahko ustrezno naciljali že z majhnimi in sorazmerno nezahtevnimi trojanci. Ne verjamem, da bodo vsi osumljenci blazno pripravljeni na takšne vdore v njihove sisteme (se recimo spomnite vdora Anonimnih v sistem HB Gary?). Ni treba vedno kupiti 0-day ranljivosti, socialni inženiring dela čuda (glej “spear phishing”). Na njem tudi večinoma temeljijo ciljani napadi s škodljivo kodo. Tisti zelo resni pa bodo morda res nedosegljivi, ali pa bo treba za vdor v njihov sistem povezan velik strošek priprave.

Če bi policija želela na trgu kupiti tako programje, pa imamo nov problem. Trg ponudbe IT storitev in programske opreme vsebuje polno zanič podjetij, ki želijo zaslužiti na hitro. Ponudili bodo nekaj za visoko ceno in kako bo naročnik vedel, da je res dobil kvalitetno opremo?

Kaj sedaj?

Če želimo, da se policija bori proti kriminalu, potem ji moramo dati na voljo primerna orodja in pooblastila. To je treba uravnotežiti s primerno zaščito zasebnosti državljanov in nadzorom. Zelo jasno, kajne? Vsak bo to podpisal. Kako pa v praksi najti tisto pravo razmerje? Glede državnega trojanca lahko ta trenutek sam rečem le to, da je tema vsaj kontroverzna in da odpira kopico zapletenih vprašanj, na katera ta trenutek še ni videti jasnih odgovorov.

Pravica do pozabe in izbris zgodovine

Pred nekaj tedni je Matej Kovačič objavil zanimiv sestavek o potvarjanju številke klicočega v telefonskih omrežjih. Prikazal je metode, ki omogočajo pošiljanje SMS sporočil in izvedbo klicev iz poljubne telefonske številke. Čeprav so te metode strokovnjakom znane že kar nekaj časa, jih je lepo povzel in prikazal v praksi. Na koncu Matej namigne na (recimo temu) stranski sklep, ki se nanaša na prometne podatke. Hramba naj bi bila nepotrebna že zato, ker obstaja način, da se podatek potvori. Tu pa mislim, da nakazuje na napačen sklep.

Kaj je prometni podatek

Sporočila so sestavljena iz vsebine in glave sporočila (včasih imenovane tudi ovojnica). Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo na kakšen način naj sporočilo potuje). Ko sporočilo potuje po poti, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: “Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.” V primeru telefonskega klica prometni podatki vsebujejo podatke o klicoči telefonski številki, klicani številki, datum in čas klica, ter njegovo trajanje. Elektronska komunikacija na internetu je sestavljena iz kar sedmih različnih nivojev, na vseh teh pa se ustvarjajo prometni podatki. Na nižjih nivojih iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek IP naslov, višje izvemo izvorni in ciljni IP naslov komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (port), čisto na vrhu pa podatke, ki so vezani na samo aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Skoraj vse naprave na omrežju beležijo prometne podatke (OK, določene naprave, kot so recimo električno-optični pretvorniki res ne beležijo nič, a saj veste, kaj sem hotel reči). Vsak spodobno napisan računalniški program, ki komunicira preko omrežja, beleži dogajanje v svoj dnevnik. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in preko katerega ga je predal naprej (oz. če ga ni, zakaj tega ni storil).

Kje vse se hranijo prometni podatki

Povsod. Vsak upravitelj spletnega strežnika hrani dnevniške datoteke, v njej pa so prometni podatki na aplikacijskem nivoju. Notri je datum in čas, IP naslov obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je tudi z drugimi strežniki, od pošte in DNS sistema do namenskih strežnikov.

Vsaka organizacija običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki preko požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in še kaj več. Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke.

Operaterji beležijo prometne podatke tudi na usmerjevalnikih svojega omrežja. Preko njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. Operaterjem zakon predpisuje obvezno hrambo, po drugi strani pa jo prepoveduje.

Namen in uporaba prometnih podatkov

Prometni podatki so nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče. To si je pomembno zapomniti in najraje bi to zapisal še vsaj petkrat zapovrstjo.

Brez njih je internetni ponudnik (ali ponudnik drugih storitev, recimo gostovanja) kot človek brez spomina. Ko se znajde v slepi ulici, ne ve, zakaj je tja prišel, kako je prispel, niti ne ve, od kod je.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: “Poslal sem pomembno (elektronsko) pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.” V takšnem primeru ponudnik pogleda v svoje “zbirke prometnih podatkov” (pravni termin) oziroma “log fajle”, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku.

Tu pa se začne zgodba o z zakonom določeni hrambi prometnih podatkov. V bistvu se začne še nekoliko prej. Začne se pri strahu, da se lahko sledi vsakemu posamezniku preko shranjenih prometnih podatkov. 104. člen Zakona o elektronskih komunikacijah zato določa:

(1) Podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, morajo biti izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo, takoj ko niso več potrebni za prenos sporočil, razen če sodijo v kategorijo podatkov iz 107.b člena tega zakona, ki se hranijo v skladu s četrtim in petim odstavkom 107.a člena tega zakona.

Po uspešnem prenosu sporočila naj bi operater povezane podatke o prometu anonimiziral ali izbrisal. Kaj to pomeni v zgornjem primeru pritožbe? Če bi operater izbrisal ali anonimiziral podatke, čez kakšen teden dni (ko se uporabnik pritoži), ne bo več vedel, ali je sporočilo uspel predati naprej ali ne. Primera nisem naključno izbral, saj so napake pri delovanju poštnih strežnikov zelo zelo redke, pritožbe glede dostave pošte pa ne.  Običajno “zamočijo” pošiljatelji ali prejemniki (ti se včasih še celo zlažejo, da kakšne pošte niso dobili, ker jim pač njena vsebina poslovno preveč ne prija; lahko verjamete kaj takšnega, a?).

Vsak ponudnik na podlagi zbranih in analiziranih prometnih podatkov spremlja stanje na omrežju in ugotavlja, kje so ozka grla. Te podatke uporablja za načrtovanje razširitev in nadgradenj, ki bodo zagotavljale udobno delo na omrežju.

Ko pa gre za namerne napade na strežnike ali omrežje, prometni podatki pokažejo, kaj pravzaprav se je dogajalo. Ponudniku omogočijo zaznavo napada, ustrezno zaščito pred njim in omogočijo izsleditev izvora napada. Reakcija na napad vedno pride šele za njim. Če prometne podatke prehitro vržemo stran, potem ne moremo narediti nič. Ponudnik takrat lahko le zatisne oči in počaka, da vse skupaj mine. O tem smo pisali tudi ob napadih skupine Anonymous februarja letos.

No, ampak v zgoraj citiranem odstavku obstaja izjema pri hrambi, določena v 107.a. in 107.b. členih. Ta sta nastala na podlagi Direktive 2006/24/ES za namen boja proti terorizmu. Določata zelo omejen obseg prometnih podatkov, ki so jih operaterji dolžni hraniti. Vsi ponudniki po vsem svetu so seveda že pred tem beležili prometne podatke za namene zagotavljanja normalnega delovanja omrežja in načrtovanja. Direktiva je le na neroden način določila neko podmnožico podatkov, ki jih operaterji nujno morajo hraniti in omogočajo izsleditev storilca. Zato se je tudi moral popraviti 104. člen. Če sem malo ciničen, se je slaba rešitev “popravila” s še eno slabo.

Potvarjanje številke klicočega

Matej v svojem prispevku opiše, kako lahko v tujini najdete operaterja internetne telefonije, ki vam dovoli potvoriti telefonsko številko in potem preko ovinka pošiljate lažne klice in SMS sporočila. V računalniški srenji bi seveda lahko rekli: “It’s not a bug, it’s a feature,” predvsem za tistega ponudnika telefonije, ki to trži kot prikladno fleksibilnost. V svojem članku za Sobotno prilogo Lenart J. Kučić nekoliko posplošeno opisane aktivnosti povzame, da je Matej pri “… več slovenskih operaterjih mobilne, fiksne in internetne telefonije (voip) … uspešno preizkusil spreminjanje klicne identifikacije.” Matej ni spremenil identifikacije pri nobenem od slovenskih operaterjev, ampak je izbral tujega operaterja, ki to deklarirano dovoljuje, in potem preko njega izvedel klic v slovenska omrežja. To je velika razlika. Matej je uporabil možnost pri tujem VoIP ponudniku, ki jo ta pač ponuja svojim strankam. Ne moremo govoriti o varnostni pomanjkljivosti, ker gre za poslovni model. Ali je ta pameten ali ne, je drugo vprašanje.

Kot Matej pravilno ugotavlja, se je podobno dogajalo tudi na internetu. Preko potvorjenih IP naslovov so se izvajali različni napadi, dokler sčasoma ponudniki sami niso ugotovili, da je treba uvesti določena pravila na mejah omrežja, od koga boš sprejel kaj. Morda se bo to zgodilo tudi pri internetni telefoniji.

Najbolj pa je pomembno naslednje: kako se lahko lotimo preiskovanja v primeru, ko gre za podtaknjene in lažne klice? Odgovor je: preko analize prometnih podatkov! Vi boste ob Matejevem “napadu” res na zaslonu svojega telefona videli izmišljeno številko, ki jo bo on poljubno nastavil, vendar pa bo vaš operater telefonije lahko preko prometnih podatkov lahko preveril, od kod je klic dejansko prišel v njegovo omrežje. To ponudniki redno počnejo pri elektronski pošti, kadar pride do pritožb ali goljufij. Ko pa bo vaš operater prometne podatke izbrisal (zaradi zakonske določbe), tega ne bo mogel več ugotoviti in vi sami kot žrtev napada boste bolj izpostavljeni tveganju.

Druga napaka leži v domnevi, da se v preiskovanju zlorab na omrežju vedno zanašamo le na en sam podatek in da nikoli ne podvomimo v verodostojnost kateregakoli od njih. To seveda ni res. Vsako preiskovanje na omrežju vedno temelji na tem, da se primerjajo podatki iz različnih koncev in na podlagi njih se izdelajo možni scenariji, eni bolj, drugi manj verjetni. Koristno je, da se prometni podatki ustvarjajo pri različnih skrbnikih, z njihovo primerjavo pa se lahko povečuje ali zmanjšuje to verjetnost.

Preveč enostavno je tudi reči: “ker lahko na enem primeru pokažemo, da je možno, da prometni podatek ne ustreza dejanskem stanju, ne potrebujemo njihove hrambe.” Dvomim, da se kdajkoli samo na podlagi enega takšnega podatka odloča o pomembnih rečeh na sodišču. Ne smemo pa tudi mimo dejstva, da tveganja opisujemo z verjetnostmi in se na podlagi teh vedemo.

Povsem verjetno pa je, da se pri telefoniji takšne preiskovalne varovalke še najmanj uporabljajo, zato je v tem kontekstu Matejevo opozorilo na mestu.

Zakonska regulacija kot način urejanja kršitev

Pred leti je Mobitel d.d. predal policiji seznam klicanih številk, a pri tem pozabil vprašati, kje je odredba sodišča. Delodajalci na ministrstvu so preko izpiskov klicev službenih telefonov iskali zaposlene, ki so se pogovarjali z novinarji in jih za to kaznovali (po naši lokalni folklori seveda z obveznim političnim priokusom). Potem pa imamo še poskus tržnega inšpektorja, da bi pridobil identiteto internetnega uporabnika na podlagi zakonskega določila, ki ga je zakonodajalec sicer namenil pregonu hujših kaznivih dejanj. Kaj je skupno tem primerom? Namesto da bi v posameznem primeru prišli do ustreznega pravnega epiloga, se je dostikrat ubrala najlažja pot: ali malo spremenimo zakon, ali pa si ga razložimo na tako izviren način, da bo cilj dosežen. S pravno akrobacijo uvedbe razlikovanja statično in dinamično dodeljenih IP naslovov se je sicer rešil tisti problem z inšpektorjem, a nastali so problemi pri policijskih postopkih, zaradi političnih iger pa morajo sedaj vsi operaterji delno skrivati telefonske številke na izpiskih, ki nam jih pošljejo. Lahko, da se je v nekem primeru dobila bitka za zaščito zasebnosti zaposlenega, a zraven tudi jaz kot uporabnik občutim zame neželene stranske učinke, ki se dostikrat ob iskanju rešitve zanemarijo. Refleksno dodajanje členov in celih zakonov nas pelje v vedno bolj zbirokratizirano in konfuzno družbo, to da napišemo še en zakon, pa je nemalokrat tudi zatiskanje oči pred problemi in bežanje pred njihovim korenitim reševanjem. Da je stvar sedaj urejena in problema ne bi smelo več biti. Spam pri nas urejamo s kar štirimi zakoni, pa je pregon domačih spamerjev vseeno dolg, poln zapletov in čeri.

Prav tako so po krivem v središču prometni podatki. To “čast” si zaslužijo tisti, ki prometne podatke zlorabljajo ali prodajajo. Ker ne zmoremo kot družba kaznovati teh zlorab, raje vsem predpišimo, da prometnih podatkov sploh ne sme biti? Če gremo predaleč lahko tudi zaščita zasebnosti posameznika škodi njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo. Sploh pa: medtem, ko se mi v peskovniku mikastimo glede tega in si eden drugemu mečemo v oči zdaj statični, zdaj dinamični internetni pesek, se velike firme, kot so Google in Facebook, smejejo na široko in naše podatke zajemajo z zelo velikimi lopatami.

Javna razprava o sporazumu ACTA

V odziv na pobudo o sporazumu ACTA je Državni zbor najavil javno razpravo o njem in tudi podpisnike pobude povabil na javno predstavite mnenj. Spodaj je posnetek mojega govora in pisni prispevek k razpravi.

Javna predstavitev mnenja o podpisu Trgovinskega sporazuma za boj proti ponarejanju (ACTA), Državni zbor, Odbor za evropske zadeve, petek, 17. 2. 2012 ob 12. uri.

Spoštovani!

Veseli me, da imam možnost v javni razpravi o sporazumu Acta predstaviti tudi svoje mnenje. Govoril bom predvsem o 27. členu sporazuma, ki govori o uveljavljanju pravic intelektualne lastnine v digitalnem okolju, torej na internetu.

Za začetek moram jasno povedati: Acta sama ne vsebuje določil, ki bi uvajala filtriranje interneta ali zahtevala odklope posameznikov zaradi kršitev pravic intelektualne lastnine. Zakaj pa me sporazum vseeno navdaja s skrbmi glede spremembe vloge internet ponudnikov in možnim omejevanjem elektronske komunikacije, pa želim predstaviti v nadaljevanju.

V uvodu sporazuma lahko preberemo, da je eden od ciljev sporazuma spodbujanje sodelovanja med ponudniki storitev in imetniki pravic pri reševanju kršitev v digitalnem okolju. Ali to pomeni, da bodo gospodarski subjekti, ki so imetniki navedenih pravic, imeli pri obrambi teh drugačen položaj, kot kateri drugi gospodarski subjekti? To iz formulacije ni razvidno.

V nadaljevanju 4. odstavek 27. člena pravi, da lahko imetnik pravice na podlagi »pravno zadostnega« zahtevka dobi posebej hiter kanal za pridobivanje podatkov o posameznem naročniku, ki domnevno krši njegove pravice. To pomeni, da imetniki pravic lažje pridejo do osebnih podatkov naročnika. Ta izjema me nekoliko spomni na že videno nenavadno situacijo, ko naj bi imel Tržni inšpektorat RS lažji dostop do prometnih podatkov, hranjenih po Zakonu o elektronskih komunikacijah, kot sama policija, pa čeprav se je hramba teh podatkov uvedla ravno za namen hudih kaznivih dejanj, povezanih s terorizmom in torej za namene policijskega pregona. Če se prav spomnim, je bilo ob tej situaciji potrebne kar nekaj pravne akrobacije s pojmi dinamičnih in statičnih internet naslovov, da se je stanje za silo zopet uskladilo z namenom. Omenjena akrobacija pa je povzročila nenačrtovane stranske učinke, v katere sta morala poseči tako Informacijska pooblaščenka, kot tudi Vrhovno sodišče. Ponudniki in policija pa se na okroglih mizah še dandanes sprašujemo, kaj se sme in kaj ne.

S 5. odstavkom 27. člena Acte se podpisnice zavežejo, da bodo zagovile ustrezna pravna sredstva zoper izogibanje tehničnim ukrepom, ki jih lastniki pravic uporabljajo za zaščito svojih del. Tu pa je že bolj jasno, da gre za tehnologijo Digital Rights Management ali na kratko DRM. DRM je mehanizem za onemogočanje digitalnega kopiranja. Ni enotnega DRM in vsak založnik lahko razvije svojega. Leta 2005 je družba Sony v ta namen uporabila t.i. rootkit, hekerski program, ki se s prevezavami v operacijskem sistemu računalnika  skrije pred uporabnikom in izvaja pritajeni nadzor, odkrije pa ga lahko le specialist. Poenostavljeno rečeno: Sonyjev DRM mehanizem je okužil računalnike po vsem svetu. Po velikem škandalu in tožbah, ki so sledile, je moral Sony program umakniti. Če bi takrat bila uveljalena Acta, morda uporabniki sploh ne bi smeli raziskovati, kaj se dogaja na našem lastnem računalniku, takoj ko bi spoznali, da gre za DRM. In morda okužbe z lastne naprave niti ne bi smeli odstraniti.

Ko beremo člene Acte jih res lahko vzamemo kot neka splošna priporočila za izboljšanje stanja na področju varstva pravic intelektualne lastnine na spletu. Če pa na Acto pogledamo skozi prizmo nekaterih že uporabljenih rešitev, pa lahko vidimo povsem drugačno sliko. Spomnil bi na hitro sprejete spremembe Zakona o igrah na srečo, ki so takorekoč čez noč prinesle možnost blokade tujih spletnih mest in tako legitimirale poseg v elektronsko komunikacijo. Brez širše razprave in sodelovanja strokovne javnosti. Spomnil bi na »družbo«, v kateri hote ali nehote potuje Acta: mislim predvsem na zloglasni ameriški Stop On-line Piracy Act, ki je tudi dodobra razburil javnost in je sedaj na hladnem.

Zaradi navedenega menim, da Acta v digitalnem okolju ne prinaša ustreznih rešitev in zna povzročiti nenadejane posledice, ki bodo posegle v elektronsko komunikacijo, ter morda celo ovirale vpeljavo naprednih komunikacijskih protokolov in programskih mehanizmov, ki so namenjeni večji varnosti uporabnika pri uporabi spleta.

Gorazd Božič, vodja SI-CERT pri javnem zavodu ARNES (Akademska in raziskovalna mreža Slovenije)

Enhanced by Zemanta

Bo 2012 leto filtriranih vsebin?

Konec leta 2011 je Urad za nadzor nad prirejanjem iger na srečo (UNPIS) spet izdal odločbe internetnim ponudnikom, kjer nalaga blokado spletnih mest (tokrat gre za pokerstars.si in pokerstars.com). Ponavlja se zgodba iz leta 2010, čeprav se glede nesmiselnosti takšnih blokad nič ni spremenilo (moje mnenje o smiselnosti lahko preberete v prispevku “Cenzura prometa na stranska vrata“). Zakon o igrah na srečo se je sicer spremenil, upam da prav zaradi odziva internetnih ponudnikov, medijev in tudi Direktorata za informacijsko družbo pri Ministrstvu za visoko šolstvo, znanost in tehnologijo. Novi zakon sedaj določa, da UNPIS sam ne more izdati odločb, ampak mora za to prositi sodišče, ki presodi o ustreznosti ukrepa. Upravno sodišče v konkretnem primeru trenutno presoja.

Včeraj pa smo lahko brali o tem, kako je finski ponudnik dobil odločbo o blokadi thepiratebay.org:

V tem članku na koncu najdete tudi primer domene, ki je zablokirana, čeprav naj ne bi vsebovala nobenih vsebin, ki kršijo avtorske pravice. Ta del je pomemben, saj smo kritiki filtriranja interneta vedno opozarjali na možnosti napak in blokiranja “z levo roko”.

Blokada je čisto v duhu ameriškega Stop On-line Piracy Act (SOPA), ki strokovno javnost prav tako razburja s svojim DNS filtriranjem. Pozitivnega mnenja kakšnega strokovnjaka s področja elektronskih komunikacij v prid takšnemu filtriranju pa za zdaj še nisem slišal. No, če so se našli “znanstveniki”, ki so z “neodvisnimi” študijami dokazovali, da ne morete povezati kajenja s kakšnimi boleznimi, se bo verjetno tudi tu prej ali slej našel kakšen, ki bo zagovarjal postavitev plašnic.

Smo torej morda na razpotju, ko globalne probleme želimo urejati lokalno, ker je to za nekatere ceneje (po malem pa prizadane nas vse, a mi bomo že potrpeli)? Urejati predvsem s postavljanjem zidov, zaradi katerih problema samo vidimo ne, čeprav ga s tem nismo rešili?

Paddy Ashdown v TED predavanju o globalnem premiku moči:

Enhanced by Zemanta

Mi pa čakamo viruse na telefonih …

Se še spomnite, kakšen halo je bil zaradi tega, ker si je iPhone zapisoval vaše lokacije? Teh ni zbiral Apple, niti vaš mobilni operater, ampak so ostale na vašem telefonu in potem tudi na varnostnih kopijah, ki se zapišejo ob sinhronizaciji z računalnikom. Zdaj pa kaže, da so tudi Android naprave nekaterih ameriških operaterjev dobile svoj škandal s sledenjem.

Razvijalec aplikacij za Android Trevor Eckhart je odkril skrit program Carrier IQ, ki poleg lokacije zna spremljati tudi drugo metriko, lahko pa preko sprožilcev beleži sprejete SMS, katere aplikacije uporabljate, kaj vpisujete na spletna mesta in široko paleto drugih stvari. Ameriški operater Sprint je pojasnil, da gre za diagnostično orodje, ki omogoča izboljšavo storitve in identifikacijo problemov, ki jih imajo uporabniki.

Pred kratkim je revija Monitor objavila zanimiv video o skritih programih, ki vam omogočajo sledenje in prisluh uporabniku, kaže pa da lahko to počnejo tudi nekateri (ameriški) operaterji.

Po bolj splošni definiciji bi lahko Carrier IQ označili za ‘rootkit‘, program, ki se skrije na računalniku in omogoča prikrit dostop nepooblaščenim osebam. Mogoče malo široko pojmovanje, saj rootkit običajno preveže sistemske klice ali se naseli v jedro operacijskega sistema, tu pa kaže, da gre za bolj enostavno implementacijo.

Sony je pred leti poskusil z namestitvijo rootkita z namenom zaščite avtorskih pravic (t.i. DRM, Data Rights Management). Ne da bi povedal kupcem CD plošč s to “zaščito”. Sedaj pa mobilni operaterji želijo spremljati metriko uporabe. Izboljševanje omrežne infrastruktire je seveda dobra stvar. Nameščanje skrivnih aplikacij za sledenje in prisluh brez vednosti uporabnika (lastnika telefona) pa nikakor ne.

In medtem, ko vsi čakamo na prve res hude viruse na mobilnih telefonih, ki jih bodo pisali najeti programerji ruskega organiziranega kriminala, ter ugibamo, ali bomo morali res prehoditi celotno pot, ki smo jo že na osebnih računalnikih, ugotovimo, da so lahko mobilni operaterji in proizvajalci še največja grožnja (via Brian Krebs)…

Enhanced by Zemanta

All your base are belong to us 2.0

Poslanka islandskega parlamenta, Birgitta Jónsdóttir, je v petek zvečer (7.1.2011) prejela obvestilo Twitterja, da je ameriško Ministrstvo za pravosodje (Department of Justice) preko ameriškega okrožnega sodišča zahtevalo kopije vseh sporočil, ki si jih je izmenjala preko Twitterja in sicer od 1. januarja 2009 dalje. Odredba zahteva seveda tudi vsa zasebna sporočila, ki si jih je poslanka izmenjala z drugimi uporabniki Twitter omrežja. Še več – Twitter mora razkriti tudi vse kontaktne naslove, trajanje sej, vse IP naslove, ki jih je uporabljala, in za plačljive storitve tudi številke računov in kreditnih kartic.

Poslanka je v preteklosti tudi sodelovala z Wikileaks ob objavi helikopterskega napada na civiliste in novinarje v Iraku. Kot članica islandskega parlamentarnega odbora za zunanje zadeve se je leta 2009 udeležila zabave na ameriški ambasadi v Reykjaviku, s seboj pa je vzela tudi Assanga. Zanimalo jo je, ali ga bodo spoznali.

Poleg tega, da bo Wikileaks spet po nekaj tednih priplaval na medijsko površje, se lahko vprašamo tudi, kako to, da se lahko ameriška vlada vtika v komunikacijo islandske poslanke? Zlahka. Zato, ker je nadaljevanje web 2.0 koncepta pripeljalo do centralizacije storitev. V oblaku, bi lahko še dodali, če bi radi bili modni. Platforme, kot so Facebook, Twitter, WordPress, Google, Blogger, Tumblr, Posterous, FourSquare, pa so vse ameriška podjetja, ki morajo spoštovati ameriške zakone in ne islandskih ali slovenskih.

Ironično je, da je razvoj interneta kot distribuiranega omrežja pripeljal do centralizacije storitev, kjer se tudi zasebna komunikacija seli na samo par platform v lasti par podjetij. E-pošto so zamenjala sporočila na Facebooku in Twitterju. Dobro zasnovan porazdeljen sistem je zamenjalo centralno skladišče. Dostop do teh podatkov pa ima podjetje, ki upravlja platformo in ameriška država. No, še e-pošta se vse bolj seli na Gmail, tako da se tudi “stara” e-pošta vedno bolj koncentrira pri enem ponudniku.

The phrase is a line of subtitled dialogue fro...
Image via Wikipedia

All your base are belong to us” je kultni citat hekerske subkulture, vzet iz Zero Wing igre, z zanič japonsko-angleškim pregovorom. Velikokrat se uporablja ob vdorih v računalnike kot vzklik zmage ali oznanjanje samega dejanja. Izjavo lahko danes razumemo tudi kot zmagoslavni vzklik ameriške države, ki ima neoviran dostop do vedno večjega nabora svetovne komunikacije, ker se vsi selimo v oblake ali platforme v ZDA. No, nekaj je še zakonskih ovir, ampak bomo videli na primeru Birgitte Jónsdóttir in drugih Wikileaks podpornikov, kako bo s tem.

V EU izgubljamo kar nekaj časa in energije na zaščito prometnih podatkov in fantaziramo o tem, ali je IP naslov osebni podatek, ali ne. Še dobro, a ne?

twitter.com/gbozic

Enhanced by Zemanta