Narzędzia wysokiego ryzyka

Artykuł

Jak reaguje władza, gdy to, co postrzega jako zagrożenie, wymyka się jej spod kontroli? Sięga po nowe zakazy i represje. Ta logika sprawdza się pod każdą szerokością geograficzną, mimo że przyzwyczailiśmy się do kojarzenia jej z reżimami autorytarnymi. W reakcji na ostatnie zamachy terrorystyczne w Paryżu, David Cameron i Barack Obama wypowiedzieli wojnę narzędziom, które umożliwiają bezpieczną komunikację. Ta retoryka otwiera drogę do stygmatyzacji osób, które próbują zachować prywatność i anonimowość w sieci. Do czego to prowadzi? Co ryzykujemy, korzystając z tzw. bezpiecznych narzędzi komunikacji?

Efekt Snowdena

W ciągu ostatnich dwóch lat coś drgnęło w podejściu wiodących korporacji technologicznych do prywatności i bezpieczeństwa danych. Apple zwiększyło poziom zabezpieczenia danych na swoich serwerach – od niedawna są one szyfrowane w sposób, który w zasadzie wyklucza możliwość ich masowego przechwytywania przez NSA i FBI. Podobne zmiany w systemie zabezpieczeń wprowadziła w ofercie biznesowej firma Box.com. Jeszcze dalej poszła popularna aplikacja WhatsApp, wprowdzając domyślne szyfrowanie komunikacji swoich użytkowników (na bazie oprogramowania Open WhisperSystems). W nowej linii telefonów komórkowych firma Apple zablokowała również możliwość przekazania policji danych bez udziału osoby, której telefon jest przeszukiwany.

Trudno oceniać, na ile ten trend to trwały „efekt Snowdena”, a na ile testowanie nowej strategii marketingowej, którą za chwilę zastąpić może coś innego. W końcu rozmawiamy o przedsiębiorstwach zorientowanych na zysk i żyjących z komercjalizacji danych, przed którą nie sposób się chronić tak długo, jak powierzamy nasze dane tego typu pośrednikom. Realna zmiana, którą proponują kolejne firmy, to ochrona przed masowym, niejawnym przeczesywaniem wirtualnych serwerów przez służby wywiadowcze.

Imperium kontratakuje

Władze tolerowały ten wolnościowy trend – być może ze względu na oburzenie wywołane doniesieniami Edwarda Snowdena. Teraz zmieniły jednak zdanie: wystarczył jeden tragiczny incydent, by antyterrorystyczna retoryka i wszystko, co się z nią wiąże, wróciło z pełną mocą. Premier Wielkiej Brytanii publicznie skrytykował dostawców usług komunikacyjnych, których zabezpieczenia nie pozwalają na przechwycenie komunikacji: „Czy w naszym kraju naprawdę chcemy pozwolić na narzędzia umożliwiające taką komunikację między ludźmi, której nie możemy przechwycić?”. Wtóruje mu Barack Obama: „Jeśli mamy dowody na istnienie siatki terrorystycznej, znamy numer telefonu podejrzanej osoby, jej konto społecznościowe albo adres e-mail, a mimo to nie możemy zapoznać się z przekazywanymi komunikatami, to mamy problem”. Prezydent Obama zasugerował, że tę właśnie kwestię próbują rozgryźć firmy z Doliny Krzemowej, które w imię patriotyzmu przekazują dane NSA i FBI. Do ofensywy dołączyły też same służby bezpieczeństwa, domagając się zagwarantowania łatwego dostępu do zaszyfrowanej komunikacji elektronicznej (tzw. backdoor). Głos w tej debacie zabrali szef FBI, europejski koordynator antyterrorystyczny Gilles de Kerchove, dyrektor GCHQ i dyrektor NSA. Wszystkich połączyła jedna obawa: jeśli pozwolimy każdemu szyfrować komunikację, z pewnością skorzystają z tej możliwości również przestępcy i terroryści. Ta logika prowadzi donikąd: równie dobrze można by rozważyć zakaz swobodnego przemieszczania się (z pewnością korzystają z niego przestępcy), a już na pewno zakaz produkcji broni (z definicji służy do zabijania; cóż z tego, że czasem w obronie własnej).

Walka z narzędziami, które umożliwiają zaszyfrowaną lub anonimową komunikację, uderza
w istotę prawa do prywatności –
a w sferze komunikacji elektronicznej w zasadzie je eliminuje.

Cytowane wystąpienia szefów rządów i służb trudno odczytać inaczej, niż jako próby wywarcia politycznego nacisku na firmy, które nie chcą ułatwiać masowej inwigilacji. Nawet, jeśli nie wszystkie liczące się firmy ulegają tej presji, retoryka wpływowych polityków przebija się do głównego nurtu i inspiruje inne organy. I tak, na przykład w Hiszpanii grupa anarchistów została oskarżona o bezprawne działania m.in. dlatego, że korzystała z bezpiecznego serwisu e-mail (Riseup.net). Oskarżyciel oraz badający sprawę sędzia uznali, że sam fakt podejmowania wysiłku dla zachowania poufności komunikacji jest okolicznością obciążającą w sprawie.

To prosta droga do konstatacji, że każdy, kto zabezpiecza swoją komunikację, zasługuje na status podejrzanego. Dokładnie tą logiką posługują się służby wywiadowcze i policja w wielu krajach, wyodrębniając użytkowników takich usług jak TOR czy poczty e-mail z funkcją szyfrowania (jak OpenPGP) i przyglądając się ich aktywności z większą uwagą (tzw. "flagowanie"). W efekcie, osoby, które powinny wykorzystywać bezpieczną komunikację (np. dziennikarze, prawnicy, aktywiści walczący z autorytarnymi reżimami), stają przed trudnym dylematem: czy korzystać z popularnych i niezabezpieczonych narzędzi, ryzykując przechwycenie komunikacji, czy własnoręcznie umieścić się na celowniku służb?

Antyprywatnościowa ofensywa uderza też w graczy rynkowych. W Stanach Zjednoczonych pojawiły się pierwsze ataki prawne na firmy, które oferują i eksportują narzędzia umożliwiające skuteczne szyfrowanie. Departament Handlu USA nałożył 750 tys. dolarów kary na spółkę-córkę korporacji Intel. Dzięki dokumentom ujawnionym przez Edwarda Snowdena dowiedzieliśmy się też o licznych atakach technicznych służb brytyjskich i amerykańskich na protokoły zabezpieczające poufność komunikacji (TLS, SSL, SSH), które są wykorzystywane przez najpopularniejsze serwisy internetowe, oraz na prywatne, wirtualne sieci (VPN), które do tej pory uważane były za bezpieczny sposób zdalnego komunikowania się w ramach dużych firm i organizacji.

Do czego to wszystko prowadzi?

Walka z narzędziami, które umożliwiają zaszyfrowaną lub anonimową komunikację, uderza w istotę prawa do prywatności – a w sferze komunikacji elektronicznej w zasadzie je eliminuje. Ze względu na techniczne zasady działania Internetu (gdzie każdy pakiet przechodzi przez wiele urządzeń i węzłów), jedyna szansa na zabezpieczenie treści komunikatu to jego zaszyfrowanie, a na zachowanie anonimowości – „zgubienie” numeru IP w sieci takiej jak TOR. Władza, która walczy z bezpieczną komunikacją, sama generuje nowe zagrożenia, nie tylko w sferze inwigilacji, ale również szeroko pojętej przestępczości. Z osłabionych zabezpieczeń równie chętnie, co brytyjskie, polskie czy amerykańskie służby, skorzystają chińscy i rosyjscy cyberżołnierze, ale też zwyczajni włamywacze. Wprowadzenie backdooru do oprogramowania czy osłabianie szyfrowania – tak by jedna służba miała dostęp do danych – nieuchronnie oznacza, że prędzej czy później z tej luki skorzystają też inni gracze. Rzeczywistą stawką w tej grze jest zatem nasze bezpieczeństwo – to samo, w imię którego władza odbiera nam kolejne sfery wolności i prywatności.

Dziennikarze i aktywiści stają
przed dylematem: czy korzystać
z popularnych narzędzi, ryzykując przechwycenie komunikacji,
czy własnoręcznie umieścić się
na celowniku służb?

Ten paradoks unaocznił Edward Snowden. Wielokrotnie podkreślał, że rozwijając złośliwe oprogramowanie typu Stuxnet, eksploatując luki w bezpieczeństwie systemów informatycznych (Heartbleed), łamiąc zabezpieczenia największych firm internetowych i wbudowując tzw. tylne drzwi w rozmaite urządzania i usługi, służby bardziej nas narażają, niż chronią. Przy czym skutki tych działań są dalekosiężne – użytkownicy tracą zaufanie do firm i serwisów; odpowiedzialni usługodawcy rezygnują z oferowania bezpiecznych rozwiązań, ponieważ czują, że nie są w stanie ich zagwarantować (kazus firmy Lavabit); aktywiści, dziennikarze i wszyscy, którzy promują lub wykorzystują bezpieczne narzędzia komunikacji – w tym organizacje pozarządowe – tracą grunt pod nogami.

Potrzebujemy stogu siana

Którędy prowadzi droga odwrotu z tej ślepej uliczki? Oczywiste wydaje się, że firmy internetowe pokroju Google, Apple czy WhatsApp powinny zrobić wszystko, by odeprzeć polityczne ataki na podejmowane przez nie próby lepszego zabezpieczenia danych. Na uległości w tej sferze mogą tylko stracić. Ale to nie rozwiązuje problemu zwiększonej widoczności tych użytkowników, którzy – idąc wbrew trendowi – decydują się na korzystanie z takich narzędzi jak TOR czy OpenPGP. Z myślą o ich ochronie (przed inwigilacją, ujawnieniem źródeł dziennikarskich czy wręcz bezpośrednim zagrożeniem zdrowia i życia w krajach, gdzie trwa otwarty konflikt), każdy z nas powinien rozważyć podjęcie dodatkowego wysiłku, jakim niewątpliwie jest szyfrowanie czy korzystanie z TOR-a – bo w większym stogu siana trudniej znaleźć igłę. Rozwiązaniem najprostszym, z propozycją którego znowu wypada zwrócić się do biznesu, byłoby jednak zintegrowanie bezpiecznych narzędzi, takich jak OpenPGP, z najpopularniejszymi usługami (np. Gmail, Snapchat czy WhatsApp). W tak wielkim stogu siana namierzenie garstki osób, którym naprawdę zależy na bezpiecznej komunikacji, stanie się niemożliwe.

Katarzyna Szymielewicz, Kamil Śliwowski

Infografika pt. Narzędzia bezpieczeństwa (PNG, 316,93 KB)

Komentarze

TORa należy uważać jako skompromitowanego z punktu widzenia anonimowości w necie. Amerykańska bezpieka potrafi przeprowadzać korelację na węzłach wyjściowych TORa, a ponadto znane są przypadki gdy Ci sami smutni panowie mieli dostęp do fizycznych serwerów na których były uruchomione usługi w sieci TOR.

Dzisiaj ogólnie pojawiło się chociaż jedna "pozytywna" informacja w tej kwestii z UK.

Jak to napisali na dobrychprogramach "Na szczęście poselskie biuro do spraw nauki i techniki (POST) wyjaśniło mu, że są to narzędzia często wykorzystywane w dobrej wierze. Ciemna strona Sieci to nie tylko siedlisko wszelkiego zła i pedofilii – to także okno na świat osób żyjących w krajach rządzonych przez dyktatorów i narzędzie walki z cenzurą.[...]" itd, wszystko jest tutaj:

http://www.parliament.uk/briefing-papers/POST-PN-488/the-darknet-and-onl...

Ktoś tam jednak w tym UK coś myśli i jak kolwiek zna się na rzeczy...

Ale Tor/I2P są znacznie lepsze niż clearnet... nawet jeśli potrafią dokonać korelacji 1 na 10 000 000 połączeń, to nadal jest to miliardy razy lepsze niż połączenia w clearnecie, gdzie XKeyScore może śledzić każde połączenie na globie w czasie rzeczywistym...

 

 

A znany jest chociaż jeden przypadek, gdy wszystkie trzy węzły należały do bezpieki? To właśnie w naszym interesie jest spopularyzować narzędzia typu TOR i otwieranie własnych węzłów TORa. Im będzie ich więcej tym mniejsze ryzyko, że wszystkie trzy nody będą należały do niebezpieki. Każdy, kto posiada TOR-browsera może otworzyć swój własny węzeł.

Co do korelacji ruchu - pisałam już do twórców TORa, aby umożliwili włączenie "tła", w którym podczas przeglądania stron (jak i biegu jałowego) będą wysyłane komunikaty do losowych serwerów oraz żeby zestawiali jednocześnie kilka 3-węzłowych połączeń, tak aby każdym poszła tylko część komunikatów. Jednym z zaproponowanych rozwiązań były też komunikaty, które miały ginąć wewnątrz sieci TOR (nigdy nie osiągać miały celu). Może ktoś im to przypomni?

Inwigilacja uczciwych ludzi to zlo. Inwigilowac mozna zloczyncow, zlodzieji, politykow na obcych uslugach, gwalcicieli, pedofilow i cala masc idiotow, oraz pracownikow w pracy w ramach zajmowanych wrazliwych stanowisk.Potencjalna , prewencyjna inwigilacja..to utopia. Stop dla potencjalnego inwigilowania uczciwych ludzi..w internecie. Ktos powinien przeprowadzic taka akcje spoleczna aby uswiadomic ludziom jak bardzo ich prawa sa zagerozone. Pzykladowo jezeli grupa przestepcza wlamie sie do jakiegos rzadowego serwera slabo zabezpieczonego..i przejmie dane np 500tys osob...a potem boot lub sama Pani Henia pracujaca w sklepie..kliknie na zainfekowany link.., ktory wyciagnie z jej komputera jej dane a przestepcy powiaza je z tymi danymi i zrobia to za pomoca programu..pozostalym nieszczesnikom..To mamy pole do szantazu..i handlu danymi osobowymi. TO MOZE SPOTKAC KAZDEGO. JEZELI RZADY NIE BEDA GROMADZIC DANYCH O OBYATELACH WIECEJ NIZ WYLACZNIE MINIMALNIE POTZEBA...NIE BYLO BY TAKICH PRZESTEPSTW..KTORE SA PLAGA. SZCZEGOLNIE W FIRMACH.

''Jak reaguje władza, gdy to, co postrzega jako zagrożenie, wymyka się jej spod kontroli? Sięga po nowe zakazy i represje. Ta logika sprawdza się pod każdą szerokością geograficzną, mimo że przyzwyczailiśmy się do kojarzenia jej z reżimami autorytarnymi. W reakcji na ostatnie zamachy terrorystyczne w Paryżu, David Cameron i Barack Obama wypowiedzieli wojnę narzędziom, które umożliwiają bezpieczną komunikację. Ta retoryka otwiera drogę do stygmatyzacji osób, które próbują zachować prywatność i anonimowość w sieci.''

...ODPOWIEDŹ NA TO JEST PROSTA - za ''zamachami'' stoją służby USA - czyli sterujący wszystkim Żydzi...między innymi warto sprawdzić, że teatr Bataclan w Paryżu, który przez 40 lat należał do żydowskiej rodziny Laloux....a został sprzedany na 2 miesiące przed ''zamachem''

W ''zamachach'' na WTC w 2001r. nie zginął ŻADEN Żyd, a setki ich pracowały w WTC...po prostu nie przyszli do pracy 11 września 2001r.

Skąd ty człowieku masz takie dane jakiego wyznania byli ludzie pracujący w WTC? Za dużo teorii spiskowych ogladasz...

Dodaj komentarz