- Dołączył
- 12 Maj 2011
- Posty
- 2964
- Reakcje/Polubienia
- 71
CALEA II: oprogramowanie będzie cię szpiegowało na każde żądanie władz
Czy masz w swoim domu szpiega? Szpiega, który informuje strony trzecie o wszystkim co piszesz, wszystkim co mówisz, wszystkim co cię interesuje? Pewnie jeszcze nie masz. Jeszcze nie ma powodów, by wierzyć, że komputer, który stoi na twoim biurku, może posłużyć nieznanym ci osobom do prześwietlenia twojego życia. Jeszcze można wierzyć w dobre intencje Microsoftu, Apple'a czy Google'a, nie mówiąc już o nieskazitelnej Mozilli. Jeszcze nie ma powodów, ale – to się może zmienić i pewnie w końcu się zmieni.
Wycieczka do USA wiązać się może z wieloma przygodami, niekoniecznie miłymi. Nigdy nie wiesz, czy laptop, który ze sobą zabrałeś, nie wzbudzi zainteresowania agentów TSA i nie będziesz musiał im dowodzić, że wcale nie ma na nim dokumentów Dżihadu. Ja na lotnisku w San Francisco musiałem w każdym razie zademonstrować, że laptop się włącza – i same na nim nudy (czytaj: uruchamia się Windows). Gdyby uruchamiało się coś innego, to kto wie, jaka byłaby reakcja agentów? Komunikaty startującego jądra Linuksa wyglądają jak coś z arsenału cyberterrorysty – po co budzić podejrzenia? Niejedna osoba została poproszona o hasła logowania do swojego komputera. Wszystko w zgodzie z prawem najpotężniejszego państwa na świecie, którego roli zignorować, gdy zajmujesz się IT, po prostu nie możesz.
Za prezydentury Clintona uchwalono ustawę pod szumnym tytułem (amerykańskie ustawy zawsze mają takie szumne tytuły) Communications Assistance for Law Enforcement Act (CALEA). Ustawa zainspirowała później wiele innych państw Zachodu, gdyż znacznie ułatwiała zadania organów ścigania i służb specjalnych. Zmusiła oto producentów sprzętu telekomunikacyjnego i dostawców usług telekomunikacyjnych do takiego zmodyfikowania swoich produktów, usług i ośrodków, by maksymalnie ułatwić prowadzenie nadzoru komunikacji elektronicznej, w tym ruchu VoIP, poczty elektronicznej i komunikatorów. Miłujące prawo firmy amerykańskie oczywiście szybko się wzięły za dostosowywanie wszystkiego co oferują, do wymogów CALEA, albo same instalując niezbędne sondy, które mogłyby dostarczyć śledczym informacje, albo też zapewnić ich zgodność ze specjalnie produkowanymi w tym celu przez firmy trzecie („Trusted Thirt Parties”) sondami. W zamian otrzymują dopuszczający na rynek certyfikat zgodności ze szpiegowską ustawą.
W końcu pomysł dotarł i do Polski. Ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne nakłada na operatora publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych obowiązek zatrzymywania i przechowywania danych na własny koszt. Jakie to dane? Oficjalnie dotyczą one informacji billingowych – adresu w sieci i lokalizacji urządzenia końcowego, terminów połączeń i rodzajów połączeń. Do tego dochodzi jednak całkiem imponująca lista przestępstw, w których dopuszczalny jest podsłuch bez zgody sądu, wśród nich m.in. uprawianie stręczycielstwa, kuplerstwa i sutenerstwa czy przygotowywanie zamachu na konstytucyjny ustrój państwa (np. chcielibyśmy obalić parlamentarną demokrację, by na jej miejsce wprowadzić hedonistyczną technokrację).
Oczywiście hedonistyczni technokraci i im podobny niebezpieczny element ma dziś wiele narzędzi, pozwalających utrudnić życie specom od podsłuchów. W latach 90 zeszłego wieku dżinn uciekł z butelki, kryptografia jest w praktyce dostępna dla każdego w miarę inteligentnego użytkownika. Co gorsza wiele produkujących komercyjne oprogramowanie firm szczyci się wbudowywaniem w systemy operacyjne mechanizmów szyfrujących, które pozwalają zachować poufność komunikacji. Gdy w 2011 roku w Londynie doszło do niespotykanych wcześniej pod względem rozmiarów zamieszek, władze obwiniały za to co się dzieje m.in. producenta telefonów BlackBerry, kanadyjskie Research In Motion, którego szyfrowany komunikator chętnie wykorzystywany był przez uczestników zamieszek do koordynowania swoich działań.
Nie ma co zaprzeczać – CALEA i jej podobne regulacje prawne tak pasują do współczesnego świata jak dostawcze żuki z silnikiem na korbę czy szpulowe magnetofony. FBI jest tego świadome, więc zdecydowało się przygotować ulepszoną wersję ustawy. Chce, by już niedługo Kongres uchwalił rozszerzenie całego zakresu działań wymaganych przez CALEA wobec dostawców usług telekomunikacyjnych także na producentów oprogramowania. W praktyce to oznacza, że wszyscy producenci oprogramowania zabezpieczającego i szyfrującego będą musieli umieszczać w nim furtki, pozwalające służbom na łatwy dostęp do zabezpieczonych treści. Działać trzeba szybko – gdyż jak argumentuje FBI, ruch w Sieci staje się niewidzialny, a służby tracą możliwość przeprowadzania podsłuchów.
Autorzy inicjatywy ulepszenia CALEA wiedzą, o czym mówią. Chcą zarówno dostępu do oprogramowania działającego na serwerach dostawcy (jak np. Gmaila), jak i do komunikacyjnych technologii P2P, niemożliwych do przechwycenia przez zainstalowanie odpowiedniej sondy na serwerach producenta. W takim kliencie Skype'a trzeba byłoby więc umieścić furtkę, pozwalającą na zdalny monitoring komunikacji użytkownika.
Programiści, specjaliści od bezpieczeństwa i obrońcy prywatności łapią się za głowę. Niedawno opublikowany raport czołowych 20 amerykańskich informatyków przedstawia całą listę zagrożeń, do których doprowadzi wejście w życie ustawy CALEA II. Obowiązek wbudowywania w oprogramowanie podatności, umożliwiających zdalną inwigilację to spełnienie marzeń cyberprzestępców – będą mogli cieszyć się exploitami korzystającymi z dziur w systemach, których producentom nie wolno załatać. Do tego dochodzą kwestie kosztów, jakie ponieść będą nawet mali deweloperzy, związanych z zapewnieniem odpowiedniego poziomu ochrony przechwyconych za pomocą ich oprogramowania danych.
Największym problemem jest jednak nieskuteczność nakazu wbudowywania takich furtek, związana z istnieniem oprogramowania Open Source. O ile Microsoft, Google czy Apple, jeśli tak im zostanie rozkazane, odpowiednie modyfikacje w kodzie swoich produktów wprowadzą (by osiągnąć to tak kochane przez korporacyjnych decydentów compliance), to raczej trudno będzie nakłonić nerdów rozwijających Debiana (nie mówiąc już o OpenBSD), by wkompilowali do komunikatorów i przeglądarek wymarzone przez FBI łatki szpiegowskie. Co w tej sytuacji zrobić? Obym okazał się złym prorokiem – ale przecież normalny użytkownik nie potrzebuje żadnego Open Source. Każdy, kto korzysta z nieamerykańskiego, niezgodnego z CALEA II oprogramowania, zapewne ma coś sumieniu. Może w ogóle zabronić obywatelom posiadania otwartego kodu? W końcu w XXI wieku kod może być równie niebezpieczny jak broń, a jak wiadomo, nic dobrego z posiadania broni przez obywateli przyjść nie może.
Administracja prezydenta Obamy chce, by Kongres zajął się zmianami w ustawie jeszcze w tym roku. Jeśli pomysły te zainspirują inne kraje, tak jak było z oryginalną wersją ustawy, to pewnie będziemy mieli jakieś 10 lat, zanim i u nas zmodernizowana wersja Prawa telekomunikacyjnego nie wprowadzi podobnych wymogów.
