The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

26 ianuarie 2010

Sabia cu doua taisuri. Astazi: Backdoors sau Accesul guvernelor la comunicatiile cetatenilor

Sub titlul "Google ameninta sa-si intrerupa operatiunile in China.", aflam pe data de 13 ianuarie de pe hotnews.ro despre un atac cibernetic venit din China asupra conturilor de Gmail a mai multor militanti pentru drepturile omului. Citam: "La mijlocul lunii decembrie a anului trecut, Google a descoperit ca a fost victima, alaturi de cel putin alte 20 de companii din sectoare precum: internet, finante, tehnologie, media si chimie, a unui atac cibernetic initiat din China. [...]".



Discutia din presa la momentul respectiv s-a centrat asupra oportunitatii iesirii Google de pe piata chineza si efectul asupra veniturilor companiei. Statele Unite au adresat si ele intrebari autoritatilor chineze referitor la atac, dar fara rezultate semnificative pe ansamblul chestiunii.

Google a anuntat faptul ca va renunta la filtrarea rezultatelor de cautare pentru China si ca va intari securitatea sistemului de email. Daca la filtrare inca nu a renuntat, pe partea de securitate in schimb a convertit toate conturile de gmail pe conexiune securizata, activand aceasta optiune pentru toti utilizatorii.
[Pentru non-tehnicii utilizatori de Gmail, pana recent, conectarea la webmail se facea fara ca transmisiunea de date dintre dvs. si serverele Gmail sa fi fost securizata, daca nu activati dvs. din optiuni securizarea.]

Dar povestea continua:

Aflam de pe CNN.COM dintr-un articol intitulat "U.S. enables Chinese hacking of Google" un alt aspect al intregii povesti:

Hackerii chinezi au atacat conturile de email susmentionate utilizand ca vehicol sistemele de acces alternativ la aceste conturi impuse de guvernul american.

Pentru a explica pe scurt: atat in domeniul telefoniei cat si in cel al internetului si emailului, guvernele au impus in diverse momente modalitati tehnice de acces alternativ la conturile utilizatorilor si de interceptare a convorbirilor (o denumire consacrata in sistemele informatice este cea de Backdoor - usa din spate) in cadrul investigatiilor pe care le fac. Aceste masuri s-au amplificat mai ales in cadrul luptei impotriva terorismului.

Se pare, conform CNN ca hackerii chinezi au utilizat pentru accesarea conturilor vizate instrumentele tehnice puse la dispozitie de Google guvernului American asa cum o impune legislatia. Cu alte cuvinte, spargerea conturilor a fost ajutata fara voie de guvernul american.

Modalitatile de acces alternativ si interceptare impuse prin lege nu sunt o noutate, articolul mentionand atat Statele Unite si Canada cat si tari europene care au adoptat astfel de reglementari. In aceeasi serie de masuri poate fi incadrata pana la urma si Directiva europeana referitoare la retentia datelor de trafic.

Reglementarile merg uneori pana acolo incat le cer producatorilor de sisteme de comunicatie si furnizorilor sa schimbe designul produselor lor pentru a facilita astfel de interceptari. Este mentionat aici cazul Ericsson care a inclus tehnologia de ascultare in produsele Vodafone, dar care era activata doar daca guvernele o cereau. Cu toate acestea, in Grecia cineva a reusit sa o activeze si sa o foloseasca pentru a intercepta peste 100 de telefoane mobile ale membrilor guvernului, inclusiv primul ministru, ministrul apararii, externelor, etc.

In spatele usilor digitale

In toata aceasta frenezie de reglementari care sa faciliteze urmarirea si interceptarea - la care pare ca asistam de cativa ani incoace - chiar daca exista reguli stricte in legi referitoare la cine si cum le poate utiliza (mandat, anumite cauze, etc), nu abuzul de catre agentii si guverne este subiectul nostru - ci un fapt mult mai simplu:
O usa din spate ramane o usa si dupa ce pleaca stapanul. Ea ofera acces si altora daca vin cu chei potrivite sau daca o ataca prin forta bruta.

Iar ceea ce se afla in spatele acestor usi este foarte seducator pentru multi, incepand de la simpli escroci si terminand cu retelele de crima organizata: vietile oamenilor, date personale, numere de card de credit, locuri, persoane, fapte, miliarde de informatii care pot fi utilizate in scopuri ilegale, incepand de la santaj si terminand golirea conturilor bancare (enumerarea nu are rost in continuare).

Intrucat computerul este implicat in toate aspectele vietii noastre, incepand de la telefonul mobil si terminand cu munca noastra zilnica, numarul de astfel de cai de acces pe care le poate cere un guvern tinde sa devina infinit. Dar resursele unui guvern sunt limitate.

Drept urmare, regula care tinde sa se incetateneasca este aceea de a lasa securizarea acelor usi din spate in grija furnizorului de servicii - cazul cel mai elocvent este Legea privind retentia datelor de trafic - recent declarata neconstitutionala - in care stocarea si securizarea datelor referitoare la persoanele cu care s-a comunicat, data, ora, durata, locatia, etc. - cade in sarcina furnizorului de servicii.

Cu alte cuvinte furnizorul, care este un agent economic al carui obiect de activitate nu este acela al agentiilor de informatii si securitate, este transformat pe cheltuiala sa in depozit de date extrem de atractive pentru mediul infractional asa cum am explicat mai sus. Si daca NASA sau Pentagonul au istorie in a avea accesate ilegal sistemele informatice din afara, cat de dificila este accesarea unui astfel de server de la o mai mica sau mai mare firma privata? Si cat de mari poti fi consecintele asupra vietilor cetatenilor?

Articolul CNN mentioeaza cazuri interesante de utilizare in scopuri infractionale a acestor cai de acces alternative.
Cum va arata viitorul din aceasta perspectiva? Ce se poate face? Ne-am dori o dezbatere mai extinsa pe aceasta tema. Va asteptam cu interes comentariile.

Niciun comentariu:

Trimiteți un comentariu