-
61 -
2414 -
2489 -
250
6887 plików
1295,98 GB
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
Narodowe Centrum Badań i Rozwoju na zlecenie MSWIA finansuje prace nad narzędziem do cenzurowania Internetu, ujawniania tożsamości ukrywających się w Sieci internautów oraz włamywania się komputerów, przeglądania ich dysków i podsłuchiwania komunikacji.
Jeśli wydawało się Wam, że władze po kilku próbach wprowadzenia cenzury Internetu zrezygnowały ze swojego planu z powodu oporu internautów i obrońców praw człowieka, to się poważnie mylicie.
Wciśnięcie cenzury, przy okazji wprowadzenia jakiejś innej ustawy, np. hazardowej, nie udało się. Teraz więc liberalny rząd premiera Donalda Tuska postawił na metodę faktów dokonanych.W ramach projektu zamówionego przez MSWiA, Narodowe Centrum Badań i Rozwoju finansuje prace nad systemem, który pozwolić ma na totalną inwigilację internautów.
Cele szczegółowe projektu to:
opracowanie narzędzi do identyfikacji tożsamości osób popełniających przestępstwa w Sieci, kamuflujących swoją tożsamość przy użyciu serwerów proxy i sieci Tor,
opracowanie narzędzi umożliwiających niejawne i zdalne uzyskiwanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie,
opracowanie narzędzi dynamicznego blokowania treści niezgodnych z obowiązującym prawem, publikowanych w sieciach teleinformatycznych.
MSWIA nie przeszkadza w pracach to, że prawo obecnie nie zezwala na stosowanie takich metod.
Art. 267 par. 3 k.k. mówi bowiem, że przestępstwo popełnia ten, kto „w celu uzyskania informacji, do której nie jest uprawniony zakłada lub posługuje się (…) urządzeniem lub oprogramowaniem”.
Art. 269 k.k. z kolei zabrania wytwarzania, pozyskiwania, zbywania i udostępniania programów komputerowych przystosowanych do popełniania przestępstwa, zaś art. 269a mówi, że przestępstwo popełnia ten „kto nie będąc do tego uprawnionym (…) przez utrudnienie dostępu w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej”.
Innymi słowy, jeśli prawo obecnie nie zezwala na korzystanie z jakiejś funkcji opisanej przez projekt badawczy, a odpowiednie instytucje nie mają jeszcze uprawnień do korzystania z tych metod, to mamy do czynienia z łamaniem prawa.
Tak sądzi przynajmniej stowarzyszenie Blogmedia24, które skierowało do prokuratury doniesienie o popełnieniu przestępstwa przez MSWiA wraz z ABW, polegającego na zleceniu zbudowania narzędzi hakerskich.
Co na to urzędnicy? Sebastian Serwiak, dyrektor departamentu bezpieczeństwa publicznego w MSWiA nie widzi problemu. „Najpierw powstał samochód, potem stworzono przepisy ruchu drogowego” – zauważa, zapewne przekonany, że po opracowaniu narzędzi do inwigilacji, pojawią się legalizujące je przepisy.
Jeśli pociągniemy jednak dalej tę analogię, trafimy na sprzeczność. Już dziś bowiem istnieją przepisy „ruchu drogowego”, co więcej, prawo zakazuje włamywać się do czyjegoś „samochodu”, czy „blokować” ruch na drodze – bez uzyskania zgody na to odpowiednich instytucji.
Nie ma jednak wątpliwości, że po wydaniu 170 milionów złotych na projekty z kategorii „bezpieczeństwo i obronność”, wśród których jest i ten projekt, znajdzie się garść polityków chętnych do dopisania kilku nowych linijek przepisów tu i ówdzie. Skoro bowiem już powstaną takie narzędzia, za takie pieniądze, to byłoby marnotrawstwem, gdyby służby nie mogły z nich korzystać.
Co ciekawe, podobne wydarzenia miały miejsce u naszych zachodnich sąsiadów. Już w 2008 roku niemieckie służby zasygnalizowały, że chciałyby mieć swojego trojana. W październiku wybuchł tam skandal, ponieważ okazało się, że mimo niekorzystnego wyroku niemieckiego trybunału konstytucyjnego, trojan ten był używany, np. do podglądania kogoś przez kamerkę internetową.
Tymczasem MSWiA już przygotowało nowelizację ustawy o policji, która da władzy odpowiednie uprawnienia do inwigilowania i blokowania bez uzyskania sądowego nakazu.
Ciekawi jesteśmy jednak, czy moc intelektualna, jaką za 170 mln złotych jest w stanie nabyć Ministerstwo, pozwoli na pokonanie mocy intelektualnej twórców Tora i innych narzędzi, zapewniających bezpieczeństwo i anonimowość w Sieci. Spróbujemy uzyskać w tej sprawie już niebawem komentarz od Jacoba Appelbauma, jednego z twórców Tora.
źródło: wyborcza.pl
Interesujące od strony technicznej (politykowanie pomijam). Może nie doceniam ciemnej strony mocy, ale trochę przypomina mi to pytania "Jak się włamać na GG kolegi".
Warto zacząć od analizy targetu - użytkowników TOR'a, anonymous proxy, którzy zwykle zdają sobie sprawę z paru rzeczy związanych z ochroną systemów, bezpieczeństwem sieci itd. Czy MSWiA zakłada, że taki człek, jest aż takim ignorantem, że nie połapie się, że ktoś mu grzebie w systemie? Biorąc pod uwagę profil tzw. "hackera" (medialna interpretacja), ma on zwykle większą paranoje nt. swojego bezpieczeństwa niż połowa MSWiA (druga połowa jest tajemnicą ^@^). Zatem szansa, że ów człek zorientuje się że coś mu ktoś próbuje "sprzedać" pod spodem jest dość duża. Jednocześnie, czy ów człek będzie używał TOR'a i proxy z listy anonimowych serwerów publicznie dostępnych? Jakiś odsetek tak, ale będą to skript-kiddies, którzy nie stanowią realnego zagrożenia (nawet jak rozwalą Joomlę czy innego WordPressa na stronie MSWiA to co się właściwie stanie? w katalogu /home/tajne/poufne/ znajdą kopie baz danych tajnych agentów - kolegów agenta Tomka? hmm... choć z drugiej strony tego wykluczyć też nie można).
Co więcej, narzędzie służące do inwigilacji (ale fajna nazwa), musiałoby być bardzo uniwersalne (różne wersje systemów, architektur, podłączeń do sieci). Świadomego człeka nie uda się podejść zamaskowanym super rootkitem na poziomie jądra. Uniwesalny soft działający w warunkach laboratoryjnych (vide badania J.R.), w warunkach bojowych będzie miał znikomą skuteczność (lub będzie wymagał przeprowadzenia wcześniejszego szczegółowego rekonesansu - kto ma go wykonać? Tajne służby wlezą przez okno i w nocy zainstalują w laptopie mały skrypcik?). Druga sprawa, przeważającą większość modyfikacji na jądrze można wyłapać i raczej należy założyć, że osoby zajmujące się szeroko rozumianą hakerką, są wyposażone w odpowiedni arsenał detekcyjny i defensywny.
Kolejna sprawa ukryte kanały komunikacji - jakoś te zdobyte tajne dane od złego hakera, muszą zostać wysłane w świat. Jak to ma być zrealizowane? W systemach używanych do operacji podwyższonego ryzyka (też ładne określenie), raczej nie znajdziemy włączonego Skype'a, GG i proflu na Facebooku. Chyba że znów mamy script-kiddie. A czy tyle kasy warto wywalać na walkę z script-kiddie?
Ciekawe może być podejście agregacyjne danych (statystyki połączeń ISP, z analizą czasu i krzyżowaniem tego z danymi w sieci), które wymagałoby jednak współpracy ze strony wszystkich kluczowych ISP wymieniających ruch, autentykowalności użytkowników itp. Jest to rzecz jasna abstrakcja (choć Chiny mają na tej płaszczyźnie nieco sukcesów). W połączeniu z innymi metodami operacyjnymi (np. lanie po mordzie) może być dość skuteczne... Inna sprawa że w takim wypadku można połączyć "pracę" z przyjemnością, podjechać do Pragi, wypić chłodne piwko i z tamtejszego hotspota zorientować się co i jak :)
Śledzenie sieci, połączeń, routingu, logi ISP, itd. Wszystko super - przed tym nie ma obrony - ale niech ktoś mi pokaże hakera, który siedząc w domu łączy się nawet przez TOR'a czy inny high anonymity proxy z Tajlandią a stamtąd pracowicie hakuje MSWiA. Taki człek sam napisze własny tunel oparty na swoim widzimisie, całkiem nie podobny do tych ze "szkoły hakerów" (bez urazy), z anonimowej sieci (centra, dworce, teraz nawet pociągi IC podobno, albo masa neostrad z WEP'em lub nawet bez niego) wywali wcześniej upatrzone kilka celów (bynajmniej nie w RPA), następnie z połączenia HDSPA z prepaida czy poprzez hotspota w centrum handlowym wykona połączenie z jednym z wcześniej przygotowanych "dworców przesiadkowych", potem z kolejnym i kolejnym... aż do właściwego celu. Oczywiście w centrach jest namierzalny przez kamery CCTV - zatem ochrona centrów musi dostać tajną instrukcję, aby raportować ludków z laptopem, ubranych w czarny płaszcz i okulary neo-ówki, siędzących w KFC dłużej niż zjedzenie soczystego udka. Jestem otwarty na propozycje namierzenia i unikana (możemy potraktować to jako swoistą grę an pomysły).
Nie podejmuję kwestii architektury systemowej, gdyż nie ma sensu rozpętywać świętych wojen. Można jednak przyjąć że nikt raczej nie sięgnie po narzędzia kodu zamkniętego. Bardzo ciekaw jestem takiego narzędzia - gdyby MSWiA nabyło je, chętnie zobacze jak działa i na ile może być skuteczne (bez ironii) - z samego założenia możliwości utworzenia takiego czegoś... ;)
- sortuj według:
-
1 -
0 -
0 -
0
1 plików
195 KB