Czy masz w swoim domu szpiega? Szpiega, który informuje strony
trzecie o wszystkim co piszesz, wszystkim co mówisz, wszystkim co
cię interesuje? Pewnie jeszcze nie masz. Jeszcze nie ma powodów, by
wierzyć, że komputer, który stoi na twoim biurku, może posłużyć
nieznanym ci osobom do prześwietlenia twojego życia. Jeszcze można
wierzyć w dobre intencje Microsoftu, Apple'a czy Google'a, nie
mówiąc już o nieskazitelnej Mozilli. Jeszcze nie ma powodów, ale
– to się może zmienić i pewnie w końcu się zmieni.
Wycieczka do USA wiązać się może z wieloma przygodami,
niekoniecznie miłymi. Nigdy nie wiesz, czy laptop, który ze sobą
zabrałeś, nie wzbudzi zainteresowania agentów TSA i nie będziesz
musiał im dowodzić, że wcale nie ma na nim dokumentów Dżihadu.
Ja na lotnisku w San Francisco musiałem w każdym razie
zademonstrować, że laptop się włącza – i same na nim nudy
(czytaj: uruchamia się Windows). Gdyby uruchamiało się coś
innego, to kto wie, jaka byłaby reakcja agentów? Komunikaty
startującego jądra Linuksa wyglądają jak coś z arsenału
cyberterrorysty – po co budzić podejrzenia? Niejedna osoba została
poproszona o hasła logowania do swojego komputera. Wszystko w
zgodzie z prawem najpotężniejszego państwa na świecie, którego
roli zignorować, gdy zajmujesz się IT, po prostu nie możesz.
Za prezydentury Clintona uchwalono
ustawę pod szumnym tytułem (amerykańskie ustawy zawsze mają
takie szumne tytuły) Communications Assistance for Law
Enforcement Act (CALEA). Ustawa
zainspirowała później wiele innych państw Zachodu, gdyż znacznie
ułatwiała zadania organów ścigania i służb specjalnych. Zmusiła
oto producentów sprzętu telekomunikacyjnego i dostawców usług
telekomunikacyjnych do takiego zmodyfikowania swoich produktów,
usług i ośrodków, by maksymalnie ułatwić prowadzenie nadzoru
komunikacji elektronicznej, w tym ruchu VoIP, poczty elektronicznej i
komunikatorów. Miłujące prawo firmy amerykańskie oczywiście
szybko się wzięły za dostosowywanie wszystkiego co oferują, do
wymogów CALEA, albo same instalując niezbędne sondy, które
mogłyby dostarczyć śledczym informacje, albo też zapewnić ich
zgodność ze specjalnie produkowanymi w tym celu przez firmy trzecie
(„Trusted Thirt Parties”) sondami. W zamian otrzymują
dopuszczający na rynek certyfikat zgodności ze szpiegowską ustawą.
W
końcu pomysł dotarł i do Polski. Ustawa z 16 lipca 2004 r. Prawo
telekomunikacyjne nakłada na operatora publicznej sieci
telekomunikacyjnej oraz dostawców publicznie dostępnych usług
telekomunikacyjnych obowiązek zatrzymywania i przechowywania danych
na własny koszt. Jakie to dane? Oficjalnie dotyczą one informacji
billingowych – adresu w sieci i lokalizacji urządzenia końcowego,
terminów połączeń i rodzajów połączeń. Do tego dochodzi
jednak całkiem imponująca lista przestępstw, w których
dopuszczalny jest podsłuch bez zgody sądu, wśród nich m.in.
uprawianie stręczycielstwa,
kuplerstwa i sutenerstwa czy
przygotowywanie zamachu
na konstytucyjny ustrój państwa (np.
chcielibyśmy obalić parlamentarną demokrację, by na jej miejsce
wprowadzić hedonistyczną technokrację).
Oczywiście hedonistyczni technokraci i im podobny niebezpieczny
element ma dziś wiele narzędzi, pozwalających utrudnić życie
specom od podsłuchów. W latach 90 zeszłego wieku dżinn uciekł z
butelki, kryptografia jest w praktyce dostępna dla każdego w miarę
inteligentnego użytkownika. Co gorsza wiele produkujących
komercyjne oprogramowanie firm szczyci się wbudowywaniem w systemy
operacyjne mechanizmów szyfrujących, które pozwalają zachować
poufność komunikacji. Gdy w 2011 roku w Londynie doszło do
niespotykanych wcześniej pod względem rozmiarów zamieszek, władze
obwiniały za to co się dzieje m.in. producenta telefonów
BlackBerry, kanadyjskie Research In Motion, którego szyfrowany
komunikator chętnie wykorzystywany
był przez uczestników zamieszek do koordynowania swoich
działań.
Nie ma co zaprzeczać – CALEA i jej podobne regulacje prawne tak
pasują do współczesnego świata jak dostawcze żuki z silnikiem na
korbę czy szpulowe magnetofony. FBI jest tego świadome, więc
zdecydowało się przygotować ulepszoną wersję ustawy. Chce, by
już niedługo Kongres uchwalił rozszerzenie całego zakresu działań
wymaganych przez CALEA wobec dostawców usług telekomunikacyjnych
także na producentów oprogramowania. W praktyce to oznacza, że
wszyscy producenci oprogramowania zabezpieczającego i szyfrującego
będą musieli umieszczać w nim furtki, pozwalające służbom na
łatwy dostęp do zabezpieczonych treści. Działać trzeba szybko –
gdyż jak argumentuje FBI, ruch w Sieci staje się niewidzialny,
a służby tracą możliwość przeprowadzania podsłuchów.
Autorzy inicjatywy ulepszenia CALEA wiedzą, o czym mówią. Chcą
zarówno dostępu do oprogramowania działającego na serwerach
dostawcy (jak np. Gmaila), jak i do komunikacyjnych technologii P2P,
niemożliwych do przechwycenia przez zainstalowanie odpowiedniej
sondy na serwerach producenta. W takim kliencie Skype'a trzeba byłoby
więc umieścić furtkę, pozwalającą na zdalny monitoring
komunikacji użytkownika.
Programiści, specjaliści od bezpieczeństwa i obrońcy
prywatności łapią się za głowę. Niedawno opublikowany
raport czołowych 20 amerykańskich informatyków przedstawia
całą listę zagrożeń, do których doprowadzi wejście w życie
ustawy CALEA II. Obowiązek wbudowywania w oprogramowanie podatności,
umożliwiających zdalną inwigilację to spełnienie marzeń
cyberprzestępców – będą mogli cieszyć się exploitami
korzystającymi z dziur w systemach, których producentom nie wolno
załatać. Do tego dochodzą kwestie kosztów, jakie ponieść będą
nawet mali deweloperzy, związanych z zapewnieniem odpowiedniego
poziomu ochrony przechwyconych za pomocą ich oprogramowania danych.
Największym problemem jest jednak nieskuteczność nakazu
wbudowywania takich furtek, związana z istnieniem oprogramowania
Open Source. O ile Microsoft, Google czy Apple, jeśli tak im
zostanie rozkazane, odpowiednie modyfikacje w kodzie swoich produktów
wprowadzą (by osiągnąć to tak kochane przez korporacyjnych
decydentów compliance), to raczej trudno będzie nakłonić
nerdów rozwijających Debiana (nie mówiąc już o OpenBSD), by
wkompilowali do komunikatorów i przeglądarek wymarzone przez FBI
łatki szpiegowskie. Co w tej sytuacji zrobić? Obym okazał się
złym prorokiem – ale przecież normalny użytkownik nie potrzebuje
żadnego Open Source. Każdy, kto korzysta z nieamerykańskiego,
niezgodnego z CALEA II oprogramowania, zapewne ma coś sumieniu. Może
w ogóle zabronić obywatelom posiadania otwartego kodu? W końcu w
XXI wieku kod może być równie niebezpieczny jak broń, a jak
wiadomo, nic dobrego z posiadania broni przez obywateli przyjść nie
może.
Administracja prezydenta Obamy chce, by Kongres zajął się
zmianami w ustawie jeszcze w tym roku. Jeśli pomysły te zainspirują
inne kraje, tak jak było z oryginalną wersją ustawy, to pewnie
będziemy mieli jakieś 10 lat, zanim i u nas zmodernizowana wersja
Prawa telekomunikacyjnego nie wprowadzi podobnych wymogów.
Cieszcie się więc wolnością w Sieci póki można – to coś,
co tak szybko może odejść...