CALEA II: oprogramowanie będzie cię szpiegowało na każde żądanie władz

Czy masz w swoim domu szpiega? Szpiega, który informuje stronytrzecie o wszystkim co piszesz, wszystkim co mówisz, wszystkim cocię interesuje? Pewnie jeszcze nie masz. Jeszcze nie ma powodów, bywierzyć, że komputer, który stoi na twoim biurku, może posłużyćnieznanym ci osobom do prześwietlenia twojego życia. Jeszcze możnawierzyć w dobre intencje Microsoftu, Apple'a czy Google'a, niemówiąc już o nieskazitelnej Mozilli. Jeszcze nie ma powodów, ale– to się może zmienić i pewnie w końcu się zmieni.Wycieczka do USA wiązać się może z wieloma przygodami,niekoniecznie miłymi. Nigdy nie wiesz, czy laptop, który ze sobązabrałeś, nie wzbudzi zainteresowania agentów TSA i nie będzieszmusiał im dowodzić, że wcale nie ma na nim dokumentów Dżihadu.Ja na lotnisku w San Francisco musiałem w każdym raziezademonstrować, że laptop się włącza – i same na nim nudy(czytaj: uruchamia się Windows). Gdyby uruchamiało się cośinnego, to kto wie, jaka byłaby reakcja agentów? Komunikatystartującego jądra Linuksa wyglądają jak coś z arsenałucyberterrorysty – po co budzić podejrzenia? Niejedna osoba zostałapoproszona o hasła logowania do swojego komputera. Wszystko wzgodzie z prawem najpotężniejszego państwa na świecie, któregoroli zignorować, gdy zajmujesz się IT, po prostu nie możesz. Za prezydentury Clintona uchwalonoustawę pod szumnym tytułem (amerykańskie ustawy zawsze majątakie szumne tytuły) Communications Assistance for LawEnforcement Act (CALEA). Ustawazainspirowała później wiele innych państw Zachodu, gdyż znacznieułatwiała zadania organów ścigania i służb specjalnych. Zmusiłaoto producentów sprzętu telekomunikacyjnego i dostawców usługtelekomunikacyjnych do takiego zmodyfikowania swoich produktów,usług i ośrodków, by maksymalnie ułatwić prowadzenie nadzorukomunikacji elektronicznej, w tym ruchu VoIP, poczty elektronicznej ikomunikatorów. Miłujące prawo firmy amerykańskie oczywiścieszybko się wzięły za dostosowywanie wszystkiego co oferują, dowymogów CALEA, albo same instalując niezbędne sondy, któremogłyby dostarczyć śledczym informacje, albo też zapewnić ichzgodność ze specjalnie produkowanymi w tym celu przez firmy trzecie(„Trusted Thirt Parties”) sondami. W zamian otrzymujądopuszczający na rynek certyfikat zgodności ze szpiegowską ustawą.Wkońcu pomysł dotarł i do Polski. Ustawa z 16 lipca 2004 r. Prawotelekomunikacyjne nakłada na operatora publicznej siecitelekomunikacyjnej oraz dostawców publicznie dostępnych usługtelekomunikacyjnych obowiązek zatrzymywania i przechowywania danychna własny koszt. Jakie to dane? Oficjalnie dotyczą one informacjibillingowych – adresu w sieci i lokalizacji urządzenia końcowego,terminów połączeń i rodzajów połączeń. Do tego dochodzijednak całkiem imponująca lista przestępstw, w którychdopuszczalny jest podsłuch bez zgody sądu, wśród nich m.in.uprawianie stręczycielstwa,kuplerstwa i sutenerstwa czyprzygotowywanie zamachuna konstytucyjny ustrój państwa (np.chcielibyśmy obalić parlamentarną demokrację, by na jej miejscewprowadzić hedonistyczną technokrację).[img=encrypted]Oczywiście hedonistyczni technokraci i im podobny niebezpiecznyelement ma dziś wiele narzędzi, pozwalających utrudnić życiespecom od podsłuchów. W latach 90 zeszłego wieku dżinn uciekł zbutelki, kryptografia jest w praktyce dostępna dla każdego w miaręinteligentnego użytkownika. Co gorsza wiele produkującychkomercyjne oprogramowanie firm szczyci się wbudowywaniem w systemyoperacyjne mechanizmów szyfrujących, które pozwalają zachowaćpoufność komunikacji. Gdy w 2011 roku w Londynie doszło doniespotykanych wcześniej pod względem rozmiarów zamieszek, władzeobwiniały za to co się dzieje m.in. producenta telefonówBlackBerry, kanadyjskie Research In Motion, którego szyfrowanykomunikator chętnie wykorzystywanybył przez uczestników zamieszek do koordynowania swoichdziałań.Nie ma co zaprzeczać – CALEA i jej podobne regulacje prawne takpasują do współczesnego świata jak dostawcze żuki z silnikiem nakorbę czy szpulowe magnetofony. FBI jest tego świadome, więczdecydowało się przygotować ulepszoną wersję ustawy. Chce, byjuż niedługo Kongres uchwalił rozszerzenie całego zakresu działańwymaganych przez CALEA wobec dostawców usług telekomunikacyjnychtakże na producentów oprogramowania. W praktyce to oznacza, żewszyscy producenci oprogramowania zabezpieczającego i szyfrującegobędą musieli umieszczać w nim furtki, pozwalające służbom nałatwy dostęp do zabezpieczonych treści. Działać trzeba szybko –gdyż jak argumentuje FBI, ruch w Sieci staje się niewidzialny,a służby tracą możliwość przeprowadzania podsłuchów.Autorzy inicjatywy ulepszenia CALEA wiedzą, o czym mówią. Chcązarówno dostępu do oprogramowania działającego na serwerachdostawcy (jak np. Gmaila), jak i do komunikacyjnych technologii P2P,niemożliwych do przechwycenia przez zainstalowanie odpowiedniejsondy na serwerach producenta. W takim kliencie Skype'a trzeba byłobywięc umieścić furtkę, pozwalającą na zdalny monitoringkomunikacji użytkownika.Programiści, specjaliści od bezpieczeństwa i obrońcyprywatności łapią się za głowę. Niedawno opublikowanyraport czołowych 20 amerykańskich informatyków przedstawiacałą listę zagrożeń, do których doprowadzi wejście w życieustawy CALEA II. Obowiązek wbudowywania w oprogramowanie podatności,umożliwiających zdalną inwigilację to spełnienie marzeńcyberprzestępców – będą mogli cieszyć się exploitamikorzystającymi z dziur w systemach, których producentom nie wolnozałatać. Do tego dochodzą kwestie kosztów, jakie ponieść będąnawet mali deweloperzy, związanych z zapewnieniem odpowiedniegopoziomu ochrony przechwyconych za pomocą ich oprogramowania danych.Największym problemem jest jednak nieskuteczność nakazuwbudowywania takich furtek, związana z istnieniem oprogramowaniaOpen Source. O ile Microsoft, Google czy Apple, jeśli tak imzostanie rozkazane, odpowiednie modyfikacje w kodzie swoich produktówwprowadzą (by osiągnąć to tak kochane przez korporacyjnychdecydentów compliance), to raczej trudno będzie nakłonićnerdów rozwijających Debiana (nie mówiąc już o OpenBSD), bywkompilowali do komunikatorów i przeglądarek wymarzone przez FBIłatki szpiegowskie. Co w tej sytuacji zrobić? Obym okazał sięzłym prorokiem – ale przecież normalny użytkownik nie potrzebujeżadnego Open Source. Każdy, kto korzysta z nieamerykańskiego,niezgodnego z CALEA II oprogramowania, zapewne ma coś sumieniu. Możew ogóle zabronić obywatelom posiadania otwartego kodu? W końcu wXXI wieku kod może być równie niebezpieczny jak broń, a jakwiadomo, nic dobrego z posiadania broni przez obywateli przyjść niemoże.Administracja prezydenta Obamy chce, by Kongres zajął sięzmianami w ustawie jeszcze w tym roku. Jeśli pomysły te zainspirująinne kraje, tak jak było z oryginalną wersją ustawy, to pewniebędziemy mieli jakieś 10 lat, zanim i u nas zmodernizowana wersjaPrawa telekomunikacyjnego nie wprowadzi podobnych wymogów.Cieszcie się więc wolnością w Sieci póki można – to coś,co tak szybko może odejść...