luni, 10 iunie 2013

PRISM-gate

De câteva zile opinia publică din SUA fierbe, presa de peste Ocean(și nu numai aceasta) alocă spații generoase subiectului interceptărilor guvernamentale, iar autoritățile fac eforturi monumentale pentru a rezista asaltului. Cum în România presa nu există, subiectul este practic tăcut sub tăcere de păstorii acestui domeniu.

Fără doar și poate, prin reacțiile pe care le-a stârnit, subiectul PRISM a aprins spiritele. Și aceasta nu pentru că nu s-ar fi bănuit acest lucru, ci, mai ales pentru că dezvăluirile făcute nu  lasă loc niciunui echivoc. Nu cred că greșim dacă afirmăm că suntem într-o perioadă în care noi, ca societate și ca individ, începem să ne maturizăm și să înțelegem mai bine că libertatea nu este acea valoare fundamentală la care ne raportam până acum ci doar un interval limitat, strict supravegheat,  în care ți se permite să te miști.
Totul a început miercurea trecută, atunci când cotidianul The Guardian a dezvăluit că discreta NSA a obținut dreptul de colectare a datelor convorbirilor efectuate în rețeaua Verizon. Cu toate că știrea în sine nu reprezintă vreun șoc, aceasta a stârnit emoții puternice în opinia publică americană. Subiectul însă a explodat în cursul zilei de vineri, atunci când The Guardian și Washington Post au publicat un document secret al NSA referitor la programul PRISM.

Conform informațiilor din document, NSA are acces privilegiat atât la sistemele de telefonie cât și la comunicațiile electronice, beneficiind de linii dedicate de acces la serverele marilor companii americane de servicii internet . Ce înseamna aceasta? Orice individ care folosește unul dintre miile de servicii web americane se află de facto sub urmărirea NSA. Cu alte cuvinte, indiferent că că vorbim despre Google, Facebook, Yahoo, Microsoft etc., în fapt vorbim despre NSA. Orice bit de informație care tranzitează sistemele acestor mari companii este susceptibil de a trece, de asemenea, pe la NSA.

Lucrurile însă nu se opresc aici. Dacă ne gândim că și în spatele serviciilor web oferite de firme din alte state se află hosting(sau backup) oferit de marii furnizori americani, e cât se poate de simplu de intuit că Fratelui cel Mare nu-i scapă mai nimic din ceea ce facem zi de zi. Însă, demnă de luat în seamă este tehnologia care permite unificarea informațiilor la care are acces NSA și utilizarea acesteia în scopul urmăririi individuale. Coroborarea datelor obținute în timp real de la sistemele de telefonie cu cele de la furnizorii de servicii internet permit lucruri demne de SF. Indivizi apropiați fenomenului vorbesc despre capacitatea de localizare a unei persoane cu o eroare de doar câțiva centimetri sau, mai mult despre sisteme capabile să prezică cel mai probabil traseu care va fi parcurs de cel urmărit. Vi se pare ciudat? Personal cred că sunt doar câteva firimituri scăpate, nimic mai mult. În problema de față realitatea întrece cu mult imaginația.

După ce am realizat o panoramare a fenomenului, e timpul să privim lucrurile în context, lucru care pare a scăpa tuturor. De foarte multă vreme NSA duce o campanie activă de decredibilizare a informațiilor care dezvăluie ceea ce se petrece în spatele ușilor închise. Au fost nenumărate scăpări de informații despre performanțele NSA, despre echipamentele demne de SF de care dispune și despre tehnologiile neortodoxe de colectare a datelor. Toate acestea au fost catalogate de figurile pregnante din media ca elemente fanteziste, demne de mințile întunecate ale adepților teoriei conspirației.

Nu mai departe de luna trecută, o așa zisă dezvăluire a făcut ocolul web-ului. Este vorba de desecretizarea unei documentații catalogate strict secret de către NSA. „Untangling the Web”, manualul care care a fost făcut public după, chipurile, numeroase eforturi ale societății civile a făcut ocolul publicațiilor și al blogurilor mai mult sau mai puțin oficiale. Tentația de a avea în mână un document strict secret referitor la modul în care NSA își culege informațiile este imensă, iar așa-zisa dezvăluire a avut un efect foarte bine intuit. Citind însă documentația „strict secretă” ai impresia că NSA este un serviciu de ageamii cărora li se fac cursuri din seria Idiot's Guide. „Untanglig the Web” este atât de banală și lipsită de informații încât numai un prost nu-și poate da seama că a fost doar o chestie plantată pentru a sugera că NSA este o agenție compatibilă tehnologic cu un utilizator normal de internet. Mai mai că-ți vine să crezi că super-agenții NSA au reușit să ofere suport armatei în Pakistan utilizând pe Google șirul de căutare „where is bin laden”, iar monitorizarea operațiunii de eliminare a teroristului oficial al planetei s-a făcut prin intermediul facilității Street View din Google Maps.

E cât se poate de clar că nu toți oamenii sunt proști. Cu siguranță că americanii(și toată lumea în general) ar fi trebuit să înțeleagă exact care sunt riscurile asociate inițiativelor legislative post 9/11. Era cât se poate de limpede că, mai devreme sau mai târziu, se va ajunge la controlul eficient și total al persoanei. Indiferent de dezmințirile pe bandă care se dau din partea oficialilor guvernamentali și a reprezentanților marilor companii furnizoare de servicii internet, lucrurile sunt intuite de toată lumea. S-a ajuns deja acolo unde nu am fi dorit să ne aflăm niciodată, anume în „Minunata lume nouă”. De-aici nici măcar visul sau imaginația nu pot fi lăsate să evadeze.

P.S. Un interviu cu Edward Snowden, cel care se află la originea dezvăluirilor referitoare la PRISM, a fost publicat pe pagina The Guardian.

20 de comentarii:

  1. Pentru mine si multi altii, e doar o confirmare a ceea ce stiam deja. Informatia oricum nu ajunge la plebe. Si daca ajunge, oricum nu schimba nimic.

    De pe la noi: Pentru a realiza aceste interceptări, organele de anchetă nu au nevoie să ceară permisiunea Google sau Facebook, ori a diverşilor furnizori de servicii de e-mail. Astfel că interceptările se realizează prin sistemul de interceptări al SRI, care operează direct cu providerii de Internet.

    Legislaţia din România şi din UE spune că orice operator de telefonie sau provider de Internet este obligat să semneze protocoale de acest fel cu autorităţile. Prin aceste protocoale, SRI are acces la echipamentele acestor operatori şi poate efectua interceptările telefonice sau cele de date.


    Link.

    Iar despre "interferente" externe sa nu uitam incidentul penibil in care s-a demonstrat ca CIA peria tot traficul pe internet facut de sirieni INAINTE de declansarea "revoltelor".

    "Anonimitate" nu mai exista demult. Cred ca prin 2005 maxim a murit orice sansa de a fi un "simplu cetatean".

    RăspundețiȘtergere
    Răspunsuri
    1. Sunt curios, daca avand cont la Google (gmail), cum ar putea SRI sa-ti citeasca un mail primit prin protocolul SSL/TLS daca nu au acces la serverele Google. Se pot kk pe ei SRI cu datele de la provider cu tot, ca continutul mailului tot criptat ramane. Hai sa nu amestecam SRI-ul in toata povestea asta, ca sunt depasiti. Ce fac aia de la SRI e frectie, nu decripteaza mesaje, ci primesc de la provider continut plain text, ca poporeanul mioritic nu-si trimite mailuri prin SSL/TLS.
      NSA nu ar putea citi continutul mesajelor daca Google, Facebook & co. nu le-ar acorda accesul la serverele lor. Ei ar putea doar intercepta streamul de date si incerca sa-l decripteze daca pot.

      Ștergere
    2. Dragă Marius dar ce zici dacă SRI este o subsidiară a CIA în România?

      Ștergere
    3. Nimic nu e exclus dar eu ma cam indoiesc.

      Ștergere
    4. @ThinkAgainRo
      E posibil ca serviciile speciale din tarile NATO sa plateasca un fel de "abonament" (in baza unor conventii) la serviciile "fratilor" americani, SRI-ul nici macar sa nu aiba nevoie de toata infrastructura.

      Ștergere
    5. @Marius:
      1) SRI are probabil capacitatea de a decripta SSL. Da, cu suficienta putere de calcul o poti face intr-un timp rezonabil. Cu puterea lui Gogu o poti face chiar in real-time.
      2) Avand acces direct la trafic, poate face MITM. Fiind vorba de un serviciu de informatii, au cu siguranta acces la diferite certificate, si pot intercepta orice crezi tu ca e securizat.

      Securizarea SSL e anti-ciumpalaci, anti-vecini-de-bloc, anti-hackeri-de-buzunar. Se bazeaza pe premiza ca un desktop end-user va decripta traficul in mii de ani. Dar cand ai la dispozitie retele intregi cu distributed computing, SSL e frectie.

      Ștergere
    6. Cam asa arata durata unei decriptari in functie de puterea de calcul.
      http://www.lockdown.co.uk/?pg=combi&s=articles

      Ștergere
    7. Marea majoritate a indivizilor care se ocupa la modul serios de criptografie sugereaza ca NSA este inainte cu cel putin 50 de ani. Desigur exista si tabara adversa care se intreaba retoric ce sens ar mai fi avut restrictia in ceea ce priveste lungimea cheii la produsele criptografice exportabile din SUA. Insa nu trebuie sa uitam(asa cum am scris si in articol) ca NSA are un serviciu de propaganda destul de bun; e greu de crezut ca Agentia ar fi permis nu exportul, ci chiar utilizarea in interiorul granitelor a unei tehnologii care i-ar scapa de sub control.

      Ștergere
    8. Foarte corect @Dane. In plus, SSL este bazat pe chei publice, care sunt emise de "autoritati" controlate de americani. SSL e un soi de FIAT money al internetului: toti au incredere in el, extrem de putini inteleg cum functioneaza si cat de volatil e.

      Ștergere
    9. @Son Sung, doar cu cheia publica nu faci nimic. SSL nu e bazat pe chei bpublice ci pe o pereche de chei publice si private. In ce consta volatilitatea SSL, ca aici m-ai lasat cu gura cascata? Sa inteleg ca tu ai putea intercepta si decripta traficul SSL in doi timpi si trei miscari?

      Cat o fi SRI-ul de fantastic, ma cam indoiesc ca au puterea de calcul necesara ca sa decripteze transmisiile prin SSL/TLS. Nici macar personalul lor nu cred ca e suficient de pregatit.

      Ștergere
    10. Si ca tot faceai trimitere la "chei publice, care sunt emise de 'autoritati' controlate de americani", ar trebui sa stii ca nu are importanta cine este emitentul atat timp cat toata matematica din spatele SSL este publica. Nu cred ca guvernul american altereaza un hash intern, nu de alta dar e foarte usor de prins. Un mesaj transmis prin SSL din SUA poate fi foarte usor receptionat si decripatat in China. Tot ce-i trebuie chinezului este cheia privata.

      Ștergere
    11. Oricine poate face MITM, mai ales daca esti direct pe fir cum e SRI sau NSA. Dar un MITM "civil" e detectat pentru ca serverul de certificare SSL nu confirma encriptarea conexiunii. Cand insa SRI/NSA intra pe fir, serverul SSL iti va confirma ca ai o conexiune securizata, desi ea e interceptata. SSL se bazeaza pe increderea oarba intr-un third-party (GeoTrust, Verisign, etc). Iar astea sunt la randul lor controlate de autoritati.

      Asta cu pregatirea personalului SRI ... MITM, ARP spoofing & shit sunt chestii de clasa I in lumea hackerilor. Se faceau intr-o veselie acum ... 10 ani, de orice administrator de retea de bloc mai dezghetat. Probabil in ziua de azi sunt deja in manualele de istorie. O agentie n-o sa-si dezvaluie niciodata capacitatea de spionaj, mereu va poza in incapabila si netehnologizata.

      Ștergere
  2. Cu ceva timp in urma spuneai(prin comentarii daca nu ma insel) ca nu crezi in teoria conspiratiei. Se pare ca pe zi ce trece (prin lucrurile pe care le intuiam doar si ni se confirma treptat) teoria conspiratiei devine teorema realitatii.
    As indrazni chiar sa cred ca e un pic depasita teoria de realitate.
    Acum ca toata lumea stie ca e urmarita, la o adica chiar pana la nivel de individ(si totusi mare lucru nu se intampla in societate) ce urmeaza? Cip-urile?

    RăspundețiȘtergere
    Răspunsuri
    1. Asa e si nu mi-am schimbat opiniile. Ma rog, discutia e mai lunga si cred ca nu are sens s-o dezvolt prea mult.
      In marea majoritate teoriile conspiratiei sunt niste chestii atat de naive incat trebuie sa fii copil pentru a le crede. Asta desigur nu exclude posibilitatea ca in muntele de maculatura sa nu mai existe si informatii care au cat de cat legatura cu realitatea.
      Dar, repet, trebuie sa fii copil sa crezi ca orice neica nimeni are acces prin cluburile rarefiate ale puterii mondiale...

      Ștergere
    2. Teoria conspiratiei e un bilet de spalatorie. pt cei care au citit eco (umberto nu cernea).mergand pe firul biletului naiv si stupizel dai insa de marii superiori care cauta si ei vrilul. cartea se termina cu casaubon care asteapta sa vina si dupa el.

      PS cartea e pendulul lui foucault

      Mihai

      Ștergere
    3. Anonim: pari bine situat, pe undeva pe la jumatatea ... pendulului; e locul de unde trebuie sa reiei drumul de la inceput deoarece mai e un nivel, mult mai profund si ascuns cu iscusinta de maestru. Oricum, esti pe o traiectorie buna in descoperirea faptelor si lucrurilor obtenebrate!

      Ștergere
  3. Buna,

    In legatura cu subiectul este un serial numit Person of Interest care tocmai si-a terminat al doilea sezon.

    In serial este vorba despre o inteligenta artificiala care se afla pe mana CIA (la care are acces printr-un backdoor cel care a creat-o) care poate procesa real time toate informatiile primite de la orice sursa care este legata la internet si la operatorii de telefonie mobila. Pe baza acestor informatii anticipa ceea ce se va intimpla iar protagonistii ajuta oameni obisnuiti inainte sa treaca prin drame iar guvernul o foloseste doar pentru prevenirea atacurilor "teroriste".

    Recomand, e bun serialul.

    Person of Interest

    RăspundețiȘtergere
  4. In revista Catavencii au fost o sumedenie de articole privind diverse acte normative care-i obliga pe operatorii din comunicatii sa permita accesul serviciilor la serverele lor. De ex.: http://www.catavencii.ro/Scrisoare-deschisa-catre-domnul-dan-nica-ministrul-comunicatiilor_0_4143.html

    RăspundețiȘtergere
  5. Spune autorul: "...începem să ne maturizăm și să înțelegem mai bine că libertatea nu este acea valoare fundamentală la care ne raportam până acum ci doar un interval limitat, strict supravegheat, în care ți se permite să te miști."
    Ma tem ca trebuie nuantat aspectul; iata ce spune Pew Research Center
    "Currently 62% say it is more important for the federal government to investigate possible terrorist threats, even if that intrudes on personal privacy. Just 34% say it is more important for the government not to intrude on personal privacy, even if that limits its ability to investigate possible terrorist threats."
    In http://www.people-press.org/2013/06/10/majority-views-nsa-phone-tracking-as-acceptable-anti-terror-tactic/
    Cum evidenta anecdotica mie-mi demonstreaza ca cam tot asa sta treaba mai peste tot, inclusiv in Romania, si avind in vedere cum functioneaza lumea azi, autorul ar face bine sa treaca de la verbe impersonale si diateza pasiva la verbe personale si diateza activa: "TU vei vi ascultat chiar si atunci cind produci muzica de fasole, ca TU asa vrei sa renunti la o libertate actuala pentru o siguranta eventuala."

    RăspundețiȘtergere
  6. hai domne, matale chiar credeai ca alea, serverele, nu au fost, nu sunt si nu vor fi monitorizate/supravegheate permanent? pe ce lume traiti? eram socat daca nu erau.... ce ma bucura este ca toate aceste companii cu milioane de utilizatori sunt si participa in linie la acesta actiune. nu ar fi fost in regula daca lipsea vrea una. trebuie sa intelelegi - cind ai iesit in spatiu virtual sau ai asupra ta un telefon mobil - ESTI SUPRAVEGHEAT. Ti se copiaza datele de identitate, profilul cautarilor, locatia fizica, postarile, mesajele, tot. Era culmea sa nu fie. datele sunt vindute si utilizate in scop comercial, sondaje, politica, etc. daca vrei sa nu apari in baza lor de date trebuie sa nu ai nimic, sa lasi drequ facebucul, gugul ms si alte traznai. daca vrei ca comunici cu cineva spune-i in fata, nu posta ca prostul..., pune mana pe creion si foloseste posta.

    RăspundețiȘtergere