"El Mundo": Polska w "grupie B" współpracy z amerykańską agencją NSA

Wedle hiszpańskiego "El Mundo": Polska znalazła się pośród 19 krajów, które współpracują z amerykańskim NSA w zakresie pozyskiwania i przekazywania informacji (w tym kryptograficznych) przetwarzanych w sieciach komputerowych. Ma to wynikać z udostępnionego temu medium przez Edwarda Snowdena dokumentu pt. "Sharing computer network operations cryptologic information with foreign partners". Poprosiłem o komentarz do tych doniesień Generalnego Inspektora Ochrony Danych Osobowych.

Tekst "El Mundo" dostępny jest pod tytułem El CNI facilitó el espionaje masivo de EEUU a España. Wynika z niego, że Polska (obok Hiszpanii, Węgier, Włoch, Japonii, Holandii, Norwegii, Portugalii, Norwegii, Szwajcarii, Turcji, Belgii, Czech, Danii, Niemiec, Grecji, Austrii, Luksemburga i Korei Południowej) znalazła się w "grupie B" (Tier B, Focused Cooperation), czyli wśród krajów, które ułatwiają NSA dostęp do informacji służb specjalnych. W grupie A (Tier A, Comprehensive Cooperation) znalazły się Australia, Kanada, Nowa Zelandia oraz Wielka Brytania. "El Mundo" nie publikuje całości dokumentu, a jedynie jego omówienie oraz ilustrację przedstawiającą fragment dokumentu.

Poprosiłem dra Wojciecha Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych, o komentarz do tych doniesień. Oto uzyskany komentarz:

[Z] posiadanych przez Generalnego Inspektora Ochrony Danych Osobowych informacji nie wynika, by istniała podstawa prawna umożliwiająca bezpośrednie przekazywanie przez Agencję Bezpieczeństwa Wewnętrznego i inne służby danych telekomunikacyjnych polskich obywateli amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA). GIODO zwraca jednak uwagę, że na mocy art. 43 ust. 2 w związku z art. 43 ust. 1 i 1a ustawy o ochronie danych osobowych uprawnienia Generalnego Inspektora do kontroli działań Agencji Bezpieczeństwa Wewnętrznego w wyżej wskazanym zakresie są znacząco ograniczone.

Wydaje się, że w konkretnych sprawach przekazanie informacji mogłoby nastąpić jedynie w ramach pomocy prawnej w trybie określonym Umową między Rzecząpospolitą Polską a Stanami Zjednoczonymi Ameryki dotyczącą stosowania Umowy między Rzecząpospolitą Polską a Stanami Zjednoczonymi Ameryki o wzajemnej pomocy prawnej w sprawach karnych, sporządzonej dnia 10 lipca 1996 r., zgodnie z artykułem 3 ustęp 2 Porozumienia o wzajemnej pomocy prawnej w sprawach karnych między Unią Europejską a Stanami Zjednoczonymi Ameryki, podpisanego w Waszyngtonie dnia 25 czerwca 2003 r. (Dz. U. z 2010, nr 17, poz. 91). Jednakże należy pamiętać, że zgodnie z jej art. 2 ust. 1 przekazywanie i przyjmowanie wniosków o pomoc prawną odbywa się za pośrednictwem organu centralnego, którym zgodnie z ust. 2 jest Minister Sprawiedliwości lub wyznaczona przez niego osoba.

Jednocześnie informuję, że Generalny Inspektor Ochrony Danych Osobowych nie uzyskał żadnych informacji o przekazywaniu amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) danych telekomunikacyjnych przez działających na polskim rynku operatorów telekomunikacyjnych lub dostarczycieli usług internetowych.

Warto odnotować, że nie tak dawno, na fali informacij ujawnianych przez Edwarda Snowdena, grupa trzech organizacji pozarządowych, tj. Amensty International, Helsińska Fundacja Praw Człowieka oraz Fundacja Panoptykon, zwróciła się do władz - w trybie ustawy o dostępie do informacji publicznej - formułując swój wniosek w dokumencie 100 pytań o inwigilację do polskich władz.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Można się chyba było tego

Można się chyba było tego spodziewać. Najpierw pojawiły się plotki dotyczące więzień CIA w Polsce. Obecnie już wiemy, że więzienie było, a nasz strona w naiwności zrobiła z tego nawet notatkę służbową (chcieli podpisać umowę z CIA zupełnie niezgodną z naszym prawem). Ta sprawa nie została wyjaśniona do dziś, nikt nie ma zarzutów. Prokuratura sprawę "rozmydla", za jakiś czas pewnie część zarzutów się przedawni, reszta zostanie zapomniana. Nie ma się chyba więc co dziwić, że nasze służby zrobiły następny krok. Stała współpraca ze służbami specjalnymi USA. A że pewnie nielegalna? Kto to sprawdzi, wszystko jest tajne/poufne. Jak się nawet wyda to sprawę się też "rozmydli" w prokuraturze. Zgadywać można, że pewnie nasza strona zapewniła służbą USA dostęp do strategicznych miejsc z których można zbierać dane (np. węzły telekomunikacyjne). Natomiast tajne służby USA pewnie nam w zamian udostępniają dane o które nasze służby poproszą. Współpraca nader wygodna, nasi nic nie przetwarzają, w nic nie inwestują, o co poproszą - to zazwyczaj dostają. I tylko problem braku legalności przedsięwzięcia maluczkich może czasem razić w oczy.

Współpraca Polski z NSA?

Witam.

Nie wiem ile w tym prawdy, ale na podstawie losów innego systemu operacyjnego, zasłyszałem informację o "wklejaniu" backdoor'ów do jądra systemu operacyjnego.
Sytuacja miała miejsce chyba w 2008 roku i dotyczyła systemu serwerowego SuSe od firmy Novell. Wiadomo, że SuSe to dystrybucja linux'owa, a jako taka musi być dostarczana wraz z kodem źródłowym (Licencja GNU). Okazało się, że dociekliwi analitycy kodu źródłowego jądra linux, (znaleźli w określonej wersji dystrybucji SuSe, wypuszczonej przez Novell), zaimplementowany backdoor, umożliwiający analizowanie zawartości plików na serwerze, bez konieczności posiadania haseł administratora. Jak sprawa wyszła na jaw, to firma Novell wycofała tę wersję dystrybucji i prawie dwa lata walczyła o odzyskanie zaufania klientów do ich darmowego oprogramowania do serwerów bazodanowych.
Było dość "głośno" o tym na forach technicznych.
Dlaczego o tym piszę? Z prostego powodu. Otwarty kod systemu operacyjnego i aplikacji użytkowej, umożliwia dokonanie analizy bezpieczeństwa całości użytkowanego systemu. Owszem, zdaję sobie sprawę, że to zadanie dla mocno zaawansowanych użytkowników, ale tacy są na świecie.
A co mamy w urzędach i biurach? Wszechobecny produkt MicroSoft. Produkt obwarowany licencją i zakazem deasemblacji do wstecznej analizy kodu! I tak jest z każdym produktem tej firmy! A zatem, skoro nie można deasemblować, to nie można także sprawdzić czy nie ma backdoor'a! A jeśli jest takie wejście, standardowe dla każdej zainstalowanej licencji MS Windows czy MS Office... To kto zagwarantuje, że nikt nie analizuje zawartości plików bez wiedzy użytkownika? Maszyny są pracowite, choć ułomne i zapewne przeszukują zawartość na obecność określonych haseł. Co się dzieje gdy takie poszukiwane słówko się znajdzie, tego nie wie nikt. Najważniejsze, że pozostaje tylko wiara w to, że żaden boot nie grzebie w zasobach dysku komputera z systemem Windows.
Możliwe, że dowodem na istnienie potrzeby istnienia takich luk w systemie, jest podatność MS Windows na różnego rodzaju infekcje. Luka wejściowa w systemie jest jak drzwi. Można nimi wejść, albo się wślizgnąć. Analogią mogą być zamki w hotelu. Każdy klient ma klucz od pokoju, a służba ma jeden klucz uniwersalny, który otwiera wszystkie drzwi do pokoi hotelowych. Można? Można! A przecież program jest łatwiej skonstruować tak aby działał na jednym ogólnym haśle. Przykładem niech będzie konto admina czy supervisora. Ten osobnik ma dostęp do każdego pliku na serwerze, a użytkownik tylko do swoich albo udostępnionych!

Może właśnie dlatego jest taka popularność tego systemu w urzędach, bo urzędnicy się cieszą z windows'a, a zainteresowani być może mają otwarte drzwi. W sumie zastanawiającym jest, dlaczego urzędy wydają publiczną kasę i nikt z nadzoru finansowego nie protestuje. Przecież każdy zakup MS Windows czy MS Office, to pieniądze podatnika płacone na rzecz firmy płacącej podatki poza polskim urzędem skarbowym. Ale to już nie moja sprawa. Widocznie jest ważniejszy interes niż kasa od podatnika.
Sam też czasami korzystam z MS Windows. Ot choćby do pisania postów na tym vortalu, jak teraz.

Pozdrawiam.

Nie wiem ile w tym prawdy,

Nie wiem ile w tym prawdy, ale na podstawie losów innego systemu operacyjnego, zasłyszałem informację o "wklejaniu" backdoor'ów do jądra systemu operacyjnego.
Sytuacja miała miejsce chyba w 2008 roku i dotyczyła systemu serwerowego SuSe od firmy Novell.

Backdoor w Suse? Delikatnie mówiąc, jest to nieprawda. Nie rozpowszechniaj, proszę, takich niesprawdzonych plotek.

To był Prima Aprilis?

Nie SUSE a SSH

> Sytuacja miała miejsce chyba w 2008 roku i dotyczyła systemu
> serwerowego SuSe od firmy Novell.

Chyba w 2008 r. to się okazało, że istnieje możliwość wbudowania backdoora w openSSH, w szczególności w dystrybucji RedHat, a nie w OpenSUSE. Sprawdź słowa kluczowe "red hat openssh backdoor vulnerability"

Z OpenSUSE jest na odwrót - od czasu wykrycia pewnej dziury w jądrze Linuxa umożliwiającej uzyskanie uprawnień roota wszystkie nowsze dystrybucje profilaktycznie uruchamiają łatę na tę dziurę, bo okazało się, że w kolejnych wersjach jądra dziura czasem znów się pojawia, choć trudniejsza do wykorzystania. Zobacz: http://slashdot.org/comments.pl?sid=3928817&cid=44164265

> Było dość "głośno" o tym na forach technicznych.

Tak głośno, że nie potrafisz wskazać żadnego źródła?

OpenSSH to raczej nie system operacyjny.

Witam.

Ja tam spierać się z guru informatycznymi nie zamierzam. Bo i to nie ten portal. Z tego co widzę, OpenSSH jest komponentem, który działa na wielu dystrybucjach linux'a, a i nie tylko. Sam zresztą wymieniłeś także inną dystrybucję linux'a.
Z punktu widzenia "ciekawskiego", to co mi po tylnych drzwiach w czymś co nie musi być zainstalowane aby komputer działał. Istotne jest aby były w samym kernelu, bo wtedy zawsze jest dostęp. Prosta logika.
Nie mam czasu szukać w przepastnych zasobach netu info o czymś co zaprzeszłe i niewygodne dla niektórych. Ale wujaszek google pokazał dość niedawną informację, bo z 7 lipca 2013 roku. Ubuntu and SUSE ‘Cloud’ Users Spied on Through Microsoft Windows Azure (With NSA Back Doors)
Jest tam wątek, który jest echem tamtego zdarzenia i przy okazji gwałtownego wtedy spadku sprzedaży Novell SuSe Linux Enterprise. Wystarczy popatrzeć na dane sprzedażowe. Ja jestem za leniwy, żeby szukać za pomocą google.

I proszę wybaczyć, ale ten wątek nie jest na to forum. Spór można toczyć, ale nie tutaj. Tu są poruszane zagadnienia prawne, a nie techniczne z zastosowań informatycznych.

Pozdrawiam

Zacznę od

Zacznę od końca:
Pomówienia czy fałszywe zeznania są jak najbardziej zagadnieniem prawnym, choćby dotyczyły aspektów technicznych. W związku z tym proszę albo o wskazanie stron bezpośrednio opisujących sugerowane fakty sprzed 6-7 lat, albo o zaprzestanie pomówień.

A teraz do rzeczy. Sprawdziłem to i owo, zanim napisałem pierwszy raz. Sprawdziłem jeszcze więcej i jeszcze dokładniej, zanim zdecydowałem się przypomnieć rzeczywiste fakty z interesującego nas okresu.

1. Na wskazanej strona znalazłem wyłącznie odniesienia do faktów, które się wydarzyły najwcześniej w 2011 r., kiedy Novell i SUSE trafiły pod zarząd Attachmate, czyli nie mających nic wspólnego z początkową sugestią dotyczącą zdarzeń sprzed 6-7 lat.

2. Z 2006 r. w związku z Novellem jest pamiętana śmierć Raya Noordy, jego byłego prezesa, który razem ze swoją grupą kapitałową wykupił Santa Cruz Operations (SCO) i procesował się z Novellem o Unixa. SUSE też była zaangażowana w ten proces. Noorda zmarł 9 października, a że był on siłą napędową procesu, można było oczekiwać, iż jego grupa kapitałowa ograniczy wydatki na ten cel i będzie działać tak, aby stracić jak najmniej.
3 listopada 2006 r. została podpisana umowa między Novellem a Microsoftem. Formalnie obejmowała ona głównie kwestie serwerów SUSE uruchamianych na microsoftowych wirtualnych maszynach (Hyper-V), ale została odebrana jako rezygnacja MS ze wspierania SCO w procesie przeciw Novellowi. Z drugiej strony ta umowa była powodem twierdzeń, że Novell podpisuje pakt z diabłem i że należy zaprzestać używania SUSE Linux Enterprise, czyli korporacyjnych dystrybucji zawierających płatne pakiety na zamkniętych licencjach. Nie przypominam sobie jednak, aby z tego powodu była mowa o jakichś celowych furtkach w jądrze SUSE czy aby nawoływano do akcji przeciw projektowi openSUSE. Wręcz przeciwnie - właśnie z tego powodu doszło do wzmocnienia projektu społecznościowego i zmiany nazwy jego dystrybucji z SUSE Linux na openSUSE (7 grudnia 2006 r.).

3. Żeby było ciekawiej, współpraca SUSE - Microsoft obróciła się przeciw MS. W 2009 r. okazało, że MS zlinkował statycznie kod na licencji GPL ze swoimi sterownikami dla Hyper-V i w rezultacie całe sterowniki zostały opublikowane na tej licencji.

Tyle w kwestii chronologii faktów. Mam nadzieję, że następnym razem zawczasu sprawdzisz, co trzeba zamiast opierać się na własnej ułomnej pamięci czy na plotkach, a potem głupio się wykręcać.

ORANGECRUSH vel BUFFALOGREEN

VaGla's picture

Taki link o ORANGECRUSH vel BUFFALOGREEN Polski rząd pomagał NSA, a NSA podsłuchiwała 3 miliony Polaków (dziennie!) — ujawniono nowe dokumenty Snowdena
--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>