Społeczeństwo kontrolowane: Organy ścigania organizują handel danymi z wycieków?

DarkMarket.ws to serwis, który wykorzystywany był do kontaktów pomiędzy osobami sprzedającymi i kupującymi różne dane klientów banków, instytucji finansowych, firm telekomunikacyjnych. Hasła, kody dostępów, numery kart kredytowych, kompletne rekordy pozwalające na dokonywanie przeróżnych przesunięć finansowych "na cudzy rachunek". Na wielu konferencjach dot. bezpieczeństwa informacji serwis ten był pokazywany jako siedlisko wszelkiego zła i straszono nim bankowców, bezpieczników i polityków. No i cóż się okazuje? DarkMarket.ws był założony przez FBI. To nie powinno dziwić. Zastanawiam się jednak nad coraz wyraźniej widocznymi relacjami między "stróżami prawa" a pracownikami przedsiębiorstw o "specjalnym znaczeniu strategicznym".

To, że w powstanie DarkMarket zaangażowane było FBI wynika z tekstu Cybercrime Supersite 'DarkMarket' Was FBI Sting, Documents Confirm, opublikowanym w blogu Wired przez Kevina Poulsena. Tekst ten powołuje się na niemieckie źródła - raport niemieckiej policji, który ujawniony został przez niemieckie radio Südwestrundfunk. Przywoływana jest też notatka w radiowym serwisie: Angriff aus dem Netz, jednak tam nie ma szczegółów, a tylko nawiązanie do działań policji, w wyniku których doszło do ujawnienia roli agenta FBI o polskobrzmiącym nazwisku: J. Keith Mularski. Ten agent FBI, który w imieniu biura współpracował z the National Cyber Forensics Training Alliance posługiwał się również pseudonimem Master Splynter i pod takim pseudonimem administrował serwisem DarkMarket.ws. Forum, które umożliwiało indywidualne kontakty między osobami czerpiącymi profity z wszelkiego rodzaju phishingu działało przez dwa lata i zakończyło działalność (dobrowolnie?). Teraz - jak się wydaje - ludzie zaczną zadawać niewygodne pytania: jak daleko w walce z wszelkimi patologiami mogą posunąć się władze?

Na stronie the National Cyber Forensics Training Alliance niewiele można znaleźć (ostatni news w "News & Research" na tej stronie pochodzi z sierpnia 2007 roku). Ta organizacja zaś, a może lepiej - porozumienie, która postawiło sobie za cel walkę przestępczością komputerową, stanowiło pomost między prywatnym sektorem finansowym, sektorem technologicznym (infrastruktura) oraz publicznymi służbami, takimi jak FBI. Wiadomo, że sektor finansowy, albo bankowy, ściśle współpracuje z władzami, podobnie jak wielu dostawców usług internetowych czy przedsiębiorców telekomunikacyjnych (to wynika ze szczególnej, strategicznej roli jaką pełnią przedsiębiorstwa z tych branż w gospodarce i związane jest ze szczególnymi obowiązkami nakładanymi przez systemy prawne na takie przedsiębiorstwa). Jednocześnie ze względów strategicznych - instytucje i przedsiębiorstwa takie szczególnie narażone są na niebezpieczeństwa, a w szczególności "cyberprzestępczość". Dlatego też powołują wszelkiego rodzaju zespoły reagowania kryzysowego, formalne i nieformalne zespoły osób zajmujących się bezpieczeństwem, a te zespoły oczywiście współpracują z organami ścigania. Ta jest na całym świecie - również w Polsce. Tylko, że teraz okazało się, że jedno z bardziej liczących się for internetowych, na którym handlowano "skradzionymi danymi", było w pewien sposób kontrolowane przez agendę FBI - the Cyber Initiative and Resource Fusion Unit.

Zastanawiam się nie nad samą prowokacją FBI, tylko nad tym, co widziałem na kilku polskich konferencjach poświęconych bezpieczeństwu bankowych systemów informacyjnych, a ściślej nad prezentacjami, w czasie których wskazywano DarkMarket jako źródło "wszelkiego zła", swoisty straszak dla bankowców i osób, które mniej orientują się w meandrach technologicznych. Pewnie walka z "przestępczością technologiczną" wymaga specjalnych środków, ale wszędzie tam, gdzie pojawia się "szara strefa" (a taka funkcjonuje w nieformalnych kontaktach organów ścigania z instytucjami, które mają strategiczne znaczenie dla gospodarki: nieformalne kontakty specjalnych komórek policji, które kontaktują się z pracownikami banków, z pracownikami przedsiębiorców telekomunikacyjnych, etc.), przyobleczona w mgiełkę tajemnicy i etos wyższej konieczności relacja - wszędzie tam może dojść do pojawienia się nowych patologii. Ludzie bezkrytycznie przyjmują założenie, że banki, policja, duże przedsiębiorstwa telekomunikacyjne na pewno nie łamią prawa. Zakłada się, że jeśli już doszło do wycieku, to na pewno to była wina złych hackerów (podobnie zresztą jak w branży muzycznej i filmowej wyciek nowego, jeszcze niedokończonego filmu, pojawić się musiał za sprawą sił zewnętrznych, a nie zaś za sprawą osób zatrudnionych "po dobrej stronie"). A przecież może być inaczej.

Kiedy sięgnąć do takich doniesień, jak opisane w tekstach Dane 17 milionów klientów Deutsche Telekom, albo GIODO apeluje: nie korzystajcie z danych z wycieku + czy było włamanie? (i setek innych, w tym takich o współpracy policji z serwisami aukcyjnymi, z koalicjami antypirackimi, etc.), to można dojść do wniosku, że wraz z globalizacją, wraz z wszechogarniającą internetyzacją gospodarki, wraz ze zwiększającą się wyspecjalizowaną tajemnicą i nimbem poufności "szczególnych sfer gospodarki", mających dla władz publicznych specjalne, strategiczne znaczenie - wraz z tym wszystkim pojawiła się też szczególna grupa ludzi: dobrze poinformowanych, zanurzonych w prywatno-publicznych, nieformalnych relacjach gospodarczo-technicznych... Których działalność wymyka się systemom kontroli społecznej.

Dodajmy do tego nowelizacje przepisów karnych, "które nie są zbyt precyzyjne" (por. Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b... oraz Zapraszam na burzę mózgów: argumenty przekonujące Pana Prezydenta do uruchomienia kontroli konstytucyjnej noweli kodeksu karnego), a okaże się, że to nie społeczeństwo kontroluje, a społeczeństwo jest kontrolowane...