Firmy antywirusowe w rozkroku wobec wizji policyjnych włamań

W Unii Europejskiej, a szczególnie w Niemczech i Wielkiej Brytanii, prawodawcy starają się wyposażyć organy ścigania w narzędzia prawne pozwalające na zdalną kontrolę komputerów obywateli. Skoro część obywateli będzie szyfrować dane, w Wielkiej Brytanii prawodawca poszedł jeszcze dalej (por. Szyfrujesz? Ujawnij klucz, albo więzienie.). Do publicznej dyskusji włączyły się przedsiębiorstwa, które oferują rozwiązania w dziedzinie bezpieczeństwa, w szczególności oprogramowanie antywirusowe, i ogłosiły, że dostarczane przez nich rozwiązania będą blokowały wszelkie próby zdalnego dostępu do komputerów użytkowników takiego oprogramowania, które będą podejmowane przez Policję. Przypuszczam, że może być to chwyt marketingowy, bo łatwo wyobrazić sobie zobligowanie takich przedsiębiorstw do pozostawiania w ich oprogramowaniu backdoor-ów, albo zakazanie im blokowania prób policyjnych włamań.

Jeśli nawet jest to komunikat marketingowy, to warto go odnotować. O sprawie pisze m.in. ZDNet, w tekście Security vendors: We would block police hacking. Dwie firmy - Kaspersky Labs oraz Sophos - oświadczyły publicznie, że nie zamierzają wprowadzać w swoim oprogramowaniu szczególnych ułatwień dla Policji, a jednocześnie, że dostarczane przez nie oprogramowanie zablokuje policyjne próby zdalnego dostępu do chronionych za pomocą oprogramowania tych firm komputerów.

Przy okazji tego oświadczenia pojawiają się interesujące dywagacje logistyczne: jeśli policja brytyjska (bo oświadczenie firm antywirusowych wydano z okazji niedawnych doniesień płynących z Wielkiej Brytanii) zgłosiłaby się do producentów oprogramowania chroniącego komputery ich użytkowników i zażądała instalowania backdoor-ów - pozostawienie w systemie dziury dla potrzeb Policji mogłoby być szybko wykorzystane przez twórców oprogramowania złośliwego (malware, malicious software). Ktoś znając parametry oprogramowania policyjnego mógłby podszywać się pod nie i instalować na chronionych komputerach programy prezentujące niechcianą reklamę, oprogramowanie do wysyłania spamu, włączać komputery do botnetów wykorzystywanych w celach przestępczych.

Historia zna już przypadki wykorzystywania tak pozostawionych luk w celach niezgodnych z prawem. W 2006 roku wybuchł skandal podsłuchowy w Grecji (por. Kto tego słucha i dlaczego może to robić?). Dzięki pozostawionej w centralkach telefonicznych dziurze "serwisowej" podsłuchiwano rozmowy prowadzone przez telefony komórkowe greckiego premiera Kostasa Karamanlisa, członków rządu, polityków opozycji, przedsiębiorców, a nawet telefony ambasady USA w Atenach. Wówczas chodziło o centralki komórkowe produkcji Ericssona, które mają "wymagane przez prawo interfejsy podsłuchowe zgodne ze standardem ETSI ES 201 671" (por. Jak podsłuchiwano polityków w Grecji, Tąpnięcie podsłuchowe we Włoszech, 76 milionów euro w sprawie greckiego podsłuchu i 7,36 miliona euro grzywny dla Ericssona za aferę podsłuchową).

I chociaż zdarzyło się już, że firmy antywirusowe w swoich aktualizacjach definicji "szkodliwego oprogramowania" same rozsyłały wirusy (por. Odpowiedzialność za LiveUpdate definicji malware), a problem odpowiedzialności prawnej za tego typu usługi nie doczekał się gruntownej analizy, a tym bardziej jakiejś utrwalonej linii orzecznictwa (oprogramowanie z reguły dostarczane jest "as is", a jego producent zastrzega wszędzie gdzie może, że nie ponosi odpowiedzialności za działania programu), to jednak kooperacja z "policyjnymi włamywaczami" nie poprawiłaby chyba rynkowej sytuacji przedsiębiorstw, których deklarowaną misją jest ochrona danych ich klientów, nie zaś pomoc w ich ujawnianiu.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Zostać "pryszczersem"

Chyba rzeczywiście jedynym sensownym rozwiązaniem i zabezpieczeniem w nieodległej przeszłości będzie używanie oprogramowania z otwartymi źródłami i staranne kontrolowanie pozostałego, w szczególności jego komunikacji ze światem.

Chciałbym przypomnieć, że

Chciałbym przypomnieć, że oprogramowanie Open Source wcale nie jest bardziej bezpieczne. Na poparcie swojej tezy, chciałbym przytoczyć przypadek profesora, który kazał swoim studentom wybrać dowolny projekt o otwartych, dostępnych w internecie źródłach i znaleźć w jego kodzie jakąś lukę. Statystyka była mordercza: w każdym projekcie luki znaleziono - także takie, które pozwalają na atak zdalny.

Konkludując, nawet jeśli taki Kaspersky ujawni źródła - 99,9% użytkowników nie pofatyguje się żeby w nie zajrzeć, a z pozostałej dziesiątej części procenta, kolejne 99,9% po code review nie znajdzie błędu...

Pewnie masz na myśli DJB

Pewnie masz na myśli DJB :)
Gdy istnieje dostęp do źródeł automatycznie powstanie "community", które będzie pilnowało bezpiecznych narzędzi. Środowisko internetowe automatycznie dokona adaptacji do nowej sytuacji.

Nie o błędy chodzi

Akurat nie chodziło mi o błędy, bo te były, są i będą w każdym oprogramowaniu, ale o całkowicie umyślnie umieszczone backdoory.

BTW będę zobowiązany, jeśli zechcesz podać jakieś URI do tego badania, o którym piszesz.

Proszę bardzo:

Proszę bardzo: Class digs into software flaws:

Hot on the heels of the previous story about Linux kernel bugs, Daniel J. Bernstein’s UNIX Security Holes class has uncovered a number of security flaws in application software for nix systems.
(...)

Masz rację, każde

Masz rację, każde oprogramowanie jest "dziurawe" i FLOSS na pewno nie jest tu wyjątkiem, a w przypadku niektórych mniejszych projektów może być jakościowo gorsze od swoich zamkniętych odpowiedników.

Jednak jednocześnie trudno jest mi wyobrazić sobie "rządowego backdoora" leżącego spokojnie w oficjalnym repozytorium i instalującego się wraz systemem, dla wszystkich lub dla tych którzy wybrali odpowiednią lokalizację systemu.

A nawet gdyby on się tam znalazł nie widzę możliwości aby wraz z nim nie pojawiła się informacja jak go nie instalować nawet jeśli będzie wpychał się na siłę.

NSAKEY

Jednak jednocześnie trudno jest mi wyobrazić sobie "rządowego backdoora" leżącego spokojnie w oficjalnym repozytorium i instalującego się wraz systemem

Pragnę przypomnieć sprawę tzw. NSAKEY, czyli dodatkowego klucza kryptograficznego zawartego w systemach Windows NT 4 Service Pack 5:

http://en.wikipedia.org/wiki/NSAKEY

a tu coś po polsku

To windows NT jest teraz

wariat's picture

To windows NT jest teraz Open Source?
AFAIK nie, a to tylko potwierdza co powiedziałem, wciśnięie backdoora do otwartego systemu jest praktycznie niemożliwe w sytuacji kiedy użytkownik ma pełną kontrolę nad instalowanymi składnikami systemu.

Windows JEST open source

To windows NT jest teraz Open Source?

W bodaj 2004 roku wyciekła część kodu źródłowego Windows NT 4 / 2000:

Hakerzy opublikowali kod źródłowy Windows

W powyższym artykule można znaleźć stwierdzenie, że "nie ma żadnych dowodów na przeciek kodu z sieci korporacyjnej firmy". Natomiast ja osobiście widziałem ten kod, jest on zresztą bardzo przydatny dla programistów Windows piszących na niskim poziomie - zamiast legalnie dekompilowac w tydzień biblioteki systemowe zgodnie z art. 75 2 3) ustawy o prawie autorskim, programiści mogą nielegalnie w kwadrans zerknąć w źródła systemu...

P.S. Pracownicy Microsoftu nie są bezkrytyczni co do jakości generowanego przez nich kodu - w kodzie źródłowym Windows można znaleźć różne zabawne komentarze typu "UGLY TERRIBLE HACK" czy "We are morons. We changed the IDeskTray interface between IE4" - więcej przykładów tutaj.

open source?

ksiewi's picture

Rozumiem, że niniejszy komentarz jest dość luźno rzucony. Niemniej jednak chciałbym zwrócić uwagę, że sama dostępność kodu źródłowego bez praw do jego zmian i rozpowszechniania nie pozwala określić programu mianem "open source".

Chciałbym przypomnieć, że

Chciałbym przypomnieć, że oprogramowanie Open Source wcale nie jest bardziej bezpieczne.

Ale przecież nie o to tu chodzi, tylko o łatwość w wykrywaniu nie tyle bugów, co właśnie backdoorów.
Jeśli ktoś chce uniknąć tajnych "przeszukań", to wybierze produkt, który ma backdoora, czy w którym intruz musi najpierw znaleźć lukę i się doń włamać.

99,9% użytkowników nie pofatyguje się żeby w nie zajrzeć, a z pozostałej dziesiątej części procenta, kolejne 99,9% po code review nie znajdzie błędu...

Takie wyliczenia rozumieć można wyłącznie jako deklarację światopoglądową. Zechce Pan wypowiedzieć się merytorycznie?

Ale przecież nie o to tu

Ale przecież nie o to tu chodzi, tylko o łatwość w wykrywaniu nie tyle bugów, co właśnie backdoorów.

Ale backdoor to z punktu widzenia odbiorcy oprogramowania, nic innego jak szczególny przypadek buga! Operujemy sformułowaniami backdoor, trojan, etc. Ale sprytnemu pentesterowi wystarczy znalezienie jednej, z pozoru normalnej funkcji w programie, która odpowiednio wykorzystana staje się - tada! - backdoorem - programista wcale nie musi sobie zdawać z tego sprawy w czasie pisania. Bug? Tak. Backdoor? Też.

Proszę zwrócić uwagę, że nikt zdrowy na umyśle nie zaszyje w kodzie aplikacji jawnie klasy BackDoor. Jak pokazuje historia, należy się raczej spodziewać np. pozornie dobrej jakości generatora liczb pseudolosowych. Z naciskiem na "pozornie dobrej" :>

Co do merytorycznej sfery wyliczeń - proszę prześledzić doniesienia o lukach w aplikacjach FLOSS-owych. Ze szczególną uwagą należy sprawdzić a) datę dodania fragmentu kodu do repo z b) informacją o znalezieniu luki. Proponuje zacząć od niedawnego błędu w OpenSSL-u.

Ale backdoor to z punktu

wariat's picture

Ale backdoor to z punktu widzenia odbiorcy oprogramowania, nic innego jak szczególny przypadek buga!

Różnica jest zasadnicza jak sądzę. Buga pozwalającego na przejęcie kontroli nad systemem może wykorzystać każdy (kto potrafi). Z Backdoora może korzystać tylko ktoś kto o nim wie i zna "hasło dostępu".

I myślę, ze w tym wątku słowo backdoor pojawia się właśnie w tym znaczeniu. Proces zainstalowany przez kogoś celowo w celu ominięcia zabezpieczeń przez osoby uprawnione do jego wykorzystania.

Efekt dla użytkownika systemu jest być może bardzo podobny, ale wydaje mi się, że aby nie zaciemniać dyskusji powinno się jednak te dwie sprawy (bug vs backdoor) jakoś rozróżniać.

Owszem, różnica

Owszem, różnica zasadnicza. O backdoorze ktoś wie od samego początku i w każdej chwili może go wykorzystać. Pytanie nie brzmi, czy ktoś znajdzie krytyczną lukę i będę potencjalnie zagrożony, tylko czy ktoś znający "lukę" włamie się akurat do mnie.

Analogiczna różnica jest między produktem który - ciągle rozwijany - _może_ mieć jakąś groźną lukę, a takim, w którym ta luka jest ficzerem.

Czas na delegalizację antywirusów?

Czyżby następnym krokiem miała być delegalizacja programów antywirusowych, a przynajmniej takich bez państwowych certyfikatów?

rms i książki

Nasuwa mi się analogia do prawa do czytania RMS'a http://www.gnu.org/philosophy/right-to-read.pl.html Zaczynają od legalnego włamywania się, potem zakazują oprogramowania chroniącego przed tym, a potem już tylko licencje na oddychanie będą sprzedawać.

Prawo a święta inkwyzycja

Chyba jedynym sposobem by to zrealizować to oprogramowanie zrealizowane na podstawie otwartych technologii i źródeł wykorzystujace certyfikaty. Każdy "posterunek" policji wówczas byłby identyfikowany przypisanym mu certifikatem.

Dodatkowo użytkownik powinien być informowany na bieżąco o aktualnie przeprowadzanej kontroli. By móc ewentualnie podjąć odpowiednie działania.
Wydaje mi się że powinno to być trochę tak jak z dorgówką, nie powinna wyskakiwać zza krzaków, a gdy już wyskakuje a my mamy wątpliwości co do jej autetyczności udajemy się na posterunek policji.

To jak by to mogło wyglądać, w praktyce będzie to wieczna walka na technologie na triki itp. zupełnie tak samo jak z piciem alkoholu podczas prohibicji.
Czemukolwiek nie miało by to służyć to jak zawsze będę zdania, że powinniśmy zmieniać rzeczywistość by pewne zjawiska były mniej szkodliwe lub nie miały okoliczności do zaistnienia niż ciągła walka z skutkami tych zjawisk (mam na myśli przestępstwa). To do nikąd nie prowadzi. Jeżeli nasza cywilizacja będzie dalej brneła w tym kierunku to na każdego "pracującego" na utrzymanie nas człowieka będzie przypadać kilku policjantów oraz prawników, którzy śledzą każdy aspekt jego życia czy aby na pewno nie łamie prawa.
Pamiętajmy o tym, że jesteśmy ludzmi w każdym wymiarze.
W pewnym momencie stracimy nad tym kontrolę ustawnaiwając wciąż to nowe prawa.
Nie jesteśmy w stanie tego opanować.
Jeszcze trochę a będą wydawane licencje na posługiwanie się internetem, podobne do zezwoleń na broń. Stracimy zdolność do samodzielnej oceny sytuacji a wówczas to już będzie totalna przegrana dla naszej wolności intelektu i osobistej opowiedzialności. Leglislacja każdej części naszego życia na dłuuugą metę prowadzi do zniewolenia, ubezwłasnowolnienia oraz braku zdolności do samodzielnego myślenia. Używajmy naszej wyobraźni póki ją mamy i nie dopuśćmy do tego.

Wiem brzmi patetycznie, ale zatrważające jest to jak wiele ludzi wierzy w prawo zupełnie ignorując zdrowy rozsądek oraz inne możliwości kontrolowania przyjaznej rzeczywistości. Takie pomysły jak ten to święta inkwizycja dzisiejszych czasów.

Niedawno weszło w życie

Niedawno weszło w życie prawo, że posiadanie programów przystosowanych do popełniania przestępstw, np. programów hakerskich i wirusów komputerowych jest karalne. Nie ma od tej zasady żadnych wyjątków. W takim razie czy w przypadku, gdy mój komputer zostanie zaatakowany przez spyware czy inny syf i znajdzie się to na moim twardym dysku jestem przestępcą? Z przepisów wynika że tak. Firmy produkujące antywirusy również popełniają przestępstwo, ponieważ posiadają kopie wirusów. Zgadza się?

Nie zupełnie się zgadza

VaGla's picture

Jeśli szanowny przedpiszcza ma na myśli nowelizację, o której mógł przeczytać m.in. w tekście 18 grudnia 2008 - potwierdzenie delegalizacji internetu w Polsce, to proszę zwrócić uwagę, że nowelizacja miała charakter kosmetyczny, a norma prawna wynikająca z przepisu art. 269b KK ma nieco dłuższą historię. Jednocześnie nie jest prawdą, że nie ma "żadnych wyjątków", o czym można przeczytać w tekście Czy sprawdzając dziury CERT sprawdza też legalność witryn rządowych?, w którym cytuję stosowny fragment ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu:

W zakresie swojej właściwości Agencje mogą uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać i przetwarzać.

Ten przepis jest tak skonstruowany, że w bardzo szerokim zakresie daje funkcjonariuszom ABW i Agencji Wywiadu wolna rękę w zakresie przetwarzania informacji, wyjmując ich również, w pewnym zakresie, spod działania przepisów karnych związanych z przetwarzaniem informacji.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Tak, to prawda, ale mi

Tak, to prawda, ale mi chodziło głównie o spojrzenie na to od strony zwykłego użytkownika internetu, którego komputer padł ofiarą ataku wirusa i siłą rzeczy taki użytkownik posiada nielegalne oprogramowanie. Przepis wskazuje na to, że taki użytkownik również może ponieść odpowiedzialność i to jest właśnie zastanawiające...

Quo Vadis?

W świetle analizy powyższego, jak i odsyłaczy można uznać Orwell'a za niepoprawnego optymistę...

Czemu na tym poprzestać?

Naturalny kolejny krok to delegalizacja systemów, które nie będą podatne na taki zdalny dostęp. Może któregoś dnia doczytamy się w konstytucji zapisu o tym, że wolność obywatela ogranicza się do wyboru między Windows Vista Home Basic z dodatkiem Service Pack 1 i Windows Vista Business :)

Interesuje mnie też, w jaki sposób organy uprawnione do takich przeszukań określałyby przed przystąpieniem do czynności, czy mają do czynienia ze sprzętem prywatnym pana Kowalskiego, czy z maszyną służbową, znajdującą się w jego biurze bądź serwerem w kolokacji?

Jeśli bowiem wolno byłoby przeszukiwać każdy komputer bez wyjątku, to co z zagranicznymi firmami, które część sprzętu posiadają w Polsce i co z obywatelami Polski, którzy wykorzystują komputery poza naszymi granicami?

I w jaki sposób - bez czynnej współpracy ze strony przeszukiwanego - oprogramowanie takie miałoby spenetrować bramki NAT i maskarady, powszechnie stosowane w sieciach domowych?

Dla mnie brzmi to jak scenariusz do ekranizacji "1984", bo mam spore wątpliwości co do technicznej wykonalności i możliwości egzekwowania takich przepisów. Z jednej strony pewnych zabezpieczeń nie da się łatwo przełamać, z drugiej nie można ustawowo nakazać obywatelowi współpracy. Przyczyna jest prosta - który sąd podejmie się rozstrzygać, czy dany sprzęt jest "komputerem" w rozumieniu tej ustawy w czasach, gdy telefony, kuchenki mikrofalowe i tostery posiadają własne systemy operacyjne? Kto potem podejmie się implementować stosowne interfejsy w piekarnikach, samochodach i pralkach?

Pierwsze kroki w tym kierunku już zrobione

Naturalny kolejny krok to delegalizacja systemów, które nie będą podatne na taki zdalny dostęp. Może któregoś dnia doczytamy się w konstytucji zapisu o tym, że wolność obywatela ogranicza się do wyboru między Windows Vista Home Basic z dodatkiem Service Pack 1 i Windows Vista Business :)

Pierwsze kroki w tym kierunku zostały podjęte. Na razie w USA.

W skrócie: skazany za przedpremierową dystrybucję „Gwiezdnych Wojen” administrator serwisu torrentowego został zmuszony do korzystania z Windows, bo tylko dla tego systemu dostępne było kuratorskie oprogramowanie szpiegujące. (więcej inforamcji: IDG)

O tym również

VaGla's picture

O tym również w tekście Za torrenty skazany na Windows
--
[VaGla] Vigilant Android Generated for Logical Assassination

Programy zagraniczne

Jeśli firmy produkujące odpowiednie oprogramowanie będą miały mieć kłopoty z policją, której uniemożliwiać będą dostęp do komputerów, to po prostu przeniosą się zagranicę Wielkiej Brytanii. I brytyjska policja nic nie poradzi na brak współpracy firmy z Cypru, Rosji, Malty czy Polski. Tak samo jak polska policja nic nie poradzi na odmowę udostępnienia danych ze skrzynki mailowej prowadzonej w serwisie gmail.com

nie tak prosto

maniak713's picture

Będą musiały się wynieść poza UE, żeby ich pracowników nie dopadnięto "europejskim nakazem aresztowania"[1], a to już problem, bo może się okazać, że pracownicy nie chcą wyjechać do jakiegoś "dzikiego" kraju (i to na stałe).

fn1. za współudział w utrudnianiu śledztwa - na pewno jakiś podobny przepis w UK i Niemczech mają

tak, czy inaczej to mógłby być dosyć wazny wątek "gospodarczy"

Dla większych "globalnych" koncernów nie jest to wcale taki duży problem. Z produkcją przysłowiowych butów poza granicami UE poradziły sobie całkiem nieźle. W przypadku oprogramowania może być jeszcze prościej, bo jakby nie patrzeć, to w głównej mierze jest to tylko informacja, więc jej przesłanie na drugi koniec świata jest prostsze, niż fizyczne przesłanie pary butów :-). Za to może być to problem dla nas wszystkich. Jeżeli takie firmy stwierdzą, że koszt produkcji softu ze względu na "dziwne" prawo w danym kraju jest zbyt wysoki i się wyniosą gdzieś indziej, to automatycznie jest to równoznaczne ze stratą poniesioną przez wszystkich mieszkańców tego kraju (chociażby poprzez zmniejszenie popytu na informatyków, czy też płacenie podatków w innym miejscu).

Oczywiście problem ten nie dotyczy tylko firm z branży informatycznej lecz tak właściwie każdej firmy. Nie chcę nikogo oskarżać, ale zasada ograniczonego zaufania wobec wszystkich nakazuje mi brać pod uwagę możliwość wycieku tajemnic przedsiębiorstwa przez właśnie taki kanał.

Swoją drogą, to nawet ciekawe, że przy okazji tego typu dyskusji stosunkowo rzadko podejmowane wątki bardziej gospodarcze. Np. jakoś nigdy nie słyszałem dywagacji, na temat, kto straci na tym, jakby tak nagle odciąć od netu wszystkich piratów. A podejrzewam, że wiele podmiotów na tym by straciło... Inne pytanie jest takie, jak takie odcięcie wpłynęłoby na wdrażanie projektów z zakresu e-gov :-)

obciachowe odcinanie

maniak713's picture

Np. jakoś nigdy nie słyszałem dywagacji, na temat, kto straci na tym, jakby tak nagle odciąć od netu wszystkich piratów.

Łańcuszek bankructw ISP i spadki notowań producentów sprzętu. W końcu bądźmy realistami, ile osób płaciłoby za łącza po kilka Mbps, jak nie do ściągania? A jak ludzie nie ściągają, to mniej dysków, nagrywarek i DVD-RW kupią.

Nastąpi tez spadek sprzedaży CD i (w mniejszym stopniu) DVD, bo dotąd ludzie czasem ściągnąwszy jakiś kawałek zachwycali się nim i kupowali całą płytę - jak im to uniemożliwić, to kupią mniej bo będą znali mniej wykonawców.

Inne pytanie jest takie, jak takie odcięcie wpłynęłoby na wdrażanie projektów z zakresu e-gov :-)

Firma P lub inna typowo obstawiająca przetargi na realizację i tak by swoje dostała. Natomiast osoby odpowiedzialne miałyby komfort - mniej internautów oznacza mniejszy nacisk na terminowość i samą realizację...

miałem na myśli "dalsze" powiązania

Przykład pokazany przez Pana Piotra dość dobrze uwidacznia fakt, że tworząc prawo skierowane na jeden obszar Internetu można wywołać nieoczekiwane skutki w innym jego obszarze. Zakładam dobre intencje tworzących prawo, więc przyjmę założenie, że akurat to dyskutowane tutaj prawo ma służyć walce z terroryzmem (a nie tworzeniu rzeczywistości na modłę orwellowską). Jednakże, jak ukazane zostało w tym artykule, głos zabrali przedstawiciele przemysłu tworzącego oprogramowanie zwalczające wirusy (i inne tego typu robaki). Na pierwszy rzut oka branża softu antywirusowego jest zupełnie nie powiązana z terroryzmem. A jednak branża antywirusowa postanowiła zabrać głos w tej kwestii.

Dlatego też nie do końca miałem na myśli rozważania w stylu, jak odcinanie piratów od Internetu wpłynie na sprzedaż płyt CD (chociaż też są ciekawe), a bardziej na rozważania w stylu: Jak odcinanie piratów od Internetu wpłynie na służbę zdrowia/producentów obuwia/instalatorów drzwi/... (tam też w końcu wykorzystuje się Internet)?

Na marginesie, to cała ta sytuacja pokazuje niebezpieczeństwa i poziom skomplikowania tworzenia prawa związanego z Internetem. Potrzebna przy tym może być zmiana sposobu myślenia na takie, które zapewne ktoś już kiedyś szumnie nazwał "sieciowym". Aaaa... i teoria chaosu może mieć tu dobre zastosowanie ;-).

szewc bez internetu chodzi

maniak713's picture

Zakładam dobre intencje tworzących prawo, więc przyjmę założenie, że akurat to dyskutowane tutaj prawo ma służyć walce z terroryzmem (a nie tworzeniu rzeczywistości na modłę orwellowską).

Może i są tam dobre intencje, w końcu z dobrych intencji już nie jedna katastrofa albo rzeź wynikła...
Natomiast terroryzmu, tego prawdziwego, bym w to nie mieszał. Terroryzm to dziś takie słowo-wytrych, podobnie jak "obrona dzieci", służące głównie do uzasadniania pewnych antydemokratycznych działań. Tego typu działania nie przeszkadzają prawdziwym terrorystom, natomiast ograniczają prawa normalnych ludzi.

A jednak branża antywirusowa postanowiła zabrać głos w tej kwestii.

Branża chce zapewnić klientów, że ma zamiar im dostarczyć towar pełnowartościowy. Szczególnie po wypowiedziach (jakiś czas temu) w sprawie "Magic Lantern" (podobny soft tylko amerykański, niektóre tamtejsze firmy mętnie się wypowiadały, z czego komentatorzy wyciągnęli wniosek, że produkty tych firm nie będą ML wykrywać).

Jak odcinanie piratów od Internetu wpłynie na służbę zdrowia/producentów obuwia/instalatorów drzwi/... (tam też w końcu wykorzystuje się Internet)?

Nieznacznie. Działalność, która nie jest zależna bezpośrednio od Internetu jako takiego, może przeżyć bez niego. Szewcy czy mechanicy samochodowi mogą bez sieci działać, mają przecież nadal fax, telefon i pocztę (nieelektroniczną) - więc mogliby działać nawet gdyby Internet wyłączono w całości.
Odcięcie pewnej grupy potencjalnych klientów głównie obniży skuteczność reklamy w sieci (mniej odbiorców reklamy, mniej potencjalnych klientów), ale niekoniecznie w znaczącym stopniu. Zależy to zresztą od intensywności odcinania.

Potrzebna przy tym może być zmiana sposobu myślenia na takie, które zapewne ktoś już kiedyś szumnie nazwał "sieciowym".

Myślę że wystarczyłoby pamiętać o zasadzie nieprzewidzianych konsekwencji. W wielu działaniach rządów, parlamentów i urzędów niższej rangi widać brak tej świadomości, że niby słuszna decyzja musi czasem przynieść szkodliwe efekty uboczne.

'1984' was written as a warning, not HOW-TO manual

maniak713's picture

Sprawa jest poważna. Jeśli tego typu pomysły wejdą w modę - a jest to prawdopodobne - to wkrótce może się okazać, że kolejna wersja Windows (albo service pack) zawiera taką niespodziankę. I "jabłuszko" też może być z robaczkiem, a Linux oficjalnie dystrybuowany z paroma "bonusowymi" pakietami. Jeden czy dwa rządy być może nie będą w stanie tego osiągnąć, ale jeśli zabierze się za to Unia... to może się okazać, że dostaniemy najpierw "dodatkową funkcjonalność"(w odróżnieniu od "rozszerzonej funkcjonalności", "dodatkowa" oznacza coś, co nie jest w interesie użytkownika - np. chory DRM albo właśnie policyjny rootkit) a potem dyrektywę, nakazującą wprowadzić w państwach podległych prawo karzące za usuwanie. Antywirusy i podobny soft nie ukrywający szpiegobotów się też zdelegalizuje.

Efekt będzie oczywiście mocno różnił się od oczekiwań rządów wprowadzających systemy komputerowej inwigilacji. Prędzej czy później (piwo stawiam że raczej prędzej) szczegóły i hasła/kody/klucze/whatever dostępowe wyciekną i trafią do podziemia kryminalnego. Zombie w każdym domu, nieautoryzowane transakcje na każdym koncie... A osoby mające przestępcze zamiary bardzo szybko nauczą się jak sobie oczyścić komputer - albo jak na starym pececie reinstalować Windows XP albo inną przedinwigilacyjną wersję innego systemu.

Terroryści i mafie powrócą zaś do sprawdzonych sposobów - zaufanych posłańców, walizek z podwójnym dnem, przekupywania i zastraszania śledczych...

Przeraża mnie sytuacja, w której rządy teoretycznie demokratyczne zabierają się do stosowania metod dotąd używanych przez przestępców. Szczególnie smutne jest patrzenie, jak Wielka Brytania schodzi na psy (choć to powiedzenie obraża nawet najbardziej zapchlone kundle), to był jeszcze nie tak dawno taki normalny i rozsądny kraj... Bo po Niemcach, niestety, można się różnych totalitarnych pomysłów spodziewać. A to szpiegowanie komputerów, a to powrót do metod STASI... Ciekawe co z tych pomysłów zaadaptują nasi dzielni prawodawcy?

PS.
W kwestii technicznej wykonalności: od tego są "tajne przeszukania", tajna policja zakradnie ci się do domu, włamie lokalnie do komputera i zainstaluje szpiega. FBI robiło (i nadal robi) takie operacje w USA, kiedyś tak szpiegowali "wywrotowców", dziś głównie mafię. Wygooglaj sobie np KeyGhost - takie coś się dyskretnie wtyka z tyłu, potem tylko trzeba wyciągnąć i wszystkie hasła jak na dłoni. Na to NAT i firewall nie pomoże.

PPS.
Jeszcze rok temu sam bym uznał takie pomysły za chore majaczenia paranoików od teorii spiskowych... Tymczasem okazuje się, że może to nie były takie bzdury tylko prorocze przewidywania.

Jest jeszcze jeden kłopot.

wariat's picture

Jest jeszcze jeden kłopot. Jeśli standardowa dystrybucja linuksa ma zawierać backdoora to jest on jeden tak? Znaczy wpuszcza każdego kto przejdzie weryfikację tak?
Ale repozytorium plików jest jedno dla wszystkich, a to z kolei powoduje, że bez żadnego przełamywania zabezpieczeń służby specjalne każdego kraju mają dostęp do komputera ustawionego w każdym innym kraju.

Nawet jeśli więc byłoby prawdopodobnym wciśnięcie backdoora użytkownikom to czy ktoś wierzy, że rządy wszystkich krajów na wzajem zgodzą się, że każdy może przeglądać wszystko?
Tu nie windows gdzie każde locale ma własne płytki instalacyjne mogące różnić się zawartością. Zmiana jednej zmiennej środowiskowej i po przebudowaniu mogę mieć taki sam system jak w USA, Wielkiej Brytfannie, Francji czy Rosji, a to wszystko nie z podobnych a z tych samych paczek.

Oczywiście może być tak, że mój rząd nakaże mi zainstalować jakieś /bin/backdoor-pl i będzie mógł mnie ukarać jeśli podczas rewizji odkryje, że w moim komputerze nie ma takiej paczki. Ale halo ... przecież podobno celem jest ściganie przestępców tak? Oni robią zwykle wiele gorszych - acz tak samo zakazanych - rzeczy.

powoduje, że bez żadnego

maniak713's picture

powoduje, że bez żadnego przełamywania zabezpieczeń służby specjalne każdego kraju mają dostęp do komputera ustawionego w każdym innym kraju.

Powoła się europolicję i eurowywiad - i po problemie. Na zlecenie krajowych policji (przez jakiś czas jeszcze będą istnieć osobne państwa) euroszpicle sprawdzą.

Oczywiście może być tak, że mój rząd nakaże mi zainstalować jakieś /bin/backdoor-pl i będzie mógł mnie ukarać jeśli podczas rewizji odkryje, że w moim komputerze nie ma takiej paczki.

Dobrze kombinujesz... Tylko to nie będzie tak otwarcie. Fachowcy sobie wytropią, typowy użytkownik już niekoniecznie (będzie musiał ściągnąć zbrodniczo nielegalną instrukcję z nielegalnej strony, zapewne hostowanej we wrogim kraju).

Ale halo ... przecież podobno celem jest ściganie przestępców tak? Oni robią zwykle wiele gorszych - acz tak samo zakazanych - rzeczy.

Dla pewnych ludzi wszyscy są przestępcami - ja, ty, sąsiadka z dołu... Tylko jeszcze nie ma gotowych dowodów albo (niedopatrzenie) nie uchwalono jeszcze prawa, które złamaliśmy[1]. Poza tym trzeba pamiętać, że straszny zbrodniarz internetowy, który bestialsko naruszył prawa autorskie ze szczególnym okrucieństwem rozpowszechniając dyskografię "Ich troje" jest znacznie niebezpieczniejszy od, dajmy na to, gwałciciela, złodzieja czy bandyty dokonującego rozbojów, sądząc z trendów do podwyższania kar i wymyślania nowych sposobów zwalczania.

Komputer jest wymienionym w KK narzędziem niezbędnym do popełniania przestępstw komputerowych - więc każdy posiadacz takiego narzędzia jest, z definicji, podejrzany albo co najmniej "w zainteresowaniu". Tak na wszelki wypadek.

fn1. "Nullum crimen sine lege" jest passe, jak widać choćby na przykładzie dopalaczy.

Powoła się europolicję i

wariat's picture

Powoła się europolicję i eurowywiad - i po problemie. Na zlecenie krajowych policji (przez jakiś czas jeszcze będą istnieć osobne państwa) euroszpicle sprawdzą.

Nie jestem fanem żadnych teorii wielkiego spisku, ale jeśli mówimy o globalnym sposobie na inwigilację komputerów, czyli backdoorze nie tylko w EU, ale także w USA, Rosji i gdziekolwiek. Albo czegoś nie rozumiem do końca, albo taki wspólny backdoor będzie pozwalał przeglądać Rosjanom komputery Brytyjczyków, a tym ostatnim komputery Amerykanów. No jakoś nie wierzę, żeby oni na to poszli.

Cały czas wychodzę z punktu, że skoro ma się on znaleźć w repozytorium linuksowym to z założenia musi być on wspólny dla wszystkich, ergo daje służbom wszystkich krajów dostęp do wszystkiego, bo internet jest jeden. Alternatywne rozwiązanie to inwigilowanie tylko użytkowników systemów zamkniętych czyli takich które mogą być rozprowadzane z różnymi backdoorami w zależności od wersji językowej, co zresztą też nie rozwiązuje problemu do końca bo wiele osób korzysta na przykład z windows w wersji en_US.

Dobrze kombinujesz... Tylko to nie będzie tak otwarcie. Fachowcy sobie wytropią, typowy użytkownik już niekoniecznie (będzie musiał ściągnąć zbrodniczo nielegalną instrukcję z nielegalnej strony, zapewne hostowanej we wrogim kraju).

Kłopot jest innej natury jak mi się wydaje. Mnie osobiście co najwyżej denerwowałoby, że ktoś może mi grzebać po dysku, problem dotyczy tych którzy coś do ukrycia mają, a skoro tak to co ich powstrzyma przed pobraniem "zbrodniczej instrukcji" i wykonania "killall backdoor"? [1]

Moim zdaniem po pierwsze prawodawca wyobraża sobie, że może więcej niż może na prawdę. Zakłada się, że taka inwigilacja każdego komputera podłączonego do sieci jest możliwa, moim zdaniem nie jest.
Po drugie jestem przekonany, że nie ma sposobu na dodanie backdoora (programu wpuszczającego na hasło) do repozytorium linuksowego (czy innego Wolnego systemu), a nawet jeśli to nie będzie on spełniał wymagań stawianych przez rządy.

Myślę, że cały pomysł ostatecznie sprowadzi się nie tyle do "otwartego" instalowania jakichkolwiek bocznych furtek w systemach wszystkich użytkowników, a po prostu powstaną regulacje w jakiś sposób ułatwiające "papierkową robotę" przy załatwianiu zgody na normalne bezczelne włamanie do systemu i tę będzie się wykorzystywać nie przeciw "Kowalskiemu" który kupuje muzykę w sklepie BitTorrent, a tylko w sprawach większego kalibru gdzie "opłaca się" angażować duże środki dla przejrzenia listy plików.

[1] opowiadam cały czas o trywialnym /bin/backdoor mając świadomość, że takie rzeczy się ukrywa ale to, że coś jest ukryte nie zmienia faktu, że jak się wie co usunąć robi się to tak samo łatwo jak gdyby ukryte nie było.

Albo czegoś nie rozumiem do

maniak713's picture

Albo czegoś nie rozumiem do końca, albo taki wspólny backdoor będzie pozwalał przeglądać Rosjanom komputery Brytyjczyków, a tym ostatnim komputery Amerykanów. No jakoś nie wierzę, żeby oni na to poszli.

Nie sądzę, by to miał być jeden ogólnoświatowy backdoor. Tzn sam soft może być jeden, ale wyposażony w hasło/kod dostępowy właściwy dla danego państwa (albo bloku). Bo oczywiście Amerykanie nie zgodzą się na to, żeby Rosjanie im szpiegowali - i vice versa. Może ogłoszą po prostu nowy standard ISO na "program do kontroli zawartości komputerów przez uprawnione służby"? Ale najprawdopodobniej a) każdy sobie wydłubie własne rozwiązanie i b) ze względu na swoją szaloną popularność wśród ciemnego narodu, Linux zostanie znów pominięty...
Będą się natomiast dzielić uzyskanymi danymi.

Moim zdaniem po pierwsze prawodawca wyobraża sobie, że może więcej niż może na prawdę.

Oczywiście! Jest to typowy brak kontaktu z rzeczywistością, występujący wśród urzędników i polityków. I magiczne podejście do technologii - zamówi się, to ktoś wyprodukuje; coś na pewno zostanie wyprodukowane horrendalnym kosztem, ale czy to w ogóle będzie działać na komputer jako tako zabezpieczony? Wtedy się "załata" problem techniczny nakazem instalowania.

Po drugie jestem przekonany, że nie ma sposobu na dodanie backdoora (programu wpuszczającego na hasło) do repozytorium linuksowego (czy innego Wolnego systemu), a nawet jeśli to nie będzie on spełniał wymagań stawianych przez rządy.

Otóż umieścić się da, jeśli twórcy danej dystrybucji zostaną postawieni przed wyborem dodać albo podlegać szykanom, to szybko się okaże, że nie tak wielu jest gotowych zwiedzać cele dla czyjejś wolności.
Co do skuteczności, pod Linuxem czy BSD będzie ona niewielka, bo systemy są zbyt otwarte i na zbyt wiele pozwalają użytkownikowi, więc wiadomo że zablokuje albo wsadzi w maszynę wirtualną.

Myślę, że cały pomysł ostatecznie sprowadzi się nie tyle do "otwartego" instalowania jakichkolwiek bocznych furtek w systemach wszystkich użytkowników, a po prostu powstaną regulacje w jakiś sposób ułatwiające "papierkową robotę" przy załatwianiu zgody na normalne bezczelne włamanie do systemu[...]

To idzie, na razie w stronę stworzenia podstaw prawnych do włamywania się w ogóle (dotąd stosowanie takich metod było wątpliwie legalne). To osiągnięto w Niemczech: dopuszczalność prawną włamów w celu inwigilacji i przeszukania. Podobnie przedstawiają się cele rządu w Anglii.
Więc mamy krok pierwszy: legalizacja. Zaraz po tym musi nastąpić krok drugi: budżetowanie i zlecenie produkcji odpowiedniego softu. Do tego momentu jeszcze nie jest tak strasznie, w końcu ma to być używane wobec podejrzanych o przestępstwa (czyli każdego, bo niewielu jest takich, co nigdy ani jednego wareza nie ściągnęli albo DeCSS nie mają). Faza pierwsza projektu...

Ja się jednak obawiam, że będą następne kroki, rozszerzanie kategorii osób poddawanych sprawdzeniu (obniżające się standardy poszlak uprawniających do zastosowania backdoora) aż do uznania, że wszystkich trzeba mieć na oku. Taki ogólny trend wyczuwam, do inwigilacji i kontroli.

A co z danymi firm, czy będą też

szpiegowane?
Trzeba będzie chyba mieć te dane na drugim komputerze - nie podłączonym do internetu - i w postaci zaszyfrowanej.

firma to prawie jak gang!

maniak713's picture

Oczywiście!

Nie wiem czy wiesz ale weszły niedawno przepisy, że ABW i podobne instytucje będą mogły bezpośrednio, bez żadnej kłopotliwej procedury, otrzymywać od banków wyciągi transakcji wszystkich prowadzących działalność gospodarczą.

Każdy jest podejrzany. Każdy. Wróg czai się wszędzie i nikogo nie można pominąć w inwigilacji.

Złamanie reguł demokratycznego państwa.

Skończy się na tym że ludzie będą mieli osobne komputery do pracy (off-line) i osobne komputery "puste" do przeglądania internetu. Czy policja włamie się w tej sytuacji do mieszkania osoby? A firewall będzie jak w popularnym polskim filmie "Rozmowy kontrolowane" wypisywał komunikat "Połączenie kontrolowane".

Proszę, proszę! :/

Naturalną, ewolucyjną konsekwencją restrykcji jest, nazwijmy to umownie, "wolnościowa szara strefa". Wydaje się rozsądnym używać mózgu nie stricto do regulowania procesów metabolicznych w organizmie (pozaświadomie) a obecna praktyka szeregu europejskich i nie tylko ustawodawców dowodzi czegoś wprost przeciwnego! Takie praktyki jak opisane, zalinkowane komentowane przez szanownych przedpiszczów prowadzą wprost do ukonstytuowania ograniczeń. Konstytucyjnych i w oparciu o Deklarację Praw Człowieka w zakresie podstawowych swobód i praw jakim są m.in. wolność wyznania, słowa, decydowania, etc. Czyż nie? Co na to i jaką podejmą strategię takie instytucje jak ETCz i Helsińska Fundacja, tudzież inne? Czy usankcjonują inwigilację i manipulację danymi w imię powszechnego bełkotu o terroryzmie, dzieciach, bezpieczeństwie itp?

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>