Τον Iούνιο του 2012 ένας Ελληνας και ένας Βρετανός δημοσιογράφος συνεννοούνται μετά παρότρυνση του συμβούλου ασφαλείας του δημοσιογραφικού μέσου για το οποίο εργαζόταν ο δεύτερος, να «σκηνοθετήσουν» μια συνάντηση με «πηγή» που ενδιέφερε μεγάλη ελληνική επιχείρηση σε ένα ξενοδοχείο του Συντάγματος. Στέλνουν αλλεπάλληλα sms μεταξύ τους μέχρι το «ψάρι να τσιμπήσει» και εντοπίζουν λίγα λεπτά πριν από τη συνάντηση με την υποτιθέμενη «πηγή», την ομάδα των ανδρών που τους παρακολουθεί. Ενας από αυτούς συλλαμβάνεται. Αυτό που γνώριζε ο σύμβουλος ασφαλείας του Βρετανού δημοσιογράφου –ότι η υποκλοπή sms είναι τόσο εύκολη όσο «να φάει μια κότα καλαμπόκι»– χωρίζεται στην «προ Σνόουντεν και στη μετά Σνόουντεν εποχή», λέει στην «Κ» πρώην αξιωματούχος των ελληνικών υπηρεσιών ασφαλείας. Το 25% των χρηστών ηλεκτρονικών υπολογιστών άρχισε μετά τις αποκαλύψεις του Σνόουντεν να χρησιμοποιεί πιο πολύπλοκους κωδικούς πρόσβασης σε λογαριασμούς emails ή να τους αλλάζει συχνότερα, το 34% άρχισε να προστατεύει με επιπλέον μέτρα τις ηλεκτρονικές – ψηφιακές του πληροφορίες και το 19% άρχισε να κάνει το ίδιο με τους λογαριασμούς facebook ή Twitter.
Στις 4 Οκτωβρίου οι δικαστικές αρχές της Βιρτζίνια κάλεσαν την εταιρεία Open Whispers Systems, που αναπτύσσει το App Signal, μια κρυπτογράφηση ανοιχτής πηγής (σ.σ.: δηλαδή όχι εμπορικά προστατευμένου λογισμικού) να παραδώσει στοιχεία (metadata) δύο χρηστών του συγκεκριμένου λογισμικού για μια έρευνα σε ομοσπονδιακό επίπεδο. Η εταιρεία, χρησιμοποιώντας την Aμερικανική Ενωση Yπεράσπισης Πολιτικών Ελευθεριών (ACLU), προσέφυγε στα δικαστήρια για να αντιμετωπίσει το αίτημα. Σε αντίθεση με άλλα συστήματα, όπως το WhatsApp της Facebook, δεν κρατάει και δεν αποθηκεύει στοιχεία χρηστών του συστήματός της ούτε και λίστες εκείνων με τους οποίους ο χρήστης επικοινωνεί. Ετσι, τα στοιχεία που παρέδωσε στις Αρχές αφορούν το πότε επικοινώνησαν οι δύο συγκεκριμένοι χρήστες για τελευταία φορά.
Για τη συγκέντρωση τέτοιων στοιχείων στις ΗΠΑ συνήθως χρειάζονται εντάλματα έρευνας υπογεγραμμένα από δικαστή (εισαγγελέα). Αλλά τα λεγόμενα δεδομένα επικοινωνίας (ποιος μιλάει με ποιον, πόσο συχνά, metadata) μπορούν να αποκτηθούν και με μια απλή κλήτευση για παροχή στοιχείων. Με τον σχετικό νόμο, που είχε ψηφισθεί το 1986, το Kογκρέσο έδινε τη δυνατότητα να κατάσχονται από τις Αρχές «ιστορικά αρχεία επικοινωνιών», αλλά εξαιρούσε τα στοιχεία επικοινωνίας των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Πάντως, ο Αλ Γκιντάρι επικεφαλής του πανεπιστημίου Στάνφορντ «για την ιδιωτικότητα στο Διαδίκτυο και στην κοινωνία» υποστηρίζει ότι η νομοθεσία αυτή αναφέρεται σε έναν τεχνολογικό κόσμο πριν από τη συγχώνευση φωνής και δεδομένων.
«Εχουμε μια “μαύρη” τρύπα στο σημείο αυτό» παραδέχθηκε μιλώντας στην «Κ», πρώην μέλος της αρχής προστασίας απορρήτου τηλεπικοινωνιών στην Αθήνα, που είχε διαδραματίσει σημαντικό ρόλο στην αποκάλυψη του σκανδάλου των υποκλοπών της Vodafone τo 2005. «Στο σύστημα της μετάδοσης της φωνής μέσω φορέα δεδομένων όπως συμβαίνει στο WhatsApp ή στο signal, οι εθνικές αρχές, εκείνες που προστατεύουν το απόρρητο αλλά και εκείνες που μπορεί να το θέσουν σε κίνδυνο, είναι απλά ανήμπορες, καθώς το “θέατρο” της επικοινωνίας βρίσκεται έξω από τα σύνορα της χώρας...» υποσημειώνει. Ομως περισσότερο ενημερωμένες πηγές των υπηρεσιών ασφαλείας ανέφεραν στην «Κ» ότι η ΕΥΠ έχει εδώ και λίγο καιρό την τεχνική δυνατότητα να υποκλέψει επικοινωνίες στο Διαδίκτυο (μηνύματα ηλεκτρονικού ταχυδρομείου) χωρίς να είναι σαφές αν αυτό μπορεί να περιλάβει και τις «υπηρεσίες φωνής». Oμως μια αλλαγή που έκανε κατά την εφετινή χρονιά η εταιρεία του WhatsApp, επεκτείνοντας την κρυπτογράφηση από χρήστη σε χρήστη, δείχνει ότι υπηρεσίες αλλά και ιδιωτικές εταιρείες είχαν τη δυνατότητα να παραβιάσουν την «κερκόπορτά» της, καθώς στην παλαιότερη εκδοχή τού συστήματος ο χρήστης μπορούσε να κρυπτογραφεί έως έναν server και στη συνέχεια ο «εισβολέας» να καταγράφει τη συνομιλία ή τις ανταλλαγές δεδομένων.
«Δεν έχει νόημα η εμμονή σε ένα σύστημα, καθώς τα δεδομένα ασφαλείας του κάθε συστήματος κρυπτογράφησης αλλάζουν» λέει ο Αντριου Φ. στέλεχος μεγάλης βρετανικής οργάνωσης καταπολέμησης της διαφθοράς, που παραδέχεται ότι εξετάζει την «επάρκεια» του κάθε νέου app κρυπτογράφησης που μπαίνει στην αγορά. «Για την ώρα το signal είναι το καλύτερο γιατί κρατάει ελάχιστα δεδομένα συνδιαλέξεων και δεν έχει εμπορική διάσταση, δηλαδή χρηματοδοτείται από δωρητές και δεν χρειάζεται συγκέντρωση δεδομένων που στη συνέχεια να αξιοποιούνται για διαφημιστικούς ή άλλους λόγους...». Αυτή όμως είναι και η αδυναμία του συστήματος, καθώς είναι πολύ δύσκολο για τον Αντριου Φ. να πείσει τη... φιλενάδα του ή τους συναδέλφους του να χρησιμοποιήσουν το σύστημα. Η διάδοση του signal είναι πολύ μικρή σε σχέση με εκείνη του WhatsApp. To ηλεκτρονικό περιοδικό Intercept την υπολογίζει σε 1-5 εκατ. χρήστες σε ολόκληρο τον κόσμο, ενώ το WhatsApp φθάνει το 1 δισ. χρήστες.
Η Open Whispers Systems απασχολεί μόλις τρία άτομα, εκ των οποίων οι δύο ασχολούνται με την κρυπτογράφηση. Αντίστοιχη ζήτηση υπάρχει και με την κρυπτογραφημένη ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μετά τον Σνόουντεν, η ζήτηση για κρυπτογραφημένα μέιλ στην Ευρώπη αυξήθηκε 20 φορές, ενώ πλέον πάρα πολλές εταιρείες προσφέρουν έναντι ετήσιας συνδρομής μερικών ευρώ πακέτο ενισχυμένης κρυπτογράφησης. Σε αυτές τις περιπτώσεις η απώλεια του κωδικού πρόσβασης αποδεικνύεται «πονοκέφαλος», γιατί η επανάκτησή του μπορεί να καταστεί δύσκολη. Ομως υπάρχουν και άλλοι πιο «πρωτόγονοι» τρόποι. Οπως π.χ. το να έχουν οι δύο χρήστες έναν λογαριασμό που δεν κινείται με την ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το πλεονέκτημα σε αυτή την περίπτωση είναι η ανυπαρξία των δεδομένων επικοινωνίας (metadata). Αυτά είναι τα πιο πολύτιμα στοιχεία από την ψηφιακή επικοινωνία. Μάλιστα, ο πρώην αναλυτής τoυ NSA Μπιλ Μπίνεϊ είχε υποστηρίξει ότι με τη χρήση των στοιχείων αυτών θα μπορούσαν να έχουν αποτραπεί οι επιθέσεις της 11ης Σεπτεμβρίου, χωρίς μαζική υποκλοπή μέιλ και συνομιλιών φωνητικής τηλεφωνίας...
http://www.kathimerini.gr/
Στις 4 Οκτωβρίου οι δικαστικές αρχές της Βιρτζίνια κάλεσαν την εταιρεία Open Whispers Systems, που αναπτύσσει το App Signal, μια κρυπτογράφηση ανοιχτής πηγής (σ.σ.: δηλαδή όχι εμπορικά προστατευμένου λογισμικού) να παραδώσει στοιχεία (metadata) δύο χρηστών του συγκεκριμένου λογισμικού για μια έρευνα σε ομοσπονδιακό επίπεδο. Η εταιρεία, χρησιμοποιώντας την Aμερικανική Ενωση Yπεράσπισης Πολιτικών Ελευθεριών (ACLU), προσέφυγε στα δικαστήρια για να αντιμετωπίσει το αίτημα. Σε αντίθεση με άλλα συστήματα, όπως το WhatsApp της Facebook, δεν κρατάει και δεν αποθηκεύει στοιχεία χρηστών του συστήματός της ούτε και λίστες εκείνων με τους οποίους ο χρήστης επικοινωνεί. Ετσι, τα στοιχεία που παρέδωσε στις Αρχές αφορούν το πότε επικοινώνησαν οι δύο συγκεκριμένοι χρήστες για τελευταία φορά.
Για τη συγκέντρωση τέτοιων στοιχείων στις ΗΠΑ συνήθως χρειάζονται εντάλματα έρευνας υπογεγραμμένα από δικαστή (εισαγγελέα). Αλλά τα λεγόμενα δεδομένα επικοινωνίας (ποιος μιλάει με ποιον, πόσο συχνά, metadata) μπορούν να αποκτηθούν και με μια απλή κλήτευση για παροχή στοιχείων. Με τον σχετικό νόμο, που είχε ψηφισθεί το 1986, το Kογκρέσο έδινε τη δυνατότητα να κατάσχονται από τις Αρχές «ιστορικά αρχεία επικοινωνιών», αλλά εξαιρούσε τα στοιχεία επικοινωνίας των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Πάντως, ο Αλ Γκιντάρι επικεφαλής του πανεπιστημίου Στάνφορντ «για την ιδιωτικότητα στο Διαδίκτυο και στην κοινωνία» υποστηρίζει ότι η νομοθεσία αυτή αναφέρεται σε έναν τεχνολογικό κόσμο πριν από τη συγχώνευση φωνής και δεδομένων.
«Εχουμε μια “μαύρη” τρύπα στο σημείο αυτό» παραδέχθηκε μιλώντας στην «Κ», πρώην μέλος της αρχής προστασίας απορρήτου τηλεπικοινωνιών στην Αθήνα, που είχε διαδραματίσει σημαντικό ρόλο στην αποκάλυψη του σκανδάλου των υποκλοπών της Vodafone τo 2005. «Στο σύστημα της μετάδοσης της φωνής μέσω φορέα δεδομένων όπως συμβαίνει στο WhatsApp ή στο signal, οι εθνικές αρχές, εκείνες που προστατεύουν το απόρρητο αλλά και εκείνες που μπορεί να το θέσουν σε κίνδυνο, είναι απλά ανήμπορες, καθώς το “θέατρο” της επικοινωνίας βρίσκεται έξω από τα σύνορα της χώρας...» υποσημειώνει. Ομως περισσότερο ενημερωμένες πηγές των υπηρεσιών ασφαλείας ανέφεραν στην «Κ» ότι η ΕΥΠ έχει εδώ και λίγο καιρό την τεχνική δυνατότητα να υποκλέψει επικοινωνίες στο Διαδίκτυο (μηνύματα ηλεκτρονικού ταχυδρομείου) χωρίς να είναι σαφές αν αυτό μπορεί να περιλάβει και τις «υπηρεσίες φωνής». Oμως μια αλλαγή που έκανε κατά την εφετινή χρονιά η εταιρεία του WhatsApp, επεκτείνοντας την κρυπτογράφηση από χρήστη σε χρήστη, δείχνει ότι υπηρεσίες αλλά και ιδιωτικές εταιρείες είχαν τη δυνατότητα να παραβιάσουν την «κερκόπορτά» της, καθώς στην παλαιότερη εκδοχή τού συστήματος ο χρήστης μπορούσε να κρυπτογραφεί έως έναν server και στη συνέχεια ο «εισβολέας» να καταγράφει τη συνομιλία ή τις ανταλλαγές δεδομένων.
«Δεν έχει νόημα η εμμονή σε ένα σύστημα, καθώς τα δεδομένα ασφαλείας του κάθε συστήματος κρυπτογράφησης αλλάζουν» λέει ο Αντριου Φ. στέλεχος μεγάλης βρετανικής οργάνωσης καταπολέμησης της διαφθοράς, που παραδέχεται ότι εξετάζει την «επάρκεια» του κάθε νέου app κρυπτογράφησης που μπαίνει στην αγορά. «Για την ώρα το signal είναι το καλύτερο γιατί κρατάει ελάχιστα δεδομένα συνδιαλέξεων και δεν έχει εμπορική διάσταση, δηλαδή χρηματοδοτείται από δωρητές και δεν χρειάζεται συγκέντρωση δεδομένων που στη συνέχεια να αξιοποιούνται για διαφημιστικούς ή άλλους λόγους...». Αυτή όμως είναι και η αδυναμία του συστήματος, καθώς είναι πολύ δύσκολο για τον Αντριου Φ. να πείσει τη... φιλενάδα του ή τους συναδέλφους του να χρησιμοποιήσουν το σύστημα. Η διάδοση του signal είναι πολύ μικρή σε σχέση με εκείνη του WhatsApp. To ηλεκτρονικό περιοδικό Intercept την υπολογίζει σε 1-5 εκατ. χρήστες σε ολόκληρο τον κόσμο, ενώ το WhatsApp φθάνει το 1 δισ. χρήστες.
Η Open Whispers Systems απασχολεί μόλις τρία άτομα, εκ των οποίων οι δύο ασχολούνται με την κρυπτογράφηση. Αντίστοιχη ζήτηση υπάρχει και με την κρυπτογραφημένη ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μετά τον Σνόουντεν, η ζήτηση για κρυπτογραφημένα μέιλ στην Ευρώπη αυξήθηκε 20 φορές, ενώ πλέον πάρα πολλές εταιρείες προσφέρουν έναντι ετήσιας συνδρομής μερικών ευρώ πακέτο ενισχυμένης κρυπτογράφησης. Σε αυτές τις περιπτώσεις η απώλεια του κωδικού πρόσβασης αποδεικνύεται «πονοκέφαλος», γιατί η επανάκτησή του μπορεί να καταστεί δύσκολη. Ομως υπάρχουν και άλλοι πιο «πρωτόγονοι» τρόποι. Οπως π.χ. το να έχουν οι δύο χρήστες έναν λογαριασμό που δεν κινείται με την ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το πλεονέκτημα σε αυτή την περίπτωση είναι η ανυπαρξία των δεδομένων επικοινωνίας (metadata). Αυτά είναι τα πιο πολύτιμα στοιχεία από την ψηφιακή επικοινωνία. Μάλιστα, ο πρώην αναλυτής τoυ NSA Μπιλ Μπίνεϊ είχε υποστηρίξει ότι με τη χρήση των στοιχείων αυτών θα μπορούσαν να έχουν αποτραπεί οι επιθέσεις της 11ης Σεπτεμβρίου, χωρίς μαζική υποκλοπή μέιλ και συνομιλιών φωνητικής τηλεφωνίας...
http://www.kathimerini.gr/
No comments :
Post a Comment