BLOG

Ako zákon o ochrane pred odpočúvaním ohrozuje súkromie občanov

2015-10-13 13:58 Pavol Lupták

(alebo prečo treba legalizovať vlastnenie a predaj nástrojov umožňujúcich odpočúvanie)

Koncom augusta 2015 slovenská vláda schválila novelizáciu zákona o ochrane pred odpočúvaním (166/2003). Viac informácii v SME Tajní budú môcť odpočúvať aj internet, prípadne na zive.sk Špionážny softvér bude legálny. Umožní to zmena v zákone.

Hneď na začiatku by som rád vysvetlil, čo je ITP (informačný technický prostriedok). V princípe ide o akýkoľvek nástroj alebo odpočúvací prostriedok, ktorý môže používať úzka skupina ľudí (konkrétne Slovenská informačná služba, Vojenské spravodajstvo, Policajný zbor, Železničná polícia, Zbor väzenskej a justičnej stráže, Colná správa – odstavec 2, paragrafu 2) na „legálne odpočúvanie“. Použitie alebo vlastnenie ITP všetkými ostatnými – fyzickými alebo právnickymi osobami je kriminalizované (odstavec 7, paragrafu 2).

Novelizácia uvedeného zákona rozširuje definíciu ITP aj na „softvérovy prostriedok“, čím prakticky legalizuje používanie akéhokoľvek špehovacieho malware-u (typu FinFisher alebo Galileo), ktorého použitie bolo doteraz nelegálne nakoľko nebol potrebný súdny príkaz (viac informácií Máte strach o Vaše súkromie? Bojte sa SIS).

Okrem iného novelizácia tiež zavádza, že občania (s výnimkou hore uvedených štátnych VIP skupín) nesmú uvedené ITP prostriedky nielen používať, ale ani „mať v držbe“.

Ondřej Neff na otváracom ceremoniále hackerskej konferencie HCPP2015 uviedol, že vo svojich sci-fi knihách sa špeciálne venuje moderným technológiám, ktoré daná vláda/štát vníma ako svoje ohrozenie (počínajúc Gutenbergovou kníhtlačou a končiac anonymným Internetom a kryptomenami). Všetky uvedené technológie v danej dobe podrývali autoritu a moc daných vlád, čo následne viedlo ku kriminalizácii uvedených technológií.

Bohužiaľ toto sa od čias stredoveku veľmi nezmenilo – máme tu stále legislatívu, ktorá používanie odpočúvacích technológií („ITP“) bežnými občanmi kriminalizuje a ich vlastnenie a používanie umožňuje len úzkej monopolizovanej skupine ľudí majúcich „oporu v zákone“.

V nasledujúcom článku by som rád uviedol pár dôležitých argumentov, prečo osobne pokladám tento stav legislatívy za úplne nešťastný a prečo si myslím, že je potrebné celoplošne legalizovať technológie na špehovanie, nakoľko súčasná situácia má podstatne negatívnejší dopad na súkromie občanov ako keby boli všetky legalizované.

Prečo legalizovať nástroje na GSM/3G odpočúvanie (tzv. IMSI catcher)

Súčasný stav: Zákaz vlastnenia a používania uvedených nástrojov občanmi

(ako ITP ich môže používať len Slovenská informačná služba, Vojenské spravodajstvo Policajný zbor, Železničná polícia, Zbor väzenskej a justičnej stráže, Colná správa).

1. Ilúzia dôveryhodnosti a bezpečnosti mobilnej komunikácie.

Zákaz vlastnenia a predaja nástrojov na GSM/3G odpočúvanie vyvoláva medzi občanmi falošnú ilúziu, že GSM/3G predstavuje bezpečnú hlasovú komunikáciu, ktorej je možné veriť a odpočúvanie je veľmi náročné a technicky možné iba zo strany „legálnych“ štátnych zložiek. Ako človek, ktorý sa venuje ochrane digitálneho súkromia, musím konštatovať, že nič z toho nie je pravda.

2. Ilúzia, že nástrojmi na odpočúvanie disponuje len štát a žiadne súkromné subjekty.

V súčasnej dobe je možné postaviť IMSI catcher (zariadenie na mobilné odpočúvanie) za menej ako $1500 (viac informácií Hacker Spoofs Cell Phone Tower to Intercept Calls ), existuje viacero spôsobov (USRP s príslušnými GSM/3G daughter boardami, Hack RF, prípadne je možné použiť staré telefóny Motorola C123 s OsmocomBB). Ako softvér je možné použiť napríklad OpenBTS a hovory smerovať cez ľubovoľnú VoIP ústredňu (napríklad Asterisk).

Od ľudí, ktorí sa problematike GSM/3G venujú, sa mi podarilo získať cenový prehľad komponent na funkčný IMSI Catcher:

Odhadovaná cena komponent IMSI Catcher-a
Komponenta IMSI Catcher-u Cena
Ovládací počítač 150-400 €
Rádio: BladeRF 270 €
Alebo Rádio:USRP B200 760 €
Zosiľňovač pre každé pásmo 2G, 3G, 4G, LTE 100 € na každé pásmo
Správne antény 50 €
Rušičká na pásma, ktoré nebude vedieť IMSI catcher zachytiť / vysielať 50 € (na pásmo) alebo 150 € (na širokopásmovú rušičku)
Odhadovaná cena IMSI Catchera 600 € – 1500 €

Používateľov bezpečného 3G je možné odpočúvať tak, že útočník kompletne zaruší 3G pásmo (tzv. 3G jamming) a donúti ich telefóny pripojiť sa cez menej bezpečné 2G na podvrhnutú BTS a následne realizovať kompletné odpočúvanie hovoru. IMSI catcher je možné si vyskladať z plne legálnych komponentov za nízku cenu. 3G jammer stojí rádovo pár desiatok dolárov.

To, že cena zariadení na mobilné odpočúvanie je tak nízka, znamená dve veci – že tí, ktorí majú potrebu niekoho reálne odpočúvať, si IMSI catcher na čiernom trhu určite zakúpia nezávisle od toho, či je vlastnenie a používanie tohto zariadenia zakázané štátom alebo nie. Tu by som podotkol, že pasívne odpočúvanie a lámanie GSM komunikácie (tam nepatrí IMSI catcher, kde ide o MITM útok) nie je možné odhaliť. Podobne komplikované je to v prípade sofistikovaného IMSI catcheru, ktorý môže mať dostatočne malý výkon na to, aby si ho niekto všimol a dokáže byť presne zacielený voči obeti. Tento útok dokáže realizovať prakticky ktokoľvek, kto si uvedené zariadenie zakúpi. A to bohužiaľ aj voči občanom, ktorí žijú v ilúzii, že odpočúvanie ich mobilných hovorov je možné vykonať len „legálnymi štátnymi inštitúciami“.

Dôsledky legalizácie vlastnenia a predaja odpočúvacích zariadení

1. Zrejme na začiatku nárast predaja zariadení na mobilné odpočúvanie (na začiatku by za málo peňazí každý chcel odpočúvať každého).

2. Obrovská medializácia, že je možné relatívne jednoducho a lacno odpočúvať mobilnú komunikáciu kohokoľvek prakticky kýmkoľvek. Zvýšenie bezpečnostného povedomia.

V tejto situácii by nastal „okamih pravdy“ a reálne by sme dozvedeli, či tým, ktorí tvrdia, že im je jedno, či ich niekto odpočúva alebo nie, lebo nemajú „čo“ skrývať, by bolo skutočne ukradnuté, že ich dokáže odpočúvať ich sused či ľubovoľný kolega v práci. Možno niektorým by na tom skutočne nezáležalo a naďalej by používali doterajšiu mobilnú komunikáciu. Všetci ostatní by ale začali svoj hlas / komunikáciu šifrovať. A nainštalovali by si RedPhone, Signal Private Messenger, kúpili Blackphone, či inak zabezpečili svoju komunikáciu.

3. Zníženie silovej asymetrie medzi štátom a ľudmi, ktorí ilegálne vlastnia a používajú odpočúvacie mobilné zariadenia a všetkými ostatnými občanmi, ktorí momentálne žijú v ilúzii, že GSM/3G hovory sú bezpečné a dôveryhodné odpočúvateľné iba štátnymi legálnymi zložkami.

V konečnom dôsledku legalizácia odpočúvacích zariadení by výrazne navýšila bezpečnostné povedomie medzi ľudmi a donútila ich celoplošne svoje hovory šifrovať a chrániť. A ukončila ich falošné ilúzie o tom, že ide o bezpečnú komunikáciu, ku ktorej majú prístup len štátne legálne zložky a nikto iný.

Tu by som rád uviedol analógiu – rozšírenie a ľahká dostupnosť veľkého množstvo open-source sieťových odpočúvacích softvérov (tzv. „sniffers“) (snort, wireshark,…), prípadne nástrojov na MITM útoky na nešifrovanú komunikáciu (ettercap), spôsobilo to, že na Internete sa celoplošne rozšírili šifrované protokoly a implementácie (TLS, VPN, SSH) umožňujúce end-to-end šifrovanú komunikáciu bez možnosti akéhokoľvek odpočúvania.

Ak by si štát uzurpoval výhradné právo používať „odpočúvacie sieťové nástroje“ a všetci ostatní by ich mali zo zákona zakázané (s argumentáciou, že veriť sa dá len štátu), tak je dosť možné, že doteraz používame nešifrované Internetové protokoly a spoliehame sa na dôveryhodnosť a opodstatnenosť „legálneho odpočúvania“ (kedže by množstvo ľudí žilo v ilúzii, že vďaka zákonnej legislatíve nikto okrem štátu nedokáže ich sieťovú komunikáciu odpočúvať, kedže sniffre sú predsa zákonom zakázané).

Prečo ponechať legalizáciu softvérových špehovacích nástrojov

Súčasný stav: Štátne služby momentálne nemôžu používať softvérové špehovacie nástroje ako ITP bez súdneho príkazu. To im ale bude umožňovať nová legislatíva.

1. Uzavretosť používateľov špehovacieho malware-u (akákoľvek, napríklad ich používanie výhradne štátmi, čo je tento prípad) vedie k nemožnosti sa voči nemu efektívne brániť.

Ak FinFisher, Galileo či iný špehovací softvér si môžu zakúpiť výhradne len vlády (ako sme svedkami, tak aj tie, ktoré sú totalitné), a nie žiadne súkromne subjekty (napríklad aktivisti, ktorí sa venujú ochrane digitálneho súkromia, či výrobcovia softvéru, ktorého zraniteľnosti daný malware využíva), tak je možné, že sa nikdy nedozvedieme, aké 0-day exploity (nástroje na 0-day zraniteľnosti voči ktorým neexistujú bezpečnostné záplaty) tieto malware softvéry používajú. Tým pádom spoločnosti (Microsoft, Google, Apple a iné) nedokážu publikovať bezpečnostné záplaty na svoje ohrozené zraniteľné produkty a teda umožniť svojim používateľom účinnú ochranu ich súkromia.

2. 0-day špehovací malware vytvára výraznú silovú asymetriu medzi tým, kto špehuje (štát) a tým, kto je špehovaný (občan).

Špehovacie softvérové nástroje (v našom zákonnom ponímaní už ITP) využívajúce 0-day exploity sú častokrát úplne nedetegovateľné antivírovými nástrojmi a kedže ide o utajené zraniteľnosti, na uvedené exploity neexistujú bezpečnostné záplaty zo strany výrobcov daného softvéru. Používatelia daného softvéru teda strácajú technickú možnosť sa voči týmto špehovacím nástrojom akokoľvek brániť.

3. Použitie softvérového špehovacia nástroja je technicky možné a ľahko realizovateľné aj bez súdneho príkazu – možnosť neodhaliteľného zneužitia.

To, že zákon bude vyžadovať platný súdny príkaz na nasadenie softvérového špehovacieho nástroja, neznamená, že tajné služby o tento príkaz skutočne požiadajú. Obzvlášť v situácii, keď je prakticky softvérovo neodhaliteľné či daný špehovací nástroj bol použitý bez súdneho príkazu (nie je pritom nutná ani interakcia viacero osôb, kedže ten nástroj dokáže obsluhovať jeden človek a samotné logy dokáže zmazať).

4. Súčasná legislatíva zakazujúca použitie softvérového odpočúvacieho prostriedku (ITP) inými subjektami ako sú štátne, môže kriminalizovať legitímne používanie odpočúvacích nástrojov.

Pri našej práci (penetračné testy, bezpečnostné audity) používame rôzne odpočúvacie softvéry (Wireshark, Burpsuite, Metasploit, BeEF, Weevely a iné), ktoré majú povahu softvérového ITP. Rôzne špehovacie softvéry, ktoré majú charakter softvérového ITP, využívame tiež pri obojstranne dohodnutom a legitímnom sociálnom inžinierstve (napríklad simulácia phishing útokov).

Podobne analýza malware v antivírových spoločnostiach využíva častokrát prostriedky, ktoré majú povahu softvérového ITP.

Osobne si viem tiež predstaviť dôvody, kedy zamestnávateľ sa po obojstrannej dohode so svojimi zamestnancami rozhodne nasadiť odpočúvacie nástroje počas výkonu ich povolania (v rámci zabránenia podvodu, zneužívaniu ich právomoci apod). Všetky tieto odpočúvacie nástroje majú charakter softvérového ITP.

Vágna interpretácia tohto zákona môže viesť ku kriminalizácii všetkých týchto legitímnych činností a existenčne ohroziť našu ako aj iné firmy, ktoré špehovacie nástroje pri svojej bežnej práci používajú.

Zhrnutie

Zákon, ktorý zakazuje vlastnenie a používanie odpočúvacích zariadení bežnými občanmi a súčasne na to privilegizuje úzku skupinu ľudí, vedie k zneužívaniu uvedených technológií (a to nielen zo strany štátu, ale aj ľudí, ktorí nimi disponujú nelegálne). Tiež vytvára ilúziu bezpečnosti a dôveryhodnosti týchto technológií, vďaka čomu si občania riziko odpočúvania svojej komunikácie nedostatočne uvedomujú a svoju hlasovú či inú komunikáciu nijako explicitne nešifrujú.
Vágna interpretácia definície ITP môže tiež viesť ku kriminalizácii bežných činností súkromných spoločností a ľudí, nakoľko (ako som uviedol vyššie) existuje množstvo situácií, kedy po obojstrannej dohode dochádza k legitímnemu použitiu odpočúvacích technológií v súkromnej sfére.

Prípad Internetovej sieťovej bezpečnosti ukazuje, že ľahká dostupnosť a použiteľnosť sieťových špehovacích nástrojov automaticky viedla k tomu, že Internetová komunita začala využívať šifrovanú komunikáciu a dnes si napríklad bez šifrovania HTTP protokolu (HTTPS) nevieme predstaviť akékoľvek prehliadanie, kde je potrebný vyšší stupeň zabezpečenia.

Pokladám preto za veľmi nešťastné, že nová legislatíva na Slovensku dáva štátu veľmi silné zbrane a všetkým ostatným ich berie.

A je paradox, že zákon proti odpočúvaniu ohrozuje súkromie nás všetkých.