În vreme ce noi discutam despre legile Big Brother, se pare că autoritățile chineze tocmai au updatat Marele Firewall, cum obișnuim să supranumim sistemul lor de filtrare a traficului Internet. Drept rezultat, conexiunile VPN către exterior au devenit nefuncționale ( de fapt acesta a fost indiciul care ne face să credem că e vorba de o schimbare în politica de filtrare)
Conexiunile VPN cu exteriorul sunt oricum limitate în China și pentru ele trebuie obținută o aprobare de la Ministerul Industriei; se pare însă că noul setup a început să blocheze ( cel puțin unele dintre conexiuni) la nivel de protocol. Deocamdată nu știm dacă e o măsură permanentă sau temporară.
Conexiunile VPN sunt folosite de multe ori în China nu pentru a securiza cine știe ce date sensibile, ci pentru a accesa site-uri interzise sau cenzurate, inclusiv Facebook .
Cu câteva zile înainte, o altă știre semnala un atac de tip man în the middle asupra clienților Microsoft Outlook din China. Presupun că evenimentul este legat de aceeași acțiune și la „prima înfățișare” pare mai degrabă neîndemânatic. Tehnic vorbind, un atac man în the middle constă în intercalarea unui echipament între cele două capete ale conexiunii securizate. Respectivul echipament „se va da drept” serverul destinație, va decripta traficul și îl va trimite, criptat din nou, la adevăratul destinatar. Traficul va circula normal, cu excepția faptului că respectivul echipament îl va decripta și, probabil, înregistra. Deocamdată pare să fi fost doar o primă tentativă, dacă nu cumva un setup greșit; firewall-ul chinezesc a prezentat un certificat evident incorect iar clienții au afișat obișnuita avertizare. Mă întreb însă dacă nu cumva chinezii au deja pregătit pe undeva vreun certificat „valid”, pus deoparte pentru momentul oportun. Nu sunt la curent cu aceasta dar bănuiesc că au și ei o autoritate de certificate națională; chiar dacă nu este în listele default de autorități de încredere, probabil că pe mașinile care rulează în China este deja instalată din diverse motive ( dacă accesez un site guvernamental al cărui certificat este emis de această autoritate voi instala certificatul acesteia și prin urmare voi avea încredere – computerul meu va avea încredere – în toate certificatele emise de ea ) . Desigur, dacă Partidul o cere, aceasta va putea emite un certificat și pentru microsoft.com .
M-am oprit asupra lucrurilor care se petrec în China cu un motiv anume. După părerea mea, serviciile de informații din toată lumea sunt mai mult sau mai puțin la fel. În China însă, ca în orice dictatură care mai are și suficienți bani pentru asta, nu prea are cine să se opună intențiilor acestora.
Nici măcar nu cred că e un comportament anormal: serviciilor le cerem informații, iar ele încearcă să facă tot ce pot ca să le obțină. Ar fi absurd să le cerem lor să își legifereze propriile limite, doar de dragul valorilor pe care trebuie să le apere.
Am scris deunăzi despre legea recent declarată la noi anticonstituțională; este evident din felul în care a fost scrisă că sursa ei e din interiorul, sau din jurul serviciilor de informații. Mi se pare firesc ca aceștia să încerce să forțeze nota; de fapt ceea ce e nefiresc este că aceasta trece prin Parlament neschimbată.
Cred însă în continuare că noi, ca „societate civilă a Internetului” trebuie cumva să ne definim drepturile și limitele. Deocamdată nu prea avem de propus mai mult decât o utopică anarhie, anarhie care a funcționat în frumoșii ani ai copilăriei Internetului. Din păcate însă, acele vremuri au trecut. Dacă nu ne vom adapta la „lumea nouă”, definindu-ne drepturile și îndatoririle, într-un final serviciile tot vor ajunge să legifereze pentru noi.
Singura afirmatie cu care nu sunt de acord din tot articolul este ca „trebuie cumva să ne definim drepturile și limitele”. Avand in vedere ca Internetul nu e ceva care apartine unui stat, guvern sau agentie de securitate ci o interconectare de retele majoritar private nu „trebuie” sa facem nimic pentru ca „vine parlamentarul cel rau si ne legifereaza”. Practic singura lege care ar conta ar fi interzicerea criptarii, altfel prin Internet poate trace oricat trafic criptat perfect necontrolabil, deci imposibil de legiferat – asa cum si trebuie sa fie.
Maine-poimaine ne trezim ca o sa cereti ca BNR sa reglementeze bitcoins, iar mineritul de bitcoins sa fie impozitat, cu contributii de sanatate si pensie cu tot, nu?
Cand zic „noi” ma refer la „noi, cetateni ai Internetului” nu la noi ca stat. Exista deja un set de bune practici de care depinde functionarea Internetului: „daca descoperi o vulnerabilitate anunti producatorul softului” , „nu permiti clientilor sa faca spam” , „blochezi serverele infectate cu bootnets” etc, pe langa celebra „netiquette”. In plus exista si drepturi clamate, precum „net neutrality”. Ceea ce vreau sa spun este ca „serviciile” vor insista, si e firesc sa o faca, si in lipsa unei alternative vor reusi. Vor gasi la un moment dat un moment prielnic si vor profita de el. In Internet se petrec si lucruri rele; daca „societatea civila globala” nu va trasa limitele intre bine si rau, le vor trasa autoritatile… si probabil n-o sa ne placa.
Domnule Badici, sunt curios cum vedeti dumneavoastra partea practica a aplicarii unei legi tip Big Brother?
Sunt convins ca si in China exista destui care ocolesc reglementarile. Desigur, acolo exista riscuri reale daca esti prins dar intr-un stat democratic ce-mi poate face SRI-ul daca insist sa-mi criptez informatiile? Ma acuza ca nu-mi pot citi corespondenta? Pai ii intreb si eu daca au decizie judecatoreasca sa o faca… daca nu, vorba cantecului, „bye-bye bluebird”.
Nu stiu ce sa zic, nu prea ma pricep la asta, cum ar aplica-o ei . Vedeti, ei sustin ca nu vor sa vada informatii, ci log-uri … doar ca au „omis” sa precizeze asta :) . Cum se folosesc log-urile nu cred ca e nevoie sa va explic.
Exista aspectul, sa zicem, „cinstit” al aplicarii legii: SRI aduna date intr-o arhiva, le coreleaza, cand vine cineva din Siria vede ce legaturi are, de ce etc. Oricum cred ca la un moment dat tot pe „ambientale” trec, la microfoane au o experienta bogata, cel putin asa credem noi care am prins si ceausismul :) Microfoanele au avantajul ca preiau informatia necriptata, deci te scutesc de o bataie de cap. Presupun ca cineva ingenios ar putea include si un keyloger intr-o tastatura ( sunteti sigur ca tastatura de azi e tot cea de ieri? ) :)
Imi pot imagina doua scenarii „necinstite”; or mai fi si altele, dar din ce s-a mai intamplat astea s-au mai vazut prin presa:
– „de la varf” – santaj, intimidare la adresa incomozilor sau folosirea informatiilor in avantajul unei persoane/partid
– „pe plan local” – traficarea datelor in interes personal ( vindem informatiile la concurenta.). Cum avem motive sa ne indoim de calitatea unora dintre oameni , mi se pare plauzibil.
Altfel, nu stiu ce ar putea face in mod concret daca as avea date criptate si mi-ar cere parola. In primul rand ca log-urile nu le tin criptate si cred ca ar fi destul de usor sa ma convinga sa le permit accesul la ele ( fiindca daca ei vad ceva suspect musai ca ar trebui sa pot vedea si eu, si atunci as fi convins ca cererea e legitima). Cand este insa vorba de date criptate, ma indoiesc ca ar putea face ceva fara mandat, chiar si pe actuala lege. Problema o vad mai degraba atunci cand datele nu sunt criptate, „victima” e de buna credinta,ii lasa pe computer/server iar ei in loc de booot-neti si log-uri cauta dupa poze cu amanta…
Haios ar fi sa-mi fac un sandbox si sa-l las la indelaba serviciilor, dupa care sa raspund la malware prin atacuri la servere.
Sa vad ce mutre fac „mascatii” care vin sa ma ridice cand le spun ca habar n-am ce servere am spart, dar in mod sigur nu pe ale lor, ca doar ei, ca institutie respectabila ce sunt, nu mi-ar fi plantat vreodata nasulii pe masina :)
Pentru cultura ta generala, nu se spune sandbox ci honey-pot (sandbox e cu totul altceva). Si tot pentru cultura ta generala, Sri (Lanka :))) ) nu te va ataca de pe servere (eventual tot de pe niste masini sparte – deci nu vei avea ce sa mai spargi acolo).
Nelule, ma bucura faptul ca educatia in domeniul IT merge mana-n mana cu politetea!
Mi-e teama ca iti lipsesc cei sapte biti de-acasa :)
Nu neaparat. Faptul ca accesezi un site securizat cu un certificat emis de CA chinezesc nu inseamna ca autoritatea devine trusted. Cine are nevoie de VPN pentru acces la Internet cu siguranta va prefera fie sa adauge site-ul respectiv ca o exceptie in browser, fie sa confirme conectarea manual la fiecare acces.