Un specialist de origine română explică modul cum se poate apăra o persoană împotriva celor care vor să-i urmărească viaţa virtuală, fie că vorbim de persoane private sau de stat.
Edward – nu a dorit să își deconspire identitatea reală – a lucrat pentru cele mai celebre companii de profil IT din lume. Atât în țări din Extremul Orient, Orientul Mijlociu, dar și din America și Caraibe. „România liberă“ prezintă partea a doua a interviului realizat cu specialistul în soluția IT anti-hacking.
De ce marile companii nu taxează utilizatorul final?
Edward: Este un model de business adoptat de anumite companii. Cu toţii știm, de exemplu, că Google nu taxează utilizatorul final pentru serviciile pe care le oferă. De pildă, serviciul de mail Gmail e gratuit. La fel și Google Earth, și Google Maps etc. De asemenea, Facebook nu taxează utilizatorii pentru folosirea serviciilor oferite. Nu putem, în schimb, să nu ne punem întrebări cu privire la costurile operaționale aferente unei afaceri, de asemenea dimensiuni. Dacă am lua în discuție numai cheltuielile necesare menținerii spațiul de disk necesar stocării informațiilor în permanentă tendință de creștere, am ajunge deja la niște costuri ridicate. Costuri la care se adaugă cheltuielile de bandă de internet, programatori, licențe etc.
Și cine susţine aceste cheltuieli?
Edward: Putem presupune că acestea sunt acoperite integral de publicitatea efectuată prin platformele lor. Cu siguranță datele share-uite de utilizatori reprezintă o sursă de informații necesare în realizarea profilului utilizatorului, astfel încât Google sau Facebook să ofere publicitate personalizată, menită să optimizeze livrarea conținutului de interes pentru utilizator. Nimic nelalocul lui până aici. Numai că multe companii publice au dezvoltat tehnologii care merg dincolo de informația sharuită de user în mod voit, pe platformele lor. Ele au scris părți de cod, o parte din ele numindu-se cookies, care rămân pe PC chiar și după ce userul s-a delogat de pe platforma respectivă.
Aceste informații se numesc metadata și valorează poate chiar mai mult decât informațiile expuse în mod voit de către utilizator. Unii programatori de pe internet au descoperit cookies scrise de Facebook, care luau în calcul cât de rapid tastează sau mișcă mouse-ul utilizatorul și cât de rapid dă click pe un link după ce a ajuns cu mausul deasupra acestuia, semn că autorul cookie-ului vroia să afle vârsta reală a utilizatorului, indiferent de vârsta declarată în form-ul de subscriere inițială.
La ce bun toate aceste tehnici utilizate de companiile mari și cât de greu de obţinut sunt aceste tehnologii pentru companiile care le produc?
Edward: Dând la o parte efortul uman, costul angajării personalului pregătit și timpul necesar unor astfel de proiecte, spre surprinderea multora dintre noi, trebuie menționat că puterea de procesare și de stocare în zilele noastre a ajuns la un nivel foarte ridicat. Stocarea unei convorbiri telefonice de 5 minute ocupă în format mp3 mai puțin de 5MB, iar transformarea ei în stenogramă poate fi realizată în mod automat cu putere de procesare suficientă.
Analizarea tuturor acestor informații metadata nu mai este o sarcină îndeplinită în mod implicit de o mașină și doar când sunt îndepliniți indicatorii necesari unei alarme, informația e acum revizuită de un operator uman.
La ce fel de concluzii te duc aceste date și fapte?
Edward: Orice om poate trage concluzia că guvernele (nu doar al Statelor Unite, ci majoritatea guvernelor lumii) nu numai că vor să controleze exportul de armament, ci în lupta contra terorismului, au prins apetit pentru spionarea în masă chiar și a propriilor cetățeni.
Cum mai toți avem calculatoare, smartphone-uri, terminale inteligente (smartwatches, smart TV etc.), ne putem pune întrebarea dacă este posibil că în ziua de azi să mai comunici într-o manieră confidențială sau dacă există niște laptopuri, telefoane etc. (dispozitive electronice) care să ne ofere confidențialitate în utilizarea lor. Vom vedea în cele de mai jos că există soluții și pentru astfel de nevoi. Vom încerca să dăm câteva exemple de țări și jurisdicții ceva mai prietenoase cu cetățenii săi, cât și de tehnologii care, utilizate în anumite condiții, pot oferi un grad de confidențialitate ridicat.
Există în lume și jurisdicţii „mai prietenoase“ cu mediul virtual?
Edward: Cum am văzut mai sus, alegerea unei soluții de comunicare sigură, imposibil sau cât mai aproape de imposibil de decriptat trebuie să țină cont de câteva aspecte de bază. Aș începe cu partea juridică. Așa cum am arătat, multe dintre statele lumii, pe teritoriul cărora se află companii producătoare de soluții de securitate au aderat la aceste înțelegeri internaționale prin care își forțează producătorii locali să le ofere instrumente și metode de supraveghere electronică a utilizatorilor/clienților/cetățenilor etc. Cel mai cunoscut pact internațional în acest sens rămâne Wassenaar Arrangement. Coroborat cu legislația națională și cu volumul de produse criptografice produse pe teritoriul său, am putea spune că SUA rămân lider în domeniu în materie de supraveghere electronică. Din start, aș putea spune că produsele americane sunt cel mai de neîncredere din punctul de vedere al utilizatorului final, în ceea ce privește nivelul de intruziune al guvernului în activitatea utilizatorului.
Nu ne propunem aici o inventariere a tuturor jurisdicțiilor de unde merită să cumpărăm produse criptografice, ci doar să trasăm niște linii directoare care să ajute pe oricare dintre noi în luarea deciziei potrivite.
Am înţeles că în Canada lucrurile stau altfel?
Edward: Da, un stat aparte, demn de menționat este Canada. Cu toate că și acest stat este parte în acest grup semnatar al Wassenaar Arrangement, și la fel ca alții a simpatizat ideea neproliferării armelor, când vine vorba de supraveghere elctronică, lucrurile stau puțin diferit. Dacă în SUA produsele criptografice sunt privite în aceeași manieră ca și muniția, în Canada lucrurile sunt puțin diferite. Exportul acestor produse este legiferat prin așa-numitul „Canada’s Export Control“. În ghidul publicat de guvernul canadian referitor la acest domeniu, putem citi la pagina 195 că anumite produse software nu necesită niciun fel de aprobare din partea guvernului, dacă îndeplinesc anumite condiții. În general, sunt disponibile publicului, fiind: a) vândute direct din stoc la puncte de vânzare cu amănuntul, fără restricții, prin intermediul: 1. tranzacțiilor la ghișeu; 2. prin corespondență; 3. prin tranzacții electronice;sau 4. prin tranzacții prin telefon; și b) concepute pentru instalare de către utilizator, fără asistență suplimentară din partea furnizorului; sau 2 „care aparțin domeniului public“.
Cu alte cuvinte, pot fi exportate produse software ce pot fi instalate de către utilizator, de unul singur, fără ajutor, sau care sunt lansate în domeniul public.
Și care ar fi soluţiile sigure?
Edward: În lumina celor prezentate mai sus, oare la ce am putea să ne gândim? La produse Open Source, care sunt lansate în mod public, și care pot fi instalate tot de către utilizator, fără ajutor și fără suport tehnic. Să le luăm pe rând. Vom vorbi despre partea software (sisteme de operare și aplicații) și apoi despre partea hardware (terminale și componente).
1. Sisteme de operare. Un exemplu (nu e unicul) în acest sens este distribuția de Unix numită OpenBSD. Aceasta e foarte asemănătoare cu FreeBSD (lansată public de la un IP Address din State, de către fundația nonprofit FreeBSD Foundation), numai că elementele de security și criptare pică sub incidența legilor canadiene. Mulți specialiști din domeniu apreciază acest proiect datorită similitidinii de librării dintre FreeBSD și OpenBSD, care le permite să utilizeze librării publice open source din FreeBSD, peste care pot adăuga foarte ușor funcționalități de securitate și criptare din OpenBSD. Trebuie menționat că FreeBSD se bucură de suport din partea multor companii comerciale americane, care plătesc programatori pentru a scrie drivere și module pentru hardware-ul lor destinat FreeBSD-ului. Am putea menționa aici Intel, pfSense etc.
Poți exemplifica pentru înţelesul publicului larg?
Edward: În acest caz, ne-am putea imagina un grup de persoane, care folosesc printre altele un server de chat, de mail, sau de VoIP, care rulează pe un server ce folosește ca sistem de operare FreeBSD. De asemenea, pe terminalele utilizatorilor, acest grup ia în calcul folosirea tot a FreeBSD ca sistem de operare. Luăm din start în afara calculului sistemele de operare comerciale oferite de companii, mai ales americane, precum Windows, MAC OS, Android, datorită faptului că acest cod-sursă al sistemelor lor de operare nu este open source și deci nu prea poate nimeni să verifice dacă are back-door-uri sau bug-uri lăsate în mod intenționat în cod.
Ne putem închipui că un administrator bun poate instala și administra un serviciu puternic și foarte stabil de mesagerie char, VoIP etc. peste FreeBSD, urmând manualele și tutorialele publicate pe pagina de web a proiectului FreeBSD. Dacă acesta își dorește să adauge la proiectul său funcționalități de criptare și comunicație privată, fără să aibe dureri de cap prea mari cu autoritățile, ar fi bine să ia în calcul migrarea soluției spre OpenBSD. Bineînțeles, cu o documentare în prealabil asupra produselor ce vin odată cu OpenBSD, cu precădere a OpenS.
2. Aplicații. În ziua de azi folosim o grămadă de aplicaţii de comunicare care se vor a fi criptate.
3. Terminale: PC-uri, telefoane mobile, tablete.
Dacă instalăm o aplicație de comunicare sigură, criptată etc. peste un terminal nesigur, aplicația criptată va livra informația în mod sigur de la un punct la altul, dar un hacker/guvern ar putea citi informația ce este decriptată local în terminalul respectiv de către aplicația de criptare.
Ce înseamnă asta? Cât de sigură este aplicaţia Whatsapp, de exemplu?
Edward: Să fim și mai clari, cei la Whatsapp pretind că la ei comunicarea este criptată end-to-end de la un terminal la altul, folosind o cheie de criptare specifică fiecărei legături. Chiar dacă ar fi să credem asta, tot nu ar trebui să ne încredem în nivelul de confidențialitate oferit de aplicații de tip Whatsapp datorită faptului că aceste aplicații rulează peste sisteme de operare produse în jurisdicții supuse unui guvern foarte agresiv din punctul de vedere al controlului acestor produse (fără să mai luăm în calcul bug-urile exploatate de hackeri!). Orice astfel de produs, deși se marketează ca un produs sigur, este doar o minciună.
Trebuie luată în calcul și posibilitatea pierderii sau furtului unui terminal și, de ce nu, confiscarea de către autorități. Pentru a preveni citirea informațiilor de pe terminal de către un third party, terminalul trebuie criptat. Dacă ar fi să îi credem pe marii producători, am avea de unde alege soluții pentru criptarea HDD-ului PC-urilor sau a conținutului unui telefon. Atât Windows (prin produsul său BitLocker), cât și Android sau Iphone (prin funcționalitățile incluse) se adresează acestor nevoi. Cum spuneam mai devreme, nu merită să le acordăm atenție decât în măsura în care vrem să protejăm această informație doar împotriva atacurilor venite din unor entități, nu a tuturor.
