Ali je prav, da policija podtakne na vaš računalnik prisluškovalni program? Zakaj? Zato ker ne more posneti vaših pogovorov po Skypu, kot jih lahko na mobilnih ali stacionarnih telefonih, vi pa ste osumljeni resnega kaznivega dejanja in so potrebni dokazi o vašem početju. Vsaj tako si predstavljam, da gre argumentacija v prid predlaganim spremembam Zakona o kazenskem postopku (ZKP-M). Tole recimo piše v sami obrazložitvi:

Naslednja posledica razvoja informacijske in komunikacijske tehnologije je možnost, da uporabniki že pri viru kriptirajo komuniciranje preko spletnega omrežja (na primer Skype in elektronska pošta). S tem praktično onemogočijo izvedbo prikritega preiskovalnega ukrepa iz 1. točke prvega odstavka 150. člena ZKP (nadzor elektronskih komunikacij s prisluškovanjem in snemanjem), saj se ta ukrep izvaja tako, da operater prestreže komunikacijo v svojem omrežju in nato vsebino komunikacije posreduje nadzornemu centru policije, kjer se izvaja nadzor prestreženih komunikacij. Zato je treba na ustrezen omogočiti prestrezanje komunikacije že pri viru – torej preden se kriptira in samo v primeru, ko so izpolnjeni zakonski pogoji za odreditev ukrepa iz 1. točke prvega odstavka 150. člena ZKP (ožji nabor hujših in zapletenejših kaznivih dejanj s hujši predpisano kaznijo, obstoj utemeljenih razlogov za sum, nemožnost pridobitve dokazov z drugimi – manj invazivnimi – ukrepi, odredba preiskovalnega sodnika).

Res je. Tehnološki napredek je omogočil šifriranje, ki je dostopno vsem, razbiti pa ga je praktično nemogoče (razen velikanom, kot je ameriška NSA, pa še to ne vedno in ob dragem dolgoletnem trudu). Edina možnost, ki ostane policiji, je torej prestrezanje na enem ali drugem koncu komunikacije – preden se besedilo ali govor zašifrira, ali potem, ko se že odšifrira. Ker se to dogaja na napravah osumljencev, predlog sprememb predvideva namestitev prestreznih programov prav tam. Tu pa se stvari zapletejo.

Stranski učinki

S podtikanjem programa na tuj računalnik nanj vnesemo spremembe. Te so lahko manjše ali večje in bolj ko želimo, da bo podtaknjen program deloval pritajeno in ne bo odkrit, globje posege v operacijski sistem moramo praviloma narediti. V nemškem primeru iz leta 2011, ko je Chaos Computer Club odkril “Bundestrojaner”, so ugotovili tudi, da je ta omogočal namestitev dodatnih modulov in da “je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.”

Tudi industrija je že pomislila na pritajene programe. Sony je pred leti na 22 milionov CD plošč namestil rootkit, ki je okužil računalnik in tako poskusil preprečiti njihovo kopiranje. Podtaknjence je nekdo odkril in Sony je doživel odmeven škandal in nekaj tožb.

Naloga protivirusnih programov je, da takšne “artefakte” zaznavajo. Če bi vlade po svetu želele od teh podjetih, da vzdržujejo seznam državno odobrenih trojancev, se stvari zapletejo. Za katere države? Kitajsko? Savdsko Arabijo? ZDA? Če pristanejo na ene države, ne pa na druge, potem izgubijo sloves nepristranskosti in verjetno tudi tamkajšnji trg. Kaj, če trojanca najdejo v kriminalnem podzemlju in ga (ker vedo, da ga protivirusniki ignorirajo) ugrabijo zase in začnejo z njim krasti e-bančne podatke? Bomo morali tudi na odzivnih centrih razmišljati pri preiskovanju škodljive kode s kakšnega prenosnika o tem, da gre morda za policijsko kodo? Nas bo kdo o tem obveščal, ter kakšne bodo takrat naše zakonsko določene obveznosti? Predvidene ta trenutek niso nobene.

Če se počutimo čisto malo futuristično, pa moramo misliti tudi na prepletanje elektronskega in biološkega. Google Glass je samo začetek in čez nekaj let lahko pričakujemo kontaktne leče, kasneje pa bo mogoče naša čutila nadgraditi z elektronskimi komponentami — malimi računalniki (nekaj tega se dogaja že sedaj). Bodo danes sprejete zakonske spremembe pravno utemeljile podtikanje trojancev čez leta tudi v naše telo? Kakšni bodo lahko stranski učinki v tem prepletenem okolju?

Stroški izdelave

Ni nujno, da je izdelava ali nakup takšne opreme drag. Enostavne “tarče” bi verjetno organi pregona lahko ustrezno naciljali že z majhnimi in sorazmerno nezahtevnimi trojanci. Ne verjamem, da bodo vsi osumljenci blazno pripravljeni na takšne vdore v njihove sisteme (se recimo spomnite vdora Anonimnih v sistem HB Gary?). Ni treba vedno kupiti 0-day ranljivosti, socialni inženiring dela čuda (glej “spear phishing”). Na njem tudi večinoma temeljijo ciljani napadi s škodljivo kodo. Tisti zelo resni pa bodo morda res nedosegljivi, ali pa bo treba za vdor v njihov sistem povezan velik strošek priprave.

Če bi policija želela na trgu kupiti tako programje, pa imamo nov problem. Trg ponudbe IT storitev in programske opreme vsebuje polno zanič podjetij, ki želijo zaslužiti na hitro. Ponudili bodo nekaj za visoko ceno in kako bo naročnik vedel, da je res dobil kvalitetno opremo?

Kaj sedaj?

Če želimo, da se policija bori proti kriminalu, potem ji moramo dati na voljo primerna orodja in pooblastila. To je treba uravnotežiti s primerno zaščito zasebnosti državljanov in nadzorom. Zelo jasno, kajne? Vsak bo to podpisal. Kako pa v praksi najti tisto pravo razmerje? Glede državnega trojanca lahko ta trenutek sam rečem le to, da je tema vsaj kontroverzna in da odpira kopico zapletenih vprašanj, na katera ta trenutek še ni videti jasnih odgovorov.

• Predlog Zakona o spremembah in dopolnitvah Zakona o kazenskem postopku (Predlog ZKP-M)
• Mnenje Informacijskega pooblaščenca
• Lenart J. Kučić: Hekanje zakonov, Sobotna priloga Dela, 22. 12. 2013
• Žiga Turk: Za pravice digitalnega človeka in proti noveli ZKP, blog ČAS-OPIS, 23. 12. 2013

STA je objavila vest o nameri Vlade RS, da do konca leta 2013 izdela strategijo kibernetske varnosti in vzpostavi ustrezni nacionalni organ. Hkrati se omenja ustanovitev dodatnega, vladnega GOV-CERT. Na tviterju je težko razpredati na temo odzivanja na omrežne incidente, tu je nekaj misli na to temo.

Preventiva ni vse

Pristop k zaščiti e-bančništva ob njegovi vpeljavi konec 90. let prejšnjega stoletja je bil enostaven: vrzimo v lonec primerno dozo šifriranja in poskrbimo za digitalno avtentikacijo uporabnika “in je”. No, ni. Podobno je z drugimi omrežnimi napadi. Ni dovolj le skrb za zaščito, požarne pregrade in protivirusne programe. Vseh požarov nikoli ne boste odpravili s preventivo in dobrimi praksami. Na koncu potrebujete tudi gasilce.

Gasilci na internetu smo certovci (CERT = Computer Emergency Response Team). Smo tisti, ki se prvi odzovemo na problem, pomagamo pri odpravljanju posledic incidenta, svetujemo pri zaščiti in s povezovanjem različnih dogodkov sestavimo “the big picture”, ki nam omogoča primerne ukrepe.

Vaja dela mojstra

Če sistemski skrbnik razmišlja večinoma o postavitvi in optimizaciji strežnikov, programer o primernem ogrodju za razvoj nove spletne aplikacije, ne eden ne drugi običajno ne bosta vedela, kaj storiti v primeru vdora v računalniški sistem ali kakšne druge zlorabe. Odzivanje na incidente je obrt, ki jo izboljšamo z izkušnjami (seveda je potrebna ustrezna strokovna podlaga). Zato je primerno, da v večjih podjetjih nekaj IT kadra izobrazijo tudi za te primere, v največjih pa je prav, da imajo prav ekipo, ki skrbi za zaščito in odzivanje. Tudi internet ponudniki, seveda. Primeri: KPN-CERT, Siemens CERT, SKY-CERT.

Velik sistem je tudi omrežje državnih ustanov HKOM, ki ima svoje posebnosti. Je bolj zaprto in nadzorovano, kot splošni internet, pravila za izmenjavo in varovanje podatkov morajo biti stroga. Pomislite na različne registre, ki morajo biti dostopni zaradi e-storitev in se skladiščijo tam. Zato je smiselno, da tudi upravljalec omrežja HKOM (Direktorat za informatiko in e-upravo, Ministrstvo za notranje zadeve) ima na voljo ustrezno ekipo za odzivanje.

Koliko certov?

V manjših podjetjih in drugih ustanovah je seveda nemogoče pričakovati, da bodo pri le nekaj zaposlenih sposobna imeti lasten usposobljen kader za informacijsko varnost, zato morajo storitve iskati drugje. Na trgu lahko najdejo ponudnike varnostnih rešitev in zavarovanja v primeru škode. Za podporo pri odzivanju na varnostne incidente pa ponavadi poskrbi država (v IT svetu in sicer), ker praksa kaže, da se komercialni model za prvo odzivanje (first responders) ne obnese. Te naloge opravljajo nacionalni odzivni centri CERT, ki so tudi enotna kontaktna točka za prijavo incidentov. CERT centre vzpostavljajo tudi vojske, ker so omrežni napadi že nekaj let podporni del vojaškega delovanja, to pa ima svoje posebnosti (odzivni center je tudi NATO zahteva).

Ali imeti en sam državni in nacionalni center, ali vloge ločiti, je vprašanje, ki pa nima samo enega odgovora. Odgovor na to je odvisen od trenutne situacije, zgodovine, razdelitev pristojnosti, itn. Švica, Avstrija, Danska in Hrvaška uporabljajo spodnji model.

Predlog

Nacionalni odzivni center SI-CERT:

• področje delovanja: širša javnost,
• vmeščenost v nacionalne storitve (register slovenskih domen, vrhnja DNS infrastruktura, stičišča za izmenjavo internet prometa SIX),
• sodelovanje z internet ponudniki in gostitelji (običajno večje akcije z masovnimi okužbami, tudi zaščita osnovne internet infrastrukture) in naloge v sklopu sodelovanja z Agencijo za pošto in elektronske komunikacije, kot določa ZEKom-1,
• nacionalni program izobraževanja in ozaveščanja.

Vladni odzivni center GOV-CERT:

• področje delovanja: sistemi javne uprave,
• zaščita virov in sistemov na državnem nivoju (registri, sistemi e-uprave),
• skrb za informacijske komponente kritične infrastrukture v državi.

Operativa vs. strategija

Sam sem že kdaj cinično omenil, da se bomo v naši državi utopili v strategijah, medtem ko nam operativno stvari ne delujejo. Vendar pa imamo problem tudi s tem, da operativno že nekako gasimo požare, a odkritih problemov ne rešujemo vedno dovolj učinkovito, ker informacija z operativnega nivoja le malokrat pride do odločevalcev v državi. Visoko umeščen nacionalni organ za kibernetsko varnost bi morda to popravil. Ampak vsekakor je to stvar “medresorskega usklajevanja”.