traffic analysis – Skytales Blog https://skytal.es/blog Ειδήσεις, Αναλύσεις και άλλα από τον Ψηφιακό Κόσμο Mon, 14 Oct 2013 09:17:45 +0000 en-US hourly 1 https://wordpress.org/?v=6.1.1 Don’t worry, we don’t collect your “Data” we only collect “MetaData” https://skytal.es/blog/articles/dont-worry-we-dont-collect-your-data-we-only-collect-metadata/ https://skytal.es/blog/articles/dont-worry-we-dont-collect-your-data-we-only-collect-metadata/#comments Sun, 06 Oct 2013 21:56:55 +0000 https://skytal.es/blog/?p=394 ]]> Αυτή είναι η φράση που επανέλαβε δημόσια ο Πρόεδρος των Η.Π.Α αναπαράγοντας την φράση κάποιων υψηλόβαθμων στελεχών της NSA, ενώ είχε ξεσπάσει το σκάνδαλο Snowden στα μέσα του Ιουνίου 2013. Αυτή η φράση, που ίσως πολλοί αγνοούν την σημασία, της δείχνει απλά την σύγχρονη και γενικευμένη μορφή της παρακολούθησης. Μιας παρακολούθησης που δεν περιορίζεται στην συλλογή δεδομένων κάποιων κατά τα νομικώς λεγόμενα “εγκληματιών” άλλα την αποθήκευση απεριόριστου όγκου δεδομένων για όλους μας, που αφορά όλες τις πλευρές της ζωής μας όπως το τι ψωνίζουμε, ποιος είναι ο κοινωνικός μας περίγυρος, ποιο είναι το καθημερινό μας πρόγραμμα, τα ιατρικά, τραπεζικά στοιχεία μας κ.α. Ακολουθούν δυο άρθρα δημοσιευμένα σε περιοδικά και εφημερίδες του εξωτερικού, σε περίπτωση που το άρθρο λόγω της μετάφρασης στερείται συνοχής δεν έχετε παρά να διαβάσετε το γνήσιο αγγλικό άρθρο που παρατίθεται κάθε φορά στην αρχή…

Άρθρο από τον John Naughton στην ηλεκτρονική έκδοση της The guardian δημοσιευμένο την Παρασκευή 21 Ιουνίου 2013. (αυθεντικό άρθρο)

obamaΓια να μας θυμούνται μετά θάνατον”, έγραψε ο Hazlitt, “δεν είναι παρά η ταπεινή ανταπόδοση του ότι αντιμετωπιζόμαστε με περιφρόνηση, κατά την διάρκεια της Ζωής μας.” φράση που χαρακτηρίζει εύστοχα την στάση του Πρόεδρου “George W” Obama στο ζήτημα των τηλεφωνικών υποκλοπών από την NSA. Το γεγονός ότι, για τα τελευταία επτά χρόνια η NSA συνέλεγε στοιχεία από κάθε τηλεφωνική κλήση που πραγματοποιούνταν στις Ηνωμένες Πολιτείες χωρίς να υπάρχει ένταλμα, δεν πτόησε τον Obama να τονίσει με έμφαση, ότι παρόλα αυτά δεν υπάρχει κανένας λόγος ανησυχίας για τους Αμερικανούς πολίτες. Μάλιστα υποστήριξε με σθένος “Κανείς δεν ακούει τις τηλεφωνικές σας κλήσεις”. Η σκυτάλη στη συνέχεια πέρασε στην Dianne Feinstein, πρόεδρο της Επιτροπή Πληροφοριών της Γερουσίας, η οποία προσπάθησε για άλλη μια φορά να θολώσει το τοπίο λέγοντας: “Αυτά είναι μόνο μεταδεδομένα (metadata), δεν περιλαμβάνεται στις βάσεις δεδομένων το περιεχόμενο των κλήσεων

Σε αυτό το σημείο η πρώτη σκέψη στο μυαλό κάποιου είναι: Για πόσο ηλίθιους μας περνάνε; Φυσικά δεν υπάρχει περιεχόμενο που περιλαμβάνεται στις υποκλοπές, για τον απλούστατο λόγο ότι το περιεχόμενο είναι σχεδόν αδύνατο να παρακολουθηθεί μαζικά με βάση την υπάρχουσα τεχνολογία επιτήρησης. Πρώτον, θα πρέπει κάποιος να ακούσει τα άπειρα δεδομένα των ηχογραφήσεων, που απαιτεί πολλούς ανθρώπους (διότι ακόμη και σήμερα, οι υπολογιστές δεν είναι σχεδιασμένοι στην κατανόηση καθημερινής συνομιλίας) και απαιτεί πολύ χρόνο. Και παρόλο που η γερουσιαστής Feinstein εκ παραδρομής ανέφερε ότι το FBI απασχολεί ήδη 10.000 άτομα “που ασχολούνται με συλλογή πληροφοριών για την καταπολέμηση της τρομοκρατίας”, ακόμη συγκριτικά και με την περιβόητη Stasi δεν υπάρχει καμία σχέση με τα άπειρα δεδομένα φωνής που η Verizon (πάροχος υπηρεσιών τηλεφωνίας και ίντερνετ στις ΗΠΑ) θα έπρεπε να συλλέξει και να αναλύσει…

Έτσι, με βάση την υπάρχουσα τεχνολογία, το περιεχόμενο δεν είναι το πιο σημαντικό. Είναι τα μεταδεδομένα (metadata) – το ιστορικό κλήσεων που δείχνουν ποιος κάλεσε ποιον, από την οποία γεωγραφική τοποθεσία και για πόσο χρονικό διάστημα, αυτό που οι μυστικές υπηρεσίες πραγματικά θέλουν. Γιατί ; Διότι αυτό είναι εύκολα επεξεργάσιμο από τους υπολογιστές, και ως εκ τούτου μπορούν τα δεδομένα να κατηγοριοποιηθούν και μετά εκ νέου να αναζητηθούν όταν αυτό είναι αναγκαίο. Φανταστείτε, για μια στιγμή, ότι είστε ένας υπάλληλος της NSA στο Fort Meade στο Maryland. Έχετε έναν αριθμό surveillanceτηλεφώνου από κάποιον που θεωρεί η Υπηρεσία ως δυνητικά «ενδιαφέρων». Πληκτρολογήστε τον αριθμό του στο πεδίο αναζήτησης και κατευθείαν εμφανίζεται μια λίστα με κάθε τηλεφωνική συσκευή που έχει ποτέ κληθεί από αυτόν τον αριθμό, ή έχει καλέσει αυτόν. Μετά από αυτό, είναι ένα θέμα δευτερολέπτων πριν να έχετε ένα γράφημα του δικτύου δευτέρου, τρίτου και τέταρτου βαθμού συνδέσεων με τον αρχικό αυτόν αριθμό. Κάντε αντιστοίχηση των δεδομένων με ηλεκτρονικούς καταλόγους για να πάρετε τα ονόματα και τις διευθύνσεις των εμπλεκομένων στο γράφημα, στην συνέχεια να αποκτήσετε μια μυστική άδεια από το δικαστήριο (το οποίο έχει 11 ομοσπονδιακούς δικαστές, έτσι ώστε να μπορεί να καθίσει να εξετάσει κάθε υπόθεση όλο το εικοσιτετράωρο, επτά ημέρες την εβδομάδα), μετά θέστε σε λειτουργία το σύστημα Prism που θα κάνει εξειδικευμένες αναζητήσεις στο Facebook και σε άλλα μέσα κοινωνικής δικτύωσης και μετά φτιάξτε καφέ, ενώ περιμένετε τα αποτελέσματα. Επαναλάβετε τη διαδικασία με τις προκύπτουσες λίστες επαφών και – μπίνγκο! – Έχετε ένα πρόγραμμα μαζικής παρακολούθησης τόσο καλό που ακόμα και ο ίδιος ο Βλαντιμίρ Πούτιν δεν θα μπορούσε να θέσει σε λειτουργία. Και με αυτό τον τρόπο ποτέ δεν χρειάζεται να λερώσετε τα χέρια σας – ή την συνείδησή σας – με αυτό το πολύτιμο “περιεχόμενο” των συνομιλιών, για το οποίο σκοτίζονται τόσο οι υπέρμαχοι των πολιτικών ελευθεριών…

Αλήθεια οι άνθρωποι πιστεύουν “αυτή την χαζή ιστορία με τα metadata;” Αν πράγματι το κάνουν, η εξήγησή μου είναι ότι αυτό συμβαίνει γιατί δεν μπορούν να αναλογιστούν, το πόσο η ασύρματη τεχνολογία έχει εισχωρήσει στις ζωές μας ή την ποσότητα των δεδομένων που υπηρεσίες όπως η NSA συλλέγουν εδώ και καιρό. Οι περισσότεροι άνθρωποι σίγουρα ίσως νιώσουν άβολα αν μάθαιναν σε τι βαθμό θα μπορούσε να περιγράψει τις ζωές τους ο πάροχος κινητής τηλεφωνίας τους αν αυτό χρειαζόταν. Ίσως να μπορούσε να μαντέψει ακόμα και πότε ξεπερνούσαν το όριο ταχύτητας με το αυτοκίνητό τους. Πριν από τέσσερα χρόνια ο Malte Spitz ένας Γερμανός πολιτικός του κόμματος των Πρασίνων, έκανε αγωγή στην Deutsche Telekom για να παραλάβει τα δεδομένα κλήσεων του από τους προηγούμενους έξι μήνες και στη συνέχεια τα έθεσε στην διάθεση της εφημερίδας Zeit Online. Η εφημερίδα στη συνέχεια, παρουσίασε ό,τι κάθε αξιοπρεπή και λειτουργική υπηρεσία σαν την NSA θα μπορούσε να κάνει : να συνδυάσει δεδομένα γεωγραφικής θέσης του τηλεφώνου(geolocation) με πληροφορίες σχετικά με τη ζωή του ως πολιτικός – Twitter feeds, αναρτήσεις σε blog και ιστοσελίδες – για να δημιουργήσει τελικά ένα εξαιρετικό γράφημα μιας μέρας της ζωής του.

Είναι αυτή η αποκαλυπτική δύναμη που επιτρέπει στα metadata να εκθέσουν για τον στόχο πολύ περισσότερα από ότι ο ίδιος ο στόχος θα μπορούσε να πει για τον εαυτό του. Τα metadata, λέει ο Matt Blaze, ένας ερευνητής κρυπτανάλυσης στο Πανεπιστήμιο της Πενσιλβανία, είναι το περιβάλλον που μας περιγράφει.  Μπορεί να αποκαλύψει για εμάς – σαν άτομα και σαν μέλη μιας ομάδας – πολύ περισσότερα από τις λέξεις που χρησιμοποιούμε εμείς οι ίδιοι για να περιγράψουμε τον εαυτό μας. Το περιβάλλον αυτό δίνει την δυνατότητα μιας εκ βαθέως ανάλυσης του ποιοι είμαστε και ποιες είναι οι μεταξύ μας σχέσεις οι οποίες πολλές φορές μπορεί να μην είναι τόσο εμφανείς. Ένα πλήρες σύνολο καταγεγραμμένων κλήσεων για μια ολόκληρη χώρα είναι σίγουρα ένα δείγμα τού όχι μόνο πώς το εκάστοτε τηλέφωνο χρησιμοποιείται, άλλα σε συνδυασμό με σύγχρονο λογισμικό, τη σημασία που έχει ο ένας για τον άλλο, τα ενδιαφέροντά μας, τις αξίες και τους διάφορους ρόλους που παίζουμε. Έτσι τελικά, ακόμη και αν ποτέ η NSA δεν “ακούσει” ούτε μια ενιαία τηλεφωνική συνομιλία, θα εξακολουθεί να είναι σε θέση να χτίσει ότι o Blaze αποκαλεί «μια εθνική βάση δεδομένων συσχέτισης» .

Άρθρο από τον Mike Masnick δημοσιευμένο στις 8 Ιουλίου 2013

Μετά από τις αποκαλύψεις σχετικά με τις μεθόδους επιτήρησης της NSA, έχει προκύψει παραδόξως μια ομάδα υπερασπιστών του προγράμματος παρακολούθησης που ισχυρίζονται ότι τα δεδομένα που συλλέγονται είναι απλά μεταδεδομένα – “Its just metadata”. Αυτό είναι λάθος σε διάφορα επίπεδα. Πρώτα απ’ όλα, μόνο λίγα από τα προγράμματα που ήρθαν στο φως της δημοσιότητας από τις αποκαλύψεις του Snowden αφορούν μόνο metadata. Τα από πολλούς λεγόμενα “business record data” είναι metadata, αλλά χρησιμοποιώντας άλλο λογισμικό όπως το PRISM, μπορεί επίσης να περιλαμβάνουν ακόμη και πραγματικό περιεχόμενο. Αλλά, ακόμα κι αν μιλάγαμε μόνο για metadata, η ιδέα ότι τα metadata δεν είναι σημαντική υπόθεση, και ότι οι άνθρωποι δεν έχουν να ανησυχούν για τίποτα το οποίο σχετίζεται με metadata είναι απλά γελοία για όποιον γνωρίζει έστω και το παραμικρό για τα metadata. Στην πραγματικότητα, όποιος ισχυρίζεται ότι “είναι απλά metadata”, σε μια προσπάθεια να υποβαθμίσει την υπόθεση το μόνο που καταφέρνει να αποδείξει είναι ότι ξέρει ελάχιστα για το τι είναι τα metadata. Παρακάτω παρουσιάζονται μερικά παραδείγματα που αποδεικνύουν του λόγου το αληθές.

Μόλις πριν από λίγους μήνες, το επιστημονικό περιοδικό Nature δημοσίευσε μια μελέτη για το πώς ελάχιστα metadata μπορούν να αποκαλύψουν πολλά πράγματα, με τίτλο “Unique in the Crowd: Τα όρια της ιδιωτικής ζωής της ανθρώπινης κινητικότητας” του Yves – Alexandre de Montjoye , Cesar Α. Hidalgo , Michel Verleysen και Vincent D. Blondel. Το βασικό συμπέρασμα είναι ότι τα metadata αποκαλύπτουν ένα τεράστιο σύνολο από πληροφορίες.

Aκόμη και ασαφή σύνολα μεταδεδομένων δε παρέχουν σχεδόν καμία ανωνυμία :

Ένα σύνολο ανώνυμων δεδομένων δεν περιέχει όνομα, διεύθυνση κατοικίας, αριθμό τηλεφώνου ή άλλα εμφανή αναγνωριστικά κάποιου ατόμου. Ωστόσο, εάν τα πρότυπα του ατόμου είναι αρκετά μοναδικά, άλλα δεδομένα ενδέχεται να μπορούν να χρησιμοποιηθούν για να συνδέσουν τα αρχικά δεδομένα μοναδικά με ένα άτομο. Για παράδειγμα, σε μια μελέτη, μια ιατρική βάση δεδομένων κατάφεραν με επιτυχία να την αντιστοιχίσουν με μια λίστα με ψηφοφόρους και έτσι τελικά αποκαλύψουν το αρχείο υγείας του κυβερνήτη της Μασαχουσέτης. Σε μια άλλη περίπτωση, τα δεδομένα ενός κινητού τηλεφώνου κατάφεραν να τα συνδυάσουν με τα top locations χρηστών. Τέλος, μέρος του συνόλου των δεδομένων Netflix challenge κατάφεραν να τα συνδυάσουν με πληροφορίες από την διαδικτυακή βάση ταινιών – internet movie database και να εξάγουν διάφορα χρήσιμα συμπεράσματα.

Συμπερασματικά, ο ευρύς όγκος δεδομένων κινητικότητας, η μοναδικότητα της ανθρώπινης κινητικότητας και οι πληροφορίες που μπορούν να συναχθούν από αυτές τονίζουν τη σημασία της κατανόησης των ορίων της ιδιωτικής ζωής της ανθρώπινης κινητικότητας (τα δεδομένα του πού βρίσκεται ένας άνθρωπος μια χρονική στιγμή για μεγάλο χρονικό διάστημα). Θα δείξουμε ότι η μοναδικότητα της ανθρώπινης κινητικότητας είναι υψηλή και ότι οι βάσεις δεδομένων της κινητικότητας είναι πιθανό να είναι περαιτέρω αναγνωρίσιμες με πληροφορίες μόνο για τοποθεσίες. Τέλος, δείχνουμε ότι ένας μαθηματικός τύπος καθορίζει τη μοναδικότητα των ιχνών κινητικότητας παρέχοντας μαθηματικά όρια για την προστασία της ιδιωτικότητας των δεδομένων κινητικότητας. Η μοναδικότητα των διαδρομών μπορεί να μειωθεί σύμφωνα με μια συνάρτηση δύναμης με έναν εκθέτη που αυξάνει γραμμικά με τον αριθμό των γνωστών χωροχρονικών σημείων. Αυτό σημαίνει ότι ακόμη και ασαφή σύνολα δεδομένων παρέχουν μικρή ανωνυμία .

Μερικά από τα στοιχεία που παρουσιάστηκαν δείχνουν πόσο εύκολο είναι να παρακολουθηθούν τα άτομα και οι θέσεις τους, το οποίο μπορεί να σκιαγραφήσει ένα αρκετά σημαντικό και αποκαλυπτικό πορτραίτο του ποιοι είμαστε και τι έχουμε κάνει. Σε μια συνέντευξη, ένας από τους συντάκτες της δημοσίευσης του περιοδικού Nature είπε ότι τα metadata δημιουργούν ουσιαστικά ένα “δακτυλικό αποτύπωμα”, που είναι μοναδικό για τον καθένα και εύκολα μπορεί να προσομοιαστεί με ταυτότητά του κάθε ανθρώπου :

imagemetadata1

Χρησιμοποιούμε την αναλογία του δακτυλικού αποτυπώματος”, δήλωσε ο de Montjoye σε μια τηλεφωνική συνέντευξη σήμερα. “Στη δεκαετία του 1930, ο Edmond Λόκαρντ, ένας από τους πρωτοπόρους της εγκληματολογικής επιστήμης, έδειξε ότι κάθε δακτυλικό αποτύπωμα είναι μοναδικό και θα πρέπει να είναι γνωστά 12 σημεία για να το εντοπίσουν. Έτσι, αυτό που κάναμε εδώ είναι ότι πήραμε μια μεγάλης κλίμακας βάση δεδομένων των ιχνών κινητικότητας και ουσιαστικά υπολογίσαμε τον αριθμό των σημείων, έτσι ώστε το 95% των ανθρώπων θα μοναδικό στο σύνολο δεδομένων μας”.

Άλλοι ανακάλυψαν παράλληλα το ίδιο σχεδόν πράγμα. Ο Ethan Zuckerman , ο οποίος πρόσφατα συνδίδαξε μια τάξη με έναν από τους συγγραφείς της αναφερθείσας δημοσίευσης, τον Cesar Hidalgo, έγραψε για το πώς δύο μαθητές στην τάξη, μαζί με τον Hidalgo, δημιούργησαν ένα έργο που ονομάζεται Immersion, η οποία λαμβάνει Gmail metadata (“the just metadata stuff”) και χάρτες από το κοινωνικό σας δίκτυο. Όπως σημειώνει ο Zuckerman, η ειδική του χρήση του προγράμματος Immersion αποκαλύπτει κάποια πράγματα που θα μπορούσαν να αμφισβητηθούν ή να εξελιχθούν σε πολύ επικίνδυνα. Αυτός σχολιάζει ένα σύνολο metadata σαν αμιγώς “προφανή”, το οποίο θα τον κάνει εύκολα αναγνωρίσιμο, αλλά το οποίο κατά πάσα πιθανότητα δεν μπορεί να χαρακτηριστούν ως “αμφισβητήσιμα”. Ωστόσο, ο ίδιος σημειώνει επίσης μερικά πιθανά προβληματικά πράγματα, καθώς :

imagemetadata2

Όποιος με γνωρίζει αρκετά καλά θα μπορούσε να φανταστεί την ύπαρξη αυτών των κοινωνικών δεσμών. Αλλά υπάρχουν και άλλα στοιχεία στο γράφημα που είναι πιο περίπλοκα να αναγνωστούν και δυνητικά πιο ευαίσθητα ζητήματα που σχετίζονται με προσωπικά δεδομένα. Οι κοντινοί μου συνεργάτες από το Media Lab είναι οι φοιτητές μου και το προσωπικό του εργαστηρίου μου – ο Cesar είναι ο μόνος κόμβος του Media Lab (βλέπε γράφημα) που δεν είναι συνδεδεμένος με τον Civic που εμφανίζεται στο γράφημα του δικτύου μου, γεγονός που υποδηλώνει ότι συνεργάζομαι λιγότερο με τους συναδέλφους του Media Lab από ότι θα φανταζόμουν ότι θα συνεργαζόμουν. Θα μπορούσε κανείς μελετήσει τις σχέσεις μου με τους μαθητές μου αν συμβουλευτεί τον όγκο των email που ανταλλάσσω μαζί τους. Θα συμπέρανα ότι τα πρότυπα αυτά έχουν να κάνουν με τα προτιμώμενα κανάλια επικοινωνίας μας, αλλά αυτό δείχνει σίγουρα ποιος απαιτεί και τελικά λαμβάνει την προσοχή μου με επικοινωνία μέσω email. Με άλλα λόγια, η απουσία από ένα κοινωνικό χάρτη είναι τουλάχιστον εξίσου αποκαλυπτική όσο και η παρουσία σε αυτόν.

Παράλληλα, περισσότερο από δύο χρόνια πριν, γράψαμε για το πώς ένας Γερμανός πολιτικός που ονομάζεται Malte Spitz απέκτησε πρόσβαση σε όλα τα metadata που η Deutsche Telekom κατείχε για αυτόν για μια περίοδο έξι μηνών, και στη συνέχεια συνεργάστηκε με τη γερμανική εφημερίδα Die Zeit έτσι ώστε να πραγματοποιήσουν μαζί μια καταπληκτική γραφική απεικόνιση που επιτρέπει να παρακολουθήσει κανείς έξι μήνες της ζωής του, αποκλειστικά μέσω των καταγεγραμμένων metadata του, σε συνδυασμό με δημόσιες πληροφορίες, όπως οι δημοσιεύσεις του στο Twitter. Ενώ όλα αυτά αποκαλύφθηκαν πριν από δύο χρόνια, μόλις πρόσφατα, ο Spitz έγραψε ένα άρθρο στους New York Times σχετικά με το πώς αυτό η φράση “just metadata” σημαίνει εν τέλει ότι είναι δύσκολο να εμπιστεύεται κανείς την κυβέρνηση των ΗΠΑ.imagemetadata3Στη Γερμανία, κάθε φορά που η κυβέρνηση αρχίζει να παραβιάζει τις ατομικές ελευθερίες, η κοινωνία αντιδρά. Λαμβάνοντας υπόψη την ιστορία μας, εμείς οι Γερμανοί δεν είμαστε διατεθειμένοι να εμπορευθούμε την ελευθερία μας για δυνητικά περισσότερη ασφάλεια. Οι Γερμανοί έχουν βιώσει από πρώτο χέρι τι συμβαίνει όταν η κυβέρνηση γνωρίζει πάρα πολλά για κάποιον πολίτη. Κατά τα τελευταία 80 χρόνια, αρκετοί Γερμανοί έχουν αισθανθεί προδοσία από τους γείτονες τους οι οποίοι ενημέρωσαν την Γκεστάπο για αυτούς και ο φόβος ότι ακόμα και οι καλύτεροι φίλοι τους μπορεί να είναι δυνητικοί πληροφοριοδότες της Στάζι (μυστική αστυνομία της ανατολικής Γερμανίας). Σε πολλά σπίτια είχαν εγκατασταθεί κοριοί παρακολούθησης και εκατομμύρια Γερμανών ήταν υπό συνεχή παρακολούθηση.

Παρά το γεγονός ότι αυτές οι δύο δικτατορίες, το ναζιστικό και το κομμουνιστικό καθεστώς, έχουν πια σταματήσει να υπάρχουν και τώρα ζούμε σε μια ενιαία και σταθερή “δημοκρατία”, δεν έχουμε ξεχάσει τι συμβαίνει όταν η μυστική αστυνομία και οι μυστικές υπηρεσίες αγνοούν την προστασία της ιδιωτικής ζωής. Αποτελεί αναπόσπαστο κομμάτι της ιστορίας μας και δίνει σε μικρούς και μεγάλους σε μια κρίσιμη αντίληψη για τα κρατικά συστήματα παρακολούθησης.

Η φράση “Just metadata” δεν είναι “Just” (τίποτα), πέρα από μια μαζική παραβίαση των βασικών δικαιωμάτων της ιδιωτικής μας ζωής.
 

Άλλα άρθρα που μπορεί κάποιος να διαβάσει σχετικά με τα metadata:

Οδηγός για metadata απο τον The Guardian εδώ

Αρθρο του επιστημονικού περιοδικού Nature, με τίτλο “Unique in the Crowd

]]>
https://skytal.es/blog/articles/dont-worry-we-dont-collect-your-data-we-only-collect-metadata/feed/ 1
Άσε το κινητό σου σπίτι (τελευταίο μέρος) https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/ https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/#comments Thu, 24 Jan 2013 12:51:44 +0000 https://skytal.es/blog/?p=185 ]]> σε συνέχεια του δεύτερου μέρους

Resnick: Τι πρέπει να γνωρίζουμε για τα κινητά τηλέφωνα; Είναι δύσκολο να φανταστούμε να πηγαίνουμε σε μια διαμαρτυρία χωρίς κινητό. Αλλά όπως όλες οι δικτυακές τεχνολογίες, σίγουρα έχουν δύο όψεις…

Appelbaum: Τα κινητά τηλέφωνα είναι συσκευές εντοπισμού που κάνουν τηλεφωνικές κλήσεις. Είναι λυπηρό αλλά και αληθινό. Που σημαίνει ότι οι λύσεις όσον αφορά το λογισμικό του κινητού τηλεφώνου δεν έχουν ιδιαίτερη σημασία. Μπορείς να έχεις ένα σύνολο από ασφαλείς εφαρμογές εγκατεστημένες στο κινητό σου, αλλά αυτό δεν αλλάζει το γεγονός ότι εξακολουθεί να σε εντοπίζει όπου κι αν είσαι. Και η αστυνομία μπορεί ενδεχομένως να σπρώξει ενημερώσεις στο κινητό σου που θα εγκαθιστούν μια “πίσω πόρτα” και να επιτρέπουν την απομακρυσμένη ενεργοποίση του μικροφώνου και άλλα τέτοια. Η αστυνομία μπορεί να αναγνωρίσει τους πάντες σε μια διαμαρτυρία, φέρνοντας μια συσκευή που λέγεται συλλέκτης IMSI. Είναι μια ψεύτικη κεραία για κινητά τηλέφωνα που μπορεί να κατασκευαστεί με 1500 δολάρια. Και όταν η κεράια αυτή είναι κοντά, τα τηλέφωνα όλων θα συνδεθούν πάνω της αυτόματα, και καθώς τα κινητά τηλέφωνα εκπέμπουν ένα μοναδικό αναγνωριστικό, το μόνο που έχει να κάνει η αστυνομία είναι να συλλέξει τα αναγνωριστικά αυτά και να πάει στην τηλεφωνική εταιρεία να ζητήσει πληροφορίες για αυτά.

R: Άρα λοιπόν τα κινητά τηλέφωνα είναι συσκευές εντοπισμού. Μπορούν ακόμα να χρησιμοποιηθούν και για υποκλοπές συνομιλιών. Αν βγάλουμε την μπαταρία από ένα κινητό απενεργοποιούμε τη δυνατότητα αυτή;

Α: Ίσως. Αλλά τα iPhone για παράδειγμα, δεν έχουν αφαιρούμενη μπαταρία, απενεργοποιούνται μέσω ενός κουμπιού. Οπότε αν έγραφα ένα πρόγραμμα “πίσω πόρτα” για το iPhone θα το έβαζα να εμφανίζει μια κενή μαύρη οθόνη. Και όταν πάταγες το κουμπί να ανοίξει, θα παρίστανε πως μπαίνει σε διαδικασία εκκίνησης. Σαν να παίζει δύο βίντεο.

R: Και πόσο εύκολο είναι να φτιάξεις κάτι σαν αυτό;

A: Υπάρχουν σετ εργαλείων που πωλούνται από εταιρείες όπως η FinFisher που δίνουν τη δυναότητα να διαρρήξεις κινητά τηλέφωνα όπως BlackBerry, Android, iPhone, Symbian και άλλες πλατφόρμες. Με ένα και μόνο κλικ, η αστυνομία για παράδειγμα, μπορεί να αποκτήσει τον έλεγχο ενός κινητού τηλεφώνου και άρα να “έχει” το άτομο που το χρησιμοποιεί.

R: Μάλιστα. Τον Νοέμβριο του περασμένου χρόνου, η Wall Street Journal, πρώτη αναφέρθηκε σε αυτή την νέα παγκόσμια αγορά της τεχνολογίας επιτήρησης και δημιούργησε έναν “Κατάλογο Παρακολούθησης” στον ιστότοπό της, που περιελάμβανε έγγραφα εταιρειών που συμμετείχαν σε ένα μυστικό συνέδριο για την παρακολούθηση που έλαβε χώρα στην Washington D.C. Ακόμα το Wikileaks έχει δημοσιεύσει έγγραφα για τις εταιρείες αυτές. Η βιομηχανία αυτή μεγάλωσε απότομα και έχει διαστάσεις μια αγοράς 5 δις δολλαρίων το χρόνο. Και παρόλο που οι εταιρείες αυτές που κατασκευάζουν και πωλούν τον εξοπλισμό αυτό, λένε ότι είναι διαθέσιμος μόνο σε κυβερνήσεις και την αστυνομία και έχει ως σκοπό την σύλληψη εγκληματιών, οι επικριτές λένε ότι πρόκειται απλώς για μια νέα αγορά όπλων που προμηθεύει τις κυβερνήσεις των δυτικών κρατών και άλλα καταπιεστικά καθεστώτα.

A: Είναι τρομακτικό το πόσο εύκολα μπορείς να βρεις αυτά τα προϊόντα. Μια εταιρεία φτιάχνει λογισμικό με “πίσω πόρτες”, και το πουλάει και λέει εμπιστευθείτε μας, μόνο οι καλοί θα το χρησιμοποιήσουν… βασικά, δεν ξέρουμε να ασφαλίζουμε τα υπολογιστικά συστήματα και όποιος λέει το αντίθετο λέει μαλακίες. Αν μπορεί κάποιος να χακάρει την Google, την Boeing, την Lockheed Martin, αν διέρρευσαν αρχεία σχεδίασης και επικοινωνίας της Marine One, είναι ρεαλιστικό να συμπεράνουμε ότι είναι δυνατή η απόλυτη ασφάλεια; Γνωρίζοντας ότι έτσι έχουν τα πράγματα, το σωστό είναι να μην υπάρχει καμιά πίσω πόρτα (που να δίνει πρόσβαση σε δεδομένα χρηστών). Ή απλά να υποθέσουμε ότι οποιαδήποτε πίσω πόρτα θα χρησιμοποιηθεί κακόβουλα και καταχρηστικά, οπότε το μόνο που μας μένει είναι να τις παρακάμπτουμε με τρόπο ώστε τα δεδομένα που θα φαίνονται(χρησιμοποιώντας πίσω πόρτες) να μην έχουν κανένα ενδιαφέρον. Όπως για παράδειγμα οι κρυπτογραφημένες τηλεφωνικές κλήσεις – πράγματι μπορούν να υποκλέψουν τα δεδομένα, αλλά το μόνο που θα λαμβάνουν είναι θόρυβος.
[…]

R: Λοιπόν, ένα πράγμα που έχω ακούσει αρκετές φορές σε συναντήσεις όταν εμφανίζεται μια κουλτούρα ασφάλειας είναι ότι… να, υπάρχει η αίσθηση ότι η υπερβολική πρόληψη διογκώνεται σε (ή προέρχεται από την) παράνοια, και ότι η παράνοια τροφοδοτεί την έλλειψη εμπιστοσύνης και όλο αυτό μπορεί να οδηγήσει στην παράλυση και σε ένα είδος αδράνειας. Πώς θα απαντούσες σε κάτι τέτοιο;

A: Οι άνθρωποι που λένε κάτι τέτοιο, αν δεν είναι μπάτσοι, αισθάνονται αδύναμοι. Η πρώτη τους αντίδραση είναι “δεν είμαι σημαντικός”. Και η δεύτερη είναι, “δεν με παρακολουθούν”, κι ακόμα κι αν το κάνουν, δεν μπορούν να βρουν τίποτα διότι δεν κάνω κάτι παράνομο. Αλλά το θέμα είναι ότι, το να λαμβάνεις μέτρα προστασίας στις επικοινωνίες σου είναι σαν το σέξ με προφυλάξεις. Έχεις μια ευθύνη απέναντι σε άλλους ανθρώπους να είσαι ασφαλής – τα λάθη σου μπορεί να επηρεάσουν κι άλλους. Και η πραγματικότητα είναι ότι θα το καταλάβεις όταν είναι ήδη αργά. Δεν μιλάμε για την τέλεια προστασία, μιλάμε πρωτίστως για την αναγνώριση από τον καθένα ότι έχει την ευθύνη να παίρνει μέτρα προστασίας, και να κάνει ο,τι καλύτερο μπορεί χωρίς να χαλάει τις επικοινωνίες του, χωρίς να καταστρέφει τη μέρα του και καταλαβαίνοντας ότι μερικές φορές δεν είναι ασφαλές να υποτιμάς μερικά πράγματα, ακόμα κι αν το έκανες άλλες φορές. Αυτό είναι το μάθημα. Λοιπόν, η κουλτούρα της ασφάλειας ακούγεται υπερβολική αλλά οι τεχνολογικές δυναότητες της αστυνομίας, και ειδικά με τα διάφορα εργαλεία που πωλούνται, είναι μεγάλες. Και για να ακυρώσεις αυτό το πράγμα μπορείς να πάρεις όλα τα τηλέφωνα του πάρτυ, να τα βάλεις σε μια τσάντα και την τσάντα στο ψυγείο, και να δυναμώσεις την μουσική στο άλλο δωμάτιο – βέβαια μπορεί να υπάρχει ένας ρουφιάνος στη μάζωξη – αλλά τουλάχιστο δεν υπάρχει ηχητική καταγραφή αυτών που λέτε.

R: Υπάρχουν άλλα εργαλεία ή συμβουλές προς έναν ακτιβιστή ή οποιονδήποτε ενδιαφέρεται για τα ζητήματα αυτά;

A: Λοιπόν, είναι σημαντικό να έχουμε μια συνολική εικόνα για τη λειτουργία όλων των ηλεκτρονικών συσκευών που χρησιμοποιούμε. Πρώτα, καλό είναι να χρησιμοποιείς τον Tor Browser για να πλοηγηθείς στο internet. Να ξέρεις ότι πιθανόν η σπιτική σου σύνδεση στο internet δεν είναι ασφαλής, ιδίως αν είναι στο όνομά σου. Αν χρησιμοποιείες Mac ή Windows λειτουργικό σύστημα, να είσαι ιδιαίτερα προσεκτική. Για παράδειγμα, υπάρχει ένα λογισμικό που λέγεται “Evilgrade” που κάνει πολύ εύκολο για έναν επιτιθέμενο να εγκαταστήσει μια “πίσω-πόρτα” στον υπολογιστή σου, εκμεταλλευόμενο αδυναμίες στις αυτόματες ενημερώσεις διφόρων προγραμμάτων. Έτσι, αν για παράδειγμα έχεις το Acrobat PDF Reader της Adobe και κατεβάζεις και εγκαθιστάς τα update από την Adobe, τότε ίσως κάποια στιγμή κατεβάζεις και κάτι extra που θα είναι κακόβουλο. Και οι μπάτσοι έχουν διαφορετική αλλά καλύτερη έκδοση του λογισμικού αυτού. Και αυτό είναι ένας από τους λόγους που ενθαρρύνω τους ανθρώπους να χρησιμοποιούν Ubuntu ή Debian ή κάποια άλλη διανομή Linux αντί των κλειστών συστημάτων όπως Mac ή Windows. Επειδή υπάρχουν πολλά κενά ασφαλείας σε αυτά. Αν βρίσκεσαι σε μια ιδιαίτερα ευαίσθητη κατάσταση, χρησιμοποίησε ένα live-CD που ονομάζεται TAILS – σου προσφέρει ένα Linux λειτουργικό όπου όλη η κίνηση δρομολογείται μέσω του Tor χωρίς κάποια ρύθμιση από τον χρήστη. Ή, αν είσαι πολύγλωσσος, μπορείς να φιλοξενήσεις δεδομένα σε κάποια άλλη χώρα. Άνοιξε έναν λογαριασμό email στη Σουηδία και χρησιμοποιήσε το TAILS για πρόσβαση σε αυτόν. Το πιο σημαντικό είναι να γνωρίζεις τι επιλογές υπάρχουν. Ένα σημειωματάριο δίπλα σε μια φωτιά είναι πολύ περισσότερο ασφαλές από έναν υπολογιστή σε ορισμένες περιπτώσεις, ειδικά σε έναν υπολογιστή που δεν είναι κρυπτογραφημένος. Μπορείς πάντα απλώς να ρίξεις το σημειωματάριο στη φωτιά και να τελειώνεις.

Όσον αφορά το email, το να χρησιμοποιείς το Riseup.net είναι καλά νέα. Οι λύσεις που προσφέρουν είναι ενσωματωμένες με το Tor όσο το δυνατό περισσότερο. Είναι γαμάτοι. Εξαιτίας του τρόπου με τον οποίο λειτουργούν ένα σύστημα, είμαι σχεδόν σίγουρος ότι τα μόνα δεδομένα που έχουν είναι κρυπτογραφημένα. Και θα ήθελα να σκέφτομαι ότι οποιαδήποτε μη κρυπτογραφημένα δεδομένα έχουν, θα κάνουν το παν για να τα προστατεύσουν. Από την άλλη, ναι, μπορείς να χρησιμοποιήσεις το Tor και το Gmail μαζί, αλλά δεν είναι το ίδιο, όταν συνδέεσαι στο Gmail δεν σε ρωτάει αν θέλεις να δρομολογηθείς μέσω Tor. Επιπλέον, η Google παρακολουθεί την κίνησή σου για να βγάζει κέρδος. Θα προτιμούσα να δίνω πενήντα δολλάρια το μήνα στη Riseup για τις ίδιες υπηρεσίες που προσφέρει το Gmail, γνωρίζοντας την αφοσίωση της Riseup στην ιδιωτικότητα των χρηστών. Και γνωρίζοντας ότι θα πούνε στους μπάτσους να πάνε να γαμηθούν. Έχει μεγάλη αξία αυτό.

Όσο για το κινητό σου τηλέφωνο, θεώρησέ το μια συσκευή εντοπισμού και παρακολούθησης της επικοινωνίας σου, και αντιμετώπισέ το ανάλογα. Να είσαι πολύ προσεκτική όταν χρησιμοποιείς κινητό, αλλά σκέψου ειδικά τα μοτίβα συμπεριφοράς που παράγεις. Αν βγάλεις την μπαταρία, παράγεις μια ανωμαλία στη συμπεριφορά σου, και αυτό πιθανόν να είναι λόγος να ξεκινήσει μια εκ του φυσικού παρακολούθησή σου. Αντί για αυτό, καλύτερα μην βγάλεις την μπαταρία, απλώς άφησε το κινητό σου σπίτι. Επειδή, όπως είπα και νωρίτερα, σε έναν κόσμο που πάρα πολλά δεδομένα καταγράφονται, το μονοπάτι των δεδομένων μας αφηγείται μια ιστορία για εμάς, και ακόμα κι αν η ιστορία απαρτίζεται από αληθινά στοιχεία, δεν αντανακλά απαραίτητα την συνολική αλήθεια. Σε ένα κινητό τηλέφωνο μπορείς να εγκαταστήσεις λογισμικό όπως το OStel, το οποίο σου επιτρέπει να κάνεις κρυπτογραφημένες συνομιλίες πάνω από το internet, ή όπως το PrivateGSM – δεν είναι δωρεάν αλλά είναι διαθέσιμο για Blackberries, Android, iPhones και λοιπά. Το οποίο σημαινει ότι εάν θέλουν να υποκλέψουν το περιεχόμενο της συνομιλίας σου, πρέπει να “διαρρήξουν” το τηλέφωνό σου. Δεν είναι τέλειο. Το Gibberbot για Android, σου δίνει τη δυνατότητα να χρησιμοποιήσεις Tor και Jabber – το οποίο είναι σαν τον Google Chat – με αυτόματα ρυθμισμένο OTR. Πληκτρολογείς το jabber αναγνωριστικό σου, δρομολογεί την κίνηση μέσω Tor και όταν συνομιλείς με άλλους ανθρώπους, κρυπτογραφεί τα μηνύματα από άκρη σε άκρη, ούτως ώστε ούτε ο jabber server γνωρίζει τι λέτε. Και υπάρχει πληθώρα από τέτοια εργαλεία να διαλέξεις.

Ένα άλλο πράγμα να έχει υπόψιν είναι ο τρόπος με τον οποίο συναντιόμαστε. Εάν θέλουμε να επεξεργαστούμε κάτι συνεργατικά, υπάρχει ένα πρόγραμμα που λέγεται Etherpad. Και υπάρχει μια εφαρμογή κοινωνικής δικτύωσης που λέγεται Crabgrass, που φιλοξενείται στο we.riseup.net. Είναι σαν ένα ιδιωτικό Facebook. Το Riseup έχει αρκετά από τα δεδομένα, αλλά είναι ιδιωτικά από προεπιλογή. Έτσι είναι ασφαλή, με εξαίρεση περιπτώσεις hacking ή κάποιας νομικής διαδικασίας. Και αν το χρησιμοποιήσεις μέσω Tor Browser και δεν αποκαλύψεις ποτέ πληροφορίες για το άτομό σου, είσαι σε ένα καλό επίπεδο. Σε αντίθεση με το Facebook, που είναι κάτι σαν την Στάζι με πληροφορίες που οι χρήστες προσφέρουν εθελοντικά. Κάποια εποχή είχα λογαριασμό στο Facebook – έχει πλάκα και είναι ένας καλός τρόπος να γνωρίζεις κόσμος. Αλλά δεν είναι ασφαλές για πολιτική οργάνωση, ειδικά εάν είσαι μέλος κάποιας κοινωνικής μειονότητας, ή σε περίπτωση που δεν είσαι μέλος μια μειονότητας αλλά μια αδύναμης πλειονότητας.

Μια τελευταία σκέψη. Θα έλεγα να θυμόμαστε ότι ένα μεγάλο κομμάτι όλων των προαναφερθέντων είναι κοινωνική συμπεριφορά και όχι τεχνολογία από μόνη της. Και ακόμα ότι αν και ζούμε σε μια δυστοπική κοινωνία στο τώρα, δεν χρειάζεται να ζούμε έτσι για πάντα. Υπάρχει αυτό το αντιστάθμισμα, έτσι; Διότι, για ποιό πράγμα παλεύει το Occupy Wall Street; Η απάντηση είναι, κάτι διαφορετικό. Και αν θέλουμε να μπει ένα τέλος στην κοινωνική ανισότητα, το κράτος επιτήρησης είναι κάτι που πρέπει να αλλάξουμε. Εάν η επιτήρηση των ανθρώπων δεν έχει αξία, θα το καταφέρουμε. Λοιπόν, θα πρέπει αυτό που κάνουμε να μην μας απομακρύνει από αυτό που επιθυμούμε να δημιουργήσουμε.
_______

το άρθρο στα αγγλικά : http://nplusonemag.com/leave-your-cellphone-at-home

]]>
https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-3/feed/ 2
Άσε το κινητό σου σπίτι (μέρος δεύτερο) – Συνέντευξη με τον J.Appelbaum https://skytal.es/blog/articles/ase-to-kinito-sou-spiti-2/ Sat, 01 Dec 2012 02:36:44 +0000 https://skytal.es/blog/?p=103 ]]> σε συνέχεια του post εδώ, ακολουθεί το δεύτερο κομμάτι, με την συνέντευξη που πήρε η Sarah Resnick από τον Jacob Appelbaum.

Resnick: Πρόσφατο άρθρο στο περιοδικό Wired περιγράφει το πού και το πώς σχεδιάζει η NSA να αποθηκεύει το μερίδιο των δεδομένων που συλλέγει. Αλλά όπως εξηγεί το άρθρο, οι εγκαταστάσεις στη Utah θα έχουν άλλη μια σημαντική λειτουργία: κρυπτανάλυση, ή αλλιώς σπάσιμο της κρυπτογράφησης, καθώς μεγάλος όγκος από τα δεδομένα που κυκλοφορούν είναι ισχυρά κρυπτογραφημένα. Ακόμα αναφέρει ότι η μέθοδος κρυπτογράφησης AES, που αναμένεται να αντέξει τουλάχιστον άλλη μια δεκαετία, πιθανόν να σπαστεί από την NSA σε πολύ μικρότερο χρονικό διάστημα, αν τελικά καταφέρουν να κατασκευάσουν έναν υπολογιστή σημαντικά ταχύτερο από τα μηχανήματα που γνωρίζουμε όλοι. Αλλά για να μπούμε στην ουσία του πράγματος, η κρυπτογράφηση είναι ασφαλής;

Appelbaum :Κάποιες μέθοδοι κρυπτογράφησης είναι τόσο ασφαλείς όσο το μέγιστο κοινώς αποδεκτό επίπεδο ασφάλειας, και κάποιες άλλες δεν είναι καθόλου. Ο κανόνας υπ’αριθμόν ένα για την συλλογή πληροφοριών είναι η αναζήτηση μη κρυπτογραφημένων δεδομένων, ή αλλιώς για πληροφορίες σηματοδοσίας – ποιός μιλάει με ποιον. Για παράδειγμα, εγώ κι εσύ ανταλλάσσουμε emails και αυτη η  πληροφορία, τα μεταδεδομένα, δεν είναι κρυπτογραφημένη ακόμα κι αν τα περιεχόμενα των μηνυμάτων μας είναι. Αυτές οι πληροφορίες που συνιστούν έναν “γράφο κοινωνικών σχέσεων” αξίζουν περισσότερο από το περιεχόμενο. Έτσι, αν χρησιμοποιήσεις κρυπτογράφηση SSL (HTTPS σύνδεση) για να μιλήσεις για παράδειγμα με τον server του Occupy Wall Street, ωραία, δεν μπορούν να ξέρουν τι ακριβώς λες. Ίσως. Ας υποθέσουμε ότι η κρυπτογραφία είναι τέλεια. Βλέπουν ότι είσαι σε μια συζήτηση στο site, βλέπουν ότι και ο Bob είναι σε μια συζήτηση, το ίδιο και η Emma. Οπότε τι γίνεται; Βλέπουν ένα αρχείο του ιστότοπου, πιθανόν βλέπουν ότι κάποια μηνύματα δημοσιεύτηκαν, και βλέπουν ότι ο χρόνος δημοσίευσης των μηνυμάτων συσχετίζεται με τον χρόνο που εσείς περιηγηθήκατε στο site. Δεν χρειάζεται να γνωρίζουν πως να σπάσουν την κρυπτογράφηση, για να γνωρίζουν τι ειπώθηκε και ποιός το είπε.

R: Κι  αυτός ο τύπος επιτήρησης ονομάζεται… ;

A: Ανάλυση  κίνησης. Είναι σαν να κάθονται έξω από το σπίτι σου, να σε  παρακολουθούν καθώς έρχεσαι και φεύγεις, όπως επίσης και το σπίτι κάθε  ακτιβιστή με τον οποίον έχεις σχέση. Μόνο που το κάνουν ηλεκτρονικά. Σε παρακολουθούν, κρατάνε σημειώσεις, αντλούν πληροφορίες από τα μετα-δεδομένα της ζωής σου, από το κάθε τι που κάνεις. Μπορούν να τα χρησιμοποιήσουν για να ξεχωρίσουν έναν πυρήνα ανθρώπων ή μια ομάδα ανθρώπων ή όποια άλλη λέξη χρησιμοποιούν στη ρητορική τους όπου οι ακτιβιστές μετατρέπονται σε τρομοκράτες. Και μέσω της αναγνώρισης (των σχέσεων μεταξύ ανθρώπων), προχωρούν σε πιο συγκεκριμένη στοχοποίηση ατόμων και γι’αυτό είναι σημαντικό να κρατάμε από πριν αυτές τις πληροφορίες ασφαλείς.

Για παράδειγμα, ξέρουν ότι εμείς οι δύο συναντιόμαστε. Γνωρίζουν ότι εγώ τηρώ σωστά τους κανόνες ασφαλείας, δεν έχω τηλέφωνο, δεν έχω υπολογιστή. Θα ήταν δύσκολο να με ανιχνεύσουν εδώ, εκτός αν με ακολουθούσαν εκ του φυσικού. Αλλά σε κάθε περίπτωση μπορούν να με “έχουν” χρησιμοποιώντας εσένα. Απλώς χρειάζεται να παρακολουθήσουν το δικό σου κινητό, ή να  κλέψουν τη συσκευή ηχόγραφησης όπως θα φεύγεις. Το σημειο κλειδί είναι ότι οι κανόνες ασφαλείας πρέπει να ενσωματωθούν στις ζωές όλων, έτσι ώστε η παρατήρηση του τι κάνουμε να είναι αρκετά δυσκολότερη. Φυσικά δεν μπορεί να είναι τέλεια. Μπορούν ακόμα να μας βάλουν στο στόχαστρο, στέλνοντας για παράδειγμα κακόβουλο λογισμικό με email ή έναν σύνδεσμο σε browser που θα απειλήσει την ασφάλεια ενός συστήματος. Αλλά αν θέλουν συγκεκριμένα εμάς, τα πράγματα αλλάζουν λίγο. Για παράδειγμα, το αστυνομικό τμήμα της Νέας Υόρκης δεν πρόκειται να γράψει λογισμικό που να εκμεταλλεύται ευπάθειες συστήματος. Ίσως αγοράσουν λογισμικό για να διαρρήξουν τον υπολογιστή σου, αλλά εάν κάνουν κάποιο λάθος, μπορούμε να τους πιάσουμε. Αλλά θα είναι αδύνατο να τους πιάσουμε στην περίπτωση που απλώς βρίσκονται σε κάποιο κτίριο και απλώς διαβάζουν τα γραπτά μηνύματα που ανταλλάσσουμε, καθώς αυτά ρέουν , καθώς περνάνε από το κέντρο μεταγωγής, καθώς τα καταγράφουν. Θέλουμε να ανεβάσουμε το επίπεδο  τόσο ψηλά, ώστε να αναγκαστούν να μας επιτεθούν στα ίσια, και τότε θεωρητικά προστατευόμαστε από το νόμο, μέχρι ενός σημείου.

R: Άρα αν με συλλάβουν, και οι αποδείξεις που παρουσιάσουν είναι αποτέλεσμα στοχευμένης επίθεσης στον υπολογιστή μου, και το γνωρίζω αυτό, θα μπορούσα να κάνω κάποια προσφυγή;

A: Λοιπόν, αυτή είναι μια ενδιαφέρουσα ερώτηση. Ποιο είναι το νομικό καθεστώς όσον αφορά την εισβολή στον υπολογιστή κάποιου επειδή συμμετείχε σε διαδήλωση; Συγχαρητήρια, μπορείς να μεταφέρεις αυτό το πράγμα στο Ανώτατο Δικαστήριο, ίσως φτιαχτεί κάποιος καλός νόμος. Νομίζω η απάντηση είναι ότι θα επρόκειτο για μια μεγάλη είδηση – κανείς δεν ξέρει μπάτσους  να εισβάλλουν σε υπολογιστές πολιτών. Οι μπάτσοι εισβάλλουν σε σπίτια ανθρώπων, η τέταρτη παράγραφος του αμερικάνικού συντάγματος είναι σαφής σε αυτό – μπορούν να το κάνουν χωρίς ένταλμα.

R: Τον Γενάρη του περασμένου χρόνου, αναφέρθηκε ότι η κυβέρνηση των ΗΠΑ διέταξε το Twitter να παραδώσει τα δεδομένα του twitter λογαριασμού σου, όπως και του Julian Assange (στμ ιδρυτής του Wikileaks), του στρατιώτη Bradley Manning(στμ κατηγορούμενος για διαρροή στρατιωτικών εγγράφων και αρχείων που αναδεικνύουν ακρότητες του αμερικανικού στρατού στη Μέση Ανατολή), του ολλανδού hacker Rop Gonggrjp και της ισλανδής νομοθέτιδας Brigatta  Jonsdottir. Το πιο αξιοσημείωτο ίσως στην υπόθεση αυτή, δεν είναι η διαταγή παράδοσης των λογαριασμών αυτών, αλλά ότι οι διαταγές αυτές που συνήθως έμεναν κρυφές, έγιναν δημόσια γνωστές. Το Twitter αντέδρασε στο καθεστώς της μυστικότητας και πέτυχε το δικαίωμα να ειδοποιεί τους χρήστες σε τέτοιες περιπτώσεις. Αρκετούς μήνες αργότερα, η Wall Street Journal αποκάλυψε ότι η Google και η πάροχος υπηρεσιών Internet Sonic.net είχαν λάβει ανάλογες διαταγές να παραδώσουν τα δεδομένα σου.

A : To Twitter με ειδοποίησε. Αλλά όσον αφορά την Google και την Sonic.net, το διάβασα στην Wall Street Journal όπως όλοι οι υπόλοιποι. Τώρα μπορώ να μιλήσω για αυτό διότι το διάβασα σε μια εφημερίδα. Πρόκειται για τις διαχειριστικές διαταγές με αριθμό 2703(d). Ανάμεσα σε άλλα, ζήτησαν τις IP διευθύνσεις και τις email διευθύνσεις των ανθρώπων με τους οποίους επικοινώνησα. Η κυβέρνηση ισχυρίζεται ότι έχει το δικαίωμα να πάρει τα δεδομένα αυτά, αυτήν την σηματοδοσία ή αλλιώς τις πληροφορίες των σχέσεων, χωρίς ένταλμα. Φιμώνουν τις εταιρείες από το να το δημοσιοποιήσουν, και αυτές δεν μπορούν κάνουν κάτι, επειδή δεν είναι δικά τους δεδομένα, είναι δεδομένα του χρήστη ή είναι δεδομένα για τον χρήστη, κι έτσι δεν έχουν κάποιο νομικό πάτημα. Ακόμα η κυβέρνηση ισχυρίζεται ότι ούτε εγώ πρέπει να έχω κάποια προσδοκία ιδιωτικότητας επειδή με την θέληση μου παρέδωσα τα δεδομένα αυτά σε τρίτους. Και πράγματι τα δεδομένα μου στο Twitter δόθηκαν στην κυβέρνηση – κανείς δεν έχει γράψει για αυτό ακόμα. Κάναμε έφεση για αυτό αλλά χάσαμε, το οποίο σημαίνει ότι το Twitter αναγκάστηκε να παραχωρήσει τα δεδομένα στην κυβέρνηση, και το κατά πόσον θα μπορούν να τα χρησιμοποιήσουν εξαρτάται κι αυτό από έφεση που εκκρεμεί. Όταν αποκτούν τα δεδομένα, μην νομίζετε ότι είναι ιδιωτικά ή μυστικά, ακόμα κι αν δε μπορούν να τα χρησιμοποιήσουν ως αποδείξεις, μπορούν ακόμα να τα τα χρησιμοποιήσουν στις έρευνές τους.

R: Τον Γενάρη αυτής της χρονιάς, υπήρξε ανάλογο αίτημα προς το Twitter για τον λογαριασμό του συγγραφέα και διαδηλωτή του Occypy Wall Street, Malcolm Harris. Νομίζω ότι είναι ασφαλές να θεωρήσουμε ότι τα περιστατικά αυτά δεν είναι μεμονωμένα. Οπότε, υπάρχει τρόπος να χρησιμοποιούμε τα μέσα κοινωνικής δικτύωσης όπως το Twitter χωρίς να βάζουμε σε κίνδυνο τα προσωπικά μας δεδομένα;  Διότι αυτά τα site μπορούν να αποτελέσουν και χρήσιμα εργαλεία, εκτός των άλλων.

A: Για κάτι όπως το Twitter, μπορείς να χρησιμοποιήσεις Tor σε ένα τηλέφωνο με Android – έχουμε μια έκδοση του Tor για Android που λέγεται Orbot – για να γράφεις στο Twitter και βασικά αυτό είναι το καλύτερο που μπορείς να κάνεις. Το Twitter κρατά μια λίστα με τις IP διευθύνσεις από τις οποίες έχεις συνδεθεί στον λογαριασμό σου, αλλά αν χρησιμοποιείς Tor, δεν θα ξέρει ότι μπαίνεις από το τηλέφωνό σου. Είναι πολύ καλό (το Orbot) αλλά το κύριο πρόβλημα είναι ότι είναι λίγο περίπλοκο στη χρήση. Στον υπολογιστή σου, μπορείς να χρησιμοποιήσεις τον Tor Browser, και όταν συνδεθείς στο Twitter είσαι μια χαρά, πάλι η IP που θα φαίνεται θα αντιστοιχεί στο Tor δίκτυο. Έτσι, όταν η κυβέρνηση λέει ότι δεν μπορείς να έχεις καμιά προσδοκία ιδιωτικότητας, μπορείς να πεις εντάξει, λοιπόν εγώ πίστεύω ότι μπορώ να έχω μια προσδοκία ιδιωτικότητας και για αυτό χρησιμοποιώ το Tor. Και μην χρησιμοποιείτε τη δυνατότητα άμεσων μηνυμάτων μεταξύ χρηστών για ευαίσθητα πράγματα. Το Twitter κρατάει ένα αντίγραφο από όλα τα μηνύματα.

R: Κατά τη διάρκεια των εκλογών στο Ιράν το 2009, υπήρξε ένα κύμα διαδικτυακού ακτιβισμού και ένα νέο ιδιόκτητο κλειστό λογισμικό που ονομάζεται Haystack, έλαβε αρκετή δημοσιότητα. Το Haystack υποσχόταν στους ιρανούς ακτιβιστές κρυπτογραφημένα μηνύματα, πρόσβαση σε λογοκριμένα sites, και τη δυνατότητα να καμουφλάρουν την δικτυακή τους κίνηση. Εσύ αργότερα δοκίμασες το λογισμικό αυτό και έδειξες ότι οι ισχυρισμοί αυτοί ήταν ψεύτικοι. Για όλους εμάς που δεν έχουμε τις τεχνικές ικανότητες, πώς μπορούμε να συμπεράνουμε εάν ένα συγκεκριμένο εργαλείο είναι ασφαλές στη χρήση, ειδικά αν είναι καινούριο;

A: Πρώτα, είναι ο πηγαίος κώδικάς του διαθέσιμος; Δεύτερον, εάν οι ισχυρισμοί για το εργαλείο είναι πολύ καλοί για να είναι αληθινοί, τότε μάλλον δεν ισχύουν. Υπάρχει κομπογιαννιτίκη κρυπτογραφία και κομπογιαννίτικο λογισμικό, όπου ένα προϊόν υπόσχεται τον ουρανό με τ’άστρα. Όταν ένας προγραμματιστής υπόσχεται πως ένα ιδιόκτητο κλειστό λογισμικό είναι υπερασφαλές και χρησιμοποιείται μόνο από σημαντικούς ανθρώπους, τότε κάποιο λάκκο έχει η φάβα. Τρίτον, αυτοί που ανέπτυξαν το λογισμικό είναι μέρος της κοινότητας που έχει την φήμη ότι καταφέρνει να παρέχει όσα υπόσχεται; Αυτό είναι δύσκολο να το εκτιμήσεις αλλά ρώτα κάποιον που ξέρεις και εμπιστεύεσαι. Πώς θα έβγαινες ραντεβού με κάποιον; Πώς θα έκανες μια δράση με κάποιον; Όπως και στις περίπτωσεις αυτές, έχει σημασία η εμπιστοσύνη που μεταβιβάζεται από άτομο σε άτομο.

Ένα άλλο που πρέπει να ελέγξεις για ένα εργαλείο είναι το αν είναι αποκεντρωμένο ή όχι. Για παράδειγμα το Haystack δεν είναι, ενώ το Tor είναι πράγματι αποκεντρωμένο. Ακόμα, πώς συντηρείται; Θα βάλει διαφημίσεις στον browser σου; Ή είναι όπως το Riseup.net, του οποίου η VPN υπηρεσία δεν βγάζει χρήματα από την κίνησή σου, αλλά μέσω δωρεών, αλληλεγγύης και αμοιβαίας βοήθειας; Και αν είναι σε θέση να βάλουν διαφημίσεις στο λογισμικό, τότε είναι σε θέση να βάλουν και μια “πίσω πόρτα”. Αυτό είναι μεγάλη παγίδα – αν το κάνουν – είναι πολύ άσχημα νέα. Οπότε πρέπει να προσέχεις για αυτό. Ακόμα έχε κατά νου ότι : Η αλήθεια είναι όπως μια σφαίρα που τρυπάει τη θωράκιση των τσαρλατάνων.

Σε επόμενο post θα δημοσιευτεί το τρίτο και τελευταίο μέρος του άρθρου με την κατάληξη της συνέντευξης του Appelbaum.

]]>