Λοιπόν, φαντάσου πως υπάρχει μια κάμερα στο σπίτι σου. Στο σαλόνι σου. Μία κάμερα παρακολούθησης, σαν αυτές που βλέπεις σε κάποιον σταθμό του metro. Για την ακρίβεια όχι μόνο στο δικό σου σπίτι (γιατί πως να το κάνουμε, δεν είσαι και τόσο σημαντικός), αλλά σε κάθε σπίτι. Φαντάσου ότι υπάρχει μία σε κάθε σαλόνι. Ανατριχιαστικό, σωστά; Τι θα έκανες; Θα την άφηνες έτσι απλά να σε κοιτά επίμονα και να σε παρακολουθεί; Κάθε κίνησή σου μέσα στο ίδιο σου το σπίτι; Κι όμως αυτό συμβαίνει και τώρα. Σοβαρά. Αυτό συμβαίνει, αλλά στον ψηφιακό κόσμο. Βλέπεις, μια απλή κάμερα είναι τόσο εύκολο να την εντοπίσεις και να εκνευριστείς. Αλλά στον ψηφιακό κόσμο, ο οποίος είναι εξίσου αληθινός με τον κανονικό, οι μηχανισμοί παρακολούθησης δεν μπορούν να εντοπιστούν τόσο εύκολα.

Λοιπόν, έστω ότι έχω μια τέτοια κάμερα στο σαλόνι μου, να παρακολουθεί κάθε μου κίνηση. Και μια μέρα η Μαρία, μια φίλη μου, έρχεται για έναν καφέ. Προέρχεται από μια άλλη χώρα, με διαφορετικές μεθόδους παρακολούθησης και ξαφνιάζεται όταν βλέπει την κάμερα. “Ξέρεις ότι έχεις μια κάμερα στο σπίτι σου; Εκεί στο ταβάνι;”. Υπάρχουν πολλοί τρόποι που θα μπορούσα να αντιδράσω σε αυτό. Ο πιο προφανής θα ήταν να κοιτάξω το δάκτυλό της και όχι στο σημείο που δείχνει, υποκρινόμενος ότι δεν υπάρχει τίποτα εκεί. Ή θα μπορούσα να αρχίσω να της φωνάζω “Σταμάτα λοιπόν. Σας ξέρω εσάς, που το μόνο που κάνετε είναι να φοβίζετε τον κόσμο. Δεν υπάρχει καμία κάμερα. Μην προσπαθείς να με τρομοκρατήσεις!”. Μια άλλη αντίδραση θα ήταν πραγματικά να φοβηθώ, να λογοκρίνω τον εαυτό μου και να αρχίσω να φέρομαι όσο πιο “κανονικά” γίνεται. Ξέρεις τώρα, να κάτσω ήσυχα στην γωνία μου και να ανοίξω την τηλεόραση. Γιατί αυτό κάνουν οι κανονικοί άνθρωποι, σωστά; Δεν θέλω να φαίνομαι ύποπτος ή να τραβήξω την προσοχή αυτών που είναι πίσω από την κάμερα. Μέχρι φυσικά να πιστέψω πραγματικά πως είμαι αυτός ο άνθρωπος που παρακολουθεί όλη μέρα τηλεόραση και δεν κάνει τίποτα πέρα από το συνηθισμένο. Ή… Θα μπορούσα απλά να ευχαριστήσω την Μαρία που μου είπε το προφανές και να αρχίσουμε να σκεφτόμαστε τι μπορούμε να κάνουμε γι’ αυτό.

Λίγη ώρα αργότερα ο Γιώργος, ένας άλλος φίλος, έρχεται να μας κάνει παρέα. Ο Γιώργος είναι περισσότερο εξοικειωμένος με την τεχνολογία απ’ ότι ο μέσος άνθρωπος. Για την ακρίβεια, πολύ περισσότερο. Ξέρεις, είναι από αυτούς τους ανθρώπους που μπορείς να τους παρακολουθείς για ώρες να μιλούν μόνο με ακρωνύμια και άγνωστες λέξεις. Κάπως έτσι η συζήτηση γυρνάει στην ενοχλητική κάμερα παρακολούθησης και ο Γιώργος λέει πως υπάρχει τρόπος να προστατέψω τον εαυτό μου. Ένας τεχνικός τρόπος να κρύψω ή να θολώσω τις κινήσεις μου μέσα στο σπίτι, ώστε να μην μπορεί κάποιος να τις δει (ή τουλάχιστον να κάνω την δουλειά του πολύ πιο δύσκολη). Λοιπόν, πάλι υπάρχουν πολλοί πιθανοί τρόποι αντίδρασης. Θα μπορούσα να αρνηθώ να πάρω οποιοδήποτε μέτρο προστασίας γιατί αυτό θα με έκανε να φανώ ύποπτος. Δεν είμαι τόσο σημαντικός. Οπότε ας τους να επικεντρωθούν σε εκείνους που έχουν πραγματικά κάτι να κρύψουν. Ή θα μπορούσα να υποστηρίξω ότι είναι πολιτικό το πρόβλημα οπότε θα έπρεπε και η λύση να είναι πολιτική. Κανένα τεχνικό μέσο δεν θα βοηθήσει, οπότε και εγώ δεν θα πρέπει να ασχοληθώ με αυτά. Ή… Θα μπορούσα απλά να ευχαριστήσω τον Γιώργο που έχει την υπομονή να με εκπαιδεύσει τεχνολογικά και ναι θα έπρεπε να αναγνωρίσω πως όντως είναι πολιτικό πρόβλημα και μακροπρόθεσμα η λύση θα πρέπει να είναι πολιτική. Αλλά στο μεσοδιάστημα θα κάνω την δουλειά τους πολύ πιο δύσκολη. Θα βοηθήσω όλο τον κόσμο να μοιάζει ύποπτος.

Πολλά έγγραφα έχουν δημοσιευθεί αποκαλύπτοντας τις απίστευτα διαφοροποιημένες προσπάθειες της NSA και των εταίρων της, GCHQ και τα υπόλοιπα μέλη της συμμαχίας Five Eyes. Όλες οι δημοσιεύσεις έχουν μεγάλη αξία και ξεκίνησαν μια σημαντική διεθνή συζήτηση για το πόσο επιτέλους μπορούμε να δεχόμαστε την κυβέρνησή μας, αλλά και ξένες, να εισβάλουν στην ιδιωτική ζωή μας, στο όνομα της ασφάλειας.

Ο αριθμός των αποκαλύψεων είναι τόσο μεγάλος, σε σημείο που να είναι δύσκολο να τις παρακολουθήσεις. Μετά τον αρχικό ενθουσιασμό, έκπληξη και οργή (ως αντιδράσεις) στα δημοσιεύματα, θα πρέπει να καθίσουμε πίσω και να αξιολογήσουμε αυτά που μόλις μάθαμε προκειμένου να κατανοήσουμε σε βάθος ποιες πραγματικά είναι οι πολιτικές, κοινωνικές και τεχνικές επιπτώσεις των κατασκοπευτικών προγραμμάτων που αποκαλύπτονται.

Μεταξύ των πολυάριθμων δημοσιεύσεων, μερικά έγγραφα που διέρρευσαν δίνουν μια ιδιαίτερα δραματική εικόνα για την ακεραιότητα και την αξιοπιστία του Διαδικτύου.

Η Αρχιτεκτονική

Το Διαδίκτυο δεν είναι τίποτα άλλο από ένα δίκτυο υπολογιστών που συνδέονται μεταξύ τους, ένα περίπλοκος ιστός που πρέπει να διασχίσει κάθε κόμβος προκειμένου να έρθει σε επαφή και να επικοινωνήσει με έναν άλλο κόμβο που βρίσκεται κάπου αλλού, μακριά.

Δεν είναι μια άμεση επικοινωνία, βασιζόμαστε σε μια σειρά από άλλους υπολογιστές για να μεταφέρουν το μήνυμά μας από το σπίτι μας στην απέναντι πλευρά του δρόμου, στην άλλη πλευρά της χώρας ή στην άλλη πλευρά του κόσμου.
Για παράδειγμα, καθώς διαβάζετε αυτό το άρθρο, θα έχετε ίσως διέλθει μέσα από τουλάχιστον δέκα ή δεκαπέντε διαφορετικούς κόμβους πριν φτάσετε στον προορισμό.
Πολλά πράγματα θα μπορούσαν να πάνε στραβά ενώ το μήνυμά μας ταξιδεύει, απλά πιστεύουμε πως αυτό παραδίδεται σωστά.

Γνωρίζοντας ότι κατά τη σύνδεση με οποιαδήποτε ιστοσελίδα ή υπηρεσία στο Διαδίκτυο θα πρέπει να περάσετε μέσα από έναν απροσδιόριστο αριθμό υπολογιστών που δεν ελέγχετε, θα εμπιστεύοσασταν τυφλά ένα σωρό ξένους που λειτουργούν όλους αυτούς τους υπολογιστές για να προσέχουν την ασφάλεια των ιδιωτικών σας δεδομένων;

Πιθανώς δε θα έπρεπε, αλλά τα κακά νέα είναι ότι αυτοί οι ξένοι απέχουν πολύ από το να είναι η πιο σημαντική απειλή για την προστασία της ιδιωτικής σας ζωής.

Μαζική επιτήρηση

Όντας η πρώτη αποκάλυψη από τα έγγραφα Snowden, το PRISM ήρθε σαν κεραυνός εν αιθρία και δημιούργησε μια διεθνή κατακραυγή για τις παραβιάσεις της ιδιωτικής ζωής που σύντομα μεταφράστηκε σε μια έντονη συζήτηση σχετικά με τη νομιμότητα των δραστηριοτήτων κατασκοπείας της NSA, καθώς ακολούθησαν περισσότερες δημοσιεύσεις σχετικά με μυστικά προγράμματα.

Το PRISM έγινε αρκετά δημοφιλές και βοήθησε να επιστήσει την προσοχή του κοινού στο γεγονός πως δεν μπορούμε να εμπιστευόμαστε τυφλά τους καθιερωμένους γίγαντες του διαδικτύου όπως το Google, το Facebook και το Skype , δεδομένου ότι τελικά αυτοί πρέπει να ανταποκρίνονται στις ελεγκτικές αρχές της αμερικανικής κυβέρνησης . Ωστόσο το PRISM ήταν μόνο η αρχή και παρά τη διαφαινόμενη σταδιακή απεμπλοκή του κοινού κατά τη διάρκεια των μηνών, πολλές αποκαλύψεις που ακολούθησαν αποκάλυψαν πολύ πιο ανησυχητικές προσπάθειες της NSA και των εταίρων της να κατασκοπεύουν μαζικά στο Διαδίκτυο.

Για να καταγράψει μια εν εξελίξει επικοινωνία στο Διαδίκτυο, η NSA πρέπει ουσιαστικά να ελέγχει έναν κόμβο ενδιάμεσα από την πηγή και τον προορισμό. Κατά συνέπεια, η NSA και η GCHQ πρέπει απαραίτητα είτε οι ίδιοι να λειτουργούν αυτό τον (ενδιάμεσο) κόμβο, είτε να εξαναγκάσουν τον ιδιοκτήτη του να συνεργαστεί ή άλλιως να αποκτήσουν παράνομη πρόσβαση στον κόμβο ώστε να τον εκμεταλλευτούν (hacking).

Στην περίπτωση του προγράμματος TEMPORA για παράδειγμα, η GCHQ κατάφερε να συγκεντρώσει μεγάλες ποσότητες προσωπικών δεδομένων πολιτών από υποκλοπές υποθαλάσσιων καλωδίων οπτικών ινών που αποτελούν τη ραχοκοκαλιά του διαδικτύου, πιθανότατα μέσω συνεργασίας ή σιωπηρής συγκατάθεσης των εταιρειών που τα εκμεταλλεύονται.

Ένα από τα πιο ανησυχητικά προγράμματα που έχουν αποκαλυφθεί μέχρι στιγμής ονομάζεται XKEYSCORE, και το οποίο πιθανότατα αποτελεί την κύρια υποδομή μαζικής συλλογής δεδομένων που έχει στη διάθεσή της η NSA.
Μέσω της απόκτησης ελέγχου, με τον ένα ή τον άλλο τρόπο, των κρίσιμων κόμβων σε ολόκληρο το διαδίκτυο, η NSA έχει καταφέρει όλα αυτά τα χρόνια να δημιουργήσει ένα τεράστιο δίκτυο παθητικών αισθητήρων που συνεχώς και σιωπηλά συλλέγουν όλες τις επικοινωνίες που διέρχονται μέσα από αυτούς.
Μέσω του προγράμματος XKEYSCORE, οι αναλυτές της NSA είναι σε θέση να ψάξουν για σχεδόν οτιδήποτε διέρχεται από το Διαδίκτυο, από μια συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου ή από ένα αριθμό τηλεφώνου, μέχρι όλους όσους ταιριάζουν σε μια συγκεκριμένη συμπεριφορά, για παράδειγμα, μπορούν να ψάξουν για το αν “κάποιος ψάχνει στο διαδίκτυο για ύποπτα πράγματα” όπως προτείνεται σε μια απόρρητη διαφάνεια που έχει διαρρεύσει.

Διαφάνεια που δείχνει τους κόμβους συλλογής του προγράμματος XKEYSCORE

Το να μπορέσουν τα μέλη των “Five Eyes” να κρατήσουν την ραχοκοκαλία του Διαδικτύου που βρίσκεται εκτός της δικαιοδοσίας τους υπό τον ελεγχό τους δεν είναι ένας εύκολος στόχος, και ως εκ τούτου είναι λογικό να πιστεύουμε ότι αυτό το τεράστιο δίκτυο παρακολούθησης θα μπορούσε επίσης να αποτελείται από hacked κόμβους και servers.

Κείμενο της NSA με λεπτομέρεις για μια “κερκόπορτα” σε Cisco PIX/ASA firewalls. (Der Spiegel)

Όπως μάλιστα αποκάλυψε το Der Spiegel, η NSA έχει αρχίσει κρυφά την οικοδόμηση ικανοτήτων για την αποκτήση ελέγχου δημοφιλών συσκευών που χρησιμοποιούνται συνήθως σε νευραλγικά σημεία σε ολόκληρο το Διαδίκτυο, συμπεριλαμβανομένων συσκευών firewall των εταιρειών Cisco και Juniper, δρομολογητών της Huawei και server της Dell.

Και γίνεται χειρότερο.

Στοχευμένη επιτήρηση

Καθώς η κρυπτογράφηση αυξάνεται σε δημοτικότητα, οι παραδοσιακές υποκλοπές δεν αρκούν και όλο και συχνότερα οι αστυνομικές αρχές και οι υπηρεσίες πληροφοριών ανατρέχουν στο να προσπαθούν να μπουν κρυφά, απευθείας σε ηλεκτρονικούς υπολογιστές. Αυτό γνωρίζαμε πως συμβαίνει ήδη τα τελευταία δύο χρόνια, αλλά η NSA το έχει φέρει σε μια άνευ προηγουμένου παγκόσμια κλίμακα.

Η NSA και η GCHQ έχουν συστηματικά σαμποτάρει το Διαδίκτυο, έχουν υπονομεύσει την αρχιτεκτονική του και έχουν μετατρέψει τη ραχοκοκκαλιά του σε μια παγκόσμια πλατφόρμα εισβολής η οποία τροφοδοτείται από μια σειρά παράνομων προγραμμάτων με την ονομασία QUANTUM.

Όπως εξηγείται σε μία από τις διαφάνειες που έχουν διαρρεύσει, η συλλογή αισθητήρων της NSA, όπως το XKEYSCORE, χρησιμοποιείται ενεργά σε συνδυασμό με ένα σύνολο μυστικών προγραμμάτων που ονομάζονται TURBULENCE (αναταράξεις).
Το TURBULENCE αποτελείται κυρίως από δύο συστήματα, το TURMOIL (αναταραχή) και το TURBINE (τουρμπινα), τα οποία είναι αντίστοιχα υπεύθυνα για τον εντοπισμό πιθανών ενδιαφέροντων πρόσωπων και για την εισβολή στους υπολογιστές τους ώστε να τους ελεχουν.

Ειδικότερα το TURMOIL περιγράφεται ως «παθητικό συστήματα συλλογής υψηλής ταχύτητας που υποκλέπτει δορυφορικές, μικροκυματικές και καλωδιακές επικοινωνιές καθώς διέρχονται από τη γη» και “όμορφα” απεικονίζεται στην παρακάτω εικόνα.

Διαφάνεια από παρουσίαση με λεπτομέρειες για την υποδομή TURMOIL. (Der Spiegel)

Συγκεκριμένα το TURMOIL είναι μια κατανεμημένη συλλογή συστημάτων τα οποία είναι σε θέση να παρακολουθούν, αναγνωρίσουν και εντοπίσουν κάθε κίνηση που ταιριάζει σε μια παρεχόμενη λίστα κανόνων. Σε τεχνική ορολογία, το TURMOIL θα μπορούσε να συγκριθεί με τα συστήματα Deep Packet Inspection, τα οποία χρησιμοποιούνται συχνά σε εταιρικά περιβάλλοντα ώστε να αναλύουν την διερχόμενη κίνηση και να εντοπίζουν ανωμαλίες, όπως ιοί ή μη-επιτρεπτές δραστηριότητες, για παράδειγμα χρήστες που επισκέπτονται απαγορευμένες ιστοσελίδες.

Κάθε φορά που υπάρχει ταίριασμα ενός συγκεκριμένου κανόνα (του TURMOIL) ενεργοποιείται έπειτα το TURBINE το οποίο, σύμφωνα με την NSA, αποτελεί τη «λογική της αποστολής (mission logic)» – θα ξεκινήσει δηλαδή μια σειρά επιθέσεων.

Μέσα από το συνδυασμό αυτών των “συστατικών”, η NSA και η GCHQ είναι διαρκώς σε θέση να παρακολουθούν σχεδόν κάθε επικοινωνία στο Διαδίκτυο καθώς και να επεμβαίνουν σε αυτές, αλλά τι αποτελεί έναν στόχο για αυτές τις υπηρεσίες;
Ενδεχομένως η NSA και η GCHQ θα μπορούσαν να είναι σε θέση να στοχεύουν τον οποιονδήποτε, ωστόσο είναι σε θέση να δημιουργούν το προφίλ ενός “ενδιαφέροντος ατόμου” μέσω ενός ή περισσοτέρων «επιλογέων (selectors)», τα οποία είναι αναγνωριστικά που εφαρμόζονται σε μια σειρά από διαθέσιμους τομείς έρευνας που ονομάζονται «περιοχές (realms)».
Αυτοί οι επιλογείς μπορεί να είναι μια διεύθυνση ηλεκτρονικού ταχυδρομείου, ένα όνομα λογαριασμού ή ένα browser cookie, ενώ μια “περιοχή” μπορεί να είναι μια υπηρεσία στο Internet, όπως το Facebook ή το Twitter.

Διαφάνεια με λεπτομέρειες για τις “περιοχές” που είναι διαθέσιμες στην NSA μέσω των προγραμμάτων QUANTUM. (Der Spiegel)

Είναι ενδιαφέρον πως η GCHQ είναι σε θέση να παράσχει πρόσθετες “περιοχές” για επιλογή, αυτό κατά πάσα πιθανότητα οφείλεται είτε σε μια εκτεταμένη δυνατότητα διαβάθμισης του εργαλείου παρακολούθησης τους, είτε λόγω της δημοτικότητας ορισμένων υπηρεσιών σε συγκεκριμένες γεωγραφικές περιοχές όπου η βρετανική υπηρεσία πληροφοριών θα μπορούσε να έχει πιο εύκολη πρόσβαση.

Για να διευκολυνθεί αυτή η διαδικασία επιλογής, η NSA τρέχει μια βολική web εφαρμογή που ονομάζεται MARINA, την οποία χρησιμοποιούν αναλυτές της NSA για να αναθέσουν στην υποδομή QUANTUM να κοιτάξει για συγκεκριμένους επιλογείς και να συλλέξει όλες τις διαθέσιμες πληροφορίες σχετικά με το επιλεγμένο προφίλ, συμπεριλαμβανομένων των μηνυμάτων που ανταλλάσσονται, εμπρός και όπισθεν επαφές (ποιους έχει κάποιος ως επαφές και ποιοι τον έχουν ως επαφή αντίστοιχα), ονόματα χρηστών και κωδικούς πρόσβασης.

Διαφάνεια που παρουσιάζει πως να βρίσκει και να επιλέγει κανείς στόχους για το QUANTUM μέσω του MARINA. (Der Spiegel)

Κατά περίπτωση, οι αναλυτές της NSA είναι σε θέση στη συνέχεια να αναθέσουν το επιλεγμένο προφίλ για επιθέσεις τύπου QUANTUMTHEORY ή QUANTUMNATION, οι οποίες τελικά θα οδηγήσουν στον έλεγχο της συσκευής του στόχου (backdoor) μέσω των VALIDATOR ή SEASONEDMOTH, τα οποία είναι κωδικές ονομασίες δύο εμφυτευμάτων spyware τα οποία είναι μέρος του οπλοστασίου της NSA.

Διαφάνεια με λεπτομέρειες για την επιλογή στόχων για τις επιθέσεις μέσω QUANTUMNATION. (Der Spiegel)

Σε κάθε περίπτωση, τόσο το QUANTUMTHEORY όσο και το QUANTUMNATION βασίζονται σε μια συγκεκριμένη δικτυακή επίθεση που ονομάζεται QUANTUMINSERT.

Χάρη στο προαναφερθέν δίκτυο κόμβων που κατανέμονται σε ολόκληρο το Διαδίκτυο, σε πολλές περιπτώσεις η NSA είναι σε θέση να παρατηρεί μια σύνδεση πριν καν αυτή ολοκληρωθεί.

Για παράδειγμα, ας προσποιηθούμε πως είστε στη Γερμανία και θέλετε να συνδεθείτε με ένα διακομιστή Yahoo που βρίσκεται στη Βιρτζίνια.
Αν η NSA ελέγχει έναν κόμβο Διαδικτύου στην Ολλανδία από τον οποίο διέρχεται η συνδεσή σας, δεν θα είναι μόνο σε θέση να δεί την απόπειρα σύνδεσής σας με το Yahoo, αλλά βρίσκεται επίσης σε θέση να νικήσει το λεγόμενο «πρόβλημα της ταχύτητας του φωτός», να στείλει δηλαδή απάντηση πίσω σε σας που να φαίνεται ότι προέρχονται από το Yahoo (ενώ στην πραγματικότητα δεν είναι) πολύ πριν το Yahoo να είναι καν σε θέση να απαντήσει.
Σε αυτό το σημείο ο browser σας αντί να ανοίξει την αρχική ιστοσελίδα της Yahoo, θα σας μεταφέρει δυναμικά σε ένα διακομιστή που αόρατα και αυτόματα θα αξιοποιήσει μια ευπάθεια του υπολογιστή σας και θα τον μολύνει.
Αυτοί οι επιτιθέμενοι servers είναι μέρος μιας υποδομής που ονομάζεται FOXACID, την οποία λειτουργεί μια ειδική ομάδα εισβολέων της NSA, η μονάδα Tailored Access Operations (ΤΑΟ) (Προσαρμοσμένες Επιχειρήσεις Πρόσβασης).

Αυτή ακριβώς η διαδικασία εξηγείται σε μια διαφάνεια της NSA που διέρρευσε.

Ένα σχεδιάγραμμα της λειτουργίας των επιθέσεων QUANTUM. (Der Spiegel)

Με παρόμοιο τρόπο, μια άλλη επίθεση που ονομάζεται QUANTUMCOPPER θα μπορούσε να επιτρέψει στην NSA να επεμβαίνει αυτόματα στα αρχεία που λαμβάνετε και ενδεχομένως να εισάγει κάποια κερκόπορτα (backdoor) στην εφαρμογή την οποία είστε έτοιμοι να εγκαταστήσετε.

Βασικά δεν έχει σημασία τι θα κάνετε, αν είστε στόχος, ακόμα και η συνήθης περιήγηση στο Internet είναι αρκετή για να σας θέσει σε κίνδυνο.

Το σενάριο αυτό είναι τρομακτικό και εξωφρενικό.

Τι σημαίνει αυτό;

Το δίδαγμα αυτής της ιστορίας είναι ότι σ’ αυτό το χρονικό σημείο το Διαδίκτυο έχει στρατιωτικοποιηθεί πλήρως και σιωπηλά, χωρίς να το γνωρίζουμε. Σχηματικά, σε κάθε μονοπάτι του Διαδικτύου υπάρχει ένα κρυφό σημείο ελέγχου όπου οποισδήποτε περνάει παρακολουθείται και πιθανώς γίνεται θύμα επίθεσης.

Επιπλέον, προκειμένου να εγκαθιδρυθεί επιτυχώς αυτός ο μαζικός έλεγχος πάνω στις παγκόσμιες επικοινωνίες, η τεχνολογία έχει αποδυναμωθεί, υπονομευθεί, και διατηρηθεί ευπαθής επίτηδες, αφήνοντάς μας όλους εκτεθειμένους χωρίς καμία δυνατότητα αποκατάστασης ή τρόπο να ανατρέψουμε αυτό το καθεστώς.

Το Διαδίκτυο πάντα θεωρούνταν το τελευταίο σύνορο της ελευθερίας, όπου η ελεύθερη επικοινωνία, ο ελεύθερος λόγος και η έκφραση ήταν ακόμα δυνατά. Αυτό δεν αληθεύει πια, και μάλλον δεν ήταν έτσι εδώ και κάποιο καιρό.

Το Διαδίκτυο βρίσκεται σε κίνδυνο.

Η λειτουργία του παραβιάστηκε από έναν συνασπισμό υπηρεσιών πληροφοριών και των συμβεβλημένων τους εταιρειών, ο οποίος επιδίδεται στην πιο άγρια επίθεση που έχει καταγραφεί ποτέ ενάντια στην αρχιτεκτονική του Διαδικτύου, ισχυριζόμενοι ότι λειτουργούν για τα συμφέρονται ενός έθνους ενώ στη πραγματικότητα εκθέτουν όλους τους κατοίκους ενός χώρου που δεν γνωρίζει φυσικά σύνορα.

Τι μπορείς να κάνεις;

Τα καλά νέα είναι ότι η κρυπτογράφηση δουλεύει και είναι στην πραγματικότητα ο μόνος ρεαλιστικός τρόπος να αποτρέπεις πολλές από αυτές τις επιθέσεις που συμβαίνουν.

Εάν η επικοινωνία στο Διαδίκτυο είναι κρυπτογραφημένη, δεν είναι δυνατό να υποκλαπεί και αναδομηθεί το περιεχόμενό της και κατά συνέπεια είναι επίσης αδύνατο να πειραχτεί και να υποκλαπεί μια συνεδρία προσβάλλοντάς την ασφάλειά σου.Αυτό σίγουρα θα σταματούσε το QUANTUM ή τουλάχιστον θα αύξανε σημαντικά το κόστος του.

Η χρήση κρυπτογραφίας δεν προστατεύει μόνο την εμπιστευτικότητα των επικοινωνιών σου, αλλά βοηθά επίσης την ασφάλεια των ηλεκτρονικών συσκευών σου.

Παρόλα αυτά ακόμα και μια ανασφαλής συνεδρία μπορεί να είναι αρκετή για να εκτεθείς, και αυτός είναι ο λόγος για τον οποίο πρέπει απαραίτητα να υπερασπιστούμε μια ευρεία υιοθέτηση της κρυπτογραφίας από τους παρόχους και να εκκινήσουμε μια μετατόπιση στην κουλτούρα μας, όπου η κρυπτογράφηση θα είναι θέμα υπευθυνότητας των ανθρώπων και όχι μια κουραστική συμμόρφωση.

Ως αποτέλεσμα των αποκαλύψεων, κάθε χρήστης του Διαδικτύου που έχει συνείδηση θα πρέπει να μάθει τα βασικά της ψηφιακής αυτοπροστασίας. Από την άλλη, όσοι ασχολούνται με την τεχνολογία και όσοι αναπτύσσουν λογισμικό ανοικτού κώδικα καλούνται τώρα στα όπλα ώστε να μετατραπεί η υιοθέτηση της κρυπτογραφίας από μια πράξη ψηφιακής αντίστασης σε μια προεπιλεγμένη κατάσταση της αρχιτεκτονικής του Διαδικτύου.

Το κείμενο αυτό είναι μία μετάφραση του: https://medium.com/p/4c66984abd7d

Πριν λίγες μέρες έγινε πάρα πολύ σημαντική δίκη για το Ελληνικό Internet. Δυστυχώς όμως δεν έγινε καμία αναφορά από τους δημοσιογράφους που ασχολούνται με τα “νέα μέσα” για το θέμα, οι μόνοι οι οποίοι έχουν αναφερθεί στο θέμα και μάλιστα το έχουν παρακολουθήσει από πολύ κοντά είναι τα παιδιά του adslgr.com (Thread).

Λίγο ιστορία…
Πέρυσι είχαμε την “χαρά” το Πρωτοδικείο Αθηνών με την απόφαση 4658/2012 να δικαιώσει την ΑΕΠΙ στα ασφαλιστικά μέτρα που είχε κάνει εναντίον όλων των Ελλήνων παρόχων (ISPs) ώστε να αποκλειστεί η πρόσβαση προς 2 sites που βρισκόταν εκτός της χώρας μας. Η αίτηση των ασφαλιστικών μέτρων έγινε τον Οκτώβριο του 2010 και η τελική δίκη μετά τις αναβολές έγινε το Μάϊο του 2012. Τα 2 sites ήταν το ellinadiko.com και το music-bazaar.com. Ενώ η ΑΕΠΙ είχε ζητήσει να αποκλειστούν από τους παρόχους και οι IPs που κατείχαν τότε τα 2 sites αλλά και να αποκλειστούν από το επίπεδο του DNS, τα δικαστήρια διέταξαν μόνο τον αποκλεισμό των IPs. Οι περισσότεροι χρήστες του Ελληνικού Internet δεν έχουν την παραμικρή ιδέα για αυτή τη απόφαση και αυτό γιατί δεν τους επηρέασε στο ελάχιστο. Το ellinadiko για δικούς του λόγους είχε κλείσει πριν γίνει η δίκη, και έτσι οι χρήστες είχαν ήδη στραφεί σε άλλα sites, ενώ το music-bazaar είχε αλλάξει IP. Ενώ, δηλαδή, το δικαστήριο επέβαλε στους παρόχους να αποκλείσουν την IP 1.2.3.4 το music-bazaar είχε ήδη πριν την δίκη μεταφερθεί στην 5.6.7.8. Έτσι, και η IP του ellinadiko και η IP του music-bazaar στις οποίες γινόταν αναφορά στα ασφαλιστικά μέτρα του 2012 είναι αυτή τη στιγμή μη προσβάσιμες από τους Έλληνες χρήστες χωρίς να φιλοξενούν οτιδήποτε σχετικό με τα προηγούμενα sites. Και το ακόμα καλύτερο; Κανείς δεν γνωρίζει αν και πότε θα αρθούν αυτοί οι αποκλεισμοί, καθώς δεν υπάρχει τέτοια πρόβλεψη στην απόφαση. Οπότε ο δικαστής αυτός δημιούργησε δύο μαύρες τρύπες για το Ελληνικό Internet.

Τώρα που πήρε φόρα…
Στις 14/01/2013 η ΑΕΠΙ επανήλθε με 2 νέες αιτήσεις ασφαλιστικών μέτρων! Η πρώτη αφορούσε αποκλειστικά το website με όνομα www.thepiratebay.se και την IP του (194.71.107.15) και η δεύτερη αφορούσε το website με όνομα www.activeloads.com και την IP του (93.190.139.103). Σαν να μην έφτανε αυτό στις 26/04/2013 έρχεται και νέα αίτηση για ασφαλιστικά μέτρα για τα παρακάτω sites: www.greek-team.cc (www.mytog.net), www.p2planet.net, www.greek.to, www.tsibato.info, www.greekddl.eu, www.greek-best.com, www.kat.ph, www.isohunt.com, www.1337x.org, www.h33t.com και τις IPs που είχαν τότε. Στα ασφαλιστικά μέτρα ζητείται να αποκλειστεί η πρόσβαση στα website ή στις IP ή αν τα παραπάνω δεν γίνουν, ζητά να απαγορευτούν τα downloads (καταφορτώσεις) μουσικών έργων από αυτά τα websites (ζητά δηλαδή την εφαρμογή DPI (Deep Packet Inspection) από τους παρόχους). Η αίτηση της ΑΕΠΙ αναφέρει με 2 λόγια πως αφού δεν μπορούν να εντοπίσουν τους ιδιοκτήτες των websites αυτών, ζητούν από τα δικαστήρια να προστατέψει τα μέλη της ΑΕΠΙ από την “πειρατεία” εξαναγκάζοντας τους παρόχους να “τα κόψουν”. Μετά από διαπραγματεύσεις καταλήγει να γίνει μία δίκη και για τις τρεις αιτήσεις, τον Σεπτέμβριο του 2013. Η δίκη αναβάλλεται για τις 13/12/2013 όπου και έγινε. Τα επιχειρήματα των παρόχων ήταν για άλλη μια φορά πολύ καλά, αλλά μάλλον δεν παίζει και ιδιαίτερο ρόλο στα αυτιά των δικαστών που κατά πάσα πιθανότητα αγνοούν εντελώς τις τεχνικές λεπτομέρειες του εγχειρήματος, αν θεωρείται δύσκολο να εξηγήσει κανείς πως ακριβώς δουλεύουν τα torrents και γιατί τα websites αυτά δεν φιλοξενούν τα ίδια παράνομο περιεχόμενο, σκεφτείτε πόσο πιο δύσκολο είναι να να εξηγήσει κανείς πως δουλεύουν τα magnet links και το DHT. Άλλωστε φαίνεται πως οι δικαστές δεν ενδιαφέρονται ιδιαίτερα για το διαδίκτυο ή για την ιδιωτικότητα γενικότερα, διότι οι όποιες αποφάσεις βγουν θα επηρεάσουν σημαντικά την ιδιωτικότητα όλων των Ελλήνων χρηστών. Είμαστε πλέον σε αναμονή της απόφασης η οποία μπορεί να κάνει ακόμα και 3 μήνες για να βγει.

Ίδια απόφαση με την 4658/2012 ή μήπως όχι;
Η απόφαση ακόμα δεν έχει βγει αλλά κατά την εκτίμηση μου υπάρχει σοβαρή περίπτωση να είναι διαφορετική από την 4658/2012 και μάλιστα προς το χειρότερο. Αυτό γιατί στο ενδιάμεσο έχει υπάρξει άλλη μια απίστευτη κίνηση από μεριάς του κράτους η οποία υπονομεύει την ελεύθερη λειτουργία του Internet στην Ελλάδα. Το κράτος λοιπόν, θέλοντας να τα τσεπώνει από τις άδειες που χορηγεί στα sites σχετικά με τον τζόγο (στοιχήματα) έχει δημιουργήσει την ΕΕΕΠ. Τι είναι η ΕΕΕΠ; Επιτροπή Εποπτείας και Ελέγχου Παιγνίων. Αυτή η επιτροπή λοιπόν έχει το δικαίωμα να αποφασίζει ποια websites τζόγου θα αποκλειστούν από τους παρόχους ώστε να μην έχουν πρόσβαση οι χρήστες τους σε αυτά. Όποιος δεν πληρώνει, κόβεται. Μάλιστα, επειδή ξέρουν πόσο δύσκολο είναι να απαγορεύσεις την πρόσβαση σε ένα site στο Internet μπλοκάροντας απλά μια IP, αυτοί έχουν την εξουσία να παραγγέλνουν από τους ISPs να μπλοκάρουν URLs χωρίς να ενδιαφέρονται για το πως θα το υλοποιήσει ο πάροχος. Κάθε τόσο λοιπόν εμφανίζουν μια λίστα με URLs στους παρόχους και τους αναγκάζουν να κόψουν την πρόσβαση. Η πιο πρόσφατη λίστα όσο γράφεται αυτό το post είναι αυτή: BlackList EEEP 22/11/2013. Αυτό το pdf είναι και το μόνο που παρέχουν στους παρόχους, ούτε καν μια λίστα σε μορφή txt για να είναι ευκολότερη η αυτοματοποίηση. Και το επισημαίνω για άλλη μια φορά, δίνουν URLs και όχι domains ή IPs.

Τί σημαίνει αυτό όμως στην ουσία για παρόχους και χρήστες;
Οι πάροχοι δεν μπορούν να κόψουν τις IPs των betting sites γιατί α) είναι πιθανόν στις ίδιες IPs να συστεγάζονται και άλλα sites, β) κάποια betting sites γίνονται host σε εταιρίες τύπου Akamai, Cloudflare,κτλ δεν είναι δυνατόν να κόψει ένας πάροχος τα CDN αυτά, γ) ένα site μπορεί να αλλάζει IPs όποτε θέλει, άρα ποιος θα παρακολουθεί τι κάνει το κάθε site κάθε μέρα; Επειδή, από όσο μπορώ να γνωρίζω, οι ελληνικοί πάροχοι σταθερού Internet (xDSL) δεν έχουν αυτή τη στιγμή δυνατότητα να κάνουν DPI, να κοιτάνε δηλαδή κάθε πακέτο ποια “web/URL” (και όχι IP) διεύθυνση αναφέρει μέσα του και να κόβουν μόνο αυτά, μένουν με ένα και μοναδικό “όπλο” στα χέρια τους. Το DNS block. Δηλαδή, οι DNS servers των ελληνικών ISPs λένε ψέμματα στους χρήστες για τις πραγματικές διευθύνσεις των betting sites που θέλει να κόψει η ΕΕΕΠ. Αντί να δίνουν στους χρήστες τις σωστές IPs ενός site, δίνουν μια ψεύτικη ή δεν απαντούν καθόλου και αυτό κάνει τον χρήστη να θεωρεί πως δεν δουλεύει πλέον το website που θέλει να επισκεπτεί. Φυσικά οι χρήστες έχουν την δυνατότητα να χρησιμοποιήσουν άλλους DNS servers, εκτός του παρόχου τους – εκτός Ελλάδας βασικά, για να μάθουν τις σωστές απαντήσεις στα DNS ερωτήματά τους. Αυτό όμως με την σειρά του δημιουργεί διάφορα θέματα. Καταρχήν όταν ρωτάς ένα DNS server στο εξωτερικό όλα τα DNS ερωτήματα καθυστερούν λίγο παραπάνω, το λίγο μπορεί να σημαίνει πως από τα 10-20ms που έχει κάποιος με τους DNS servers του ISP του μπορεί να φτάσει τα 60-80 ή και 100ms, δηλαδή μια καθυστέρηση τουλάχιστον της τάξης του 3-5x. Έπειτα σημαίνει πως ο νέος “DNS” πάροχος αυτός ξέρει ό,τι κάνει κάποιος Έλληνας χρήστης και μπορεί φυσικά να χρησιμοποιήσει τα δεδομένα αυτά όπως του αρέσει. Φυσικά o πάροχος αυτός δεν υπόκειται στην Ελληνική νομοθεσία, άρα τα προσωπικά δεδομένα των χρηστών – δηλαδή το ποια sites επισκέπτεται ο καθένας, μπορεί να τα χειριστεί ο πάροχος αυτός χωρίς να χρειάζεται να συμμορφωθεί με τους ελληνικούς νόμους περί προστασίας των δεδομένων. Αν εγώ αύριο χρησιμοποιήσω ένα DNS server του εξωτερικού κανείς δεν μου εγγυάται πως α) οι δικές του απαντήσεις δεν θα με στέλνουν σε sites με malware ή δεν θα βγάλει κάποτε μια λίστα με το ποια sites ζήτησα να επισκεφτώ…Το πρόβλημα όμως δεν τελειώνει εκεί, αν διαβάσει κανείς το ένα από τα ΦΕΚ που αφορούν την λειτουργία της ΕΕΕΠ θα δει πως τα πράγματα είναι πολύ χειρότερα από όσο μπορεί να φανταστεί. Οι τολμηροί ας διαβάσουν το άρθρο 52 του ν.4002/2011 (Α 218). Παραδείγματα:
Αν σε πιάσουν ως χρήστη να παίζεις σε μη αδειοδοτημένο website…

Όποιος μετέχει σε τυχερό παίγνιο, το οποίο διοργανώνεται χωρίς άδεια από την Ελληνική Δημοκρατία, τιμωρείται με ποινή φυλάκισης έως τριών (3) μηνών και με χρηματική ποινή από 5.000 έως 20.000 ευρώ.

Αν σε πιάσουν να παρέχεις proxy ή άλλο μέσο ώστε να παίζει κάποιος τρίτος σε μη αδειοδοτημένο website…

Όποιος μετέχει σε παίγνια μέσω παρενθέτου φυσικού ή νομικού προσώπου τιμωρείται με φυλάκιση έως δύο (2) ετών και χρηματική ποινή από 100.000 έως 200.000 ευρώ. Με τις ίδιες ποινές τιμωρείται και το παρένθετο φυσικό πρόσωπο και αν πρόκειται για νομικό πρόσωπο, τα πρόσωπα που καθορίζονται ως αυτουργοί με την παράγραφο 11.

Και κάτι ακόμα ως τροφή για σκέψη, σε μια από τις προσκλήσεις για συζήτηση της ΕΕΕΠ προς τους παρόχους, δύο από τα θέματα της ατζέντας ήταν μεταξύ άλλων το πως θα ελεγχθεί/αποκλειστεί η πρόσβαση στα betting sites μέσω proxy και έπειτα αν μπορεί η ΕΕΕΠ να έχει μια λίστα με τους χρήστες που επισκέπτονται αυτά τα sites (!?).

Αυτά συμβαίνουν σήμερα στο Ελληνικό Internet, δεν είναι από κάποιο φαντασιακό μέλλον, αλλά από το σήμερα.

Τι μπορεί να γίνει με τα ασφαλιστικά μέτρα;
Γυρνώντας στα πρόσφατα ασφαλιστικά μέτρα, κάποιος δικαστής που θα κάνει ένα ελαφρύ διάβασμα και θα ρωτήσει και 2-3 άλλους (ή θα του το ψιθυρίσει η ΑΕΠΙ) θα δει πως υπάρχει ο 4002/2011 που απαγορεύει γενικά και αόριστα την πρόσβαση σε sites. Το πως το αφήνει στους παρόχους…κάντε ό,τι καταλαβαίνετε…αλλιώς θα πάτε φυλακή. Άρα η προσωπική μου εκτίμηση για την απόφαση είναι πως αν μείνει στον αποκλεισμό IP των websites που αναφέρονται στα ασφαλιστικά μέτρα, μάλλον θα πρόκειται για “νίκη”. Δεν θεωρώ όμως πως αυτό το σενάριο έχει ιδιαίτερη βάση. Για μένα είτε θα βγει μια ακυρωτική απόφαση για τα ασφαλιστικά μέτρα, είναι η αλήθεια πως οι πάροχοι αυτή τη φορά το είχαν πάρει το θέμα πολύ πιο σοβαρά από την προηγούμενη, είτε η απόφαση θα αναφέρει συγκεκριμένα το DNS block. Το DNS block απλά θα ανοίξει τους ασκούς του Αιόλου για το τι μπορεί να ακολουθήσει. Και να είμαστε όλοι σίγουροι πως η ΑΕΠΙ δεν θα σταματήσει στο DNS block… Αλλά δεν είναι το πρόβλημα μόνο η ΑΕΠΙ ή η ΕΕΕΠ. Το πρόβλημα είναι πως έχει αρχίσει και στην Ελλάδα να υπάρχει η νοοτροπία αλλά και η νομική κάλυψη περί απαγόρευσης πρόσβασης σε συγκεκριμένες ιστοσελίδες που οι servers τους δεν βρίσκονται καν στην χώρα μας. Με το πρόσχημα είτε της πειρατείας είτε της μη αδειοδότησης, αποκλείονται ιστότοποι από τους Έλληνες χρήστες. Μάλιστα, τα μέτρα που λαμβάνονται κάθε φορά φαίνεται να έχουν όλο και πιο προηγμένο τεχνολογικό χαρακτήρα και λίγο μας χωρίζει πλέον από το να λαμβάνει η χώρα μας μέτρα τύπου Ιράν και Κίνας. Μπορεί να ακούγεται τραβηγμένο, αλλά από την στιγμή που θα εγκατασταθεί η τεχνολογία (DPI) για να κόβεις την “πειρατεία” ή τα “παράνομα” sites τζόγου δεν μπορείς να είσαι σίγουρος για το τι άλλο θα κηρυχθεί παράνομο αύριο και θα κοπεί με την ίδια τεχνολογία.
Προσωπικά σιχαίνομαι τα betting sites όσο τίποτε άλλο, αλλά αυτό δεν με σταματάει από το να υποστηρίζω το δικαίωμά τους να μην λογοκρίνονται. Γιατί αυτό είναι και το ζουμί της υπόθεσης, αρχίζει πλέον το κράτος/εξουσία να λογοκρίνει όλο και περισσότερα κομμάτια του Internet που δεν αρέσουν.

Και στο μέλλον;
Δεν είναι τυχαίο άλλωστε πως στο σχεδιαζόμενο “samaras-wifi” ανακοινώθηκε πως φυσικά θα υπάρχει φίλτρο περιεχομένου, πριν καν μάθουμε οποιεσδήποτε άλλες ποιοτικές πληροφορίες για το δίκτυο το ίδιο:

“όταν εγκατασταθεί (το wifi), να τοποθετηθούν ειδικά φίλτρα που να απαγορεύουν πρόσβαση σε σελίδες με άσεμνο περιεχόμενο και γενικά σε σελίδες σεξ, καθώς και να υπάρχουν φίλτρα ώστε να μην μπορεί κανείς να «κατεβάσει» τραγούδια ή κινηματογραφικές ταινίες!”.

Πέραν της υπονοούμενης αναφοράς σε DPI, το ποιός θα αποφασίζει τι επιτρέπεται (τι σημαίνει “άσεμνο”;;;) και τί όχι, το πώς, κτλ αφήνεται εντελώς ασαφές. Η λογοκρισία μπαίνει στη ζωή κάθε πολίτη με μικρά αλλά σταθερά βήματα, θεωρώντας δεδομένη την κατάσταση που επικρατεί ήδη, η εκάστοτε κυριαρχία/εξουσία επιβάλει όλο και περισσότερες απαγορεύσεις, “για το καλό μας”.

Υ.Γ. Οι παραπάνω απόψεις είναι προφανώς προσωπικές πολύ πιθανόν ο εργοδότης μου να έχει εντελώς διαφορετικές
Υ.Γ.2 Ίσως να μην είναι αργά ακόμα, αν κάποιοι δημοσιογράφοι αναδείξουν το θέμα κατάλληλα μπορεί και να καταφέρουμε την ακύρωση των ασφαλιστικών μέτρων. Ελπίζω να γλυτώσουμε όμως την κλάψα μετά την απόφαση, το “δεν ήξερα” δεν μπορεί να είναι πλέον δικαιολογία.
Υ.Γ.3 Δεν είμαι νομικός, αν κάποιος νομικός γνωρίζει περισσότερα για τα παραπάνω ας με διορθώσει.

Άρθρο από τον John Naughton στην ηλεκτρονική έκδοση της The guardian δημοσιευμένο την Παρασκευή 21 Ιουνίου 2013. (αυθεντικό άρθρο)

“Για να μας θυμούνται μετά θάνατον”, έγραψε ο Hazlitt, “δεν είναι παρά η ταπεινή ανταπόδοση του ότι αντιμετωπιζόμαστε με περιφρόνηση, κατά την διάρκεια της Ζωής μας.” φράση που χαρακτηρίζει εύστοχα την στάση του Πρόεδρου “George W” Obama στο ζήτημα των τηλεφωνικών υποκλοπών από την NSA. Το γεγονός ότι, για τα τελευταία επτά χρόνια η NSA συνέλεγε στοιχεία από κάθε τηλεφωνική κλήση που πραγματοποιούνταν στις Ηνωμένες Πολιτείες χωρίς να υπάρχει ένταλμα, δεν πτόησε τον Obama να τονίσει με έμφαση, ότι παρόλα αυτά δεν υπάρχει κανένας λόγος ανησυχίας για τους Αμερικανούς πολίτες. Μάλιστα υποστήριξε με σθένος “Κανείς δεν ακούει τις τηλεφωνικές σας κλήσεις”. Η σκυτάλη στη συνέχεια πέρασε στην Dianne Feinstein, πρόεδρο της Επιτροπή Πληροφοριών της Γερουσίας, η οποία προσπάθησε για άλλη μια φορά να θολώσει το τοπίο λέγοντας: “Αυτά είναι μόνο μεταδεδομένα (metadata), δεν περιλαμβάνεται στις βάσεις δεδομένων το περιεχόμενο των κλήσεων”

Σε αυτό το σημείο η πρώτη σκέψη στο μυαλό κάποιου είναι: Για πόσο ηλίθιους μας περνάνε; Φυσικά δεν υπάρχει περιεχόμενο που περιλαμβάνεται στις υποκλοπές, για τον απλούστατο λόγο ότι το περιεχόμενο είναι σχεδόν αδύνατο να παρακολουθηθεί μαζικά με βάση την υπάρχουσα τεχνολογία επιτήρησης. Πρώτον, θα πρέπει κάποιος να ακούσει τα άπειρα δεδομένα των ηχογραφήσεων, που απαιτεί πολλούς ανθρώπους (διότι ακόμη και σήμερα, οι υπολογιστές δεν είναι σχεδιασμένοι στην κατανόηση καθημερινής συνομιλίας) και απαιτεί πολύ χρόνο. Και παρόλο που η γερουσιαστής Feinstein εκ παραδρομής ανέφερε ότι το FBI απασχολεί ήδη 10.000 άτομα “που ασχολούνται με συλλογή πληροφοριών για την καταπολέμηση της τρομοκρατίας”, ακόμη συγκριτικά και με την περιβόητη Stasi δεν υπάρχει καμία σχέση με τα άπειρα δεδομένα φωνής που η Verizon (πάροχος υπηρεσιών τηλεφωνίας και ίντερνετ στις ΗΠΑ) θα έπρεπε να συλλέξει και να αναλύσει…

Έτσι, με βάση την υπάρχουσα τεχνολογία, το περιεχόμενο δεν είναι το πιο σημαντικό. Είναι τα μεταδεδομένα (metadata) – το ιστορικό κλήσεων που δείχνουν ποιος κάλεσε ποιον, από την οποία γεωγραφική τοποθεσία και για πόσο χρονικό διάστημα, αυτό που οι μυστικές υπηρεσίες πραγματικά θέλουν. Γιατί ; Διότι αυτό είναι εύκολα επεξεργάσιμο από τους υπολογιστές, και ως εκ τούτου μπορούν τα δεδομένα να κατηγοριοποιηθούν και μετά εκ νέου να αναζητηθούν όταν αυτό είναι αναγκαίο. Φανταστείτε, για μια στιγμή, ότι είστε ένας υπάλληλος της NSA στο Fort Meade στο Maryland. Έχετε έναν αριθμό τηλεφώνου από κάποιον που θεωρεί η Υπηρεσία ως δυνητικά «ενδιαφέρων». Πληκτρολογήστε τον αριθμό του στο πεδίο αναζήτησης και κατευθείαν εμφανίζεται μια λίστα με κάθε τηλεφωνική συσκευή που έχει ποτέ κληθεί από αυτόν τον αριθμό, ή έχει καλέσει αυτόν. Μετά από αυτό, είναι ένα θέμα δευτερολέπτων πριν να έχετε ένα γράφημα του δικτύου δευτέρου, τρίτου και τέταρτου βαθμού συνδέσεων με τον αρχικό αυτόν αριθμό. Κάντε αντιστοίχηση των δεδομένων με ηλεκτρονικούς καταλόγους για να πάρετε τα ονόματα και τις διευθύνσεις των εμπλεκομένων στο γράφημα, στην συνέχεια να αποκτήσετε μια μυστική άδεια από το δικαστήριο (το οποίο έχει 11 ομοσπονδιακούς δικαστές, έτσι ώστε να μπορεί να καθίσει να εξετάσει κάθε υπόθεση όλο το εικοσιτετράωρο, επτά ημέρες την εβδομάδα), μετά θέστε σε λειτουργία το σύστημα Prism που θα κάνει εξειδικευμένες αναζητήσεις στο Facebook και σε άλλα μέσα κοινωνικής δικτύωσης και μετά φτιάξτε καφέ, ενώ περιμένετε τα αποτελέσματα. Επαναλάβετε τη διαδικασία με τις προκύπτουσες λίστες επαφών και – μπίνγκο! – Έχετε ένα πρόγραμμα μαζικής παρακολούθησης τόσο καλό που ακόμα και ο ίδιος ο Βλαντιμίρ Πούτιν δεν θα μπορούσε να θέσει σε λειτουργία. Και με αυτό τον τρόπο ποτέ δεν χρειάζεται να λερώσετε τα χέρια σας – ή την συνείδησή σας – με αυτό το πολύτιμο “περιεχόμενο” των συνομιλιών, για το οποίο σκοτίζονται τόσο οι υπέρμαχοι των πολιτικών ελευθεριών…

Αλήθεια οι άνθρωποι πιστεύουν “αυτή την χαζή ιστορία με τα metadata;” Αν πράγματι το κάνουν, η εξήγησή μου είναι ότι αυτό συμβαίνει γιατί δεν μπορούν να αναλογιστούν, το πόσο η ασύρματη τεχνολογία έχει εισχωρήσει στις ζωές μας ή την ποσότητα των δεδομένων που υπηρεσίες όπως η NSA συλλέγουν εδώ και καιρό. Οι περισσότεροι άνθρωποι σίγουρα ίσως νιώσουν άβολα αν μάθαιναν σε τι βαθμό θα μπορούσε να περιγράψει τις ζωές τους ο πάροχος κινητής τηλεφωνίας τους αν αυτό χρειαζόταν. Ίσως να μπορούσε να μαντέψει ακόμα και πότε ξεπερνούσαν το όριο ταχύτητας με το αυτοκίνητό τους. Πριν από τέσσερα χρόνια ο Malte Spitz ένας Γερμανός πολιτικός του κόμματος των Πρασίνων, έκανε αγωγή στην Deutsche Telekom για να παραλάβει τα δεδομένα κλήσεων του από τους προηγούμενους έξι μήνες και στη συνέχεια τα έθεσε στην διάθεση της εφημερίδας Zeit Online. Η εφημερίδα στη συνέχεια, παρουσίασε ό,τι κάθε αξιοπρεπή και λειτουργική υπηρεσία σαν την NSA θα μπορούσε να κάνει : να συνδυάσει δεδομένα γεωγραφικής θέσης του τηλεφώνου(geolocation) με πληροφορίες σχετικά με τη ζωή του ως πολιτικός – Twitter feeds, αναρτήσεις σε blog και ιστοσελίδες – για να δημιουργήσει τελικά ένα εξαιρετικό γράφημα μιας μέρας της ζωής του.

Είναι αυτή η αποκαλυπτική δύναμη που επιτρέπει στα metadata να εκθέσουν για τον στόχο πολύ περισσότερα από ότι ο ίδιος ο στόχος θα μπορούσε να πει για τον εαυτό του. Τα metadata, λέει ο Matt Blaze, ένας ερευνητής κρυπτανάλυσης στο Πανεπιστήμιο της Πενσιλβανία, είναι το περιβάλλον που μας περιγράφει.  Μπορεί να αποκαλύψει για εμάς – σαν άτομα και σαν μέλη μιας ομάδας – πολύ περισσότερα από τις λέξεις που χρησιμοποιούμε εμείς οι ίδιοι για να περιγράψουμε τον εαυτό μας. Το περιβάλλον αυτό δίνει την δυνατότητα μιας εκ βαθέως ανάλυσης του ποιοι είμαστε και ποιες είναι οι μεταξύ μας σχέσεις οι οποίες πολλές φορές μπορεί να μην είναι τόσο εμφανείς. Ένα πλήρες σύνολο καταγεγραμμένων κλήσεων για μια ολόκληρη χώρα είναι σίγουρα ένα δείγμα τού όχι μόνο πώς το εκάστοτε τηλέφωνο χρησιμοποιείται, άλλα σε συνδυασμό με σύγχρονο λογισμικό, τη σημασία που έχει ο ένας για τον άλλο, τα ενδιαφέροντά μας, τις αξίες και τους διάφορους ρόλους που παίζουμε. Έτσι τελικά, ακόμη και αν ποτέ η NSA δεν “ακούσει” ούτε μια ενιαία τηλεφωνική συνομιλία, θα εξακολουθεί να είναι σε θέση να χτίσει ότι o Blaze αποκαλεί «μια εθνική βάση δεδομένων συσχέτισης» .

Άρθρο από τον Mike Masnick δημοσιευμένο στις 8 Ιουλίου 2013

Μετά από τις αποκαλύψεις σχετικά με τις μεθόδους επιτήρησης της NSA, έχει προκύψει παραδόξως μια ομάδα υπερασπιστών του προγράμματος παρακολούθησης που ισχυρίζονται ότι τα δεδομένα που συλλέγονται είναι απλά μεταδεδομένα – “Its just metadata”. Αυτό είναι λάθος σε διάφορα επίπεδα. Πρώτα απ’ όλα, μόνο λίγα από τα προγράμματα που ήρθαν στο φως της δημοσιότητας από τις αποκαλύψεις του Snowden αφορούν μόνο metadata. Τα από πολλούς λεγόμενα “business record data” είναι metadata, αλλά χρησιμοποιώντας άλλο λογισμικό όπως το PRISM, μπορεί επίσης να περιλαμβάνουν ακόμη και πραγματικό περιεχόμενο. Αλλά, ακόμα κι αν μιλάγαμε μόνο για metadata, η ιδέα ότι τα metadata δεν είναι σημαντική υπόθεση, και ότι οι άνθρωποι δεν έχουν να ανησυχούν για τίποτα το οποίο σχετίζεται με metadata είναι απλά γελοία για όποιον γνωρίζει έστω και το παραμικρό για τα metadata. Στην πραγματικότητα, όποιος ισχυρίζεται ότι “είναι απλά metadata”, σε μια προσπάθεια να υποβαθμίσει την υπόθεση το μόνο που καταφέρνει να αποδείξει είναι ότι ξέρει ελάχιστα για το τι είναι τα metadata. Παρακάτω παρουσιάζονται μερικά παραδείγματα που αποδεικνύουν του λόγου το αληθές.

Μόλις πριν από λίγους μήνες, το επιστημονικό περιοδικό Nature δημοσίευσε μια μελέτη για το πώς ελάχιστα metadata μπορούν να αποκαλύψουν πολλά πράγματα, με τίτλο “Unique in the Crowd: Τα όρια της ιδιωτικής ζωής της ανθρώπινης κινητικότητας” του Yves – Alexandre de Montjoye , Cesar Α. Hidalgo , Michel Verleysen και Vincent D. Blondel. Το βασικό συμπέρασμα είναι ότι τα metadata αποκαλύπτουν ένα τεράστιο σύνολο από πληροφορίες.

Aκόμη και ασαφή σύνολα μεταδεδομένων δε παρέχουν σχεδόν καμία ανωνυμία :

Ένα σύνολο ανώνυμων δεδομένων δεν περιέχει όνομα, διεύθυνση κατοικίας, αριθμό τηλεφώνου ή άλλα εμφανή αναγνωριστικά κάποιου ατόμου. Ωστόσο, εάν τα πρότυπα του ατόμου είναι αρκετά μοναδικά, άλλα δεδομένα ενδέχεται να μπορούν να χρησιμοποιηθούν για να συνδέσουν τα αρχικά δεδομένα μοναδικά με ένα άτομο. Για παράδειγμα, σε μια μελέτη, μια ιατρική βάση δεδομένων κατάφεραν με επιτυχία να την αντιστοιχίσουν με μια λίστα με ψηφοφόρους και έτσι τελικά αποκαλύψουν το αρχείο υγείας του κυβερνήτη της Μασαχουσέτης. Σε μια άλλη περίπτωση, τα δεδομένα ενός κινητού τηλεφώνου κατάφεραν να τα συνδυάσουν με τα top locations χρηστών. Τέλος, μέρος του συνόλου των δεδομένων Netflix challenge κατάφεραν να τα συνδυάσουν με πληροφορίες από την διαδικτυακή βάση ταινιών – internet movie database και να εξάγουν διάφορα χρήσιμα συμπεράσματα.

Συμπερασματικά, ο ευρύς όγκος δεδομένων κινητικότητας, η μοναδικότητα της ανθρώπινης κινητικότητας και οι πληροφορίες που μπορούν να συναχθούν από αυτές τονίζουν τη σημασία της κατανόησης των ορίων της ιδιωτικής ζωής της ανθρώπινης κινητικότητας (τα δεδομένα του πού βρίσκεται ένας άνθρωπος μια χρονική στιγμή για μεγάλο χρονικό διάστημα). Θα δείξουμε ότι η μοναδικότητα της ανθρώπινης κινητικότητας είναι υψηλή και ότι οι βάσεις δεδομένων της κινητικότητας είναι πιθανό να είναι περαιτέρω αναγνωρίσιμες με πληροφορίες μόνο για τοποθεσίες. Τέλος, δείχνουμε ότι ένας μαθηματικός τύπος καθορίζει τη μοναδικότητα των ιχνών κινητικότητας παρέχοντας μαθηματικά όρια για την προστασία της ιδιωτικότητας των δεδομένων κινητικότητας. Η μοναδικότητα των διαδρομών μπορεί να μειωθεί σύμφωνα με μια συνάρτηση δύναμης με έναν εκθέτη που αυξάνει γραμμικά με τον αριθμό των γνωστών χωροχρονικών σημείων. Αυτό σημαίνει ότι ακόμη και ασαφή σύνολα δεδομένων παρέχουν μικρή ανωνυμία .

Μερικά από τα στοιχεία που παρουσιάστηκαν δείχνουν πόσο εύκολο είναι να παρακολουθηθούν τα άτομα και οι θέσεις τους, το οποίο μπορεί να σκιαγραφήσει ένα αρκετά σημαντικό και αποκαλυπτικό πορτραίτο του ποιοι είμαστε και τι έχουμε κάνει. Σε μια συνέντευξη, ένας από τους συντάκτες της δημοσίευσης του περιοδικού Nature είπε ότι τα metadata δημιουργούν ουσιαστικά ένα “δακτυλικό αποτύπωμα”, που είναι μοναδικό για τον καθένα και εύκολα μπορεί να προσομοιαστεί με ταυτότητά του κάθε ανθρώπου :

“Χρησιμοποιούμε την αναλογία του δακτυλικού αποτυπώματος”, δήλωσε ο de Montjoye σε μια τηλεφωνική συνέντευξη σήμερα. “Στη δεκαετία του 1930, ο Edmond Λόκαρντ, ένας από τους πρωτοπόρους της εγκληματολογικής επιστήμης, έδειξε ότι κάθε δακτυλικό αποτύπωμα είναι μοναδικό και θα πρέπει να είναι γνωστά 12 σημεία για να το εντοπίσουν. Έτσι, αυτό που κάναμε εδώ είναι ότι πήραμε μια μεγάλης κλίμακας βάση δεδομένων των ιχνών κινητικότητας και ουσιαστικά υπολογίσαμε τον αριθμό των σημείων, έτσι ώστε το 95% των ανθρώπων θα μοναδικό στο σύνολο δεδομένων μας”.

Άλλοι ανακάλυψαν παράλληλα το ίδιο σχεδόν πράγμα. Ο Ethan Zuckerman , ο οποίος πρόσφατα συνδίδαξε μια τάξη με έναν από τους συγγραφείς της αναφερθείσας δημοσίευσης, τον Cesar Hidalgo, έγραψε για το πώς δύο μαθητές στην τάξη, μαζί με τον Hidalgo, δημιούργησαν ένα έργο που ονομάζεται Immersion, η οποία λαμβάνει Gmail metadata (“the just metadata stuff”) και χάρτες από το κοινωνικό σας δίκτυο. Όπως σημειώνει ο Zuckerman, η ειδική του χρήση του προγράμματος Immersion αποκαλύπτει κάποια πράγματα που θα μπορούσαν να αμφισβητηθούν ή να εξελιχθούν σε πολύ επικίνδυνα. Αυτός σχολιάζει ένα σύνολο metadata σαν αμιγώς “προφανή”, το οποίο θα τον κάνει εύκολα αναγνωρίσιμο, αλλά το οποίο κατά πάσα πιθανότητα δεν μπορεί να χαρακτηριστούν ως “αμφισβητήσιμα”. Ωστόσο, ο ίδιος σημειώνει επίσης μερικά πιθανά προβληματικά πράγματα, καθώς :

Όποιος με γνωρίζει αρκετά καλά θα μπορούσε να φανταστεί την ύπαρξη αυτών των κοινωνικών δεσμών. Αλλά υπάρχουν και άλλα στοιχεία στο γράφημα που είναι πιο περίπλοκα να αναγνωστούν και δυνητικά πιο ευαίσθητα ζητήματα που σχετίζονται με προσωπικά δεδομένα. Οι κοντινοί μου συνεργάτες από το Media Lab είναι οι φοιτητές μου και το προσωπικό του εργαστηρίου μου – ο Cesar είναι ο μόνος κόμβος του Media Lab (βλέπε γράφημα) που δεν είναι συνδεδεμένος με τον Civic που εμφανίζεται στο γράφημα του δικτύου μου, γεγονός που υποδηλώνει ότι συνεργάζομαι λιγότερο με τους συναδέλφους του Media Lab από ότι θα φανταζόμουν ότι θα συνεργαζόμουν. Θα μπορούσε κανείς μελετήσει τις σχέσεις μου με τους μαθητές μου αν συμβουλευτεί τον όγκο των email που ανταλλάσσω μαζί τους. Θα συμπέρανα ότι τα πρότυπα αυτά έχουν να κάνουν με τα προτιμώμενα κανάλια επικοινωνίας μας, αλλά αυτό δείχνει σίγουρα ποιος απαιτεί και τελικά λαμβάνει την προσοχή μου με επικοινωνία μέσω email. Με άλλα λόγια, η απουσία από ένα κοινωνικό χάρτη είναι τουλάχιστον εξίσου αποκαλυπτική όσο και η παρουσία σε αυτόν.

Παράλληλα, περισσότερο από δύο χρόνια πριν, γράψαμε για το πώς ένας Γερμανός πολιτικός που ονομάζεται Malte Spitz απέκτησε πρόσβαση σε όλα τα metadata που η Deutsche Telekom κατείχε για αυτόν για μια περίοδο έξι μηνών, και στη συνέχεια συνεργάστηκε με τη γερμανική εφημερίδα Die Zeit έτσι ώστε να πραγματοποιήσουν μαζί μια καταπληκτική γραφική απεικόνιση που επιτρέπει να παρακολουθήσει κανείς έξι μήνες της ζωής του, αποκλειστικά μέσω των καταγεγραμμένων metadata του, σε συνδυασμό με δημόσιες πληροφορίες, όπως οι δημοσιεύσεις του στο Twitter. Ενώ όλα αυτά αποκαλύφθηκαν πριν από δύο χρόνια, μόλις πρόσφατα, ο Spitz έγραψε ένα άρθρο στους New York Times σχετικά με το πώς αυτό η φράση “just metadata” σημαίνει εν τέλει ότι είναι δύσκολο να εμπιστεύεται κανείς την κυβέρνηση των ΗΠΑ.Στη Γερμανία, κάθε φορά που η κυβέρνηση αρχίζει να παραβιάζει τις ατομικές ελευθερίες, η κοινωνία αντιδρά. Λαμβάνοντας υπόψη την ιστορία μας, εμείς οι Γερμανοί δεν είμαστε διατεθειμένοι να εμπορευθούμε την ελευθερία μας για δυνητικά περισσότερη ασφάλεια. Οι Γερμανοί έχουν βιώσει από πρώτο χέρι τι συμβαίνει όταν η κυβέρνηση γνωρίζει πάρα πολλά για κάποιον πολίτη. Κατά τα τελευταία 80 χρόνια, αρκετοί Γερμανοί έχουν αισθανθεί προδοσία από τους γείτονες τους οι οποίοι ενημέρωσαν την Γκεστάπο για αυτούς και ο φόβος ότι ακόμα και οι καλύτεροι φίλοι τους μπορεί να είναι δυνητικοί πληροφοριοδότες της Στάζι (μυστική αστυνομία της ανατολικής Γερμανίας). Σε πολλά σπίτια είχαν εγκατασταθεί κοριοί παρακολούθησης και εκατομμύρια Γερμανών ήταν υπό συνεχή παρακολούθηση.

Παρά το γεγονός ότι αυτές οι δύο δικτατορίες, το ναζιστικό και το κομμουνιστικό καθεστώς, έχουν πια σταματήσει να υπάρχουν και τώρα ζούμε σε μια ενιαία και σταθερή “δημοκρατία”, δεν έχουμε ξεχάσει τι συμβαίνει όταν η μυστική αστυνομία και οι μυστικές υπηρεσίες αγνοούν την προστασία της ιδιωτικής ζωής. Αποτελεί αναπόσπαστο κομμάτι της ιστορίας μας και δίνει σε μικρούς και μεγάλους σε μια κρίσιμη αντίληψη για τα κρατικά συστήματα παρακολούθησης.

Η φράση “Just metadata” δεν είναι “Just” (τίποτα), πέρα από μια μαζική παραβίαση των βασικών δικαιωμάτων της ιδιωτικής μας ζωής.
 

Άλλα άρθρα που μπορεί κάποιος να διαβάσει σχετικά με τα metadata:

Οδηγός για metadata απο τον The Guardian εδώ

Αρθρο του επιστημονικού περιοδικού Nature, με τίτλο “Unique in the Crowd”

5 Ιουνίου
Η εφημερίδα Guardian και συγκεκριμένα ο δημοσιογράφος Glenn Greenwald αποκαλύπτει απόρρητο έγγραφο της NSA όπου με διαταγή του Foreign Intelligence Surveillance Court (FISC) απαιτείται από την Verizon να παραδώσει στο FBI και την NSA τα μεταδεδομένα εκατομμυρίων τηλεφωνημάτων Αμερικανών.
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order

6 Ιουνίου
Στην εφημερίδα Washington Post και στην Guardian παρουσιάζονται τα πρώτα slides για το PRISM, η NSA φαίνεται να έχει απευθείας πρόσβαση στους servers ορισμένων από τις μεγαλύτερες τεχνολογικές εταιρίες στην Αμερική. Στην λίστα βρίσκονται: Google, Microsoft, Apple, Skype, Yahoo!, Facebook, YouTube. κτλ
http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents
http://www.guardian.co.uk/world/2013/jun/06/us-tech-giants-nsa-data

8 Ιουνίου
Σε νέα slides που δημοσιεύει η Guardian αποκαλύπτεται το πρόγραμμα Boundless Informant, ένα εργαλείο της NSA που δίνει δυνατότητες εξαγωγής κατασκοπευτικών στατιστικών ανά χώρα σχεδόν σε πραγματικό χρόνο.
http://www.guardian.co.uk/world/2013/jun/08/nsa-boundless-informant-global-datamining
http://www.theguardian.com/world/2013/jun/08/nsa-prism-server-collection-facebook-google

11 Ιουνίου
Εμφανίζονται έγγραφα που φέρουν την Microsoft να έχει παραδώσει πρόσβαση στην NSA σε κρυπτογραφημένα μηνύματα.

• Ζητήθηκε πρόσβαση στην κρυπτογραφία που χρησιμοποιεί το outlook.com, πριν καν βγει στον αέρα
• Αναμορφώθηκε το Skype, μετά την εξαγορά από την Microsoft ώστε να μπορεί το PRISM να συλλέγει κλήσεις video
• Η Microsoft ισχυρίστηκε πως ήταν νομική υποχρεωμένη να συμφωνήσει με αυτά…

http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data

16 Ιουνίου
Στο φως πληροφορίες που αναφέρουν πως Αμερικάνοι και Βρετανοί κατασκόπευαν τους ξένους ηγέτες και διπλωμάτες στην σύνοδο G20 του 2009 στο Λονδίνο. Επίσης είχαν βάλει κοριούς στο υπουργείο εξωτερικών της Νοτίου Αφρικής και σκόπευαν να κατασκοπεύσουν και τις αποστολές στην σύνοδο της Κοινοπολιτείας του 2009. Τα κίνητρα ήταν για να αποκτήσουν υπεροχή σε εμπορικές συμφωνίες έναντι των αναπτυσσόμενων εθνών.
http://www.guardian.co.uk/uk/2013/jun/16/gchq-intercepted-communications-g20-summits

19 Ιουνίου
Η εφημερίδα New York Times αποκαλύπτει πως το 2008 η Skype ξεκίνησε ένα κρυφό πρόγραμμα για να μπορούν να αποκτούν πρόσβαση στις τηλεφωνικές συνομιλίες οι υπηρεσίες πληροφοριών και η αστυνομία. Τα έγγραφα επιβεβαιώνουν πως η Skype το Φεβρουάριο του 2009 μπήκε στο PRISM.
http://www.nytimes.com/2013/06/20/technology/silicon-valley-and-spy-agency-bound-by-strengthening-web.html

21 Ιουνίου
Η Guardian αποκαλύπτει πως διενεργείται μαζική παρακολούθηση από την Βρετανική υπηρεσία GCHQ (Government Communications Headquarters). Οι αποκαλύψεις περιέχουν πληροφορίες για ένα πρόγραμμα με την ονομασία Tempura που είναι παρόμοιο με το πρόγραμμα Upstream της NSA (το οποίο αποκαλύφθηκε μερικές μέρες αργότερα). Το Tempura, βάζει “κοριούς” σε οπτικές ίνες που συνδέουν τηλεπικοινωνιακούς παρόχους και κουβαλούν τεράστιες ποσότητες τηλεφωνημάτων και δεδομένων του Internet.
http://www.guardian.co.uk/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa

27 Ιουνίου
Το πρόγραμμα συλλογής μεταδεδομένων στο Internet με την ονομασία Stellar Wind που είχε ξεκινήσει επί George Bush τον Οκτώβριο του 2001 συνεχίστικε τουλάχιστον μέχρι το 2011 από τον Obama.
Αποκαλύπτονται επίσης μια σειρά από άλλα προγράμματα συλλογής μεταδεδομένων στο Internet όπως το Evil Olive, το Shell Trumpet και το Transient Thurible. To τελευταίο μεταφέρει μεταδεδομένα που έχει συγκεντρώσει η Βρετανική GCHQ στα συστήματα της NSA.
http://www.guardian.co.uk/world/2013/jun/27/nsa-data-mining-authorised-obama

29 Ιουνίου
H Loira Poitras, δημιουργός δοκυμαντέρ που συνεργάστηκε μαζί με τον Greenwald ώστε να συναντήσουν τον Snowden στο Hong Kong, αποκαλύπτει στην καθημερινή Der Spiegel πως Αμερικάνοι είχαν βάλει κοριούς στα Γραφεία της Ευρωπαϊκής Ένωσης στην Νέα Υόρκη, στην Washington και στις Βρυξέλες. Την επόμενη μέρα ο Guardian αποκαλύπτει πως Αμερικάνοι παρακολουθούσαν τις πρεσβείες χωρών όπως: Γαλλία, Ιταλία, Ελλάδα, Ιαπωνία, Μεξικό, Νότια Κορέα, Ινδία και Τουρκία. Η Ελλάδα υποτίθεται ξεκίνησε έρευνα για να βρει τι έχει γίνει…
http://www.spiegel.de/international/europe/nsa-spied-on-european-union-offices-a-908590.html
http://www.thepressproject.gr/article/44685/OI-IP-kataskopeuoun-kai-tin-Ellada
http://www.enet.gr/?i=news.el.article&id=372433

30 Ιουνίου
Η Loira Poitras γράφει στην Der Spiegel πως η NSA παρακολουθεί 500 εκατ. συνδέσεις δεδομένων στην Γερμανία κάθε μήνα. Το άθρο αναφέρει πως στην NSA απαγορεύεται μόνο να κατασκοπεύει τους συνεργάτες “Five Eyes”, Αμερική, Καναδάς, Ην. Βασίλειο, Αυστραλία, Νέα Ζηλανδία.
http://www.spiegel.de/international/germany/nsa-spies-on-500-million-german-data-connections-a-908648.html

4 Ιουλίου
Η εφημερίδα Le Monde αποκαλύπτει πως η υπηρεσία DGSE (Directorate-General for External Security ) υποκλέπτει και αποθηκεύει δεδομένα από τις περισσότερες τηλεφωνικές και διαδικτυακές συνδέσεις που γίνονται στην Γαλλία εδώ και χρόνια, παραβιάζοντας τους Γαλλικούς νόμους.
http://www.lemonde.fr/societe/article/2013/07/04/revelations-sur-le-big-brother-francais_3441973_3224.html

6 Ιουλίου
Ο Glenn Greenwald αποκαλύπτει μέσω της Βραζιλιάνικης εφημερίδας O Globo πως η NSA χρησιμοποιεί το πρόγραμμα Fairview για να αποκτήσει πρόσβαση σε τηλεφωνικές και Internet επικοινωνίες πολιτών ξένων χωρών, όπως για παράδειγμα οι Βραζιλιάνοι, μέσω συνεργασιών που έχουν οι ξένες τηλεπικοινωνιακές εταιρίες με τις Αμερικάνικες. Σε άλλο άρθρο του στην O Globo o Greenwald δίνει περισσότερες πληροφορίες για το πρόγραμμα της NSA με το όνομα XKeyscore το οποίο συλλέγει δεδομένα για να παρακολουθεί πολίτες ξένων χωρών. Το πρόγραμμα αυτό έχει την δυνατότητα να αναλύει γλωσσικά τα emails, chat που έχει υποκλέψει ενώ μπορεί και εντοπίζει και “ανωμαλίες”, για παράδειγμα ένα Γερμανό που στέλνει email από το Πακιστάν. Καταγράφει τα μεταδεδομένα φωτογραφιών, όπως το μέρος που τραβήχτηκε μια φωτογραφία. Αναφέρεται επίσης η δυνατότητα του XKeyscore να αποθηκεύει για τουλάχιστον 3-5 μέρες όλη την κίνηση που περνάει από τα κέντρα συλλογής, ενώ η αποθήκευση των μεταδεδομένων γίνεται για τουλάχιστον 30 μέρες, κάποια όμως μένουν και για πάντα.
http://oglobo.globo.com/mundo/eua-espionaram-milhoes-de-mails-ligacoes-de-brasileiros-8940934
http://www.theguardian.com/commentisfree/2013/jul/07/nsa-brazilians-globo-spying

8 Ιουλίου
Η εφημερίδα Sydney Morning Herald αποκαλύπτει πως σταθμοί παρακολούθησης στην Αυστραλία και την Νέα Ζηλανδία συμμετέχουν στο XKeyscore.
http://www.smh.com.au/world/snowden-reveals-australias-links-to-us-spy-web-20130708-2plyg.html

9 Ιουλίου
Σε νέο άρθρο στην O Globo ο Greenwald, αποκαλύπτει πως η NSA παρακολουθεί πολίτες σε πολές χώρες της Λατινικής Αμερικής όπως: Μεξικό, Βενεζουέλα, Κολομβία, Εκουαδόρ, Αργεντινή, Παναμά, Κόστα Ρίκα, Νικαράγουα, Ονδούρα, Παραγουάη, Χιλή, Περού και Ελ Σαλβαδόρ. Ενώ σε κάποιες χώρες παρακολουθούνται συγκεκριμένες κινήσεις σχετικές με όπλα και αντάρτες, σε κάποιες άλλες μαζεύονται πληροφορίες σχετικές με πετρέλαιο, ενέργεια και εμπόριο.
http://oglobo.globo.com/mundo/espionagem-dos-eua-se-espalhou-pela-america-latina-8966619

12 Ιουλίου
Στην Washington Post εμφανίζεται άρθρο που αποκαλύπτει την δράση του προγράμματος Upstream που συλλέγει πληροφορίες από οπτικές ίνες αντίστοιχο με το Βρετανικό Tempura.
http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents

20 Ιουλίου
Ο Spiegel αποκαλύπτει πως η Γερμανική υπηρεσία πληροφοριών συνείσφερε στο δίκτυο συγκέντρωσης πληροφοριών XKeyscore της NSA και πίεζε την Γερμανική κυβέρνηση για να “χαλαρώσει” την ερμηνεία των νόμων προστασίας της ιδιωτικότητας ώστε να διευκολυνθεί η υπηρεσία στην ανταλλαγή δεδομένων με άλλες υπηρεσίες πληροφοριών.
http://www.spiegel.de/international/germany/german-intelligence-agencies-used-nsa-spying-program-a-912173.html

31 Ιουλίου
Η Guardian παρουσιάζει slides με αναλυτικές πληροφορίες σχετικά με το XKeyscore. Αποκαλύπτεται το δίκτυο των 500 servers σε όλο το κόσμο που συλλέγουν “σχεδόν οτιδήποτε κάνει ένας χρήστης στο Internet” και το αποθηκεύουν σε ειδικές βάσεις που μπορεί κανείς να αναζητήσει πληροφορίες βάση ονόματος, email, IP, περιοχής και γλώσσας. Για παράδειγμα, “βρες όλους τους χρήστες από την Ελλάδα που επισκέφτηκαν το τάδε site την μέρα τάδε.”
http://www.theguardian.com/world/2013/jul/31/nsa-top-secret-program-online-data

2 Αυγούστου
H Süddeutsche Zeitung αποκαλύπτει πως 7 εταιρίες τηλεπικοινωνιών, μεταξύ τους η BT, Vodafone και Verizon Business, δίνουν απευθείας πρόσβαση στην Βρετανική GCHQ στο δίκτυο οπτικών ινών τους. Το κόστος το καλύπτει κατά κύριο λόγο η GCHQ.
http://www.sueddeutsche.de/digital/internet-ueberwachung-snowden-enthuellt-namen-der-spaehenden-telekomfirmen-1.1736791
http://www.theguardian.com/business/2013/aug/02/telecoms-bt-vodafone-cables-gchq

8 Αυγούστου
Μετά από πιέσεις από την Αμερικάνικη κυβέρνηση, 2 υπηρεσίες εταιρείες που προσέφεραν υπηρεσίες email που προσέφεραν αυξημένη προστασία στους χρήστες τους μέσω κρυπτογραφίας, αναγκάζονται να κλείσουν τις υπηρεσίες αυτές. Οι δύο αυτές εταιρίες είναι η Lavabit και η Silent Cirlce. Την Lavabit χρησιμοποιούσε ο Snowden.
https://www.eff.org/deeplinks/2013/08/lavabit-encrypted-email-service-shuts-down-cant-say-why

29 Αυγούστου
Η Βρετανική Independent αποκαλύπτει την ύπαρξη σταθμού της GCHQ στην Μέση Ανατολή που συλλέγει πληροφορίες από υποβρύχιες οπτικές ίνες και ισχυρίζεται πως τις πληροφορίες αυτές τις έδωσε ο Snowden. Ταυτόχρονα αναφέρει πως η Guardian έχει έρθει σε συμφωνία με την GCHQ για να περιοριστούν οι αποκαλύψεις του Snowden. O Greenwald απαντάει πως ο Snowden δεν έχει συνεργαστεί ποτέ με κάποιον της Independent και απορρίπτει τους ισχυρισμούς της Guardian περί συμφωνίας με την GCHQ. Αναρωτιέται στο τέλος της δηλωσής του μήπως η Βρετανική κυβέρνηση έδωσε αυτά τα έγγραφα στην Independent για να εμφανιστεί πως ο Snowden βλάπτει την εθνική ασφάλεια της χώρας.
http://www.independent.co.uk/news/uk/politics/exclusive-uks-secret-mideast-internet-surveillance-base-is-revealed-in-edward-snowden-leaks-8781082.html
http://www.theguardian.com/commentisfree/2013/aug/23/uk-government-independent-military-base

1 Σεπτεμβρίου
Σε έγγραφο που διέρευσε ο Snowden στην εφημερίδα Der Spiegel, με ημερομηνία 23 Μαρτίου του 2006 αναφέρεται πως η NSA απέκτησε επικοινωνίες από “ενδιαφέροντες στόχους” χακέβοντας το δίκτυο Al Jazeera.
http://www.spiegel.de/international/world/nsa-spied-on-al-jazeera-communications-snowden-document-a-919681.html

3 Σεπτεμβρίου
Στην εκπομπή Fantástico της Βραζιλιάκης τηλεόρασης ο Greenwald αποκάλυψε πως η NSA κατασκόπευε την πρόεδρο της Βραζιλίας Dilma Rousseff και τον υποψήφιο τότε για την προεδρία του Μεξικό Peña Nieto. Η NSA χρησιμοποίησε τα προγράμματα της με τα ονόματα Mainway, Association και Dishfire για να καταφέρει να συλλέξει τεράστιο όγκο πληροφοριών.
http://g1.globo.com/fantastico/noticia/2013/09/documentos-revelam-esquema-de-agencia-dos-eua-para-espionar-dilma-rousseff.html

5 Σεπτεμβρίου
Η Guardian, New York Times και ProPublica συνεργάστηκαν για να αποκαλύψουν πως η NSA έχει καταφέρει να σπάσει διάφορες μεθόδους κρυπτογράφησης που χρησιμοποιούνται ακόμη και σήμερα από εκατομμύρια ανθρώπους σε όλο το κόσμο, για e-mail, εμπόριο, ηλεκτρονικές πληρωμές, κτλ. Το πρόγραμμα Bullrun και το αντίστοιχο Βρετανικό με την ονομασία Edgehill χρηματοδοτούνταν αδρά από τις κυβερνήσεις για να καταφέρουν να παράγουν νέους τρόπους κρυπτανάλυσης. Παρόλα αυτά, τα έγγραφα δείχνουν πως η NSA δεν έχει σπάσει κάθε είδους κρυπτογραφία και το ίδιο ισχυρίζεται με δηλώσεις του και ο Snowden, πως οι μόνες πληροφορίες που δεν μπορεί να επεξεργαστεί ακόμα η NSA είναι οι σωστά κρυπτογραφημένες πληροφορίες.
Την ίδια μέρα αποκαλύφθηκε πως η NSA συνεργάζεται με εταιρίες τεχνολογίας ώστε να εγκαθιστούν “backdoors” σε καταναλωτικά προϊόντα αλλά και πως άνθρωποι της NSA και της GCHQ έχουν προσπαθήσει να βάλουν εμπόδια σε διεθνή πρότυπα κρυπτογράφησης.
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
http://www.theguardian.com/world/interactive/2013/sep/05/nsa-project-bullrun-classification-guide
http://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption

8 Σεπτεμβρίου
Η Fantástico δείχνει πως η NSA χρησιμοποίησε επιθέσεις τύπου man-in-the-middle για να κατασκοπεύσει ιδιωτικά δίκτυα που ανήκουν στην Google, και την Petrobras, δλδ την Βραζιλιάνικη εταιρία πετρελαίου, το Γαλλικό υπουργείο εξωτερικών αλλά και τον διεθνή διατραπεζικό οργανισμό SWIFT. Αποκαλύπτεται πλέον περίτρανα πως η NSA κατασκοπεύει όχι μόνο για λόγους τρομοκρατίας αλλά και για εμπορική κατασκοπεία.
http://g1.globo.com/politica/noticia/2013/09/petrobras-foi-alvo-de-espionagem-de-agencia-dos-eua-aponta-documento.html

16 Σεπτεμβρίου
Η Der Spiegel επιβεβαιώνει το προηγούμενο δημοσίευμα παρουσιάζοντας πληροφορίες για το πρόγραμμα της NSA με το όνομα Follow the Money το οποίο συγκεντρώνει στοιχεία από δίκτυα που ανήκουν στην Visa, την Mastercard και τον οργανισμό SWIFT. Η κατασκοπεία μάλιστα στον οργανισμό SWIFT παραβιάζει προηγούμενη συμφωνία του 2010 μεταξύ της Ευρωπαϊκής Ένωσης και της Αμερικής. Ένα έγγραφο της GCHQ που παρουσιάζει ο Spiegel αναφέρει μάλιστα πως συγκεντρώνονται “πλούσιες προσωπικές πληροφορίες” που πολλές από αυτές “δεν αφορούν τους στόχους τους”.
http://www.spiegel.de/international/world/how-the-nsa-spies-on-international-bank-transactions-a-922430.html

Πως λειτουργεί η κρυπτογραφία στην κινητή τηλεφωνία;

Για όσους βαριούνται να διαβάσουν το παρακάτω άρθρο η TL;DR (Too Long; Didn’t Read) απάντηση στο παραπάνω ερώτημα είναι ΔΕΝ ΛΕΙΤΟΥΡΓΕΙ

GSM ή αλλιώς breaking me badly

Αρχικά πρέπει να γνωρίζουμε ότι κάθε SIM έχει αποθηκευμένο ένα μακράς-διάρκειας κρυφό κλειδί (Κ). Θα αναλύσουμε παρακάτω γιατί είναι σημαντική η φράση “μακράς-διάρκειας”. Ο φορέας της κινητής τηλεφωνίας που μας χορήγησε τη SIM έχει ένα αντίγραφο αυτού του κλειδιού (κακό). Ο τρόπος με τον οποίο επικοινωνεί η συσκευή μας με τον φορέα απεικονίζεται συνοπτικά στο παρακάτω σχήμα:

Όπου MS(Mobile Station) είναι το κινητό μας, HLR(Home Location Register) είναι η κεντρική βάση δεδομένων στον φορέα και VLR(Visitor Location Register) είναι η βάση δεδομένων σε περίπτωση που κάνουμε roaming μέσω άλλου φορέα. Όπως βλέπουμε και στο σχήμα μετασχηματίζεται το κλειδί Κ μέσω της RAND (μια συνάρτηση που προσθέτει “τυχαιότητα”) και δημιουργείται ένα session κλειδί Kc. Όπου A3/A8 στο σχήμα είναι αλγόριθμοι κρυπτογράφησης που χρησιμοποιεί το GSM πρωτόκολλο (περισσότερα παρακάτω). Η παραπάνω διαδικασία δημιουργεί ένα session κλειδί για τον φορέα και τον χρήστη που χρησιμοποιείται για την κρυπτογράφηση των δεδομένων καθώς και ένα authentication token -SRES στο σχήμα- για την αυθεντικοποίηση του κινητού με την κεραία. Τα προβλήματα που προκύπτουν από το παρακάτω μοντέλο είναι τα εξής:

1. Μη αυθεντικοποίηση του πύργου(κεραία κινητής): Οι συσκευές αυθεντικοποιούν τον εαυτό τους στην κεραία αλλά η κεραία δεν κάνει το ίδιο. Αυτό σημαίνει πως οποιοσδήποτε μπορεί να δημιουργήσει μια κεραία στην οποία θα συνδεθεί η συσκευή. Το βασικό πρόβλημα σε αυτό το σενάριο είναι ότι στο GSM πρωτόκολλο ο πύργος επιλέγει τον αλγόριθμο κρυπτογράφησης.. Αυτό σημαίνει πρακτικά ότι ο επιτιθέμενος μπορεί να επιλέξει να απενεργοποιήσει την κρυπτογράφηση (Α5/0 mode) και να διαβάζει σε cleartext όλη την κίνηση των δεδομένων.. Θεωρητικά η συσκευή προειδοποιεί τον χρήστη σε αυτή την περίπτωση αλλά οι κάρτες SIM περιέχουν ένα bit που απενεργοποιεί αυτή την προειδοποίηση..
2. Κακοί αλγόριθμοι κρυπτογράφησης: Οι αλγόριθμοι του GSM όταν δημιουργήθηκαν ακολούθησαν τη λογική κρυπτογράφησης security through obscurity (=αυτοσχεδίασε και ήλπιζε πως δεν θα το καταλάβει κανείς). Η λογική security through obscurity είναι λάθος στους αλγόριθμους κρυπτογράφησης καθώς λαμβάνει σαν δεδομένο πως ο επιτιθέμενος δεν γνωρίζει τον αλγόριθμο κρυπτογράφησης. Επίσης έχει απορριφθεί σαν λογική εδώ και κάποιους αιώνες. Επίσης τέτοιοι αλγόριθμοι όταν “σκάνε” (αποκαλύπτονται) σκάνε πολύ άσχημα και γεννούν διαμάντια. Αυτά όμως είναι λεπτομέρειες για τους γονείς του GSM που επέλεξαν να εμπιστευτούνε για την κινητή τηλεφωνία. Για αυτό το λόγο και οι Α3/Α8 που δημιουργήθηκαν αρχικά και χρησιμοποιούσαν μια κοινή function με όνομα COMP128-1 η οποία είναι “σπασμένη” σε τέτοιο σημείο που κάποιος μπορεί να κλωνοποιήσει το κλειδί της SIM με 8 δοκιμές.
3. Πολύ κακοί αλγόριθμοι κρυπτογράφησης: Ευτυχώς το πρόβλημα με τον COMP128-1 μπορούσε να διορθωθεί με μια αλλαγή της SIM. Δυστυχώς τα πράγματα έγιναν πολύ χειρότερα με τον A5/1 αλγόριθμο ο οποίος ήταν ενσωματωμένος στις περισσότερες συσκευές (κινητά) και κεραίες. Ο A5/1 διέρευσε περίπου την ίδια περίδο με τον COMP128-1 και άρχισε να δέχεται απανωτά χτυπήματα. Σήμερα είναι εφικτή μια κρυπτανάλυση με μέθοδο known-plaintext στον Α5/1 χρησιμοποιώντας rainbow tables που κυκλοφορούν ελεύθερα στο διαδίκτυο. Το καλύτερο είναι ότι πλέον οι περισσότερες κλήσεις που χρησιμοποιούν τον A5/1 μπορούν να αποκρυπτογραφηθούν με έναν καλό υπολογιστή (όχι υπερυπολογιστή, καλό υπολογιστή όπως αυτόν που έχει ένας gamer π.χ)
4. Απαράδεκτοι αλγόριθμοι κρυπτογράφησης: Τα πράγματα δυστυχώς έγιναν ακόμα χειρότερα.. Το πρωτόκολλο υποστήριζε μια παραλλαγή του Α5/1 τον A5/2 που ήταν τόσο χάλια που μπορούσε να σπάσει σε real time (δηλαδή την ίδια στιγμή) και ο οποίος έσπασε (σαν αλγόριθμος) τον ίδιο μήνα που εκδόθηκε (good job!). Το χειρότερο ήταν πως ο αλγόριθμος χρησιμοποιούσε το ίδιο κλειδί με τον A5/1. Αυτό σήμαινε πως μπορούσε κάποιος να κλέψει το session key μέσω ενός ψεύτικου πύργου όπου θα γύρναγε την κρυπτογράφηση σε Α5/2, θα έκλεβε το session key και στη συνέχεια θα γύρναγε στον Α5/1 της πραγματικής κεραίες. Active sniffing και στη συνέχεια passive sniffing δηλαδή αφού κατέχει το κλειδί. Το 2006 (7 χρόνια μετά το σπάσιμο του Α5/2) η GSM Association όρισε πως οι νέες συσκευές δεν θα υποστηρίζουν πλέον τον Α5/2 (μα γιατί;) ειδικά από τη στιγμή που η 3G επικοινωνία όριζε ως αποκλειστική τη χρήση του Α5/1. Φυσικά υπάρχει και η περίπτωση να μην χρησιμοποιείται καν κρυπτογράφηση σε περίπτωση που το δίκτυο δεν υποστηρίζει τον Α5/1. Ένα καλό ερώτημα είναι κατά πόσο αυτές οι οδηγίες ισχύουν στα ελληνικά δεδομένα τηλεπικοινωνίας..

3G/4G/LTE και μεταξωτές κορδέλες

Οκ το GSM καθιερώθηκε πριν 30 χρόνια. Λογικό να υπάρχουν προβλήματα (αν και είπαμε ότι η λογική security through obsurity είναι λογική 16 αιώνα). Βέβαια το 90+ % των χρηστών κινητής τηλεφωνίας το χρησιμοποιούνε αλλά οκ αφού κάναμε την πατάτα και δεν διορθώνεται (δες (3) παραπάνω) ας φτιάξουμε κάτι νέο.. 3G:

Το παραπάνω σχήμα κάτι θυμίζει;

Η χρήση του 3G όρισε νέα standards (LTE) για την ασφάλεια του GSM. Αυτά είναι συνοπτικά:

1. Αυθεντικοποίηση από κοινού: Το 3G πρωτόκολλο χρησιμοποιεί ένα “Authentication and Key Agreement “ (AKA) πρωτόκολλο το οποίο απαιτεί την αυθεντικοποίηση της κεραίας. Για να επιβεβαιώσει μια συσκευή ότι μιλάει με μια νόμιμη κεραία ο φορέας πλέον δημιουργεί ένα Message Authentication Code (MAC) που η συσκευή επιβεβαιώνει πριν συνδεθεί.
2. Καλύτεροι αλγόριθμοι αυθεντικοποίσης: Τα session κλειδιά καθώς και το authentication tag υπολογίζονται κάνοντας χρήση κάποιων νέων αλγορίθμων f1-f5 κλειστού κώδικα (security through obscurity will not be beaten!) που είναι θεωρητικά ισχυροί. Το κακό (που είναι το καλό άραγε;) είναι πως ο φορέας επιλέγει τη χρήση των αλγορίθμων καθώς και το μέγεθος των κλειδιών.. Κάποια έγγραφα με υποδείξεις μας οδηγούν στο συμπέρασμα ότι οι αλγόριθμοι αυτοί είναι κάποιου είδους block cipher όπως ο AES. Το πρόβλημα με τους block ciphers αλγορίθμους είναι ότι αν δεν είναι κάποιος αρκετά προσεκτικός στη σχεδίαση αλλά και στην υλοποίησή τους μπορεί να έχει καταστροφικά αποτελέσματα.. Αλλά εμείς εμπιστευόμαστε τους τύπους που επί 7 χρόνια υποστήριζαν επίσημα αλγόριθμο που έσπαγε σε πραγματικό χρόνο..
3. Καλύτερη κρυπτογράφηση: Η κρυπτογράφηση των κλήσεων στο 3G γίνεται με τη χρήση ενός block cipher κλειστού κώδικα με όνομα KASUMI. Ο KASUMI βασίζεται στον MISTY1 που δημιούργησε η Mistubishi το 1995 και είναι αρκετά τροποποιημένος ώστε να δουλεύει γρήγορα σε συσκευές κινητής τηλεφωνίας. Το πρόβλημα με τον KASUMI είναι ότι οι (τόσο έξυπνες ώστε να είναι κρυφές) τροποποιήσεις που έχει σε σχέση με τον MISTY1 τον κάνουν αρκετά πιο αδύναμο σε σχέση με τον MISTY1. Το 2010 επιτεύχθηκε ανάκτηση ενός 128 bit κλειδιού του KASUMI μέσα σε 2 ώρες. Αυτό φυσικά επετεύχθη σε “συνθήκες εργαστηρίου” (μη ρεαλιστικές συνθήκες) αλλά αποδεικνύει ότι ο KASUMI δεν είναι τόσο ισχυρός όσο υποστηρίζεται…

Ένα ακόμη πρόβλημα είναι ότι το 3G δεν υποστηρίζεται παντού και οι συσκευές είναι ρυθμισμένες ώστε να συνδέονται μέσω GSM όταν μια σύνδεση 3G/4G δεν είναι εφικτή.

GSM vs 3G and the winner is….

Ένα βασικό πρόβλημα είναι ότι και το GSM και το AKA δεν έχουν Perfect Forward Secrecy (PFS) που έχει για παράδειγμα το otr plugin του pidgin. Τι είναι το PFS; Το PFS είναι ουσιαστικά μια ιδιότητα ενός πρωτοκόλλου συμφωνίας κλειδιού (ανταλλαγής κλειδιού) που διασφαλίζει πως το sesion key δεν μπορεί να ανακτηθεί αν ανακτηθεί το long term (μακράς διάρκειας) κλειδί. Για όσους χάθηκαν κοιτάξτε πάλι την ενότητα “GSM ή αλλιώς Breaking me badly”. Αυτό σημαίνει στην περίπτωση της κινητής τηλεφωνίας πως αν κάποιος αποκτήσει το long term κλειδί (Κ) μπορεί να αποκρυπτογραφήσει όποια συνομιλία έγινε ή θα γίνει στο μέλλον. Τέλειο;

Ελληνικά δεδομένα

Δεν αναφερθήκαμε καθόλου όμως στα ελληνικά δεδομένα και στα περίφημα βαλιτσάκια και τσαντάκια (πλάκα κάνω δεν υπάρχει τσαντάκι) της ΕΥΠ. Καταρχάς πέραν της “βαλίτσας” υπάρχει η πολύ απλή παρακολούθηση με ένταλμα στον πάροχο ή με παρακολούθηση από το κτήριο της ΕΥΠ. Η δεύτερη περίπτωση (παρακολούθηση από το κτήριο της ΕΥΠ) αν όντως ισχύει σημαίνει ότι η ΕΥΠ έχει εγκαταστήσει ένα είδος κοριού στο δίκτυο κινητής τηλεφωνίας των παρόχων. Αν ισχύει αυτή η περίπτωση τότε το περίφημο βαλιτσάκι (θα αναλύσουμε σε λίγο) είναι απαραίτητο σε περίπτωση που δεν είναι γνωστός ο αριθμός του τηλεφώνου που χρησιμοποιεί ο “ύποπτος”.

Φυσικά το γεγονός ότι οι άρσεις απορρήτου έχουν αυξηθεί εκθετικά μας διδάσκει ότι μερικές φορές ένα χαρτί προκαλεί μεγαλύτερη καταστροφή από ένα σφυρί. Έτσι λοιπόν δεν χρειάζεται να επιστρατευθούν βαλιτσάκια και περίεργοι τύποι με καπαρντίνες. Αρκεί ένα χαρτί που θα επικαλείται “λόγους εθνικής ασφάλειας” για να διασφαλίσει τη συνεργασία των παρόχων και την ελεύθερη πρόσβαση στα άδυτα της κινητής τηλεφωνίας. Με λίγα λόγια, ακόμα και αν οι αλγόριθμοι κρυπτογράφησης της κινητής τηλεφωνίας λειτουργούσαν άψογα,  ένα χαρτί από την εισαγγελία επικαλούμενο “λόγους εθνικής ασφάλειας” θα εξασφάλιζε την απόλυτη πρόσβαση στα δεδομένα και στις επικοινωνίες ενός πολίτη.

Το βαλιτσάκι μου και πάμε διακοπές

Με βάση τις παραπάνω πληροφορίες που παραθέσαμε σχετικά με την κρυπτογράφηση στην κινητή τηλεφωνία, δεν φαντάζει και τόσο εξωπραγματικό το γεγονός ότι υπάρχει εξοπλισμός που προσποιείται πως είναι κεραία κινητής τηλεφωνίας με σκοπό να υποκλέψει τη συνομιλία. Τέτοιου είδους εξοπλισμός πωλείται από 700 δολάρια στο internet (IMSI-catcher). Το θέμα είναι πως ακριβοπληρωμένοι εξοπλισμοί τύπου “βαλιτσάκι” (είναι προφανές ότι οι έλληνες δαιμόνιοι ρεπόρτερ το ονόμασαν έτσι επειδή έχει το μέγεθος και ίσως την εμφάνιση βαλίτσας) υποστηρίζουν την ταυτόχρονη σύνδεση με πολλούς υπόπτους και φυσικά έχουν πολύ μεγαλύτερη εμβέλεια. Κατά τα άλλα δεν είναι καμιά φοβερή δυνατότητα που θα οδηγούσε τους συνωμοσιολόγους να αναφωνήσουν “είχαμε δίκιο, η κυβέρνηση τα παρακολουθεί όλα!”

Συμπέρασμα

Δυστυχώς τα πράγματα δεν είναι αστεία. Αν δεν σας έφτανε το γεγονός ότι κουβαλάτε μαζί σας ένα ρουφιάνο που καταγράφει τη θέση σας (clickme#1, clickme#2, clickme#3, clickme#4) τότε αποκτήσατε και μια σιγουριά πως ότι λέτε μπορεί να το ακούσει όχι απλά η κυβέρνηση/αστυνομία αλλά οποιοσδήποτε έχει γύρω στα 800 ευρώ να ξοδέψει.. Άλλωστε έχουν έρθει στη δημοσιότητα (στην ελλάδα) περιπτώσεις όπου εταιρίες χρησιμοποιούσαν αντίστοιχα “βαλιτσάκια” για εταιρική κατασκοπία..

Το παραπάνω άρθρο είναι σε μεγάλο μέρος μετάφραση με προσθαφαιρέσεις από εδώ

Επιπλέον πηγές και αναγνώσματα:

Παρακολουθήσεις κινητών τηλεφώνων

Defcon 18 – Practical Cellphone Spying

GSM Cloning

GSM Cloning #2

Cryptanalysis of A5/1

IMSI-Catcher

Intercepting GSM Traffic

Perfect forward secrecy

“Πιστεύω στην αρχή, που διακηρύχθηκε στη Νυρεμβέργη το 1945 : “Τα άτομα έχουν διεθνή καθήκοντα, που υπερτερούν της υπακοής σε εθνικές υποχρεώσεις. Γι’ αυτόν τον λόγο, οι πολίτες έχουν το καθήκον να παραβιάζουν εθνικούς νόμους με σκοπό να αποτρέψουν εγκλήματα κατά της ειρήνης και της ανθρωπότητας από το να λάβουν χώρα”.
Edward Snowden, 12 Ιουλίου 2013

Με μία σειρά ρεπορτάζ τους από τις 6 Ιουνίου 2013 και έπειτα οι εφημερίδες Guardian και Washington Post αποκάλυψαν ότι η Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA) επιτηρεί με υπερσύγχρονες τεχνολογίες τις ηλεκτρονικές επικοινωνίες άνω του ενός δις ανθρώπων σε όλο τον κόσμο. Συγκεκριμένα, το κράτος των ΗΠΑ, με τη νομότυπη κάλυψη της αντιτρομοκρατικής νομοθεσίας, που ψηφίστηκε μετά τις επιθέσεις της 9/11 (Patriot Act, Foreign Intelligence Surveillance Act), και με έναν μηχανισμό κατ’ επίφαση κρατικοδικαιικών δικλείδων ασφαλείας, που περιλαμβάνει ακόμη και εξ απορρήτων δικαστήρια, όπως το FISA Court, συνεργάζεται με τις μεγαλύτερες εταιρείες ηλεκτρονικών επικοινωνιών (Verizon κτλ) και παροχής περιεχομένου (Facebook, Google κτλ), προκειμένου να αποκτά πρόσβαση είτε εκ των υστέρων είτε σε πραγματικό χρόνο στις ηλεκτρονικές επικοινωνίες (τηλεφωνία / διαδίκτυο) του ενός πέμπτου του πληθυσμού της γης. Τα ρεπορτάζ στηρίχθηκαν σε διαρροή 15.000 – 20.000 απορρήτων επίσημων εγγράφων της NSA, που δόθηκαν στον δημοσιογράφο του Guardian Glenn Greenwald, αρχικά ανωνύμως, από τον Edward Snowden, υπάλληλο της υπηρεσίας αυτής.

Η αντίδραση του κράτους των ΗΠΑ υπήρξε δριμεία. Ήδη, κατά τις πρώτες ημέρες των αποκαλύψεων ο πρόεδρος Ομπάμα εξαναγκάστηκε να προβεί σε δηλώσεις καθησυχασμού της παγκόσμιας κοινής γνώμης, δηλώνοντας πως “κανείς” δεν ακούει τις επικοινωνίες των πολιτών, για να διαψευστεί βεβαίως οικτρά από τα ατράνταχτα στοιχεία των αλλεπάλληλων ρεπορτάζ. Μετά την αυτο – αποκάλυψη του Edward Snowden ως πηγής της διαρροής με δημόσια διαθέσιμο βίντεο, όπου εξηγούσε τους πολιτικούς λόγους της κίνησής του, ο γιγάντιος κατασταλτικός μηχανισμός των ΗΠΑ, υποβοηθούμενος από τις μυστικές υπηρεσίες και τις αστυνομίες πολλών άλλων κρατών, έστρεψε το βάρος του σε αυτόν. Αφού του απαγγέλθηκαν κατηγορίες για εσχάτη προδοσία και άλλα αδικήματα, ο φυγάς Snowden αποκλείστηκε στη διεθνή ζώνη του αεροδρομίου της Μόσχας για πολλές εβδομάδες, μέχρι να του δοθεί προσωρινό άσυλο υπό το βάρος της παγκόσμιας αλληλεγγύης στο πρόσωπό του. Είχε προηγηθεί αναγκαστική προσγείωση από μαχητικά αεροσκάφη του πρωθυπουργικού αεροπλάνου του Έβο Μοράλες στην Αυστρία και έλεγχος αυτού, αφού Γαλλία, Ιταλία, Ισπανία και Πορτογαλία είχαν αρνηθεί την διέλευσή του από τον εναέριο χώρο τους, κατόπιν υποδείξεων των ΗΠΑ ότι σε αυτό ενδέχεται να μεταφέρεται ο Snowden. Ο στρατός των ΗΠΑ μπλόκαρε την πρόσβαση προς τον ιστότοπο του Guardian στο προσωπικό του και, κυρίως, στους υπηρετούντες σε Αφγανιστάν, Μέση Ανατολή και Νοτιοανατολική Ασία. Στη συνέχεια, ο πάροχος υπηρεσιών ηλεκτρονικής αλληλογραφίας Lavabit, τον οποίο σύμφωνα με πληροφορίες είχε χρησιμοποιήσει ο Snowden για την εκτέλεση της διαρροής, εξωθήθηκε ατύπως σε παύση εργασιών μετά από δέκα χρόνια λειτουργίας. Και μέσα στον Αύγουστο το κράτος των ΗΠΑ έδειξε το σκληρότερο κατασταλτικό του πρόσωπο απέναντι στον επίσης ήρωα των διαρροών του wikileaks Bradley Manning, καταδικάζοντάς τον σε 35 χρόνια φυλάκισης.

Όλα δείχνουν ακόμη και στους πλέον δύσπιστους ότι έχουμε απέναντί μας τον μεγαλύτερο στην ιστορία μηχανισμό επιτήρησης, που υλοποιήθηκε ποτέ. Από τους χειρισμούς της κρίσης αλλά και τις χλιαρότατες έως ανύπαρκτες αντιδράσεις όσων κρατών αποδείχθηκε ότι οι πολίτες τους επιτηρούνται προκύπτει πως βρισκόμαστε απέναντι σε μία σχέση είτε συνεργασίας είτε ανοχής μεταξύ των ΗΠΑ και των ισχυρότερων λοιπών κρατών του πλανήτη για την διατήρηση και συγκάλυψη του μηχανισμού αυτού. Η δε συνέργεια με την NSA των πολυεθνικών εταιρειών τηλεπικοινωνιών, που αποτελούν τη ραχοκοκκαλιά του διαδικτύου, και των μεγαλύτερων παρόχων διαδικτυακών υπηρεσιών και περιεχομένου δείχνουν πως όποια προσωπικά μας δεδομένα και ηλεκτρονικές επικοινωνίες εκχωρούμε σε ιδιώτες, να θεωρούμε δεδομένο πως ενδέχεται να σκανάρονται και από τις Αμερικανικές μυστικές υπηρεσίες. Όπως εξελίσσεται η παγκόσμια επιτήρηση των ηλεκτρονικών επικοινωνιών, η προσφιλής στους φιλήσυχους πολίτες φράση “καθαρός ουρανός αστραπές δε φοβάται” το μόνο που προσάπτει για όποιον την εκφέρει είναι απουσία σκέψης, ένδειξη φόβου και συνειδητή αποποίηση ευθυνών αναφορικά με μία ανθρωπότητα που οδεύει με ταχύτητα προς τον παγκόσμιο μεγάλο αδελφό.

Συνήθως ως υπόστρωμα σχέσεων κυριαρχίας, η επιτήρηση ανθρώπου από άνθρωπο παρουσιάζεται ιστορικά ως αντικοινωνικό αποτέλεσμα της εμφάνισης ιεραρχικών και διαστρωματωμένων κοινωνιών. Σήμερα που υποτίθεται πως σύμφωνα με την κυρίαρχη άποψη έχουμε αφιχθεί στο τέλος της ιστορίας, σε έναν κόσμο ελευθερίας και δημοκρατίας, ανακαλύπτουμε διαρκώς την απίστευτη επίταση της επιτήρησης των ανθρώπων από τα κράτη και τα ισχυρά ιδιωτικά συμφέροντα είτε στην εργασία τους και στην κίνησή τους στον δημόσιο χώρο είτε σε κάθε επικοινωνία τους. Η καθολίκευση της επιτήρησης και η γιγάντωση των αντίστοιχων κρατικών δομών και υποδομών δεν κατανοούνται ως φαινόμενο μόνο με την παραπομπή στη ραγδαία τεχνολογική εξέλιξη. Η ανάπτυξη άλλωστε τέτοιων πανίσχυρων τεχνολογιών επιτήρησης δεν γίνεται αυτόματα αλλά επειδή υπάρχει τεράστια ζήτηση γι’ αυτές. Το σπρώξιμό μας στα αόρατα δεσμά της ηλεκτρονικής επιτήρησης γίνεται επειδή ούτε το τέλος της ιστορίας έχει επέλθει ούτε είμαστε ελεύθεροι ή έχουμε δημοκρατία αλλά κατά βάση γιατί η θωράκιση των σύγχρονων καθεστώτων είναι αναγκαία για τον έλεγχο και την αποτροπή της κοινωνικής αντίστασης, οργάνωσης και εξέγερσης απέναντι στο πολλαπλασιαζόμενο βάρος της καταπίεσης και της κυριαρχίας. Απέναντι λοιπόν στα φαινόμενα των αυθαίρετων επιτηρήσεων, ιδιαίτερα στις ηλεκτρονικές επικοινωνίες, είναι καθήκον μας να απαιτούμε την απρόσκοπτη επικοινωνία μας σε συνθήκες ιδιωτικότητας και, οργανώνοντας τις αντιστάσεις μας, να προασπίζουμε την ελευθερία μέσα και έξω από τον ψηφιακό κόσμο.

Αναδημοσίευση από το dln.gr

Resnick: Τι πρέπει να γνωρίζουμε για τα κινητά τηλέφωνα; Είναι δύσκολο να φανταστούμε να πηγαίνουμε σε μια διαμαρτυρία χωρίς κινητό. Αλλά όπως όλες οι δικτυακές τεχνολογίες, σίγουρα έχουν δύο όψεις…

Appelbaum: Τα κινητά τηλέφωνα είναι συσκευές εντοπισμού που κάνουν τηλεφωνικές κλήσεις. Είναι λυπηρό αλλά και αληθινό. Που σημαίνει ότι οι λύσεις όσον αφορά το λογισμικό του κινητού τηλεφώνου δεν έχουν ιδιαίτερη σημασία. Μπορείς να έχεις ένα σύνολο από ασφαλείς εφαρμογές εγκατεστημένες στο κινητό σου, αλλά αυτό δεν αλλάζει το γεγονός ότι εξακολουθεί να σε εντοπίζει όπου κι αν είσαι. Και η αστυνομία μπορεί ενδεχομένως να σπρώξει ενημερώσεις στο κινητό σου που θα εγκαθιστούν μια “πίσω πόρτα” και να επιτρέπουν την απομακρυσμένη ενεργοποίση του μικροφώνου και άλλα τέτοια. Η αστυνομία μπορεί να αναγνωρίσει τους πάντες σε μια διαμαρτυρία, φέρνοντας μια συσκευή που λέγεται συλλέκτης IMSI. Είναι μια ψεύτικη κεραία για κινητά τηλέφωνα που μπορεί να κατασκευαστεί με 1500 δολάρια. Και όταν η κεράια αυτή είναι κοντά, τα τηλέφωνα όλων θα συνδεθούν πάνω της αυτόματα, και καθώς τα κινητά τηλέφωνα εκπέμπουν ένα μοναδικό αναγνωριστικό, το μόνο που έχει να κάνει η αστυνομία είναι να συλλέξει τα αναγνωριστικά αυτά και να πάει στην τηλεφωνική εταιρεία να ζητήσει πληροφορίες για αυτά.

R: Άρα λοιπόν τα κινητά τηλέφωνα είναι συσκευές εντοπισμού. Μπορούν ακόμα να χρησιμοποιηθούν και για υποκλοπές συνομιλιών. Αν βγάλουμε την μπαταρία από ένα κινητό απενεργοποιούμε τη δυνατότητα αυτή;

Α: Ίσως. Αλλά τα iPhone για παράδειγμα, δεν έχουν αφαιρούμενη μπαταρία, απενεργοποιούνται μέσω ενός κουμπιού. Οπότε αν έγραφα ένα πρόγραμμα “πίσω πόρτα” για το iPhone θα το έβαζα να εμφανίζει μια κενή μαύρη οθόνη. Και όταν πάταγες το κουμπί να ανοίξει, θα παρίστανε πως μπαίνει σε διαδικασία εκκίνησης. Σαν να παίζει δύο βίντεο.

R: Και πόσο εύκολο είναι να φτιάξεις κάτι σαν αυτό;

A: Υπάρχουν σετ εργαλείων που πωλούνται από εταιρείες όπως η FinFisher που δίνουν τη δυναότητα να διαρρήξεις κινητά τηλέφωνα όπως BlackBerry, Android, iPhone, Symbian και άλλες πλατφόρμες. Με ένα και μόνο κλικ, η αστυνομία για παράδειγμα, μπορεί να αποκτήσει τον έλεγχο ενός κινητού τηλεφώνου και άρα να “έχει” το άτομο που το χρησιμοποιεί.

R: Μάλιστα. Τον Νοέμβριο του περασμένου χρόνου, η Wall Street Journal, πρώτη αναφέρθηκε σε αυτή την νέα παγκόσμια αγορά της τεχνολογίας επιτήρησης και δημιούργησε έναν “Κατάλογο Παρακολούθησης” στον ιστότοπό της, που περιελάμβανε έγγραφα εταιρειών που συμμετείχαν σε ένα μυστικό συνέδριο για την παρακολούθηση που έλαβε χώρα στην Washington D.C. Ακόμα το Wikileaks έχει δημοσιεύσει έγγραφα για τις εταιρείες αυτές. Η βιομηχανία αυτή μεγάλωσε απότομα και έχει διαστάσεις μια αγοράς 5 δις δολλαρίων το χρόνο. Και παρόλο που οι εταιρείες αυτές που κατασκευάζουν και πωλούν τον εξοπλισμό αυτό, λένε ότι είναι διαθέσιμος μόνο σε κυβερνήσεις και την αστυνομία και έχει ως σκοπό την σύλληψη εγκληματιών, οι επικριτές λένε ότι πρόκειται απλώς για μια νέα αγορά όπλων που προμηθεύει τις κυβερνήσεις των δυτικών κρατών και άλλα καταπιεστικά καθεστώτα.

A: Είναι τρομακτικό το πόσο εύκολα μπορείς να βρεις αυτά τα προϊόντα. Μια εταιρεία φτιάχνει λογισμικό με “πίσω πόρτες”, και το πουλάει και λέει εμπιστευθείτε μας, μόνο οι καλοί θα το χρησιμοποιήσουν… βασικά, δεν ξέρουμε να ασφαλίζουμε τα υπολογιστικά συστήματα και όποιος λέει το αντίθετο λέει μαλακίες. Αν μπορεί κάποιος να χακάρει την Google, την Boeing, την Lockheed Martin, αν διέρρευσαν αρχεία σχεδίασης και επικοινωνίας της Marine One, είναι ρεαλιστικό να συμπεράνουμε ότι είναι δυνατή η απόλυτη ασφάλεια; Γνωρίζοντας ότι έτσι έχουν τα πράγματα, το σωστό είναι να μην υπάρχει καμιά πίσω πόρτα (που να δίνει πρόσβαση σε δεδομένα χρηστών). Ή απλά να υποθέσουμε ότι οποιαδήποτε πίσω πόρτα θα χρησιμοποιηθεί κακόβουλα και καταχρηστικά, οπότε το μόνο που μας μένει είναι να τις παρακάμπτουμε με τρόπο ώστε τα δεδομένα που θα φαίνονται(χρησιμοποιώντας πίσω πόρτες) να μην έχουν κανένα ενδιαφέρον. Όπως για παράδειγμα οι κρυπτογραφημένες τηλεφωνικές κλήσεις – πράγματι μπορούν να υποκλέψουν τα δεδομένα, αλλά το μόνο που θα λαμβάνουν είναι θόρυβος.
[…]

R: Λοιπόν, ένα πράγμα που έχω ακούσει αρκετές φορές σε συναντήσεις όταν εμφανίζεται μια κουλτούρα ασφάλειας είναι ότι… να, υπάρχει η αίσθηση ότι η υπερβολική πρόληψη διογκώνεται σε (ή προέρχεται από την) παράνοια, και ότι η παράνοια τροφοδοτεί την έλλειψη εμπιστοσύνης και όλο αυτό μπορεί να οδηγήσει στην παράλυση και σε ένα είδος αδράνειας. Πώς θα απαντούσες σε κάτι τέτοιο;

A: Οι άνθρωποι που λένε κάτι τέτοιο, αν δεν είναι μπάτσοι, αισθάνονται αδύναμοι. Η πρώτη τους αντίδραση είναι “δεν είμαι σημαντικός”. Και η δεύτερη είναι, “δεν με παρακολουθούν”, κι ακόμα κι αν το κάνουν, δεν μπορούν να βρουν τίποτα διότι δεν κάνω κάτι παράνομο. Αλλά το θέμα είναι ότι, το να λαμβάνεις μέτρα προστασίας στις επικοινωνίες σου είναι σαν το σέξ με προφυλάξεις. Έχεις μια ευθύνη απέναντι σε άλλους ανθρώπους να είσαι ασφαλής – τα λάθη σου μπορεί να επηρεάσουν κι άλλους. Και η πραγματικότητα είναι ότι θα το καταλάβεις όταν είναι ήδη αργά. Δεν μιλάμε για την τέλεια προστασία, μιλάμε πρωτίστως για την αναγνώριση από τον καθένα ότι έχει την ευθύνη να παίρνει μέτρα προστασίας, και να κάνει ο,τι καλύτερο μπορεί χωρίς να χαλάει τις επικοινωνίες του, χωρίς να καταστρέφει τη μέρα του και καταλαβαίνοντας ότι μερικές φορές δεν είναι ασφαλές να υποτιμάς μερικά πράγματα, ακόμα κι αν το έκανες άλλες φορές. Αυτό είναι το μάθημα. Λοιπόν, η κουλτούρα της ασφάλειας ακούγεται υπερβολική αλλά οι τεχνολογικές δυναότητες της αστυνομίας, και ειδικά με τα διάφορα εργαλεία που πωλούνται, είναι μεγάλες. Και για να ακυρώσεις αυτό το πράγμα μπορείς να πάρεις όλα τα τηλέφωνα του πάρτυ, να τα βάλεις σε μια τσάντα και την τσάντα στο ψυγείο, και να δυναμώσεις την μουσική στο άλλο δωμάτιο – βέβαια μπορεί να υπάρχει ένας ρουφιάνος στη μάζωξη – αλλά τουλάχιστο δεν υπάρχει ηχητική καταγραφή αυτών που λέτε.

R: Υπάρχουν άλλα εργαλεία ή συμβουλές προς έναν ακτιβιστή ή οποιονδήποτε ενδιαφέρεται για τα ζητήματα αυτά;

A: Λοιπόν, είναι σημαντικό να έχουμε μια συνολική εικόνα για τη λειτουργία όλων των ηλεκτρονικών συσκευών που χρησιμοποιούμε. Πρώτα, καλό είναι να χρησιμοποιείς τον Tor Browser για να πλοηγηθείς στο internet. Να ξέρεις ότι πιθανόν η σπιτική σου σύνδεση στο internet δεν είναι ασφαλής, ιδίως αν είναι στο όνομά σου. Αν χρησιμοποιείες Mac ή Windows λειτουργικό σύστημα, να είσαι ιδιαίτερα προσεκτική. Για παράδειγμα, υπάρχει ένα λογισμικό που λέγεται “Evilgrade” που κάνει πολύ εύκολο για έναν επιτιθέμενο να εγκαταστήσει μια “πίσω-πόρτα” στον υπολογιστή σου, εκμεταλλευόμενο αδυναμίες στις αυτόματες ενημερώσεις διφόρων προγραμμάτων. Έτσι, αν για παράδειγμα έχεις το Acrobat PDF Reader της Adobe και κατεβάζεις και εγκαθιστάς τα update από την Adobe, τότε ίσως κάποια στιγμή κατεβάζεις και κάτι extra που θα είναι κακόβουλο. Και οι μπάτσοι έχουν διαφορετική αλλά καλύτερη έκδοση του λογισμικού αυτού. Και αυτό είναι ένας από τους λόγους που ενθαρρύνω τους ανθρώπους να χρησιμοποιούν Ubuntu ή Debian ή κάποια άλλη διανομή Linux αντί των κλειστών συστημάτων όπως Mac ή Windows. Επειδή υπάρχουν πολλά κενά ασφαλείας σε αυτά. Αν βρίσκεσαι σε μια ιδιαίτερα ευαίσθητη κατάσταση, χρησιμοποίησε ένα live-CD που ονομάζεται TAILS – σου προσφέρει ένα Linux λειτουργικό όπου όλη η κίνηση δρομολογείται μέσω του Tor χωρίς κάποια ρύθμιση από τον χρήστη. Ή, αν είσαι πολύγλωσσος, μπορείς να φιλοξενήσεις δεδομένα σε κάποια άλλη χώρα. Άνοιξε έναν λογαριασμό email στη Σουηδία και χρησιμοποιήσε το TAILS για πρόσβαση σε αυτόν. Το πιο σημαντικό είναι να γνωρίζεις τι επιλογές υπάρχουν. Ένα σημειωματάριο δίπλα σε μια φωτιά είναι πολύ περισσότερο ασφαλές από έναν υπολογιστή σε ορισμένες περιπτώσεις, ειδικά σε έναν υπολογιστή που δεν είναι κρυπτογραφημένος. Μπορείς πάντα απλώς να ρίξεις το σημειωματάριο στη φωτιά και να τελειώνεις.

Όσον αφορά το email, το να χρησιμοποιείς το Riseup.net είναι καλά νέα. Οι λύσεις που προσφέρουν είναι ενσωματωμένες με το Tor όσο το δυνατό περισσότερο. Είναι γαμάτοι. Εξαιτίας του τρόπου με τον οποίο λειτουργούν ένα σύστημα, είμαι σχεδόν σίγουρος ότι τα μόνα δεδομένα που έχουν είναι κρυπτογραφημένα. Και θα ήθελα να σκέφτομαι ότι οποιαδήποτε μη κρυπτογραφημένα δεδομένα έχουν, θα κάνουν το παν για να τα προστατεύσουν. Από την άλλη, ναι, μπορείς να χρησιμοποιήσεις το Tor και το Gmail μαζί, αλλά δεν είναι το ίδιο, όταν συνδέεσαι στο Gmail δεν σε ρωτάει αν θέλεις να δρομολογηθείς μέσω Tor. Επιπλέον, η Google παρακολουθεί την κίνησή σου για να βγάζει κέρδος. Θα προτιμούσα να δίνω πενήντα δολλάρια το μήνα στη Riseup για τις ίδιες υπηρεσίες που προσφέρει το Gmail, γνωρίζοντας την αφοσίωση της Riseup στην ιδιωτικότητα των χρηστών. Και γνωρίζοντας ότι θα πούνε στους μπάτσους να πάνε να γαμηθούν. Έχει μεγάλη αξία αυτό.

Όσο για το κινητό σου τηλέφωνο, θεώρησέ το μια συσκευή εντοπισμού και παρακολούθησης της επικοινωνίας σου, και αντιμετώπισέ το ανάλογα. Να είσαι πολύ προσεκτική όταν χρησιμοποιείς κινητό, αλλά σκέψου ειδικά τα μοτίβα συμπεριφοράς που παράγεις. Αν βγάλεις την μπαταρία, παράγεις μια ανωμαλία στη συμπεριφορά σου, και αυτό πιθανόν να είναι λόγος να ξεκινήσει μια εκ του φυσικού παρακολούθησή σου. Αντί για αυτό, καλύτερα μην βγάλεις την μπαταρία, απλώς άφησε το κινητό σου σπίτι. Επειδή, όπως είπα και νωρίτερα, σε έναν κόσμο που πάρα πολλά δεδομένα καταγράφονται, το μονοπάτι των δεδομένων μας αφηγείται μια ιστορία για εμάς, και ακόμα κι αν η ιστορία απαρτίζεται από αληθινά στοιχεία, δεν αντανακλά απαραίτητα την συνολική αλήθεια. Σε ένα κινητό τηλέφωνο μπορείς να εγκαταστήσεις λογισμικό όπως το OStel, το οποίο σου επιτρέπει να κάνεις κρυπτογραφημένες συνομιλίες πάνω από το internet, ή όπως το PrivateGSM – δεν είναι δωρεάν αλλά είναι διαθέσιμο για Blackberries, Android, iPhones και λοιπά. Το οποίο σημαινει ότι εάν θέλουν να υποκλέψουν το περιεχόμενο της συνομιλίας σου, πρέπει να “διαρρήξουν” το τηλέφωνό σου. Δεν είναι τέλειο. Το Gibberbot για Android, σου δίνει τη δυνατότητα να χρησιμοποιήσεις Tor και Jabber – το οποίο είναι σαν τον Google Chat – με αυτόματα ρυθμισμένο OTR. Πληκτρολογείς το jabber αναγνωριστικό σου, δρομολογεί την κίνηση μέσω Tor και όταν συνομιλείς με άλλους ανθρώπους, κρυπτογραφεί τα μηνύματα από άκρη σε άκρη, ούτως ώστε ούτε ο jabber server γνωρίζει τι λέτε. Και υπάρχει πληθώρα από τέτοια εργαλεία να διαλέξεις.

Ένα άλλο πράγμα να έχει υπόψιν είναι ο τρόπος με τον οποίο συναντιόμαστε. Εάν θέλουμε να επεξεργαστούμε κάτι συνεργατικά, υπάρχει ένα πρόγραμμα που λέγεται Etherpad. Και υπάρχει μια εφαρμογή κοινωνικής δικτύωσης που λέγεται Crabgrass, που φιλοξενείται στο we.riseup.net. Είναι σαν ένα ιδιωτικό Facebook. Το Riseup έχει αρκετά από τα δεδομένα, αλλά είναι ιδιωτικά από προεπιλογή. Έτσι είναι ασφαλή, με εξαίρεση περιπτώσεις hacking ή κάποιας νομικής διαδικασίας. Και αν το χρησιμοποιήσεις μέσω Tor Browser και δεν αποκαλύψεις ποτέ πληροφορίες για το άτομό σου, είσαι σε ένα καλό επίπεδο. Σε αντίθεση με το Facebook, που είναι κάτι σαν την Στάζι με πληροφορίες που οι χρήστες προσφέρουν εθελοντικά. Κάποια εποχή είχα λογαριασμό στο Facebook – έχει πλάκα και είναι ένας καλός τρόπος να γνωρίζεις κόσμος. Αλλά δεν είναι ασφαλές για πολιτική οργάνωση, ειδικά εάν είσαι μέλος κάποιας κοινωνικής μειονότητας, ή σε περίπτωση που δεν είσαι μέλος μια μειονότητας αλλά μια αδύναμης πλειονότητας.

Μια τελευταία σκέψη. Θα έλεγα να θυμόμαστε ότι ένα μεγάλο κομμάτι όλων των προαναφερθέντων είναι κοινωνική συμπεριφορά και όχι τεχνολογία από μόνη της. Και ακόμα ότι αν και ζούμε σε μια δυστοπική κοινωνία στο τώρα, δεν χρειάζεται να ζούμε έτσι για πάντα. Υπάρχει αυτό το αντιστάθμισμα, έτσι; Διότι, για ποιό πράγμα παλεύει το Occupy Wall Street; Η απάντηση είναι, κάτι διαφορετικό. Και αν θέλουμε να μπει ένα τέλος στην κοινωνική ανισότητα, το κράτος επιτήρησης είναι κάτι που πρέπει να αλλάξουμε. Εάν η επιτήρηση των ανθρώπων δεν έχει αξία, θα το καταφέρουμε. Λοιπόν, θα πρέπει αυτό που κάνουμε να μην μας απομακρύνει από αυτό που επιθυμούμε να δημιουργήσουμε.
_______

το άρθρο στα αγγλικά : http://nplusonemag.com/leave-your-cellphone-at-home

Είναι ακόμα δυνατόν ο διαχειριστής του cafe να παρακολουθεί ή να καταγράφει με τα ανάλογα προγράμματα, το κάθε πλήκτρο που χτυπάς, την κάθε σου κίνηση. Σε αρκετά cafe υπάρχουν κάμερες για λόγους ασφαλείας, οι οποίες όμως ενδεχομένως στο μέλλον να απειλήσουν την ιδιωτικότητα και την ανωνυμία σου. Τέλος λάβε υπόψιν ότι πέρα από τα ψηφιακά αποτυπώματα και τα ίχνη στον υπολογισή, αφήνεις και πραγματικά αποτυπώματα.

Χρησιμοποίησε ένα internet cafe μόνο αν δεν έχεις άλλη επιλογή. Προσπάθησε να κάνεις όσο δυνατόν λιγότερα logins, ιδίως σε ευαίσθητα emails ή sites. Αν τελικά κάνεις κάποιο login, φρόντισε να αλλάξεις τον κωδικό το συντομότερο δυνατόν.

Το robot ONO του video, είναι δημιούργημα της Tactical Technology Collective.

Αν δε μπορείτε να δείτε το παραπάνω video, πρέπει να κάνετε upgrade τον browser σας σε πιο πρόσφατη έκδοση.

γράφει η Sarah Resnick

Λίγο νωρίτερα μέσα στη χρονιά, ο συγγραφέας και ειδικός σε θέματα πληροφορίας James Bamford περιέγραψε στο περιοδικό Wired, τα σχέδια της Εθνικής Υπηρεσίας Πληροφοριών (NSA) για το Κέντρο Δεδομένων (Data Center) στη Utah. To “Κέντρο Δεδομένων της Utah” δεν είναι πολύ περιγραφικό όνομα, αλλά έχει και ένα άλλο : Πρώτο Κέντρο Δεδομένων μιας ενωτικής πρωτοβουλίας των Υπηρεσιών Πληροφοριών για την Εθνική Ψηφιακή Ασφάλεια. Οι εγκαταστάσεις, αξίας 2 δισεκατομμυρίων δολλαρίων, έχει προγραμματιστεί να ανοίξουν τον Σεπτέμβρη του 2013 και θα χρησιμοποιηθούν για την υποκλοπή, αποκρυπτογράφηση, ανάλυση και αποθήκευση των επικοινωνιών που παρακολουθεί η NSA, από emails, κλήσεις κινητών τηλεφώνων, αναζητήσεις στο Google, αναρτήσεις στο Twitter μέχρι και οικονομικές συναλλαγές. Που θα αποθηκεύονται όλα αυτά τα δεδομένα; Φανταστείτε, αν μπορείτε, περίπου 9.500 τετραγωνικά μέτρα, γεμάτα με σειρές από servers τον ένα πάνω από τον άλλο, τακτοποιημένους με τάξη σε ντουλάπια. O Bamford ισχυρίζεται ότι η χωρητικότητα της εγκατάστασης μπορεί να εκταθεί σε yottabytes, δηλαδή τετράκις gigabytes (yottabytes είναι η μεγαλύτερη μονάδα μέτρησης που έχει οριστεί μέχρι σήμερα)

Για να αποθηκεύσει τα δεδομένα, η NSA πρέπει πρώτα να τα συλλέξει, και εδώ ο Bamford βασίζεται στον William Binney, έναν πρώην κρυπταναλυτή-μαθηματικό της NSA, ως κύρια πηγή του. Για πρώτη φορά, αφού εγκατέλειψε την NSA το 2001, ο Binney έκανε μια συζήτηση για το Stellar Wind, το όποιο όλοι γνωρίζουμε σήμερα, ως το πρόγραμμα παρακολουθήσεων χωρίς εισαγγελική εντολή, που πρωτο-εγκρίθηκε από τον George Bush μετά τις επιθέσεις στους δίδυμους πύργους το 2001. Το πρόγραμμα αυτό επέτρεψε στην NSA να παρακάμψει το Ομοσπονδιακό Δικαστήριο για την Παρακολούθηση Ξένων Υπηρεσιών Πληροφοριών, το οποίο εξουσιοδοτούσε την επιτήρηση εγχώριων στόχων, και επέτρεπε την παρακολούθηση email και τηλεφωνικών κλήσεων χιλιάδων αμερικανών. Στα τριάντα χρόνια του στην NSA, ο Binney βοήθησε στην κατασκευή ενός αυτοματοποιημένου συστήματος συλλογής δικτυακών δεδομένων, το οποίο μέχρι το 2001, χρησιμοποιούνταν αποκλειστικά ενάντια σε ξένους στόχους. Ο Binney εγκατέλειψε όταν η υπηρεσία άρχισε να χρησιμοποιεί την ίδια τεχνολογία για να κατασκοπεύει αμερικάνους πολίτες.Περιγράφει μυστικά δωμάτια ηλεκτρονικής επιτήρησης σε εγκαταστάσεις μεγάλων τηλεπικοινωνιακών παρόχων στις ΗΠΑ, δωμάτια που ελέγχονται από από την NSA, και είναι εξοπλισμένα με πολύπλοκα λογισμικά που εξετάζουν την δικτυακή κίνηση στις οπτικές ίνες. (Σε μια τοπική εκδήλωση την προηγούμενη εβδομάδα, ο Binney κυκλοφόρησε μια λίστα με πιθανά τέτοια σημεία παρακολούθησης, στην οποία περιλαμβάνεται το μεγαλύτερο κτίριο διαμεταγωγής της AT&T στη Νέα Υόρκη). Περιγράφει λογισμικό, κατασκευασμένο από την εταιρεία Narus, που συλλέγει δεδομένα από διάφορες πηγές στις ΗΠΑ : οποιαδήποτε επικοινωνία εγείρει υποψίες αντιγράφεται αυτόματα και στέλνεται στην NSA. Όταν ένα όνομα εισάγεται στη βάση δεδομένων της Narus, όλες οι τηλεφωνικές κλήσεις, emails και λοιπές μορφές επικοινωνίας δρομολογούνται αυτόματα στους καταγραφείς της NSA.

H NSA δεν ήταν η μόνη υπηρεσία συγκέντρωσης πληροφοριών που επέκτεινε τις εξουσίες της όσον αφορά την εσωτερική παρακολούθηση, μετά την 11η Σεπτέμβρη. Ο νόμος Patriot Act, για παράδειγμα, επιτρέπει στο FBI να κατασκοπεύει αμερικάνους πολίτες χωρίς να επιδεικνύει κάποιον πιθανό λόγο που οι στόχοι εμπλέκονται σε εγκληματικές δραστηριότητες. Στην ενότητα 215 του νόμου, τα περίφημα πλέον Αιτήματα Εθνικής Ασφαλείας μπορούν να υποχρεώσουν, ανάμεσα σε πολλούς άλλους, τράπεζες, παρόχους τηλεφώνου και internet, να μοιράζονται (με τις αρχές) τις πληροφορίες που έχουν για αμερικάνους πολίτες. Ο παραλήπτης ενός τέτοιου αιτήματος τυπικά υποχρεώνεται να μην αναφέρει τίποτα δημόσια, σχετικά με την ύπαρξη ή τη φύση του αιτήματος αυτού.

Δεν είναι μυστικό ότι, ενώ η τέταρτη παράγραφος του αμερικανικού συντάγματος αποτρέπει τις έρευνες και κατασχέσεις χωρίς προφανή λόγο, ανησυχίες γύρω από “εθνική ασφάλεια” είχαν ως αποτέλεσμα την παράβλεψη και παραβίαση του δικαιώματος της ιδιωτικότητας ακόμα και των πιο απλών πολιτών. Οι ακτιβιστές έχουν περισσότερους λόγους να ανησυχούν, καθώς επανειλημμένα έχουν αποτελέσει αντικείμενο έρευνας για τρομοκρατία. Για παράδειγμα, το 2006 η ACLU αποκάλυψε ότι το Πεντάγωνο είχε κρυφά υπό επιτήρηση εκδηλώσεις διαμαρτυρίας, αντιπολεμικές οργανώσεις και ομάδες αντιτιθέμενες στις πολιτικές στρατολόγησης, όπως οι Quakers και φοιτητικές οργανώσεις. Έχοντας ως πηγές το υπουργείο Εθνικής Ασφάλειας, τοπικά αστυνομικά τμήματα, και την αντιτρομοκρατική δύναμη κρούσης του FBI, το Πεντάγωνο συνέλεξε, αποθήκευσε και διαμοίρασε δεδομένα μέσω του προγράμματος TALON (μια βάση δεδομένων με υποτιθέμενες απειλές), σχεδιασμένο για την παρακολούθηση τρομοκρατικών απειλών. Ή πάρτε για παράδειγμα τον Scott Crow, αναρχικό και βετεράνο διοργανωτή του κινήματος για την παγκόσμια δικαιοσύνη, ο οποίος, σύμφωνα με αναφορά των New York Times τη περασμένη χρονιά, είναι ένας από τους δεκάδες πολιτικούς ακτιβιστές ανά την χώρα, που ήταν υπό τον ασφυκτικό έλεγχο των αντιτρομοκρατικών επιχειρήσεων του FBI. Το FBI έστησε κάμερα έξω από το σπίτι του, καταγράφοντας τους επισκέπτες που μπαίναν και βγαίναν, παρακολουθούσαν τα email και τις τηλεφωνικές συνομιλίες και ψάχναν στα σκουπίδια του για να αναγνωρίσουν τράπεζες και εταιρείες υποθήκης με τις οποίες συναλλασσόταν, πιθανόν για περαιτέρω διερεύνηση. Άλλοι που ερευνήθηκαν από το FBI ήταν ακτιβιστές για τα δικαιώματα των ζώων αλλά και φιλελεύθεροι ρωμαιοκαθολικοί στη Nebraska. Όταν το 2008, ο Obama πήρε τα σκήπτρα από τον George W. Bush, υπήρχε η προσδοκία ότι έστω κάποιο μέρος αυτών των δραστηριοτήτων θα σταταμούσε. Όμως, οι παρακολουθήσεις και η συλλογή των ψηφιακών μας δεδομένων από την κυβέρνηση παραμένει σταθερή.

Όταν άρχισαν οι διαμαρτυρίες του κινήματος Occupy στα μέσα του Σεπτέμβρη του 2011, βασίστηκαν στις τεχνολογίες παραγωγής δεδομένων, περισσότερο από ποτέ. Μέσα σε μερικές εβδομάδες είχα γραφτεί σε πολλαπλές λίστες ηλεκτρονικού ταχυδρομείου του κινήματος, άρχισα να παρακολουθώ το Twitter με μια δίχως προηγούμενο αφοσίωση, πέρασα περισσότερες ώρες στο Facebook από ό,τι θέλω να παραδεχτώ. Δεν νομίζω ότι είμαι η μόνη. Την ίδια στιγμή, υπήρχε μια διάχυτη αίσθηση προσοχής – αν και εμπλεκόμασταν σε νόμιμες δραστηριότητες, που καλύπτονται από τα σύνταγματικά μας δικαιώματα όπως προσδιορίζονται στο πρώτο άρθρο, κανείς δεν θεώρησε τον εαυτό του εξαίρεση από την πιθανότητα της παρακολούθησης. Οι ευαίσθητες συζητήσεις γίνονταν σε θορυβώδη μπαρ, ποτέ με email. Τα μηνύματα στο κινητό θεωρούνταν μη ασφαλή. Στις συναντήσεις, ανάλογα με την περίσταση αφαιρούσαμε τις μπαταρίες των κινητών. Παρόλα αυτά, ήταν εύκολο να νιώσεις μη σημαντικός (γιατί να παρακολουθούν εμένα;) και εξίσου εύκολο να χαλαρώσεις τα μέτρα προφύλαξής σου – ειδικά όταν αυτό σήμαινε να ξαναβρεις κάποιες από τις ανέσεις που είναι δύσκολο να αποχωριστείς. Το να αφήσεις ίχνη ψηφιακών δεδομένων, πιθανώς ενοχοποιητικά, έμοιαζε αναπόφευκτο. Αλλά πόσο άσχημο μπορούσε να είναι πραγματικά; Και δεν υπήρχε τρόπος να χρησιμοποιούμε τα μέσα επικοινωνίας αυτά και ταυτόχρονα να διαφυλάξουμε την ιδιωτικότητά μας;

Στα τέλη του Απρίλη 2012, κάθισα με τον ανεξάρτητο ερευνητή ασφαλείας, hacker και υπερασπιστή της ιδιωτικότητας Jacob Appelbaum, ο οποίος γνωρίζει ένα ή δύο πράγματα σχετικά με το κράτος της επιτήρησης. Ο Appelbaum είναι ένα από τα μέλη κλειδιά του Tor Project, το οποίο βασίζεται σε ένα παγκόσμιο εθελοντικό δίκτυο από servers, το οποίο αναδρομολογεί την δικτυακή κίνηση μέσω ενός κρυπτογραφημένου κυκλώματος από αναματαδότες. Με αυτό τον τρόπο, αποκρύπτει την τοποθεσία του χρήστη και τον προστατεύει από μια συνηθισμένη μορφή δικτυακής παρακολούθησης, γνωστή ως ανάλυση κίνησης, που χρησιμοποιείται για να βρεθεί ποιος μιλάει με ποιον σε ένα δημόσιο δίκτυο. Το Tor είναι ελεύθερο και χωρίς αντίτιμο. Ο Appelbaum είναι επίσης ο μόνος γνωστός αμερικάνος, μέλος του WikiLeaks.

Θα ακολουθήσει το δεύτερο μέρος με την συνέντευξη του Jacob Appelbaum σε ξεχωριστό post.