PRISM a amerykańskie chmury publiczne
- Magda Borowik,
- 23.10.2013
Czy troska o bezpieczeństwo Ameryki usprawiedliwia hurtowe prześwietlanie prywatnej korespondencji internautów? Co najmniej przez sześć ostatnich lat amerykańskie agendy rządowe uzyskują dostęp do komunikacji użytkowników Facebooka, Skype’a, Microsoftu, YouTube’a, Apple’a i innych – wynika z dokumentów ujawnionych przez Edwarda Snowdena.
PRISM, czyli co?
Program PRISM to monitorowanie międzynarodowej komunikacji internetowej mające zapobiec aktom terrorystycznym. Z dokumentów, do których dotarł Washington Post, wynika, że 98% raportów generowanych przez PRISM pochodzi z Yahoo!, Google i Microsoftu. Wynika z nich także, że wzmianki z informacjami pochodzącymi z PRISM pojawiają się w co siódmym amerykańskim raporcie wywiadowczym. PRISM zatacza więc szersze koło, niż planowano.
Zobacz również:
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Cyberobrona? Mamy w planach
Nie ma czegoś takiego jak PRISM!
Spółki technologiczne odżegnują się od udziału w programie PRISM. W oficjalnych komunikatach wielcy świata technologii poinformowali, że nie udostępniają prywatnych danych swoich użytkowników rządowi amerykańskiemu. Zaprzeczenie tylko potwierdziło obawy. Ruch w internecie jest monitorowany na wiele sposobów, jednym z nich jest DPI (Deep Packet Inspection, czyli technika sieciowa pozwalająca usługodawcom internetu analizować pakiety przesyłane przez sieć pod względem ich treści). Inną formą kontroli treści wymienianych przez internautów jest ustawowy obowiązek przechowywania logów serwerów przez dostawców internetu. W Polsce logi przechowywane są przez 12 miesięcy i mogą być udostępnione organom państwowym w celach śledczych.
Czego oczy nie widzą...
Większość internautów nie zdaje sobie sprawy, że ich aktywność w sieci nie jest anonimowa. Cyberprzestrzeń staje się coraz bardziej transparentna. Nowe technologie pozwalają dotrzeć do autora obraźliwego postu na forum, chyba że użyje on przeglądarki, która schowa położenie geograficzne przed warstwami routingu, np. TOR. Jest to przeglądarka stosowana przez osoby, które muszą pozostać anonimowe w internecie. Ujawnione niedawno informacje zdradzają, że nawet TOR przestał być bezpieczny. NSA umieściła w jego kodzie niewielki skrypt, który sprawdzał MAC adres oraz nazwę hosta Windows danego użytkownika i przesyłał dane na serwer stojący w Północnej Wirginii, by odczytać prawdziwy adres IP.
Biznes w chmurze kontrolowanej
Tuż po ujawnieniu PRISM pojawiły się pytania o bezpieczeństwo danych firmowych w amerykańskich chmurach. Różne źródła przewidywały nagły odwrót biznesu od chmur. W sierpniu dwie duże firmy chmurowe, Salesforce.com oraz Workday, ogłosiły swoje wyniki za dwa pierwsze kwartały br. Sprzedaż jest wyższa od oczekiwań. Kolejne kwartały przyniosą więcej informacji.
Przy wynoszeniu zasobów w chmurę kluczową kwestią jest to, gdzie leży odpowiedzialność za dane. Czy klient ma się o to zatroszczyć i je zaszyfrować, czy to należy do dostawcy chmury? Klienci mają prawo domagać się pełnej informacji na temat zabezpieczeń i certyfikacji centrów danych, w których trzymają swoje zasoby. Przed państwowym monitoringiem trudno jednak uciec. Rządy na świecie starają się kontrolować przepływ informacji i na tym budują poczucie bezpieczeństwa. Czy słusznie? Ilu terrorystów postanawia wmieszać się w internetowy tłum i korzysta z Facebooka, by zaplanować atak? Czy permanentna kontrola jest naprawdę efektywna? Można odnieść wrażenie że to działanie na wyrost. Coraz bardziej zaawansowana analityka sieci społecznościowych prawdopodobnie przyniesie więcej osobistych informacji o użytkownikach niż szeroko zakrojone działania wywiadowcze amerykańskiego rządu. Wielki Brat czuwa i nie należy oczekiwać, że to się zmieni. Trzeba się z tym oswoić. Jesteśmy, byliśmy, będziemy kontrolowani. W granicach prawa i na jego obrzeżach.
Wywiad jest stary jak świat. Nie da się go wyeliminować, można jednak próbować obejść. Jednym z rozwiązań jest powierzenie zasobów chmurom europejskim.
Raz, dwa i po bólu
Firmy nie powinny bać się chmur, nawet biorąc pod uwagę możliwość skanowania ich przez wywiad. Być może dane umieszczone w chmurach uda się przeszukać szybciej i łatwiej. Państwo stanowi prawo i jeśli zechce, podejmie odpowiednie kroki i zmusi do ujawnienia danych każdego, niezależnie od tego, gdzie będzie je trzymał. Droga prawna zazwyczaj oznacza komplikacje, procedury i stratę czasu.
Wewnętrzny atak superusera, którym był Edward Snowden, pokazuje, jak słabo zabezpieczona była sama NSA. Bezpieczeństwo danych to dziś pojęcie względne. Sieć jest coraz bardziej przejrzysta, technologie dojrzewają. Im bardziej zdeterminowany i doświadczony napastnik, tym mniejsze szanse dla atakowanego. Nie ma takich zabezpieczeń, których nie da się złamać.