W czerwcu tego roku Washington Post oraz Guardian ujawniły elektryzujące informacje: NSA (Narodowa Agencja Bezpieczeństwa) oraz FBI (Federalne Biuro Śledcze) tajnie współpracują z większością znaczących firm technologicznych. NSA to agencja rządowa kontrolująca amerykański wewnętrzny wywiad elektroniczny. Edward Snowden, który ujawnił informacje o PRISM, był jednym z administratorów sieci w NSA. Podszył się pod pracowników o wysokich uprawnieniach dostępu do poufnych danych agencji, używając ich profili logowania. Pobrał z serwerów informacje o programie wywiadowczym i ujawnił światu.

PRISM, czyli co?

Program PRISM to monitorowanie międzynarodowej komunikacji internetowej mające zapobiec aktom terrorystycznym. Z dokumentów, do których dotarł Washington Post, wynika, że 98% raportów generowanych przez PRISM pochodzi z Yahoo!, Google i Microsoftu. Wynika z nich także, że wzmianki z informacjami pochodzącymi z PRISM pojawiają się w co siódmym amerykańskim raporcie wywiadowczym. PRISM zatacza więc szersze koło, niż planowano.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Niebotyczne ceny eksploitów zero-day

Nie ma czegoś takiego jak PRISM!

Spółki technologiczne odżegnują się od udziału w programie PRISM. W oficjalnych komunikatach wielcy świata technologii poinformowali, że nie udostępniają prywatnych danych swoich użytkowników rządowi amerykańskiemu. Zaprzeczenie tylko potwierdziło obawy. Ruch w internecie jest monitorowany na wiele sposobów, jednym z nich jest DPI (Deep Packet Inspection, czyli technika sieciowa pozwalająca usługodawcom internetu analizować pakiety przesyłane przez sieć pod względem ich treści). Inną formą kontroli treści wymienianych przez internautów jest ustawowy obowiązek przechowywania logów serwerów przez dostawców internetu. W Polsce logi przechowywane są przez 12 miesięcy i mogą być udostępnione organom państwowym w celach śledczych.

Czego oczy nie widzą...

Większość internautów nie zdaje sobie sprawy, że ich aktywność w sieci nie jest anonimowa. Cyberprzestrzeń staje się coraz bardziej transparentna. Nowe technologie pozwalają dotrzeć do autora obraźliwego postu na forum, chyba że użyje on przeglądarki, która schowa położenie geograficzne przed warstwami routingu, np. TOR. Jest to przeglądarka stosowana przez osoby, które muszą pozostać anonimowe w internecie. Ujawnione niedawno informacje zdradzają, że nawet TOR przestał być bezpieczny. NSA umieściła w jego kodzie niewielki skrypt, który sprawdzał MAC adres oraz nazwę hosta Windows danego użytkownika i przesyłał dane na serwer stojący w Północnej Wirginii, by odczytać prawdziwy adres IP.

Biznes w chmurze kontrolowanej

Tuż po ujawnieniu PRISM pojawiły się pytania o bezpieczeństwo danych firmowych w amerykańskich chmurach. Różne źródła przewidywały nagły odwrót biznesu od chmur. W sierpniu dwie duże firmy chmurowe, Salesforce.com oraz Workday, ogłosiły swoje wyniki za dwa pierwsze kwartały br. Sprzedaż jest wyższa od oczekiwań. Kolejne kwartały przyniosą więcej informacji.

Przy wynoszeniu zasobów w chmurę kluczową kwestią jest to, gdzie leży odpowiedzialność za dane. Czy klient ma się o to zatroszczyć i je zaszyfrować, czy to należy do dostawcy chmury? Klienci mają prawo domagać się pełnej informacji na temat zabezpieczeń i certyfikacji centrów danych, w których trzymają swoje zasoby. Przed państwowym monitoringiem trudno jednak uciec. Rządy na świecie starają się kontrolować przepływ informacji i na tym budują poczucie bezpieczeństwa. Czy słusznie? Ilu terrorystów postanawia wmieszać się w internetowy tłum i korzysta z Facebooka, by zaplanować atak? Czy permanentna kontrola jest naprawdę efektywna? Można odnieść wrażenie że to działanie na wyrost. Coraz bardziej zaawansowana analityka sieci społecznościowych prawdopodobnie przyniesie więcej osobistych informacji o użytkownikach niż szeroko zakrojone działania wywiadowcze amerykańskiego rządu. Wielki Brat czuwa i nie należy oczekiwać, że to się zmieni. Trzeba się z tym oswoić. Jesteśmy, byliśmy, będziemy kontrolowani. W granicach prawa i na jego obrzeżach.

Wywiad jest stary jak świat. Nie da się go wyeliminować, można jednak próbować obejść. Jednym z rozwiązań jest powierzenie zasobów chmurom europejskim.

Raz, dwa i po bólu

Firmy nie powinny bać się chmur, nawet biorąc pod uwagę możliwość skanowania ich przez wywiad. Być może dane umieszczone w chmurach uda się przeszukać szybciej i łatwiej. Państwo stanowi prawo i jeśli zechce, podejmie odpowiednie kroki i zmusi do ujawnienia danych każdego, niezależnie od tego, gdzie będzie je trzymał. Droga prawna zazwyczaj oznacza komplikacje, procedury i stratę czasu.

Wewnętrzny atak superusera, którym był Edward Snowden, pokazuje, jak słabo zabezpieczona była sama NSA. Bezpieczeństwo danych to dziś pojęcie względne. Sieć jest coraz bardziej przejrzysta, technologie dojrzewają. Im bardziej zdeterminowany i doświadczony napastnik, tym mniejsze szanse dla atakowanego. Nie ma takich zabezpieczeń, których nie da się złamać.