Chmura pod lupą służb specjalnych USA

Ujawnione przez Edwarda Snowdena informacje na temat dostępu służb specjalnych do danych składowanych w chmurze stawiają pod znakiem zapytania korzystanie przez firmy spoza Stanów Zjednoczonych z zasobów hostowanych w tym kraju.

Ze względów bezpieczeństwa w większości krajów obowiązuje udzielanie dostępu dla służb specjalnych do hostowanych zasobów oraz informacji przekazywanych przez sieci operatorów telekomunikacyjnych. Zazwyczaj wymaga on uzyskania przez służby specjalne nakazu sądowego i dostęp ten jest kontrolowany. Jeśli wierzyć dokumentom opublikowanym przez Edwarda Snowdena, agencja rządowa National Security Agency ma dostęp do wszystkich informacji związanych z rozmowami telefonicznymi, plikami i e-mailami bez konieczności uzyskiwania nakazu sądowego. Źródła rządowe USA jednak temu zaprzeczają.

Według aktywisty, który opublikował poufne informacje, ochrona prawna jest zbyt słaba i w każdej chwili może zostać zniesiona. Jest ona automatycznie znoszona, gdy dotyczy spraw spoza granic USA. Edward Snowden pisze: "jeśli analityk NSA, CIA lub innej agencji wywiadowczej ma dostęp do bazy zebranych informacji telekomunikacyjnych, może uzyskać dowolne informacje z tej bazy. Są tam numery telefonów, identyfikatory użytkowników i numery identyfikacyjne telefonów komórkowych, e-maile i tak dalej. Restrykcje są wprowadzane tylko przez reguły polityki dostępu, nie ma ograniczeń technicznych, a istniejące reguły mogą być w każdej chwili zmienione".

Zobacz również:

W czerwcu 2013 r. Guardian i The Washington Post opublikowały dokumenty sądowe nakazujące zbieranie informacji o klientach sieci Verizon oraz poinformowały, że analitycy NSA mogą uzyskać dostęp do wiadomości e-mail i rozmów telefonicznych bez zatwierdzenia przez właściwy sąd. Według Snowdena, uzyskanie nakazu jest proste, o wiele prostsze niż w przypadku nakazu przeszukania przez policję. Proces uzyskania zgody lub zatwierdzenia odbywa się wręcz automatycznie.

Jak służby zbierają dane

Najprostszym sposobem zbierania informacji jest rejestrowanie połączeń telefonicznych, połączeń i e-maili przechodzących przez dany serwer. Metoda jest powszechnie stosowana w Polsce przez Policję i służby takie jak Agencja Bezpieczeństwa Wewnętrznego w walce z przestępczością zorganizowaną i innymi poważnymi przestępstwami. Kolejnym krokiem jest zakładanie zapytań związanych z poszukiwaniem telefonu komórkowego. W przypadku polskiej Policji zapytanie, związane np. z numerem IMEI, jest kierowane do wszystkich operatorów komórkowych w Polsce, obejmuje także zapytania lokalizacyjne związane z wzywaniem pomocy. Stąd duża liczba takich zapytań w statystykach. W taki sam sposób, wykorzystując przepisy Ustawy o Policji, odbywa się lokalizacja oraz pozyskiwanie wiadomości e-mail, są one rejestrowane i dostarczane zgodnie z wnioskiem organów ścigania.

System wdrożony w USA idzie znacznie dalej, gdyż umożliwia analizę nie tylko wysyłanych i odbieranych e-maili, SMS-ów lub rozmów telefonicznych, ale także składowanych obiektów, a odbywa się w czasie rzeczywistym. Jeśli wierzyć dokumentom opublikowanym przez Snowdena, analitycy mogą uzyskać dostęp do chmur usług świadczonych przez Google, Apple, Microsoft czy Facebook. Na razie w systemie nie ma Twittera, ale posiada on osobne API, które umożliwia pobranie wiadomości na zewnątrz. Oficjalnie mówi się, że jedną z przyczyn wprowadzenia takiej kontroli danych był sposób komunikacji w sieciach terrorystycznych, który wykorzystywał konta Google Mail, przy czym wiadomości były zapisywane jako szkice i nigdy nie opuszczały serwera poczty elektronicznej, a zatem unikały przechwycenia na klasycznych zasadach.

Oprócz danych, dla wywiadu istotne są metadane. Analiza metadanych umożliwia wskazanie informacji, które prawdopodobnie zawierają oczekiwane przez wywiad informacje. Na cenzurowanym na pewno jest komunikacja z Jemenu, gdzie działa silna organizacja terrorystyczna, ale w ten sposób można śledzić każdego. Ścisła granica dotyczy jedynie obywatelstwa - wobec obywateli USA kontrola ta jest nieco luźniejsza. Lokalizacja systemu w USA nie oznacza, że nie można przechwycić ruchu z innego państwa. W sieciach rozległych najszybsza droga nie musi być najkrótsza. Jedyną ochroną jest skuteczne szyfrowanie z użyciem długiego klucza, którym zarządza się za pomocą narzędzi lokalnych, najlepiej, gdy oprogramowanie jest rozwijane w modelu open source i przeszło audyt kodu.

PRISM a sprawa polska

Ponieważ polskie firmy korzystają z usług dołączonych do systemu zbierania danych na potrzeby programu określanego jako PRISM, należy zwrócić uwagę na możliwe ryzyko wykorzystania tej informacji do celów nieuczciwej konkurencji. Oznacza to, że jeśli przedsiębiorstwo zajmuje się produktem, który może być wysoce konkurencyjny na rynku amerykańskim, nie powinno korzystać z usług cloud computing świadczonych poza Unią Europejską. Należy wybierać dostawców, którzy nie mają głównej siedziby w USA, by nie miała zastosowania ustawa Patriot Act i by nie podlegały wprost pod jurysdykcję amerykańską. Niektóre firmy już podkreślają ten fakt w swoich reklamach.

Na podstawie: "NSA can access data without court approval, leaker says", Grant Gross, June 17, 2013 (Computerworld USA, IDG News Service)