Sieciowe podchody

Podglądanie, podsłuchiwanie i śledzenie - to działalność w Internecie powszechna. Co najmniej tak samo popularne są wysiłki zmierzające do ochrony przed nią. Internet utrzymuje się pod tym względem w stanie zadziwiającej równowagi.

Podglądanie, podsłuchiwanie i śledzenie - to działalność w Internecie powszechna. Co najmniej tak samo popularne są wysiłki zmierzające do ochrony przed nią. Internet utrzymuje się pod tym względem w stanie zadziwiającej równowagi.

Prywatność w sieci nigdy nie była jeszcze tak zagrożona jak obecnie - każdy ruch internauty może być śledzony przez programy zbierające statystyki, wyświetlające reklamy, ale także i te z "ciemnej strony mocy" - konie trojańskie czy rejestratory zdarzeń klawiatury (keyloggery). Wciąż czytamy doniesienia o globalnych systemach monitorowania sieci, utrzymywanych przez rządy różnych państw. Pocieszające jest jednak to, że nigdy wcześniej nie było tak zaawansowanych środków technicznych, pozwalających nam działać w Internecie całkowicie anonimowo.

Problem monitorowania Internetu pojawił się wraz z Internetem. Już pierwsi administratorzy sieci akademickich stosowali programy do podsłuchiwania ruchu sieciowego (sniffery) w celu diagnozowania problemów z komunikacją. Na każdej uczelni jeszcze na początku lat 90. krążyły plotki, że ten czy ów z czystej ludzkiej ciekawości czyta pocztę użytkowników przechowywaną na serwerze, którym zarządzał. Takie same informacje pojawiały się i wcześniej - w popularnej we wczesnych latach 90. modemowej sieci FidoNet administratorzy (tzw. sysopi) niektórych węzłów również mieli opinię "czytających".

Obecnie administratorzy nadal stosują sniffery i być może niektórzy wciąż czytają pocztę użytkowników, ale akurat ten problem stał się mało znaczący - jeśli takie sporadyczne naruszenia prywatności nie stanowiły poważnego zagrożenia dziesięć lat temu, to tym bardziej nie stanowią i dzisiaj, kiedy liczba użytkowników Internetu wzrosła o kilka rzędów wielkości. Wczorajsze ofiary wścibskich administratorów zniknęły wśród tysięcy podobnych im użytkowników - stały się anonimowe.

Gdy jakość przeszła w ilość, do gry wkroczyli profesjonaliści. Media już nawet specjalnie nie reagują na informację o skradzeniu jednej czy nawet stu numerów kart kredytowych - gorącym tematem jest obecnie wyczyn polegający na kradzieży danych 40 mln klientów z firmy CardSystem będącej partnerem MasterCard. Nic nie stracił na aktualności słynny cytat ze Stalina: "Jedna ofiara to tragedia, milion - to statystyka".

Podsłuch dla pieniędzy

Z punktu widzenia przeciętnego internauty rzeczywistość nie jest jednak wcale tak różowa. Wchodząc na stronę WWW, możemy być pewni, że fakt ten jest odnotowany co najmniej w kilku miejscach. Wystarczy włączyć w przeglądarce rejestrację "ciasteczek" (cookies). Większość witryn ustawia własne "ciastko" - operator witryny chce wiedzieć o osobach odwiedzających możliwie jak najwięcej, w szczególności, czy osoba wizytuje serwis po raz pierwszy, czy jest stałym bywalcem, jaka jest historia odwiedzin itd. Ale nie tylko on jeden. W końcu serwis ma przecież wykupioną usługę monitoringu ilości odwiedzin w dużej firmie specjalizującej się w takich usługach, ta zaś sprzedaje rynkowi wiarygodne statystyki. Firma wstawiająca reklamy, podobnie jak partner, który je współfinansuje, też chcą wiedzieć swoje.

I tak proste załadowanie strony generuje w sieci istną lawinę sygnałów donoszących w odpowiednie miejsca, że użytkownik o takim to a takim, szesnastocyfrowym unikalnym identyfikatorze, logujący się z Polski (a dokładnie z węzła operatora D. w miejscowości S.), korzystający z Windows XP SP1 i przeglądarki Internet Explorer właśnie po raz trzeci tego dnia wszedł na stronę ze zdjęciami gołych dziewczyn. Informacja ta jest oczywiście potrzebna po to, by naliczyć jej właścicielowi kilka centów należnej prowizji i w większości przypadków jest anonimowa. Tyle że granica tej anonimowości jest niebezpiecznie krucha. Od szesnastocyfrowego unikalnego numeru do konkretnej osoby wcale nie jest tak daleko, jakby się zdawało. Wystarczy, że wobec podejrzenia (niekoniecznie mocno uzasadnionego) w sprawie np. pornografii dziecięcej serwerem zainteresuje się policja. Od identyfikatora można dojść do adresu IP i czasu połączeń, stamtąd - z prokuratorskim nakazem - operator telekomunikacyjny D. musi wyciągnąć ze swojej bazy dane abonenta i cała anonimowość znika.

Jeszcze bardziej zorganizowaną formę przybiera monitoring pracowników przez niektórych pracodawców, przybierając nieraz formę pełnej inwigilacji każdego telefonu zatrudnionego, każdego wysłanego e-maila i każdej odwiedzonej strony. Budzi on bardzo dużo kontrowersji wśród samych zainteresowanych - pracowników. Za nimi podążają prawnicy i specjaliści od praw pracowniczych, rozważających co wolno, a czego nie wolno pracodawcy.

Rozważając moralną naganność takiego monitoringu, warto na początku przypomnieć, że pracodawca płaci z własnej kieszeni za każdy wysłany przez Internet bajt, każdą minutę rozmowy przez telefon, a także za prąd, wynajem lokalu i wiele innych rzeczy, o których pracownicy zwykle nie pamiętają. Trudno się więc dziwić, że tak drakońskie środki są podejmowane w obliczu statystyk, według których ponad połowa czasu pracy jest marnowana właśnie na "jałowe łażenie po stronach", czaty, IRC i inne "zabijacze czasu".

Motywy polityczne

Abstrahując od motywów przestępczych i komercyjnych, nie można pominąć faktu, że Internet stał się siłą napędową i katalizatorem przemian społecznych i kulturowych. Wszyscy, a zwłaszcza media, docenili rolę anonimowej publikacji w Internecie dla rozwoju demokracji - to właśnie dzięki niej możliwe były doniesienia z pierwszej ręki z Iraku będącego pod reżimem Husajna i informacje o drastycznych naruszeniach praw człowieka w Czeczenii rządzonej przez klan Kadyrowa. W Rosji - kraju, w którym za nie dość pochwalny ton artykułów dziennikarze wciąż giną bez wieści lub tajemniczo chorują, Internet jest medium zaskakująco krytycznym wobec władz. Dziennikarze i internauci najwyraźniej potrzebują odbić sobie całkowitą zależność telewizji i gazet od Kremla.

W powszechnym użyciu jest silna kryptografia - ma ją każda przeglądarka WWW. Nie tak znowu dawno, bo jeszcze dziesięć lat temu nie mieściło się to nikomu w głowie. A teraz: programy korzystające z kluczy szyfrujących o długościach opisywanych jeszcze niedawno jako "militarne" są dostępne na pęczki. Nawet Francuzi znieśli swój (wywodzący się jeszcze z czasów I wojny światowej) zakaz szyfrowania wiadomości. Mimo regularnie odgrzewanych przez media doniesień, że "Osama korzystał ze steganografii" przestępcy rzadko unikają kary dzięki zastosowaniu kryptografii. W kilku znanych przypadkach nawet pomimo szyfrowania policji udawało się odzyskać dostęp do plików dzięki niefrasobliwości samego zainteresowanego, który zapisał hasło gdzieś w otwartym pliku, albo niedbalstwu autora programu, np. przez fakt zapisu hasła w pliku tymczasowym.

Obrońcy prywatności jeszcze kilka lat temu obawiali się, że przypadki łamania szyfrów doprowadzą w krótkim czasie do chaosu w Internecie przez masowe podsłuchiwanie komunikacji i podszywanie się. Ten scenariusz się nie sprawdził. Policja niemiecka ma doświadczenie w łamaniu kluczy kryptograficznych i wykorzystała je w kilku sprawach karnych. Amerykanie z powodzeniem stosują urządzenie DCS-1000 "Carnivore" do wychwytywania określonych słów kluczowych z transmisji sieciowej w określonych przypadkach. Płonne okazały się jednak podgrzewane doniesieniami o Echelonie obawy, że filtrowanie wg słów kluczowych oraz rozszyfrowywanie zaszyfrowanych wiadomości będą prowadzone masowo i na skalę globalną. Powód jest prosty - nadmiar informacji i brak pieniędzy.

Są oczywiście instytucje, które na brak pieniędzy nie narzekają. W ciągu ostatnich kilku lat rząd Chińskiej Republiki Ludowej stworzył system niemający odpowiedników we współczesnym świecie informatyki - brzegowy system zaporowy, którego głównym zadaniem jest kontrola treści wchodzących do sieci wewnętrznej. Przedsięwzięcie jest bez precedensu, bo siecią wewnętrzną są całe Chiny. Chiński "Złoty Mur" przejdzie zapewne do historii myśli technicznej jako największy system cenzorsko-inwigilacyjny. System pełni bowiem dwa zadania - po pierwsze ma blokować napływ krytycznych wobec chińskich komunistów informacji ze świata, a po drugie wyłapywać tych, którzy publikują takie informacje w kraju.

System jest skuteczny - z Chin nie da się na przykład czytać CNN czy BBC News, a każdego roku liczba osób aresztowanych za nieprawomyślne publikacje sięga kilku tysięcy. Zapewne w celu podniesienia szczelności kontroli wprowadzono obowiązek rejestracji blogów i zamknięto tysiące kafejek internetowych, które nie spełniały surowych wymogów odnośnie do rejestracji użytkowników. Biorąc jednak kierunek, w którym dąży "ustrój sprawiedliwości społecznej", i jego nieliczne światowe ostoje za kilkanaście lat o "Złotym Murze" będziemy czytać tak, jak dziś o instalacjach zagłuszających Radio Wolna Europa.

Ostatnio ofensywę na pozornie anonimowych użytkowników Internetu przypuścił też Hollywood, walczący zażarcie z wymianą pirackich filmów i muzyki. Organizacja MPAA zrzeszająca największe studia filmowe z powodzeniem nękała użytkowników i właściciela serwisu Napster (doprowadzając do jego zamknięcia), jego następcy Kazaa i ostatnio popularnego BitTorrenta. I znowu biznes, a nie tajne służby, rzucił się do walki z anonimowym Internetem. Jest to dość proste, bo idea sieci peer-to-peer jest taka, że każdy klient jest równocześnie serwerem, a sama sieć z założenia daje spore możliwości poszukiwania określonych plików. Wystarczyło więc wyszukiwać wszystkich, którzy udostępniają do pobrania najnowsze kinowe hity i - zamiast dołączyć do wianuszka ściągających - wysłać im zaproszenie do sądu.

Internet nie taki straszny

Gdy w latach 90. wszyscy zastanawiali się, w jakim kierunku podąży Internet, były dwie przeciwstawne wizje - zwolennicy całkowitej wolności obawiali się delegalizacji programów szyfrujących, ścisłej kontroli połączeń, skanowania transmisji wg słów kluczowych (słynny system Echelon) i w ogóle permanentnej inwigilacji każdego i wszędzie przez "władze". Zwolennicy ograniczenia wolności korzystania z Internetu z kolei postulowali rejestrację użytkowników Internetu, a przynajmniej autorów stron WWW, delegalizację kryptografii bez tylnych furtek "bo będą jej używać przestępcy" i w ogóle ścisłą reglamentację tego niebezpiecznego medium.

Po latach okazało się, że żadna ze stron nie trafiła w dziesiątkę. Internetu nie opanowali romantyczni anarchiści i oświeceni stróże prawa, tylko zwykli złodzieje i reketierzy (np. wyłudzenia okupu w zamian za niezakłócanie pracy serwisu atakami DoS), znani także w świecie realnym. Przeciw nim występuje, tak jak w "realu", wiecznie niedofinansowana policja. Nie jest więc tak źle, jak można by sądzić. Sieć owszem, podlega powszechnej inwigilacji, ale przez firmy reklamowe, a nie organy państwowe. Jest źródłem przestępstw przynoszących rocznie straty liczone w milionach dolarów (phishing). Jednocześnie przynosi ogromne zyski, co widać po wynikach eBay, Google, Yahoo! itp.


TOP 200