Erhard
2 °C
24 °C
Index - In English In English Eng

Az eszköz új, a megfigyelés maradt a régi

2013.06.24. 15:26
A június első hetében kirobbant, Prism néven elhíresült megfigyelési botrány hatalmas hullámokat vetett világszerte. Naponta jön olyan hír, ami egyre újabb részleteket fed fel arról, hogy az USA hírszerzése pontosan hogy is szerzi azokat a híreket. Néhány lényeges kérdés azonban még most sem tiszta: valóban képes lehet mindarra az amerikai kémelhárítás, amit egy exmunkatárs állít, illetve ha igen, vajon ezzel értünk küzd vagy minket támad?

Az egész ügy onnan indult, hogy a Washington Post és a Guardian leközölt néhány oldalt egy olyan prezentációból, amit állítólag a National Security Agency (NSA) ügynökeinek képzésekor használtak. Az NSA az amerikai védelmi minisztérium ügynöksége, ami a külföldi kommunikáció lehallgatásával, a rádióelektronikai felderítéssel és a kódolt üzenetek visszafejtésével foglalkozik. A prezentációból az derült ki, hogy az NSA tulajdonképpen hozzáfér a nagy techvállalatok, mint a Google, a Facebook, a Microsoft, a Yahoo vagy az Apple szervereihez, és onnan hatalmas mennyiségű adatot (képeket, videókat, fájlokat) képes letölteni, akár egyetlen személyre leszűkítve is.

A techcégek tagadtak, a Google vezére, Larry Page például még azt is kijelentette, hogy nemcsak nem vesznek részt a programban, de soha életében nem is hallott a Prismről. A helyzet azonban nem ilyen egyszerű.

Jogilag rendben

Az említett adatszerzések ugyanis jogilag támadhatatlanok, köszönhetően a 2001-es terrortámadások következtében elfogadott, majd 2007-ben módosított Patriot Actnek nevezett törvény alapján. Ez a szabályozás lehetővé teszi, mi több előírja az NSA-nek, hogy figyelje meg és mérje fel a nem amerikai állampolgárok irányából érkező veszélyeket, akár úgy is, hogy megfigyeli őket, illetve belenéz a személyes dokumentumaikba. Ez technikailag és jogilag is többszörösen lehetséges.

Technikailag nézve fontos tudni, hogy az internetforgalom jelentős része az amerikai hálózatokon is keresztülmegy, sőt a felhőben tárolt adataink fizikailag nem egyszer a nagy amerikai szerverparkok valamelyikén pihennek, így semmi sem egyszerűbb, mint külföldiek adataiban turkálni. A hálózati forgalom figyelése ugyanis az egész világon elterjedt szokás, szinte minden ország titkosszolgálata kihasználja azt a lehetőséget, hogy az adatcsomagok megfigyelhetők akkor, amikor az egyik hálózatról a másikra vándorolnak. Ahhoz, hogy ebből valaki előnyt kovácsoljon, nem feltétlenül kell pontosan tudnia, hogy mi is van a csomagban, pár évvel ezelőtt a UPC hazai hálózatán is úgy lassították a P2P-fájlcsere sebességét, hogy valójában senkit nem érdekelt, legális-e a torrentezéssel megosztott adat.

Azonban az Edward Snowden által kiszivárogtatott dokumentumok nem ezt mondják, hanem azt, hogy az NSA-nek bejárása van a techcégek adatait őrző szerverekre, back dooron, vagyis egy digitális hátsó ajtón keresztül. Bár elsőre lehetetlennek tűnik, hogy egy Google vagy egy Facebook ne figyeljen fel arra, hogy illetéktelenek akár napi száz gigabájtos méretű extra forgalmat generálnak, Antal Lajos, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője szerint nem elképzelhetetlen, hogy a szinte felfoghatatlan méretű adatforgalomban elveszik az NSA generálta extra. „Elképzelhető, hogy valóban be tudnak jutni, hiszen az NSA-nek az a dolga, hogy az ilyen feladatokat megoldja” – mondja a szakember, aki szerint társadalmi igény és elvárás az, hogy az állam elhárítsa a polgárait fenyegető veszélyeket. „Az, hogy a hírszerző szolgálatok képesek lehallgatni a kommunikációt, nem újdonság. Most kiderült, hogy van egy minden eddiginél fejlettebb eszköz, de végeredményben ugyanott vagyunk, ahol eddig: egy állami szerv végrehajtja azt, amit a törvény előír neki”.

Antal szerint nem lehetetlen, hogy az NSA valóban a techcégek tudta nélkül végzi mindezt, hiszen előfordulhat, hogy a birtokukban van valami olyan technológia, ami még a Google-nek sincs. A cégek felháborodása is érthető, hiszen az ő szolgáltatásaikkal kapcsolatban derült ki egy olyan új részlet, ami a felhasználók egy részének valószínűleg problémát okoz. Ezt látszik alátámasztani az is, hogy az érintett vállalatok közös nyilatkozatban kérték fel az amerikai kormányzatot, hogy tegyék lehetővé a megfigyelési ügyekkel kapcsolatos lehető legteljesebb átláthatóságot.

Ugyanis a cégeket a Patriot Act kötelezi arra, hogy a hírszerzési és nyomozati szervek bírósági végzéssel megtámogatott kérésére kiadják a kért információkat és adatokat. A botrány kezdetekor még úgy tudtuk, hogy ez a bizonyos bírósági engedély megköveteli komoly indoklást, illetve a kért adatok körültekintő és részletes leírását. A Guardian által pénteken leközölt kérelemmintából azonban kiderült, hogy minderről szó sincs.

Obama nem a teljes igazságot mondta

A kérvényezéshez az NSA munkatársainak elég annyit tudniuk, hogy a megfigyelni kíván személy külföldi, illetve vélhetően külföldön tartózkodik. Ha a vizsgálat közben ennek ellenkezője derül ki, akkor a megfigyelést azonnal le kell állítani (miután a személy adatait alaposan átnézték ennek igazolására), azonban az addig felgyűlt adatok megtarthatók és később kutathatók, ha azokban valószínű, hogy törvényellenes cselekedetre utaló jelek vannak. Itt jön képbe az, hogy Barack Obama, az Egyesült Államok elnöke nem a teljes igazságot mondta, amikor azt állította, hogy az NSA ügynökei nem férnek hozzá amerikai állampolgárok telefonhívásaihoz és más adataihoz anélkül, hogy egy nagyon szigorú szabályok szerint működő szervtől erre engedélyt kapnának. A kérelemmintákból kiderül, hogy valójában csak az adott ügynökön múlik, mennyire széles mintát választ, illetve hogy elég ügyesen tudja-e megfogalmazni a kérelmet ahhoz, hogy a bíróság és az érintett techcég is rábólintson a dologra.

Ráadásul kit érdekel, hogy mi van az amerikai állampolgárokkal egy olyan ügyben, ahol elsősorban külföldieket, sőt amerikai ismerősökkel rendelkező külföldieket vizsgálnak meg. Az ő esetükben ugyanis legtöbbször még ilyen külön engedélyre sincs szükség, hiszen az ő adataikat elméletileg olyan általános, több hónapra szóló, és a jelek szerint rendszeresen megújuló engedélyek alapján gyűjtik, mint amilyet a Verizon-ügy kapcsán is kiadtak.

A kérvények szövegezése ráadásul meglehetősen szellős. Szó sincs például arról, hogy egy-egy emberre leszűkítve kellene adatokat kérni, Gipsz Jakab múlt szerdai csetlogja helyett például az NSA elkérheti az összes G.J. monogramú Fecebook-felhasználó üzeneteit a múlt hétről, hiszen a nyomozati érdek megkívánja, hogy részletek ne derüljenek ki. Az, hogy ez a világon mindenhol így megy, biztosra vehető, a magyar rendőrségtől sem ritka az olyan kérés, ami egy bizonyos karaktersorral kezdődő felhasználónevek IP-címét vagy tevékenységi naplóját kéri el, hosszabb időre visszamenőleg. A megkeresett cégeknek joga van a kérelem elbírálására, és a Google például évek óta részletesen közli az ilyen megkeresések féléves összesítését. Előfordulhat, hogy a techcégek úgy voltak tevékeny részesei a Prism rendszerének, hogy nem is tudtak róla. Muszáj azonban megjegyezni, hogy a szivárogtató forrás szerint a vállalatok pontosan tudták, miről van szó, a tiltakozás pedig része a műsornak.

De tegyük fel, hogy nem tudtak róla. Egy elmélet szerint a Prism nem hátsó ajtókkal, hanem helyi postafiókokkal dolgozik. A jól megfogalmazott, egyszerre akár több ezer ember adatait is elérő kérelem elmegy a techcégnek, akik mivel sokszor nem tehetnek mást, ki is adják ezeket. Persze valamilyen szintű anonimizálás elképzelhető, illetve például a Verizon lehallgatási botránynál is kiderült, hogy a több millió hívás tartalmát nem is kapta meg az NSA. A lényeg, hogy a cégek a kért adatokat leteszik egy szerver egyik kívülről is elérhető fakkjában, az ügynökök pedig a Prism egyszerűsített felületén keresztül valóban valós időben férnek hozzá az adatokhoz. Lehet, hogy az Apple és a többi vállalat valóban valóban nem tudta, hogy egy Prism nevű rendszerben dolgozzák fel ezeket az adatokat, és Larry Page nem túlzott, mikor azt mondta: a törvény betűjét betartva cselekszenek.

Mit tehetünk ellene?

A jelek szerint nem túl sokat, ha van számítógépünk, amerikai ismerősünk vagy bármilyen telekommunikációs eszközünk. Első nekifutásra az adataink titkosítása jó megoldás lehet, de egyrészt a használt szolgáltatások csak egy részében van hatalmunk afelett, hogy milyen formában tárolják az adatainkat, másrészt pedig érdemes tudni, hogy az NSA többek között akkor is megőrizheti a birtokába került adatokat, ha azok titkosítottak.

Antal Lajos szerint a titkosítás is csak egy ideig számít valamit, és itt nemcsak arra gondol, hogy a számítási teljesítmény fejlődésével a korábbi titkosítási módszerek védelmi szintje időről-időre visszaesik. „Az NSA egyik legfontosabb tevékenységi köre a kriptográfia, így valószínű, hogy rendelkezésükre áll az a technika és teljesítmény, amivel nincs szükségük arra, hogy a legismertebb eljárásokon is hátsó ajtó legyen.” A szakember szerint például a PGP nevű kódolási eljárás nyílt forráskódja miatt egyértelműen bizonyítható, hogy nincs back door a programsorok között, csak épp van az a mennyiségű szuperszámítógép, ami nem keres ajtót, inkább nyers erővel tör magának egyet.

Sallai György, a KPMG szenior menedzsere ezt úgy fogalmazza meg, hogy a visszafejthetőség a titkosításhoz használt kulcs hosszától függ. Mint válaszában megjegyzi, külön érdekes, hogy a 2000-es évek elejéig az USA-n kívülre irányuló eladások esetén a levelezők jóval rövidebb kulcshosszal jöhettek csak ki, mint az USA-ban forgalmazottak (pl.: MS Excahnge, Lotus Notes), de 2000-ben az Egyesült Államok kormánya enyhítette a kriptográfia exportjára vonatkozó korlátozást. A szakember szerint ráadásul a digitálisan tárolt információk megszerzése a legtöbb esetben nem pusztán technikai módokon lehetséges. Ráadásul nem kizárólag a hírszerző szolgálatok kutatják az adatainkat, ugyanez már a hétköznapi életben is megfigyelhető, és ezt mindenki tudja, akinek legalább egyszer próbáltak már orosz vagy kínai IP-ről bejelentkezni a Gmail-fiókjába vagy Facebook-profiljába.

Nincs új a nap alatt

Védekezni vagy elrejtőzni tehát nem tudunk, így marad a kérdés: van-e értelme küzdeni a dolog ellen. Sokan egy vállrándítással elintézik a dolgot azzal, amire magas rangú állami vezetők is hivatkoznak, miszerint aki nem bűnöző, annak nincs mitől félnie. Ennek egy kicsit ellentmond az a tény, hogy az amerikai szövetségi büntető törvénykönyv 22 ezer különböző kihágást, vétséget, szabálysértést és bűncselekményt ismer. Valljuk be csendben, kicsi az esélye annak, hogy valaki nem szegte meg ezek legalább egyikét. Szerencsére azonban az NSA nem a piti bűnözőkre szakosodott, így sem erőforrása, sem ideje nincs arra, hogy tyúktolvajok és hétköznapi adócsalók után kutasson a térdig érő terabájtrengetegben.

Viszont jó ha tudjuk, hogy nemcsak az amerikai hírszerzés nyálazza át időnként a mindennapjainkat. A Skype-felhasználók egyes adatait az orosz kémelhárítás látja, és ez a lehetőség az után is benne maradt a programban, hogy a Microsoft megvette, de nem kell külföldre utaznunk jó példákért. A pénzmosásellenes és terroristaszervezetek támogatását megakadályozó rendelkezéseknek megfelelően a bankok folyamatosan figyelik a gyanús tranzakciókat, ahogy az adóhivatalt sem kell félteni attól, hogy véletlenszerűen indít vagyonosodási vizsgálatot, nem pedig azért, mert tisztában van az adott személy bevételei és kiadásai közti eltéréssel. A héten adtunk hírt egy szoftverről, ami a viselt ruha és a megfigyelt személy arcának párosításával 88 százalékos pontossággal tudta követni egy betegotthon lakóit a kamerarendszeren keresztül. Ehhez most vegyük hozzá azt, hogy hazánkban is annyi köztéri kamera van, hogy egy-egy bűnesetnél simán össze lehet állítani az áldozat vagy az elkövető utolsó néhány óráját.

Sallai szerint eddig is léteztek ráadásul olyan, mobilcella forgalmi adatok, vásárlási, bank- és hitelkártya-, illetve készpénzhasználati szokásokról szóló adatbázisok, melyeket anonimizálás után eladtak vagy más módon felhasználtak, és a Facebook vagy a Google sem a felénk tanúsított baráti jószándékból keres dollármilliárdokat.

Antal Lajos szerint azon, hogy fény derült egy újabb eszközre azok közül, amivel egy demokratikus állam védi a polgárait, nem szabad csodálkozni vagy megbotránkozni. „A telefonok lehallgatásáról is tudunk, és az ECHELON-botrány is visszasüllyedt arra a szintre, amikor a legtöbb ember legfeljebb érdekesnek tartja, és túllép a tényen, hogy ilyen létezhet.” Az ilyen történetek jönnek és mennek.” Az igazi ügyet az jelenthetné, ha a Guardian és Snowden arról mutatnának bizonyítékokat, hogy a törvényes használat helyett az NSA visszaélt a Prismmel szerzett, hihetetlenül érzékeny adatokkal. Mivel az eredetileg 41 oldalas dokumentációból is csak néhány lapot láttunk, illetve a szivárogtató és a sztorit lehozó lapok szerint is bőven van még mit megmutatni, igazából nehéz megtippelni, mi is lesz a vége az így is simán az évtized megfigyelési ügyének számító történetnek.