Csatát vesztett az NSA, de a totális megfigyelésnek nincs vége
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
November 29. nagy nap volt a magánszféra védelméért harcolók számára: Amerikában életbe lépett a USA Freedom Act nevű törvény, innentől az NSA nem gyűjtheti általánosan és válogatás nélkül az amerikaiak telefonos hívásadatait. A lényeg, hogy ezentúl
- az adatok nem kerülnek automatikusan az NSA-hez, mindent, amire szükség lesz, a telekommunikációs cégektől kell majd elkérni.
- De mindig csak eseti bírósági engedéllyel, a külföldi hírszerzési ügyekben döntő bíróság (FISC) felhatalmazása után kérhetők ki az adatok.
- Akkor se tömegesen és válogatás nélkül, csak gyanús egyénekre fókuszálva.
- És csak 180 napig, utána új engedélyt kell kérni.
- A törvény magának a bíróságnak a működését is némileg átláthatóbbá teszi.
Szebb, újabb világ?
Az új törvényt valójában már nyáron elfogadták, de az NSA 180 napos türelmi időt kapott a rendezésre. Ezután is lesz még egy átmeneti szakasz, február 29-ig még hozzáférhetnek az utóbbi öt évből összegyűjtött adatokhoz, de elvileg csak technikai okokból, hogy teszteljék az új rendszer működését – elemezniük viszont már ez alatt se szabad.
De miért is számít mindez? Mert elébe megy annak, hogy a bűnüldözés ürügyén minden ártalmatlan személyes adatra is rálásson az állam. Az NSA mindig is igyekezett hangsúlyozni, hogy szerintük nem “tömeges megfigyelésről”, hanem “ömlesztett adatgyűjtésről” volt szó, hiszen hiába gyűjtöttek be mindent, mint egy ipari halászháló, mindent kidobáltak, ami nemzetbiztonsági szempontból nem számított kapásnak; ráadásul amúgy is csak a metaadatokat gyűjtötték.
Ugyanakkor a Snowden-fájlokból kiderült, hogy ez nem feltétlenül igaz. A telefonos metaadatok a hívó és a hívott számát, illetve a beszélgetésük időpontját és időtartamát jelentik. Vagyis a beszélgetés tartalmával elvileg az NSA se babrált. De mint kiderült, azért az üzenetek tartalma is át-átcsúszott a szűrőn. Márpedig magánszemélyek meztelen képeinek körbeküldözgetése az irodában nem valószínű, hogy sokat tesz hozzá a terrorizmus elleni harchoz.
Az új törvény ezt hivatott megszüntetni, méghozzá úgy, hogy a célzott, valóban a bűnmegelőzést szolgáló adathozzáférést meghagyja az NSA-nek. A kettős cél – antiterrorizmus és magánszféra-védelem – elérését viszont hátráltatja, hogy a Freedom Act csak a telefonos adatokról szól, ráadásul a történelmi tapasztalat azt mutatja, az NSA találékony szervezet, ha a kerülőutak megtalálásáról van szó.
Az FBI is szereti az adatokat
Véletlenül épp az NSA-szigorítással egy időben, november 30-án került nyilvánosságra, hogy az FBI nemzetbiztonsági levelekkel (NSL) kényszerített cégeket érzékeny felhasználói adatok átadására, megkerülve a bírósági meghatalmazást. Azt eddig is lehetett tudni, hogy az NSL-ekkel felhasználói adathoz lehet jutni, az viszont mindeddig nem volt világos, hogy pontosan milyen adatokra és milyen mértékben terjed ki az adatbekérő levelek hatóköre.
Nicholas Merrill, a Calyx Internet Access nevű cég alapítója vitt bíróság elé egy ilyen ügyet, amelynek tizenegy év után idén augusztusban került pont a végére. Merrill közleményéből kiderül, hogy az FBI nem aprózta el: a bíróságot megkerülve igényt tartott komplett böngészési előzményekre, online vásárlási adatokra, helyadatokra, és mindenkinek az IP-címére, akivel a kérelemben szereplő személy kapcsolatba lépett.
A döntést meghozó bíró szerint az FBI igénye “extrém és túlságosan tág” volt, de külön aggasztónak találta azt is, hogy a hatóság nyilatkozattételi tilalommal korlátozta Merrillt, vagyis nem beszélhetett arról, hogy szerinte az FBI visszaél a hatalmával.
Az FBI évi 10 ezer NSL-t küld ki, és már jó ideje harcol ellene a magánszektor, kevés sikerrel. A Google is tiltakozott már a gyakorlat ellen, a Microsoft ellenkezésére pedig a hatóság tavaly vissza is vont egy kérelmet.
Kirúgják az ajtón, bemászik az ablakon?
A biztonsági szakértők óva intenek attól, hogy a Freedom Act átverésével letudottnak tekintsük a megfigyelési kérdést. Jogi kiskapuk és más hírszerzési programok biztosíthatnak olyan kerülőutakat, amelyekkel az új törvény korlátozásai kikerülhetők lehetnek, és az NSA ugyanott folytathatja, ahol november végén abba kellett hagynia:
- Bár a “tömeges” telefonos adatgyűjtésnek vége, nem egyértelmű, mi számít célzott adatgyűjtésnek. Julian Sanchez, a Cato Intézet főmunkatársa szerint például előfordulhat, hogy az NSA összeállít egy listát 10 ezer dzsihadistának ítélt Youtube-videóról, és hozzáférést kér az összes olyan IP-cím kommunikációjához, amelyről ezeket a videókat megnézték. Az NSA már korábban is operált kétes megalapozottságú és kellően tágan megfogalmazott kérvényekkel.
- A mostanit megelőző törvény (a Patriot Act) egyik kevésbé ismert záradéka határozatlan időre lehetővé teszi a tömeges adatgyűjtést folyamatban lévő nyomozások esetében. Kérdés, hogy egyrészt ez érvényben marad-e a már folyó ügyeknél a Freedom Act élesedése után is. Az sem világos, mit jelent pontosan a “folyamatban lévő nyomozás”, például az al-Kaida vagy az Iszlám Állam elleni állandó harc annak számítható-e. Ha igen, ez a kártya joker lehet az NSA kezében.
- Egy még régebbi, még Reagan által aláírt kormányrendelet (a 12333-as számú) szintén értelmezhető a tömeges adatgyűjtés szentesítéseként, amennyiben az adatokat “jogszerű külföldi hírszerző nyomozás során véletlenül gyűjtik be”.
Fotó: Win Mcnamee
- Maga a leállítás se garancia. Bár a Stellarwind nevű tömeges emailes metaadatgyűjtő programot már 2011-ben lelőtték, a New York Times idén novemberben perelte ki a jelentést, amelyből kiderült, hogy az NSA megtalálta a módját, hogy más úton, de ugyanúgy hozzájusson a kérdéses adatokhoz.
- Ráadásul a szigorítások elsősorban az amerikai állampolgárokat védik, az NSA-nak jóval nagyobb mozgástere van külföldi állampolgárok megfigyelésére.
- A legfontosabb viszont, hogy a Freedom Act csak a telefonhívásokra vonatkozik, semmit nem változtat az internetes kommunikáció, például a csetüzenetek és a közösségi média megfigyelésén. Szintén Snowdentől tudunk például a PRISM nevű programról, amelyben az NSA a nagy techcégektől gyűjtögeti szorgosan a felhasználói adatokat: kommunikációt, böngészési és letöltési előzményeket, helyadatokat.
mert sokkal többet árul el az emberekről, mint amit a telefonos metaadatok bármikor, és a látóhatáron sincs olyan tervezet, amely útját állná.
A tengeren túl és innen
A kiberjogvédők szerint mindettől függetlenül van mit ünnepelni, hiszen a 9/11-es terrortámadás, vagyis 2001 óta ez az első alkalom, hogy az NSA-nek nem bővült, hanem szűkült a jogköre. A Freedom Act tehát nem eget rengető változás ugyan, de mindenképpen nagy győzelem azoknak, akik szerint a 2013-ban a megfigyelésről szivárogtató Edward Snowden nem hazaáruló, hanem fontos társadalmi viták beindítója volt. Maga Snowden is fontos lépésnek nevezte a törvényt.
Az amerikai szabályozás jelentőségét leginkább az mutatja, hogy Európában éppen a másik irányba mozdulnának el a kormányok. Egy novemberi brit törvénytervezet például nemhogy szigorítana, hanem még az eddiginél több jogot is adna a Snowden-dokumentumokban szintén sokat emlegetett GCHQ kezébe – gyakorlatilag jogilag szentesítené a korábbi gyakorlatot.
Egyáltalán hatékony volt?
A hívásadatgyűjtő program leállítását is terrorriogatás követte a hatóságok részéről, hasonlóan ahhoz, ami a titkosítással kapcsolatban volt tapasztalható a párizsi merényletek kapcsán. A közös pont, hogy mindkét esetben Edward Snowden a bűnbak.
Ahogy arról akkor is írtunk, Párizs után még ki se hűltek a mészárlás áldozatai, amerikai politikusok és titkosszolgálati vezetők már tele is harsogták a médiát, hogy le a titkosítással, különben nem lehet megfékezni többé a terrort. (Persze ez még mindig jobb, mint amikor Donald Trump egyszerűen szólna Bill Gatesnek, hogy ugyan zárja már be az internetet.) A CIA volt igazgatója, James Woolsey szerint “Snowden kezéhez vér tapad”, amiért felhívta a terroristák figyelmét az amerikai titkosszolgálati módszerekre, ezzel a titkosítás felé terelve őket, ahová még az NSA keze se ért el. Ehhez képest a francia rendőrség november 18-án megtalálta az egyik elkövető telefonját, amelyen bármiféle titkosítás nélkül, egyszerű SMS-ben üzent a társainak: “Gyerünk, elkezdjük”, és a támadás egyik helyszíne, a Bataclan térképe is rajta volt a telefonon.
Ehhez hasonlóan fogadták a kritikusok a telefonos metaadatok gyűjtésének leállítását is. Alighogy érvénybe lépett, már éles bírálatot is kapott a múlt heti San Bernardinó-i merénylet kapcsán, amely mindössze négy nappal később történt, és 14 halálos áldozattal a 9/11-es óta a legkomolyabb terrorakció volt amerikai földön. Az ellenzők szerint az ilyen esetek miatt van szükség a szélesebb körű megfigyelésre. A jogvédők szerint viszont ez az eset is épp azt mutatta meg, hogy a jogsértésen túl mennyire hatástalan is volt a program. Alex Abdo, az Amerikai Polgári Jogi Unió ügyvédje szerint
Ha ez egy tervezett támadás volt, és a program alkalmas lett volna arra, amit állítottak róla, akkor előre észlelték volna ezt a támadást.
De a program hatékonyságát általában sem sikerült bizonyítani. Az Adatvédelmi és Polgári Jogi Felügyeleti Bizottság a 2014-es jelentése (pdf) szerint semmilyen bizonyítékot nem talált arra, hogy a programnak bármilyen gyakorlati haszna lett volna a terrorizmus elleni harcban:
Egyetlen olyan esetet sem azonosítottunk, amelyben az Egyesült Államokat veszély fenyegette, és a telefonos program konkrét előnnyel járt volna a terrorizmus elleni nyomozásban.
Egyébként maga az NSA is mindössze egy olyan esetet tudott felmutatni, ahol szerintük szükség volt a tömeges megfigyelésre a megelőzéshez. Hasonló eredményre jutott korábban az Intercept, amikor a James Comey FBI-igazgató által felhozott példáknak járt utána, és rámutatott, hogy valójában egyikben sem volt szükség telefonos adatokra, és a titkosítás sem hátráltatta volna semmiben a nyomozást.
Ennek a finom beismerése olvasható ki az amerikai Nemzeti Hírszerzési Igazgatóságnak az új törvény kapcsán kiadott közleményéből is. Ebben az igazgatóság úgy fogalmaz, a Freedom Act által biztosított adatmennyiség várhatóan “elegendő lesz a megfelelő működéshez”.
Valójában minden terrorista akció esetében – beleértve a párizsit és a San Bernardinó-it is – az derült ki, hogy a hatóságok már ismerték legalább az egyik elkövetőt, vagyis a célzott megfigyelés elégséges eszköz lett volna. Márpedig a célzott megfigyeléssel a magánszféra védelmezőinek sincs az égvilágon semmi baja. A tiltakozás a válogatás nélküli, tömeges megfigyelés ellen irányult.