Můj dvojdílný seriál pojednává o legislativě ohledně šifrování dat a možnostech ochrany proti velkému bratrovi. Už zde byly články ohledně bezpečnosti na internetu, generování bezpečných hesel, teze o náhodnosti kombinací atakdále, nic z toho nás dnes zajímat nebude.
Mám nějaká data na nosiči a chci je mít ochráněná tak, aby se k nim nikdo nedostal. Chci je mít ochráněná obyčejným textovým heslem, míra ochrany by měla být dostatečně vysoká proti napadení zvídavým uživatelem, počítačovým expertem, nebo třeba policistou, který bude vyhrožovat vazbou a vězením, když mu nesdělíte heslo. Zároveň ale použití musí být dostatečně jednoduché a spolehlivé tak, aby mě to příliš neobtěžovalo při každodenním používání. Tahle problematika by vás měla zajímat, pokud často cestujete, nebo jste jinak poněkud více exponovaná osoba (politik, podnikatel, atd).
Nejprve se podíváme na legislativu. Ochrana dat je pro státní správu takový překladatelský oříšek a tak různé země vymýšlejí více či méně totalitní nařízení a snaží se pomocí zavádění objektivní odpovědnosti zřídit povinnost uživatelů k vydání hesla autoritám. Proti některým těmto praktikám je možné se účinně bránit, proti jiným nikoliv, tedy ne tak, aby to pro vás bylo pohodlné i při každodenním užití.
Začneme s USA. V USA vláda řeší, jak šikovně obejít pátý dodatek ústavy, který umožňuje obviněnému nevypovídat proti sobě. V jednom případě údajně našli celníci v počítači muže dětskou pornografii, ale protože ho vypnuli, už se k obsahu disku nedostali. Soudce přikázal muži, aby vydal heslo, protože „an act of production does not involve testimonial communication where the facts conveyed already are known to the government…“, neboli akt poskytnutí klíče není výpovědí, když předaná fakta jsou již známá. V USA je totiž praxe tvrzení podezřelý vs. policista podobná, jako je v Islámu žena vs. muž, tj. poloviční pro tu levou stranu špagátu. To ale nic nemění na tom, že muž byl odsouzen na základě výpovědi celníků, že závadný obsah se na přístroji nachází. Země svobody… Nicméně v jiném případě soud rozhodl, že poskytování klíčů k šifrovaným datům porušuje práva garantovaná pátým dodatkem. Jiná situace je, pokud FBI požádá o vydání klíčů k uživatelským účtům, nebo se dožaduje informací podobného charakteru od komerčních subjektů. Některé společnosti (Microsoft, Apple, Google, Blackberry, atd.) potichu přešly do whore-mode, souhlas s předáváním informací posichrovaly zmínkou v padesátistránkovém souhlasu se všeobecnými podmínkami, který nikdo nečte. Jiné se rozhodly raději skončit (Lavabit). Apple nyní bojuje proti FBI a jejich požadavku na vydání speciální verze operačního systému pro iPhone, který by telefon rozpoznal jako oficiální update, sám nainstaloval a díky zabudovaným zadním vrátkům umožnil agentům FBI číst šifrovaný obsah. Apple takovou verzi systému samozřejmě nemá a nechce ani vyrobit, protože by to někdo okamžitě ukrad a iPhony by se staly nejnebezpečnější platformou pro ukládání dat (toto prvenství nyní drží Android). To by bylo pro Apple na prd, zvlášť když lidem ukládá informace o kreditních kartách, biometrické údaje, fotografie, historii polohy, atakdále, a to i bez vašeho vědomí. Kouzlo tohoto případu není ve snaze autorit dostat se k šifrovanému obsahu jednoho zařízení s unikátním klíčem, ale získání speciální verze operačního systému, která se pro telefon bude tvářit jako oficiální update, ten si jej sám stáhne, v rámci aktualizace zanese do zabezpečení telefonu chybu a dovolí útočníkovi se k datům dostat. Nemělo by zůstat bez povšimnutí, že ochrana iPhonu není nic extra sofistikovaného, a tato neobstojí proti bezpečnostní agentuře s rozpočtem v miliardách. John McAfee a jiní už dávno prezentovali způsoby a návody, jak toho lze dosáhnout. Jenže s nástrojem přímo od Applu by šel proces alespoň částečně automatizovat a fízlování by bylo zase o něco jednodušší. Kdo se má srát se stříkáním dusíku na paměti v laboratoři pro každej telefon zvlášť, žejo.
A nyní přejděme do EU. Na našem totalitním kontinentu se s nějakými právy sprostých podezřelých nikdo nesere, a tak je situace mnohem jednodušší. Ve Francii vám může soud přikázat odevzdat digitální klíče pod hrozbou tří let vězení a pokutou 45.000 EUR. Pokud by se ukázalo, že vydání klíče by odvrátilo nebo snížilo šanci na spáchání jiného trestného činu, zvyšuje se pokuta na 75.000 EUR a trest odnětí svobody až na pět let. V Británii a dalších zemích západní EU jsou zákony podobné. Německo si nyní nově povolilo instalovat lidem do počítačů viry za účelem jejich sledování. Na to se přišlo náhodou už před několika lety, když média napsala o případu muže, kterému celníci na počítač virus nainstalovali, on na to přišel a vládu zažaloval. V zemích východní Evropy taková legislativa ještě neexistuje, ale nebojte, všeho do času. Moje osobní zkušenost pramení z návštěv USA a Chorvatska, kde po mě autority přístupy k zařízením chtěly. Mohu se tedy podělit jak o západní, tak východní pojetí svobody. Nebudu vás napínat, je to úplně stejně nahovno. Rozdíl je v tom, že když neřeknete heslo Chorvatům, tak vám policajt telefon rozmlátí. Když neřeknete heslo Amíkům, tak vás zavřou. Američané rozdělují hraniční přechody a vlastní území. Na letišti, nebo na hranicích USA vás může kdokoliv požádat o předložení počítače ke kontrole, vyzvat k vydání klíčů, hesel, dokonce vám mohou zařízení zabavit dočasně i trvale a se zařízeními manipulovat, toto vše pro cizince i vlastní občany, bez ohledu na absenci jakýchkoliv podezření nebo obvinění, zcela v kompetenci toho, kdo vás zrovna kontroluje a bez předchozího souhlasu nebo upozornění. USA totiž hraniční přechody chápe jako bezústavní území, kde žádná práva nemáte (1, 2 a 3). Jakkoliv šíleně to může znít, tak to je. Mě letištní pohraničník vyzval k zapnutí počítadla a zadání hesla. Pak s počítačem odešel a za chvíli se vrátil s tím, že je všechno v pořádku. Toto se provádí ze dvou důvodů, první je kontrola, že zařízení není atrapa s bombou uvnitř (pokud máte v čase kontroly vybito, tak jste v prdeli, to zařízení vám zabaví a vhodí jej do kontejneru vedle vás, kam se vhazují předměty, které by mohly být bomby – ke všem ostatním potenciálním bombám – u brány, v místě kde je nejvíc lidí – to jen tak pro zajímavost) a druhý důvod, při odnesení počítadla podle některých výpovědí jednak skenují systém na nějaké nejzásadnější typy obsahu a druhak vám do toho můžou cokoliv nahrát. Jak se s tím vypořádat si povíme v druhém díle. Chorvati na druhou stranu mají přístup úplně opačný. Moje zkušenost je taková, že mě na vsi u zavřené restaurace obestoupili tři policisté, z toho jeden v civilu, zatímco se mě první vyptával na okolnosti mé návštěvy, druzí dva mi začali klikat do telefonu. iPhone se po několika špatných zadáních hesla sám vymazal, na to policista prohlásil, že musí provést inspekci zařízení, hodil telefon na betonovou skruž a rozšlápnul ho botou, pak ho v rukou přelomil napůl, zahleděl se dovnitř, prohlásil, že v pořádku a vysypal mi jednotlivé prvočinitele do rukou. Když jsem volal na českou ambasádu v Záhřebu, sdělil mi automat, ať zavolám v pondělí. Východní Evropa prozatím žádnou speciální legislativu nepotřebuje.
V Česku mi není žádná speciální legislativa ani osobní zkušenost známa, kromě ústavního práva nevypovídat proti sobě. Ovšem i moje minimální legislativní povědomí stačí na to, abych věděl, že náš systém moci výkonné tíhne spíše k východnímu modelu a už nyní vás může policista vyzvat v podstatě k čemukoliv, pokud vás k tomu vyzve „jménem zákona“. Vy máte legálně právo takovou výzvu v různých situacích odmítnout, to se ale lehce řekne. I o tom bude pojednávat druhý díl, kde se podíváme na takové situace v praxi.
Možná se teď ptáte, proč votravuju s legislativou ostatních zemí, místo abych přešel rovnou k jádru pudla a ukázal vám, jak schovat porno před manželkou. Totiž, když vaše manželka objeví omylem porno, které jste umně ukryli do složky C:\Games\FIFA\Saved, budete mít tejden tichou domácnost. Jenže když vám na výletě do Německa najde celník na počítači „dětské porno“, tak jste v prdeli a můžete si vytrhat kalendář na pět let dopředu. Při vašem brouzdání internetem, po warezfórech, bazarech a annoncích se tu a tam ukáže nějaká reklama. Jste si jisti, že na žádné z těchto reklam nevypadala slečna spoře oděná na věk pod 18? Stačí jedna návštěva ruského portálu pro sběratele korálků a máte v paměti uloženou fotografii reklamního banneru s holkou co vypadá na 15. Stačí jedna návštěva britského fóra masových pudinků a váš prohlížeč uloží reklamu seznamky pro muže, kteří hledají arabské dívky, vše psáno tím jejich hovnopísmem, kterému celník neporozumí o nic víc než vy, akorát jemu to zrovna přijde podobné s nápisy islámského státu a na průser máte zaděláno. Je to naprosto perfektní příklad toho, jak může být „všechno co řeknete použito proti vám.“ Garantuju každému běžnému uživateli, že na jeho počítači do deseti minut najdu něco, za co by ho mohli ve většině zemí světa zavřít. Stačí málo. Policajtovi jeho stará ráno nedá a vy za to budete pykat, protože policajt tuhle práci dělá každej den a ví přesně kam sáhnout, co hledat a čím vás úplně vykolejit. Vzhledem k tomu, že vám může počítač sebrat a kamsi s ním odejít, vám takový závadný obsah může do přístroje sám nahrát.
V tomto díle jsme si tedy vysvětlili, kdy a proč je ochrana dat žádoucí. V dalším díle se podíváme na způsoby, kterými to lze provést.
- https://nakedsecurity.sophos.com/2012/01/09/us-customs-can-and-will-seize-laptops-and-cellphones-demand-passwords/
- https://www.reddit.com/r/travel/comments/2bdq15/us_customs_seized_my_laptop_and_phone_today_has/
- http://www.bbc.co.uk/news/magazine-25458533
28.03.2016 Soňa
Související články:
- Jak ochránit vaše data 2. část: Ochrana v praxi (29.3.2016), Anonymní autor
(111x známkováno, průměr: 1,17 z 5)