Loading...Може…. Но в друг свят и друг Интернет
От престараване пред ЕС парламентът ще направи нежелателни услуги на злосторниците в киберпространството
През последните 2-3 дни окончателно се изясни, че българският парламент в ускорени темпове, парче по парче, реализира в промени на Закона за електронните съобщения своята представа за „мъдрите указания“ на Директива 2006/24 на ЕС.
Същата, която възприемат със съпротива и резерви в засега малобройните държави от Евросъюза, които я прилагат. Депутатите ни обаче променят без колебание. С престараване, което надхвърли рамките на споменатата директива. Без да се държи сметка за гражданските протести, до които доведоха всички тези мерки за дръзко посегателство срещу правата на българите на личен живот, на съхранение на личните данни и на свободни електронни комуникации.
И в това, което току-що прочетохте, няма нито една буква, оцветена от партийни пристрастия.
Тези проблеми са важни за всички нас – червени, сини, жълти, зелени… всякакви.
„Няма как да стане“ срещу „Няма как да не стане“
Присъствието на Богомил Шопов от сдружението „Електронна граница“ на заседанието на парламентарната Комисия по транспорта и съобщенията, на което бяха приети текстове, задължаващи мобилните оператори да събират и съхраняват (т.е. „задържат“, на бюрократичен жаргон) лични данни на потребителите на предплатени карти, изглежда не е попречило, а дори е стимулирало депутатите да допуснат поредна грешка. Неговата реплика, цитирана от някои медии, че нищо не пречи на престъпниците да си купят карти от държави, където такива ограничения не съществуват, може би само ги е подразнила.
Не е изключено и някой да е отвърнал със сакрална фраза: „Това е технически невъзможно!“.
С други думи – „Няма как да стане“. Защо? Сигурно понеже той така си мисли.
Дали политиците питат признати професионалисти в сигурността на мобилните комуникации, преди да се ангажират с безсмислено категорични изявления? Може би питат, но не чуват какво им се отговаря, ако истината не е каквато те предварително са решили, че трябва да е. Добрите експерти биха отговорили приблизително следното: „Според мен, на сегашния етап на технологична компетентност и при съществуващите средства за контрол и защита при българските мобилни оператори е малко вероятно, а може би и технически невъзможно да се „пробие“ или заобиколи системата по подобен начин“.
Разликите са значителни. Експертите, с които съм разговарял, най-често избягват да се обвързват с категорични изявления. Богатият им опит подсказва, че технологии, за които довчера се мислеше, че са невъзможни, днес вече са масово прилагани. И обратното – неща, които се очакваше да завладеят света, изобщо не се случиха.
Защото такава е реалността, в която живеем: едно си въобразяваме, друго се случва. Ако разберете какво предстои – добре, ако не – ще си останете с твърде глупави „изхвърляния“.
Изглежда сега наближава моментът да падне капката, с която ще прелее чашата на търпението на хората в България. Въпросните текстове например, които не са визирани от никаква европейска директива, наистина едва ли ще спрат престъпниците и терористите. Но най-лошото е, че с тях се създава възможност за възникването на нови престъпни бизнес начинания. От това няма никаква нужда при кризата, която полека-лека стяга България в ледени клещи.
Нямам намерение тук да навлизам в трудната технологична „територия“ на мобилната телефония, в частност във връзка с вероятно визираните в промените предплатени SIM карти (SIM, от Subscriber Identity Module – Модул за идентичността на абоната, англ.). Това е извън кръга на интересите ми и над моето равнище на компетентност. Има си предостатъчно открити източници, дебели учебници, стотици страници техническа документация, форуми – който търси, ще намери.
Ще напомня на читателите нещо друго: във всяка пазарна икономика правилата се диктуват и от обективния, независим от нас икономически закон за търсенето и предлагането. Държавата, след промените в Закона за електронните съобщения, може да предизвика негодувание и недоволство сред милиони потребители, срещу които се използват некоректни техники, засягащи чувството им за справедливост, без да са нито престъпници, нито виновни в нещо, нито дори заподозрени. Те не искат естествено полицията да разполага с личните им данни и да знае с кого, кога и откъде са си говорили по мобилните телефони. Тогава сред тях, сред милионите, които са силни точно чрез своята множественост и анонимност, ще възникне усилено търсене за услуги и средства, които елиминират нежеланите практики.
А появи ли се търсене, „черната“ и „сивата“ икономика обикновено бързо осигуряват предлагане. Примерно, на модифицирани SIM карти. И не се залъгвайте, че това ще става с продажби „на парче“ на съответните средства. Животът показва, че при други случаи у нас ги предлагат и направо на килограми… Къде ли не.
Вероятно ще е доста неудобно, ако зададем на инициаторите на промените още някои прости въпроси. Например – „А какво става с уличните телефони, колкото и малко да са вече, и с публичните телефонни постове, докато се трупа 90% ненужна и остаряла информация от лични карти за предплатени SIM-ове на гражданите? И на тях ли ще ни следите поименно, ЕСГРАОНно и покартно, докато си бъбрим глупости?“ Да, ами те също са електронна комуникация, ще се сетят веднага и по-неосведомени българи. Нещо повече, чува се, че много от престъпниците ги използвали… Трябва нещо да измислят и за тях. Но какво? И каква ли бъркотия ще настане с цялото това следене…
Има обаче и още нещо. Мобилните телефони и картите за тях са много „фриволни“ устройства. Губим ги, забравяме ги някъде, подаряваме ги, сменяме ги, захвърляме ги, купуваме си по два-три, без да ни трябват – и после не ги ползваме… Изобщо, всякакви работи се случват. Нерядко си вземаме и някой по-модерен, с Интернет достъп, с вградена 7-8-мегапикселова камера, с музикални опции колкото щеш, а старото устройство даваме на някой възрастен роднина да си служи. И какво се случва, ако по лична карта на някого се води определена SIM карта в мобилен телефон, който отдавна е пратен „на село, за баба“? И тя, старицата, съвсем е забравила къде го е забутала – което означава, че лесно може да го задигнат?
Ченгетата ще ви търсят по тези данни, но само ще си губят времето – всъщност трябва да гонят някой съвсем друг…
Почти всеки независим експерт по сигурността би казал на родните депутати и политици, че подобен развой на събитията е нежелателен, но не и невъзможен. Това навежда на неприятната мисъл, че едва ли са питани и чути достатъчно на брой независими експерти, когато са подготвяни законовите поправки. Не се знае дали е чуто мнението и на повече опитни, добросъвестни служители на МВР и ДАНС, които всеки ден се „пържат“ в казана на борбата с организираната (и не) престъпност. В реалния свят. А не там някъде, в някаква достолепна зала и „на теория“.
На теория „и баба знае“. Да бе, да, онази на село.
Ироничното в случая е, че и председателят на парламентарната вътрешна комисия Минчо Спасов, и зам.-председателката на същата тази комисия Татяна Дончева разбраха през септември 2008 г. какво значи „да ти видят разпечатката“ – и от това нищо да не излезе. Поне тая случка би трябвало да светне „червен сигнал“ в съзнанието на депутатите и изобщо на елита у нас. Защото ние, обикновените хора, с тривиалните си лични данни, не сме достатъчно „интересни“ обекти. Но те са.
Тази безкрайна, щура мъглявина
Ако оставим телефоните и погледнем какво се налага като промени при следенето и „задържането на данни“ за активността на гражданите в Интернет, под който сега всички почнаха да разбират, макар и не дотам точно, Уеб (World Wide Web), нещата придобиват абсурдни измерения. И от гледна точка на сигурността, и от гледна точка на технологиите, и от гледна точка на истинския живот.
Няма да предлагам недемократични и унизителни идеи, като да се инициира парламентарен тест с участието на всички депутати, с въпроси от типа: „Що е IP адрес и за какво служи?“ Предполагам – знаят.
Да погледнем отново нещата от друг ъгъл. В службите и структурите, заети със сигурността в Република България, си има специализирани звена, които се занимават с компютрите и информационните мрежи. И те неизбежно пишат за началството дълги отчети със статистика и графики в тях, като обясняват нагледно общия растеж на киберпрестъпленията и злонамерените посегателства.
Чете ли някой тези отчети? Не е за вярване. Ето защо.
Пак не желая да задълбавам в теми като например по какво IP (Internet Protocol) адрес и VIP адрес се различават, кои IP адреси са статични и кои – динамични, какво значи MAC адрес, или – какво е DNS, как се придобива автоматично IP адрес, и т. н., и т. н. Един нормален учебник в тази област е най-малко 350 – 400 страници; техническата документация включва още дълги-дълги файлове. Трудно е да пресоваш всичко в 2-3 изречения. Освен това малка част от всички тези неща са тривиални, но повечето не са. И отново далеч надминават моето равнище на компетентност.
Но дори и от сравнително невисокото ми ниво се забелязват прекалено много противоречия.
Една от най-големите заплахи в Интернет например са известните като „фишинг“ (phishing) техники, използвани от киберпрестъпници и злосторници. В тези техники ключово значение за крекърите, т. е. „разбивачите“, които целят да се доберат преди всичко до парите в сметки (разплащателни и т. н.) с уеб базиране на компании и физически лица и да ги източат, имат тъкмо IP адресите. И личните данни, естествено – колкото повече, толкова по-добре, на реални потребители, които сърфират в Мрежата. Научат ли това, все едно са свършили една трета от работата си, или повече.
Други значителни заплахи са така нареченият „спуфинг“ (IP spoofing, по-точно) и свързаните с него DoS атаки (Denial-of-Services Attacks), чиято цел е да извадят от строя сървърите на жертвите чрез „затрупване“ със заявки. И при тези опасности злосторниците също се стремят да си издирят първо много подходящи IP адреси.
А че така наречените „спамъри“ (spamers) живо се интересуват от адреси, имейли, лични данни и т. н. на невинни Интернет потребители просто си е известно на всеки, който се е сблъсквал с дълги списъци с нежелани послания в пощенската си кутия.
При почти всички тези техники за злосторства се използват и така наречените ботове (от robot – автоматични програми, често неголеми „парчета“ софтуер). Целта на някои от тях може да бъде да ви заблудят, че зад компютъра, с който сте се свързали през Интернет, има човек, когато всъщност там няма никого.
Според най-новите данни в сайта на Internet World Stats (www.internetworldstats.com – от самото им название личи с какво се занимават, с глобални статистики за Интернет), в края на юни 2008 г. в света е имало над 1 млрд. 463 млн. и 632 хил. потребители на Мрежата. Според най-новите данни пък от Netcraft, които са специализирани в Интернет изследвания, анти-„фишинг“ и т. н., през януари 2009 г. те се се свързват чрез твърде значителен брой сайтове – над 185 млн. и 497 хиляди.
С други думи, „целият“ Интернет е огромно множество от хора, които се свързват един с друг и група с група, чрез компютри, комуникационни средства и софтуер, като си обменят грамади от данни. Най-важното са хората, каквото и да сте чували за „Матрицата“ и властта на машините. Без хора няма нито компютри, нито комуникации, нито софтуер, нито Интернет. Но пак хората, чиито настроения се менят всяка секунда и са общо взето трудно предсказуеми, са технологично най-нестабилната съставка в Интернет. Не бих казал, че тази „супер-държава“ вече подлежи на контрол. В нея се спазват собствени правила и законите, нравите и обичаите на всички държави и религии, хората от които излизат в киберпространството. Само най-условно може да се говори за „териториални“, физически или други граници. Дори и за част от нея – колкото българската зона, напъните за контрол са съмнителни.
Само Интернет може да контролира Интернет.
И го прави. Ако тръгнете срещу тази тенденция, ще загубите време и пари. Мрежата е проектирана така, че просто заобикаля преградите и продължава напред.
Осъзнават ли политиците какво ще поискат от българските служители в полицията и другите структури за сигурност, когато им възложат да проследяват, анализират, контролират растящия стремително поток от лични данни, имейли, международни връзки, СКАЙП-разговори, чатове, форуми и участия, и т. н.? Та нали поне 2 милиона българи, ако не и повече, сега са се пръснали по всички континенти на света? И Интернет е най-доброто ни средство да комуникираме с близките си, често на десетки хиляди километри от нас? Наистина ли някой е толкова заслепен да си въобразява, че нещо ще направи?
А сега, след цялата тази информация, си представете за миг какво би се случило, ако сред личните данни на Интернет потребителите, попаднали в ръцете на полицията, има например така наречените „зомбирани“ компютри, завладени от злосторници, дебнещи някъде там в огромната мъглявина на Мрежата. Такива компютри се използват без знанието на притежателите, за да се свързват с други адреси, базирани също кой знае къде.
Или си представете какво става, ако даден IP адрес (може и вашият!) е ползван във верига, по която се препраща спам, или вируси, или се прави нещо по-лошо.
Как ще обясните, че не сте никак замесен лично вие в подобни ситуации? И доколко ще ви вярват?
Или пък си представете – ако сте видна публична фигура (може и депутат), как при вас идва вежлив служител и ви предупреждава, че от домашния ви компютър е влизано в съмнителни сайтове. И са осъществявани примерно секс чат сеанси с гражданка с неморално поведение, притежателка на уеб камера и компютър с този и този адрес, която се подозира във връзки с криминални типове. И вие стъписан осъзнавате, че любимото ви чедо, раздрусано от хормони, вместо да си пълни главата със знания, калпазанинът му с калпазанин, зяпа порно, праска игри и се свързва с разголени каки, готови за определена сума „да го светнат“ по всякакви теми табу.
Винаги можете „да понаместите“ ума на чедото, без да стигате до крайности. И то накрая да израсне свестен човек. Но защо трябва толкова много хора да знаят, че почти сте се провалили като родител? И това работа на полицията ли е? В края на краищата, момчето нищо чак пък толкоз лошо не е направило (поне довреме)… Обикновен пубер. А как ще се чувствате, ако подобна информация се просмуче в медиите?
Но и тези наши мрачни видения и очаквания не са най-тревожното.
След предвидените промени при българските доставчици на Интернет и услуги ще се натрупват много повече лични данни, отколкото досега – и то за срок от 2 години. Подобни масиви ще са като „златни мини“ за злонамерени групи и „единаци“ в киберпространството.
С други думи, законодателят ще накара компаниите (и те ще се съгласят – нямат избор), не само да бръкнат в джобовете си за допълнителни ресурси, за да се справят с нарасналите обеми информация, но и да осигурят защита при значително по-висока степен на заплаха и за по-дълги периоди. При това с гаранции, че във всеки момент данните ще се предоставят на МВР по най-безопасен начин. Което отваря за злосторниците поне малко вратичката към използването на техника, известна като „човекът-по-средата“ (Man-in-the-Middle).
Не, не се съмнявам, че ИТ-специалистите в България могат да се справят с предизвикателствата. Но все пак, както всеки се сеща, едно е да обезпечаваш трайно сигурността на сървъри, които съхраняват досегашния обем от данни, и друго – при новите изисквания.
Все едно да накараш някой банков клон в провинциално градче да почне да съхранява златни кюлчета, като съобщиш за това предварително на всички заинтересувани.
Злосторниците ще налитат като оси на рояци. И ще опитват не само технически „пробиви“. По-полезни за тях понякога се оказват методите на „социалното инженерство“ (social engineering), при които не се ползва никаква техника. Или директното купуване на информацията „на черно“.
Тук му е мястото да разкажа една анекдотична случка. В служба, в която работех преди време, взеха (най-накрая) чисто нов и по-мощен сървър. Зарадваните от събитието системни администратори почнали да умуват какво по-интересно име да му измислят, преди да го пуснат „на плаване“ (задължителна процедура при инсталацията на определени операционни системи). Едно предлагат – отхвърля се; друго предлагат – и то… Накрая един нашега подхвърлил да нарекат сървърчето или „Емануела“, или „Лолита“. Щото било „като страхотна мацка, нали така?“. Другите наскачали връз човека: „Абе, ти чуваш ли се? Нали всичко, дето се пише хакерче в Нета, ще му се пробва още като види името! Луди ще ни направят!“. Насмалко да опухат шегобиеца…
Та, на мен току-що ми хрумна, че българските фирми може да предложат на законодателя да запише черно на бяло – всичките им сървъри да имат в названието си и по едно „Лолита“. Или направо да си го декларират в Уеб адреса, примерно: Lolita.something-bg.com.
Като ще е гарга – рошава да е. Щом сме направили грешката да предизвикваме злосторниците, да си носим последствията.
Шегите са признато средство срещу стреса. Но в сегашната ситуация не ни е до смях. Тези мерки, които можем да наречем „е-Слухтене“, вероятно ще „вдигнат акциите“ ни пред ЕС. Но (доколкото сработят) те според мен чувствително ще накърнят правата на българите, може за кратко да направят журналистиката невъзможна професия и да създадат огромно количество безполезна работа. Но най-вероятно без съществени резултати в борбата с тероризма и престъпността. За да се борим срещу тях трябва истински висок професионализъм в използването на разрешените досега от законите, познати и изпитани средства, а не измишльотини.
Може би сегашните мерки са равни на сигурност. Но това е възможно в друг свят, с различни Интернет и мобилни комуникации. Не са за нашата реалност.
