МВР вече ще подслушва Интернет
Заради борбата с тероризма и изискванията на Европейския съюз (с които оправдават всичко) от следващата година Интернет доставчиците у нас трябва да съхраняват подробна информация за това какво са правили интернет потребителите им, и кои са те, за период не по-малък от една година. Много е интересно това, че вероятно тези правила на ЕС някак си не важат за Италия, където точно на обратно бе забранено на Интернет доставчиците да пазят каквито и да е данни за потребителите си. Възползвах се от възможността да разгледам Европейските директиви и не можах да намеря такава със задължителен характер. Нещо повече, тук може да се види и мнението на Испански съд, приемащ тези данни за лични данни (и следователно подлежащи на специален контрол). Дискусия в този смисъл се е водила в Комисията за Граждански права към ЕП.
Или казано с други думи май няма всъщност такова изискване на ЕС. Сякаш просто го е страх от нашите да каже, че той ги иска тия данни. Защото някой ще го попита „Защо?”. Сега е много по лесно – „Ми нинам, питайте ЕС”, а ние мързеливите и неориентираните няма да се сетим кой да питаме там, за да разберем дали наистина има такова изискване, и после като разберем, че евентуално няма, да набием, който трябва тука.
Интересното от новината по медиите е изискването да се пази и каква услуга е ползвал потребителя, и кога (например дали се е обаждал по Skype) без съдържанието. Много ще ми бъде интересно да разбера кой е измислил списъка със следените услуги и какви параметри от тях да бъдат следени. Как например ще може един Интернет доставчик да разбере, че потребителя ползва Skype, пък, камо ли, че се обажда и на кой се обажда. Защо не може пише повече тук – как работи Skype. Същото се отнася за криптирания E-mail, Bittorrent, Web, VPN, Kazaa и какво ли не. Дори има вече има съдебно тълкование (макар и в САЩ, но е много вероятно да е същото в Европа) по въпроса – не можеш да задължиш обвиняемия да декриптира съдържанието си. Така вината остава в Интернет доставчика. Също така е наистина много трудно на Интернет доставчиците да идентифицират дори услугите минаващи през мрежата им. Това, че трафик се движи към порт 80 само предполага, че е 90% вероятно да е Web, но не 100%. Може да е VPN, а може да е и Skype, и какво ли не друго. Ако влиза и излиза през два порта на комутатор в Долни Дъбник как ще анализираш трафика? Как ще разбереш какъв е бил на ниво IP адреси и портове? Как ще разбереш какви услуги е ползвал в действителност? Как ще вземеш параметри на услугите (на кого се е обадил в Skype)? Ако джуркаш трафика през малкото си по-умни устройства влошаваш значително услугите и си повишаваш цената за транспорт. Ако слагаш интелигентни устройства на всякъде превръщаш цената за достъп до Интернет в колосална (например 80000$ на порт, кой потребител ще си го позволи?). И третия път е да не събираш информация или тя да не бъде коректна. Също така важен въпрос е и това, че ако събереш с проба това, че е имало сесия от IP адрес 1.1.1.1 към IP адрес 2.2.2.2 това не значи всъщност, че трафикът е излязъл от 1.1.1.1 (някой чувал ли е за Spoofing?), да не говорим че точно това ще е информацията, която интересува службите за сигурност. Как ще идентифицираш потребителите, пък? Вече има и в Европа решения и тълкования, че IP адрес не значи потребител (Spoofing, много хора ползващи компютър, отворени мрежи)? Всичките тези неща ми изглеждат безсмислени – няма да намалят престъпността, няма да минат в съда, няма да съберат качествена информация. Но за сметка на това ще накарат повечето грамотни потребители в Интернет да започнат да използват Anonymizer-и, и криптирана комуникация, ще оскъпят мрежите на доставчиците и следователно услугата на потребителите. Тоест потребителите ще финансират егото на институциите, които не знаят и не могат да измислят ефективен начин как да прилагат закона. Една интересна приказка бе, че сме щели да се отчитаме редовно кога и какво е поискала полицията. Но естествено с по един ред (пазим авторските права?). Пък и не е ясно след като данните се определят за лични кое контролира достъпа на полицията до тях? Очевидно няма да е разрешение на съдия. Тези данни могат да бъдат използвани некоректно. Кой знае за какви цели, и под чии контрол.
9 коментара:
Докато работех в една не малка българска фирмичка за интернет доставки във "вашият дом / офис", си имахме персонал отговорен за комуникация с полицията. Средно между 2~3 заявки на седмица - "това ИП, кой го е ползвал преди 3 месеца". Допълнително си докараха и гигабитови снифери и се биеха в гърдите че real-time декриптират трафика.
Това което искат с този "закон" е да имат основание да притискат фирми, които отказват да им съдействат, но може би малко са прекалили. BTW, по нашето законодателство тези справки не са доказателство в съда. На няколко пъти са искали да даваме писмени показания, но сме намирали начин да се измъкнем. Живи - здрави, контрол трябва да има, но не и цензура, btw това го асоциирах с писанието ти "защо ще гласувам за Атака" :)
Някой Мунчо дето цял живот кенефа му е бил на 50м от къщата разбрал що е то интернет и решил да пусне наредба за нещо си...
Направо подивявам като си помисля как тия лумпени си клатят краката по цял ден и се чудят каква глупост да измислят. В тия темпове след 20-30 години ще сме най-глупавата държава на света.
Всъщност, най-комичното в конкретния случай, е, че оригиналната статия във в. „Сега“ се придружава от коментари на Димитър Ганчев и на Вени Марковски. Два печални образа от прехода, за които многократно е доказано колко причастни са към обслужването на подобни щения от специалните служби.
Ето ви и един ценоразпис колко и какво би струвало „разбиването“ на продукт като Skype:
http://wikileaks.org/wiki/Bavarian_trojan_for_non-germans
Най-обидното и подсъдното в случая, е, че се ползва зловреден код за достъп на потребителски данни, когато Конституцията заявява свещеността на нашата неприкосновеност. Ще лежи ли и кой ли полицай ще опере пешкира за ползване на зловреден код? Трябва доста ниско да паднат тия, които ще ползват подобни средства, за да преборят тероризма. Смятам, че това си е заявка за точене на средства и ползване на оборудването за промишлен шпионаж, защото е ясно, че нито багажът, нито уменията им са на висота, за да се възползват ефективно от хипотетичните средства да следят Skype. Това, ако мине, ще се ползва по-скоро за изнудване и цоцане на пари. Мисля, че трябва да се противопоставим категорично, но ще зависи най-вече от доставчиците. Ако те се огънат и подложат после лесно ще им бъдат предявени нови и нови „изисквания“.
Изрична директива на ЕС няма. Това е първата лъжа, която трябва да се разобличава, ако искаме „вносителите“ да излязат на светло.
Впрочем не е никак случаен и моментът, в който активираха бомбата. Държавата се разграбва и разпродава, а МВР ще бори хипотетични терористи!? Нима целокупният народ трябва да се третира като сбор от терористи, за да може някой да се окичи с лаври по разкриване на поредните наркодилъри?
Не, господа! Конституцията ви задължава да третирате всекиго като невинен до доказване на противното. Не преди това!
А може да има и добри страни? Ако наистина потребителите станат по-внимателни как си комуникират и каква лична информация оставят, ще са по-защитени както от службите, така и от други уеб-злосторници.
Деляне, съвсем скоро попаднах на тази статия за Skype [http://www.secdev.org/conf/skype_BHEU06.pdf] Какво е твоето мнение, знам че имаш специализирана статия за сигурността на Skype.
До анонимния: това е старо. И проблемът не е в конкретната програма Skype, или друга. Проблемът е, че пак ще се загробват народни пари за криворазбрана национална сигурност. Точно от хора, за които е доказано, че нямат кадри, умения и усет да боравят с подобни материи. Погазват се куп свободи, прогласени от Конституцията и защитени със закони. Всички ние сме престъпници, до доказване на противното. Това може да е в интерес на САЩ, на отделни лобита, но не в интерес на българския народ. Повечето от тези средства ще отидат за шромишлен шпионаж и за сплашване на малкото свободни места в българската мрежа.
Наредбата е приета на основание чл. 251, ал. 1 от Закона за електронните съобщения, който предвижда задължение за предприятията, които предоставят обществени електронни съобщителни мрежи или услуги да съхраняват определени категории данни в продължение на 12 месеца. Данните се съхраняват за целите на националната сигурност и разследването на предстъпления, без да се съхранява на съдържанието на съобщенията.
Издаването на Наредбата е в изпълнение на задължението на България по Директива 2006/24, където са определени данните, които предприятията, които осъществяват електронни съобщителни услуги са задължени да съхраняват за целите на националната сигурност и за разкриване на тежки престъпления. Оправомощаването на МВР и Агенцията за информационни и комуникационни технологии за приемането на тази наредба е по силата на чл. 251, ал. 1 от Закона за електронните съобщения.
Данните, които се съхраняват са трафични данни и данни за местоположението и свързаните с тях данни, необходими за идентифициране на абонат или регистриран потребител, но не и съдържанието на електронните съобщения. Събирането на данните се осъществява при предоставянето на фиксирана и мобилна услуга, интернет достъп, електронна поща по интернет и интернет телефония.
Категориите данни, които ще бъдат запазвани са определени в Директивата и имат действие по отношение на всички държави членки на Европейския съюз. В този смисъл българските органи са съобразили текста на наредбата с нормативен акт от по-висш порядък.
Правото на определени държавни органи на достъп до тези категории данни, също е определено в Директивата (чл. 4). За България това е Дирекция „Оперативно-техническа информация” към Министерство на вътрешните работи.
Срокът за съхранение на данните също е определен в Директивата (чл. 6), като държавните членки могат да го определят между минимум 6 месеца и максимум 2 години. България е определила този срок в чл. 251, ал. 1 на Закона за електронните съобщения на 12 месеца.
Съществено е обаче да се отбележи , изискванията за съхранение на данните за интернет достъп, електронна поща по интернет и интернет телефония може да бъде отложено от държавите членки до 15 Март 2009 година. България се е възползвала от това право и е отложила влизането в сила на Наредбата по отношение на интернет достъп, електронна поща по интернет и интернет телефония до тази дата. По отношение на фиксираните и мобилни услуги обаче Наредбата влиза в сила три дни след обнародването, тоест на 2 февруари 2008.
Ако все пак трябва да разгледаме критично текстовете на Наредбата следва да се отбележи, че възможността за събиране на данни е предвидена за всички видове престъпления. Вижте теста:
категориите данни, създадени или обработени при предоставянето на обществени електронни съобщителни мрежи и/или услуги, които се съхраняват и предоставят за нуждите на националната сигурност и за разкриване на -престъпления-.
Противно на определено в Наредбата, Директива 2006/24 установява, че събирането на данните може да се осъществява само за разследване на тежки престъпления, по смисъла на правото на държавата членка. Ето и конкрения текст на Директивата на английски и български език:
This Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data which are generated or processed by them, in order to ensure that the data are available for the purpose of the investigation, detection and prosecution of —serious crime, as defined by each Member State in its national law—.
Настоящата директива има за цел да хармонизира разпоредбите на държавите-членки, свързани със задълженията на доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи по отношение запазването на някои данни, които са създадени или обработени от тях, за да се гарантира, че данните са достъпни за разследването, разкриването и преследването на —-сериозни престъпления—-, както те са определени в националното право на всяка държава-членка.
По българското право тежки са престъпленията, за които се предвижда повече от 5 години наказание лишаване от свобода.
Следователно изпускайки изискването на Директива 2006/24 данните да се събират само за разследване на тежки престъпления МВР ще има достъп във всички случаи на извършване на престъпления. Това значително разширява хипотезите, в които МВР може да осъществява достъп до данните.
Само в България мафията си има държава! НЕ на политиката на свършеният факт! Чуйте гласът на народа! Прегледайте и анализирайте внимателно европейските директиви! Директива 2006/24 няма нищо общо с мерките на МВР.Използуват я за параван. В директивите има огромни противоречия, които откриват вратички за всякакви национални наредби. Не е вярно, че СЪЩАТА наредба е приета в други страни на ЕС. Затова се обръщам към всички хакери в България да хакнем сървърите и сайтовете на тази престъпна паплач. Да им съсипем сървърите в знак на протест срещу беззаконието. Не само тези на МВР и ДАИТС, но и на всички министерства, които правят най-големият интернетен трафик и си ползват работния ден да смъкват филми и музика. Ще ги съсипем от съдебни дела и тук и в Страсбург. Предлагам ежедневни състезания „кой ще хакне повече сървъри”. МВР мафията, е объркала държавата. Не сме в САЩ, а в България. В нормалните държави преследват мафията, само в мафиотските държави мафията преследва порядъчните хора. Във всички закони и наредби трябва ясно да бъде написано, че МВР и ДАНС са длъжни да получат разрешение от съдия и прокурор за всеки отделен случай на подслушване. Ако подслушват два милиона интернетни потребители – задължително да им представят заповедите за подслушване. Да ги връчат на интернетните оператори.
Относно защитата на информацията предавана през интернет /едно българско решение/
Криптиран многопотребителски чат с обмен на файлове посредством клиент P2P (компютър-компютър)
http://www.download.bg/index.php?cls=program&mtd=default&id=466607
Публикуване на коментар