Državni zbor RS je pred kratkim sprejel spremembe Zakona o igrah na srečo, ki med drugim uvajajo omejevanje dostopa do spletnih strani. Poleg neposrednih pravnih posledic ima lahko tehnična implementacija določene posledice (ali lastnosti), na katere se bom osredotočil v tem prispevku.

Kadar želimo omejiti dostop do nekega strežnika oz. do spletnega mesta, imamo v bistvu na voljo štiri možnosti: blokada prometa glede na ciljni IP naslov, spreminjanje tabel za usmerjanje prometa, preusmerjanje s pomočjo lažnih DNS odgovorov in tehnologijo DPI, Deep Packet Inspection. Vsaka od teh možnosti ima svoje pomanjkljivosti oz. povzroči probleme, na katere zakonodajalec verjetno ni pomislil, bodo pa padli na ramena “ponudnikov storitev informacijske družbe”.

Blokada prometa na podlagi IP naslova

To je najbolj enostavna metoda, ki jo običajno internetni ponudniki uporabljajo recimo za obrambo pred napadi s poplavo podatkov (DDoS, Distributed Denial of Service oz. na kratko kar “dosanje”; gre za to, da napadalec na nek IP naslov pošlje ogromno količino podatkov ter s tem “zablokira” komunikacijsko povezavo napadenega računalnika). Vsa komunikacija na internetu namreč poteka na podlagi enoličnih IP naslovov. Gre za štirištevične naslove, recimo 193.2.1.66, 195.72.135.41 itn. Brez teh naslovov komunikacije ne more biti, poseben sistem pa poskrbi za preslikave med številčnimi naslovi in imeni oblike www.arnes.si ali bwin.com, ki si jih laže zapomnimo. A o tem kasneje. Za sedaj je dovolj, da vemo, da je osnova internet protokola komunikacijski paket, ki vedno vsebuje dva IP naslova: tistega od izvora in onega od cilja komunikacije, ter da vsaka naprava in vsak spletni strežnik za svoje delovanje potrebuje svoj IP naslov, ki mu ga dodeli ponudnik gostovanja (no, princip je podoben tudi pri telefonih).

Tudi najbolj enostavne omrežne naprave podpirajo vsaj osnovno filtriranje prometa na osnovi IP naslova. Na napravi (običajno usmerjevalniku prometa ponudnika, lahko tudi požarnem zidu) vpišemo novo pravilo, ki pravi, naj se promet, namenjen na določen IP naslov (recimo 195.72.135.41) zavrže. Naprava pri posredovanju paketa pogleda IP naslov in preveri, ali ustreza kateremu od definiranih pravil. Na ta način ponudnik lahko na poti ustavi komunikacijske pakete, namenjene na strežnik bwin.com, ki deluje na prej navedenem IP naslovu (oziroma jih izniči).

Ta način bi ustrezal primeru, ko poštar na določen naslov (recimo Jamova 39, 1000 Ljubljana) ne bi več dostavljal pošiljk. S tem morda dosežemo namen, kadar je na tem naslovu samo ena oseba, povzročimo pa lahko dodatno škodo, kadar stoji na tem naslovu blok ali celo poslovna stavba (ali v tem konkretnem primeru Inštitut Jožefa Stefana). Podobno je na internetu: ker je običajna praksa ponudnikov gostovanja, da na en sam IP naslov namestijo več različnih strank oz. njihovih spletnih mest, je prav mogoče, da z blokado omejimo dostop tudi do spletnih mest, ki ne kršijo nobenega slovenskega zakona in so potem le “kolateralna škoda”.

Po drugi strani pa se prireditelj iger na srečo tako realizirani blokadi enostavno izogne tako, da prosi svojega ponudnika gostovanja, naj mu zamenja IP naslov. Zamenjavo naslova je možno realizirati v nekaj minutah, z njo pa je izrečen ukrep popolnoma izničen. Zadošča en telefonski klic ponudniku, za storitev pa bo mogoče nekaj minimalnega zaračunal. Da je problem še večji, bo ponudnik prejšnji (in sedaj nezaseden) IP naslov skrbno recikliral in ga dodelil drugi stranki. To pa pomeni, da naenkrat iz Slovenije ne bomo mogli do nekega drugega spletnega mesta, ki z razlogi za blokado nima prav nič.

Vsi tisti igralci iger na srečo, ki se bodo ukrepu želeli izogniti, pa ga bodo zlahka zaobšli tudi brez tega. Pri brskanju lahko uporabijo posredniški strežnik (tim. proxy strežnik). Ko v računalniku nastavimo preusmeritev komunikacijskega prometa na takšen posredniški strežnik, imajo naši paketi za ciljni IP naslov tistega od posredniškega strežnika. Šele v vsebini paketa pa je navodilo, naj posredniški strežnik naš komunikacijski paket pošlje na pravi cilj. Na ta način bo ponudnik dostopa do interneta “videl” le, da njegov uporabnik komunicira s posredniškim strežnikom, kam je usmerjena komunikacija od tam naprej, pa ne. To zgodbo poznamo, saj se je to pred leti zgodila v primeru udba.net. Druga možnost je namestitev dodatnega programa, ki računalnik uporabnika povežejo v anonimizacijsko in proticenzurno omrežje Tor. Le-to deluje po podobnem principu kot posredniški strežniki, le da je še bolj enostavno za uporabo in vsebuje tudi mehanizme, ki izničijo morebitne protiukrepe ponudnikov dostopa do interneta. Anonimizacijsko omrežje Tor za izogibanje internetnim blokadam so sicer že večkrat uspešno uporabili politični aktivisti na Kitajskem, Iranu in drugod po svetu.

Spremembe tabel za usmerjanje prometa

Omrežje internet je sestavljeno iz ogromnega števila povezav med usmerjevalniki prometa (ang. router). Vsak od usmerjevalnikov prometa na podlagi posebnih tabel za usmerjanje prometa ve, kateremu sosedu mora poslati paket, da bo ta prišel na pravi cilj. Vsi internetni ponudniki svoj IP naslovni prostor oglašujejo sosednim omrežjem, posebni protokoli in postopki pa poskrbijo, da se ustrezna informacija razširi po omrežju. Če se vsi ponudniki držijo dogovorjenih pravil, lahko od koderkoli na internetu pridemo kamorkoli.

Ponudniki v Sloveniji bi omejevanje dostopa lahko implementirali tako, da bi dodali v usmerjevalne tabele lažne podatke, ki bi govorili, da se recimo bwin.com nahaja na strežniku (na primer) Urada RS za nadzor nad prirejanjem iger na srečo. S tem ne bi zavrgli ali uničili paketov, ampak bi jih le preusmerili na drug strežnik. Kot da bi na cestah v vsej državi zamenjali table, ki kažejo, kako se pride recimo v Trst in bi potnike usmerjali v Celje. Dodaten “bonus” takšnega omejevanja je, da upravitelj tega lažnega cilja jasno vidi, kdo vse želi priti do prepovedanega spletnega mesta…

Ostali problemi in metode izogibanja ukrepu pa so povsem enaki, kot v prejšnjem načinu blokade. Ker pa lahko po nesreči usmerjevalna informacija “uide” v tuja omrežja, se tu pojavi še dodaten problem, ko nenamenoma preusmerimo promet tudi v drugih državah. To se je dejansko že zgodilo v primeru, ko je pakistanski telekom leta 2008 dobil navodilo države, naj zablokira Youtube zaradi neprimernih vsebin. Zaradi napake pri urejanju usmerjevalnih tabel je ta laž ušla iz Pakistana ven in se v hipu razširila po internetu. Tako je bil nekaj ur Youtube nedosegljiv za večino uporabnikov interneta!

Podtikanje lažnih DNS odgovorov

Omrežna komunikacija poteka med različnimi IP naslovi, te pa si ljudje težko zapomnimo, zato je eden od temeljnih gradnikov interneta tudi porazdeljeni imenik DNS, Domain Name System. Ta vsebuje preslikave med domenami, imeni strežnikov, naslovi elektronske pošte na eni strani in IP naslovi na drugi. Vsakič, ko recimo vpišemo spletni naslov v brskalnik, si naš računalnik v ozadju izmenja kopico paketov z DNS strežniki na omrežju. Tako vpraša, kateri so domenski strežniki za bwin.com; ko izve za te, njih vpraša za IP naslov spletnega mesta www.bwin.com in prejme odgovor: 195.72.135.41. Brskalnik šele nato lahko pošlje zahtevek za vsebino spletne strani. Za te DNS poizvedbe običajno uporabljamo strežnike svojega internetnega ponudnika (pogovorno tak DNS strežnik imenujemo resolver).

Spletno mesto lahko s pomočjo DNS sistema blokiramo tako, da v DNS strežnik dodamo tim. črno listo imen. Ko recimo tako spremenjen DNS strežnik na črni listi najde www.bwin.com, namesto pravega odgovora vrne IP naslov vnaprej določenega spletnega mesta, kjer se uporabniku prikaže sporočilo, da do tega spletnega mesta ne sme (spet gre za preusmeritev, kjer na lažnem cilju lahko spremljamo, kdo vse želi dostopati do njega).

Prireditelj, ki je predmet bokade, se temu ne more enostavno izogniti. Lahko recimo v DNS imenik vstavi nova, alternativna imena, kot so recimo www2.bwin.com, gamble.bwin.com, si28.bwin.com ipd. Ker sedaj omejitev temelji na imenu in ne IP naslovu, se s spremembo tega ne more izogniti ukrepu.

Igralec iger na srečo pa se po drugi strani blokadi izogne še lažje, kot v prejšnih primerih. Enostavno tako, da si na računalniku nastavi OpenDNS ali Googlove DNS strežnike, ki brezplačno nudijo svoje storitve komurkoli. Na njihovih spletnih mestih najdemo tudi enostavna navodila, kako si na svojem računalniku ustrezno spremenimo nastavitve. Stvar je pravzaprav še bolj enostavna, kot iskanje in nastavljanje posredniških strežnikov.

Podtikanje lažnih DNS odgovorov pa je tudi ena od metod omrežnih kriminalcev, ki nam skušajo na ta način ukrasti gesla in denar, zato se počasi vpeljuje bolj varna različica protokola, DNSSEC. Ta bo vzpostavil hierarhijo ključev za digitalno podpisovanje, takšne blokade (oz. preusmeritve) pa naredil manj uporabne.

DPI – Deep Packet Inspection

Najbolj kompleksna in napredna (ali pa perfidna, odvisno od stališča) tehnologija za filtriranje prometa temelji na vpogledu v vsebino, samodejnem pregledovanju celotnega prometa in iskanju vzorcev v njem. Če se vrnemo na poštarsko analogijo: vsako pismo bi na pošti odprli in na podlagi vsebine pisma odločili, ali se ga sme dostaviti, ali ne. DPI se uporablja kot dodatek pri nekaterih požarnih zidovih, seveda pa je tudi idealno orodje za nadzor nad prometom zaposlenih. Tudi pri nas se skuša še dodatno promovirati internetnim operaterjem, saj omogoča tudi spreminjanje in dodajanje vsebine v komunikacijo. Reklam, recimo. Pri pismih bi to pomenilo, da pošta pisemsko ovojnico odpre, vanjo vstavi reklamo in jo spet zlepi tako, kot da se nič ni zgodilo.

DPI gotovo pomeni nesorazmeren poseg v zasebnost komunikacije glede na namen omenjenega zakona, zato kaj dosti besed o tej možnosti ne bi izgubljal, smo pa o neprimerni uporabi DPI tehnologije pri nas na spletnem mestu Pravokator že pisali.

Splošni problemi

Obstaja tudi nekaj pomislekov, ki pa so skupni vsem trem načinom blokiranja prometa. Najprej bi omenil ažuriranje spiska blokiranih mest. Kdo bo vzdrževal spisek, preverjal ali še veljajo razlogi za blokado in sporočal vse skupaj slovenskim “ponudnikom storitev informacijske družbe”? Urad RS za nadzor nad prirejanjem iger na srečo? Kaj, ko bo prireditelj zamenjal IP naslov ali DNS ime? Bomo imeli centralni državni organ za urejanje cenzuriranih spletnih mest (nekakšen “Urad glavnega cenzorja“), ali bodo to razdrobljeno počeli posamezni uradi in inšpekcije? Zdi se mi, da so vse te službe bolj vajene enostavnih postopkov, kjer izdajo odredbo, nato pa je za njih stvar zaključena (in morda celo pozabljena). Kaj pa bo naslednja leta, ko bo spletna igralnica zamenjala IP naslov, ali začela delovati pod novo domeno? Ali pa čez dlje časa, ko bo prireditelj propadel (in bo njegov IP naslov dobil nek povsem drug strežnik), zamenjal ponudnika gostovanja ipd.?

Zanesljiva komunikacija je tista, pri kateri vemo, kakšni so možni rezultati: ali sporočilo pride na cilj, ali pa dobimo povratno informacijo, da nekaj ni bilo v redu. Tega smo vajeni že odkar pošte po svetu nosijo pisma. Z nekaterimi načini filtriranja to zanesljivost zmanjšamo in v omrežje vnesemo zmedo, ko ne vemo, kaj se je z našimi paketi zgodilo.

Pri razmišljanju o različnih ukrepih na omrežju nam tudi vedno pride prav, če pomislimo na ustrezno preslikavo v stari nevirtualni svet. Pošta, telefon, cestno omrežje, kioski s časopisi ipd. so koristne analogije zato, ker nam zelo jasno prikažejo, kaj dejansko nek poseg v omrežje dejansko pomeni za pravice posameznika.

Predvsem pa ni prav, da v spor med Uradom, ki skrbi za zakonitost iger na srečo in tujim prirediteljem iger na srečo vlečemo tretje osebe. Še posebej, če gre tu za omrežne operaterje, ki imajo za nalogo zagotavljati hitro, učinkovito in nemoteno omrežno komunikacijo in jim zakonodaja sicer nalaga, da se vsebine uporabnikove komunikacije ne smejo pritakniti. Izgovor, češ da je težko preganjati nekatere prireditelje na spletu, ker se ti izogibajo ukrepom, ter da ti postopki trajajo dolgo časa, se mi ne zdi nič kaj primeren. Še posebej takrat ne, ko ima prireditelj sedež v članici EU. Če skupni mehanizmi ne delujejo, potem naj se trud usmeri v njihovo izboljšanje, ne pa v iskanje najlažjega ukrepa, ki pa žal da le vtis uspešne razrešitve problema, zraven pa povzroči stroške operaterjem.

Končal bom s prispodobo. Predstavljajmo si italijanske uradnike nekaj let nazaj, kako preko meje strmijo v Hitove reklame in se jezijo, da njihovi državljani v slovenske igralnice nosijo denar. Ker vedo, da čez mejo pristojnosti nimajo in da so tam zakoni drugačni, po mrzličnem iskanju rešitve odredijo lastniku ozemlja ob meji, naj na lastne stroške postavi veliko tablo, ki mimoidočim zakrije pogled na reklamne napise igralnice tam čez. Ne glede na to, da vsak lahko reklame vidi, če se premakne nekaj deset metrov stran, bi svoj “ukrep” opravičili s tem, da so naredili vsaj nekaj in da je tudi to bolje, kot nič.

Pa je res?

DPI tehnologije niso nekaj novega, saj so se v preteklosti že pojavljale kot tehnologije za zagotavljanje varnosti omrežij, samodejno prepoznavo virusnih in hekerskih napadov, neželene elektronske pošte in podobnih nevšečnosti. Vendar pa se DPI tehnologije v zadnjem času pojavljajo predvsem kot tehnologije množičnega nadzora in zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure oziroma omejevanja prostega pretoka podatkov na internetu.

DPI tehnologije pa se tudi komercializirajo. Danes so tako postale predvsem posel. Pojavljajo se namreč številni ponudniki DPI naprav, katere operater komunikacijskega omrežja lahko vključi v svoje omrežje in spremlja ali omejuje promet svojih uporabnikov. Eno izmed podjetij, ki s pomočjo DPI spremljajo in beležijo spletne aktivnosti uporabnikov interneta je tudi podjetje Phorm. Podjetje v različnih državah (v Evropski uniji je najbolj znan primer Velike Britanije) s ponudniki dostopa do interneta sklepa dogovore, v okviru katerih svoje DPI naprave namešča v njihova omrežja in spremlja aktivnosti uporabnikov spleta. Na podlagi zbranih podatkov nato opravljajo analize vedenja (predvsem brskalnih navad) in temu prilagajajo oglase (gre za tim. vedenjsko oglaševanje). Zaradi spornega poseganja v komunikacijsko zasebnost – to se je namreč dogajalo brez soglasja uporabnikov – je Evropska komisija v začetku leta proti Veliki Britaniji sprožila postopek zaradi neusklajenosti britanske zakonodaje s pravili Evropske unije o tajnosti in zaupnosti komunikacij.

Uporaba DPI tehnologij lahko resno posega v zasebnost uporabnikov, zagovorniki tim. nevtralnosti interneta (ang. net neutrality) pa opozarjajo, da je DPI tehnologije mogoče zlorabiti tudi za cenzuro ali omejevanje prostega pretoka informacij in podatkov v omrežju. Upravitelj DPI naprave namreč lahko blokira ali omeji uporabo določenih storitev, npr. uporabo internetne telefonije pri konkurenčnih ponudnikih ali uporabo spletnih iskalnikov, ki z upraviteljem omrežja niso podpisali ustreznega sporazuma. Mogoče so tudi drugačne (zlo)rabe DPI tehnologije – npr. take, kjer upravitelj omrežja spremlja brskalne navade svojih uporabnikov in zbrane podatke prodaja marketinškim organizacijam, ali pa celo take, kjer upravitelj omrežja uporabnikom vriva svoje oglase. DPI tehnologija namreč lahko ob obisku določene spletne strani uporabniku iz nje “odstrani” originalne oglase in namesto njih vstavi svoje. Teoretično bi tako lahko upravitelj omrežja iz spletnih strani odstranjeval oglase drugih podjetij ter namesto njih svojim uporabnikom serviral svoje.

No, pravzaprav niti ne teoretično, saj je znano, da je British Telecom tovrstno tehnologijo “testiral” že v letih 2006 in 2007 (več informacij o DPI tehnologiji podjetja Phorm je na voljo na spletnih straneh BBC, na spletni strani BadPhorm ter na spletni strani kanadskega pooblaščenca za varstvo zasebnosti). Mimogrede, ste vedeli, da se ponudniki tovrstne tehnologije pojavljajo tudi v Sloveniji, eno izmed oblik DPI tehnologije pa razvijajo tudi nekatera slovenska podjetja?

Poleg poseganja v zasebnost in oviranje prostega pretoka informacij se torej odpira tudi vprašanje poseganja v vsebino spletnih strani in posledično morebitno kršenje avtorskih pravic lastnikov spletnih strani. Vendar pa proizvajalci DPI naprav o teh problemih ne govorijo preveč. Raje poudarjajo, da gre pri DPI za tehnologijo, ki omogočajo sodobnejše načine oglaševanja ali zagotavlja varnost omrežij. S slednjim argumentom se DPI tehnologije prodajajo predvsem podjetjem. In ker živimo v časih, ko se je v korist varnosti “potrebno” odreči svobodi in zasebnosti, se uporaba DPI naprav širi. Podobnost s prodajo videonadzornih sistemov vsekakor ni naključna.

Vsekakor gre za razmeroma nove tehnologije oziroma razmeroma nove načine uporabe obstoječih nadzornih tehnologij, za katere pa se zastavlja vprašanje, ali njihove uporabe – podobno kot je bilo to storjeno npr. z videonadzorom ali biometrijo v okviru Zakona o varstvu osebnih podatkov – morda ne bi bilo potrebno pravno regulirati. Uporaba DPI naprav namreč lahko predstavlja kršitev tako Zakona o varstvu osebnih podatkov kot tudi Zakona o elektronskih komunikacijah in Kazenskega zakonika.

Po Zakonu o varstvu osebnih podatkov je namreč prepovedana obdelava osebnih podatkov brez ustrezne pravne podlage (8. in 9. člen ZVOP-1), DPI tehnologije pa so namenjene tako obdelavi prometnih podatkov kot tudi prestrezanju in analizi vsebine komunikacij. To pa pomeni, da (pravno) nepravilna uporaba lahko predstavlja tudi kršitev 5. odstavka 103. člena Zakona o elektronskih komunikacijah, ki prepoveduje prestrezanje elektronskih komunikacij brez ustrezne pravne podlage oziroma lahko predstavlja tudi kaznivo dejanje kršitve tajnosti občil (139. člen Kazenskega zakonika) ter kaznivo dejanje napada na informacijski sistem (221. člen Kazenskega zakonika).

Kljub temu, da se tovrstne naprave prodajajo tudi v Sloveniji, pa kakšnih konkretnih podatkov o uporabi, predvsem pa implikacijah uporabe DPI tehnologij v Sloveniji nimamo. V tem oziru DPI tudi v svetovnem merilu predstavlja nekakšno novost, saj se je o pravnih in družbenih posledicah uporabe DPI nekoliko bolj sistematično začelo govoriti šele lansko leto, in sicer na pobudo kanadskega pooblaščenca za zasebnost, ki je z namenom osveščanja vzpostavil posebno spletno stran. Na spletni strani so zbrani prispevki različnih strokovnjakov, ki multidisciplinarno obravnavajo različne vidike DPI tehnologij.

Uporaba DPI v Sloveniji

Kot rečeno, se ponudniki DPI tehnologije, ki bi analizirala in morda celo posegala v komunikacijski promet javnih omrežij, pojavljajo tudi v Sloveniji. Vendar pa je slovenska zakonodaja glede posegov v komunikacijsko zasebnost precej stroga, zato so (vsaj nekateri) ponudniki dostopa do interneta glede uporabe DPI precej previdni. Manj pa to velja za podjetja, ki kupujejo DPI tehnologijo z namenom zaščite svojih internih omrežij. DPI tehnologija je v tem primeru “skrita” kot del funkcionalnosti požarne pregrade ali sistema za zaznavanje in preprečevanje vdorov v omrežje (tim. IDS in IPS sistemi; ang. Intrusion Detection Systems, Intrusion Prevention Systems). Problem pa nastopi pri praktični uporabi tovrstnih naprav, ki je lahko pravno pravilna ali pa pravno nepravilna. Težava je seveda v tem, da je prestrezanje digitalnih podatkov v sodobnih telekomunikacijskih omrežjih mogoče izvesti povsem nezaznavno, zato lahko uporabniki zelo težko (če sploh) ugotovijo, da se na njihovem omrežju izvaja DPI in da je posledično morda kršena njihova pravica do zasebnosti. Odsotnost pritožb uporabnikov zato ne pomeni nujno, da kršitev ni, pač pa lahko pomeni zgolj to, da so kršitve prikrite.

Kršitve je kljub temu mogoče zaznati, vendar je za to potrebno nekaj več računalniško-tehničnega znanja. V nadaljevanju si bomo pogledali prvi primer uradne obravnave uporabe DPI tehnologij v Sloveniji, v katerega sem bil “vpleten” tudi sam. Zgodba je zato nekoliko bolj osebna.

V začetku maja 2009 zjutraj sem na svojem službenem računalniku zagnal odjemalca za elektronsko pošto Mozilla Thunderbird. Odjemalec je nastavljen tako, da z njim prebiram svojo elektronsko pošto na štirih različnih strežnikih. Trije od njih omogočajo šifriranje povezav, zato se nanje povezujem preko šifriranega SSL oz. TLS protokola.

Ko se torej moj poštni odjemalec poveže na poštni strežnik, se med njim in strežnikom najprej vzpostavi šifrirana povezava, nato odjemalec (po šifrirani povezavi) strežniku pošlje uporabniško ime in geslo ter nato prenese e-poštna sporočila. Vsak izmed teh treh poštnih strežnikov za dokazovanje svoje verodostojnosti uporablja svoj digitalni certifikat, ki je tudi ustrezno podpisan.

Prebiranje e-pošte vsak dan poteka enako, tega dne pa je bilo nekaj drugače. Pri povezovanju na prvega izmed šifriranih strežnikov se je namreč pojavilo obvestilo, da identitete strežnika ni mogoče preveriti. Podrobnejši pregled SSL certifikata je pokazal, da je bil certifikat spremenjen (to je mogoče preveriti s pomočjo tim. prstnega odtisa oz. kontrolne vsote certifikata).

Novega (lažnega) certifikata nisem sprejel, pač pa sem zavrnil povezavo in se na poštni strežnik skušal povezati preko alternativnega, brezžičnega omrežja. V tem primeru mi je poštni strežnik poslal pravilen certifikat in povezava je bila uspešna. Očitno je postalo, da ne gre za problem poštnega strežnika, pač pa omrežja. Z drugimi besedami, v službenem omrežju mi je nekdo skušal podtakniti lažen SSL certifikat in s tem moj računalnik zavesti, da se poveže na njegov strežnik in mu posreduje uporabniško ime in geslo.

Obvestilo o spremembi SSL certifikata

Gre pravzaprav za klasičen napad s posrednikom (ang. man-in-the-middle napad), kjer se napadalec postavi med dve komunikacijski točki in se pred obema pretvarja, da je nasprotni komunikacijski partner. V danem primeru se je “napadalec” mojemu poštnemu odjemalcu predstavil kot poštni strežnik in ga poskušal zavesti, da bi se povezal nanj in mu posredoval svoje uporabniško ime in geslo. Te podatke bi potem “napadalec” poslal pravemu poštnemu strežniku in se mu predstavil kot moj poštni odjemalec. Kljub temu, da bi bili obe povezavi šifrirani, pa bi napadalec na sredi med obema komunikacijskima točkama lahko brez težav bral nešifriran promet (v našem primeru mojo e-pošto).

Shematski prikaz napada s posrednikom.

Ko sem se prepričal, da gre za poskus izvedbe napada s posrednikom in posledično morda za poskus neupravičene pridobitve mojega uporabniškega imena in gesla za dostop do mojega e-poštnega predala, sem se odločil za nekaj testov. S programom za analizo omrežnega prometa Wireshark sem opravil analizo omrežnega prometa iz mojega računalnika v internet in ugotovil, da ne gre za okužbo na mojem računalniku (tovrstne napade namreč znajo izvesti tudi nekateri virusi), pač pa za problem, ki se pojavlja nekje v samem omrežju.

Istega dne sem po elektronski pošti (seveda preko alternativne, “neokužene” povezave) omrežni incident oz. sum napada s posrednikom prijavil Arnesovemu centru za posredovanje ob omrežnih incidentih SI-CERT.

SI-CERT-ovo poizvedovanje je pokazalo, da do nepravilnosti v omrežju ne prihaja zaradi kakšnega hekerskega napada, pač pa zaradi delovanja požarnega zidu, ki omogoča DPI pregledovanje omrežnega prometa. O problemu sem obvestil tudi zaposlene v računalniškem centru fakultete, kjer sem zaposlen, od koder so me obvestili, da bo odgovor pripravilo podjetje, ki jim je prodalo DPI napravo in ki z njo tudi upravlja. To podjetje je kasneje posredovalo odgovor, kjer so pojasnili, da gre pri opisanem incidentu za delovanje požarne pregrade, ki je bila v začetku maja 2009 programsko nadgrajena, ob nadgradnji pa je bilo vklopljeno tudi protivirusno in protismetno pregledovanje za šifrirane poštne protokole.

V vmesnem času so šifrirane poštne povezave res začele normalno delovati, vendar pa sem opazil nekatere druge anomalije v delovanju omrežja oziroma delovanju nekaterih komunikacijskih protokolov in se zato odločil še za nekaj dodatnih testov (uporabljeno je bilo orodje za izvajanje naprednih testov omrežja, hping). Testiranja so sume, da se na omrežju še vedno izvaja prestrezanje in celo analiza komunikacijskih protokolov, še okrepila. Analize so namreč pokazale blokiranje nekaterih nestandardnih komunikacijskih protokolov ter prestrezanje komunikacij s pomočjo omrežnega posrednika (ang. transparent proxy).

V nadaljevanju sem se zato odločil izvesti še nekaj naprednejših analiz omrežja s katerimi sem uspel (približno) ugotoviti lokacijo prestrezne naprave v omrežju. Izkazalo se je, da je DPI naprava locirana na točki, kjer se omrežje moje fakultete povezuje naprej v internet, kar je pomenilo, da je DPI naprava sistematično prestrezala in (verjetno tudi) analizirala ves komunikacijski promet vseh zaposlenih in študentov, ki uporabljajo fakultetne računalnike.

Prijava Informacijskemu pooblaščencu

Kljub temu, da so moje ugotovitve kazale na to, da se prestrezanje izvaja avtomatizirano (brez tim. človeškega faktorja), pa se je treba zavedati, da argument “saj je samo stroj” ne vzdrži presoje. Poseganje v zasebnost je namreč koncipirano objektivno, kar pomeni, da do posega pride ne glede na to kdo ali kaj v zasebnost posega in je torej sporen že sam akt posega, ne pa šele morebitni kasnejši pregled prestreženih komunikacij s strani konkretne (tretje) osebe.

Izkazalo se je tudi, da je bila omenjena naprava vključena v omrežje brez ustrezne varnostne politike oziroma ustreznih notranjih aktov organizacije, ki bi jasno opredelila tovrstne posege, kaj šele, da bi o njih informirala zaposlene. V tem času sem prejel tudi odgovor podjetja, ki je fakulteti prodalo in upravljalo z DPI napravo. Le-ta je vseboval nekaj precej nenavadnih pojasnil. Med drugim so v odgovoru zapisali, da “ne gre za nobeno prestrezanje sporočil z namenom kršenja zasebnosti uporabnikov ali kaj podobnega, temveč za zagotavljanje varnosti omrežja in njegovih uporabnikov” ter dodali, da se uporabniki “ponavadi nevarnosti (odgovornosti?) za varnost omrežja ne zavedajo, saj jim je zasebnost pomembnejša od varnosti omrežja“. Predstavnik podjetja je v odgovoru še pojasnil da so “sporno pregledovanje kriptiranih protokolov na firewallu zenkrat izklopili, še vedno [pa] je vklopljeno pregledovanje nekriptiranih protokolov”. Očitno je torej bilo, da v očeh upravljalcev DPI naprave tim. varnost prevlada nad zasebnostjo.

Ob vsem skupaj se mi je zelo problematičen zazdel tudi del odgovora, kjer so predstavniki podjetja navedli, da v kolikor se uporabniki ne strinjajo s postavljenimi omejitvami, lahko za povezovanje v internet uporabljajo alternativno brezžično omrežje, kjer omejitev ni. Argument je precej nenavaden, saj ni jasno, kako bi v tem primeru zagotavljali varnost oziroma ni jasno kaj sploh varujemo – končne uporabnike, ali samo omrežno infrastrukturo? Konec koncev bi v najbolj radikalni različici lahko v žičnem omrežju celo prerezali vse kable (in s tem popolnoma “omejili” ves omrežni promet), vse uporabnike pa povezali na alternativno brezžično omrežje. V tem primeru varnostnih težav na žičnem omrežju sicer res ne bi bilo, bi se pa seveda še vedno pojavljale običajne težave pri končnih uporabnikih (npr. virusne okužbe). Zastavlja se torej vprašanje kaj je namen takšnega varovanja? Varovanje infrastrukture ne glede na pravice in potrebe uporabnikov? Odsotnost ustreznega premisleka o tem kaj sploh varujemo in kako varujemo, je torej postala še bolj očitna.

Glede na vse skupaj, pa tudi glede na pretekle izkušnje sem mnenja, da v omenjenem primeru ni šlo za osamljen incident, pač pa za sistematično nerazumevanje pomena komunikacijske zasebnosti in koncepta tajnosti, zaupnosti in neposeganja v komunikacije na internetu. Računalniški center univerze kjer sem zaposlen, je namreč že pred petimi leti za svoje uporabnike e-poštnega sistema brez obvestila vključil protismetno pregledovanje e-pošte. Protismetno pregledovanje je bilo precej radikalno, saj je brezpogojno izbrisalo vso e-pošto, ki jo je “prepoznalo” kot tim. spam (in pri tem žal pobrisalo tudi precej povsem legitimne e-pošte), predvsem pa so si upravljavci drznili posegati v integriteto elektronskih sporočil, saj so v e-pošto vrivali obvestila, da so bili iz e-pošte odstranjeni virusi in spam.

Poseganje v integriteto e-pošte z vrivanjem obvestil.

15. maja sem zato Informacijskemu pooblaščencu posredoval prijavo zaradi suma nezakonite obdelave prometnih (osebnih) podatkov.

Ugotovitve Informacijskega pooblaščenca

Na podlagi prijave je državni nadzornik 29. maja najprej izvedel inšpekcijski ogled na računalniškem centru univerze. Pregled je pokazal, da univerza nima enotne varnostne politike. Računalniški center univerze je kupil 6 požarnih pregrad, ena od njih pa je bila v uporabi pri fakulteti, kjer sem zaposlen. Ugotovljeno je bilo še, da politike in nastavitve požarnih pregrad določajo na posamezni fakulteti, vzdrževanje požarne pregrade pa izvaja zunanji izvajalec.

Nadalje je inšpekcijski pregled pokazal, da ima fakultetni računalniški center organizacije zgolj bralni dostop do nastavitev DPI naprave, da pa DPI naprava nima diskovnih zmogljivosti in elektronske pošte ne shranjuje, temveč zgolj opozori na zaznane nedovoljene dogodke.

Predstavnik računalniškega centra univerze je v okviru inšpekcijskega pregleda tudi podal mnenje, da DPI pregledovanje ni bilo izvedeno na uporabniku prikriti način, saj je moral uporabnik aktivno sprejeti ponujeni certifikat. Po mojem mnenju to sicer ne drži, saj je DPI naprava nešifriran promet pregledovala brez obvestil, prestrezanje certifikatov pa je na drugačen način, kot tako, da se uporabniku ponudi lažen certifikat zelo težko izvesti (ni pa povsem nemogoče). Poleg tega uporabnik, ki certifikata ni sprejel ni imel možnosti nadaljevati z delom oz. povezati se na svoj strežnik s pomočjo originalnega certifikata, večina uporabnikov pa zelo verjetno sploh ne razume pomena certifikatov oz. nima ustreznega znanja za ločevanje med pravim in lažnim certifikatom.

2. junija je bil nato opravljen še ogled pri računalniškem centru fakultete, kjer sem zaposlen. Tu so povedali, da je izbor in nakup opreme opravil računalniški center univerze, z DPI napravo pa je upravljal zunanji izvajalec, s katerim računalniški center fakultete ni imel sklenjene pogodbe, niti o napravi ni imel nobene dokumentacije in je imel do nje le omejen dostop.

2. julija je bil nato opravljen še inšpekcijski ogled pri zunanjem izvajalcu, kjer je bilo ugotovljeno, da DPI naprava (v času ogleda) ni izvajala nobenega beleženja v dnevniške datoteke, niti ni hranila nobenih osebnih podatkov. Ugotovljeno pa je bilo, da se s pomočjo naprave (če je vklopljeno beleženje v dnevniške datoteke) sicer da ugotoviti, kdo je kdaj dostopal do katere spletne strani, kar pomeni, da naprava omogoča zbiranje osebnih podatkov.

Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma “po domače” – brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.

Vendar pa je bila po mnenju Informacijskega pooblaščenca upravljavec osebnih podatkov oz. zavezanec po določbah ZVOP-1 fakulteta in ne univerza. 22. septembra je zato Informacijsko pooblaščenec fakulteti izdal ureditveno odločbo. (Kopijo sem pridobil na podlagi Zakona o dostopu do informacij javnega značaja; del podatkov iz odločbe je pred posredovanjem po ZDIJZ odstranil Informacijski pooblaščenec, del (označen z zvezdicami) pa sem iz odločbe odstranil sam).

Z odločbo je bilo zavezancu, torej fakulteti, naloženo, da v roku 60 dni sprejme in začne izvajati varnostno politiko za varovanje internega omrežja z vsebino katere mora seznaniti vse uporabnike svojega omrežja ter z zunanjim izvajalcem sklene ustrezno pogodbo, ki bo skladna z določili ZVOP-1. Varnostna politika mora vsebovati omejitve uporabe omrežja, popis mehanizmov, ki se izvajajo za varovanje in stabilnost delovanja omrežja z navedbo protokolov in storitev, ki se pregledujejo, obrazložitev postopkov, ki se izvajajo za filtriranje ali pregledovanje prometa, režim nadgradenj opreme za varovanje internega omrežja zavezanca ter postopke in ukrepe za nadzor fizičnega in logičnega dostopa do sistemskega prostora in opreme. Skratka, potrebno je urediti vsaj osnovna pravila glede uporabe DPI naprave ter o teh pravilih obvestiti uporabnike.

Sklep

Pri uporabi DPI tehnologije v organizacijskih omrežjih gre vsekakor za precej novo področje, kjer tehnologija zopet prehiteva pravo. Zato odločitev Informacijskega pooblaščenca postavlja nekakšen mejnik pri obravnavi DPI tehnologij. Dejstvo je, da se je pri svoji odločitvi Informacijski pooblaščenec odločal zelo previdno in ni sprejel kakšnega bolj radikalnega mnenja, ki bi uporabo DPI na splošno kar prepovedal ali kar dovolil. Namesto tega je izbral “srednjo pot”, kjer uporabe sporne tehnologije sicer ne prepoveduje, zahteva pa, da je podprta z ustreznimi notranjimi akti, njena uporaba pa opravičena in utemeljena ter predvsem transparentna.

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno. Podobno velja tudi za prometne podatke, saj je Ustavno sodišče v razsodbi Up-106/05 izrazilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. Podobno stališče je zaznati tudi iz odločitve Evropskega sodišča za človekove pravice Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984).

Vsekakor je sprejem ustrezne varnostne politike koristen – z njo organizacija jasno definira cilje in sredstva varovanja, vsi posegi v informacijsko in komunikacijsko zasebnost so (če je ustrezno pripravljena) zakoniti in transparentni, prav tako pa so jasne pristojnosti “računalničarjev” in vodstva ter odgovornost za morebitne kršitve. Vprašanje, ali morda v prihodnosti uporabe DPI tehnologij ne bi bilo potrebno izrecneje pravno regulirati, tudi na področju javnih komunikacijskih omrežij, pa po mojem mnenju ostaja odprto. Če se je namreč zakonodajalec odločil za podrobnejše urejanje področja videonadzora in biometrije, si verjetno podobno obravnavo zasluži tudi uporaba tehnologij, ki omogočajo množične posege v komunikacijsko zasebnost. Glede na to, da omenjene tehnologije prihajajo v množično rabo, časa za razmislek ni več veliko.