Gledanje preko digitalnog ramena

Razgovor glasom preko Interneta je nezaobilazni element modernih digitalnih komunikacija. Svako se neminovno zapita koliko je takav privatni razgovor zaista privatan i da li još neko može da ga čuje, snimi, (zlo)upotrebi…

RTR2M7DLNajčešće korišćeni klijent za video i glasovnu komunikaciju, pa i za ćaskanje preko tastature je Skype – to je jedan od prvih programa koji korisnici instaliraju na novi računar, ako već na njemu nije instaliran. Kao i tvorcima drugog softvera za komunikaciju, autorima Skype‑a uvek je bilo važno da ga korisnici vide kao siguran alat. U početku su peer‑to‑peer distribuirani model i upotreba modernih algoritama za enkripciju pričinjavali glavobolje onima koji su smatrali da imaju pravo da prisluškuju ćaskanje. Nemačka policija je čak 2007. godine bila primorana da angažuje privatnu kompaniju koja bi napravila trojanca za presretanje sesija razgovora. Izbor je, ako je verovati Wikileaks‑u, pao na firmu Digitask čija ponuda se može naći među relevantnim dokumentima. Da sve nije ostalo samo na planovima pokazuje još jedan dokument koji je kratko bio objavljen na sajtu nemačke Piratske partije, a zatim brzo povučen odatle, najverovatnije zbog pretnji tužbom. U njemu je predloženo rešenje za deobu troškova za Skype Capture Unit između policije Bavarske i Ministarstva pravde i tužilaštva.

Peer to peer sigurnost

Dok je još uvek bio u vlasništvu e‑bay‑a, Skype je objavio da arhitektura njihove mreže i enkripcija potpuno onemogućavaju praćenje i presretanje sesija i da je to razlog što Skype ne može da ispuni zahteve američkog Communications Assistance for Law Enforcement akta. Suština tog zakona je da pružaoci telekomunikacionih usluga moraju da ostave mogućnost prisluškivanja za policiju i agencije.

Kada je u maju 2011. Skype prešao u Microsoft‑ove ruke, arhitektura je promenjena, o čemu se dosta pisalo. Promene u arhitekturi značile su da Skype praktično više nije peer‑to‑peer servis jer Microsoft hostuje nekih 10.000 Linux (!!?) servera koji su decentralizovani sistem pretvorili u relativno visokocentralizovanu mrežu. Interesantno je i to da je Microsoft samo mesec dana kasnije dobio i novi patent za tehnologiju „legalnog presretanja“ VoIP servisa poput Skype‑a. Nije moguće sa sigurnošću tvrditi da su kasnije verzije Skype‑a bile „obogaćene“ ovim patentom, ali je razumno to pretpostaviti, pošto su novinari koji su pokušali da dobiju tu informaciju od Microsoft‑a čuli samo zaglušujuću tišinu.

Presretanje poruka ne bi trebalo da predstavlja neko iznenađenje pošto u Skype‑ovoj politici zaštite privatnosti stoji da Microsoft može da koristi automatsko skeniranje poruka u pokušaju da identifikuje spam ili sajtove koji se bave phishing‑om i drugim oblicima prevare. Međutim, glavno pitanje glasi: do koje mere se to presretanje koristi i da li je ograničeno samo na pisane poruke, s obzirom na to da pomenuti patent ima daleko veće mogućnosti.

Pročitajte i:  Na video ode 58% svetskog internet prometa

U  Skype Privacy Policy dokumentu možete pročitati i druge interesantne stvari. U sekciji 3, koja govori kome sve Microsoft ustupa vaše lične informacije, reč law pojavljuje se čak šest puta u pola ekrana teksta. Možda je još interesantnije pitanje koliko dugo Microsoft čuva vaše podatke, a odgovor glasi „koliko god je to neophodno“. Poruke se na serveru čuvaju od 30 do 90 dana „osim ako drugačije ne zahteva ili ne dopušta zakon“. I dok se saradnja sa zakonom brani pomoću sudskog naloga, odbijanje da se vaši podaci (na zahtev) obrišu dokle god postoji nečija biznis potreba je skandalozna. Interesantno štivo zaokružuje se nedvosmislenim ultimatumom Microsoft‑a da sve vaše lične informacije u budućnosti ustupi nekom trećem ko će se eventualno pojaviti kao novi vlasnik Skype‑a. Dakle, kad kliknete na „Slažem se“ pristali ste na sve to i gomilu drugih „sitnih“ uzmaka od privatnosti.

Sa sudskim nalogom i bez njega

Velike korporacije (dakle, ne samo Microsoft) mogu da, kako i eksplicitno navode u EULA‑ma, prikupljanje, obradu i/ili skladištenje ličnih informacija svojih korisnika prepuste nekoj trećoj strani, tj. partnerima. U tim situacijama obe strane u poslu imaju vrlo relaksiran stav u vezi s mehanizmima zaštite osetljivih podataka zbog „kruga poverenja“.

Koliko takve situacije mogu biti opasne govori incident iz 2012. godine kada je PayPal pokušavao da identifikuje Anonimuse koji su im obarali servere u akciji odmazde zbog blokade Wikileaks‑ovih računa. U tu svrhu PayPal je unajmio teksašku firmu iSight koja ima ogranak i u Amsterdamu. Prateći online tragove napada, istražitelji iSight‑a su se interesovali za više građana Holandije, među kojima je bio i jedan 16‑godišnjak pod pseudonimom. Pošto je i sam Skype ranije bio korisnik iSight‑ovih usluga, istražitelj je od svojih kontakata u Skype‑u jednostavno zatražio informacije o dečaku. Odgovor je sadržao gomilu ličnih informacija: ime i prezime dečaka, e‑mail adresu, korisničko ime na Skype‑ovom servisu, pa čak i kućnu adresu na koju mu isporučuju račune.

Zaposleni u Skype‑u nisu tražili nikakve dodatne potvrde u vezi sa opravdanošću iSight‑ovog zahteva, nisu tražili sudski nalog, niti su proverili da li je bar pokrenuta zvanična istraga.

Zabuna je verovatno nastala zbog prethodne saradnje Skype‑a i iSight‑a u nekim istragama o spamu, ali upravo ta greška pokazuje koliko je sistem haotičan i deregulisan. U epilogu, Skype je izdao saopštenje u kome je tvrdio da su preduzeti odlučni koraci kako se ovakvi i slični propusti više ne bi događali, ali na dodatno pitanje novinara nisu hteli/mogli da preciziraju koji su to tačno koraci. Takođe, pokušaji da se sazna da li je bilo još takvih slučajeva ostali su bez ikakvog odgovora.

Pročitajte i:  Skype razgovori stižu na Alexa uređaje

Situacija sa zaštitom ličnih podataka i privatnošću korisnika korak po korak otela se kontroli, a velike korporacije, koje se inače svim silama bore za zaštitu privatne svojine, sada zanemaruju činjenicu da su lične informacije korisnika njihova privatna svojina koja je korporacijama samo poverena na čuvanje ili u svrhu poboljšanja usluge koju pružaju, a nikako kao roba kojom se trguje.

Skype‑ove „indiskrecije“ nisu ništa drugačije od onih koje primenjuju Google, Apple ili Yahoo. U razvijenim zemljama osnivaju se grupe za zaštitu privatnosti i ličnih podataka koje imaju različit nivo uspeha i koje svakako nisu dovoljne da odbrane osnovna ljudska prava na Internetu. Zbog toga se pojavljuju i postaju sve popularniji alternativni servisi i softver koji se ozbiljnije odnosi prema privatnosti svojih korisnika.

RazEULAreni VoIP

Jedan interesantan alternativni servis je vLine (vline.com). Reč je o WebRTC (Web Real‑Time Communication) projektu koji vam omogućava da se sa svojim prijateljima povežete doslovce na jedan klik. Nije potrebno da instalirate bilo šta, nije vam potreban bilo kakav nalog što znači da pružaocu usluge nije potrebno ostavljati bilo kakve lične podatke, pa čak ni e‑mail adresu. Komunikacija se uspostavlja tako što dođete na sajt i kliknete na taster koji otvara VOIP/video sesiju sa ključem sesije u vidu jedinstvenog URL‑a. Taj URL pošaljete svojim sagovornicima na bilo koji način, a najbolje je preko nekog šifrovanog chat‑a, oni kliknu na link i video konferencija je započela. Istu sesiju sa ključem možete koristiti i više puta ako je zabeležite ili svaki put možete stvoriti novu sobu za ćaskanje. Komunikacija je šifrovana DTLS/SRTP protokolom što bi trebalo da bude prilično čvrsta zaštita. Još jednom, ovde nije cilj da se bilo ko sakriva od zakona i policije jer to u krajnjem slučaju i nije moguće. Cilj je da se zaštiti privatnost korisnika na Internetu tako što će se kroz enkripciju onemogućiti masovno praćenje baš svakog korisnika.

Kvalitet slike na vLine servisu je odličan, pod uslovom da imate brzu vezu sa Internetom. Kvalitet zvuka je takođe vrhunski, a jedini element na kome Skype ima prednost je poništavanje eho efekta koji će se možda javiti ukoliko koristite Firefox i ne koristite slušalice. Za sada su podržani Chrome i Firefox, ali kako se ostali brauzeri budu približavali potpunijoj HTML5 podršci, nema razloga da i oni ne budu podržani.

Pročitajte i:  Enkripcija poruka: novi zakon odobrava špijuniranje građana

Još jedno alternativno rešenje je Jitsi, slobodno, otvoreno i multiplatformsko rešenje. IM klijent ima klasičan interfejs i dosta je štedljiv kad su resursi u pitanju, a kao otvoreno rešenje lako se primenjuje u poslovnom okruženju. Jitsi podržava veliki broj protokola i IM servisa što je još jedna prednost jer sa njim možete objediniti sve svoje kanale za komunikaciju. Tempo razvoja projekta je prilično dinamičan za slobodni softver, a poslednje verzije su, poput vLine‑a, „prigrlile“ WebRTC standard kao i šifrovanje u osnovnim postavkama. Šifrovana razmena poruka je vrlo jednostavna, a kad jednom uspostavite šifrovani kanal sa nekim, on se kasnije automatski uspostavlja.

Poslednje vesti iz Mozilla tabora vrlo su uzbudljive jer će Firefox od verzije 35 ponuditi sopstveni video chat servis pod imenom Hello. I Firefox Hello je, pogađate, baziran na WebRTC tehnologiji koju od rasprostranjenih browser‑a još uvek ne podržavaju samo Internet Explorer i Safari. Još jedna manjkavost VoIP servisa, uključujući i Google Hangout, jeste to što morate imati nalog, morate pamtiti lozinke i ukoliko ne koristite sopstvene uređaje za komunikaciju, ona postaje komplikovana i opterećujuća. S pomenutim WebRTC rešenjima možete relaksirano ušetati u bilo koji Internet kafe ili na računaru/tabletu prijatelja imati sve što vam je potrebno za taj bitan poziv roditeljima s letovanja.

Sloboda se osvaja

Dobro je da se u digitalnim komunikacijama, posle svih šokantnih vesti o narušavanju korisničke privatnosti pojavljuju nova, alternativna rešenja. Važno je u odabiru softvera i servisa prednost dati onima koji poštuju korisnika i njegove potrebe. Ako ipak morate koristiti korporativne servise, učinićete sebi uslugu ako stvorite sopstveni digitalni alterego. Google, Apple, Microsoft i ostali ne moraju da znaju vaše pravo ime ili datum rođenja. Neki servisi možda vam to neće dozvoliti, ali važno je da se naviknete da se ne „otkrivate“ više nego što je neophodno.

Ne ustručavajte se da kao korisnici postavljate pitanja vezana za sigurnost i suprotstavite se neracionalnim zahtevima za vašim ličnim podacima. Bilo kom prolazniku na ulici nećete dati kopiju lične karte ili broj kreditne kartice, pa isti princip treba primenjivati i na internetu. Ovde se ne radi o paranoji, već o osnovnom vidu zaštite – štiteći sebe, branite i prava i slobode vaših najbližih s kojima ste najčešće u kontaktu na Mreži.

Stevan Josimović

(Odštampano u časopisu PC#217)

Facebook komentari:
Kaspersky Lab

PC Press - Top50
Tagovi: , ,