от Ruse LUG(25-12-2009)

Както може би вече знаете, този вторник - 22-12-2009г. на първо четене в Народното Събрание на Република България бяха приети предложените промени в ЗЕС, които в нарушения на Конституцията осигуряват право на МВР за достъп до терминал, посредством който ще може да бъде проверявана в реално време информация за вашата активност в Интернет. Същевременно се предвиждат СИМВОЛИЧНИ наказания за неправомерно ползване на въпросния терминал от служителите на реда, които ще имат достъп до него. Според информация споделена по национална медия - това ще бъдат служителите на ДОТИ.

Тази информация ще включва:
  • С кого си кореспондирате по електронна поща или посредством кратки съобщения;
  • Какви протоколи ползвате (HTTP, HTTPS, P2P, Skype, XMPP, OSCAR, WindowsLive);
  • Колко време продължава всяка една сесия в интернет.

С така предложените промени опасно се размива границата между следенето и подслушването. Интернет протоколите за комуникация постоянно се променят и не се подчиняват на чиновническите желания. Изискването за събиране на адресата на моментните съобщения (например Facebook) е невъзможно да бъде извършено без подробен анализ на съдържанието на САМОТО съобщение. Така е напълно възможно между данните, събирани от доставчиците да попадне и част от самото съобщение, което по същество представлява ПОДСЛУШВАНЕ.

Това е една твърде амбициозна стъпка от страна на управляващата двойна коалиция. Ние бихме добавили, че тя е на практика неприложима.

С така събираните трафични данни е напълно възможно невинни хора да бъдат уличени и ненужно тормозени за действия, които те не са извършили съзнателно, или въобще не знаят, че са извършили. Например дори при зареждането на нормална новинарска страница, браузърът освен към основния сайт, прави и редица заявки към 3-ти страни, било то поради факта, че част от съдържанието е там или както е най-често за изтеглянето на реклама. Напълно възможно е, а и вече се е случвало големите рекламни блокери да пропускат реклами съдържащи връзки към сайтове със съмнително съдържание. Също така доста разпространена практика е заразяването на сайтове със скрити връзки, които генерират нереални хитове към злонамерени сайтове. При всичките тези напълно реални и случващи се постоянно сценарии, досието на напълно невинен потребител би било заразено от заявки към сайтове, които биха представлявали интерес за разследващите органи. Без самото съдържание или без щателна проверка на компютъра на крайният потребител те няма начин да знаят дали той е посещавал или не да речем сайт, съдържащ изображения с детска сексуална експлоатация.

По никакъв начин не е отчетена нуждата от закупуването на специализирано оборудване от страна на доставчиците, и държавата най-високомерно прехвърля този проблем на гърба им и от там върху крайният потребител. Напълно е възможно в опит да спестят личните си средства Интернет доставчиците да икономисат от необходимата сигурност на системата. Това би ги превърнало в желана цел за истинските престъпници в мрежата и по този начин сигурността на потребителите би се влошила. Също така въобще не са правени тестове как провеждането на подобно следене ще се отрази върху качеството и скоростта на достъпът до крайните потребители. Възможно е зле написана и неоптимизирана система да предизвика сривове като по този начин допълнително ощети крайните потребители.

Ruse LUG не подкрепя никакви опити за погазване на правото на неприкосновеност на личния и семеен живот, и тайната на кореспонденцията, дори и под предлог, че някаква европейска директива го изисква. Това са само оправдания за безсилието на институциите да се справят с корупцията и организираната престъпност. Тази публикация съдържа кратка и полезна информация как да съхраните Вашата лична неприкосновеност, гарантирана от Конституцията на Република България и Европейската Конвенция за Човешките Права, ако законът влезе в сила в този свой вид след второ четене, до момента в който Конституционният Съд ще го отхвърли.

Добре е да знаете, че за МВР ще е практически невъзможно да следи:
  • На кого пишете електронна поща ако Вие ползвате доставчик на услуга извън България, който поддържа SSL криптиран канал за изпращане и получаване на електронна поща. Препоръчваме ви да ползвате доставчици на услуги, които предлагат уеб-базирана поща през задължителна HTTPS връзка и IMAP, POP3, SMTP през SSL/StartTLS защитена свързаност. Това ще осигури шифрована връзка от Вас до сървъра в чужбина и посредством терминала ще може да бъде максимум извлечена информация, че сте разглеждали уеб сайт или сте получвали/изпращали електронна поща, но не и до кого точно сте изпращали пощата.
  • Препоръчваме ви да ползвате приложения за обмен на кратки съобщения, които поддържат задължително шифроване на връзката. XMPP е отворен протокол, който се ползва от всички Jabber сървъри и Google Talk и поддържа шифрована връзка. Убедете се, че сте включили SSL/StartTLS в настройките на Вашия XMPP клиент. За целта НЕ препоръчваме Skype, защото ползва собственически алгоритъм за криптиране и е неизвестно колко лица или правителства имат достъп до него.
  • Не споделяйте съдържание в P2P мрежи, ако нямате изрично разрешение от авторите му да го правите. Ако ползвате P2P приложения за споделяне на музика, филми и приложения, които не се разпространяват под отворен лиценз, или с изричното съгласие на техните автори може да бъде започнато срещу Вас производство за компютърно престъпление. Според промените в ЗЕС дори при съмнения за обикновени компютърни престъпления, органите на реда ще могат да поискват от стотици съдии съответните разпечатки на трафика ви. Не забравяйте, че те ще имат предварително достъп до информацията посредством терминала и ще са предварително подготвени за разлика от Вас.
Универсалното решение, което ще гарантира невъзможността на служителите на ДОТИ да следят Вашата активност в Интернет е всичкият ви трафик да минава през шифрована OpenVPN връзка към сървър, позициониран където не действа въпросната директива, погазваща правото на неприкосновеност на личния и семеен живот, тайната на кореспонденцията. Например - можете да ползвате сървъри, които се намират в нашата съседка - Румъния или в Обедненото Кралство. На практика в нито една държава-членка на ЕС няма такъв терминал за достъп до трафичните ви данни. За това дори сървърът ви да се намира в държава, която подкрепя директивата, Вашата лична информация ще избегне ударите на локалното законодателство. Нас не ни интересува кой в момента е на власт в Република България. Ние настояваме нашите права, гарантирани от Конституцията на Република България да бъдат спазвани така като спазваме стриктно своите задължения. Ние не плащаме данъците си за да ни бъде отнемано и малкото, което имаме, а именно неприкосновеността на личния и семейния ни живот, и тайната на кореспонденцията ни.


<< Разбиха 768-битов RSA ключ | Отдалечна уязвимост на линукс ядрото >>