Arhiv novic @ Slo-Tech

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali, da so bili že 4. decembra obveščeni, da je bila njihovo podatkovna baza kompromitirana. Prav tako so 14. decembra (torej 10 dni pozneje!) uporabnike po elektronski pošti obvestili, kaj se je zgodilo, in jih pozvali, da si zamenjajo gesla.

Times Online - Kot poročajo na Times Online, se je britansko notranje ministrstvo odločilo, da je britanskim policistom potrebno podeliti pooblastila za oddaljeno pregledovanje računalnikov britanskih uporabnikov interneta.

V ta namen pripravljajo načrt spremembe zakonodaje, ki bo britanski policiji in tajnim službam dovoljeval pregledovanje vsebine (ranljivih) računalnikov kar preko interneta. Preiskovalci pa za to ne bi potrebovali sodne odredbe, pač pa bi zadostovalo "prepričanje" višjega policijskega uradnika, da je ukrep "sorazmeren" in nujen za preiskovanje resnih kaznivih dejanj z zagroženo zaporno kaznijo več kot tri leta.

Mimogrede, podobno tehnologijo z imenom Bundestrojaner so pred časom razvili v Nemčiji (sodišče pa jo je dovolilo uporabljati samo pod zelo strogimi pogoji), uporabljajo pa jo še v nekaterih drugih državah, recimo v Avstriji, Švici, ZDA in seveda na Kitajskem.

Ko bo preiskovalni postopek uzakonjen pa morda sledi še zakonska prepoved uporabe protivirusnikov in požarnih zidov...?

Guardian - Britanska vlada je pred časom predlagala sprejetje posebnih preiskovalnih ukrepov, ki bi ponudnike dostopa do spleta ter operaterje mobilne in stacionarne telefonije zavezal, da v centralno vladno bazo podatkov posredujejo vse prometne podatke o tem, koga so britanski državljani klicali po telefonu, katere spletne strani so obiskali ter s kom so si dopisovali po elektronski pošti.

Stroški vzdrževanja takšne baze podatkov bodo visoki - po ocenah okrog 12 milijard funtov - sedaj pa se je britanska vlada še odločila, da bodo storitve prestrezanja in hrambe zbranih podatkov prepustili kar zasebnim podjetjem.

Ideja je že naletela na prve kritike, med katerimi je tudi Ken Macdonald, bivši vodja javnih tožilcev, ki je mnenja, da je takšna privatizacija nadzora na dolgi rok lahko zelo nevarna, saj bodo podatki slej ko prej pričeli uhajati oz. bo pričelo prihajati do zlorab.

Seveda pa govorimo o demokratični Britaniji in ne o komunistični Kitajski...

Schneier.com - Da v Britaniji zaupni dokumenti in osebni podatki pogosto uhajajo v javnost, smo se že kar navadili. A pred dobrim tednom dni v javnost niso ušli podatki kakšne državne ustanove, pač pa seznam 12801 člana in kontakta Britanske nacionalne stranke.

Britanska nacionalna stranka velja za skrajno desničarsko stranko, njeni člani pa ne smejo biti zaposleni v nekaterih javnih ustanovah. Zato je objava seznama za marsikaterega teh članov precej neprijetna, čeprav je po drugi strani res, da so na seznamu članov tudi nekateri novinarji in "antifašisti", ki so se infiltrirali v organizacijo. Po poročanju BBC so nekateri razkriti člani tudi že prejeli grožnje.

Po mnenju nekaterih pa tokrat ni šlo za hekerski vdor od zunaj, prav tako pa tudi ne za napako niti za malomarnost, pač pa naj bi seznam objavil nekdo od znotraj.

Kako skrbno pa so varovani seznami članov slovenskih političnih strank?

Times Online - Britanski ponudniki dostopa do spleta ter operaterji mobilne in stacionarne telefonije bodo morali v primeru, da bo britanski parlament sprejel nove ukrepe za boj proti terorizmu, v centralno vladno bazo podatkov posredovati prometne podatke o tem, koga so britanski državljani klicali po telefonu, katere spletne strani so obiskali ter s kom so si dopisovali po elektronski pošti.

Velikansko vladno bazo podatkov naj bi ponudniki in operaterji sproti dopolnjevali s svežimi podatki za obdobje 12 mesecev, organi pa naj bi imeli dostop do nje le z dovoljenjem sodišča. Zagotavljajo, da računalniška podjetja, ki bodo bazo vzdrževala, do podatkov ne bodo mogla dostopati. Glede na to, piše Times Online, da so si Britanci lani poslali 57 milijard SMS-ov in da na Otoku izmenjajo 3 milijarde elektronskih sporočil, bo takšno bazo podatkov težko vzdrževati, poleg tega pa je Britanija znana po katastrofalnem varovanju zasebnosti.

Nedavno so namreč izgubili podatke petindvajsetih milijonov davčnih zavezancev, še vedno pa odmeva afera na Britanskem Telekomu, ki je za oglaševalce vohunil za 36 tisočimi uporabniki. V primeru, da so predlagatelji tako neodgovorni, da res nameravajo hraniti številne zasebne podatke o kar vseh državljanih v eni bazi, si ne moremo predstavljati, kaj bo vlada storila, če nekdo vanjo vdre in jih ukrade.

Očitno želi britanska vlada imeti "pri roki" in tako rekoč na enem mestu za vsak primer zbrane podatke kar o celotni telekomunikacijski dejavnosti državljanov, zavarovala pa se je tako, da je v predlogu navedla, da bo dostop do nje možen le z dovoljenjem sodišča. Najbrž je vsakomur takoj jasno, da je taka baza podatkov uporabna za popoln in celovit nadzor nad državljani, hkrati pa se marsikomu zastavlja vprašanje, ali so res vsi britanski državljani potencialni teroristi?

Bo Veliki brat v Britaniji dokončno ušel z verige, potem pa mu bodo sledile še ostale 'demokratične' države?

Slashdot - Naomi Klein v članku China's All-Seeing Eye, objavljenem na portalu Rollingstone.com opisuje eksperiment Kitajske z nadzorno tehnologijo v mestu Šenžen.

Kitajska je mesto Šenžen ustanovila pred 30 leti in sicer kot posebno ekonomsko cono. Mesto so zgradili iz nič (pred tem je bila tam manjša ribiška vasica), danes pa ima mesto 100.000 tovarn in 12,4 milijona prebivalcev, v njem pa proizvajajo vse od prenosnikov, TV aparatov, mobilnih telefonov, iPodov, tiskalnikov in avtomobilov.

Šenžen je po eni strani kitajski ekonomski in socialni eksperiment, hkrati pa se je Kitajska v Šenženu odločila izvesti še en eksperiment. V okviru projekta Zlati ščit (Golden Shield) so se Kitajci tako odločili - seveda zgolj zaradi nadzora kriminala - razviti, testirati in pilotno uvesti obsežno nadzorno tehnologijo.

V zadnjih dveh letih so tako v mestu Šenžen namestili okrog 200.000 videonadzornih kamer (v prihodnjih letih načrtujejo namestitev do dveh milijonov kamer), kamere pa nameravajo povezati v enotno in centralizirano nacionalno omrežje.

Cilj Zlatega ščita je implementirati in uporabiti najnovejšo nadzorno tehnologijo, pri tem pa Kitajski državi nesebično pomagajo tudi zahodni kapital in nekatere zahodne korporacije, npr. IBM, Honeywell in General Electric.

Seveda pa se zaslužkom ne izognejo niti domači proizvajalci. Kleinova se je tako pri pripravi članka pogovarjala z lastnikom tovarne videonadzornih sistemov FSAN, katerega podjetje v je dveh letih in pol doživelo desetkratno rast. Kitajski trg videonadzornih sistemov pa je imel v zadnjem letu 4,1 milijarde dolarjev prihodka. Zaslužke si obetajo tudi proizvajalci AI tehnologije, ki bo nadgradila videonadzorne kamere - podjetje China Security & Surveillance Technology je tako razvilo za kitajsko oblast nadvse koristno programsko opremo, ki v primeru, da se na videonadzorovanem območju prične zbirati večje število ljudi o tem nemudoma obvesti policijo.

Tehnologija bo za oblast gotovo več kot koristna, saj je bilo na Kitajskem v letu 2005, po besedah vladnih predstavnikov, vsaj 87.000 "množičnih incidentov", kot na kitajskem v Orwellovem novoreku imenujejo proteste.

Ključ do uspeha pa seveda ni samo količina kamer in kvaliteta posnetkov, pač pa njihova integracija v enotno nadzorno omrežje in povezava z biometričnimi sistemi. Po načrtih kitajske oblasti bo omrežje vsebovalo osebne podatke, zgodovino zaposlitev, fotografije in biometrične podatke za vsakega državljana Ljudske republike Kitajske - skupno torej podatke o kar 1,3 milijarde oseb. Kitajsko podjetje Pixel Solutions (ki sodeluje z ameriškim podjetjem L-1, v odboru katerega sedi tudi bivši direktor CIE George Tenet) tako že testira programsko opremo za prepoznavanje obrazov. Načrtujejo, da bodo do prihodnjega leta razvili sistem, ki bo sposoben poiskati sliko obraza osumljenca (oziroma "osumljenca") v bazi deset milijonov fotografij v eni sekundi.


Tehnologijo Kitajci seveda razvijajo izključno zaradi boja proti kriminalu, a po uvedbi sistema v mestu Šenžen skoraj zagotovo ne bo nobenega političnega oporečnika. In ko bo ta tehnologija uspešno implementirana in preizkušena na Kitajskem, jo bomo lahko uvedli tudi na Zahodu...

Daily Mail - Britanski informacijski pooblaščenec je začel preiskavo zadnjega odmevnega primera kršitve informacijske zasebnosti na Otoku. Britanski telekom (BT) je priznal, da so z lažnimi preverjanji sistema spremljali ravnanje 36.000 uporabnikov svetovnega spleta brez njihove vednosti.

V podjetju so priznali, da so med letoma 2006 in 2007 naključno izbrali omenjeno število strank med uporabniki širokopasovnega dostopa za "tehnični preizkus". Seveda niso nikomur razložili, da je poseben sistem za nadzor, ki ga je razvilo ameriško podjetje Phorm, dostopal do podatkov na računalniku in beležil vsebino vsake strani, ki jo je uporabnik/ca obiskal/a. Sistem je gradil bazo ključnih besed in si skušal zapomniti uporabnikove navade ter preference.

Temu primerno je Phorm potem prikazoval oglase podjetij, ki so mu storitev naročila in so sodila v določen uporabniški profil. Kadar so se uporabniki pritoževali, da je z njihovim računalnikom nekaj narobe, saj kljub zaščiti prikazuje oglasna sporočila, so jim v BT-ju pojasnili, "da je kriv virus".

Britanski izumitelj in eden od ustanovnih očetov svetovnega spleta Tim Berners-Lee je dejal, da so osebni podatki in zgodovina brskanja na spletnih straneh zasebna lastnina. "V primeru, da jih želiš za nekaj uporabiti, se moraš z menoj pogajati. Jaz se moram s tem strinjati in jasno mi mora biti, kaj dobim v zameno," je dodal Berners-Lee.

BT pojasnjuje, da Phorm ni beležil naslovov spletnih strani, temveč le ključne besede na njih in da je sistem uporabljal za vsak računalnik naključno identifikacijo, ne pa tudi imena uporabnika. Phorm naj bi v BT-ju uvedli zaradi učinkovitejšega in donosnejšega oglaševanja, uporabniki pa naj bi bili z njim deležni primernejših oglasov. V britanskem podjetju trdijo, da niso prekršili nobenega zakona, z čimer pa se nekateri strokovnjaki ne strinjajo.

Slo-Tech - Slovenska e-uprava je bogatejša za novo storitev, na tem spletnem naslovu si je odslej moč ogledati podatke o vsakem v Sloveniji registriranem motornem vozilu. Za dostop do njih je potrebno poznati številko prometnega dovoljenja in registrsko oznako vozila, ki je predmet zanimanja.

Nova storitev Virantovega ministrstva zna marsikomu olajšati nakup rabljenega vozila. Kupcu se namreč ne bo več potrebno zanašati zgolj na obljube prodajalca, temveč bo lahko iz domačega naslonjača (ali na licu mesta, v kolikor si lasti prenosno napravo, zmožno povezovanja z internetom) preveril ali prodajalec govori resnico.

Ob sicer hvalevredni potezi državne uprave pa se zastavlja vprašanje varnosti. Za dostop do vseh podatkov o vozilu (izjema so podatki o lastniku) zadostuje poznavanje številke prometnega dovoljenja in registrske oznake, do česar je z nekaj znanja social engineeringa dokaj enostavno priti. To je še toliko bolj zaskrbljujoče, ker se med izpisanimi podatki nahaja tudi številka šasije vozila, ki pri nekaterih proizvajalcih zadostuje za izdelavo kopije ključa in varnostnih kod avtomobila.

Zastavlja se vprašanje, zakaj se snovalec ni odločil za nekoliko bolj omejen dostop do podatkov oziroma vsaj obvezno identifikacijo z osebnim digitalnim certifikatom, pri čemer bi se podatki o vsakem vpogledu zabeležili in shranili za določeno časovno obdobje.

Slo-Tech - Ta teden je vlada parlamentu v zakonodajni postopek poslala spremembo Zakona o slovenski obveščevalno-varnostni agenciji. Kot razlog za spremembo zakona je vlada navedla sodelovanje z EU in NATO-m v boju proti terorizmu

Novela Zakona o SOVI prinaša dve temeljni spremembi. Prva sprememba je, da izključno pristojnost odrejanja posegov v komunikacijsko zasebnost (nadzorovanje in snemanje vseh oblik telekomunikacij ter dostop do prometnih podatkov) z dosedanjega predsednika okrožnega sodišča v Ljubljani prenaša na predsednika Vrhovnega sodišča. Takšna rešitev sicer ni sporna, vendar pa predlog vztraja pri (dosedanji) rešitvi, po kateri je odločanje o najhujših posegih v zasebnost v pristojnosti zgolj enega predstavnika sodne oblasti v državi, kar morda ni najboljša ureditev. Problem je tudi v tem, da je sodnik pri odločanju odvisen od informacij, ki mu jih posreduje agencija. Rešitev, da bi o tovrstnih posegih odločal npr. posebni senat Vrhovnega sodišča bi bila gotovo ustreznejša.

Druga, pomembnejša sprememba pa je ta, da novela v celoti odpravlja dosedanjo 6. mesečno časovno omejitev osredotočenega in kontinuiranega tajnega nadzora komunikacij. Če bo novela zakona sprejeta, bo SOVA lahko posamezno osebo teoretično tajno nadzorovala mesece ali leta.

Goran Klemenčič, predavatelj na Fakulteti za policijsko varnostne vede je mnenja, da je sicer legitimno razpravljati, da v času novih varnostnih groženj obstoječa ureditev, ni zadostna. Vendar pa po njegovem mnenju obstaja utemeljen pomislek, da odprava vsakršnih časovnih omejitev tajnega nadzora presega ustavno dopustne okvirje. Varstvo tajnosti pisem in drugih občil je v slovenskem prostoru z ustavnega vidika namreč ena najbolj varovanih temeljnih pravic.

37. člen slovenske ustave namreč za razliko od nekaterih drugih tujih ustav izrecno določa, da mora biti poseg v komunikacijsko zasebnost posameznika časovno omejen. Po mnenju Klemenčiča tudi s stališča ustavnega načela sorazmernosti, ne more biti dopustno, da zakon omogoča neomejeno dolgo osredotočeno nadzorovanje posameznika (ne glede na sodno odredbo).

Ustavno sodišče je v zadnjih 8. letih kar štirikrat razveljavilo posamezna tovrstna pooblastila policije glede prikritih preiskovalnih ukrepov, pooblastila obveščevalno-varnostnih služb pa nikoli. Razlog za to lahko iščemo tudi v tem, da za razliko od prikritih ukrepov, ki jih izvaja policija in ki v večini primerov dobijo epilog na sodišču in pridejo pod drobnogled obrambe in nadzorovanih oseb, tovrstni ukrepi obveščevalno-varnostnih služb ostanejo skriti.

SOVA ima po zakonu sicer dolžnost nadzorovano osebo po zaključku nadzora o tem obvestiti, vendar so izjeme od tega pravila precej široke, tako da je vprašanje kako je s tem v praksi. Tako je povsem možno, da večina oseb za nazdor sploh niso izvedela, posledično pa tudi ni bilo pritožb.

Z širjenjem pooblastil civilni obveščevalno-varnostni agenciji, se širijo tudi pooblastila obveščevane službe ministrstva za obrambo, ki je pri izvajanju svojih nalog vezana na pooblastila iz zakona o SOVI. Vlada parlamentu predlaga, da novelo zakona sprejme po hitrem postopku. In to kljub temu, da novela ureja področje, ki ključno posega v izrecno zavarovano ustavno pravico do koumikacijske zasebnosti in pomembno širi pooblastila države do prikritega nadzora posameznikov.

Slo-Tech - V Uradnem listu RS 75/2005 z dne 9. 8. 2005 je bil objavljen Pravilnik o izvrševanju uredbe o upravnem poslovanju, ki v 14. členu določa tehnološke zahteve za sprejem elektronske pošte. Drugače povedano: državni organ mora sprejeti elektronsko pošto državljana, če le-ta ustreza zahtevam v 14. členu. V nasprotnem primeru - če elektronska pošta državljana ne ustreza tehničnim zahtevam - pa pač ne.

In kakšne so te zahteve?

14. člen pravi takole: "Pošta, ki jo organ prejeme v elektronski obliki, je skladna s tehnološkimi zahtevami, če je posredovana v enem od naslednjih formatov:
- Formati produktov Microsoft Office (različica "Office 2000" ali starejša): MS Word (.doc); MS Excel (.xls); MS PowerPoint (.ppt);
– Tekstni formati: ASCII, 8bit (.txt, .asc, .dat,...); RTF (.rtf); XML (.xml) (vsebina določena s posamezno aplikacijo);
– Grafični formati: Adobe Acrobat, različica 6.0 ali starejša (.pdf); JPEG (.jpg, .jpeg); GIF (.gif,); TIFF (. tif, .tiff):
– Ostalo: stisnjene datoteke (.zip) združljive s programom Winzip npr. 8.0 (stisnjen je lahko katerikoli format od prve do tretje alinee)."

Slovenska javna uprava bo torej od državljanov sprejemala samo datoteke tipa DOC, XLS, PPT, TXT (in njegove izpeljanke), RTF, XML, PDF, JPG, GIF, TIF in ZIP. Pretežno torej zaprte, lastniške formate.

Uporabniki ostalih programov, recimo precej razširjenega OpenOffice.org, ki celo podpira Open Document Format se lahko za komunuciranje z državo obrišejo pod nosom, ali pa svoje dokumente pretvarjajo v druge formate.

Uporabniki Linuxa imajo tako na izbiro nakup operacijskega sistema Windows, ali pa poslovanje z državo na klasičen način.

Podpisani minister Gregor pa nič.

Guardian - Kam vodi omejevanje človekovih svoboščin in nekontrolirano večanje policijskih pooblastil v imenu boja proti terorizmu zelo nazorno kaže primer, ki se je zgodil letos poleti, 28. julija.

Skopo sporočilo agencije Reuters o dogodku pravi, da so tega dne zaradi varnostnih razlogov zaprli eno izmed postaj londonske podzemne železnice. Pač, policija je preprečila še eno teroristično grožnjo?

A zgodba je tokrat malce drugačna, saj policija ni nadlegovala kakšnega nedolžnega priseljenca brez izobrazbe, pač pa Davida Merya, kolumnista časopisa The Guardian. Zgodba gre takole.

7:10 - kolumnist Guardiana se je po SMS-u dogovoril s svojim dekletom, da se dobita na Hannover Square-u. Obut in oblečen je bil povsem običajno, na hrbtu pa je nosil narbtnik. Zaradi manjše infekcije očesa ni nosil leč, pač pa očala.
7:21 - kolumnist je vstopil v podzemno postajo v Southwarku, pričel čakati na vlak (z nahrbtnikom na rami), preveril SMS sporočila na telefonu in iz žepa vzel kopijo članka iz Wikipedije ter začel brati. Nenadoma so ga obkrožili neuniformirani policisti, ga vklenili in mu odvzeli nahrbtnik. Razložili so mu, da to počnejo zaradi njegove varnosti (!) in da ukrepajo na podlagi zakona o terorizmu. Ob aretaciji so mu povedali, da so ga ustavili in preiskali ker:
- so s pomočjo opazovanja preko nadzornih kamer ugotovili da je sumljiv;
- ker je na podzemno vstopil ne da bi pogledal policiste;
- sta ob istem času na podzemno postajo vstopila še dva posameznika;
- je nosil jopič "preveč topel za ta letni čas", čeprav je bil dan pred tem najhladnejši julijski dan v zadnjih 25 letih;
- je nosil nahrbtnik in je nahrbtnik imel pri sebi ves čas(!);
- je gledal druge ljudi, ki so prihajali na postajo;
- se je igral s telefonom in iz žepa vzel kos papirja.

Policisti so ga preiskali ter zaprli postajo podzemne železnice. Nato so ga odvedli na požarne stopnice, kjer so mu povedali, da ne morejo preveriti njegovega naslova. Kolumnist jim je predlagal, da preverijo pri varnostniku v ustanovi, kjer je zaposlen. Nato sta mimo prišla dva protibombna tehnika in eden mu je rekel "Lep prenosnik!". Nato je pristopil policijski uradnik in se opravičil za nadlegovanje. Lisice so odstranili in mu vrnili zasežene predmete. Nato je nek policist rekel, da to ni primerno, nakar so ga ponovno (!) vklenili. Čez nekaj minut so ga še formalno aretirali.

8:53 - po aretaciji zaradi sumljivega vedenja (!) in nadlegovanja (!!) so ga odvedli na policijsko postajo, kjer so ga fotografirali, mu odvzeli prstne odtise in vzorec DNK (!!).
10:06 - dovolijo mu poklicati dekle.

10:30 - zaprejo ga v samico. Policijski uradnik mu sporoči, da bodo njegovo stanovanje preiskali na podlagi zakona proti terorizmu.

12:25-1:26 - trije neuniformirani policisti izvedejo hišno preiskavo. Zaplenijo več mobilnih telefonov, star IBM-ov prenosnik, računalnik iz sredine 1990-tih let, ročni GPS, nekaj drobnih elektronskih naprav, med drugim frekvenčni skener, letak za računalniško varnostno konferenco, kuverte z naslovi, zemljevide Heathrowa in Prage ter nekaj fotografij iz konference Association of Computing Machinery.

3:20 - sledi zaslišanje, kjer osumljeni kolumnist ponovno popravi napačno policijsko verzijo dogodkov. Zaslišujejo ga predvsem o nekem letaku, ki ga je imel v žepu, ter nekaj elektronskih napravah, ki so jih našli v stanovanju, med drugim o frekvenčnem skenerju.

Poicisti so mu tudi povedali zakaj so ga na podzemni postaji ponovno aretirali. 4. avgusta 2004 (se pravi pred dobrim letom) so imeli v podjetju, kjer je kolumnist Guardiana zaposlen, "indicent" z orožjem. Nekdo je namreč lažno obvetil policijo da je v podjetju oborožen vsiljivec. Nekaj uslužbencev njegovega podjetja so tudi videli, da z mobilnim telefonom fotografirajo podzemno železnico.

4:30 - osumljenec je bil izpuščen proti varščini, večino stvari so mu vrnili, ne pa tudi njegove SIM kartice.

Naslednji dan je kolumnist prišel na policijsko postajo skupaj z odvetnikom. Policisti so mu povedali, da odstopajo od vseh obtožb in se mu opravičili. Primer pa uradno še ni zaključen, ker odgovorni policist, ki uradno dela na primeru ni dosegljiv.

Kolumnist je poslal zahtevo za vpogled v svoje osebne podatke londonski podzemni železnici, podjetju Transport for London, britanski prometni policiji in mestni policiji. V pogovoru z odvetnikom je tudi izvedel, da policija zelo verjetno ne bo izbrisala dosjeja o njem, ki so ga ustvarili na podlagi tega dogodka. Policija ima po trenutni britanski zakonodaji namreč pravico obdržati podatke o njem čeprav se izkaže, da je povsem nedolžen.

Kolumnist David Mery se v svoji kolumni sprašuje, ali ni država, ki zbira podatke o nedolžnih državljanih policijska država. Zaključuje, da bi moralo takšno omejevanje človekovih pravic in svoboščin skrbeti vsakogar.

A po drugi strani - mar ne bi bil raje hvaležen policiji, da ga kljub "sumljivemu vedenju" in nošenju predebele jakne ni osemkrat ustrelila v glavo?

DODATEK: primer nazorno kaže predvsem kakšne posledice ima lahko hramba prometnih podatkov (tim. retencija), delnopa tudi kje so pomankljivosti avtomatizirane analize podatkov (tim. data mininga).

Slashdot - Mass Hich Tech magazin poroča, da je ta mesec podjetje LocatePlus sklenilo pogodbo s protiterorističnim in ostalimi preiskovalnimi oddelki massachussetske policije, s katero so policiste na terenu opremili z brezžičnimi napravami in dostopom do njihove baze podatkov.

Baza podatkov vsebuje osebne podatke o skoraj 98 odstotkih ameriške populacije, vključno s sedanjim in preteklimi naslovi, sostanovalcih, podatkih o lastništvu vozil in nepremičnin, morebitni kriminalni preteklosti itd. Podjetje se na svoji spletni strani pohvali, da imajo bazo skoraj vseh, tudi tajnih telefonskih številk (vključno z številkami mobilnih telefonov), omogoča pa tudi iskanje po bazi registriranih vozil.

Policija je seveda navdušena, saj so jim bili ti podatki sicer dostopni že prej, vendar so za dostop do njih potrebovali dneve ali tedne, "z brezžičnimi napravami pa je to mogoče v sekundah" (izjava Johna Latorelle, direktorja podjetja LocatePlus). Navdušeno pa je tudi podjetje, saj pričakuje, da bo svoj lanski dobiček, ki je znašal 3,4 milijonov dolarjed, letos skoraj podvojilo.

Slo-Tech - Kot smo že poročali, je ministrstvo za informacijsko družbo v torek 1. junija 2004 sklicalo sestanek z nekaterimi predstavniki slovenskih ponudnikov dostopa do interneta (ISP-ji) in policijo, tema sestanka pa je bila izvedba zakonitega prestrezanja telekomunikacijskega prometa, ki poteka prek interneta.

Za kaj gre? 1. maja je začel veljati Zakon o elektronskih komunikacijah, v katerega 107. členu piše, da mora operater "na svoje stroške zagotoviti ustrezno opremo v svojem omrežju in primerne vmesnike, ki v njegovem omrežju omogočajo zakonito prestrezanje komunikacij.", poleg tega pa mora MID do novembra sprejeti Pravilnik o zakonitem prestrezanju komunikacij, ki bo predpisal primeren vmesnik za prestrezanje. Po naših informacijah so v igri trije ponudniki vmesnikov za prestrezanje, eden iz Nizozemske in dva iz Izraela, cene pa naj bi se gibale okrog 200.000 USD na napravo. To pa so seveda zneski, ki si jih manjši ISPji težko privoščijo.

Kljub temu, da je bil omenjeni sestanek zaprt za javnost, pa so nam na našo prošnjo iz MID-a posredovali zapisnik sestanka. Iz njega izhaja, da sta predstavnika slovenske policije med drugim predlagala, da se vzpostavi nadzorni center na ravni združenja slovenskih ISP-jev - SISPE, v njem naj bi bil nameščen vmesnik za prestrezanje, ISPji pa bi na svojih omrežjih zagotovili namestitev sond za prestrezanje.
Seveda je razumljivo, da bi policiji in tajnim službam tak pristop še najbolj ustrezal, saj bi lahko iz ene točke nadzorovali celoten slovenski internet! Vprašanje je tudi kdo bo v tem primeru upravljal z napravo za prestrezanje in ali se ne bo morda kdo kdaj spomnil, da bi postopek še poenostavili in bi se z izvedbo prestrezanja ukvarjali samo za to usposobljeni strokovnjaki, ki bi jih seveda postavila SOVA ali policija. Natančno tako ureditev imajo namreč v ZDA, argument FBI pa je, da je včasih dobro (v primeru manjših ISPjev, ki vse svoje uporabnike osebno poznajo), da ISP ni seznanjen s tem koga nadzorujejo.

Po drugi strani pa bi taka rešitev močno ustrezala tudi slovenskim ISPjem, saj so največ pomislekov izrazili glede stroškov, ki jih bodo imeli. Med drugim so izrazili tudi skrb zaradi stroškov kadrov ter stroškov vzdrževanja. Hm, morda pa bi tudi ISPjem ustrezalo, da s prestrezno napravo upravlja skupni strokovnjaki? Tudi če bodo strokovnjaki od policije in SOVE formalno neodvisni, se bodo verjetno pogosto videvali in morda sčasoma razvili tudi neformalne stike. Takrat pa bo njihova neodvisnost že vprašljiva. Vsekakor pa bi postavitev skupnega nadzornega centra v lasti SISPE spodbudila ISPje, da se SISPI pridružijo - še en razlog, da predlagana rešitev za SISPO ni tako neustrezna.

Če je kdaj kdo verjel pravljici, da je internet svoboden medij, ki ga je nemogoče nadzorovati, računalničarji in člani "internetne skupnosti" pa borci za človekove pravice v virtualnem svetu je sedaj napočil čas za streznitev. Po naših podatkih so nekateri predstavniki nekaterih na sestanku prisotnih ISPjev zgolj prosili za natančnejše podatke o potrebni tehnologiji in stroških, kot mogočo lokacijo za postavitev skupnega nadzornega centra za prestrezanje internetnih komunikacij pa celo sami predlagali vozlišča vseh slovenskih ponudnikov internetnih storitev SIX in LIX ali SiOL. Očitno so nekateri slovenski ISPji (na sestanku niso bili prisotni vsi) strašansko kooperatvni do policije, edina skrb pa jim je lasten posel. Pravice uporabnikov? Dajte no.
Da bi na MID in policiji imeli kar najmanj dela, pa bo naslednji sestanek na to temo organizirala SISPA, odvil pa se bo v petek, 4. junija 2004, ob 10.00 uri v prostorih GZS.

V ZDA stroške namestitve in vzdrževanja njihovega nadzornega sistema Carnivore krije FBI. V Rusiji in Ukrajini, pa so določili, da morajo stroške podobnega sistema imenovanega SORM-2 kriti ponudniki dostopa do interneta sami. Slovenska država se je seveda raje odločila za sistem, ki je zanjo cenejši, vendar ni to nič nepričakovanega. V članku o SPAM-u sem pred slabim letom glede preganjanja spama s strani ISPjev zapisal: "Po mojem mnenju bi se ISP-ji morali odločiti ali bodo ponujali samo dostop do interneta, ali pa bodo opravljali tudi policijsko delo. Če pa se odločijo za slednje, se lahko hitro zgodi, da bo država skušala vsaj del stroškov in odgovornosti za boj proti vsem oblikam kiberkriminala prevaliti na pleča ISP-jev.". Natančno to se je prvega maja s 107. členom ZEKom tudi zgodilo.

Kljub temu da predstavniki države trdijo, da se ne bo prestrezalo celotnega internetnega prometa, pač pa da bo prestrezanje izključno namensko, se je potrebno zavedati da pri prestrezanju internetnega prometa obstajajo večje možnosti zlorab kot pri prestrezanju telefonskih komunikacij. Phillip Branch je v članku <i>Lawful Interception of the Internet</i> zapisal, da je v paketnih omrežjih prestrezanje mogoče izvesti le tako, da se pregleda vsak paketek, ki potuje čez prestrezno točko. Prestrezna naprava mora torej pregledati vse paketke, ki potujejo preko nje, s pomočjo filtrov pa potem izloči tiste, za katere je bil izdan sodni nalog. In tu je največji problem tim. zunanjih prestreznih naprav, na kar opozarja tudi Branch: taka naprava bi namreč lahko beležila ves promet (ali pa bi nekdo spremenil pravila filtriranja), takšo zlorabo pa je zelo težko odkriti. Glede na to, da je zakonsko določena naloga SOVE, da opravlja nadzor telekomunikacij v primeru tajnih aktivnosti zoper strateške interese RS (24. člen ZSOVA) in da Resolucija o strategiji nacionalne varnosti RS pravi, da je interes Slovenije vključevanje v EU in NATO, verjetno ne bi bilo nič nenavadnega, če bi SOVA začela spremljati razne evro- in natoskeptike. Kaj pa ostali?

Pred kratkim so v Italiji sprejeli zakon, ki določa zaporno kazen za uporabnike interneta, ki preko P2P omrežij nezakonito pretakajo avtorsko zaščitene vsebine. Podobna zakonodaja je v pripravi tudi pri nas in v celotni EU. Če bomo poleg teh sprememb zakonodaje v prihodnosti dobili še centralni center za nadzor interneta, si lahko mislite kaj bo sledilo. Ampak le zakaj bi nas skrbelo za našo zasebnost? Konec koncev je najpogostejši argument proti "paranoikom", ki opozarjamo na pomen zasebnosti ta, da povprečen uporabnik itak nima kaj skrivati ne v svoji elektronski pošti ne na svojem računalniku. In če nimamo kaj skrivati, se tudi nimamo česa bati, kajne?