Novice » Varnost » Britanska policija poseduje opremo za tajni nadzor telefonov
poweroff ::
Glede na clanek oz. intervju v zadnji stevilki Monitorja (dva tehnicna cloveka od Simobila), taka "piratska" bazna postaja nikakor ne more delovati neopazno brez podpore operaterjev.
Vso komunikacijo se mora posredovati omrezju, drugace bi ljudje hitro opazili da nekaj ne dela + operaterji bi zaznali motnje v oddajanju.
Hehe. PAr dni pred tem je predstavnik Telekoma izjavil, da ne vsakršno prisluškovanje GSM NEMOGOČE. No, malo za tem, so pri Simobilu že priznali, da je mogoče v "nekih labolatorijskih pogojih". Kakšna je pa realnost je pa seveda drugo vprašanje. In ja, tudi A5 ni tako nezlomljiv, kot si nekateri mislijo...
se da kako shekat telefon da bi dejansko videl katere bazne postaje skenira oz. izbira tj. da vidiš če obstaja kaka prikrita bazna postaja na katero se ti telefon hoče povezat?
Z opremo ranga nekaj 10 EUR se to da. Sem se včasih igral s tem...
Drugače pa pri nas imajo IMSI catcherje pri SOVI in OVS, kolikor sem slišal, naj bi enega imela tudi policija. Večji problem pa so pasivne prisluškovalne naprave, ki so v zasebni lasti. Vem za en primer, ko ima nekdo doma BTS...
sudo poweroff
BlueRunner ::
Jaz pa mislim, da če operater omogoča zbiranje os. podatkov, ga dolete enake dolžnosti (po ZVOP-u, kot bi to sam počel).
Nope, ga ne doletijo, ker operater pri tujih baznih ničesar ne omogoča. Če ciljaš na to, kar mora naš operater omogočati po zakonu, pa je način izvedbe znova takšen, da operater nima vpogleda v komunikacije. Podatka o temu, če si bil predmet takšnega ukrepa ali ne, pa ti praviloma ne more posredovati, ker so te odredbe običajno označene s stopnjo tajnosti. ZVOP dopušča, da drug zakon določi izjeme pri obveščenosti osebe in v teh primerih ti ravno zaradi teh izjem sam ZVOP ne bo nič pomagal.
Prav tako je dolžan poskrbeti za varovanje podatkov, ki jih zbira ali obdeluje (kar naš promet je); to določa 3. poglavje prejomenjenega zakona. Če Policija nima pravne podlage za uporabo takih mobilnih naprav (navsezadnje, kot ste omenili, bi lahko organi pregona veliko ceneje prišli do podatkov neposredno od operaterjev) in operater zazna tako nezakonito prestrezanje, je dolžan ukrepati! Halo?!
Kolikor vem, operater ni zavezan ukrepati, sploh pa ne po ZVOP.
Tisto z "ceneje prišli", pa ne vem od kje si potegnil. Če že, je uporaba tega, kar mora po zakonu operater omogočati, podložna nadzoru sodišča, papirni sledi in poročanju nadzornni komisiji DZ v vsakem četrtletju. Po drugi strani je uporaba lastnega BTS nekaj, kar je ... regulirano interno pri organu, ki/če ga ta uporablja. Kar je IMHO, če nič drugega, mnogo manj papirologije in "izgubljanja časa s sodniki".
Zgodovina sprememb…
- spremenilo: BlueRunner ()
enadvatri ::
BlueRunner je izjavil:
Jaz pa mislim, da če operater omogoča zbiranje os. podatkov, ga dolete enake dolžnosti (po ZVOP-u, kot bi to sam počel).
Nope, ga ne doletijo, ker operater pri tujih baznih ničesar ne omogoča. Če ciljaš na to, kar mora naš operater omogočati po zakonu, pa je način izvedbe znova takšen, da operater nima vpogleda v komunikacije. Podatka o temu, če si bil predmet takšnega ukrepa ali ne, pa ti praviloma ne more posredovati, ker so te odredbe običajno označene s stopnjo tajnosti. ZVOP dopušča, da drug zakon določi izjeme pri obveščenosti osebe in v teh primerih ti ravno zaradi teh izjem sam ZVOP ne bo nič pomagal.
Prav tako je dolžan poskrbeti za varovanje podatkov, ki jih zbira ali obdeluje (kar naš promet je); to določa 3. poglavje prejomenjenega zakona. Če Policija nima pravne podlage za uporabo takih mobilnih naprav (navsezadnje, kot ste omenili, bi lahko organi pregona veliko ceneje prišli do podatkov neposredno od operaterjev) in operater zazna tako nezakonito prestrezanje, je dolžan ukrepati! Halo?!
Kolikor vem, operater ni zavezan ukrepati, sploh pa ne po ZVOP.
Tisto z "ceneje prišli", pa ne vem od kje si potegnil. Če že, je uporaba tega, kar mora po zakonu operater omogočati, podložna nadzoru sodišča, papirni sledi in poročanju nadzornni komisiji DZ v vsakem četrtletju. Po drugi strani je uporaba lastnega BTS nekaj, kar je ... regulirano interno pri organu, ki/če ga ta uporablja. Kar je IMHO, če nič drugega, mnogo manj papirologije in "izgubljanja časa s sodniki".
Tu sem pisal o povsem namišljeni situaciji, če bi operater omogoačal; če se nekdo postavi vmes, je to drug scenarij. Stopnja tajnosti je interno, vsaj tako ima Policija označene prisluhe. Za vse prikrite preiskovalne metode, ki jih je opravila zoper tebe, te je Policija po določenem času dolžna obvestiti, vsaj tako je veleval ZKP nekoč.
Operater je osebne podatke, kar promet s prometnimi podatki gotovo je, dolžan varovati. Kar preberi si 3. poglavje ZVOP ... Če jih je dolžan varovati, je ob morebitni zaznavi "vdora" dolžan ukrepati, saj jih sicer ne varuje. Simple ko pasulj!
Sodni nadzor je zgolj izdaja odredbe po preizkusu dokazov ob podanem utemeljenem sumu. Da bi operaterje nadzirala sodišča, še nisem slišal ali videl. Če policija tako pasivno prisluškuje, za to še zmerja potrebuje odredbo sodišča ali pa sicer to počne nezakonito, npr., da kasneje to prikrije z "zbiranjem obvestil" in uporabi te informacije kot ledolomilec v primeru. Torej lahko povzamem, da je ceneje poslati spremni dopis z odredbo preiskovalnega sodnika operaterju, kot pa nakupiti opremo, usposobiti ljudi in še zmeraj pridobiti odredbo sodišča.
Prav tako bi bilo sporno in nesmiselno, da bi dopustili Policiji to urejati z nekim posebnim zakonom ali, bog ne daj, pravilniki (internimi akti). Potem lahko kar rm -rf Ustava RS in shutdown -p now ali pa vtaknemo zgoščenko Komunizem in ponovno namestimo OS.
Zgodovina sprememb…
- spremenilo: enadvatri ()
noraguta ::
sej vam pravim , da je že Bourne uporabljal predplačniške pakete , ker je naročniške prelahko prestrezat. pa to vedo vsi mafijozoti. tole je uporabno kvečjem za kake amaterske prestopnike in naivne politične dizidente.
Pust' ot pobyedy k pobyedye vyedyot!
Macketina ::
Predplacniski te varuje samo pred tem, da ni podatkov o narocniku. Ce jo kupis z gotovino nekje kjer ni kamere
Telefon se vedno posilja IMEI (=dobis zgodovino telefona) in vsi prometni podatki se seveda se hranijo.
Ce pa vejo kje stanujes in je pred tvojo bajto parkiran "tak" kombi, potem je cisto vseeno kaksno stevilko imas.
Telefon se vedno posilja IMEI (=dobis zgodovino telefona) in vsi prometni podatki se seveda se hranijo.
Ce pa vejo kje stanujes in je pred tvojo bajto parkiran "tak" kombi, potem je cisto vseeno kaksno stevilko imas.
noraguta ::
Predplacniski te varuje samo pred tem, da ni podatkov o narocniku. Ce jo kupis z gotovino nekje kjer ni kamere
Telefon se vedno posilja IMEI (=dobis zgodovino telefona) in vsi prometni podatki se seveda se hranijo.
Ce pa vejo kje stanujes in je pred tvojo bajto parkiran "tak" kombi, potem je cisto vseeno kaksno stevilko imas.
to pa vemo že od mitchnika , da ne smeš biti stacionaren. matr , sej neki se pa tud navčimo iz zgodbic pol pretekle zgodovine. pa tud sicer to kombiju znatno oteži delo. sami telefoni pa praktično nimajo neke vrednosti. imei pa tudi ni problem generirat. za kolikor toliko previdnega uporabnika te stvari niso neka ovira.
Pust' ot pobyedy k pobyedye vyedyot!
garamond ::
> "predplačniške pakete"
Hja, se pelješ z vključenim mobitelom po Ljubljanski obvoznici. Zamenja ti bazno postajo, operater zabeleži ta dogodek in čas. Interpolira se pozicija tvojega avtomobila. Iz nadzorne kamere pol kilometra naprej, če je slika dovolj dobra, razberejo znamko in barvo neregistriranega avtomobila ali celo tvojo ponarejeno registrsko tablico.
Ok, mogoče, ne vem če to operaterji dejansko beležijo :P
Hja, se pelješ z vključenim mobitelom po Ljubljanski obvoznici. Zamenja ti bazno postajo, operater zabeleži ta dogodek in čas. Interpolira se pozicija tvojega avtomobila. Iz nadzorne kamere pol kilometra naprej, če je slika dovolj dobra, razberejo znamko in barvo neregistriranega avtomobila ali celo tvojo ponarejeno registrsko tablico.
Ok, mogoče, ne vem če to operaterji dejansko beležijo :P
BlueRunner ::
Tu sem pisal o povsem namišljeni situaciji, če bi operater omogoačal; če se nekdo postavi vmes, je to drug scenarij. Stopnja tajnosti je interno, vsaj tako ima Policija označene prisluhe. Za vse prikrite preiskovalne metode, ki jih je opravila zoper tebe, te je Policija po določenem času dolžna obvestiti, vsaj tako je veleval ZKP nekoč.
Operater po zakonu mora omogočati prisluhe, stopnja interno (imaš pa tudi odredbe z zaupno ali tajno - odvisno od tveganja) zadošča, da si o zadevi tiho. Večina odredb ima tajnost "do prenehanja", pri čemer sem do sedaj morda videl tri obvestila o prenehanju tajnosti.
Operater je osebne podatke, kar promet s prometnimi podatki gotovo je, dolžan varovati. Kar preberi si 3. poglavje ZVOP ... Če jih je dolžan varovati, je ob morebitni zaznavi "vdora" dolžan ukrepati, saj jih sicer ne varuje. Simple ko pasulj!
Če se omejim na to, da govorimo o vsiljivcu v omrežju, tukaj ni osebnih podatkov. Če iščeš podlago za preprečevanje vdorov v omrežje, pa išči podlago za ukrepanje v ZEKom in ne v ZVOP. Če govoriš o prevzemni točki, tam veljajo razširjena pravila igre, ki jih predpisujejo drugi zakoni.
Sodni nadzor je zgolj izdaja odredbe po preizkusu dokazov ob podanem utemeljenem sumu. Da bi operaterje nadzirala sodišča, še nisem slišal ali videl.
Jaz pa tudi ne napisal. Seveda preiskovalni sodnik izvaja nadzor nad uporabo ukrepa prisluha. Ta ukrep pa ne uporablja operater, temveč policija. Torej je policija predmet sodnega nadzora.
Če policija tako pasivno prisluškuje, za to še zmerja potrebuje odredbo sodišča ali pa sicer to počne nezakonito, npr., da kasneje to prikrije z "zbiranjem obvestil" in uporabi te informacije kot ledolomilec v primeru. Torej lahko povzamem, da je ceneje poslati spremni dopis z odredbo preiskovalnega sodnika operaterju, kot pa nakupiti opremo, usposobiti ljudi in še zmeraj pridobiti odredbo sodišča.
No, tukaj se bova pa lepo razšla. V teoriji vse lepo in res, vendar pa je kuglvinkl na začetku vprašal:
- če moramo policiji verjeti na besedo, da tega nima (ne, ampak komisiji za nadzor tudi ne bi ravno preveč verjel)
- če na takšnih napravah obstaja "revizijska sled" (da, ampak minimalna)
- če so možne zlorabe (možno, odvisno od revizijke sledi - npr. plomba SOVE je b.v., če nekdo treji ne potrdi, da plomba resnično onemogoča uporabo naprave oziroma je SOVA sama ne more brz sledov ponovno namestiti)
Prav tako bi bilo sporno in nesmiselno, da bi dopustili Policiji to urejati z nekim posebnim zakonom ali, bog ne daj, pravilniki (internimi akti). Potem lahko kar rm -rf Ustava RS in shutdown -p now ali pa vtaknemo zgoščenko Komunizem in ponovno namestimo OS.
Res je, ampak ali bi to bila prva stvar, ki se jo dela in prikriva? Sicer pa, če odmisliš policijo... zakaj ima SOVA takšno napravo v svojem arzenalu, kje jo uporablja in proti komu?
Tukaj pa se znova vrnem na tisto, kar sem res napisal in ne to, kamor si ti zaplaval. SOVA naprave ne more "začasno izvoziti", ravno tako pa je nima smisla uporabljati v Sloveniji, ker imajo tukaj operaterji dolžnost omogočati prisluhe. Res pa je, da so prisluhi podvrženi nadzoru sodišča (v primeru SOVE jih nadzira kar Vrhovno sodišče), ki pa jim predstavlja odvečno papirologijo in tudi ni rečeno, da bo prisluh dovoljen.
Sedaj pa dajmo razmišljati, kako ugotoviti, če ima to napravo tudi policija v nekem skladišču zapečateno v smislu "saj je ne neucamo", če jo ima tudo SOVA, ki je ravno tako nima kaj za nucati.
driver_x ::
Hehe. PAr dni pred tem je predstavnik Telekoma izjavil, da ne vsakršno prisluškovanje GSM NEMOGOČE. No, malo za tem, so pri Simobilu že priznali, da je mogoče v "nekih labolatorijskih pogojih".
Če je prisluškovanje mogoče izvesti v "nekih laboratorijskih pogojih", potem ga je prav gotovo mogoče izvesti tudi v praksi, če je le interes zadosti velik.
enadvatri ::
BlueRunner je izjavil:
Tu sem pisal o povsem namišljeni situaciji, če bi operater omogoačal; če se nekdo postavi vmes, je to drug scenarij. Stopnja tajnosti je interno, vsaj tako ima Policija označene prisluhe. Za vse prikrite preiskovalne metode, ki jih je opravila zoper tebe, te je Policija po določenem času dolžna obvestiti, vsaj tako je veleval ZKP nekoč.
Operater po zakonu mora omogočati prisluhe, stopnja interno (imaš pa tudi odredbe z zaupno ali tajno - odvisno od tveganja) zadošča, da si o zadevi tiho. Večina odredb ima tajnost "do prenehanja", pri čemer sem do sedaj morda videl tri obvestila o prenehanju tajnosti.
Operater je osebne podatke, kar promet s prometnimi podatki gotovo je, dolžan varovati. Kar preberi si 3. poglavje ZVOP ... Če jih je dolžan varovati, je ob morebitni zaznavi "vdora" dolžan ukrepati, saj jih sicer ne varuje. Simple ko pasulj!
Če se omejim na to, da govorimo o vsiljivcu v omrežju, tukaj ni osebnih podatkov. Če iščeš podlago za preprečevanje vdorov v omrežje, pa išči podlago za ukrepanje v ZEKom in ne v ZVOP. Če govoriš o prevzemni točki, tam veljajo razširjena pravila igre, ki jih predpisujejo drugi zakoni.
Sodni nadzor je zgolj izdaja odredbe po preizkusu dokazov ob podanem utemeljenem sumu. Da bi operaterje nadzirala sodišča, še nisem slišal ali videl.
Jaz pa tudi ne napisal. Seveda preiskovalni sodnik izvaja nadzor nad uporabo ukrepa prisluha. Ta ukrep pa ne uporablja operater, temveč policija. Torej je policija predmet sodnega nadzora.
Če policija tako pasivno prisluškuje, za to še zmerja potrebuje odredbo sodišča ali pa sicer to počne nezakonito, npr., da kasneje to prikrije z "zbiranjem obvestil" in uporabi te informacije kot ledolomilec v primeru. Torej lahko povzamem, da je ceneje poslati spremni dopis z odredbo preiskovalnega sodnika operaterju, kot pa nakupiti opremo, usposobiti ljudi in še zmeraj pridobiti odredbo sodišča.
No, tukaj se bova pa lepo razšla. V teoriji vse lepo in res, vendar pa je kuglvinkl na začetku vprašal:
- če moramo policiji verjeti na besedo, da tega nima (ne, ampak komisiji za nadzor tudi ne bi ravno preveč verjel)
- če na takšnih napravah obstaja "revizijska sled" (da, ampak minimalna)
- če so možne zlorabe (možno, odvisno od revizijke sledi - npr. plomba SOVE je b.v., če nekdo treji ne potrdi, da plomba resnično onemogoča uporabo naprave oziroma je SOVA sama ne more brz sledov ponovno namestiti)
Prav tako bi bilo sporno in nesmiselno, da bi dopustili Policiji to urejati z nekim posebnim zakonom ali, bog ne daj, pravilniki (internimi akti). Potem lahko kar rm -rf Ustava RS in shutdown -p now ali pa vtaknemo zgoščenko Komunizem in ponovno namestimo OS.
Res je, ampak ali bi to bila prva stvar, ki se jo dela in prikriva? Sicer pa, če odmisliš policijo... zakaj ima SOVA takšno napravo v svojem arzenalu, kje jo uporablja in proti komu?
Tukaj pa se znova vrnem na tisto, kar sem res napisal in ne to, kamor si ti zaplaval. SOVA naprave ne more "začasno izvoziti", ravno tako pa je nima smisla uporabljati v Sloveniji, ker imajo tukaj operaterji dolžnost omogočati prisluhe. Res pa je, da so prisluhi podvrženi nadzoru sodišča (v primeru SOVE jih nadzira kar Vrhovno sodišče), ki pa jim predstavlja odvečno papirologijo in tudi ni rečeno, da bo prisluh dovoljen.
Sedaj pa dajmo razmišljati, kako ugotoviti, če ima to napravo tudi policija v nekem skladišču zapečateno v smislu "saj je ne neucamo", če jo ima tudo SOVA, ki je ravno tako nima kaj za nucati.
Sodna odredba ni posebej označena s stopnjo tajnosti (vsaj ne natanko kot predpisuje ZTP). Prisluhom in drugemu gradivu običajno tajnost preneha avtomatsko s podajo ovadbe, kar je ustrezno označeno (piše na ploščkih).
Če se pošalim, vsiljivec ni oseni podatek, dostopa pa do njih. Tudi ZVOP zavezuje operaterje k varovanju osebnih podatkov, preberi si 3. poglavje. In še enkrat ter zadnjič, če nekdo ve za vdor in ne ukrepa = ne varuje in .
Dražje je, če polcija ima te naprave in jih uporablja zakonito. Če podatke pridobiva nezakonito in jih uporablja, kot ledolomilec pri "zbiranju obvestil", potem SE STRINJAM, da je ceneje in učinkoviteje! Ne vem zakaj si moje besede razlagaš drugače, kot so zapisane.
Zakaj pa SOVA naprave ne more "izvoziti"? Saj je legalno ne more tako ali drugače, da bi jo nato uporabila. Lahko jo npr. uporablja na obmejnem območju (tako kot zaseženi kombi izpred let) ali kaj podobnega, morda je za tako rabo celo manj zadržkov s strani Sodišča. Ugibam. In ja, če je res ne uporabljajo, bomo težko izvedeli, se strinjam. Sej je bilo veliko polemik tudi o pristojnosti, saj so jih prenesli z Okrožnega v Ljubljani na Vrhovno.
Zgodovina sprememb…
- spremenilo: enadvatri ()
BlueRunner ::
Sodna odredba ni posebej označena s stopnjo tajnosti (vsaj ne natanko kot predpisuje ZTP). Prisluhom in drugemu gradivu običajno tajnost preneha avtomatsko s podajo ovadbe, kar je ustrezno označeno (piše na ploščkih).
To, kar dobi operater ima ali pa nima oznake stopnje tajnosti po ZTP in to natanko tako, kot to predpisuje ZTP. Večinoma ima. V skladu z ZTP je navedeno kdaj tajnost preneha in za operaterja je to večnoma "do preklica". Kaj policija s tem počne ali ne počne, operaterja ni dolžna obveščati, ravno tako mu ni dolžna sporočati kdaj so na njeni strani razlogi za tajnost prenehali. Če operaterju za takšno odredbo tajnosti ni preklicna, potem jo je dolžan še vedno spoštovati in ne ugibati o temu kaj se ali se ne dogaja kje drugje na tem planetu.
Če se pošalim, vsiljivec ni oseni podatek, dostopa pa do njih. Tudi ZVOP zavezuje operaterje k varovanju osebnih podatkov, preberi si 3. poglavje. In še enkrat ter zadnjič, če nekdo ve za vdor in ne ukrepa = ne varuje in .
Če ti ni jasno, ti pač ni jasno. Če ne štekaš v čemu se motiš, pa podaj prijavo na IP-RS in ti bo preko nadzornega organa pojasnjeno, da mešaš krompir in letala.
Dražje je, če polcija ima te naprave in jih uporablja zakonito. Če podatke pridobiva nezakonito in jih uporablja, kot ledolomilec pri "zbiranju obvestil", potem SE STRINJAM, da je ceneje in učinkoviteje! Ne vem zakaj si moje besede razlagaš drugače, kot so zapisane.
Imaš prav. Sploh ne vem zakaj se vtikam v tvoje ocene stroškov, ker sam o njih ne govorim in konec koncev tudi policijo dokazano ne brigajo.
Zakaj pa SOVA naprave ne more "izvoziti"? Saj je legalno ne more tako ali drugače, da bi jo nato uporabila.
Ne razumem kaj si želel povedati. Legalno je ne more tako ali drugače, da bi jo nato uporabila?
Meni jezik sedeti težava, da vedeti delam.
Lahko jo npr. uporablja na obmejnem območju (tako kot zaseženi kombi izpred let) ali kaj podobnega, morda je za tako rabo celo manj zadržkov s strani Sodišča.
Domet za GSM je nekaj 100m, če sploh toliko. Tisti kombi pa ni stvar uporabe tiste naprave, notri je nekaj drugega. Potem pa še skrivaj kombi tik pri meji. V bistvu ne bi bilo čudno, če bi takrat zalutali na napačno stran, če so morali koga loviti za GSM na drugo stran njive.
enadvatri ::
To je zadnje kar bom napisal, ker me tvoja strast po dokazovanju sila dolgčsai.
Stopnja tajnosti velja za vse, ki rokujejo z gradivom, za operaterja ne velja nič drugače. Če preneha s podajo ovadbe, to velja tudi za operaterja! Amen. Če ne verjameš, pojdi na kakšno kazensko obravnavo in boš videl, da tam te posnetke javno predvajajo, prav tako berejo prometne podatke.
Kar zadeva ZVOP-a si sam preberi 3. poglavje in potem pametuj. To ne boli, vsaj mene ni. Jaz nisem nikjer zapisal,da to področje ne ureja TUDI ZEKom ali še kateri drug zakon. Prav tako nikjer nisem zapisal, da bi bil rezultat takega poizvedovanja pozitiven, ker operater lahko mirno zanika, kar bi utegnil zaznati.
Moje ocene stroškov so zelo pavšalne, čista špekulacija. Tako kot tvoje.
SOVA ne more legalno izvoziti naprav z namenom operativne rabe v neki tretji državi, morda so izjeme, ko gre za neka nemirna področja. Tja jih kvečjemu pretihotapi in če ji to mi z zakonom omejujemo, potem imamo pomilovanja vredno obveščevalno. Se pa tu vedno poraja vprašanje, če je v takem primeru naprava res zapustila Slovenijo ...
Dal sem primer, tisti zasežni kombi pa vem, da ni za GSM prometom vohljal. Kakšne operativne potrebe ima SOVA midva težko oceniva. Si bom izmislil, hrvaški politični vrh ima v predvolilni kampanji neko osladno procesijo na spornem ozemlju v nekem zadružnem domu ob Muri ...
Stopnja tajnosti velja za vse, ki rokujejo z gradivom, za operaterja ne velja nič drugače. Če preneha s podajo ovadbe, to velja tudi za operaterja! Amen. Če ne verjameš, pojdi na kakšno kazensko obravnavo in boš videl, da tam te posnetke javno predvajajo, prav tako berejo prometne podatke.
Kar zadeva ZVOP-a si sam preberi 3. poglavje in potem pametuj. To ne boli, vsaj mene ni. Jaz nisem nikjer zapisal,da to področje ne ureja TUDI ZEKom ali še kateri drug zakon. Prav tako nikjer nisem zapisal, da bi bil rezultat takega poizvedovanja pozitiven, ker operater lahko mirno zanika, kar bi utegnil zaznati.
Moje ocene stroškov so zelo pavšalne, čista špekulacija. Tako kot tvoje.
SOVA ne more legalno izvoziti naprav z namenom operativne rabe v neki tretji državi, morda so izjeme, ko gre za neka nemirna področja. Tja jih kvečjemu pretihotapi in če ji to mi z zakonom omejujemo, potem imamo pomilovanja vredno obveščevalno. Se pa tu vedno poraja vprašanje, če je v takem primeru naprava res zapustila Slovenijo ...
Dal sem primer, tisti zasežni kombi pa vem, da ni za GSM prometom vohljal. Kakšne operativne potrebe ima SOVA midva težko oceniva. Si bom izmislil, hrvaški politični vrh ima v predvolilni kampanji neko osladno procesijo na spornem ozemlju v nekem zadružnem domu ob Muri ...
BlueRunner ::
Če preneha s podajo ovadbe, to velja tudi za operaterja! Amen.
Če operater o temu ni obveščen, potem tudi ne more vedeti, kdaj/če je bila ovadba sploh podana. Sam pa tega tudi ne more in ni dolžen preverjati. Ne mešati teorije s prakso.
Kar zadeva ZVOP-a si sam preberi 3. poglavje in potem pametuj. To ne boli, vsaj mene ni.
Ga poznam praktično na pamet. Tudi v praksi.
Jaz nisem nikjer zapisal,da to področje ne ureja TUDI ZEKom ali še kateri drug zakon.
Pravilnosti delovanja omrežne opreme ZVOP ne obravnava in ni materialen zakon, če želiš najti kakršno koli odgovornost operaterja. Če ne verjameš, podaj prijavo, pa ti bo pojasnjeno kako in zakaj.
Moje ocene stroškov so zelo pavšalne, čista špekulacija. Tako kot tvoje.
Nisem govoril o stroških, temveč o porabi časa. Pri temu govorim o svojih ocenah ampak o izkušnjah.
SOVA ne more legalno izvoziti naprav z namenom operativne rabe v neki tretji državi, morda so izjeme, ko gre za neka nemirna področja. Tja jih kvečjemu pretihotapi in če ji to mi z zakonom omejujemo, potem imamo pomilovanja vredno obveščevalno.
To je tisto, kar se že sam na samem začetku napisal. Lepo, da si se uspel v drugem poskusu izraziti tako, te sedaj tudi razumem, kaj si sploh želel povedati. SOVA seveda ima dovoljeno "tihotapljenje", vendar pa takšno stvar nesti ven v tujo državo ni ravno enostavno, ker nobena tuja obveščevalna služba ne bo tolerirala konkurence na svojem dvorišču. Tudi prijateljska ne. Če pa se takšno napravo odkrije pri operativcu v tujini, pa je to potem zelo hitro zelo hud diplomatski škandal. "Nemirna območja" tipa Afganistan, Irak, ... primarno pokriva OVS in ne SOVA, zato ta tam uporablja svojo tehniko.
Skratka... vedno znova se odpira vprašanje zakaj ima SOVA takšno napravo v Sloveniji. Če že, bi jo imela v tujini in zaželjeno tudi čim bolj nepovezano s kakšnim operativcem s slovenskim državljanstvom.
Kakšne operativne potrebe ima SOVA midva težko oceniva.
Se strinjam, ampak v moji bujni domišljiji še nisem ugotovil kakšna bi bila potreba, da imaš to napravo v skladišču v Sloveniji. Normalno jo lahko uporabljaš kjerkoli drugje, samo doma ne, ker imaš doma drugačen "recept" kako pridobiti prisluhe. Ta recept pa je dejansko tudi mnogo bolj zanesljiv in operativno manj tvegan, kot pa vlačenje kufra naokoli. Je pa res, da se pri običajnem "receptu" pojavi problem tega, ali bo sodnik podpisal ali ne. Če bi bila tarča slovenski državljan, pač zagotovo ne.
Pri kovčku pa revizijska sled ni ravno takšna, da bi lahko naknadno ugotovil, če se je sledilo pravi tarči, ali pa se je slučajno ujelo in "obdelalo" še koga drugega.
enadvatri ::
BlueRunner, ker je to forum in ne Revija Slavističnega društva, mislim, da jezik ni kritičnega pomena. Če ne razumeš, poveš, da je nerazumljivo. Hvala za spravljivejše pisanje. Jaz bi se tudi lahko ponorčeval, pa se ne bom:
Priznam, nisem pravnik, a znam brati (ni UPB!):
in
In da ne boš mislil, nisem zagovornik takih igačk!
Nisem govoril o stroških, temveč o porabi časa. Pri temu govorim o svojih ocenah ampak o izkušnjah.Mislim, da ni to bistvo te debate.
Priznam, nisem pravnik, a znam brati (ni UPB!):
3. poglavje
Zavarovanje osebnih podatkov
Vsebina
24. člen
(1) Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.
Dolžnost zavarovanja
25. člen
(1) Upravljavci osebnih podatkov in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena tega zakona.
(2) Upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
in
Kršitev določb o zavarovanju osebnih podatkov
93. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, če v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen).
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
In da ne boš mislil, nisem zagovornik takih igačk!
BlueRunner ::
Mislim, da ni to bistvo te debate.
Res je. Poanta, ki pa jo poudarjam, pa je ta, da je nadzor nad delom organa zaradi same narave naprave pri kovčkih za prisluh na nižji ravni, kot pa je ta nadzor pri prisluhu preko operaterja. Ocene o temu kako veliko željo ali voljo imajo posamični organi, da bi zaobšli nadzor in s tem tudi zakon, pa ne morem podati. Vse, kar lahko zagotovim pa je to, da posamezniki pri teh organih imajo željo po manj nadzora, česar tudi ne skrivajo.
Seveda pa "želja != kršitev" in "manj nadzora != protizakonito".
In da ne boš mislil, nisem zagovornik takih igačk!
V tem delu si bil popolnoma jasen. Glede citiranja ZVOP-a, pa še vedno brcaš v temo. Poznam ga, ker je ta zakon praktično moj "delokrog". In še vedno se motiš. Seveda pa si lahko tukaj do onemoglosti dopovedujeva kdo se moti. Moj predlog je, da se obrneš na IP-RS kot neodvisen nadzorni organ za ZVOP in povprašaš pri njih. Če pa se motim jaz, se bom tukaj zagotovo posipal s pepelom.
enadvatri ::
Saj verjamem, da se s tem poklicno ukvarjaš in poznaš oba zakona, o katerih se preklava.
Ampak 3. navedek 1. odstavka 24.člena ZOP-a je zelo jasen:
Ob enem pa ni na noben način v nasprotju z določili ZEKom-a, kolikor sem ga prelet! Kar pomeni, da bi vsaj v teoriji poleg APEK-a še IP imel določen del pristojnosti pri nadzoru morebitnih kršitev. Se pa zavedam, da bi bilo obema težko dokazati operaterju, da je vedel, da je nekdo z magičnim kovčkom nekje pod milim nebom (in pod baznimi postajami) poslušal.
Če obrneva zgodbo okoli in bi nekdo od naju IP, APEK-u ali celo javnosti prikazal, kako enostavno je prisluškovati ali bi potem lahko IP oz. APEK naložil operaterjem, da zamenjajo tehnologijo oz. poskrbijo za dodatne varnostne mehanizme (... kar vsi vemo, da je utopično)?
Ampak 3. navedek 1. odstavka 24.člena ZOP-a je zelo jasen:
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
Ob enem pa ni na noben način v nasprotju z določili ZEKom-a, kolikor sem ga prelet! Kar pomeni, da bi vsaj v teoriji poleg APEK-a še IP imel določen del pristojnosti pri nadzoru morebitnih kršitev. Se pa zavedam, da bi bilo obema težko dokazati operaterju, da je vedel, da je nekdo z magičnim kovčkom nekje pod milim nebom (in pod baznimi postajami) poslušal.
Če obrneva zgodbo okoli in bi nekdo od naju IP, APEK-u ali celo javnosti prikazal, kako enostavno je prisluškovati ali bi potem lahko IP oz. APEK naložil operaterjem, da zamenjajo tehnologijo oz. poskrbijo za dodatne varnostne mehanizme (... kar vsi vemo, da je utopično)?
BlueRunner ::
Ob enem pa ni na noben način v nasprotju z določili ZEKom-a, kolikor sem ga prelet! Kar pomeni, da bi vsaj v teoriji poleg APEK-a še IP imel določen del pristojnosti pri nadzoru morebitnih kršitev.
Na srečo si ta dva zakona na tej točki res nista navzkriž. Za kar sem naključju usode dejansko hvaležen. V splošnem pa je težava v tem, da operater, kot ponudnik izključnega prenosa podatkov (po ZEPT), v tej svoji funkciji nima statusa upravljalca zbirke osebnih podatkov, ravno tako pa tudi ne statusa obdelovalca zbirke osebnih podatkov. Zato so bile v ZEKom dodane posebne klavzule, ki tam jamčijo, da mora operater še vedno skrbeti za varnost in celovitost omrežja, vključno z varnostjo komunikacij uporabnikov tega omrežja - ne glede na osebne/neosebne podatke.
Zakaj operater tukaj nima kaj veliko za opraviti, pa se veže tudi na to, da je IP-RS letos začel razlagati, da so izvajalci storitev gostiteljstva (po ZEPT) dejansko lahko obdelovalci osebnih in morajo biti pogodbe o gostiteljstvu v primerih, ko se obdeluje osebne podatke, izpolnjevati pogoje po ZVOP o razmerju med upravljalcem in obdelovalcem. Vendar pozor: zakon določa, da mora za to poskrbeti upravljalec, ne pa obdelovalec, ki za to okoliščino morda sploh ne ve. Po zelo na široko speljani analogiji: operaterji lahko v posebnih pogodbah upravljalcem zbirk o.p. zagotavljajo izpolnjevanje zakonskih pogojev, v splošnem pa tega ne rabijo početi, če ne vedo za kakšne podatke se gre. Določa pa ZEKom, kot področni zakon, standarde ravnanja z vsemi komunikacijami (v duhu 37. čl. Ustave RS), ne glede na to, če se gre za osebne podatke ali ne.
Se pa zavedam, da bi bilo obema težko dokazati operaterju, da je vedel, da je nekdo z magičnim kovčkom nekje pod milim nebom (in pod baznimi postajami) poslušal.
Če bi bilo kaj pravice na tem svetu, potem bi moral Apek imeti strokovnjake, ki bi bili tega sposobni. Odprto vprašanje pa ostaja, če bi lahko operater v okvoru razpoložljive tehnologije kakorkoli preprečil takšne rabote vohljačev. O temu, da bi pa moral koga o incidentih tipa "vdor v omrežje" obveščati, pa v zakonu niti besede. Se bi pa našla kakšna pogodba, ki pa to obvezo vsebuje na relaciji operater - uporabnik.
Da je temu res tako, je videti tudi iz delovnega osnutka novega ZEKom, ki operaterju nalaga, da bo moral o incidentih obveščati posebne organe/agencije. Za to obveščanje pa v igri ni Apek, kar znova pove nekaj o njegovih kompetencah. Žal.
Če obrneva zgodbo okoli in bi nekdo od naju IP, APEK-u ali celo javnosti prikazal, kako enostavno je prisluškovati ali bi potem lahko IP oz. APEK naložil operaterjem, da zamenjajo tehnologijo oz. poskrbijo za dodatne varnostne mehanizme (... kar vsi vemo, da je utopično)?
Utopčino je, da bi bila trenutna meni znana "strokovna zasedba" pri Apek-u česa takšnega sposobna. Zato pa se išče rešitve izven te agencije tako znotraj Slovenije, kot znotraj EU. Tako ni izključeno, da ne bi nekje v prihodnosti dejansko prišlo do tega, da bo kakšnem operaterju naložena kazen, ker ni sledil razvoju tehnologije in omogočal varovanja komunikacij. Vključno z implementacijo tehologij, ki preprečujejo MITM napade v mobilnih omrežjih.
Konec koncev je (abstraktni) državi še kako v interesu, da operaterji na njenem ozemlju takšne zadeve onemogočajo in onemogočijo. Organi države imajo ustrezne "prevzemne točke" in mehanizme, kako do teh prisluhov in ostalih podatkov priti brez kovčkov. Torej je varnostno upravičeno delovanje organov države s tem v celoti pokrito. Tako ostanejo samo še neznani zunanji vohljači, kjer pa se verjetno vsi strinjamo, da jih ne želi tolerirati nihče, ker so pač zunanji.
Iatromantis ::
// USA
Feds' Use of Fake Cell Tower: Did it Constitute a Search?
http://www.wired.com/threatlevel/2011/1...
Feds' Use of Fake Cell Tower: Did it Constitute a Search?
http://www.wired.com/threatlevel/2011/1...
enadvatri ::
Zakaj operater tukaj nima kaj veliko za opraviti, pa se veže tudi na to, da je IP-RS letos začel razlagati, da so izvajalci storitev gostiteljstva (po ZEPT) dejansko lahko obdelovalci osebnih in morajo biti pogodbe o gostiteljstvu v primerih, ko se obdeluje osebne podatke, izpolnjevati pogoje po ZVOP o razmerju med upravljalcem in obdelovalcem. Vendar pozor: zakon določa, da mora za to poskrbeti upravljalec, ne pa obdelovalec, ki za to okoliščino morda sploh ne ve. Po zelo na široko speljani analogiji: operaterji lahko v posebnih pogodbah upravljalcem zbirk o.p. zagotavljajo izpolnjevanje zakonskih pogojev, v splošnem pa tega ne rabijo početi, če ne vedo za kakšne podatke se gre. Določa pa ZEKom, kot področni zakon, standarde ravnanja z vsemi komunikacijami (v duhu 37. čl. Ustave RS), ne glede na to, če se gre za osebne podatke ali ne.
Da operater ni obdelovalec, bi se strinjal, če bi obdeloval oz. posredoval le govor. Ker pa zbira in hrani številne osebne podatke (npr. 25. ZBIRKA PROMETNIH PODATKOV), kar je med drugim zavedeno v Registru zbirk osebnih podatkov pri IP RS, gre nevdomno za upravljalca.
Zakaj operater tukaj nima kaj veliko za opraviti, pa se veže tudi na to, da je IP-RS letos začel razlagati, da so izvajalci storitev gostiteljstva (po ZEPT) dejansko lahko obdelovalci osebnih in morajo biti pogodbe o gostiteljstvu v primerih, ko se obdeluje osebne podatke, izpolnjevati pogoje po ZVOP o razmerju med upravljalcem in obdelovalcem. Vendar pozor: zakon določa, da mora za to poskrbeti upravljalec, ne pa obdelovalec, ki za to okoliščino morda sploh ne ve. Po zelo na široko speljani analogiji: operaterji lahko v posebnih pogodbah upravljalcem zbirk o.p. zagotavljajo izpolnjevanje zakonskih pogojev, v splošnem pa tega ne rabijo početi, če ne vedo za kakšne podatke se gre. Določa pa ZEKom, kot področni zakon, standarde ravnanja z vsemi komunikacijami (v duhu 37. čl. Ustave RS), ne glede na to, če se gre za osebne podatke ali ne
Se strinjam, da ZEKom s črkami na papirju lepo ureja to področje.
Če bi bilo kaj pravice na tem svetu, potem bi moral Apek imeti strokovnjake, ki bi bili tega sposobni. Odprto vprašanje pa ostaja, če bi lahko operater v okvoru razpoložljive tehnologije kakorkoli preprečil takšne rabote vohljačev. O temu, da bi pa moral koga o incidentih tipa "vdor v omrežje" obveščati, pa v zakonu niti besede. Se bi pa našla kakšna pogodba, ki pa to obvezo vsebuje na relaciji operater - uporabnik.
Da je temu res tako, je videti tudi iz delovnega osnutka novega ZEKom, ki operaterju nalaga, da bo moral o incidentih obveščati posebne organe/agencije. Za to obveščanje pa v igri ni Apek, kar znova pove nekaj o njegovih kompetencah. Žal.
Strinjam se tudi, da je APEK slab pooblaščeni nadzornik in sem mnenja, da so operaterji že sedaj (po trenutno veljavni zakonodaji) dolžni ukrepati ob zaznanih vdorih ali incidentih druge vrste (npr. če jim nazorno pokaže nekdo, da je MITM napad relativno preprost). Naša nacionalna bolezen je zakonodajna hipertrofija, da moramo vsako podrobnost, vsak protokolček, vsako otresanje penisa po uriniranju predpisati. Torej še enkrat, APEK je velik problem.
Utopčino je, da bi bila trenutna meni znana "strokovna zasedba" pri Apek-u česa takšnega sposobna. Zato pa se išče rešitve izven te agencije tako znotraj Slovenije, kot znotraj EU. Tako ni izključeno, da ne bi nekje v prihodnosti dejansko prišlo do tega, da bo kakšnem operaterju naložena kazen, ker ni sledil razvoju tehnologije in omogočal varovanja komunikacij. Vključno z implementacijo tehologij, ki preprečujejo MITM napade v mobilnih omrežjih.
Konec koncev je (abstraktni) državi še kako v interesu, da operaterji na njenem ozemlju takšne zadeve onemogočajo in onemogočijo. Organi države imajo ustrezne "prevzemne točke" in mehanizme, kako do teh prisluhov in ostalih podatkov priti brez kovčkov. Torej je varnostno upravičeno delovanje organov države s tem v celoti pokrito. Tako ostanejo samo še neznani zunanji vohljači, kjer pa se verjetno vsi strinjamo, da jih ne želi tolerirati nihče, ker so pač zunanji.
Bolj kot razmišljam, manj se mi zdi nedosegljiva ideja, da bi od operaterjev zahtevali varna omrežja (beri: proizvajalce potisnili v kot)! APEK bi se v tej smeri delovanja lahko povezal s sorodnimi organi drugih držav EU, da pripravijo skupno strategijo nastopa proti njim. Morda pa lahko tudi nekateri posamezniki (ozaveščeni del javnosti) pričnemo izvajati pritiske s pomočjo širše javnosti na zakonodajalca ter posledično operaterje in proizvajalce. Matthai, kje imaš tisti OpenBTS sistem (a dela na Nokii)?! Aparati, ki delujejo z OsmocomBB programjem, so tudi zelo poceni in še na trgu!
Zgodovina sprememb…
- spremenilo: enadvatri ()
BlueRunner ::
Da operater ni obdelovalec, bi se strinjal, če bi obdeloval oz. posredoval le govor. Ker pa zbira in hrani številne osebne podatke (npr. 25. ZBIRKA PROMETNIH PODATKOV), kar je med drugim zavedeno v Registru zbirk osebnih podatkov pri IP RS, gre nevdomno za upravljalca.
Da, operaterji so upravljalci zbirk osebnih podatkov. Ampak to, da na omrežju opaziš anomalijo, ni osebni podatek in ne gre v nobeno zbirko osebnih podatkov. Obveze ZVOP se nanašajo na naloge upravljalca za določene podatke, ne pa kar vse počez.
Recimo tako... Simobil v svojih trgovinah prodaja ovitke za telefone. Ali imaš pravico po telefonu podati reklamacijo, ker je ovitek zanič, ker ZEKom to operaterjem predpisuje? Verjetno ne, ker ta del poslovanja pač ni dejavnost operaterja.
Ravno tako okoliščina, da omrežna naprava zazna napako v delovanju ni stvar obdelave osebnih podatkov oziroma "biti upravljalec", temveč prenosa komunikacij in komunikacijske zasebnosti. Torej ne ZVOP, temveč ZEKom. Omrežje po katerem se pretakajo podatki, pač ni "zbirka osebnih podatkov".
Se strinjam, da ZEKom s črkami na papirju lepo ureja to področje.
Slišim ampak?
Strinjam se tudi, da je APEK slab pooblaščeni nadzornik in sem mnenja, da so operaterji že sedaj (po trenutno veljavni zakonodaji) dolžni ukrepati ob zaznanih vdorih ali incidentih druge vrste (npr. če jim nazorno pokaže nekdo, da je MITM napad relativno preprost).
Ukrepati že, vendar pa je dikcija slaba in govori predvsem o preventivnih ukrepih. Nov ZEKom bo to bistveno spremenil.
Naša nacionalna bolezen je zakonodajna hipertrofija, da moramo vsako podrobnost, vsak protokolček, vsako otresanje penisa po uriniranju predpisati. Torej še enkrat, APEK je velik problem.
Preden na to odgovorim, bi se raje prepričal, da te pravilno razumem. Vidiš težavo v temu, da operaterji ne počno nekaj, kar bi sicer lahko počeli (ni jim pa to izrecno zapovedano), ali vidiš težavo v tem, da nadzorniki obstajajo, vendar pa jim še kaj manjka za ukrepanje?
Bolj kot razmišljam, manj se mi zdi nedosegljiva ideja, da bi od operaterjev zahtevali varna omrežja (beri: proizvajalce potisnili v kot)!
To je bilo izhodišče v EU že desetletje nazaj, mi smo relevanten ZEKom dobili že l. 2004. Vendar pa potrebuješ za "potiskanje v kot" še kaj drugega, kot pa podlago za ravnanje. Potrebuješ predvsem šibo, ker tukaj za operaterje korenčkov pač ni.
No, te šibe se že režejo. Bomo pa videli, če bodo zadoščale.
APEK bi se v tej smeri delovanja lahko povezal s sorodnimi organi drugih držav EU, da pripravijo skupno strategijo nastopa proti njim.
Tukaj si zagrešil dva kiksa. Apek je že povezan, ker je to njegov mandat in ena izmed njegovih funkcij. Govoriti o skupni strategiji nastopa proti njim (verjetno operaterjem), pa je neumnost. Naloga Apek-a inostalih nadzornikov ni, da so "proti" nečemu, temveč je predvsem, da morajo "poskrbeti za nekaj". Konkretno pač poskrbeti za interese uporabnikov teh storitev. Morebitno navzkrižje z interesi kapitala, je problem drugih organov.
Morda pa lahko tudi nekateri posamezniki (ozaveščeni del javnosti) pričnemo izvajati pritiske s pomočjo širše javnosti na zakonodajalca ter posledično operaterje in proizvajalce.
Z božjo voljo, kaj še čakaš!!! To bi moral početi že najmanj desetletje!!!
Matthai, kje imaš tisti OpenBTS sistem (a dela na Nokii)?! Aparati, ki delujejo z OsmocomBB programjem, so tudi zelo poceni in še na trgu!
Ha, ha, dobra fora. Ampak vseeno pri izbiri sredstev pazi, da ne boš sam prestopil meje zakonitega.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
amigo_no1 ::
Če operaterji zaznajo neznano bazno v svojem sistemu in o tem ne poročajo dalje, jaz smatram da so del igre, ki jo vodi policija s "fake" baznimi.Taka "fake" bazna ni klasični one-way honeypot, saj gredo podatki dalje, torej postane del operaterjeve opreme.
Imajo operaterji remote dostop do svojih baznih oz o podatkih njihovega delovanja ?
Nekaj mesecev nazaj ste na ST pisali o nameri zakona, ki policiji dovoljeval množične poizvedb o posameznikih, ki so se skupaj s svojim mobilnim telefonom v nekem času nahajali na nekem območju.
http://slo-tech.com/novice/t470512/0
Kaj je tu drugače ? Na fake bazno se bo poleg osumljenca priklopilo še nebroj ostalih nič krivih uporabnikov.In njihovi podatki verjemi da ne bodo šli v dev/null, just in case. Ko si 1x v bazi podatkov tam ostaneš.
Imajo operaterji remote dostop do svojih baznih oz o podatkih njihovega delovanja ?
Nekaj mesecev nazaj ste na ST pisali o nameri zakona, ki policiji dovoljeval množične poizvedb o posameznikih, ki so se skupaj s svojim mobilnim telefonom v nekem času nahajali na nekem območju.
http://slo-tech.com/novice/t470512/0
Kaj je tu drugače ? Na fake bazno se bo poleg osumljenca priklopilo še nebroj ostalih nič krivih uporabnikov.In njihovi podatki verjemi da ne bodo šli v dev/null, just in case. Ko si 1x v bazi podatkov tam ostaneš.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
enadvatri ::
Ne želim ustrajati pri ZVOP-u, sem pa še vedno mnenja, da je tudi ta relevanten, čeprav je ZEKom bolj. Tvoja analogija mi ni všeč, jih tudi sicer ne maram. Jaz bi kar na konkretnem primeru skušal razumeti področje, ki ga ureja ZVOP. Na bazni postaji nastajajo prometni podatki, od koder se stekajo v neko centralno bazo (vse se dogaja pri isti pravni osebi - operateju). Opa, imava upravljalca zbirke, ki je po nešteto krat z moje strani navedenem 3. poglavju ZVOP-a dolžan te podatke, ki jih zajema in zbira ter hrani (beri:upravlja) varovati od nastanka skozi hrambo do uničenja. Ker ta zakon predvideva sankcije za kršitelje, ima šibo tudi IP RS. Kako tehnično učinkovit je oz. kako boleča je ta šiba, ne bom sodil.
Zelo se strinjam s tabo, da je, ker gre za javno kom. omrežje, primerneje, da to področje ureja predvsem ZEKom. Tega do sedaj nisem zapisal, kar ne pomeni, da sem temu nasprotoval. Če bo ZEKom resneje določal še nadzor s sankcijami, to toplo pozdravljam.
Če je operaterju izrecno zapovedano varovanje konkretnih komunikacij, sam to razumem, da je ob incidentih dolžan ukrepati tudi kako drugače, kot samo preventivno oz. minimalno, tako da prepreči bodoče vdore. In ja, to mu - po mojem osebnem prepričanju - zakon že sedaj nalaga.
Hvala za popravek, da je APEK že povezan, tega pač nisem vedel. Ker ves čas govorimo o morebitnih kršitvah veljavne zakonodaje oz. zastrašujočih posegih v zasebnost, se moje pisanje a la: "... proti njim." nanaša izključno na operaterje kršitelje (torej tiste, ki so vedeli za vdore in/ali prestrezanja). Človek, pa saj nisem ludist, da bi uničeval stroje in jim pripisoval krivdo ...
To bi morali početi skupaj, v slogi je moč!
Ne bom kršil zakonodaje, nič bat'! Samo malo dražim Matthaia. ... čeprav bi bilo fino videti poslanske riti, ki se potijo, ko bi pričeli smrtniki (za primoza: drhal) po forumih limat' trasnkripcije njihovih zasebnih pogovorov!
Se podpišem pod to!
Zelo se strinjam s tabo, da je, ker gre za javno kom. omrežje, primerneje, da to področje ureja predvsem ZEKom. Tega do sedaj nisem zapisal, kar ne pomeni, da sem temu nasprotoval. Če bo ZEKom resneje določal še nadzor s sankcijami, to toplo pozdravljam.
Če je operaterju izrecno zapovedano varovanje konkretnih komunikacij, sam to razumem, da je ob incidentih dolžan ukrepati tudi kako drugače, kot samo preventivno oz. minimalno, tako da prepreči bodoče vdore. In ja, to mu - po mojem osebnem prepričanju - zakon že sedaj nalaga.
Hvala za popravek, da je APEK že povezan, tega pač nisem vedel. Ker ves čas govorimo o morebitnih kršitvah veljavne zakonodaje oz. zastrašujočih posegih v zasebnost, se moje pisanje a la: "... proti njim." nanaša izključno na operaterje kršitelje (torej tiste, ki so vedeli za vdore in/ali prestrezanja). Človek, pa saj nisem ludist, da bi uničeval stroje in jim pripisoval krivdo ...
To bi morali početi skupaj, v slogi je moč!
Ne bom kršil zakonodaje, nič bat'! Samo malo dražim Matthaia. ... čeprav bi bilo fino videti poslanske riti, ki se potijo, ko bi pričeli smrtniki (za primoza: drhal) po forumih limat' trasnkripcije njihovih zasebnih pogovorov!
Če operaterji zaznajo neznano bazno v svojem sistemu in o tem ne poročajo dalje, jaz smatram da so del igre, ki jo vodi policija s "fake" baznimi.Taka "fake" bazna ni klasični one-way honeypot, saj gredo podatki dalje, torej postane del operaterjeve opreme.
Imajo operaterji remote dostop do svojih baznih oz o podatkih njihovega delovanja ?
Nekaj mesecev nazaj ste na ST pisali o nameri zakona, ki policiji dovoljeval množične poizvedb o posameznikih, ki so se skupaj s svojim mobilnim telefonom v nekem času nahajali na nekem območju.
http://slo-tech.com/novice/t470512/0
Kaj je tu drugače ? Na fake bazno se bo poleg osumljenca priklopilo še nebroj ostalih nič krivih uporabnikov.In njihovi podatki verjemi da ne bodo šli v dev/null, just in case. Ko si 1x v bazi podatkov tam ostaneš.
Se podpišem pod to!
Zgodovina sprememb…
- spremenilo: enadvatri ()
BlueRunner ::
Na bazni postaji nastajajo prometni podatki, od koder se stekajo v neko centralno bazo (vse se dogaja pri isti pravni osebi - operateju). Opa, imava upravljalca zbirke, ki je po nešteto krat z moje strani navedenem 3. poglavju ZVOP-a dolžan te podatke, ki jih zajema in zbira ter hrani (beri:upravlja) varovati od nastanka skozi hrambo do uničenja.
Da, to imaš vse prav. Operater je dolžan osebne podatke, ki so podmnožica vseh zakonsko varovanih podatkov (ZVOP + ZEKom) znotraj svojega omrežja še naprej zakonito obdelovati.
Opa, imava upravljalca zbirke, ki je po nešteto krat z moje strani navedenem 3. poglavju ZVOP-a dolžan te podatke, ki jih zajema in zbira ter hrani (beri:upravlja) varovati od nastanka skozi hrambo do uničenja.
Podatek nastane na operaterjevi postaji, se od tam prenese na operaterjeve sisteme v katerih ostane na način in pod pogoji, ki jih zakoni predpisujejo ali dovoljujejo.
Do tukaj še vse OK, ampak... (tukaj je amigotov komentar)
Taka "fake" bazna ni klasični one-way honeypot, saj gredo podatki dalje, torej postane del operaterjeve opreme.
Kar pa ni ravno res. Varnostna točka demarkacije med "znotraj" in "zunaj" (rdeče - črno, kar je dolžnost operaterja in kar ni dolžnost operaterja) je bazna postaja. Če operater nima nadzora nad vsiljivcem, potem ne moreš reči, da je to oprema pod njegovim nadzorom, ker to ni.
Tukaj pa se potem obe stvari seštejeta. Operater ne more odgovarjati za kršitve, ki jih izvajajo drugi in drugje in na katere operativno ne more vplivati. Na operaterjevi opremi so podatki zavarovani, kar je vse o čemer govori ZVOP. Potem pa šele vstopi ZEKom, ki govori o temu, da mora biti zaščitena celovitost omrežja, ki jo tuj oddajnik zagotovo ruši. In to neodvisno od tega, če je bil tam prestrežen en sam osebni podatek, ali pa ne.
Lahko razmišljaš o morebitno soodgovornosti, če operater takšne postaje tolerira, ampak potem boš moral dokazati naklep ali malomarnost, kar pa ne bo ravno enostavno.
"... proti njim." nanaša izključno na operaterje kršitelje (torej tiste, ki so vedeli za vdore in/ali prestrezanja). Človek, pa saj nisem ludist, da bi uničeval stroje in jim pripisoval krivdo ...
Kar rabiš, so jasna pravila in ustrezno dolge šibe, da bo operater ustrezno motiviran, da ne bo kršil pravic uporabnikov. Šibe pa so različnih vrst in oblik. Ena je recimo obvezno obveščanje v primeru vdorov v omrežje. Druga je obvezno obveščanje v primeru izgube osebnih podatkov. Tretja je lahko določba, da škodo zaradi zlorab, ki bi jih operater lahko preprečil, nosi operater sam, ne pa uporabniki.
Šib je veliki in niso vse na temo inšpekcijskih nadzorov in pisanja kazni. Sam mislim, da so najbolj učinkovite tiste, ki bodo pokazale kdo je pri varovanju omrežja uspešen in kdo ne. Zato jih tudi izdatno podpiram. Pa ni samo pri operaterjih.
Ko razmišljaš o temu, kar je amigo rekel, pomisli še na druge vrste elektronskih komunikacij (e-mail, IP promet, IP telefonija), kjer se da ravno tako iz različnih indicov ugotoviti, da je verjetno prišlo do kakšnega čudnega prestrezanja. Pa (še?) ne slišim pozivov, da bi moral potem operater nekaj iskati in raziskovati, da bi ugotovil kdo je bila tretja stran, ki je na opremi in lokaciji izven dosega in vpliva operaterja nekaj počela. Eter je pač odprt in v njemu se pojavlja marsikaj. Ravno tako je internet doprt in v njemu se pojavlja marsikaj. Pri prvem je to težava, pri drugem pa? Je ali ni?
Vem, da ne maraš metafor, ker so že v izhodišču omejene, saj pojasnjujejo samo en vidik problema. Vendar pa, ali bi bilo npr. potrebno posebej obveščati, kadar gre paket od Amisovega naročnika k T-2 naročniku v drugem nadstropju bloka preko Hrvaške? Je to poseben incident pri katerem so bili podatki ogroženi? So bili pri temu celo prenešeni osebni podatki preko tretje države brez vednosti uporabnikov, kaj šele kakšnim njihovim strinjanjem.
amigo_no1 ::
Kar pa ni ravno res. Varnostna točka demarkacije med "znotraj" in "zunaj" (rdeče - črno, kar je dolžnost operaterja in kar ni dolžnost operaterja) je bazna postaja. Če operater nima nadzora nad vsiljivcem, potem ne moreš reči, da je to oprema pod njegovim nadzorom, ker to ni.
Se strinjam samo deloma, namreč če operater zazna, da ima v svojem omrežju tujek, kar 3rd party "fake" bazna postaja je, mora anomalijo odpraviti, ne pa se obrniti stran.
Scenarij:
kliče Franci (Simobil) Jožeta (NPU):
F: Ej Jože, v Grosupljem danes zaznavamo nekaj čudnega blizu naše bazne.
J: Franci, samo brez panike, "mi" smo. Pa ne okol' govort'.
F: Ok, samo boš dal za rundo v soboto, moram sedaj odpoklicati tehnike.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
BlueRunner ::
Se strinjam samo deloma, namreč če operater zazna, da ima v svojem omrežju tujek, kar 3rd party "fake" bazna postaja je, mora anomalijo odpraviti, ne pa se obrniti stran.
Kako pa odpraviš to, da imaš nekje zunaj enega, ki ti dela težave? Boš odklopil vse svoje bazne na tistem področju?
Scenarij:
Scenarij je bolj takšen:
F: Ej, Jože na včerajšnjih grafih je bilo nekaj čudnega videti. Nekdo je verjetno okrog s kovčkom skakal.
J: Eh, jebiga.
enadvatri ::
BlueRunner ...
Tu se močno prepletajo pravna in druge tehnične stroke. Možnih scenarijev in idej nadzora je veliko. Če je operater zaznal neznano bazno postajo in še celo komuniciral z njo, potem sva že na pol poti pri dokazovanju naklepa. Če ne bo pobrisal konkretnih podatkov, ki potrjujejo obstoj te postaje, bi težko prepričal (zapriseženo) stroko, da ni vedel, kaj se dogaja. Prav tako bi ob pobrisanih konkretnih podatkih lahko proučili, kako deluje oprema v postavitvi, ki jo uporablja operater, v smeri zaznave takšne postaje. To bi bilo sicer za našo represivno-pravosodno dvoživko gotovo pretrd oreh! Ob predpostavki, da je operater vedel za dejavnost take postaje, je torej vedel, da gre za prekršek, če ne celo za kaznivo dejanje. In če gre za KD, potem ga je še dolžan naznaniti! Torej imava Kot praviš, Tudi vprašanje je, kako so podatki zavarovani. Če gre za varnostne mehanizme, ki jih vsak mulec odstrani, to zame ni nikakršno varovanje in s tem z ZEKom-om predpisana zaščita omr. ne more biti zagotovljena.
Jaz sem o šibah poenostavil na glaboe, kar si zapisal,pa mi je definitivno všeč!
Ko izpostavljaš IP promet, je tu situacija dejansko zelo podobna in hkrati posebna. Podobna, ker lahko pride do podobnih odklonov, posebna pa, ker ni tako lokalno omejena, kot je telefonija v neki nacionalni frekvenčni shemi. Toda pozor, spet lahko prideva hitro do dileme, operater mob. tel. lahko uporabi VoIP namesto ISDN in IP promet od bazne do bazne ali priključka na svoji poti seka tujo zemljo. Ampak vseeno, jaz bi vedno zavzel stališče, da je potrebno zagotoviti inf. varnost, kjer je le možno.
ZVOP še celo prepoveduje izvoz os. podatkov brez posebnega dovoljenja, kar recimo za IP promet ne velja, če pa neko podjetje uporablja storitve v rač. oblaku (npr. Google Apss) je storil točno to. Le, da bo težko izvedel, kam natanko jih je izvozil ter, kako je poskrbljeno za varnost. To je sicer že malo offtopic.
Kar pa ni ravno res. Varnostna točka demarkacije med "znotraj" in "zunaj" (rdeče - črno, kar je dolžnost operaterja in kar ni dolžnost operaterja) je bazna postaja. Če operater nima nadzora nad vsiljivcem, potem ne moreš reči, da je to oprema pod njegovim nadzorom, ker to ni.
Tukaj pa se potem obe stvari seštejeta. Operater ne more odgovarjati za kršitve, ki jih izvajajo drugi in drugje in na katere operativno ne more vplivati. Na operaterjevi opremi so podatki zavarovani, kar je vse o čemer govori ZVOP. Potem pa šele vstopi ZEKom, ki govori o temu, da mora biti zaščitena celovitost omrežja, ki jo tuj oddajnik zagotovo ruši. In to neodvisno od tega, če je bil tam prestrežen en sam osebni podatek, ali pa ne.
Lahko razmišljaš o morebitno soodgovornosti, če operater takšne postaje tolerira, ampak potem boš moral dokazati naklep ali malomarnost, kar pa ne bo ravno enostavno.
Tu se močno prepletajo pravna in druge tehnične stroke. Možnih scenarijev in idej nadzora je veliko. Če je operater zaznal neznano bazno postajo in še celo komuniciral z njo, potem sva že na pol poti pri dokazovanju naklepa. Če ne bo pobrisal konkretnih podatkov, ki potrjujejo obstoj te postaje, bi težko prepričal (zapriseženo) stroko, da ni vedel, kaj se dogaja. Prav tako bi ob pobrisanih konkretnih podatkih lahko proučili, kako deluje oprema v postavitvi, ki jo uporablja operater, v smeri zaznave takšne postaje. To bi bilo sicer za našo represivno-pravosodno dvoživko gotovo pretrd oreh! Ob predpostavki, da je operater vedel za dejavnost take postaje, je torej vedel, da gre za prekršek, če ne celo za kaznivo dejanje. In če gre za KD, potem ga je še dolžan naznaniti! Torej imava Kot praviš, Tudi vprašanje je, kako so podatki zavarovani. Če gre za varnostne mehanizme, ki jih vsak mulec odstrani, to zame ni nikakršno varovanje in s tem z ZEKom-om predpisana zaščita omr. ne more biti zagotovljena.
Jaz sem o šibah poenostavil na glaboe, kar si zapisal,pa mi je definitivno všeč!
Ko izpostavljaš IP promet, je tu situacija dejansko zelo podobna in hkrati posebna. Podobna, ker lahko pride do podobnih odklonov, posebna pa, ker ni tako lokalno omejena, kot je telefonija v neki nacionalni frekvenčni shemi. Toda pozor, spet lahko prideva hitro do dileme, operater mob. tel. lahko uporabi VoIP namesto ISDN in IP promet od bazne do bazne ali priključka na svoji poti seka tujo zemljo. Ampak vseeno, jaz bi vedno zavzel stališče, da je potrebno zagotoviti inf. varnost, kjer je le možno.
ZVOP še celo prepoveduje izvoz os. podatkov brez posebnega dovoljenja, kar recimo za IP promet ne velja, če pa neko podjetje uporablja storitve v rač. oblaku (npr. Google Apss) je storil točno to. Le, da bo težko izvedel, kam natanko jih je izvozil ter, kako je poskrbljeno za varnost. To je sicer že malo offtopic.
enadvatri ::
BlueRunner je izjavil:
Se strinjam samo deloma, namreč če operater zazna, da ima v svojem omrežju tujek, kar 3rd party "fake" bazna postaja je, mora anomalijo odpraviti, ne pa se obrniti stran.
Kako pa odpraviš to, da imaš nekje zunaj enega, ki ti dela težave? Boš odklopil vse svoje bazne na tistem področju?
Scenarij:
Scenarij je bolj takšen:
F: Ej, Jože na včerajšnjih grafih je bilo nekaj čudnega videti. Nekdo je verjetno okrog s kovčkom skakal.
J: Eh, jebiga.
Jaz bi "jih" pozval, da izklopijo. Naslednji korak bi bili mediji.
BlueRunner ::
Tu se močno prepletajo pravna in druge tehnične stroke. Možnih scenarijev in idej nadzora je veliko. Če je operater zaznal neznano bazno postajo in še celo komuniciral z njo, potem sva že na pol poti pri dokazovanju naklepa.
Ponudnik storitev ni dolžan nadzirati ali hraniti podatkov, ki jih pošilja ali hrani, ali dejavno raziskovati okoliščin, nakazujočih na protipravnost podatkov, ki jih zagotavlja prejemnik storitve. Če se je tuja bazna postaja samovoljno in brez odobritve operaterja povezala v omrežje ter v njemu povzročala motnje, potem ne moreš naložiti operaterju policijskega dela.
Če ne bo pobrisal konkretnih podatkov, ki potrjujejo obstoj te postaje, bi težko prepričal (zapriseženo) stroko, da ni vedel, kaj se dogaja.
Ko in če slučajno kakšen tehnik opazi kakšno anomalijo, je kovček v 99% primerov lokacijo že davno zapustil in torej več ni kaj za storiti. Če je še vedno tam, pa je tudi težko kaj storiti.
Prav tako bi ob pobrisanih konkretnih podatkih lahko proučili, kako deluje oprema v postavitvi, ki jo uporablja operater, v smeri zaznave takšne postaje. To bi bilo sicer za našo represivno-pravosodno dvoživko gotovo pretrd oreh!
Izhodišče, da si bi operater te podatke želel pobrisati temelji na tvoji predpostavki, da je zavezan k nekem posebnem ukrepanju. Ker temu ni tako, nima nikakršnega interesa, da se bi s tem ukvarjal ali morebitne podatke o delovanju svoje opreme tudi brisal.
Ob predpostavki, da je operater vedel za dejavnost take postaje, je torej vedel, da gre za prekršek, če ne celo za kaznivo dejanje. In če gre za KD, potem ga je še dolžan naznaniti!
Tega ne veš. Morda gre za popolnoma legalno in zakonito dejavnost katerega izmed naših preiskovalnih organov. Pa tudi, če gre za sum k.d., to še ne pomeni, da je operater karkoli dolžan naznanjati.
Tudi vprašanje je, kako so podatki zavarovani. Če gre za varnostne mehanizme, ki jih vsak mulec odstrani, to zame ni nikakršno varovanje in s tem z ZEKom-om predpisana zaščita omr. ne more biti zagotovljena.
Če je sistem v splošni uporabi in torej ni specifičen za določenega operaterja, potem zapade v kategorijo "upoštevan tehnološki razvoj in stroški izvedbe". Težko boš izločil katerega koli operaterja in ga štrafal, če je njegova tehnološka rešitev skladna s tehnološkimi rešitvami, ki se uporabljajo po celotnem planetu.
Kar moraš storiti je to, da tako ali drugače sam (recimo, da govorim iz vidika zakonodajalca/regulatorja) ugotoviš kakšen mora biti standard varovanja in katere tehnologije so dejansko na voljo (in ne samo v uporabo), nato pa s takšnimi ali drugačnimi mehanizmi zagotoviti, da se pri vseh zagotovi prehod na višjo stopnjo varnosti. No, pa še "tehnologije" beri kot "tehnologije in standardi ravnanja", da ne bo kdo mislil, da je rešitev samo v tehniki.
Ampak vseeno, jaz bi vedno zavzel stališče, da je potrebno zagotoviti inf. varnost, kjer je le možno.
Tukaj sva na liniji.
ZVOP še celo prepoveduje izvoz os. podatkov brez posebnega dovoljenja, kar recimo za IP promet ne velja, če pa neko podjetje uporablja storitve v rač. oblaku (npr. Google Apss) je storil točno to. Le, da bo težko izvedel, kam natanko jih je izvozil ter, kako je poskrbljeno za varnost. To je sicer že malo offtopic.
IP naslov je oseben podatek, kar pomeni, da je vsak IP promet po nujnosti tudi prenos osebnih podatkov.
Vendar pa je jasna ločnica, da operater, kjer opdatki izvirajo, ali pa k katerem prihajajo, ni odgovoren za varovanje teh podatkov izven kroga svoje omrežja. To pa se končna na zadnji točki, ki jo operater še upravlja ali ima do nje dostop. Na eni strani so peering linki, na drugi strani so to povezave na zadnjem kilometru.
Pa če recimo pomisliš na staro PSTN telefonijo in prisluškovanje s krokodilčki med sosedi. Tam je stvar dejansko takšna, da do zadnje telekomove omarice za varnost odgovarja telekom, od omarice naprej pa nekdo drug. Če je kdo vdrl v omarico, bo Telekom podal kazensko ovadbo, ker je bil žrtev kaznivega dejanja. Če pa je nekdo pripel krokodilčke na drugi strani, pa Telekom s tem ne bo imel nič, ker ni bil neposredno oškodovan. Oškodovanec, torej nek uporabnik, pa bo moral sam podatki kazensko ovadbo.
Ni lepo, ampak tako pač je. Mejo je potrebno nekje potegniti in v dobrem ali slabem, jo je najbolje potegniti tam, kjer se konča nadzor in/ali dostop do konkretne opreme.
poweroff ::
Jaz bi "jih" pozval, da izklopijo. Naslednji korak bi bili mediji.
Žal so slovenski operaterji v splošnem prevelike "pičke" za kaj takega. Saj si videl - najprej so celo trdili, da je takšno prestrezanje NEMOGOČE, ko jih je pa Dare iz Monitorja soočil s konkretnimi podatki (GSM hacking project / USRP / Osmocom / OpenBTS / OpenBSC / ...) so pa le s težavo izdavili, da je to mogoče v nekih labolatorijskih pogojih...
Da smo si na jasnem. Če hoče policija ali SOVA ZAKONITO prisluškovati ima na voljo VSE USTREZNE MEHANIZME ZA TO. Pridobi sodno odredbo, operater pa jim mora omogočiti dostop. Ne rabi nobene posebne opreme.
Takšna oprema se torej uporablja izključno za nezakonito prisluškovanje.
In še enkrat bom rekel - tako opremo imajo pri nas tudi zasebniki. Vem iz prve roke.
sudo poweroff
BlueRunner ::
Žal so slovenski operaterji v splošnem prevelike "pičke" za kaj takega.
Ahem. Koga pa naj "pozovejo"? Ali v etru slučajno piše "Prestrezanje by SOVA™", da bi vedli pri komu protestirati?
poweroff ::
Ne, raziščejo zadevo, pripravijo tech report in potem skličejo tiskovno, kjer predstavijo podrobnosti motenj.
Ampak ne - raje se fura fama o 100% varnosti...
Ampak ne - raje se fura fama o 100% varnosti...
sudo poweroff
BlueRunner ::
Ne, raziščejo zadevo, pripravijo tech report in potem skličejo tiskovno, kjer predstavijo podrobnosti motenj.
Varianta B: takšne stvari redko kdaj sploh kdo opazi, stranke se ne pritožujejo, tehniki, ki bi sploh imeli dovolj znanja za predstaviti karkoli več od "veste, tole je pa nekaj čudnega", imajo za početi druge stvari. Tudi, če se bi to storilo, bi bil neto efekt tega, kar predlagaš za operaterja kakšen?
Veš, bottom line je, da ljudje v firmah praviloma ne počno stvari, ker se jim zdijo fine ali pa zato, ker bi s tem reševali svet. V bistvu so plačani zato, da delajo stvari, ki prinašajo denar oziroma preprečujejo, da bi denar odtekal. Če pokažeš kako bo operater preprečil izgubo s tem, da kaj takšnega sploh poskusi storiti, potem bo pri njih morda kdo res prisluhnil.
Dokler pa se to ne zgodi, pa sam raje bolj stavim na regulativne šibe. Ker so nekatere stvari pač takšne, da se jih ne rabi ali pa tudi ne sme prepuščati t.i. "svobodnem trgu".
Pa upam, da si kdo ne misli, da so te "regulativne šibe" na tem konkretnem področju kakšna slovenska posebnost. Praktično povsod v EU se pojavlja enaka težava in šibe rastejo (oziroma so zrasle) v Bruslju.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
poweroff ::
BlueRunner je izjavil:
Veš, bottom line je, da ljudje v firmah praviloma ne počno stvari, ker se jim zdijo fine ali pa zato, ker bi s tem reševali svet.
That is exactly I was talking about.
sudo poweroff
Macketina ::
Link na Alter, kjer je nek uporabnik napisal:
Se popolnoma strinjam - fake bazne se uporablja zgolj in le za nezakonito prisluskovanje. Vsi ostali imajo legalne moznosti pridobitve dovoljenja in prisluhov. Glede na intervju v Monitorju se da sklepat da potem letajo okoli MP3 fajli
Matej,
se zdaj ne vem natancno, kaj imajo te zasebniki. Opremo za prestrezanje prometa, ki je dobro zakriptirano in jim ne pomaga nic? Moznost jamminga UMTSja in fallback na GSM ki se ga da razbiti? Ves cas namigujes na omenjene stvari pa nic konkretnega
Ja pa nimas dovoljenja za uporabo frekvence... to je izvirni greh. Ce ti nabijes navidezno bazno v omrezje in mas premocen Tx bos motil omrezje operaterja ki deluje na teh frekvencah. In ja to se opazi v roku pol ure, ce pa te iscejo pa takoj. In pol prvo operater poslje kombije ven pol pa se APEK. To je kar se tice same "zlorabe" frekvence. zdej ce bi ti dejansko izvajal prisluhe pa bi se se kdo drug vkljucil.
Se popolnoma strinjam - fake bazne se uporablja zgolj in le za nezakonito prisluskovanje. Vsi ostali imajo legalne moznosti pridobitve dovoljenja in prisluhov. Glede na intervju v Monitorju se da sklepat da potem letajo okoli MP3 fajli
Matej,
In še enkrat bom rekel - tako opremo imajo pri nas tudi zasebniki. Vem iz prve roke.
se zdaj ne vem natancno, kaj imajo te zasebniki. Opremo za prestrezanje prometa, ki je dobro zakriptirano in jim ne pomaga nic? Moznost jamminga UMTSja in fallback na GSM ki se ga da razbiti? Ves cas namigujes na omenjene stvari pa nic konkretnega
BlueRunner ::
Se popolnoma strinjam - fake bazne se uporablja zgolj in le za nezakonito prisluskovanje. Vsi ostali imajo legalne moznosti pridobitve dovoljenja in prisluhov.
Bazne za prisluhe imajo rang od nekaj 100m do nekaj 10m. To so v osnovi precej fina orodja ravno zato, da ne delajo dreka. Cilj je predvsem neopaznost. Ravno tako je njihova bistvena lastnost, da so premične in se jih dejansko uporablja za slednje tarči. Kakršni koli kombiji, ki bi skakali po terenu zaradi takšnih "tranzient" šumov so tukaj čista fantazija.
Nekaj drugega pa je, ko kakšen preveč nadebuden elektronik napaca skupaj stvar, ki povzroča resne motnje pri delovanju omrežja - namenoma ali pa slučajno. Vendar pa so ti stacionarni in se jih res hitro najde in potem ustrezno oglobi. Oh, pa nihče od operaterja ne rabi iti nikamor v kombi. Če je moč oddajanja tolikšna, da res povzroča motnje se pogleda po nekaj sektorskih antenah in se hitro najde "križec", kjer je takšen močan vir oddajanja.
No, me pa zanima kje so bili APEK, policija in črni kombiji, ki je v Mariboru na sodišču deloval motilec signala... dober mesec dni nazaj. Pa še je takšnih primerov. Pa so to po jakosti tam, tam, kjer so tudi mobilni prisluhi. Očitno to ni tako huda težava, da bi vsi nenadoma spustili, kar počno, in leteli naokoli iskati krivce.
enadvatri ::
BlueRunner je izjavil:
Žal so slovenski operaterji v splošnem prevelike "pičke" za kaj takega.
Ahem. Koga pa naj "pozovejo"? Ali v etru slučajno piše "Prestrezanje by SOVA™", da bi vedli pri komu protestirati?
Bolj za šalo; med BCC naslovnike bi dal SOVO in Polcijo, eden bi se že oglasil.
enadvatri ::
Jaz bi "jih" pozval, da izklopijo. Naslednji korak bi bili mediji.
Žal so slovenski operaterji v splošnem prevelike "pičke" za kaj takega. Saj si videl - najprej so celo trdili, da je takšno prestrezanje NEMOGOČE, ko jih je pa Dare iz Monitorja soočil s konkretnimi podatki (GSM hacking project / USRP / Osmocom / OpenBTS / OpenBSC / ...) so pa le s težavo izdavili, da je to mogoče v nekih labolatorijskih pogojih...
Da smo si na jasnem. Če hoče policija ali SOVA ZAKONITO prisluškovati ima na voljo VSE USTREZNE MEHANIZME ZA TO. Pridobi sodno odredbo, operater pa jim mora omogočiti dostop. Ne rabi nobene posebne opreme.
Takšna oprema se torej uporablja izključno za nezakonito prisluškovanje.
In še enkrat bom rekel - tako opremo imajo pri nas tudi zasebniki. Vem iz prve roke.
Imaš kakšno Nokio 33xx za izposojo?
enadvatri ::
Ne, raziščejo zadevo, pripravijo tech report in potem skličejo tiskovno, kjer predstavijo podrobnosti motenj.
Ampak ne - raje se fura fama o 100% varnosti...
Na eni izmed linux konferenc IBLOC sem slišal od zaposlenega na Si.mobilu, da so imeli težave z nekim izraelskim kosom aktivne opreme, pa so to reševali s proizvajalcem. Ko so tehniki iz zasedene Palestine omenili, da bo potrebno napravo posodobiti (flešati s popravkom), so pri Si.mobilu ugotovili, da se ta ne odziva. Po nekaj minutah so jim povedali, da je že urejeno. Lahko, da je samo una bella storia, sem jo pa slišal na prvo uho. Toliko o fami o varnosti.
BlueRunner ::
Toliko o fami o varnosti.
No, eno je fama, drugo je pa dejstvo, da te lahko pri teh zgodbah tudi najboljši "prijatelji" na suho nat...
Bom rekel tako: Simobilova zgodbica je potem, ko črtaš ven tehnike iz zasedene Palestine in izraelsko opremo, čisto verjetna. Plausible, kot bi rekli Angleži. Je bil čas, ko sem mislil, da imajo podjetja iz Izraela najboljšo varnostno opremo, vendar pa jim ne gre za zaupati, ker je Izrael že velikokrat dokazal, da bo vohljal tudi za najboljšimi prijatelji (konkretno ZDA), če bo to le lahko počel. No, potem pa sem, nekaj na lastni koži, nekaj pa tudi po naključju, ugotovil, da med "tatovi" pač ni časti. Čisto vsakdo ima interes, da ti bo te stvari prestrezal.
Da, ne bo govora o megli, pa si lahko vsakdo pogleda zgodbo o prisluhih v Grčiji. Pod črto potem ugotoviš, da te lahko tudi tvoji lastni prijatelji v EU čisto komot okoli prinesjo, če ne paziš na te stvari (tukaj so se pojavljali sumi, da za vdorom stoji nemška obveščevalna). Ravno tako so tukaj skrite kar tri lekcije, ki so jih vsaj pri nas v celoti spregledali:
- operaterji praviloma nimajo nikakršne ekspertize, da bi bili sposobni gledati pod prste uradnim vzdrževalcem kritične opreme;
- predstavniki naše države niso niti enkrat v celotni zgodovini te države v razpisu za ponudnika katere koli storitve elektronskih komunikacij preverili varnost omrežja (tehniko in postopke), preden so mu oddali posel;
- vedno več vzdrževanja se opravlja na daljavo iz lokacij, kot so Singapur, Kitajska, ZDA, Indija. Tudi, če se dostopa ne omogoči neposredno od tam, so to mednardone korporacije, za katere nikoli ne veš kdo in od kje opravlja vzdrževalna ali "vzdrževalna" dela. Nadzor opravljanja teh del, pa je praviloma minimalen, če sploh je.
Pa ko smo že pri temu. Tega tudi nove spremembe ZEKom ne bodo rešile. Ta problem bi lahko reševal samo strog in neprestan nadzor tehnično kompetentnih ljudi, ki dejansko vedo kaj in kako se dogaja. Je pa res, da bi, vsaj kar se tiče mobilne telefonije, najkrajšo potegnila T-2 in Tuš. Imata svojo opremo, vendar pa jo praktično ne upravljata sama, ker je za njih to bolj "rešitev na ključ", kot pa kaj drugega, nove varnostne zahteve pa bi za njih verjetno pomenile nesorazmerno velik strošek glede na število naročnikov. Simobil in Telekom bi takšno zaostritev verjetno lažje absorbirala in stroške bolj neopazno razpršila na naročnike.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
enadvatri ::
Jaz še vedno naivno verjamem, da je tisto zgodbica. Če je kaj resnice (plausible scenario), jo pač je. Kako pa veš, da Simobil nima izraelske opreme? Radoveden. Na dogajanje v Grčiji sem že skoraj pozabil, tisto je bilo tudi zanimivo, ja! Kdo in kje je sumil na Nemce? Grki? Ali misliš na to pri nas oz. kje drugje? Moj nevronski cvet je šele sedaj povezal, kaj pa, če pri nas operater odkrije kaj nenavadnega in za tem ne stojita SOVA ali Policija (imam v mislih tuje obv. službe)? Tehnologijo krotiti brez ustreznega znanja in sredstev je hudič. Zakonodaja je samo okvir, se strinjam s tabo. Ti dam drug primer, že sedaj razne male in srenje velike slovenske firme (ne korporacije) "vidarjo" (dostopajo do delovnih postaj za potrebe podpore brez kakršnega koli nadzora) na sodišča, občine ... Ni nevem kakšen podvig uporabiti ISL odjemalec. Tako če bi HKOM imel malo bolj sofisticiran požarni zid, takšne "podpore" preprosto ne bi bilo; kaj pa ve ena uporabnica, če se je tip odjavil oz. ni vmes še česa drugega "postoril". Ravno zato bi v majhnih državah lahko operaterji in ablast staknili glave skupaj ter zagotovili ustrezno opremo (npr. posebne prehode, požarne zidove, senzorje) za nadzor nad omrežji (tehnologijo) in ne uporabniki. Ravno tako bi lahko imeli nek javno-zasebni inštitut za nadzor tehnologije in priporočila (servis za varnostno pomoč operaterjem, ponudnikom ...). Raje to plačujem, kot Popoviču razne spomenike (krožišča za peščce, vodomete, barvno-kičasto ulično razsvetljavo).
BlueRunner ::
Kako pa veš, da Simobil nima izraelske opreme?
Ne vem. Kar sem želel povedati, je da bi izjava/zgodbica lahko bila resnična tudi v obliki "..., da so imeli težave z nekim ____________ kosom aktivne opreme, pa so to reševali s proizvajalcem. Ko so tehniki iz ____________ omenili, da ..." Namesto črtic vstavi poljubno državo in skupino ljudi, pa bo to še vedno zelo verjetna zgodbica.
To je tisto, kar je res scary.
če pri nas operater odkrije kaj nenavadnega in za tem ne stojita SOVA ali Policija
To bi bilo v bistvu edina zaželjna varianta, ker bi potem eni od teh dveh zadeve prevzeli v preiskovanje. Vse ostalo pomeni, da imaš bistveno večjo težavo.
Ti dam drug primer, že sedaj razne male in srenje velike slovenske firme (ne korporacije) "vidarjo" (dostopajo do delovnih postaj za potrebe podpore brez kakršnega koli nadzora) na sodišča, občine ...
No, na tem podričju nisem domač, se mi pa to sploh ne sliši nič čudnega. V splošnem se stroške vzdrževanja uspešno zmanjšuje z oddaljeno podporo. Je pa res, da nekatere stvari za takšen pristop niso primerne, ali pa so samo pogojno primerne.
Ravno zato bi v majhnih državah lahko operaterji in ablast staknili glave skupaj ter zagotovili ustrezno opremo (npr. posebne prehode, požarne zidove, senzorje) za nadzor nad omrežji (tehnologijo) in ne uporabniki.
S čemer se bi ščitilo kaj ali koga točno?
Ravno tako bi lahko imeli nek javno-zasebni inštitut za nadzor tehnologije in priporočila (servis za varnostno pomoč operaterjem, ponudnikom ...).
To bi lahko za IP promet (torej pri ISP-jih) že nekajkrat vzpostavili, na koncu pa vedno nič. Kakorkoli obrneš je v Sloveniji na tem področju 3,5 igralca, ki sploh nekaj pomenijo, poleg pa še SI-CERT, ki deluje pod okriljem ARNES-a. Zadnji takšen moment, ko se bi skoraj uspeli sestaviti skupaj, je bil takrat, ko je država začela s cenzuro tujih spletnih mest, kjer se nahajajo igre na srečo. No, Telekom je takrat zatajil, končen efekt pa je, da se SI-CERT še vedno trudi, kontakti pa so še vedno na osnovi osebnih poznanstev posameznih zaposlenih.
Sicer grem že sam sebi malo na jetra, ko vlečem ven ta ubogi osnutek novega ZEKom, ampak tukaj lahko dodam, da to v njemu po moji oceni tudi še ni dovolj dobro urejeno. Tako se bo znova čakalo, da se večina ali vsaj največji operaterji malo premaknejo naprej. Čes kakšnih 7 let nesreče, pa se bo morda tudi to začelo regulirati.
Raje to plačujem, kot Popoviču razne spomenike (krožišča za peščce, vodomete, barvno-kičasto ulično razsvetljavo).
Verjel ali ne, je to v primerjavi s kakšnimi drugimi "spomeniki" državni potrati, praktično zastonj za postaviti. Problem je v temu, da morajo to aktivno storiti operaterji - zasebne entitete - ki pa jih te stvari na ravni celotnega podjetja praviloma ne brigajo preveč.
enadvatri ::
Blue,
razumem,sem mislil,da imaš kakšnega konkretnega proizvajalca v mislih ali, da si slišal kaj podobnega.
Želena, zakaj? Saj tudi njih ne bi odkrili oz. še težje pripelljali zgodbo do pregona.
Natanko tako glede oddaljenega nadzora, je koristen, a ne moreš s kosilnico za trato striči ljudi (sem se potrudil s prispodobo).
Ščitilo varnost omrežij in uporabnikov.
Lepo, da so staknili glave, a cenzura me nič kaj ne nadihuje (predvsem pa ni bila nikoli učinkovita). ZEKom ali drugi zakon, urejeno ali ne, nekje je treba začeti. Važno, da se osnutki pišejo v pravo smer.
Imaš zakonodajalca, ki to predpiše in nameni nekaj denarja in drugih razpoložljivih sredstev v pomoč, ponudi roko. Vem, da ni enostavno, a ne bi bilo slabo.
razumem,sem mislil,da imaš kakšnega konkretnega proizvajalca v mislih ali, da si slišal kaj podobnega.
Želena, zakaj? Saj tudi njih ne bi odkrili oz. še težje pripelljali zgodbo do pregona.
Natanko tako glede oddaljenega nadzora, je koristen, a ne moreš s kosilnico za trato striči ljudi (sem se potrudil s prispodobo).
Ščitilo varnost omrežij in uporabnikov.
Lepo, da so staknili glave, a cenzura me nič kaj ne nadihuje (predvsem pa ni bila nikoli učinkovita). ZEKom ali drugi zakon, urejeno ali ne, nekje je treba začeti. Važno, da se osnutki pišejo v pravo smer.
Imaš zakonodajalca, ki to predpiše in nameni nekaj denarja in drugih razpoložljivih sredstev v pomoč, ponudi roko. Vem, da ni enostavno, a ne bi bilo slabo.
BlueRunner ::
Želena, zakaj? Saj tudi njih ne bi odkrili oz. še težje pripelljali zgodbo do pregona.
Želena v veliki sliki stvari, kjer sta naša Policija in SOVA "dobri fantje", vsi ostali pa "slabi fantje". Delo dobrih fantov pa je, da lovijo slabe. Če pa ugotoviš, da so naši "dobri fantje" v bistvu slabi, potem pa imaš čisto drugačne vrste težavo, ki se je ne more reševati po regelcih. Ne po efektu morebitnega pregona, temveč zato, ker je dejstvo, da imaš v organu s posebnimi pooblastili gnila jabolka, mnogo slabše od vseh ostalih variant. Iz vidika potencialne škode, iz vidika zahtevnosti preiskovanja, iz vidika zahtevnosti pregona, ...
Natanko tako glede oddaljenega nadzora, je koristen, a ne moreš s kosilnico za trato striči ljudi (sem se potrudil s prispodobo).
Cenim primerjavo. No, na temo kako imeti torto in jo tudi pojesti, se bi dalo napisati marsikaj. Je pa res, da se večina stvari začne in konča na "človeškem faktorju". Sicer ugibam, ampak verjetno imaš tukaj tako ali drugače opraviti z zdesetkano ekipo tehničnih strokovnjakov zaposlenih v JU, ki bi lahko primerno nadzorovali zunanje vzdrževalce. Potem pa glava boli, ko se datoteke znajdejo v nepoklicanih rokah.
Ščitilo varnost omrežij in uporabnikov.
Misliš na javna komunikacijska omrežja in uporabnike?
Lepo, da so staknili glave, a cenzura me nič kaj ne nadihuje (predvsem pa ni bila nikoli učinkovita).
Ne, ne... nisi poštekal. Sedli so skupaj, ko so se ustrašili stroškov. Potem pa, ko se je UNPIS umiril, pa je tudi interes za povezovanje izginil. Cenzura je bila tukaj samo vzrok višanja stroškov dela. Lahko bi bilo tudi kaj drugega.
ZEKom ali drugi zakon, urejeno ali ne, nekje je treba začeti. Važno, da se osnutki pišejo v pravo smer.
To je res. Sam bi pa dodal, da je potrebno v vsaki iteraciji sprememb notri spraviti čim več od trenutnih dognanj in znanja, da se ne caplja preveč za časom.
Imaš zakonodajalca, ki to predpiše in nameni nekaj denarja in drugih razpoložljivih sredstev v pomoč, ponudi roko. Vem, da ni enostavno, a ne bi bilo slabo.
V bistvu imamo trenutno zakonodajalca, ki se ukvarja z drugo problematiko. Kar me dejansko čudi... v poplavi vsega dela, se zadev, ki se še kako zelo dotikajo delovanja informacijske družbe in splošnega varovanja pravic državljanov v novem okolju vseprisotnega zbiranja podatkov in neprestane komunikacijske povezanosti. OK, priznam, da je to bil "buzzword overload" stavek, ampak ni daleč od resnice. Zakonodaja je trenutno nekje med 1984 in 1994, piše pa se skoraj že leto 2012. Pa ne samo naša. Celotna EU. Uproabniki pa se potem srečujejo s konfliktom med tem, kar pričakujejo, da bi moralo biti urejeno in tem, da so nekatere stvari dejansko daleč od urejenosti.
enadvatri ::
Mislim na javna kom. omrežja in nas uporabnike.
Zdaj sem poštekal.
Stvari so dejansko neureje, da smo za kačami vedo še kače same.
Zdaj sem poštekal.
Stvari so dejansko neureje, da smo za kačami vedo še kače same.
BlueRunner ::
Mislim na javna kom. omrežja in nas uporabnike.
He, he. Jp. Ko vzpostaviš sistem za nadzor omrežja, dejansko vzpostaviš sistem za nadzor uporabnikov. To dvoje je postopoma postalo neločljivo povezano. Če si imel v fiksnem telefonskem svetu en kanal za signalizacijo, drugega pa za podatek (govor ali pa kaj drugega), je to v GSM svetu že precej skonvergiralo (konec koncev je SMS prenešen po "signalizacji"), v IP svetu, pa se to dvoje brez vpogleda v vsak posamičen paketek več ne da ločiti.
Če si v fiksnem telefonskem svetu zaradi ločenosti signalizacije od uporabnika imel zelo dobro demarkacijo in s tem varnost, pa je danes ta meja popolnoma izbrisana.
Ko vzpostaviš nadzor omrežja, dejansko vzpostaviš nadzor vsebine vseh komunikacij (sploh na IP). Čeprav je ideja na prvi pogled čudovita, pa se takšnega sveta dejansko bojim. Kot me je Gorazd (iz SI-CERT zgodbe) enkrat lepo vprašal, ko sem mu razlagal kako bi lahko DPI tehnologijo uporabili za zaščito uporabnikov pred njimi samimi: kdo pa si ti, da boš odločal o temu, kaj sme uporabnik delati ali ne. Moram reči, da ko se enkrat (vsaj miselno) prestaviš iz vloge nadzornika v vlogo nadzorovanega, postanejo takšne ideje res strašljive. Vsaj meni osebno.
poweroff ::
se zdaj ne vem natancno, kaj imajo te zasebniki. Opremo za prestrezanje prometa, ki je dobro zakriptirano in jim ne pomaga nic? Moznost jamminga UMTSja in fallback na GSM ki se ga da razbiti? Ves cas namigujes na omenjene stvari pa nic konkretnega
Torej, obstajajo mavrične tabele (2 TB) za razbijanje A5/2, obstaja strojna oprema za pasivno prestrezanje (USRP), obstaja BTS kupljena preko eBaya za par sto EUR, obstaja OpenBTS software, obstaja Kraken software, pa obstajajo ljudje, ki poznajo delovanje GSM omrežja.
Imaš kakšno Nokio 33xx za izposojo?
A veš, da sem obredel pol Ljubljane, da sem jo kupil. Pa še pol, da sem kupil tisti posebni kabel...
Kar se tiče Izraelcev je tisto ZELO verjetna zgodbica. Se spominjam kako mi je pred časom eden iz SOVE razlagal kako so Izraelci na podoben način nategnili SOVI sorodno tajno službo neke zahodno evropske države. Baje se obveščevalci po Evropi še sedaj režijo na ta račun...
sudo poweroff
enadvatri ::
BlueRunner je izjavil:
Mislim na javna kom. omrežja in nas uporabnike.
He, he. Jp. Ko vzpostaviš sistem za nadzor omrežja, dejansko vzpostaviš sistem za nadzor uporabnikov. To dvoje je postopoma postalo neločljivo povezano. Če si imel v fiksnem telefonskem svetu en kanal za signalizacijo, drugega pa za podatek (govor ali pa kaj drugega), je to v GSM svetu že precej skonvergiralo (konec koncev je SMS prenešen po "signalizacji"), v IP svetu, pa se to dvoje brez vpogleda v vsak posamičen paketek več ne da ločiti.
Če si v fiksnem telefonskem svetu zaradi ločenosti signalizacije od uporabnika imel zelo dobro demarkacijo in s tem varnost, pa je danes ta meja popolnoma izbrisana.
Ko vzpostaviš nadzor omrežja, dejansko vzpostaviš nadzor vsebine vseh komunikacij (sploh na IP). Čeprav je ideja na prvi pogled čudovita, pa se takšnega sveta dejansko bojim. Kot me je Gorazd (iz SI-CERT zgodbe) enkrat lepo vprašal, ko sem mu razlagal kako bi lahko DPI tehnologijo uporabili za zaščito uporabnikov pred njimi samimi: kdo pa si ti, da boš odločal o temu, kaj sme uporabnik delati ali ne. Moram reči, da ko se enkrat (vsaj miselno) prestaviš iz vloge nadzornika v vlogo nadzorovanega, postanejo takšne ideje res strašljive. Vsaj meni osebno.
Če bi posamezne storitve, naj si bo SMS, MMS ali pa govorni klici, imele ustrezno šifriranje oz. varnost v zasnovi, ne bi imeli težav zaradi "konvergence storitev z ostalimi plastmi tehnologije".
Nevtralnost interneta mora ostati, tudi jaz sem takšnega prepričanja. Z DPI tehnologijo lahko delaš čudeže. Tukaj se res pojavi problem transparentnosti in dopustnosti namer države napram nam. Načeloma, če je rešitev dovolj transparentna in dovolj odporna na zlorabe, pol sem za strojno prečesavanje. Ampak naših z DPI požarnimi zidovi, ki so jim jih prodali Izraelci, res ne bi rad! Tudi IPv6 ima kar precej pojačan koncept varnosti napram v4, pa še vseeno ni baš nešto. Gre v tej smeri.
se zdaj ne vem natancno, kaj imajo te zasebniki. Opremo za prestrezanje prometa, ki je dobro zakriptirano in jim ne pomaga nic? Moznost jamminga UMTSja in fallback na GSM ki se ga da razbiti? Ves cas namigujes na omenjene stvari pa nic konkretnega
Torej, obstajajo mavrične tabele (2 TB) za razbijanje A5/2, obstaja strojna oprema za pasivno prestrezanje (USRP), obstaja BTS kupljena preko eBaya za par sto EUR, obstaja OpenBTS software, obstaja Kraken software, pa obstajajo ljudje, ki poznajo delovanje GSM omrežja.
Imaš kakšno Nokio 33xx za izposojo?
A veš, da sem obredel pol Ljubljane, da sem jo kupil. Pa še pol, da sem kupil tisti posebni kabel...
Kar se tiče Izraelcev je tisto ZELO verjetna zgodbica. Se spominjam kako mi je pred časom eden iz SOVE razlagal kako so Izraelci na podoben način nategnili SOVI sorodno tajno službo neke zahodno evropske države. Baje se obveščevalci po Evropi še sedaj režijo na ta račun...
Jaz dobim eno od tvojega supplier-ja. Pa na FB sem napisal, da jo potrebujem in so se mi 3 javili z delujocimi. A to z eBay-ja je kdo pri nas kupil? OpenBTS?
Zgodovina sprememb…
- spremenilo: enadvatri ()
BlueRunner ::
Če bi posamezne storitve, naj si bo SMS, MMS ali pa govorni klici, imele ustrezno šifriranje oz. varnost v zasnovi, ne bi imeli težav zaradi "konvergence storitev z ostalimi plastmi tehnologije".
Ah, ko bi le vse to vedeli že 30 let nazaj.
No, ampak saj se učimo. Tudi na lastnik napakah. Tako mimogrede, kot medmet: H.323/RTSP, SIP/RTSP in FTP so primeri standardov, ki tudi na IP-ju še vedno vsaj minimalno ločujejo signalizacijo (oziroma kontrolni kanal) od vsebine (podatkovni kanal). Cel kup drugih, pa tega več ne. Ugani, kateri protokoli imajo največ težav z NAT-om oziroma dejstvom, da IPv4 praktično že od trenutka, ko je postal široko dostopen, za večino uporabnikov praktično nima možnosti polne endpoint-to-endpoint povezljivosti. Ta okoliščina pa je pravzaprav po darwinovsko poskrbela, da so danes protokoli, ki imajo pomešane podatke s signalizacijo praktično prevladali.
Nevtralnost interneta mora ostati, tudi jaz sem takšnega prepričanja. Z DPI tehnologijo lahko delaš čudeže.
Ne, da si bi preveč zapel za to, ampak nevtralnosti interneta neposredno nima kaj dosti za opraviti s problematiko varnosti. Čeprav pri vseh teh zgodbah srečuješ isto kratico.
Tukaj se res pojavi problem transparentnosti in dopustnosti namer države napram nam. Načeloma, če je rešitev dovolj transparentna in dovolj odporna na zlorabe, pol sem za strojno prečesavanje.
Eno je napram državi. Vendar pa, če pogledaš z malo distance, je država v IP omrežjih pravzaprav zelo omejen. Bolj zabavno (not!) je, ko se začne v to vpletati zasebna sfera. Pa ne samo iz vidika neke nevtralnosti, temveč iz vidika zbiranja podatkov o tebi osebno in predpisovanja kaj smeš in česa ne smeš početi. In verjemi, da čisto vsakdo nekaj skriva in čisto vsakogar se da spremeniti v produkt in z njim zaslužiti. Pa naj si bodo to reklame na spletni strani, ali pa pregledovanje vsebine elektronske pošte.
Ampak naših z DPI požarnimi zidovi, ki so jim jih prodali Izraelci, res ne bi rad!
Ne se preveč obešati na izraelska podjetja. Vsaka tehnologija, ki ne ne obvladuješ, je tvegana. Je pa res, da je za operaterja v tem trenutku čisto drugače, če tvega s komunikacijami svojih uporabnikov, ali pa, če tvega s svojimi internimi IK stvarmi - tistimi generičnimi, ki so skupne vsem podjetjem. Pa verjetno lahko uganeš na kateri strani je vloženo več truda in denarja.
Tudi IPv6 ima kar precej pojačan koncept varnosti napram v4, pa še vseeno ni baš nešto. Gre v tej smeri.
Pravilno si opazil. Ni baš nešto. Še več. Ravno v zadnjem desetletju (oziroma bolj petletju), se je pokazalo, da so varnostni mehanizmi, ki jih IPv6 predvideva na 3. nivoju, trenutno neuporabni, ker nimamo dovolj zanesljive infrastrukture, da bi se to polno usposobilo. Še tisto, ki se jo je pa letos resno zagnalo (DNSSEC), pa se v ZDA že poskuša generalno sabotirati. Se bojim, da ne bo potrebno dovolj dolgo čakati, da se to "uredi" tudi v EU.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
enadvatri ::
Nevtralnost interneta ima z varnostjo veliko opraviti, natančneje z zlorabo varnosti, o kateri nenazadnje tudi govorimo.
To sem se bolj pošalil na račun izraelske opreme. Nimam antisemitističnih idej.
To sem se bolj pošalil na račun izraelske opreme. Nimam antisemitističnih idej.
BlueRunner ::
Nevtralnost interneta ima z varnostjo veliko opraviti, natančneje z zlorabo varnosti, o kateri nenazadnje tudi govorimo.
Posredno širi potencial za zlorabe s strani operaterja, kar je napad na varnost strank. Minimalno (več kot ni, vendar res minimalno), pa povečuje grožnjo operaterju samemu in njegovi dolžnosti, da skrbi za varnost in celovitost omrežja.
V splošnem pa sem mnenja, da imaš lahko varnost omrežja zagotovljeno tako v "nevtralnih", kot tudi v "pristranskih" omrežjih.
To sem se bolj pošalil na račun izraelske opreme.
Jaz pa želim na vsak način poudariti, da tudi nemški/francoski/švedski/ZDA/kitajski/korejski/... opremi ni za zaupati, če nimaš pod streho ali na dosegu roke ljudi, ki so jo sposobni tehnično obvladovati in samostojno nadzorovati.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Tajne preiskovalne metodeOddelek: Novice / NWO | 13713 (10264) | St235 |
» | Slovenska policija nabavlja IMSI catcherje (3) (strani: 1 2 3 4 )Oddelek: Novice / Zasebnost | 59054 (53135) | trizob |
» | Prikaz nasprotnih dejstev: Slovenska policija nabavlja IMSI catcherje (2)Oddelek: Novice / NWO | 21227 (17417) | enadvatri |
» | Napadi na pravico do anonimnega komuniciranja (strani: 1 2 )Oddelek: Novice / Zasebnost | 31747 (28089) | FrizzleFry |
» | Britanska policija poseduje opremo za tajni nadzor telefonov (strani: 1 2 )Oddelek: Novice / Varnost | 30023 (26815) | BlueRunner |