web analytics

Ustawą w opozycję, nazwij to „antyterroryzmem”

Rząd głosami posłów przyjął ustawę antyterrorystyczną. Oczywiście jak zwykle to wina PO, która to uchwaliła złą ustawę, którą z kolei zakwestionował Trybunał Konstytucyjny (chwilowo dobry, bo użyteczny).
Dało to okazję do wprowadzenia drakońskiego prawa, które jak zwykle ukara zwykłych, praworządnych obywateli, nie czyniąc żadnej szkody ani nawe utrudnienia złoczyńcom
Taka #dobrazmiana. Dla służb specjalnych. I tych, którzy wydają im polecenia

O zapisach pozwalających inwigilować obywateli bez nakazu sądu i dyskryminacji cudzoziemców (w tym z UE) nie będę w tym miejscu pisał, bo zrobią to lepiej fachowcy od prawa. I pewnie Trybunał Konstytucyjny. Którego wyroku zapewne rząd nie uzna.
Skupię się na dwóch punktach: blokowanie stron i konieczność rejestracji prepaidów (postpaidy z definicji są zarejestrowane)

Blokowanie stron
Obiekt mokrego snu polityków od wielu lat. Zabierała się do tego już PO kilka lat temu. Równie głupio. Różnica była taka, że po dużych protestach obywatelskich oraz uwzględnieniu paru opinii odłożyli projekt na półkę. Obecna, jedynie słuszna wladza ma w dupie wszelkie opinie, co pokazywała już wielokrotnie. Chcą blokować, to będą blokować. Ale czy na pewno?

Przeanalizujmy opcje: strona może być hostowana w Polsce albo poza jej granicami. W Polsce można nakazać hostingowi zablokowanie strony. W efekcie właściciel strony przeniesie ją zagranicę. Straci polska firma, straci budżet. Who cares?

Hostingu zagranicznego, dokąd nie łamie miejscowego prawa tknąć się nie da. Trzeba się więc dobrać do ruchu z Polski do danego serwera. Tylko jak? Bo nie jest to takie proste.
Są na to trzy sposoby:
Blokowanie domen:  służby nakażą polskim serwerom DNS odpowiadać, że domena złoczyńca.com nie istnieje. Z tego typu blokadami radzą sobie nawet przedszkolacy, albo używając adresu IP albo zmieniając serwer DNS (np. używając serwerów Google albo OpenDNS). Owszem, można przekierować cały zagraniczny ruch DNS na jakiś rządowy serwer, ale wtedy wiele usług korporacyjnych przestanie działać i będzie duża chryja. Zresztą domena zmienną jest i serwer może mieć codziennie nową.  Służby nie nadążą tego blokować, zwłaszcza w weekendy i święta. Ta ostatnia technika jest używana m.in. przez spamerów, którzy oprócz adresów IP zmieniają też co kilka dni domeny

Blokowanie adresów IP: niezależnie od domeny, cały ruch do danego IP jest blokowany. Rozwiązanie nieco skuteczniejsze, ale tylko nieco. Adres IP również może być zmienny, co np. jest używane przy stosowaniu serwerów z bardzo dużym obciążeniem. Ta sama strona jest hostowana przez wiele serwerów, a ruch jest rozdzielany dynamicznie. Z kolei bardzo wiele serwerów jest współdzielonych – jeden adres IP może obsługiwać bardzo wiele domen. Blokada IP zablokuje je wszystkie, a niesłusznie zablokowani będą mogli dochodzić swoich strat od państwa Polskiego, czyli od nas wszystkich.

Filtrujący serwer proxy: Rozwiązanie teoretycznie najskuteczniejsze – bezpośrednie połączenia na porty 80 i 443 (http i https) są blokowane i przekierowywane przez serwer filtrujący. Serwer może sprawdzić treść i albo przepuścić albo zablokować. Problem w tym, że takie rozwiązanie jest bardzo kosztowne, ponieważ proxy działające w skali kraju wymagałoby ogromnej mocy obliczeniowej. Powstałby też problem z certyfikatami SSL do połączeń https. W przypadku proxy nie da się w prosty sposób przejrzeć treści, serwer proxy musi ją odkodować, sprawdzić a następnie zakodować, ale tym razem używając swojego certyfikatu. W tym momencie każda współczesna przeglądarka zgłosi problem, podejrzewając phishing. Rozwiązanie takie jest stosowane w sieciach korporacyjnych, wtedy certyfikat serwera proxy jest domyślnie zainstalowany na każdym firmowym komputerze. Jednak nie da się wymusić instalacji certyfikatu na wszystkich komputerach w kraju. Oprócz tego takie rozwiązanie jest łatwe do ominięcia poprzez VPN (choć to ominięcie jest najtrudniejsze do zaimplementowania przez przeciętnego usera i zazwyczaj nie jest darmowe).  Najlepiej przekonali się o tym Chińczycy, które na swoje proxy wydali naprawdę ogromne pieniądze, budowali to przez wiele lat i można powiedzieć nawet, że odnieśli umiarkowany sukces. Ale oni mają miliony ludzi których mogli do tego zatrudnić, przy stosunkowo niewielkich kosztach. Polskie służby, patrząc po jakości stron rządowych nie mają programistom zbyt wiele do zaoferowania. W dodatku ten chiński mur internetowy jest wciąż możliwy do ominięcia. Nie jest to banalne, ale jakoś specjalnie trudne również nie.

(Więcej o sposobach blokowania przeczytacie np. tutaj)

Na koniec tej części rzecz najważniejsza: jaki cel miałaby na celu taka blokada? Czy jacyś terroryści otrzymywali instrukcje publikowane na stronie www? Nic mi o tym nie wiadomo, dziennikarzom na całym świecie również nie. A może zablokowanie stron ISIL przyniesie jakiś skutek w postaci zablokowania ich propagandy? A ilu z was czytało strony ISIL? I czy nie byłoby rozsądniej sprawdzać kto i co tam czyta, zamiast odcinać całą stronę? Bo wpisów fanatyków ISIL na Twitterze raczej się odciąć nie da, posłanka Pawłowicz nie zrezygnuje ze swojego brylowania tamże, w dodatku Pan Prezydent byłby niepocieszony bez conocnej lektury wpisów Leśnego Ruchadła.
Kogo będzie więc zablokować najłatwiej? Np. strony KOD. Albo partii opozycyjnych. Pod byle pretekstem, a jak pretekstów zabraknie, to hejterzy… zatroskani obywatele podrzucą w komentarzach jakiś prowokacyjny pretekst, np. „podłóżmy jutro bombę”
Dla zwykłych ludzi strona zniknie na jakiś czas z sieci. I o to chodzi.

Obowiązkowa rejestracja kart SIM
Taki obowiązek istniał w kraju w zasadzie od początków kart pre-paid. Po jakimś czasie zdano sobie sprawę, że jest to przepis martwy i nikt go nie ekzegwował. Bo nie miało to najmniejszego sensu. I wciąż nie ma. W dodatku większość z nas ma karty już zarejestrowane. Jeżeli kiedykolwiek przenosiłeś numer  do innej sieci – twoja karta jest już zarejestrowana. Odsetek kart bez rejestracji nie będzie taki wielki.
W dodatku służby prowadząc prawdziwe dochodzenia nie mają z tym żadnego problemu – w bazach połączeń oprócz numerów telefonów i kart SIM znajdują się również numery IMEI telefonów. Wkładasz nową, nierejestrowaną kartę SIM do swojego telefonu i już system komputerowy może skojarzyć (i to zrobi) z twoją zarejestrowaną kartą SIM, którą minutę wcześniej z tegoż telefonu wyjąłeś.
Czyli będąc terrorystą potrzebujesz nie tylko „czystej” karty SIM ale też „czystego” telefonu.
I dokładnie to samo robili prawdziwi terroryści. Nie używali – o co ich posądzano – żadnych wyrafinowanych metod szyfrowania czy tajnych połączeń. Wysyłali zwykłe wiadomości SMS i wykonywali normalne połączenia głosowe, z prymitywnych i tanich telefonów, które następnie wyrzucali. Można o tym poczytać tutaj, tutaj oraz po polsku tutaj. A skąd zdobyć nigdzie nie zarejestrowane telefony i karty? Proste – przywieźć je z innego kraju. Przy spadających cenach europejskiego roamingu to wcale nie jest drogie, a w kilka miesięcy po wprowadzeniu w życie omawianego prawa stanie się „darmowe” (w sensie braku dodatkowych kosztów roamingu).
A jak już będą koniecznie chcieli polską kartę, zawsze znajdzie się usłużny menel który za kilka win kupi to na siebie. Skoro bez trudu można tak wziąć kredyt, to i telefon się kupi.
Czy ustawa zaszkodzi terrorystom? Nie sądzę. Komu zaszkodzi? Zwykłym szarym obywatelom, których będzie łatwiej gnębić. Zwłaszcza jeżeli będą zbyt mocno przejawiali niesłuszne poglądy.

Co pozostaje? Nie dać się. Z siłą i godnością osobistą

chamstwu

Leave a Reply