2009. május 29., péntek

Küldhessen-e a hatóság kémprogramot a gépünkre?


Az internet szabályozásának hátulütői

Dadvsi, Hadopi és újabban Loppsi - ezekben a francia betűszavakban két dolog közös: bonyolult nevű törvények rövidítései, illetve különböző közhasznúnak tartott célok érdekében szabályozni próbálják az internet használatát vagy meg kívánják akadályozni a hálóval való visszaéléseket. A sorban a legújabb a Loppsi2, amelyet még csak ezután fog megvitatni a francia parlament: ez lehetővé tenné, hogy az internetes bűnözés elleni harcban a hatóságok kémprogramokat küldjenek a felhasználók számítógépeire, tehát a hackerek módszereit használják fel a bűnözők elleni harcban. A párizsi Le Monde online portálja (Monde.fr) Guillaume Lovet szakértőt kérte fel, hogy chat-fórum keretében válaszoljon a törvénnyel és általában az internet szabályozásával összefüggő kérdésekre.
Lovet a cyberbűnözés szakértője, aki a hálót érő fenyegetések kivédésére irányuló kutatásokkal foglalkozik. Véleménye szerint az internetet mintegy ördögi színben feltüntető törvények sorozata sajnálatos és valószínűleg a kívánt hatás ellenkezőjét fogja elérni.
A 2006-ban elfogadott Dadvsi a szerzői jogok védelmére, az idén tavasszal elfogadott Hadopi a hálóról történő illegális letöltések fokozatos szankcionálására (előbb figyelmeztetés, majd az internet-kapcsolat akár egy évre történő felfüggesztése) vonatkozik. A Loppsi első változata a 2002-2007-es közbiztonsági kerettörvény volt, a most napirenden lévő Loppsi 2 annak aktualizált változata, amely először tartalmazza a gyanúsított személyek számítógépeire a nyomozó hatóság által küldendő „cookie"-k, felderítő szoftverek alkalmazásának törvényesítését a terrorizmus és más súlyos bűntettek elleni küzdelemben.
Guillaume Lovet véleménye szerint az utóbbi előírás (a törvénytervezet 5. fejezetének 23-ik cikke) minőségi különbséget jelentene a klasszikus, mikrofonos vagy rejtett kamerás megfigyeléshez képest, mivel a magánéletbe való behatolás foka az előbbieknél nagyobb, és főleg mérete kiterjedtebb lehetne. Lehetetlen mindenkinél poloskákat vagy kamerákat felszerelni, ez túl sok időbe telne és túl sokba kerülne. A számítógépekre küldhető kémszoftvert, ezt az „elektronikus trójai falovat" viszont tetszés szerint lehet sokszorosítani, és viszonylag könnyű nagy méretekben alkalmazni. Annak kockázata tehát, hogy egy globális megfigyelés felé csúszik a gyakorlat, sokkal nagyobb, mint a hagyományos lehallgatásnál.
A törvény szövegében szerepel az a megkötés, hogy ezt a megfigyelési formát csak a legsúlyosabb bűnözési formák, így a terrorizmus elleni küzdelemben, a vizsgálóbíró ellenőrzése alatt, az államügyész felhatalmazására lehet alkalmazni. Lovet szerint is fontos, hogy az állam egyenlő fegyverekkel vehesse fel a harcot a cyberbűnözők ellen, de állandó éberségre van szükség az alkalmazással való  visszaélés megelőzésére. A chat során több partner is felvetette, hogy a Loppsi-2 keretében szó van például a „szervezett bandában" elkövetett bűntettek elleni harcról is, tehát nem csak a terroristák ellen lehet bevezetni ezt a megfigyelési formát.
További kockázat, hogy az elektronikus megfigyelő szoftver olyan keyloggert tartalmaz, amely a továbbiakban továbbítja a megfigyelőnek a számítógép klaviatúrájával végzett munka adatait, azaz ugyanolyan elv alapján működik, mint a hackerek és a cyberbűnözők számítógépes programjai. A vírusellenes programok pontosan ezeknek a kiszűrésére szolgálnak. Ez is különbség a hagyományos lehallgatáshoz képest, hiszen senki sincs felszerelve mikrofonok felderítésére szolgáló műszerekkel, de minden pc-hez tartozik vírusölő program. Jó esélye van tehát annak, hogy a számítógép védelme a hatóság trójai falovát is felderíti, ami oda is vezethet, hogy a gyanúsított a hatóság ellen alkalmazza saját eszközét. Az úgynevezett reverse ingeneering (a kém-szoftver megfejtése és felhasználása) nem igényel költséges felszerelést, csak alapos hozzáértést. Fennáll tehát annak a kockázata, hogy a hatóság eszközét „eltérítik" és arra használják fel a bűnözők, hogy hamis, például ártatlanokat bemártó információkkal vezessék félre a nyomozókat.
Egy chatpartner felvetette, hogy a Loppsi 2 lehetővé teszi a bűnügyi rendőrségnek „az internetes adatok távolból történő megszerzését". Ez felveti a digitális szuverenitás kérdését. A rendőrség hatásköre a francia területre terjed ki, viszont a digitális bűnözés java külföldről, Oroszországból, Kínából, az Egyesült Államokból, Nyugat-Afrikából ered. Jogilag hogyan lehet külföldi számítógépből adatokat lefoglalni? Lovet szerint erre valószínűleg nemzetközi felügyelő szerv engedélye alapján kerülhetne sor.
A francia szakértő rámutatott, hogy a háló törvényes célokra kezdeményezett szűrésével világszerte sok esetben visszaéltek. Így például 2008 decemberében a sajtó- és információs szabadság védelmével foglalkozó Wikileaks közzétette a thaiföldi informatikai minisztérium által megfigyelt portálok titkos jegyzékét. Noha elvileg a pedofília elleni küzdelem jegyében rendelték el felügyeletüket, 1203 megfigyelt honlap minősítése „felségsértés" volt - vagyis a királyi család bírálóit ellenőrizték.  2009 márciusában az ausztráliai lista került nyilvánosságra: felerészben semmi közük nem volt az internetes pedofíliához, sok hagyományos pornó-honlap, de póker-, wikipédia-, meleg és sátánista portálok is szerepeltek rajta: minden, ami egyes cenzoroknak nem nyerte el a tetszését. Finnországban pedig a listán egyenesen ott szerepelt az internetszabályozási törvény ellenzőinek portálja is.  
További veszély, hogy a háló felügyeletére irányuló törvények nyomán az internetezők maguk is védeni kezdik hálózataikat. A Hadopi esetében, amely az illegális letöltést büntetné, megjelentek azok az ellenprogramok, amelyek a felhasználók számára részletesen elmagyarázzák, miként lehet elkerülni a megfigyelést, valamint a fizető kódolt illegális magán-letöltési programok. Nincsenek olyan kémprogramok, amelyek egyszerre több keresőmotorra alkalmazhatók, de lehet mindegyikre megfelelő változatot készíteni. Viszont a ritkább rendszerek használata ahhoz hasonló védettséget nyújthat a nyomozóprogramok ellen, mint a kódolás.  
A chat-fórum zárószavában Guillaume Lovet megjegyezte, hogy bármilyen céllal vezettek be egy-egy titkos tartalom-megfigyelési rendszert, mindig voltak antidemokratikus elcsúszások. Csupán annak alapján, ami a pedofil- és pornográfia-portálok megfigyelésére létesített szűrőprogramok nyomán történt, a szakértő szerint fel lehet tenni a kérdést, hogy ezzel a törvénnyel a hatóságok nem nyitnak-e kiskaput az internet kormánycenzúrája felé.

http://www.lemonde.fr/technologies/chat/2009/05/29/loppsi-2-les-ecueils-ethiques-techniques-et-juridiques-en-question_1199303_651865_2.html