W tym wydaniu:
Osłabianie Internetu
Oprócz przekształcania Internetu w ogólnoświatową platformę służącą inwigilacji, NSA potajemnie osłabiała produkty, protokoły i standardy, których wszyscy używamy aby się chronić. Zniszczyła w ten sposób zaufanie, które jest podstawą istnienia Internetu. Musimy odzyskać to zaufanie.
Zaufanie jest natury społecznej. Jest osobiste, względne, sytuacyjne i płynne. Nie jest cechą charakterystyczną jedynie dla ludzi, ale leży u podstaw wszystkiego, co osiągnęliśmy jako gatunek. Ufamy innym osobom, ale ufamy także organizacjom i procesom. Psychologicznie jest to dość skomplikowane, ale kiedy ufamy technologii, to najprościej mówiąc wierzymy, że będzie ona działać zgodnie z przeznaczeniem.
Właśnie w ten sposób my, technolodzy, ufaliśmy bezpieczeństwu w Internecie. Nie mieliśmy żadnych złudzeń, że Internet był bezpieczny, lub, że rządy, przestępcy, hakerzy i inni nie mogli włamać się do systemów i sieci, jeśli byli tylko wystarczająco wykwalifikowani i zmotywowani. Nie wierzyliśmy, że programiści byli doskonali, że kod był wolny od błędów, czy nawet, że nasza kryptografia była nie do złamania. Wiedzieliśmy, że problem bezpieczeństwa Internetu to wyścig zbrojeń, a napastnicy mają ogromną przewagę.
Tym, w co wierzyliśmy było to, że fakt, czy technologie będą używane czy nie, będzie zależał jedynie od oceny ich przydatności.
Teraz wiemy, że błędnie ulokowaliśmy swoje zaufanie. Poprzez współpracę, przekupstwa, groźby i przymus, NSA – i GCHQ w Wielkiej Brytanii – zmusiła firmy do osłabienia bezpieczeństwa swoich produktów i usług, a następnie do okłamywania swoich klientów
Znamy kilka przykładów tego osłabiania. NSA przekonała Microsoft do wprowadzenia niewiadomych zmian do Skype’a, aby podsłuchiwanie rozmów było łatwiejsze. NSA wstawiła również osłabiony generator liczb losowych do powszechnego standardu, a następnie skierowała swe wysiłki, aby generator ten był stosowany o wiele częściej.
Słyszałem, jak inżynierowie pracujący dla NSA, FBI i innych agencji rządowych ostrożnie rozmawiają na temat wstawiania „backdoorów” do produktów chroniących, w celu umożliwienia rządowi dostępu. Jeden z nich powiedział mi: „To tak jakbyś szedł na randkę. Nikt nigdy nie mówi otwarcie o seksie, ale wiesz, że jest możliwy”. SIGINT Enabling Project NSA ma roczny budżet w wysokości 250mln dolarów; przypuszczalnie ma o wiele więcej do pokazania niż wynikałoby to z fragmentów, które zostały upublicznione. Reed Hundt wzywa rząd do wsparcia zabezpieczenia Internetu, ale biorąc pod uwagę tradycję instalowania backdoorów, dlaczego mielibyśmy ufać twierdzeniom, że zmienili front?
Musimy też zakładać, że inne kraje robią dokładnie to samo. Od dawna uważa się, że produkty sieciowe chińskiej firmy Huawei były miały preinstalowane backdoory przez chiński rząd. Czy ufamy sprzętowi i oprogramowaniu z Rosji? Francji? Izraela? Skądkolwiek?
Ten brak zaufania jest trucizną. Ponieważ nie wiemy, nie możemy ufać żadnemu z nich. Utrzymanie ładu w Internecie zostało w większości oddane pod łagodną dyktaturę USA, bo każdy mniej lub bardziej wierzył, że pracujemy na rzecz bezpieczeństwa Internetu, a nie przeciwko niemu. Ale teraz system zaczyna się sypać. Zagraniczne firmy uciekają od dostawców z USA, ponieważ nie mają zaufania do wymogów bezpieczeństwa w amerykańskich firmach. Znacznie gorsze rządy wykorzystują te rewelacje aby naciskać na większa izolację w Internecie, dając im większą kontrolę nad tym, co ich obywatele mówią i widzą.
A wszystko po to żeby można było łatwiej podsłuchiwać.
W NSA używa się terminu „Nobus”, jest to skrót od „nobody but us” („nikt oprócz nas”). NSA wierzy, że jest w stanie osłabić bezpieczeństwo w taki sposób, że tylko ona na tym skorzysta. To jest już pycha. Nie ma sposobu, aby określić, czy i kiedy ktoś inny odkryje lukę. Te osłabione systemy stają się częścią naszej infrastruktury; szkody jakie poniesie każdy, gdy błędy zostaną wykryte, znacznie przewyższają korzyści dla NSA, tak długo jak będą one tajne.
Nie możemy równocześnie osłabiać sieci wroga i chronić naszych własnych. Ponieważ wszyscy korzystają z tych samych produktów, technologii, protokołów i standardów, to albo umożliwimy wszystkim szpiegowanie wszystkich, lub zablokujemy wszystkim możliwość szpiegowania kogokolwiek. Przez osłabianie zabezpieczeń, osłabiamy je przed wszystkimi atakami. Wstawiając luki, narażamy wszystkich. Te same luki, które wykorzystywane są przez agencje wywiadowcze aby szpiegować się nawzajem są wykorzystywane przez przestępców do kradzieży naszych haseł. Jest to sytuacja monitoring kontra bezpieczeństwo, i wszyscy jedziemy na tym samym wózku.
Bezpieczeństwo musi wygrać. Internet jest zbyt ważny dla świata – a zaufanie jest zbyt ważne dla Internetu – aby zmarnować to w ten sposób. Nigdy nie zdołamy przekonać każdej potęgi na świecie aby nie osłabiała części Internetu, które kontrolują, ale możemy zatrzymać osłabianie tych części, które my kontrolujemy. Większość spośród firm high-tech, dzięki którym Internet działa, to firmy amerykańskie, więc nasz wpływ jest niewspółmierny. W momencie gdy wstrzymamy osłabianie, będziemy mogli poświęcić nasze zasoby, aby wiarygodnie wykrywać i zapobiegać procesowi osłabiania przez innych.
Esej ten pojawił się wcześniej w „Boston Review.”
http://www.bostonreview.net/mayjune-2014
Nowe oprogramowanie szyfrujące Al Kaidy
Recorded Future, firma zajmująca się Web Intelligence donosi, że na skutek opublikowania dokumentów Snowdena, Al-Kaida zaczęła używać nowego oprogramowania szyfrującego. Musiałem stawić czoła pytaniom dziennikarzy o to, jak ten fakt może negatywnie wpłynąć na amerykańskie wysiłki wywiadowcze.
Myślę, że jest odwrotnie. Myślę, że pomoże to amerykańskim działaniom wywiadowczym. Kryptografia jest trudna, a szanse, że upichcony w domu produkt szyfrujący jest lepszy niż dobrze przebadane narzędzia open-source, są niewielkie. Jesienią ubiegłego roku, Matt Blaze powiedział mi, że myślał, że dokumenty Snowdena cofną kryptografię do średniowiecza gdyż ludzie porzucą dobre algorytmy i oprogramowanie dla cudownych środków wymyślanych przez nich samych. Przypuszczam, że to jest właśnie przykład takiego zachowania.
https://www.recordedfuture.com/al-qaeda-encryption-technology-part-1/ lub
http://tinyurl.com/karhqka
http://blogs.wsj.com/cio/2014/05/09/report-al-qaeda-tries-new-encryption-post-snowden-leaks/
lub http://tinyurl.com/l647vja
Ja o cudownych środkach:
https://www.schneier.com/crypto-gram-9902.html#snakeoil
News
Fajny artykuł o systemie operacyjnym Tails. Używam go. Początkowo chciałem bootować za pomocą Tails na pamięci USB komputer z którego regularnie korzystam, ale kupiłem komputer z wyprzedaży w Best Buy za 250 $, i korzystam teraz z niego.
http://www.wired.com/2014/04/tails/
https://tails.boum.org/
https://www.schneier.com/blog/archives/2013/10/air_gaps.html
To dopiero przesada: „Według urzędników miejskich, 19-letni mężczyzna został zarejestrowany przez kamerę w momencie, gdy oddawał mocz do zbiornika, który przechowuje wodę pitną dla Portland. Teraz miasto musi spuścić 38 milionów galonów wody ze zbiornika 5 w Mount Tabor Park w południowo-wschodnim Portland”. Rozumiem naturalny odruch wstrętu ludzi, ale czy oni naprawdę myślą, że woda pitna, z której korzystają jest bardziej czysta? Że pojedynczy człowiek jest o wiele gorszy niż wszystkie ptaki i inne zwierzęta? Kilka uncji rozprowadzonych w 38 milionach galonów jest ilością znikomą. Przypuszczam, że powinienem być szczęśliwy, że nie został oskarżony o terroryzm.
http://www.kptv.com/story/25262461/teen-urinates-in-portland-water-supply-city-drains-reservoir-of-38-million-gallons
lub http://tinyurl.com/n5nat62
http://www.oregonlive.com/portland/index.ssf/2014/04/portland_will_flush_38_million.html
lub http://tinyurl.com/q2ycoxy
Nie spuścili w końcu wody ze zbiornika, jedynie przepompowali ją.
http://www.kgw.com/news/portland-reservoir-doesnt-flush-urination-mt-tabor-257377421.html
lub http://tinyurl.com/jvsehxl
Heartbleed może mieć wpływ na klientów, podobnie jak na serwery.
http://blog.meldium.com/home/2014/4/10/testing-for-reverse-heartbleed lub
http://tinyurl.com/ove2ye6
Pojawiły się nowe badania zajmujące się metaforami jakich używamy do opisu inwigilacji. „Ponad 9 procent przebadanych przez nas artykułów zawierało metafory związane z aktem zbierania; 8 procent z literaturą …, około 6 procent z motywami morskimi i ponad 3 procent z autorytarnymi reżimami”. Jedyną używaną metaforą literacką jest książka „1984”.
http://www.pen.org/blog/mapping-metaphors-fight-surveillance
To jest smutne. Zgadzam się z Danielem Solove, że „Proces” Kafki jest znacznie lepszą metaforą literacką.
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565&rec=1&srcabs=317501&alg=1&pos=1
lub http://tinyurl.com/lb2oj2j
Ten artykuł sugeruje jeszcze inne metafory literackie, większość nawiązuje szczególnie do Philipa K. Dicka.
http://www.theatlantic.com/entertainment/archive/2014/04/stop-comparing-the-nsa-to-em-1984-em-and-start-comparing-it-to-philip-k-dick/360353/
lub http://tinyurl.com/kmaseak
Ten znów proponuje Oko Saurona.
http://www.slate.com/articles/news_and_politics/jurisprudence/2013/07/tolkien_v_orwell_who_understood_modern_surveillance_best.html
lub http://tinyurl.com/mxddjdw
Dobre informacje na temat programów masowej inwigilacji w Rosji.
http://csis.org/publication/reference-note-russian-communications-surveillance
lub http://tinyurl.com/ky7rlh5
Ten artykuł również jest świetny.
http://www.worldpolicy.org/journal/fall2013/Russia-surveillance
Dan Geer o Heartbleed i monokulturach oprogramowania.
http://www.lawfareblog.com/2014/04/heartbleed-as-metaphor/
Interesujące badania na temat bezpieczeństwa kodu napisanego w różnych językach programowania. Nie wiemy, czy zabezpieczenie jest wynikiem swoistych właściwości języka, czy względnych umiejętności typowych dla programistów piszących w danym języku.
http://www.net-security.org/secworld.php?id=16694
https://info.whitehatsec.com/Social-Statsreport2014.html
http://info.whitehatsec.com/rs/whitehatsecurity/images/statsreport2014-20140410.pdf
lub http://tinyurl.com/nfr3xxu
Conversnitch: Przypominające żarówkę urządzenie do inwigilacji, które podsłuchuje pobliskie rozmowy i postuje jej fragmenty na Twitterze. Jest to projekt artystyczny mający na celu zwiększenie świadomości, ale technologia staje się coraz tańsza.
http://www.wired.com/2014/04/coversnitch-eavesdropping-lightbulb/
Konsumenckie urządzenia szpiegowskie są teraz dostępne dla mas. Za 54 USD można kupić kamerę ukrytą w czujniku dymu. 80 USD kosztuje kamera ukryta w budziku. Opcji jest o wiele więcej.
http://www.amazon.com/Detector-Hidden-Camera-motion-detection/dp/B0064BXB4Q
lub http://tinyurl.com/n8ekz78
http://www.amazon.com/Secret-Camera-Hidden-Continuous-battery/dp/B00ATNL9AS/ref=pd_sim_sbs_p_1?ie=UTF8&refRID=0DHHHXN74ZK60J72YA5Y
lub http://tinyurl.com/lbr95be
http://www.safetybasement.com/Spy-Listening-Recording-Devices-s/389.htm
lub http://tinyurl.com/m8kg9j4
Ciekawy esej o tym, jak brak przejrzystości Google’a wpływa na poziom zaufania, jakim jest obdarzony:
http://www.infoworld.com/print/239815
Handycipher to nowy algorytm symetrycznego szyfrowania ręcznego (pen-and-paper – wykonywanego za pomocą ołówka i papieru). Założę się o każdą kwotę, że nie jest bezpieczny, aczkolwiek nie robiłem żadnej kryptoanalizy.
http://eprint.iacr.org/2014/257.pdf
Szczegóły systemu rozpoznawania odcisków palców w iOS.
http://www.reddit.com/r/apple/comments/23qeqf/ios_711_behind_the_scenes_of_touch_id/
lub http://tinyurl.com/kpnas7h
Dobry esej o mistyfikacji Quantified Toilet i różnicy między publiczną inwigilacją oraz prywatną samokontrolą.
http://www.theatlantic.com/technology/archive/2014/04/what-a-toilet-hoax-can-tell-us-about-the-future-of-surveillance/361408/
lub http://tinyurl.com/lvwsfq9
http://quantifiedtoilets.com/
Od dawna wiadomo, że poszczególne urządzenia analogowe -mają własne „odciski palców”. Dekady temu, poszczególne nadajniki radiowe mogły być identyfikowane i śledzone. Teraz, badacze odkryli, że-akcelerometry w smartfonach są na tyle unikalne, że można je identyfikować.
http://www.eurekalert.org/pub_releases/2014-04/uoic-rss042814.php
Ciekawy artykuł o gałęzi cyberbezpieczeństwa w Systemie Rezerwy Federalnej.
http://www.foreignpolicy.com/articles/2014/04/28/exclusive_meet_the_secret_fed_cyber_security_unit_keeping_trillions_of_dollars_s
lub http://tinyurl.com/mv99asl
Komik John Oliver przeprowadził wywiad z aktualnie emerytowanym dyrektorem NSA Generałem Keith’em Alexandrem. Jest naprawdę dziwny.
https://www.youtube.com/watch?v=k8lJ85pfb_E
http://www.theatlantic.com/politics/archive/2014/04/the-strangest-interview-yet-with-keith-alexander-head-of-the-nsa/361418/
lub http://tinyurl.com/m5qgv3r
Szczegółowa odpowiedź i analiza raportu inspektorów generalnych na temat zamachów bombowych podczas Boston Marathon i porażki FBI w zapobiegnięciu im:
http://www.lawfareblog.com/2014/04/the-fbi-and-the-bombing-at-the-boston-marathon-in-2013/
lub http://tinyurl.com/kf5sdtk
Raport inspektorów generalnych:
http://info.publicintelligence.net/IC-IG-BostonBombingReport.pdf
Szczury zniszczyły dziesiątki elektronicznych maszyn do głosowania przegryzając ich kable. Historia byłaby lepsza, gdyby szczury wyzerowały maszyny po głosowaniu, a jeszcze przed policzeniem głosów, ale wygląda na to, że po prostu zjadły maszyny podczas, gdy stały one w magazynach.
http://austriantimes.at/news/Around_the_World/2014-04-30/50810/Rats_Eat_Votes_In_India
lub http://tinyurl.com/n8dkm57
Istnieje ogólny motyw przewodni bezpieczeństwa gdzie systemy high-tech zastępujące systemy low-tech doświadczają nowych i nieoczekiwanych awarii.
Ciekawy artykuł na temat branży handlu akcesoriami pozwalającymi oszukiwać w sieciowych grach wideo.
http://www.pcgamer.com/2014/04/30/hacks-an-investigation-into-aimbot-dealers-wallhack-users-and-the-million-dollar-business-of-video-game-cheating/#null
lub http://tinyurl.com/or5kcrf
Mathias Doepfner pisze otwarty list wyjaśniający, dlaczego obawia się Google:
http://www.faz.net/aktuell/feuilleton/debatten/mathias-doepfner-s-open-letter-to-eric-schmidt-12900860.html
lub http://tinyurl.com/kct4sy4
Dwie reakcje:
http://www.faz.net/aktuell/feuilleton/debatten/the-digital-debate/shoshanna-zuboff-dark-google-12916679.html
lub http://tinyurl.com/nxmu4pq
http://www.faz.net/aktuell/feuilleton/debatten/the-digital-debate/almighty-google-whoever-owns-our-data-will-determine-our-fate-12908348.html
lub http://tinyurl.com/nwdq3bm
Al Jazeera donosi o e-mailach otrzymanych przez FOIA, opisujących bliskie stosunki między NSA i Google. W korespondencji nie ma twardych dowodów- a artykuł Al Jazeer’y czyni z tych e-maili coś więcej, niż, jak myślę, są w rzeczywistości – ale wskazują one na bliższe stosunki niż obie strony wcześniej twierdziły.
http://america.aljazeera.com/articles/2014/5/6/nsa-chief-google.html
http://www.washingtonpost.com/blogs/the-switch/wp/2014/05/06/nsa-e-mails-purport-to-show-a-close-relationship-with-google-maybe-maybe-not/
lub http://tinyurl.com/jwqlu7r
http://www.huffingtonpost.com/2014/05/06/nsa-google_n_5273437.html
http://www.computerworld.com/s/article/9248153/Emails_shed_light_on_Google_s_work_with_NSA
lub http://tinyurl.com/m865h9v
Ciekawy eksperyment, który pokazuje, że powtarzanie opowieści pogłębia konflikt i uprzedzenia .
http://www.psmag.com/navigation/books-and-culture/game-telephone-way-hear-enemies-blame-80301/
lub http://tinyurl.com/
http://www.ncbi.nlm.nih.gov/pubmed/20550733
http://www.sciencedirect.com/science/article/pii/S0022103114000481 lub
http://tinyurl.com/l9g7h8k
http://www.sendspace.com/file/rs1vhl
Putin wymaga, aby rosyjscy blogerzy byli rejestrowani przez władze.
http://www.nytimes.com/2014/05/07/world/europe/russia-quietly-tightens-reins-on-web-with-bloggers-law.html
lub http://tinyurl.com/kqwuecs
Steganografia w tweetach. Sprytne, ale zwróćcie uwagę na zastrzeżenia w ostatnich dwóch akapitach.
http://arstechnica.com/security/2014/05/how-to-stash-secret-messages-in-tweets-using-point-and-click-steganography/
lub http://tinyurl.com/l2oekrm
W tym tygodniu opublikowana została nowa książka Glenna Greenwalda „No Place to Hide”. Na stronie www książki znajduje się około 100 stron dokumentów NSA. Nie przekopałem się jeszcze przez nie. Tak na pierwszy rzut oka tylko kilka z nich było wcześniej opublikowanych-.
http://glenngreenwald.net/pdf/NoPlaceToHide-Documents-Uncompressed.pdf
lub http://tinyurl.com/mnf8qzz
http://glenngreenwald.net/
Tutaj są dwie recenzje książki.
http://www.nytimes.com/2014/05/13/books/no-place-to-hide-by-glenn-greenwald.html
lub http://tinyurl.com/kyuc97j
http://www.washingtonpost.com/opinions/no-place-to-hide-by-glenn-greenwald-on-the-nsas-sweeping-efforts-to-know-it-all/2014/05/12/dfa45dee-d628-11e3-8a78-8fe50322a72c_story.html
lub http://tinyurl.com/lvgrg7c
Nowy serial TV – CSI: Cyber. Mam nadzieję, że mają kilku dobrych doradców technicznych, ale wątpię w to.
http://www.latimes.com/entertainment/tv/showtracker/la-et-st-cbs-picks-up-csi-cyber-with-patricia-arquette-20140509-story.html
lub http://tinyurl.com/kbvnyvd
Symantec ogłasza koniec antywirusów.
http://online.wsj.com/news/article_email/SB10001424052702303417104579542140235850578-lMyQjAxMTA0MDAwNTEwNDUyWj
lub http://tinyurl.com/l58m9gh
Dobra odpowiedź Briana Krebsa.
http://krebsonsecurity.com/2014/05/antivirus-is-dead-long-live-antivirus/
lub http://tinyurl.com/prfa8mn
Ma rację: Antywirus nie uchroni was przed coraz większą ilością malware’u, który jest specjalnie zaprojektowany, aby obejść oprogramowanie antywirusowe, ale będzie chronić was przed wszystkimi przypadkowymi nieskomplikowanymi atakami: „promieniowaniem tła” w Internecie.
Półfinaliści Siódmego Konkursu na najlepsze zagrożenie fabularne
1 kwietnia, ogłosiłem Siódmy Konkurs na najlepsze zagrożenie fabularne:
NSA wygrała, ale jak tego dokonała? Jak wykorzystywała swoją zdolność do prowadzenia wszechobecnego nadzoru, swoje potężne centra danych i swój potencjał w zakresie zaawansowanej analizy danych, aby znaleźć się na szczycie? Przejęła władzę jawnie, czy po prostu pociąga za sznurki za plecami każdego z nas? Czy musi zmuszać firmy do wbudowywania nadzoru w swoje produkty, czy może tylko wykorzystuje trendy rynkowe? Jak to możliwe, że daje sobie radę jednocześnie z liberalnymi demokracjami i bezwzględnymi dyktaturami totalitarnymi? Czy szantażuje Kongres? Jak przepływają pieniądze? Chcę poznać tę historię.
Zgłoszenia wpłynęły, poniżej półfinaliści.
1. Snowden wystawiony przez NSA w celu zachęcenia ludzi do korzystania z chałupniczej kryptografii, autorstwa Doubleplusunlol.
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html#c5239173
lub http://tinyurl.com/ocpd7d4
2. Komputer kwantowy, autorstwa Joshuy Brule.
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html#c5473849
lub http://tinyurl.com/qezuap7
3. NSA przejmuje Google, autorstwa Jesse Shapiro.
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html#c5237354
lub http://tinyurl.com/m29zszy
4. NSA, pracując na rzecz dobra, uzależnia od siebie świat, autorstwa Guya Macona.
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html#c5277713
lub http://tinyurl.com/o25znxq
5. Faktoryzacja homeopatyczna, autorstwa Iana McKellara.
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html#c5240139
lub http://tinyurl.com/ordfhnb
Oddawajcie swoje głosy przez podanie numeru; głosowanie kończy się z końcem miesiąca.
Głosujcie tutaj:
https://www.schneier.com/blog/archives/2014/05/seventh_movie-p_1.html
Schneier News
21 maja przemawiam na Uniwersytecie w Zurychu:
http://www.eiz.uzh.ch/weiterbildungen-und-veranstaltungen-des-eiz/veranstaltungsdetails/?L=1&tx_seminars_pi1[showUid]=251
lub http://tinyurl.com/oxtjtl2
22 maja przemawiam na IT Security Inside w Zurychu:
http://www.avantec.ch/ueber-avantec/inside.html
28 maja przemawiam na University of Oregon w Eugene, a następnie 29 maja w Portland:
http://ohc.uoregon.edu/vulnerable.html
3 czerwca przemawiam na Good Exchange w Nowym Jorku, a 5 czerwca w Londynie:
http://www1.good.com/forms/good-exchange-new-york.html
http://www1.good.com/forms/good-exchange-london-event.html
26 czerwca przemawiam na IEEE 2014 Conference w Bostonie podczas konferencji Norbert Weiner w 21 wieku:
http://www.21stcenturywiener.org/
27 czerwca przemawiam na 26th Annual FIRST Conference w Bostonie:
http://www.first.org/conference/2014
Wywiad kontra inwigilacja
W oparciu opublikowanych w książce Glenna Greenwalda „No Place to Hide” dokumentów NSA, wiemy teraz, że NSA szpieguje ambasady i misje na całym świecie, w tym te z Brazylii, Bułgarii, Kolumbii, Unii Europejskiej, Francji, Gruzji, Grecji, Indii, Włoch, Japonii, Meksyku, Słowacji, RPA, Korei Południowej, Tajwanu, Wenezueli i Wietnamu.
To z pewnością pogorszy stosunki międzynarodowe, tak jak wtedy, gdy okazało się, że Stany Zjednoczone podsłuchują komórkę kanclerz Niemiec Angeli Merkel – ale czy ktoś tak naprawdę jeszcze się dziwi? Szpiegowanie obcych rządów jest tym, co NSA ma robić. Znacznie bardziej problematyczne i niebezpieczne jest to, że NSA szpieguje całe populacje. Błędem jest by te same prawa i organizacje były związane z tymi dwoma rodzajami działań i nadszedł najwyższy czas aby je rozdzielić.
Pierwszym jest wywiad: tradycyjne zadanie NSA. Jest to istotne zadanie wojskowe, zarówno w czasie pokoju, jak i wojny, i jest czymś, co nie zniknie. Jest celowe. Jest ukierunkowane. Decyzje dotyczące tego kogo ma obejmować są decyzjami polityki zagranicznej. I tajemnica jest tu najważniejsza.
Drugie jest diametralnie różne. Terroryści są wrogiem innego rodzaju; zamiast rządów mamy do czynienia z jednostkami. Wiemy kim są zagraniczni urzędnicy i gdzie ich znaleźć: w urzędach w swoich krajach, a za granicą w ambasadach. Terrorystą może być ktokolwiek, gdziekolwiek na świecie. Aby znaleźć ich, NSA musi szukać pojedynczych „złych facetów” pływających w morzu niewinnych ludzi. To właśnie dlatego NSA zdecydowała się na masowe monitorowanie populacji, zarówno w Stanach Zjednoczonych, jak i na arenie międzynarodowej.
Jeśli nad tym pomyśleć, to jest to bardziej aktywność organów ścigania niż działania wojskowe. Obie dotyczą bezpieczeństwa, ale tak jak tradycyjnym celem NSA były rządy, tak dla FBI tradycyjnym celem były osoby. Przed i po 9/11, zarówno NSA, jak i FBI były zaangażowane w zwalczanie terroryzmu. FBI działała na terytorium Stanów Zjednoczonych i za granicą. Po 9/11, podstawowe zadanie monitoringu antyterrorystycznego otrzymała NSA, ponieważ miała istniejące środki, ale decyzja mogła być inna.
Ponieważ to NSA dostała misję, zastosowała do jego wykonania wyniesione ze świata wywiadu wojskowe zasady i ramy prawne. Nasze działania inwigilacyjne wobec całych populacji były utrzymywane w tajemnicy, dokładnie tak samo jak naszych działania wywiadowcze wobec innych rządów. Do tego odpowiednio zmodyfikowaliśmy nasze prawa. Foreign Intelligence Surveillance Act (FISA – Ustawa o kontroli wywiadu zagranicznego) z 1978 roku, która reguluje działania NSA wymagał, aby cele były „agentami obcego mocarstwa”. Kiedy ustawa została zmieniona w 2008 r. na mocy FISA Amendments Act (Ustawy o wprowadzeniu poprawek do FISA), celem może być jakikolwiek cudzoziemiec, gdziekolwiek się znajduje.
Szpiegowanie rządów przez rządy jest tak stare, jak same rządy, i należy do jurysdykcji wojska. Więc niech głównodowodzący ustala czyją komórkę podsłuchiwać, a NSA niech te rozkazy wykonuje.
Inwigilacja jest działaniem na wielką skalę, mogącym mieć potencjalny wpływ na miliardy ludzi i powinny mieć tutaj zastosowanie inne zasady – zasady policyjne. Jakakolwiek organizacja prowadząca taką inwigilację powinna stosować policyjne zasady uzasadnionych podstaw prowadzenia postępowania, sprawiedliwego procesu i nadzoru nad działaniami w zakresie inwigilacji populacji. Jej działania powinny być w mniejszym stopniu tajne i bardziej przejrzyste. Powinna podlegać nadzorowi sądów jawnych. Właśnie w ten sposób zarówno my, jaki i reszta świata odzyskamy wiarę w działania podejmowane przez Stany Zjednoczone.
W styczniu prezydent Obama wygłosił przemówienie na temat NSA, w którym powiedział dwie bardzo istotne rzeczy. Powiedział, że NSA nie będzie dłużej podsłuchiwać komórki Angeli Merkel. I choć nie objął tą uprzejmością pozostałych 82 milionów obywateli Niemiec, to powiedział, że rozszerzy na resztę świata niektóre środki konstytucyjnej ochrony przed amerykańską inwigilacją prowadzoną bez nakazu.
Oddzielenie wywiadu od inwigilacji i umieszczenie drugiego pod reżimem policyjnym zamiast wojskowego, jest krokiem w kierunku realizacji tych zapowiedzi.
Linki do książki:
http://glenngreenwald.net/
http://glenngreenwald.net/pdf/NoPlaceToHide-Documents-Compressed.pdf
http://www.nytimes.com/2014/05/13/world/middleeast/book-reveals-wider-net-of-us-spying-on-envoys.html
Moje poprzednie eseje:
https://www.schneier.com/essay-449.html
http://www.theatlantic.com/politics/archive/2013/05/transparency-and-accountability-dont-hurt-security-theyre-crucial-to-it/275662/
http://www.cnn.com/2013/07/31/opinion/schneier-nsa-trust/index.html
http://www.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/index.html
Esej ten został pierwotnie opublikowany na CNN.com.
http://www.cnn.com/2014/05/14/opinion/schneier-nsa-greenwald-book/index.html
lub http://tinyurl.com/kejz58e
Od 1998 roku, CRYPTO-GRAM jest comiesięcznym, darmowym newsletterem, w którym znaleźć można podsumowania, analizy, studia przypadków i komentarze na temat bezpieczeństwa: komputerów i nie tylko. Możesz się zapisać, wypisać lub zmienić adres e-mail na stronie http://www.schneier.com/crypto-gram.html Pod tym adresem są także dostępne starsze numery newslettera.
CRYPTO-GRAM, w całości lub w części, możesz dalej przesłać do twoich kolegów i przyjaciół, którym może okazać się przydatny. Udzielam także zgody na przedruk CRYPTO-GRAMu, tak długo jak jest on przedrukowywany w całości.
CRYPTO-GRAM został napisany przez Bruce’a Schneiera. Bruce Schneier jest międzynarodowej sławy ekspertem z zakresie technologii bezpieczeństwa, nazywanym „guru bezpieczeństwa” przez The Economist. Jest autorem 12 książek w tym “Liars and Outliars” oraz setek artykułów, esejów i prac naukowych. Jego wpływowy newsletter „Crypto-Gram” oraz bloga „Schneier on Security” czyta ponad 250 000 osób. Zeznawał przez kongresem USA, jest częstym gościem w radiu I telewizji, wspierał prace szeregu komisji rządowych oraz jest regularnie cytowany w prasie. Schneier jest członkiem Berkman Center for Internet and Society w Harvard Law School, członkiem programowym New America Foundation’s Open Technology Institute, członkiem Zarządu Electronic Frontier Foundation, doradcą zarządu Electronic Privacy Information Center oraz CTO w Co3 Systems, Inc.
Oryginalne wydanie newslettera Polskie tłumaczenie newslettera Tłumaczenie polskie opracowane przez IMMUSEC Sp. z o.o.
ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com
