Wielki (Cyber) Mur – Nowe regulacje dotyczące cyberbezpieczeństwa wprowadzone w Chinach

Podczas gdy uwaga świata skupiona była na historycznych wyborach w Stanach Zjednoczonych (zasługujących na co najmniej cykl artykułów naukowych jeżeli chodzi o aspekt operacji wywiadowczych i ofensywnych działań cybernetycznych), w Chińskiej Republice Ludowej ogłoszono nowe regulacje których celem jest zwiększenie bezpieczeństwa infrastruktury sieciowej, a przez to zapewnienie ‘cyber suwerenności’, co zresztą było jednym z głównych punktów polityki rządu Prezydenta Xi. Prawo ma wejść w życie 1 lipca 2017 roku, jednak już budzi wiele kontrowersji ze względu na coraz dalej idące ingerencje w prywatność oraz znaczne utrudnienia dla prowadzenia działalności gospodarczej, szczególnie w obszarach zaklasyfikowanych jako infrastruktura krytyczna. Co więc zakładają nowe przepisy?

Continue reading “Wielki (Cyber) Mur – Nowe regulacje dotyczące cyberbezpieczeństwa wprowadzone w Chinach”

Keeping up with world standards of oppressive surveillance – updated draft of Polish antiterrorist law

Few days ago Polish Government Center of Legislation has released updated draft of new act on antiterrorist measures introduced supposedly to aid Polish special services in preventing terrorist attacks and conducting efficient counter-terrorism operations in case an attack occurs. It is worth noting that original text of the act was initially released by NGO Panoptykon Foundation, who received it from an anonymous source – official document was published day later by the Ministry of Interior. Given that Poland has never been target of terrorist attack it was hard to justify introduction of such initiative based on threat level. However forthcoming World Youth Days, NATO summit and terrorist attacks in Paris and Brussels were more than enough for the government to announce the need for widening authority of special services – mainly Internal Security Agency (ABW).

Continue reading “Keeping up with world standards of oppressive surveillance – updated draft of Polish antiterrorist law”

Szabo and Vissy v Hungary as possible challange to mass surveillance in Europe

Given that everybody is already writing about Apple vs FBI case, I don’t think there is anything to be added at the moment. Especially that in European context (particularly in regard to civil law countries) it is quite hard to imagine court issuing a similar order. That is of course not even taking into account problems of jurisdiction and fact that almost every company of similar importance is located in the United States. But that might be a topic for another post.

What is however definitely worth writing about, and received relatively low media exposure, are the possible consequences of the case of Szabo and Vissy v Hungary. Case concerned two members of watchdog NGO (Eötvös Károly Közpolitikai Intézet) who claimed to be targeted by broad surveillance powers granted to Hungarian Anti-Terrorism Task Force (TEK). Case is especially interesting that ECHR implicitly granted possibility of actio popularis in the context of extensively broad legislation. Let’s head straight to the details than.

Continue reading “Szabo and Vissy v Hungary as possible challange to mass surveillance in Europe”

Rząd Holandii popiera stosowanie kryptografii i przeciwstawia się obowiązkowym backdoorom (na razie)

Holenderski rząd wydał oświadczenie (angielskie tłumaczenie tutaj) w którym poparł stosowanie mocnej kryptografii przez podmioty prywatne i rządowe w celu ochrony bezpieczeństwa danych użytkowników i ochrony prywatności. Podkreślając rosnącą rolę usług elektronicznych w kontaktach pomiędzy państwem, a obywatelami, Holenderskie władze stwierdzają także, że stosowanie odpowiedniego szyfrowania zwiększa także zaufanie do państwa. Holandia planuje bowiem aby do 2017 roku mieszkańcy mogli załatwić wszelkie sprawy związane z administracją rządową przez internet – a ta przetwarza w końcu wrażliwe dane takie jak zeznania podatkowe czy informację o ubezpieczeniu zdrowotnym. Co jednak najbardziej interesujące, oświadczenie odnosi się także do kwestii potencjalnego wprowadzenia obowiązkowych backdoorów w kryptografii stosowanej na terenie kraju lub prawnego ograniczenia możliwości stosowania konkretnych algorytmów.

Continue reading “Rząd Holandii popiera stosowanie kryptografii i przeciwstawia się obowiązkowym backdoorom (na razie)”

Nowelizacja uprawnień organów ścigania w zakresie kontroli operacyjnej i dostępu do billingów – wyroki Trybunału Konstytucyjnego to wciąż tylko opinie

Kilka dni temu posłowie Prawa i Sprawiedliwości złożyli w Sejmie projekt nowelizacji ustawy o policji oraz ustaw dotyczących pozostałych służb specjalnych. Projektu można, a nawet należało się spodziewać, biorąc pod uwagę, że zgodnie z wyrokiem Trybunału Konstytucyjnego do 6 lutego 2016 konieczna jest nowelizacja uchylonych przepisów dotyczących dostępu do danych pozyskiwanych w wyniku stosowania retencji danych telekomunikacyjnych. Warto również wspomnieć, że w między czasie zapadł również wyrok Trybunału Sprawiedliwości UE, który orzekł o niezgodności szerokiego stosowania retencji z europejskimi standardami ochrony praw człowieka. Niestety zaproponowana nowelizacja w żaden sposób nie wypełnia wyroku TK pozostawiając iluzoryczne mechanizmy kontroli dostępu do billingów.

Continue reading “Nowelizacja uprawnień organów ścigania w zakresie kontroli operacyjnej i dostępu do billingów – wyroki Trybunału Konstytucyjnego to wciąż tylko opinie”

When scientists go blackhat, ethics becomes turbid

When one year ago Blackhat presentation during which researches were supposed to show how they successfully conducted deanonymisation attack against Tor was cancelled, speculations gone through the roof. The most probable scenario, which I also supported, was that scientists defied ethical and legal boundaries and effectively committed an offence by conducting illegal interception of internet traffic. Now, motion filled in case of Brian Richard Farrell, owner of SilkRoad 2.0, which describes how Farrell was identified based on “information obtained by a ‘university-based research institute’ ” almost directly suggests that the research results were used in this case and that was the reason for cancelling presentation. Then, speculation concentrated on how come, or if at all, Institutional Review Board (IRB) have green lighted such research. Now, it seems that truth is far more concerning. According to Vice and Tor project, apparently FBI has paid Carnagie Melon University researchers one million dollars for executing newly developed against Tor users and passing gathered data to law enforcement. On the other the university claims that it was forced to hand out the results by subpoena.

Both scenarios seems to be equally troubling in terms of both ethical and legal considerations. First of all, I strongly believe that role of researchers and law enforcement agents has to be strictly separated. This does not mean that academic community has no rule in supporting LEAs’ efforts (through both research in areas of criminology, legal analysis and developing technical means of investigation), however once the actual operations are ongoing, they should be executed be LEOs exclusively. There are many reasons for this. First of all, scientists generally are not required to possess knowledge about criminal procedure required to collect evidence in a way that will ensure they are admissible in court. Second, scientists are not subject to the same level of disciplinary oversight that is (or should be) imposed on the members of law enforcement. Finally, civilians should not be expected to perform tasks (such as interception of traffic) that are only legal when conducted as a part of law enforcement operation.

Furthermore, there are significant problems and considerations in regards to the very process of obtaining evidence in Farrell’s case. If Carnegie Mellon was really forced to hand out research, is it possible that there was a pressure put on IRB to authorise the research? If not, how come research on subjects unable to provide consent was deemed to be acceptable?  Does obtaining information from external source of information such as academic institution means that standard procedural safeguards does not apply? How come research conducted was not offence under US law? As long as all those questions remains unanswered, this incident should be a stark warning sign of possible abuses that might result from lack of proper oversight over ‘cooperation’ between law enforcement and academic community.

Some argued that cooperation between Carnegie Mellon and the government should not be surprise to anyone, as Software Engineering Institute is known to be funded by federal government and have ties with the Department of Defense. While this might explain why study was conducted in the first place, and why it produced particular results, it provides no consolation in terms of securing procedural safeguards. Model of obtaining evidence that involves greenlighting research, which is unacceptable from the point of view of scientific ethics, and than claiming the results as “source of information” is certainly very convenient way of bypassing criminal procedure in cases that involve digital anonymity. Let’s not forger that how controversial was FBI’s story of tracking down Ross Ulbricht, owner of the original Silk Road, with some claiming that the Bureau completely made up story that was included in criminal complaint. Furthermore, the very idea of conducting massive deanonymisation operations against suspects who could be outside the US, is not straightforward when it comes to obtaining a warrant.

Involvement of SEI as quasi-governmental entity raises questions about role of CERT’s credibility in terms of they contribution to public cybersecurity as well. The fact that vulnerability was not disclosed to Tor project would indicate that potential usefulness of exploit takes priority over securing the network. While this would be in line with policy of stockpiling zerodays for offensive use, it is not something to be expected from CERT, which claims to work in the interest of community. And if the decision to publish or use particular vulnerability is made on case by case basis, then who makes the decision?

Whether scientists were forced or paid, all these questions stem from a single decision – a decision to blur the line between investigation and science, and outsource evidence gathering to a non law enforcement entity. Consequences of this decision, most importantly how materials gathered will be assessed by court, will be a significant signpost for future collaborations between academics and LEOs.

UK surveillance reform – third time’s a charm?

As NSA is preparing to end bulk collection of phone calls data in the US, on the other side of the Atlantic, UK is preparing to introduce new regulation regarding investigatory powers of British law enforcement. Presented yesterday, by Home Secretary Theresa May, Investigatory Powers Bill (already known as “snoopers’ charter”) will significantly overhaul currently existing provisions regulating targeted interception, remote search, acquisition of bulk personal datasets and retention of internet connection records by CSPs (Communication Services Providers) as well as oversight and authorisation matters. The fact that data retention is once again introduced in the UK, as it is third time British government is trying to push it through, is especially daunting. Previous attempts were neutralised by judgement of CJEU that declared Data Retention Directive illegal and by decision of the UK High Court, which ordered two sections of the Data Retention and Regulation of Investigatory Powers – apparently British government refuses to be bound by judiciary.

Continue reading “UK surveillance reform – third time’s a charm?”

Europejska trudna droga do neutralność sieci

We wtorek Parlament Europejski zdecydowaną większością głosów przyjął regulację wprowadzającą  zasady neutralności sieci w UE oraz znoszącą opłaty roamingowe, jednocześnie jednak odrzucając wszystkie poprawki –  które w opinii wielu ekspertów i organizacji pozarządowych stanowiły element niezbędny do zapewnienia prawdziwej neutralności. Poprawki bowiem, zamykały zauważone w oryginalnym tekście regulacji wyjątki i luki prawne ograniczające możliwość realnego zapewnienia równego traktowania usługodawców internetowych przez operatorów telekomunikacyjnych. Na podstawie już opublikowanych analiz, przyjęte zasady nie rozwiązują następujących problemów:

  • operatorzy telekomunikacyjni wciąż mogą stosować ‘stawki zerowe’ – oznacza to, że ISP mogą zrezygnować z pobierania opłat za dostęp do określonych usług np.: korzystanie z konkretnej aplikacji w smartphonie lub dostęp do określonego serwisu oferującego streaming muzyki. Lobbyści usługodawców internetowych, twierdzą że rozwiązanie to jest korzystne dla konsumentów którzy mogą w pewnym stopniu za darmo korzystać z internetu, jednak w istocie promuje to model podobny do stosowanego w telewizji kablowej. Promowane są konkretne pakiety usług w ramach których produkty pojedynczego dostawcy otrzymują preferencyjne warunki. ISP ma więc znaczący wpływ na sukces lub porażkę konkretnych produktów. Takie rozwiązanie w oczywisty sposób może przyczyniać się do utrudnienia nowym podmiotom konkurencji z już istniejącymi i zaburza konkurencję na rynku.
  • regulacja nie rozwiązuje problemu specjalizowanych usług – być może największego zagrożenia dla neutralności sieci. Usługi specjalizowane oznaczają możliwość przyznania preferencyjnego transferu poszczególnym dostawcom, czyli stworzenie tzw ‘fast lanes’ – lepszego dostępu do pasma transferu oferowanego przez operatora. Podobnie jak stawki zerowe, daję to dostawcom telekomunikacyjnym szerokie pole do nadużyć – np.: poprzez nie zapewnienie odpowiedniego transferu konkretnemu serwisowi streamingu filmów – który ze swej natury wymaga stabilnego i szybkiego połączenia. W sytuacji gdy już istniejące i bogate koncerny mogą zapewnić sobie dużo wyższą jakość dostępnego łącza, a operatorzy mogą żądać dodatkowych opłat za dostęp do innych produktów, taka praktyka jest zabójcza dla nowo powstających inicjatyw. Regulacje nakazują aby takie praktyki nie szkodziły pozostałym użytkownikom, jednak ich ogólne brzmienie nie zapewnia wystarczającego zawężenia kategorii usług które mogą korzystać z takich warunków.

Problem stanowią również możliwości kontroli ruchu sieciowego przez ISP:

  • regulacja wprost przyznaje operatorom telekomunikacyjnym uprawnienie do nadawania priorytetu poszczególnym rodzajom przesyłanych danych (konkretnie: do różnicowania dostępnego pasma na podstawie obiektywnych cech technicznych ruch sieciowego wymaganego przez poszczególne kategorie usług). Oznacza to, że operator może zadecydować, że np.: ruch związany z grami sieciowymi będzie miał wyższy priorytet niż ruch związany z zaszyfrowaną komunikacją. W praktyce więc konsumenci płacący te samą cenę, za tę samą usługę będą korzystali z łącza o zróżnicowanej jakości – zależnej od tego do czego wykorzystują swoje połączenie. Dostawcy telekomunikacyjni mogą również wykorzystać ten mechanizm do promowania własnych usług poprzez przyznanie niskiego priorytetu, a tym samym obniżenia jakości, usług alternatywnych dla tradycyjnej telefonii np.: VoIP. Wątpliwości budzi także praktyczne stosowanie tego rodzaju rozwiązań, gdyż ze względu na rozwój nowych usług sieciowych filtry przydzielające ruch mogą błędnie identyfikować przesyłane dane. Zdaniem EFF, takie praktyki zagrażają również swobodnemu wykorzystaniu kryptografii, gdyż mechanizmy stosowane do klasyfikacji ruchu nie będą prawidłowo klasyfikować zaszyfrowanych danych, co sprawi że będą one prawdopodobnie przydzielane do pasma niskiego priorytetu. W końcu stanowi to kolejną barierę dla wchodzących na rynek usługodawców, którzy mogą nie być w stanie ponieść kosztów związanych z ewentualnym odwołaniem się od decyzji operatora do krajowych agencji regulacji telekomunikacji.
  • ISP będą mogli zmieniać priorytet transferu nie tylko w przypadku aktualnego, ale również nadchodzącego wysokiego wykorzystania pasma. W praktyce oznacza to dużą dowolność w podejmowaniu decyzji co do zmiany obłożenia sieci, a więc możliwość preferencyjnego traktowania poszczególnych podmiotów.

Odrzucenie poprawek oznacza więc, że do prawdziwej neutralności sieci w Unii Europejskiej wiedzie jeszcze długa droga. Co więcej, w opinii niektórych posłów, regulacja nie zagwarantowała nawet prawidłowego zniesienia opłat roamingowych. To jak regulacja zostanie wprowadzona w życie zależy więc teraz od jej interpretacji i implementacji przez krajowe urzędy regulacji telekomunikacji oraz sądy. Pozostaje mieć nadzieje, że ich decyzje będą podyktowane interesem konsumentów, a nie operatorów telekomunikacyjnych.

Trybunał Sprawiedliwości UE unieważnia porozumienie Safe Harbour

W wyniku pozwu Austriaka Maxa Schremsa, a pośrednio również dokumentów ujawnionych przez Edwarda Snowdena, TSUE uznał, że porozumienie Safe Harbour które umożliwiało Amerykańskim przedsiębiorcom działającym na ternie UE uzyskanie certyfikatu zgodności standardu ochrony danych użytkowników z Europejskimi standardami po spełnieniu wymagań określonych w porozumieniu, jest niezgodne z prawem Unii Europejskiej. De facto oznaczało to, że Amerykańskie firmy nie podlegały kontroli krajowych organów państw UE.

Schrems wytoczył pozew przeciwko Irlandzkiemu przedstawicielstwu Facebooka, gdyż na skutek ujawnionych przez Snowdena informacji o skali inwigilacji prowadzonej przez NSA uznał, że dane które udostępnia nie uzyskują ochrony wymaganej przez Europejskie standardy. Początkowo pozew został odrzucony przez Irlandzki organ ochrony danych osobowych (Data Protection Commissioner) ponieważ ten stwierdził, że Facebook spełnił warunki porozumienia co jest wystarczające do automatycznego uznania, iż spełnia standardy Europejskie. Na skutek tej decyzji Schrems zdecydował się na apelacje do Trybunału Sprawiedliwości UE.

Trybunał uznał, że samodzielna decyzja Komisji Europejskiej nie może wykluczać kontroli organów krajowych co do spełnienia standardów ochrony prywatności wyznaczanych przez Kartę Praw Podstawowych UE oraz dyrektywę 95/46/EC które to zakreślają konieczne standardy ochrony danych osobowych na terenie Unii. W związku z tym, bez względu na decyzję Komisji poszczególne państwa są uprawnione do niezależnej kontroli standardów stosowanych przez podmioty świadczące usługi na terenie danego kraju.

Co najważniejsze, Trybunał zauważył, że porozumienie określa wyłącznie wymagania stawiane Amerykańskim podmiotom, a nie wiąże agencji rządowych. Prawo Stanów Zjednoczonych przyznawało natomiast priorytet kwestią bezpieczeństwa narodowego i interesu publicznego nad zapisami porozumienia. W rezultacie agencję rządowe, jak właśnie NSA, mogły bez żadnych konsekwencji naruszać uzgodnione standardy kiedy tylko wymagał tego interes USA. W końcu, Trybunał podkreślił, że jakiekolwiek akty prawne nie mogą zapewniać prawa do nieograniczonego i niekontrolowanego transferu danych poza granice UE, gdyż takie działanie samo w sobie narusza wolności podstawowe gwarantowane przez Unie Europejską. Nie bez znaczenia było również to, że porozumienie nie przewidywało żadnych mechanizmów zewnętrznej kontroli (choćby sądowej) poszczególnych usługodawców, którzy już rozpoczęli działalność poprzez spełnienie warunków porozumienia.

Co oznacza decyzja TSUE w praktyce? Pierwszą, bezpośrednią konsekwencją jest to, że władze Irlandii będą musiały rozpatrzyć skargę Schremsa i zadecydować czy Facebook w istocie spełnia Europejskie standardy ochrony danych osobowych. Jednak dużo poważniejsze konsekwencję są związane z dalszym świadczeniem usług przez Amerykańskich przedsiębiorców w krajach UE. Najważniejszym mechanizmem porozumienia stosowanym przez podmioty świadczące usługi obsługi IT przedsiębiorstw na terenie Unii była uproszczona procedura legalizacji transferu danych, który zasadniczo wymaga świadomej i dobrowolnej zgody każdego użytkownika – co nie zawsze jest oczywiste w przypadku pracowników którzy nie mają w tej kwestii realnego wyboru. Wyrok oznacza, że usługodawcy będą musieli potencjalnie spełniać standardy kilkunastu niezależnych systemów prawnych – co w szczególności dotknie tych którzy już działają na terenie całej UE.

Warto nadmienić, że niezgodność porozumienia Safe Harbour ze standardami Unijnymi związana ze stosowaniem masowej inwigilacji przez Stany podkreślał w swojej opinii Yves Bot które pełnił funkcję doradcy Trybunału.

Intelligence and criminal justice – shift toward convergence?

When David Cameron announced during #WeProtectChildren summit that GCHQ will join forces with National Crime Agency in order to effectively tackle problem of child pornography in Tor he, probably unintentionally, made a rather sweeping statement about role of intelligence agencies in process of fighting crime. GCHQ’s primary function after all is spying on foreign entities and protecting national security of the UK. In fact Intelligence Service Act 1994 names three functions of the agency: mentioned national security with emphasis on foreign and defence policy, economic well-being of the UK (again with emphasis on foreign actors) and in the last place support of the prevention and detection of serious crime. Status of use of the SIGINT in domestic matters is therefore not as obvious as it could be interpreted from Cameron’s words. Even in the UK, which generally have relaxed legal boundaries regarding law enforcement authority, power to authorise interception of communication by GCHQ still lies in the hands of the Secretary of State. Note has to be made that it is not yet clear what will be the form of cooperation between GCHQ and NCA – perhaps GCHQ will provide only technical assistance (i.e. forensic service) without resorting to more aggressive capabilities.

For some types of operations this kind of cooperation is natural – for example counter intelligence efforts most often rely on work of domestic intelligence, or specialised counter intelligence, agencies which disclose gathered materials in the course of court proceedings. However, that is true for intelligence agencies operating within borders of the country by default i.e. MI5 or FBI. The problem is that nowadays governments try to shift, or at least partially redirect, focus of foreign signal intelligence into tackling local threats. This is without a doubt result of use of more sophisticated tools by criminals. It is hard to argue with Cameron’s assessment, that use of Tor requires special efforts from law enforcement as well as use of measures available only to specific entities. At the same time question remains whether already existing regulations keep up with quick changes in actual policy.

Continue reading “Intelligence and criminal justice – shift toward convergence?”