Archive | Privacy / prywatność RSS for this section

Szabo and Vissy v Hungary as possible challange to mass surveillance in Europe

Given that everybody is already writing about Apple vs FBI case, I don’t think there is anything to be added at the moment. Especially that in European context (particularly in regard to civil law countries) it is quite hard to imagine court issuing a similar order. That is of course not even taking into account problems of jurisdiction and fact that almost every company of similar importance is located in the United States. But that might be a topic for another post.

What is however definitely worth writing about, and received relatively low media exposure, are the possible consequences of the case of Szabo and Vissy v Hungary. Case concerned two members of watchdog NGO (Eötvös Károly Közpolitikai Intézet) who claimed to be targeted by broad surveillance powers granted to Hungarian Anti-Terrorism Task Force (TEK). Case is especially interesting that ECHR implicitly granted possibility of actio popularis in the context of extensively broad legislation. Let’s head straight to the details than.

Read More…

Rząd Holandii popiera stosowanie kryptografii i przeciwstawia się obowiązkowym backdoorom (na razie)

Holenderski rząd wydał oświadczenie (angielskie tłumaczenie tutaj) w którym poparł stosowanie mocnej kryptografii przez podmioty prywatne i rządowe w celu ochrony bezpieczeństwa danych użytkowników i ochrony prywatności. Podkreślając rosnącą rolę usług elektronicznych w kontaktach pomiędzy państwem, a obywatelami, Holenderskie władze stwierdzają także, że stosowanie odpowiedniego szyfrowania zwiększa także zaufanie do państwa. Holandia planuje bowiem aby do 2017 roku mieszkańcy mogli załatwić wszelkie sprawy związane z administracją rządową przez internet – a ta przetwarza w końcu wrażliwe dane takie jak zeznania podatkowe czy informację o ubezpieczeniu zdrowotnym. Co jednak najbardziej interesujące, oświadczenie odnosi się także do kwestii potencjalnego wprowadzenia obowiązkowych backdoorów w kryptografii stosowanej na terenie kraju lub prawnego ograniczenia możliwości stosowania konkretnych algorytmów.

Read More…

Prywatność i bezpieczeństwo danych dla aktywistów na trudne czasy

Zachowanie obecnej partii rządzącej w Polsce, która poprzez próby umniejszenia roli władzy sądowniczej wydaje się zmierzać wszelkimi dostępnymi środkami w stronę rządów autorytarnych, naturalnie nie nastraja pozytywnie co do poszanowania wolności obywatelskich w tej kadencji. Bardzo niepokoi również podejście rządu do służb specjalnych – nagłe i radykalne zmiany kadrowe, a także doświadczenia w funkcjonowaniu służb z okresu 2005-2007 sugerują, że władza może traktować je instrumentalnie. Również do celów związanych z inwigilacją aktywistów i grup nieprzychylnych władzy.

Celem tego postu nie jest jednak gdybanie o tym jak może być, a oraz przedstawienie podstawowych środków które mogą być pomocne w ograniczeniu możliwości.

Read More…

UK surveillance reform – third time’s a charm?

As NSA is preparing to end bulk collection of phone calls data in the US, on the other side of the Atlantic, UK is preparing to introduce new regulation regarding investigatory powers of British law enforcement. Presented yesterday, by Home Secretary Theresa May, Investigatory Powers Bill (already known as “snoopers’ charter”) will significantly overhaul currently existing provisions regulating targeted interception, remote search, acquisition of bulk personal datasets and retention of internet connection records by CSPs (Communication Services Providers) as well as oversight and authorisation matters. The fact that data retention is once again introduced in the UK, as it is third time British government is trying to push it through, is especially daunting. Previous attempts were neutralised by judgement of CJEU that declared Data Retention Directive illegal and by decision of the UK High Court, which ordered two sections of the Data Retention and Regulation of Investigatory Powers – apparently British government refuses to be bound by judiciary.

Read More…

Trybunał Sprawiedliwości UE unieważnia porozumienie Safe Harbour

W wyniku pozwu Austriaka Maxa Schremsa, a pośrednio również dokumentów ujawnionych przez Edwarda Snowdena, TSUE uznał, że porozumienie Safe Harbour które umożliwiało Amerykańskim przedsiębiorcom działającym na ternie UE uzyskanie certyfikatu zgodności standardu ochrony danych użytkowników z Europejskimi standardami po spełnieniu wymagań określonych w porozumieniu, jest niezgodne z prawem Unii Europejskiej. De facto oznaczało to, że Amerykańskie firmy nie podlegały kontroli krajowych organów państw UE.

Schrems wytoczył pozew przeciwko Irlandzkiemu przedstawicielstwu Facebooka, gdyż na skutek ujawnionych przez Snowdena informacji o skali inwigilacji prowadzonej przez NSA uznał, że dane które udostępnia nie uzyskują ochrony wymaganej przez Europejskie standardy. Początkowo pozew został odrzucony przez Irlandzki organ ochrony danych osobowych (Data Protection Commissioner) ponieważ ten stwierdził, że Facebook spełnił warunki porozumienia co jest wystarczające do automatycznego uznania, iż spełnia standardy Europejskie. Na skutek tej decyzji Schrems zdecydował się na apelacje do Trybunału Sprawiedliwości UE.

Trybunał uznał, że samodzielna decyzja Komisji Europejskiej nie może wykluczać kontroli organów krajowych co do spełnienia standardów ochrony prywatności wyznaczanych przez Kartę Praw Podstawowych UE oraz dyrektywę 95/46/EC które to zakreślają konieczne standardy ochrony danych osobowych na terenie Unii. W związku z tym, bez względu na decyzję Komisji poszczególne państwa są uprawnione do niezależnej kontroli standardów stosowanych przez podmioty świadczące usługi na terenie danego kraju.

Co najważniejsze, Trybunał zauważył, że porozumienie określa wyłącznie wymagania stawiane Amerykańskim podmiotom, a nie wiąże agencji rządowych. Prawo Stanów Zjednoczonych przyznawało natomiast priorytet kwestią bezpieczeństwa narodowego i interesu publicznego nad zapisami porozumienia. W rezultacie agencję rządowe, jak właśnie NSA, mogły bez żadnych konsekwencji naruszać uzgodnione standardy kiedy tylko wymagał tego interes USA. W końcu, Trybunał podkreślił, że jakiekolwiek akty prawne nie mogą zapewniać prawa do nieograniczonego i niekontrolowanego transferu danych poza granice UE, gdyż takie działanie samo w sobie narusza wolności podstawowe gwarantowane przez Unie Europejską. Nie bez znaczenia było również to, że porozumienie nie przewidywało żadnych mechanizmów zewnętrznej kontroli (choćby sądowej) poszczególnych usługodawców, którzy już rozpoczęli działalność poprzez spełnienie warunków porozumienia.

Co oznacza decyzja TSUE w praktyce? Pierwszą, bezpośrednią konsekwencją jest to, że władze Irlandii będą musiały rozpatrzyć skargę Schremsa i zadecydować czy Facebook w istocie spełnia Europejskie standardy ochrony danych osobowych. Jednak dużo poważniejsze konsekwencję są związane z dalszym świadczeniem usług przez Amerykańskich przedsiębiorców w krajach UE. Najważniejszym mechanizmem porozumienia stosowanym przez podmioty świadczące usługi obsługi IT przedsiębiorstw na terenie Unii była uproszczona procedura legalizacji transferu danych, który zasadniczo wymaga świadomej i dobrowolnej zgody każdego użytkownika – co nie zawsze jest oczywiste w przypadku pracowników którzy nie mają w tej kwestii realnego wyboru. Wyrok oznacza, że usługodawcy będą musieli potencjalnie spełniać standardy kilkunastu niezależnych systemów prawnych – co w szczególności dotknie tych którzy już działają na terenie całej UE.

Warto nadmienić, że niezgodność porozumienia Safe Harbour ze standardami Unijnymi związana ze stosowaniem masowej inwigilacji przez Stany podkreślał w swojej opinii Yves Bot które pełnił funkcję doradcy Trybunału.

Rage against the encryption – law enforcement reaction to cryptography proliferation

While development of TrueCrypt has ended in rather mysterious and abrupt manner, during its lifetime program became much more than just another encryption utility. The reason for its popularity and status could summarised in one word: unbreakable. While TrueCrypt was just a method of applying AES, it became synonymous with the encryption that protects you from police raiding your hard drives. Indeed it was impossible to find more polished, user-friendly and available full disc encryption solution.  Furthermore encryption solution crawled out of hard drives and in newest development Google and Apple declared that companies will not decrypt devices even at government’s request. Law enforcement, as it could be expected, declared such attitude will make it impossible to solve certain cases and compared encryption to ‘house or safe that cannot be searched’. Unfortunately officials failed to provide precise examples and argumentation of cost/benefit analysis regarding evidence collection and right to privacy, instead using common ‘think of the children’ emotional appeal  and absurd hyperboles such as ‘Apple will become the phone of choice for the pedophile’ . What is even more interesting while FBI officials were opposed to the idea, ACLU said that it is a move in right direction and will greatly increase personal privacy. What about internet browsing? Mozilla hinted at default integration of Tor into Firefox, certainly bold move that, depending on relay and exit nodes support, could be a gamechanger for both Tor and internet anonymity.

Read More…

Wyrok Trybunału Konstytucyjnego w sprawie dostępu do bilingów telefonicznych – radykalny krok w stronę prywatności.

W końcu zapadł wyrok w zainicjowanej przez Rzecznika Praw Obywatelskich i Prokuratora Generalnego sprawie dotyczącej zgodności z konstytucją oraz konwencją o ochronie praw człowieka i podstawowych wolności przepisów dotyczących uprawnień policji, agencji bezpieczeństwa wewnętrznego i szeregu innych służb. Wnioskodawcy wnosili o zbadanie konstytucyjności szeregu zapisów – związanych z kontrolą operacyjną, katalogiem przestępstw powiązanych z możliwością prowadzenia określonych czynności oraz przetwarzaniem, niszczeniem i udostępnianiem danych telekomunikacyjnych. Najciekawsze jest oczywiście ostatnia grupa, gdyż to właśnie w niej Trybunał dokonał najpoważniejszych korekt. Czego więc dotyczyły owe przepisy?

Osią sprawy jest artykuł 20c ust. 1 ustawy o Policji oraz analogiczne przepisy w ustawach dotyczących ABW, CBA, Straży Granicznej, Kontroli Skarbowej, Żandarmerii Wojskowej i Służb Wywiadu i Kontrwywiadu Wojskowego.  Umożliwił on funkcjonariuszom żądania od operatorów telekomunikacyjnych informacji dotyczących użytkownika końcowego inicjującego i odbierającego połączenie,  a także danych z tym związanych czyli czasu, daty, rodzaju i lokalizacji użytkownika – mniej więcej tego co funkcjonuje powszechnie jako ‘billing telefoniczny’. Co więcej operatorzy byli zobowiązani do świadczenia takiej usługi na własny koszt oraz do ‘zapewniania warunków’ do udostępniania tychże danych – co w praktyce oznaczało niemal nieograniczony dostęp służb.

Read More…

Nie dowiemy się jak jak atakować Tora :( – kontrowersyjna prezentacja zapowiadana na BlackHat 2014 odwołana

Prezentacja dwóch badaczy z uniwersytetu  Carnagie-Mellon o sensacyjnym tytule ‘Nie musisz być NSA aby złamać Tora’ już od pierwszych zapowiedzi budziła wiele kontrowersji. Tweet Runy Sandvik który początkowo wydał się być jedynie głosem rozczarowania związanym z brakiem współpracy i wymiany informacji pomiędzy naukowcami, a ekipą Tora okazał się jednak być niemal proroczy gdyż prezentacja została usunięta z grafiku konferencji. Ze zdawkowych na razie informacji wynika, że w sprawę musieli zaangażować się prawnicy uniwersytetu, którzy jak się wydaje zabronili komukolwiek mówienia czegokolwiek. Jedyne co jest pewne to, że prawnicy poinformowali organizatorów BlackHat o braku zgody placówki badawczej na wygłoszenie referatu. Biorąc pod uwagę, że badacze korzystali z zasobów uniwersytetu i prowadzili badania w ramach pracy naukowej uniwersytet może skutecznie zablokować upublicznienie efektów prac.

Jakie mogą być jednak przyczyny takiego obrotu spraw? Tor project zapewnia, że nie wnosili o wyłączenie prezentacji z planu konferencji – apelując jednocześnie o etyczne i odpowiedzialne prowadzenie badań związanych z siecią. Jak na razie najbardziej prawdopodobna wydaję się teoria, iż badacze – zapewne nieumyślnie – popełnili przestępstwo. Jeżeli prowadzili nasłuch sieci bez uzyskania zgody użytkowników (co jest niemal pewne) naruszyli Wiretap Act który zabrania nieuprawnionego przechwytywania komunikacji elektronicznej. Tłumaczyło by to również zdawkowe wyjaśnienia i brak komentarzy ze strony uniwersytetu, którego prawnicy dobrze wiedzą o potencjalnym ryzyko związanym z komentowaniem jakichkolwiek aspektów potencjalnego postępowania karnego. Oczywiście testowanie de facto ataku na sieć komputerową na rzeczywistych użytkownikach, a nie w warunkach laboratoryjnych, zakrawa co najmniej na lekkomyślność. Szczególnie dziwi to w obliczu doświadczenia obu badaczy – trudno uwierzyć, że równie chętnie testowali by np.: exploit umożliwiający zdalny dostęp. Być może odkrycie było tak ekscytujące, że twórcy zapomnieli skonsultować swoich działań z przepisami prawa.

Tak czy inaczej mam nadzieję, że prędzej czy później wyniki przeprowadzonych badań zostaną ujawnione. Wnioskują z opisu dostarczonego przez badaczy, który zakładał użycie łączy o wysokiej przepustowości i długi czas (kilka miesięcy) konieczny do skutecznego ataku. Niektórzy podejrzewają, że atak miał polegać na ustanowieniu kontrolowanych węzłów sieci. Duży transfer sprawiłby, że węzły te byłyby wybierane przez klientów podłączających się do sieci jak ‘entry guards’ które mają zapobiegać ujawnianiu użytkowników. Teoretycznie wybierane są one losowe i tylko one wybierane są jako pierwszy węzeł połączenia. Kontrolując zarówno entry guard jak i węzeł wyjściowy identyfikacja użytkowników byłaby już jak najbardziej możliwa.

To jak szybko rozwiązana zostanie zagadka prezentacji zależy w dużym stopniu od tego czy faktycznie doszło do popełnienia przestępstwa i czy władze USA zdecydują się na wszczęcie postępowania. Jeżeli prawnicy uniwersytetu uznają, że jest realna szansa na rozwiązanie sprawy w sądzie to komentarze będą ograniczone do minimum. Być może jednak udostępnione Tor project fragmenty prezentacji poskutkują oświadczeniem na temat faktycznej skuteczności ataku.

Google Spain v AEPD and Gonzáles and retention directive – European Court of Justice v Information Age

At first glance recent ruling by European Court of Justice in Google Spain v AEPD and Mario Costeja González was nothing but victory of privacy rights. Restriction in Google’s seemingly unlimited power in revealing or obscuring content related to personal data might be seen as a significant step towards transferring control over personal information back to those who are most interested in their flow. On the other hand isn’t it a form of censorship and ‘re-writing history’? As always with intersection of law and new technologies question remains whether there are technical means to implement the ruling – while everyone is aware that Google is able to control the search results content (eg SafeSearch) it appears that removing specific information about specific person is much more challenging – to begin with how many ‘Gonzalezes’ are there in Spain. Google v Gonzales is not first judgement of the year related to privacy and personal data. In April ECJ ruled that retention directive is invalid due to interference with fundamental rights – which from legal standpoint is even more interesting since at the time directive came into force, fundamental rights were not codified within European Union. However let’s begin with Google Spain v Gonzales.

Read More…

Developerzy TrueCrypta oświadczają, że nie jest już bezpieczny… i polecają BitLockera

Wszyscy odwiedzający dziś i wczoraj stronę TrueCrypta przeżyli nie małe zaskoczenie gdy odkryli, że strona właściwie przestała istnieć, a zamiast niej pojawiło się ostrzeżenie mówiące, że program nie jest już bezpieczny i należy jak najszybciej zmienić metodę szyfrowania danych. Co więcej to dość niespodziewane oświadczenie to dopiero początek niespodzianek. Najbardziej szokujące, są instrukcję dotyczące przeniesienia danych z TrueCrypta do innych rozwiązań. Twórcy, właściwie wbrew wszystkiemu co reprezentował TC rekomendują stosowanie rozwiązań oferowanych wraz z systemami Windows i OSX – gdzie wszystkie znaki na niebie i ziemi wskazują, że obie firmy współpracowały z agencjami rządowym i dla tych najbardziej zainteresowanych ukryciem danych są właściwie nieprzydatne. Co więcej w instrukcjach dotyczących OSX developerzy radzą aby po prostu nazwać dysk ‘encrypted disk’ bez uruchamiania szyfrowania (to nie żart – oczywiście mogła to być jedynie pomyłka w przygotowaniu instrukcji, jednak w kontekście całej sytuacji należy pochylić się nad każdym szczegółem). Co do Linuxa – należy znaleźć dowolne dostępne paczki ze słowami ‘encrypt’ lub ‘crypt’ i z nich korzystać… Ostatnim detalem wartym uwagi jest to, że pomimo że twórcy informują aby pobrać TC tylko w celu przenoszenia danych i oferują link do nowej wersji programu (7.2) bez informacji co zostało zmienione od poprzedniej wersji. Różnice w kodzie dostępne są tutaj – warto zwrócić uwagę na zmianę z U.S. na United States w komentarzach.

Więc co tak naprawdę się wydarzyło?

Read More…