NSA MYSTIC – impressive yet hardly surprising

Recent report by Washington Post brings two equally strong feelings – one – kind of outrage diluted by number of earlier revelations about the scope of NSA surveillance program and – two – marvel that it is actually possible to store every phone call in the country (not metadata) and have the ability to rewind them whole month back and have effective search engine in place. Of course last part is somehow made up, one have to assume that there is actually some kind tool to browse such, for lack of better word, gianormous amount of data in order to bring any effectiveness to such infrastructure. However looking closer at the information, things get less sensationalistic, first of all which country are we talking about? The article lacks this crucial aspect – important to note – it is not US. It is needless to say that storing calls from Monaco, or Afghanistan (which might quite likely be the target) is much different that storing calls from France or Russia. Second while the premise looks impressive at first glance, the closer we look the things get more complex.

Continue reading “NSA MYSTIC – impressive yet hardly surprising”

Data mining – European legislation – overview

Welcome in the new year! After bit longer than usual break I’m back to editing and creating this blog. Depending on how much time I will have available this post might be a beginning of a longer series of articles on data mining. On the other hand I’m afraid that afford to write on the subject on series will be hindered by need to comment on current / ongoing affairs. Anyway enjoy.

While it seems that today most attention is concentrated on government surveillance programs, it is important not to forget about less secret and probably much more prevalent problem of data mining methods used officially by both private enterprises and government institutions. Modern technology of data collection and analysis enables mining on global scale, making world of online user data borderless. Not even mentioning problems of copyright law regarding the fact that crawlers have to access and collect data from ie web pages, there is myriad of issues regarding privacy and ‘ownership’ of personal information. As reported by New York Times and Wall Street Journal specific profiles, based on data like estimated salary, history of sales, ads clicked and page history are sold almost every second to highest bidder. Furthermore it turns out that anonimisation of data is much more complex and less airtight than it seems. In many cases data miners collects data that are not directly personal information, but due to its nature – like e-mail – address they are just as good for identification as actual personal data. Research mentioned in WSJ article suggests that 56% of websites leaks that kind of information. What’s even more ‘like’ buttons from facebook or twitter track website activity even if user do not click on them.

Continue reading “Data mining – European legislation – overview”

Cameron’s porn firewall – war on [something] at best

I’ve postponed writing on UK porn filter for quite a time. It was almost to easy to predict how things will begin and how it will unwind. Yet with filter blocking site of Claire Perry, MP and one of the biggest proponent of porn block it is impossible to resist smugly saying: I’ve told you so. Three years earlier, in 2010, the same Ms Perry started a debate on introducing such a filter. The points raised were too, almost to easy to predict: children, with their annoying ability to be early adopters of new technology, are particularly heavy users of the internet (that is actually a quote), pornography is widely and freely available on the internet, pornography is harmful and damaging to children, entire history of human perversion and deviation is available at the fingertips also parents does not know how to install filters by themselves (that’s also actually said). It is almost surprising that nobody just stood up and shouted ‘please think of the children’. Let’s not forget that at this time some forms of pornography were already banned due to Section 63 of the Criminal Justice and Immigration Act 2008. Specifically it banned ‘extreme pornographic images’ which involved presenting acts which included acts threatening person’s life, acts of violence that might result in serious injury of anus, breasts or genitalia finally, acts of bestiality and necrophilia. Important to note is that it outlawed not (or rather not only) depiction of actual acts of violence but staged acts involving actors who consented. Jumping back to 2013 on July 22 Cameron announced that four biggest ISPs in the UK will block porn on default, threating further law changes if necessary and finally on 13th of December BT announced that new customers will have their porn blocked.

Continue reading “Cameron’s porn firewall – war on [something] at best”

Program gromadzenia danych telefonicznych NSA ‘prawdopodobnie niezgodny z czwartą poprawką’

W 68 – stronicowej opinii sędzia sądu federalnego Richard J. Leon stwierdził, że program gromadzenia danych na temat połączeń telefonicznych, który to zakłada analizowanie połączeń wykonywanych przez poszczególne numery i tworzenie bazy danych na podstawie zebranych informacji prawdopodobnie podlega pod bezpodstawne przeszukanie – zabronione przez czwartą poprawkę amerykańskiej konstytucji. Opinia nie jest wyrokiem, jest to jednak pierwsze oficjalne stanowisko sędziego, które sprzeciwia się praktykom NSA.

Przede wszystkim konieczne było rozróżnienie sprawy od Smith v. Maryland w którym to orzeczono, iż czwarta poprawka nie chroni przed zbieraniem informacji o połączeniach wychodzących. Wtedy to sąd stwierdził, że nie można spodziewać się że wybierany numer pozostaje prywatną informacją skoro musi on być udostępniony firmie telefonicznej (kluczowym jest tutaj test ‘reasonable expectation of privacy’). W związku z tym nie przysługuje tutaj konstytucyjna ochrona. Według sędziego Leona orzeczenie to nie ma tutaj zastosowania ponieważ telefonia jest dzisiaj zupełnie czymś innym niż była w 1979 (kiedy to wydano wyrok w Smith v. Maryland), a sąd nie mógł nawet przewidywać powstania sytemu zbierającego informację z całego kraju jak ma to miejsce dzisiaj. Co więcej podsłuch w Smith był aktywny jedynie przez kilka dni, a nie zainstalowany na stałe a baza będzie przechowywać dane z pięciu lat. Co więcej program mam trwać tak długo jak długo Stany będą walczyć z terroryzmem – czyli w praktyce już zawsze. Sędzie bierze także pod uwagę to jak bardzo zmieniła się relacja rząd – firmy telekomunikacyjne na przestrzeni lat. W czasach Smith dane były fizycznie przekazywane na życzenie organów ścigania, dziś NSA może mieć ‘codzienny dostęp’ do całych zbiorów. Podsumowując, różnica zasadza się przede wszystkim na skali i stopniu dostępu do danych. Nie można porównywać jednostkowej instalacji urządzenia do rejestracji danych, do systemu na bieżąca rejestrującego informacją z wszystkich (praktycznie) telefonów w Stanach. W opinii czytam wręcz o ‘almost-Orwellian technology’.

Continue reading “Program gromadzenia danych telefonicznych NSA ‘prawdopodobnie niezgodny z czwartą poprawką’”

PRISM vs Facebook – do we have right to be outraged?

On June the 6th, 2013 Washington Post and The Guardian simultaneously released informations about US surveillance program broader in its scope that anything seen before. Furthermore PRISM as it is called targeted most sensitive data – collecting informations from providers of services that we use so often and for private communication. It is hard to name type of data that was not captured by government. Emails, videos, photos, VoIP and user activity among many more is captured straight from the servers of biggest vendors on the market – Microsoft, Apple and Google to name most significant. Affair become even more movie-like with reveal of man behind the leak. A lone whistleblower who left his family, six figures and comfortable life to reveal abuse of power and had to escape to Hong Kong to conclude in an interview ‘I don’t want to live in a society that does these sort of things’

The only reaction that could result from such a revelation was massive and universal outrage expressed on nomen omen, the internet. First responders were naturally tech savvy users from around the world, at least those whose response wasn’t ‘I told you so.’ But coming back to former group it’s really hard to blame them for their reaction. Is it possible not to feel sick while looking at documents saying that basically any of your emails can be accessed without any oversight?

 Continue reading "PRISM vs Facebook – do we have right to be outraged?" 

FBI zdalnie włącza kamere w laptopie aby znaleźc “Mo”

11 grudnia 2012 sąd federalny w Denver wydał nakaz przeszukania który umożliwił FBI umieszczenie malwaru w skrzynce pocztowej niejakiego “Mo”. Mo kilka miesięcy wcześniej zagroził podłożeniem bomb pod uniwersytety, lotniska, i inne obiekty na terytorium Stanów Zjednoczonych. Swoje groźby wysyłał mailem lub korzystał z internetowych usług telefonicznych. Pomimo ustalenia adresów IP nie udało się jednak ustalić lokalizacji przestępcy. Wtedy agenci FBI postanowili wykorzystać malware stworzony specjalnie na potrzeby śledztwa.

Malware uaktywniał się gdy tylko Mo zalogował się na swoją skrzynkę Yahoo! i zaczynał gromadzić wszelkie informację jak udało mu się wyłowić z komputera – historie przeglądarki, czas logowania, a także informację o specyfikacji i lokalizacji komputera. Co najważniejsze ze względu na powiązanie z kontem program nie był ograniczony geograficznie i umożliwiał śledzenie bez względu na lokalizację komputera. Wciąż pomimo tak szerokiego zakresu pozyskiwanych informacji wciąż nie udało się odnaleźć przestępcy.

Najbardziej interesującą wydaję się informacja, że program umożliwiał włączenie kamery w laptopie bez załączania diody informującej o pracy kamery. Pomimo, że teoretycznie sprzętowo powinno być nie możliwe uruchomienie rejestracji obrazu bez włączania owego światełka to jak widać jest to wykonalne. Co ważniejsze potwierdzenie takiej możliwości sprawia, że nie możemy już domniemywać, że taka sytuacja nas nie spotka lub że jest mało prawdopodobna. Nawet jeśli konkretny exploit został od podstaw opracowany przez pracowników w FBI to albo już został, albo wkrótce zostanie odkryty przez ‘prywatnych’ hakerów. Takie doniesienia są szczególnie niepokojące w kontekście wydarzeń takich jak ujawnienie subforum na serwisie hackforum.net które to w całości poświęcone było podglądaniu innych przy pomocy programów RAT czy szantaż miss USA nastolatek.

Z drugiej strony należy zastanowić się nad prawnymi aspektami takich działań. Czy nieograniczone pozyskiwanych danych nie jest zbyt daleko posuniętym środkiem. W końcu oprócz danych koniecznych do wykrycia sprawcy agencje rządowe pozyskują informację natury całkiem prywatnej. Dalej należałoby zapytać czy takie informację mogłyby być wykorzystane jeżeli stanowiłyby dowody innych, jeszcze nie wykrytych przestępstw.

Pozyskiwanie danych komputerowych przez organy ścigania nie jest oczywiście nowością, a niedawne ujawnienie informacji o programie PRISM tylko pokazuję skale zjawiska. Niestety wydaje się, iż regulacje prawne nie nadążają za rozwojem techniki i w ograniczonym stopniu realizują funkcje gwarancyjne. Związane jest to przede wszystkim z możliwościami jakie oferuje nowoczesna technika – o ile fizyczna inwigilacja wszystkich osób korzystających z internetu jest zwyczajnie nie możliwa, o tyle pozyskiwanie i przetwarzanie danych pozostawianych przez użytkowników Googla jest już jak najbardziej w zasięgu. Pytaniem otwartym pozostaje czy sądy wydając nakazy zezwalające na takie działania w pełni rozumieją wagę swojej decyzji.