UK surveillance reform – third time’s a charm?

As NSA is preparing to end bulk collection of phone calls data in the US, on the other side of the Atlantic, UK is preparing to introduce new regulation regarding investigatory powers of British law enforcement. Presented yesterday, by Home Secretary Theresa May, Investigatory Powers Bill (already known as “snoopers’ charter”) will significantly overhaul currently existing provisions regulating targeted interception, remote search, acquisition of bulk personal datasets and retention of internet connection records by CSPs (Communication Services Providers) as well as oversight and authorisation matters. The fact that data retention is once again introduced in the UK, as it is third time British government is trying to push it through, is especially daunting. Previous attempts were neutralised by judgement of CJEU that declared Data Retention Directive illegal and by decision of the UK High Court, which ordered two sections of the Data Retention and Regulation of Investigatory Powers – apparently British government refuses to be bound by judiciary.

Read More…

Europejska trudna droga do neutralność sieci

We wtorek Parlament Europejski zdecydowaną większością głosów przyjął regulację wprowadzającą  zasady neutralności sieci w UE oraz znoszącą opłaty roamingowe, jednocześnie jednak odrzucając wszystkie poprawki –  które w opinii wielu ekspertów i organizacji pozarządowych stanowiły element niezbędny do zapewnienia prawdziwej neutralności. Poprawki bowiem, zamykały zauważone w oryginalnym tekście regulacji wyjątki i luki prawne ograniczające możliwość realnego zapewnienia równego traktowania usługodawców internetowych przez operatorów telekomunikacyjnych. Na podstawie już opublikowanych analiz, przyjęte zasady nie rozwiązują następujących problemów:

  • operatorzy telekomunikacyjni wciąż mogą stosować ‘stawki zerowe’ – oznacza to, że ISP mogą zrezygnować z pobierania opłat za dostęp do określonych usług np.: korzystanie z konkretnej aplikacji w smartphonie lub dostęp do określonego serwisu oferującego streaming muzyki. Lobbyści usługodawców internetowych, twierdzą że rozwiązanie to jest korzystne dla konsumentów którzy mogą w pewnym stopniu za darmo korzystać z internetu, jednak w istocie promuje to model podobny do stosowanego w telewizji kablowej. Promowane są konkretne pakiety usług w ramach których produkty pojedynczego dostawcy otrzymują preferencyjne warunki. ISP ma więc znaczący wpływ na sukces lub porażkę konkretnych produktów. Takie rozwiązanie w oczywisty sposób może przyczyniać się do utrudnienia nowym podmiotom konkurencji z już istniejącymi i zaburza konkurencję na rynku.
  • regulacja nie rozwiązuje problemu specjalizowanych usług – być może największego zagrożenia dla neutralności sieci. Usługi specjalizowane oznaczają możliwość przyznania preferencyjnego transferu poszczególnym dostawcom, czyli stworzenie tzw ‘fast lanes’ – lepszego dostępu do pasma transferu oferowanego przez operatora. Podobnie jak stawki zerowe, daję to dostawcom telekomunikacyjnym szerokie pole do nadużyć – np.: poprzez nie zapewnienie odpowiedniego transferu konkretnemu serwisowi streamingu filmów – który ze swej natury wymaga stabilnego i szybkiego połączenia. W sytuacji gdy już istniejące i bogate koncerny mogą zapewnić sobie dużo wyższą jakość dostępnego łącza, a operatorzy mogą żądać dodatkowych opłat za dostęp do innych produktów, taka praktyka jest zabójcza dla nowo powstających inicjatyw. Regulacje nakazują aby takie praktyki nie szkodziły pozostałym użytkownikom, jednak ich ogólne brzmienie nie zapewnia wystarczającego zawężenia kategorii usług które mogą korzystać z takich warunków.

Problem stanowią również możliwości kontroli ruchu sieciowego przez ISP:

  • regulacja wprost przyznaje operatorom telekomunikacyjnym uprawnienie do nadawania priorytetu poszczególnym rodzajom przesyłanych danych (konkretnie: do różnicowania dostępnego pasma na podstawie obiektywnych cech technicznych ruch sieciowego wymaganego przez poszczególne kategorie usług). Oznacza to, że operator może zadecydować, że np.: ruch związany z grami sieciowymi będzie miał wyższy priorytet niż ruch związany z zaszyfrowaną komunikacją. W praktyce więc konsumenci płacący te samą cenę, za tę samą usługę będą korzystali z łącza o zróżnicowanej jakości – zależnej od tego do czego wykorzystują swoje połączenie. Dostawcy telekomunikacyjni mogą również wykorzystać ten mechanizm do promowania własnych usług poprzez przyznanie niskiego priorytetu, a tym samym obniżenia jakości, usług alternatywnych dla tradycyjnej telefonii np.: VoIP. Wątpliwości budzi także praktyczne stosowanie tego rodzaju rozwiązań, gdyż ze względu na rozwój nowych usług sieciowych filtry przydzielające ruch mogą błędnie identyfikować przesyłane dane. Zdaniem EFF, takie praktyki zagrażają również swobodnemu wykorzystaniu kryptografii, gdyż mechanizmy stosowane do klasyfikacji ruchu nie będą prawidłowo klasyfikować zaszyfrowanych danych, co sprawi że będą one prawdopodobnie przydzielane do pasma niskiego priorytetu. W końcu stanowi to kolejną barierę dla wchodzących na rynek usługodawców, którzy mogą nie być w stanie ponieść kosztów związanych z ewentualnym odwołaniem się od decyzji operatora do krajowych agencji regulacji telekomunikacji.
  • ISP będą mogli zmieniać priorytet transferu nie tylko w przypadku aktualnego, ale również nadchodzącego wysokiego wykorzystania pasma. W praktyce oznacza to dużą dowolność w podejmowaniu decyzji co do zmiany obłożenia sieci, a więc możliwość preferencyjnego traktowania poszczególnych podmiotów.

Odrzucenie poprawek oznacza więc, że do prawdziwej neutralności sieci w Unii Europejskiej wiedzie jeszcze długa droga. Co więcej, w opinii niektórych posłów, regulacja nie zagwarantowała nawet prawidłowego zniesienia opłat roamingowych. To jak regulacja zostanie wprowadzona w życie zależy więc teraz od jej interpretacji i implementacji przez krajowe urzędy regulacji telekomunikacji oraz sądy. Pozostaje mieć nadzieje, że ich decyzje będą podyktowane interesem konsumentów, a nie operatorów telekomunikacyjnych.

European Review of Organised Crime :)

Tym razem post w trochę innym tonie – artykuł mojego autorstwa został opublikowany w wydaniu specjalnym European Review of Organised Crime poświęconym w całości zjawisku cyberprzestępczości. Do lektury zarówno mojego artykułu (zatytułowanego Dealer, Hacker, Lawyer, Spy. Modern Techniques and Legal Boundaries of Counter-cybercrime Operations) jak i pozostałych prac serdecznie zapraszam.

Wydawnictwo dostępne jest pod adresem http://sgocnet.org/site/the-review-eroc/

 

This time something a bit different – I had a pleasure of contributing an article to the special issue of European Review of Organised Crime dedicated entirely to the phenomenon of cybercrime. Therefore I invite everyone to to read my article (titled Dealer, Hacker, Lawyer, Spy. Modern Techniques and Legal Boundaries of Counter-cybercrime Operations) as well as other contribution included in this issue.

European Review of Organised Crime is available at http://sgocnet.org/site/the-review-eroc/.

Trybunał Sprawiedliwości UE unieważnia porozumienie Safe Harbour

W wyniku pozwu Austriaka Maxa Schremsa, a pośrednio również dokumentów ujawnionych przez Edwarda Snowdena, TSUE uznał, że porozumienie Safe Harbour które umożliwiało Amerykańskim przedsiębiorcom działającym na ternie UE uzyskanie certyfikatu zgodności standardu ochrony danych użytkowników z Europejskimi standardami po spełnieniu wymagań określonych w porozumieniu, jest niezgodne z prawem Unii Europejskiej. De facto oznaczało to, że Amerykańskie firmy nie podlegały kontroli krajowych organów państw UE.

Schrems wytoczył pozew przeciwko Irlandzkiemu przedstawicielstwu Facebooka, gdyż na skutek ujawnionych przez Snowdena informacji o skali inwigilacji prowadzonej przez NSA uznał, że dane które udostępnia nie uzyskują ochrony wymaganej przez Europejskie standardy. Początkowo pozew został odrzucony przez Irlandzki organ ochrony danych osobowych (Data Protection Commissioner) ponieważ ten stwierdził, że Facebook spełnił warunki porozumienia co jest wystarczające do automatycznego uznania, iż spełnia standardy Europejskie. Na skutek tej decyzji Schrems zdecydował się na apelacje do Trybunału Sprawiedliwości UE.

Trybunał uznał, że samodzielna decyzja Komisji Europejskiej nie może wykluczać kontroli organów krajowych co do spełnienia standardów ochrony prywatności wyznaczanych przez Kartę Praw Podstawowych UE oraz dyrektywę 95/46/EC które to zakreślają konieczne standardy ochrony danych osobowych na terenie Unii. W związku z tym, bez względu na decyzję Komisji poszczególne państwa są uprawnione do niezależnej kontroli standardów stosowanych przez podmioty świadczące usługi na terenie danego kraju.

Co najważniejsze, Trybunał zauważył, że porozumienie określa wyłącznie wymagania stawiane Amerykańskim podmiotom, a nie wiąże agencji rządowych. Prawo Stanów Zjednoczonych przyznawało natomiast priorytet kwestią bezpieczeństwa narodowego i interesu publicznego nad zapisami porozumienia. W rezultacie agencję rządowe, jak właśnie NSA, mogły bez żadnych konsekwencji naruszać uzgodnione standardy kiedy tylko wymagał tego interes USA. W końcu, Trybunał podkreślił, że jakiekolwiek akty prawne nie mogą zapewniać prawa do nieograniczonego i niekontrolowanego transferu danych poza granice UE, gdyż takie działanie samo w sobie narusza wolności podstawowe gwarantowane przez Unie Europejską. Nie bez znaczenia było również to, że porozumienie nie przewidywało żadnych mechanizmów zewnętrznej kontroli (choćby sądowej) poszczególnych usługodawców, którzy już rozpoczęli działalność poprzez spełnienie warunków porozumienia.

Co oznacza decyzja TSUE w praktyce? Pierwszą, bezpośrednią konsekwencją jest to, że władze Irlandii będą musiały rozpatrzyć skargę Schremsa i zadecydować czy Facebook w istocie spełnia Europejskie standardy ochrony danych osobowych. Jednak dużo poważniejsze konsekwencję są związane z dalszym świadczeniem usług przez Amerykańskich przedsiębiorców w krajach UE. Najważniejszym mechanizmem porozumienia stosowanym przez podmioty świadczące usługi obsługi IT przedsiębiorstw na terenie Unii była uproszczona procedura legalizacji transferu danych, który zasadniczo wymaga świadomej i dobrowolnej zgody każdego użytkownika – co nie zawsze jest oczywiste w przypadku pracowników którzy nie mają w tej kwestii realnego wyboru. Wyrok oznacza, że usługodawcy będą musieli potencjalnie spełniać standardy kilkunastu niezależnych systemów prawnych – co w szczególności dotknie tych którzy już działają na terenie całej UE.

Warto nadmienić, że niezgodność porozumienia Safe Harbour ze standardami Unijnymi związana ze stosowaniem masowej inwigilacji przez Stany podkreślał w swojej opinii Yves Bot które pełnił funkcję doradcy Trybunału.

Chiny obiecują (już więcej) nie kraść Amerykańskiej technologii

Kradzież własności intelektualnej przez Chińskie podmioty, mniej lub bardziej powiązane z władzami w Pekinie, od dłuższego czasu pozostawała bolączką Stanów Zjednoczonych – jedną trzecią listy najbardziej poszukiwanych przez FBI cyber przestępców stanowią funkcjonariusze Chińskiej armii. Ostatnio problem stał się tym bardziej poważny, iż bezpośrednio dotknął dwóch kluczowych obszarów strategicznych interesów USA – rolnictwa i obronności. Niedawno ujawniona została historia Chińskich szpiegów kradnących ziarna konkretnych odmian zbóż, natomiast już od dłuższego czasu kontrowersje budzi myśliwiec Shenyang J-31 ze względu na swoje uderzające podobieństwo do Amerykańskiego myśliwca piątej generacji F-35. Istotną częścią polityki Chin stanowiły także operacje prowadzone w cyberprzestrzeni takiej jak np.: operacja Aurora wymierzona między innymi w Google i Northrop Grumman. Szpiegostwo przemysłowe umożliwiało Chiną pominięcie wydatków związanych z R&D które często stanowią lwią część całości kosztów. W połączeniu z możliwościami produkcyjnymi Chińskiego zaplecza przemysłowego, takie postępowanie z pewnością przyczyniało się do wzmacniania pozycji gospodarczej Chin na świecie.

Read More…

O włamaniu do kancelarii prawnej

Niedawne włamanie do jednej z większych w Polsce kancelarii prawnych jest zdarzeniem w wielu aspektach precedensowym i wymagającym komentarza. Nie zamierzam dokonywać tutaj analizy technicznej ataku – zarys działań napastników można znaleźć u samego źródła na ToRepublic jak i na stronie CERT, ani rozstrzygać jakie prawne konsekwencje mogą spotkać kancelarie – to zostało już przedstawione przez Konrada na portalu cyberprzestępczość.pl. Chciałbym za to rozważyć znaczenie jakie incydent może mieć dla przedstawicieli zawodów prawniczych i ich klientów. Uważam bowiem, że można zaryzykować tezę, iż włamanie jakie miało miejsce to najlepsze co w obecnej sytuacji mogło się wydarzyć.

Dlaczego najlepsze? Biorąc po uwagę poziom zabezpieczeń stosowany przez wszelakie kancelarie to tego rodzaju przypadku zwyczajnie musiało dojść. Kluczową kwestią było więc nie kiedy dojdzie do takiej sytuacji, a jak bardzo klienci ucierpią kiedy do tego dojdzie. Przeanalizujmy więc po kolei wszystkie ‘zalety’ przebiegu wydarzeń:

  1. Napastnicy zaatakowali dużą, znaną i dobrze prosperującą kancelarie. Po pierwsze pokazuje to, że nawet na szczycie kwestia bezpieczeństwa informacji jest ignorowana, a wygrywają najprostsze i zapewne najtańsze rozwiązania. Po drugie, ponieważ kancelaria była odpowiedzialna za prowadzenie tak medialnych spraw jak Amber Gold, czy sprawy kredytów we frankach, incydent może zyskać rozgłos adekwatny do jego skali.
  2. Klienci, będący w istocie głównymi ofiarami, zostali potraktowani w miarę łagodnie. Ich dane nie zostały sprzedane oszustom, co więcej napastnicy umożliwili niektórym usunięcie swoich informacji z baz.
  3. Można na żywo zaobserwować chilling effect straszenia konsekwencjami prawnymi przez kancelarie prawne – czego przykładem jest usunięcie artykułu poświęconego zdarzeniu na zaufanej trzeciej stronie i radykalna zmiana treści artykułu zamieszczonego przez Gazetę Prawną .
  4. Jest szansa na zmianę podejścia do kwestii bezpieczeństwa w kancelariach prawnych o czym mowa dalej.

Skala sukcesu napastników – całkowite przejęcie kontroli nad infrastrukturą IT kancelarii i uzyskanie nieograniczonego dostępu do wszystkich informacji będących w jej posiadaniu – sprawia również, że sytuacja będzie miarą zachowania rady adwokackiej i urzędów odpowiedzialnych ze egzekwowanie standardów ochrony informacji, jak np.: GIODO. Jeżeli bowiem w przypadku tak poważnego incydentu nie zostaną zastosowane radykalne sankcje wobec kancelarii to można będzie wysunąć smutny wniosek, iż żaden przyszły przypadek również pociągnie za sobą adekwatnych sankcji. W tym kontekście najgorszym z możliwych scenariuszy byłbym cykl życia incydentów który według jednego z użytkowników Reddita jest biznesowym standardem, a mianowicie:

  1. Firma skrajnie nieodpowiedzialnie podchodzi to kwestii bezpieczeństwa i zostaje zhakowana.
  2. Firma wynajmuje najdroższych możliwych pentestrów i audytorów aby zadowolić klientów / inwestorów.
  3. Wyniki punktu 2 są ignorowane i wracamy do punktu 1.

Oczywiście pytaniem pozostaje to czy w ogóle możliwy jest nadzór nad poziomem bezpieczeństwa stosowanym przez tego rodzaju podmioty bez zastosowania rozwiązań systemowych. Trudno jest bowiem jednoznacznie stwierdzić czy brak zastosowania odpowiedniego poziomu zabezpieczeń wynika ze zwyczajnej ignorancji w sprawach funkcjonowania sieci komputerowych (co w mojej ocenie jest niedopuszczalne przy wykonywaniu tego zawodu) czy z kalkulacji kosztów i potencjalnych spraw – w końcu jest to dopiero pierwszy taki przypadek. Osobiście uważam, że obecny stan rzeczy jest wynikiem obu tych czynników, z naciskiem na pierwszy. Konkretniej rzecz ujmując – brak wiedzy na temat bezpieczeństwa informacji skutkuje stosowaniem średniej jakości rozwiązań z zakresu bezpieczeństwa, najczęściej jako usługę outsourcowaną wraz z resztą obsługi IT. Ze względu na brak podobnych incydentów brak było z kolei bodźca zarówno dla kancelarii, aby wdrażać specjalistyczne rozwiązania, jak i dla firm zajmujących się obsługą IT – aby na poważnie zająć się kwestią bezpieczeństwa. Rezultatem jest status quo w którym bardziej opłacalna jest reakcja na dokonany atak, a nie proaktywne jemu zapobieganie. I właśnie w tym aspekcie może wyniknąć najwięcej dobrego z zaistniałej sytuacji. Połączenie sankcji ze strony administracji i zwiększenie świadomości klientów co do istotności stosowania odpowiednich środków bezpieczeństwa może popchnąć sytuację na właściwe tory.

W dniu dzisiejszym kancelaria ogłosiła, że oferuje nagrodę w wysokości 100 tysięcy złotych za wskazanie osób odpowiedzialnych i dostarczenie dowodów winy. Kwestie współmierności wysokości nagrody do potencjalnej wartości wykradzionych danych (i dowodów które miałyby zostać dostarczone) pozostawiam każdemu do własnej oceny.

 

Intelligence and criminal justice – shift toward convergence?

When David Cameron announced during #WeProtectChildren summit that GCHQ will join forces with National Crime Agency in order to effectively tackle problem of child pornography in Tor he, probably unintentionally, made a rather sweeping statement about role of intelligence agencies in process of fighting crime. GCHQ’s primary function after all is spying on foreign entities and protecting national security of the UK. In fact Intelligence Service Act 1994 names three functions of the agency: mentioned national security with emphasis on foreign and defence policy, economic well-being of the UK (again with emphasis on foreign actors) and in the last place support of the prevention and detection of serious crime. Status of use of the SIGINT in domestic matters is therefore not as obvious as it could be interpreted from Cameron’s words. Even in the UK, which generally have relaxed legal boundaries regarding law enforcement authority, power to authorise interception of communication by GCHQ still lies in the hands of the Secretary of State. Note has to be made that it is not yet clear what will be the form of cooperation between GCHQ and NCA – perhaps GCHQ will provide only technical assistance (i.e. forensic service) without resorting to more aggressive capabilities.

For some types of operations this kind of cooperation is natural – for example counter intelligence efforts most often rely on work of domestic intelligence, or specialised counter intelligence, agencies which disclose gathered materials in the course of court proceedings. However, that is true for intelligence agencies operating within borders of the country by default i.e. MI5 or FBI. The problem is that nowadays governments try to shift, or at least partially redirect, focus of foreign signal intelligence into tackling local threats. This is without a doubt result of use of more sophisticated tools by criminals. It is hard to argue with Cameron’s assessment, that use of Tor requires special efforts from law enforcement as well as use of measures available only to specific entities. At the same time question remains whether already existing regulations keep up with quick changes in actual policy.

Read More…

War over Cyber Pacific

As North Korean internet suffered massive outage yesterday, it is difficult not to wonder whether this is the ‘proportional response’ President Obama warned about. While, massive DDoS of DPKR’s network seems almost too blunt instrument, considering sophisticated capabilities of targeted operations available to NSA, it would be appropriate as a “warning shot” – showing how easily (in matter of less than week) whole Korean internet infrastructure can be disabled. It has to be noted though  that officially American administration ruled out possibility of demonstration strike. Regarding if North Korea is really source of the attacks, jury is still out. According to FBI, evidence strongly backs this theory, however some researchers, including Bruce Schneier, remains unconvinced. Those opinions however, often does not fully embrace the fact that FBI press release may purposefully present very general overview of evidence gathered, in order to not give heads up to actual attacker.

Until more informations will be available two issues may already discussed – to some degree who could be responsible for Korea’s internet outage and whether it is proper to engage in cyberwar over attack on corporation.

Regarding first question, recent write-up about state of DPKR‘s internet access and hosts identified reveals interesting state of DPRK’s network and perhaps potential attractive targeted attack for hackers. Legal status of such activities also remains in grey area – it is hard to judge whether authorities would decide to prosecute someone trying to breach into North Korean network, even if strictly speaking most provisions included in criminal codes does not differentiate between targets of breach. Also given possibility that Sony attacks originated from Korea, countries might not want to have leading back to them. Revealed IP address include even login page for Cisco router (http://175.45.178.142/) – possibly tempting target for anyone curious. However, scale of the outage suggests rather organised effort and no hacker group yet claimed responsibility. Interesting theory involves China intervention – perhaps escalation of affairs caused its involvement in order to prevent further embarrassment.

Read More…

Rage against the encryption – law enforcement reaction to cryptography proliferation

While development of TrueCrypt has ended in rather mysterious and abrupt manner, during its lifetime program became much more than just another encryption utility. The reason for its popularity and status could summarised in one word: unbreakable. While TrueCrypt was just a method of applying AES, it became synonymous with the encryption that protects you from police raiding your hard drives. Indeed it was impossible to find more polished, user-friendly and available full disc encryption solution.  Furthermore encryption solution crawled out of hard drives and in newest development Google and Apple declared that companies will not decrypt devices even at government’s request. Law enforcement, as it could be expected, declared such attitude will make it impossible to solve certain cases and compared encryption to ‘house or safe that cannot be searched’. Unfortunately officials failed to provide precise examples and argumentation of cost/benefit analysis regarding evidence collection and right to privacy, instead using common ‘think of the children’ emotional appeal  and absurd hyperboles such as ‘Apple will become the phone of choice for the pedophile’ . What is even more interesting while FBI officials were opposed to the idea, ACLU said that it is a move in right direction and will greatly increase personal privacy. What about internet browsing? Mozilla hinted at default integration of Tor into Firefox, certainly bold move that, depending on relay and exit nodes support, could be a gamechanger for both Tor and internet anonymity.

Read More…

No maps for these territories – landscape of cyberwarfare reporting

In latest Edward Snowden’s profile prepared by Wired two new informations related to US cyberwarfare activity were revealed. First is that NSA caused internet blackout in Syria while trying to deploy exploit in one of Syria’s main routers. Unfortunately instead of accomplishing their goal operatives made router completely unresponsive – effectively cutting off country from foreign internet connections. Combining secret nature of NSA activities with increased rebel activity during that period (November of 2012) the narrative presented by media was naturally much different. Pretty much every major news network claimed (often backed up by source from intelligence / cyber security companies) that Syria’s government is responsible for blackout, and furthermore that it was a deliberate effort in order to prevent global coverage of atrocities that are about to happen. There are two side of this – it might be argued that given unstable situation and callousness of Al-Assad’s regime, government sponsored blackout was the most probable course of action. On the other hand this case brutally reveals how much and to what extend informations about cyberwarfare in all its aspects (be it hacker attacks, cyber espionage, ddos attacks or anything else executed from behind the keyboard) are based on speculations and probability scales. Make no mistake – it is not strictly fault of news networks, or rather it is but there is little they can do about it. In case of rising superpower of news media, the  internet outlets of various forms what matters most is page visit counter. While this phenomena is certainly not limited to cyberwarfare reporting, combination of lack of sources, clandestine nature of operations and limited technical knowledge of news staff makes reports even sketchier and more sensationalistic than usual. After all nothing makes a better headline than a cyberattack straight from Tom Clancy’s novel.

Read More…