Tag Archive | nsa

European Review of Organised Crime :)

Tym razem post w trochę innym tonie – artykuł mojego autorstwa został opublikowany w wydaniu specjalnym European Review of Organised Crime poświęconym w całości zjawisku cyberprzestępczości. Do lektury zarówno mojego artykułu (zatytułowanego Dealer, Hacker, Lawyer, Spy. Modern Techniques and Legal Boundaries of Counter-cybercrime Operations) jak i pozostałych prac serdecznie zapraszam.

Wydawnictwo dostępne jest pod adresem http://sgocnet.org/site/the-review-eroc/

 

This time something a bit different – I had a pleasure of contributing an article to the special issue of European Review of Organised Crime dedicated entirely to the phenomenon of cybercrime. Therefore I invite everyone to to read my article (titled Dealer, Hacker, Lawyer, Spy. Modern Techniques and Legal Boundaries of Counter-cybercrime Operations) as well as other contribution included in this issue.

European Review of Organised Crime is available at http://sgocnet.org/site/the-review-eroc/.

Trybunał Sprawiedliwości UE unieważnia porozumienie Safe Harbour

W wyniku pozwu Austriaka Maxa Schremsa, a pośrednio również dokumentów ujawnionych przez Edwarda Snowdena, TSUE uznał, że porozumienie Safe Harbour które umożliwiało Amerykańskim przedsiębiorcom działającym na ternie UE uzyskanie certyfikatu zgodności standardu ochrony danych użytkowników z Europejskimi standardami po spełnieniu wymagań określonych w porozumieniu, jest niezgodne z prawem Unii Europejskiej. De facto oznaczało to, że Amerykańskie firmy nie podlegały kontroli krajowych organów państw UE.

Schrems wytoczył pozew przeciwko Irlandzkiemu przedstawicielstwu Facebooka, gdyż na skutek ujawnionych przez Snowdena informacji o skali inwigilacji prowadzonej przez NSA uznał, że dane które udostępnia nie uzyskują ochrony wymaganej przez Europejskie standardy. Początkowo pozew został odrzucony przez Irlandzki organ ochrony danych osobowych (Data Protection Commissioner) ponieważ ten stwierdził, że Facebook spełnił warunki porozumienia co jest wystarczające do automatycznego uznania, iż spełnia standardy Europejskie. Na skutek tej decyzji Schrems zdecydował się na apelacje do Trybunału Sprawiedliwości UE.

Trybunał uznał, że samodzielna decyzja Komisji Europejskiej nie może wykluczać kontroli organów krajowych co do spełnienia standardów ochrony prywatności wyznaczanych przez Kartę Praw Podstawowych UE oraz dyrektywę 95/46/EC które to zakreślają konieczne standardy ochrony danych osobowych na terenie Unii. W związku z tym, bez względu na decyzję Komisji poszczególne państwa są uprawnione do niezależnej kontroli standardów stosowanych przez podmioty świadczące usługi na terenie danego kraju.

Co najważniejsze, Trybunał zauważył, że porozumienie określa wyłącznie wymagania stawiane Amerykańskim podmiotom, a nie wiąże agencji rządowych. Prawo Stanów Zjednoczonych przyznawało natomiast priorytet kwestią bezpieczeństwa narodowego i interesu publicznego nad zapisami porozumienia. W rezultacie agencję rządowe, jak właśnie NSA, mogły bez żadnych konsekwencji naruszać uzgodnione standardy kiedy tylko wymagał tego interes USA. W końcu, Trybunał podkreślił, że jakiekolwiek akty prawne nie mogą zapewniać prawa do nieograniczonego i niekontrolowanego transferu danych poza granice UE, gdyż takie działanie samo w sobie narusza wolności podstawowe gwarantowane przez Unie Europejską. Nie bez znaczenia było również to, że porozumienie nie przewidywało żadnych mechanizmów zewnętrznej kontroli (choćby sądowej) poszczególnych usługodawców, którzy już rozpoczęli działalność poprzez spełnienie warunków porozumienia.

Co oznacza decyzja TSUE w praktyce? Pierwszą, bezpośrednią konsekwencją jest to, że władze Irlandii będą musiały rozpatrzyć skargę Schremsa i zadecydować czy Facebook w istocie spełnia Europejskie standardy ochrony danych osobowych. Jednak dużo poważniejsze konsekwencję są związane z dalszym świadczeniem usług przez Amerykańskich przedsiębiorców w krajach UE. Najważniejszym mechanizmem porozumienia stosowanym przez podmioty świadczące usługi obsługi IT przedsiębiorstw na terenie Unii była uproszczona procedura legalizacji transferu danych, który zasadniczo wymaga świadomej i dobrowolnej zgody każdego użytkownika – co nie zawsze jest oczywiste w przypadku pracowników którzy nie mają w tej kwestii realnego wyboru. Wyrok oznacza, że usługodawcy będą musieli potencjalnie spełniać standardy kilkunastu niezależnych systemów prawnych – co w szczególności dotknie tych którzy już działają na terenie całej UE.

Warto nadmienić, że niezgodność porozumienia Safe Harbour ze standardami Unijnymi związana ze stosowaniem masowej inwigilacji przez Stany podkreślał w swojej opinii Yves Bot które pełnił funkcję doradcy Trybunału.

Rage against the encryption – law enforcement reaction to cryptography proliferation

While development of TrueCrypt has ended in rather mysterious and abrupt manner, during its lifetime program became much more than just another encryption utility. The reason for its popularity and status could summarised in one word: unbreakable. While TrueCrypt was just a method of applying AES, it became synonymous with the encryption that protects you from police raiding your hard drives. Indeed it was impossible to find more polished, user-friendly and available full disc encryption solution.  Furthermore encryption solution crawled out of hard drives and in newest development Google and Apple declared that companies will not decrypt devices even at government’s request. Law enforcement, as it could be expected, declared such attitude will make it impossible to solve certain cases and compared encryption to ‘house or safe that cannot be searched’. Unfortunately officials failed to provide precise examples and argumentation of cost/benefit analysis regarding evidence collection and right to privacy, instead using common ‘think of the children’ emotional appeal  and absurd hyperboles such as ‘Apple will become the phone of choice for the pedophile’ . What is even more interesting while FBI officials were opposed to the idea, ACLU said that it is a move in right direction and will greatly increase personal privacy. What about internet browsing? Mozilla hinted at default integration of Tor into Firefox, certainly bold move that, depending on relay and exit nodes support, could be a gamechanger for both Tor and internet anonymity.

Read More…

Developerzy TrueCrypta oświadczają, że nie jest już bezpieczny… i polecają BitLockera

Wszyscy odwiedzający dziś i wczoraj stronę TrueCrypta przeżyli nie małe zaskoczenie gdy odkryli, że strona właściwie przestała istnieć, a zamiast niej pojawiło się ostrzeżenie mówiące, że program nie jest już bezpieczny i należy jak najszybciej zmienić metodę szyfrowania danych. Co więcej to dość niespodziewane oświadczenie to dopiero początek niespodzianek. Najbardziej szokujące, są instrukcję dotyczące przeniesienia danych z TrueCrypta do innych rozwiązań. Twórcy, właściwie wbrew wszystkiemu co reprezentował TC rekomendują stosowanie rozwiązań oferowanych wraz z systemami Windows i OSX – gdzie wszystkie znaki na niebie i ziemi wskazują, że obie firmy współpracowały z agencjami rządowym i dla tych najbardziej zainteresowanych ukryciem danych są właściwie nieprzydatne. Co więcej w instrukcjach dotyczących OSX developerzy radzą aby po prostu nazwać dysk ‘encrypted disk’ bez uruchamiania szyfrowania (to nie żart – oczywiście mogła to być jedynie pomyłka w przygotowaniu instrukcji, jednak w kontekście całej sytuacji należy pochylić się nad każdym szczegółem). Co do Linuxa – należy znaleźć dowolne dostępne paczki ze słowami ‘encrypt’ lub ‘crypt’ i z nich korzystać… Ostatnim detalem wartym uwagi jest to, że pomimo że twórcy informują aby pobrać TC tylko w celu przenoszenia danych i oferują link do nowej wersji programu (7.2) bez informacji co zostało zmienione od poprzedniej wersji. Różnice w kodzie dostępne są tutaj – warto zwrócić uwagę na zmianę z U.S. na United States w komentarzach.

Więc co tak naprawdę się wydarzyło?

Read More…

NSA MYSTIC – impressive yet hardly surprising

Recent report by Washington Post brings two equally strong feelings – one – kind of outrage diluted by number of earlier revelations about the scope of NSA surveillance program and – two – marvel that it is actually possible to store every phone call in the country (not metadata) and have the ability to rewind them whole month back and have effective search engine in place. Of course last part is somehow made up, one have to assume that there is actually some kind tool to browse such, for lack of better word, gianormous amount of data in order to bring any effectiveness to such infrastructure. However looking closer at the information, things get less sensationalistic, first of all which country are we talking about? The article lacks this crucial aspect – important to note – it is not US. It is needless to say that storing calls from Monaco, or Afghanistan (which might quite likely be the target) is much different that storing calls from France or Russia. Second while the premise looks impressive at first glance, the closer we look the things get more complex.

Read More…

Daniel Ellsber, open Firefox, EU copyright consultations and Target follow up – news report

Unfortunately, due to approaching finals lack of time is killing, so instead of full blown post, I’d like to present ‘bits of news’ that in my opinion are worth checking out:

Whistleblower Daniel Ellsber answers questions on reddit – this just came in as I started to write this post, and even though it’s not really an information piece it is a must for anyone interested in privacy / government transparency. For those of you how are unfamiliar wit Mr Ellsber – he was the man who in 1971 released so called ‘Pentagon Papers’ which revealed that US administration knew that Vietnam war is unwinnable yet did not informed public opinion about it and continued with military operations.

Mozilla asks user to audit code of Firefox in order to prevent surveillance – it is well known that open-source software is one of many requirements for users who would like to keep their privacy. Ability to check the code and prevent installation of backdoors is, as cooperations between NSA and various software and hardware producers became known, invaluable. Mozilla is quite known now for their privacy oriented business strategy – let’s just mention project lightbeam.

European Union opens consultation program regarding changes in copyright laws (here interactive online version)  – it seems that European legal authorities become aware of massive problems arising from current state of copyright laws which are related to all sort of problems – from instrumental use of public prosecutors in war on piracy to limited access to literary works even if author is already deceased. What will be actual result of this action is yet to be known, however it’s definitely move in good direction.

Target’s data theft affects 70 millions customers – as expected story of massive data breach at American retail network unwinds. Furthermore as it turns out, Target wasn’t the only affected retailer. Neiman Marcus and maybe three others companies were also attacked, timing of the attack correlating with that of Target’s – totaling to over 100 millions possibly affected customers. Also details regarding method of the POS attack are slowly getting to light. Apparently malware used for attacks is modified version of BlackPOS – popular and available for sale designed to be installed on POS devices. As reported by Krebs on Security after installing malware attackers gained persistent access to network by logging to remote server. Analysis by McAfee labs suggests involvement of known among cybercrimes forums user ‘Rescator’. According to Seculert malware downloaded 11 GBs of data in over two weeks of its activity. Stolen data were then uploaded to FTP servers.

President Obama announces curbing NSA spying program – as planned earlier today Barack Obama made a public appearance regarding sweeping data collection programs. Unfortunately, nothing more than expected promises of limiting scope of surveillance resulted form the speech. Whether any changes towards civil liberties will happen, or just programs will be better concealed is yet to be seen (hopefully).

I hope that my timetable will allow to soon come back to ‘normal’ form of the posts. In the meantime wish me luck, and keep following lawsec.net!

Program gromadzenia danych telefonicznych NSA ‘prawdopodobnie niezgodny z czwartą poprawką’

W 68 – stronicowej opinii sędzia sądu federalnego Richard J. Leon stwierdził, że program gromadzenia danych na temat połączeń telefonicznych, który to zakłada analizowanie połączeń wykonywanych przez poszczególne numery i tworzenie bazy danych na podstawie zebranych informacji prawdopodobnie podlega pod bezpodstawne przeszukanie – zabronione przez czwartą poprawkę amerykańskiej konstytucji. Opinia nie jest wyrokiem, jest to jednak pierwsze oficjalne stanowisko sędziego, które sprzeciwia się praktykom NSA.

Przede wszystkim konieczne było rozróżnienie sprawy od Smith v. Maryland w którym to orzeczono, iż czwarta poprawka nie chroni przed zbieraniem informacji o połączeniach wychodzących. Wtedy to sąd stwierdził, że nie można spodziewać się że wybierany numer pozostaje prywatną informacją skoro musi on być udostępniony firmie telefonicznej (kluczowym jest tutaj test ‘reasonable expectation of privacy’). W związku z tym nie przysługuje tutaj konstytucyjna ochrona. Według sędziego Leona orzeczenie to nie ma tutaj zastosowania ponieważ telefonia jest dzisiaj zupełnie czymś innym niż była w 1979 (kiedy to wydano wyrok w Smith v. Maryland), a sąd nie mógł nawet przewidywać powstania sytemu zbierającego informację z całego kraju jak ma to miejsce dzisiaj. Co więcej podsłuch w Smith był aktywny jedynie przez kilka dni, a nie zainstalowany na stałe a baza będzie przechowywać dane z pięciu lat. Co więcej program mam trwać tak długo jak długo Stany będą walczyć z terroryzmem – czyli w praktyce już zawsze. Sędzie bierze także pod uwagę to jak bardzo zmieniła się relacja rząd – firmy telekomunikacyjne na przestrzeni lat. W czasach Smith dane były fizycznie przekazywane na życzenie organów ścigania, dziś NSA może mieć ‘codzienny dostęp’ do całych zbiorów. Podsumowując, różnica zasadza się przede wszystkim na skali i stopniu dostępu do danych. Nie można porównywać jednostkowej instalacji urządzenia do rejestracji danych, do systemu na bieżąca rejestrującego informacją z wszystkich (praktycznie) telefonów w Stanach. W opinii czytam wręcz o ‘almost-Orwellian technology’.

Read More…