Tag Archive | prywatność

Prywatność i bezpieczeństwo danych dla aktywistów na trudne czasy

Zachowanie obecnej partii rządzącej w Polsce, która poprzez próby umniejszenia roli władzy sądowniczej wydaje się zmierzać wszelkimi dostępnymi środkami w stronę rządów autorytarnych, naturalnie nie nastraja pozytywnie co do poszanowania wolności obywatelskich w tej kadencji. Bardzo niepokoi również podejście rządu do służb specjalnych – nagłe i radykalne zmiany kadrowe, a także doświadczenia w funkcjonowaniu służb z okresu 2005-2007 sugerują, że władza może traktować je instrumentalnie. Również do celów związanych z inwigilacją aktywistów i grup nieprzychylnych władzy.

Celem tego postu nie jest jednak gdybanie o tym jak może być, a oraz przedstawienie podstawowych środków które mogą być pomocne w ograniczeniu możliwości.

Read More…

Advertisements

Trybunał Sprawiedliwości UE unieważnia porozumienie Safe Harbour

W wyniku pozwu Austriaka Maxa Schremsa, a pośrednio również dokumentów ujawnionych przez Edwarda Snowdena, TSUE uznał, że porozumienie Safe Harbour które umożliwiało Amerykańskim przedsiębiorcom działającym na ternie UE uzyskanie certyfikatu zgodności standardu ochrony danych użytkowników z Europejskimi standardami po spełnieniu wymagań określonych w porozumieniu, jest niezgodne z prawem Unii Europejskiej. De facto oznaczało to, że Amerykańskie firmy nie podlegały kontroli krajowych organów państw UE.

Schrems wytoczył pozew przeciwko Irlandzkiemu przedstawicielstwu Facebooka, gdyż na skutek ujawnionych przez Snowdena informacji o skali inwigilacji prowadzonej przez NSA uznał, że dane które udostępnia nie uzyskują ochrony wymaganej przez Europejskie standardy. Początkowo pozew został odrzucony przez Irlandzki organ ochrony danych osobowych (Data Protection Commissioner) ponieważ ten stwierdził, że Facebook spełnił warunki porozumienia co jest wystarczające do automatycznego uznania, iż spełnia standardy Europejskie. Na skutek tej decyzji Schrems zdecydował się na apelacje do Trybunału Sprawiedliwości UE.

Trybunał uznał, że samodzielna decyzja Komisji Europejskiej nie może wykluczać kontroli organów krajowych co do spełnienia standardów ochrony prywatności wyznaczanych przez Kartę Praw Podstawowych UE oraz dyrektywę 95/46/EC które to zakreślają konieczne standardy ochrony danych osobowych na terenie Unii. W związku z tym, bez względu na decyzję Komisji poszczególne państwa są uprawnione do niezależnej kontroli standardów stosowanych przez podmioty świadczące usługi na terenie danego kraju.

Co najważniejsze, Trybunał zauważył, że porozumienie określa wyłącznie wymagania stawiane Amerykańskim podmiotom, a nie wiąże agencji rządowych. Prawo Stanów Zjednoczonych przyznawało natomiast priorytet kwestią bezpieczeństwa narodowego i interesu publicznego nad zapisami porozumienia. W rezultacie agencję rządowe, jak właśnie NSA, mogły bez żadnych konsekwencji naruszać uzgodnione standardy kiedy tylko wymagał tego interes USA. W końcu, Trybunał podkreślił, że jakiekolwiek akty prawne nie mogą zapewniać prawa do nieograniczonego i niekontrolowanego transferu danych poza granice UE, gdyż takie działanie samo w sobie narusza wolności podstawowe gwarantowane przez Unie Europejską. Nie bez znaczenia było również to, że porozumienie nie przewidywało żadnych mechanizmów zewnętrznej kontroli (choćby sądowej) poszczególnych usługodawców, którzy już rozpoczęli działalność poprzez spełnienie warunków porozumienia.

Co oznacza decyzja TSUE w praktyce? Pierwszą, bezpośrednią konsekwencją jest to, że władze Irlandii będą musiały rozpatrzyć skargę Schremsa i zadecydować czy Facebook w istocie spełnia Europejskie standardy ochrony danych osobowych. Jednak dużo poważniejsze konsekwencję są związane z dalszym świadczeniem usług przez Amerykańskich przedsiębiorców w krajach UE. Najważniejszym mechanizmem porozumienia stosowanym przez podmioty świadczące usługi obsługi IT przedsiębiorstw na terenie Unii była uproszczona procedura legalizacji transferu danych, który zasadniczo wymaga świadomej i dobrowolnej zgody każdego użytkownika – co nie zawsze jest oczywiste w przypadku pracowników którzy nie mają w tej kwestii realnego wyboru. Wyrok oznacza, że usługodawcy będą musieli potencjalnie spełniać standardy kilkunastu niezależnych systemów prawnych – co w szczególności dotknie tych którzy już działają na terenie całej UE.

Warto nadmienić, że niezgodność porozumienia Safe Harbour ze standardami Unijnymi związana ze stosowaniem masowej inwigilacji przez Stany podkreślał w swojej opinii Yves Bot które pełnił funkcję doradcy Trybunału.

Developerzy TrueCrypta oświadczają, że nie jest już bezpieczny… i polecają BitLockera

Wszyscy odwiedzający dziś i wczoraj stronę TrueCrypta przeżyli nie małe zaskoczenie gdy odkryli, że strona właściwie przestała istnieć, a zamiast niej pojawiło się ostrzeżenie mówiące, że program nie jest już bezpieczny i należy jak najszybciej zmienić metodę szyfrowania danych. Co więcej to dość niespodziewane oświadczenie to dopiero początek niespodzianek. Najbardziej szokujące, są instrukcję dotyczące przeniesienia danych z TrueCrypta do innych rozwiązań. Twórcy, właściwie wbrew wszystkiemu co reprezentował TC rekomendują stosowanie rozwiązań oferowanych wraz z systemami Windows i OSX – gdzie wszystkie znaki na niebie i ziemi wskazują, że obie firmy współpracowały z agencjami rządowym i dla tych najbardziej zainteresowanych ukryciem danych są właściwie nieprzydatne. Co więcej w instrukcjach dotyczących OSX developerzy radzą aby po prostu nazwać dysk ‘encrypted disk’ bez uruchamiania szyfrowania (to nie żart – oczywiście mogła to być jedynie pomyłka w przygotowaniu instrukcji, jednak w kontekście całej sytuacji należy pochylić się nad każdym szczegółem). Co do Linuxa – należy znaleźć dowolne dostępne paczki ze słowami ‘encrypt’ lub ‘crypt’ i z nich korzystać… Ostatnim detalem wartym uwagi jest to, że pomimo że twórcy informują aby pobrać TC tylko w celu przenoszenia danych i oferują link do nowej wersji programu (7.2) bez informacji co zostało zmienione od poprzedniej wersji. Różnice w kodzie dostępne są tutaj – warto zwrócić uwagę na zmianę z U.S. na United States w komentarzach.

Więc co tak naprawdę się wydarzyło?

Read More…

Program gromadzenia danych telefonicznych NSA ‘prawdopodobnie niezgodny z czwartą poprawką’

W 68 – stronicowej opinii sędzia sądu federalnego Richard J. Leon stwierdził, że program gromadzenia danych na temat połączeń telefonicznych, który to zakłada analizowanie połączeń wykonywanych przez poszczególne numery i tworzenie bazy danych na podstawie zebranych informacji prawdopodobnie podlega pod bezpodstawne przeszukanie – zabronione przez czwartą poprawkę amerykańskiej konstytucji. Opinia nie jest wyrokiem, jest to jednak pierwsze oficjalne stanowisko sędziego, które sprzeciwia się praktykom NSA.

Przede wszystkim konieczne było rozróżnienie sprawy od Smith v. Maryland w którym to orzeczono, iż czwarta poprawka nie chroni przed zbieraniem informacji o połączeniach wychodzących. Wtedy to sąd stwierdził, że nie można spodziewać się że wybierany numer pozostaje prywatną informacją skoro musi on być udostępniony firmie telefonicznej (kluczowym jest tutaj test ‘reasonable expectation of privacy’). W związku z tym nie przysługuje tutaj konstytucyjna ochrona. Według sędziego Leona orzeczenie to nie ma tutaj zastosowania ponieważ telefonia jest dzisiaj zupełnie czymś innym niż była w 1979 (kiedy to wydano wyrok w Smith v. Maryland), a sąd nie mógł nawet przewidywać powstania sytemu zbierającego informację z całego kraju jak ma to miejsce dzisiaj. Co więcej podsłuch w Smith był aktywny jedynie przez kilka dni, a nie zainstalowany na stałe a baza będzie przechowywać dane z pięciu lat. Co więcej program mam trwać tak długo jak długo Stany będą walczyć z terroryzmem – czyli w praktyce już zawsze. Sędzie bierze także pod uwagę to jak bardzo zmieniła się relacja rząd – firmy telekomunikacyjne na przestrzeni lat. W czasach Smith dane były fizycznie przekazywane na życzenie organów ścigania, dziś NSA może mieć ‘codzienny dostęp’ do całych zbiorów. Podsumowując, różnica zasadza się przede wszystkim na skali i stopniu dostępu do danych. Nie można porównywać jednostkowej instalacji urządzenia do rejestracji danych, do systemu na bieżąca rejestrującego informacją z wszystkich (praktycznie) telefonów w Stanach. W opinii czytam wręcz o ‘almost-Orwellian technology’.

Read More…