14 Μαΐου, 2017

Για το δικαίωμα στην ψηφιακή ασφάλεια

Τρύφωνας Τριανταφυλλίδης

Η ιστορία όσο πιο συνοπτικά γίνεται:

Υπάρχει μια εταιρεία που ονομάζεται EastNets (http://www.eastnets.com) που διαχειρίζεται τις συναλλαγές SWIFT μεταξύ πολλών τραπεζών στην Μέση Ανατολή. Θα έχετε συναντήσει το όρο SWIST number όσοι έχετε στείλει χρήματα σε χώρες εκτός της Ε.Ε., εμείς εδώ χρησιμοποιούμε το IBAN που είναι κάτι αντίστοιχο.

Τον Απρίλιο μια ομάδα hackers που ονομάζεται Shadow Brokers ανακοινώνει στοιχεία που δείχνουν ότι η Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ (NSA) έχει διεισδύσει σε υπολογιστές της παραπάνω εταιρείας με λειτουργικό windows με ενδεχόμενο σκοπό να παρακολουθήσουν την ροή χρημάτων, κάτι που ενδεχόμενα έχει να κάνει με την κρίση στην Συρία, την ροή χρημάτων σε τρομοκρατικές οργανώσεις κλπ. Η NSA αρνείται να σχολιάσει τις πληροφορίες, η εταιρεία EastNets αρνείται ότι έχει γίνει θύμα τέτοιας επίθεσης.

Οι Shadow Brokers μάλιστα ανακοινώνουν και τα εργαλεία (προγράμματα) που χρησιμοποίησε η NSA για να εισχωρήσει στα συστήματα windows της EastNets. Αυτά τα προγράμματα χρησιμοποιούν κάποια κενά ασφαλείας των windows. Η Microsoft αναγνωρίζει ότι όντως πρόκειται για ατέλεια στο λογισμικό της και ανακοινώνει μια διόρθωση (ένα windows update) που πρόκειται να διορθώσει τα πράγματα.

Μετά την παραπάνω ανακοίνωση των εργαλείων για διείσδυση σε συστήματα windows, μια άλλη ομάδα hackers τα χρησιμοποιεί για να κλειδώσει υπολογιστές και να εκβιάσει τους χρήστες τους να πληρώσουν λύτρα. Υπολογίζεται ότι από την επίθεση αυτή επηρεάστηκαν περίπου 100,000 υπολογιστές σε όλον τον κόσμο. Πολλές δημόσιες δομές σε χώρες όπως η M. Βρετανία και Γερμανία κατέρρευσαν. Στη Ελλάδα τα κρούσματα ήταν περιορισμένα, ίσως σαν αποτέλεσμα της ψηφιακής μας καθυστέρησης. Περισσότερο από τύχη, βρέθηκε ένας τρόπος να σταματήσει γρήγορα η επίθεση και να μην μολύνει ακόμα περισσότερους υπολογιστές.

Υπάρχει όμως και η πολιτική πλευρά του θέματος.

Πρώτο σημαντικό θέμα είναι το κατά πόσο τα κενά ασφαλείας είναι "λάθη" στο λογισμικό ή ηθελημένες κερκόπορτες στα λειτουργικά συστήματα που μένουν επίτηδες ανοικτές κάτω από την πίεση των κυβερνητικών υπηρεσιών όπως η NSA στους κατασκευαστές λογισμικού. Γενικά απεχθάνομαι τις θεωρίες συνωμοσίας όμως υπάρχουν πολλά στοιχεία που δείχνουν ότι είναι πολύ πιθανή η δεύτερη εκδοχή, αν όχι σε όλες, τουλάχιστον σε αρκετές περιπτώσεις.

Αν ισχύει αυτή η εκδοχή σαφώς παραβιάζονται τα δικαιώματα του πολίτη και του καταναλωτή. Θα αγοράζατε ποτέ μια κλειδαριά ασφαλείας αν ξέρατε ότι ο κάθε αστυνομικός ή κρατικός υπάλληλος θα είχε το αντικλείδι της και θα μπορούσε ανεξέλεγκτα να την ανοίξει; Θα κάνατε συμβόλαιο με κάποια τηλεφωνική εταιρεία αν ξέρατε ότι θα έδινε ελεύθερη πρόσβαση σε κάποια υπηρεσία να σας παρακολουθεί;

Ας προσπαθήσουμε να δούμε την αναλογία με την άρση του τηλεφωνικού απορρήτου και το πως αυτή γίνεται. Στις χώρες με θεσμική θωράκιση αυτή επιτρέπεται μόνο μετά από εντολή της δικαστικής εξουσίας. Όσο αφορά όμως στην πρόσβαση στον υπολογιστή μας, η τεχνική δυνατότητα δίνεται (μάλλον) από τον κατασκευαστή του λογισμικού ανεξέλεγκτα, η δε ίδια πρόσβαση μπορεί να γίνει από κάποιον που δεν υπόκειται στην νομοθεσία της χώρας μας. Επίσης ακόμα χειρότερα η κερκόπορτα που ανοίγει μπορεί να χρησιμοποιηθεί από κοινούς εγκληματίες όπως πρόσφατα.

Δικαίωμα του χρήστη πρέπει να είναι να γνωρίζει αν το λογισμικό που αγοράζει (το λειτουργικό σύστημα) δίνει δυνατότητα πρόσβασης στα δεδομένα του ή όχι και αν ναι κάτω από ποιες προϋποθέσεις. Η εύκολη απάντηση είναι να πούμε ότι το λειτουργικό σύστημα δεν πρέπει ποτέ να δίνει τέτοιες δυνατότητες και να υποκριθούμε ότι απαντήσαμε στο πρόβλημα. Έτσι όμως με κενό νομοθεσίας και ρύθμισης ίσως αφήνουμε μεγαλύτερο περιθώριο στην ασυδοσία.

Οι αλγόριθμοι ασύμμετρης κρυπτογράφησης μας δίνουν την τεχνική δυνατότητα να εφαρμοστεί ένα καθεστώς πρόσβασης στα προσωπικά δεδομένα του υπολογιστή παρόμοιο με αυτό που ισχύει στην τηλεφωνία. Είναι δυνατό να κατασκευαστούν κλειδιά πρόσβασης που να αποτελούνται από 3 διακριτά μέρη. Το πρώτο μέρους του κλειδιού θα ανήκει στον κατασκευαστή λογισμικού, το δεύτερο μέρος του κλειδιού θα είναι η ταυτότητα του χρήστη και δηλώνεται με την ενεργοποίηση του λογισμικού, το τρίτο μέρος θα ανήκει στην εθνική δικαστική αρχή που διαχειρίζεται την πρόσβαση. Θα πρέπει να συμπληρωθούν και τα τρία μέρη του κλειδιού, έτσι ώστε η πρόσβαση να αφορά έναν και μόνον χρήστη και να γίνεται υπό τον όρο της αρμόδιας εξουσιοδότησης. Όλα αυτά μπορεί να φαίνονται περίπλοκα αλλά σκεφτείτε ότι όταν συνδέεστε στο web banking σας, χωρίς να το καταλαβαίνετε, γίνεται χρήση κάποιων αντίστοιχων αλγορίθμων.

Η εφαρμογή ενός συνδυασμένου τεχνικού και νομικού πλαισίου μπορεί να διασφαλίσει το δικαίωμα στην ψηφιακή ασφάλεια του χρήστη σαν πολίτη και σαν καταναλωτή και από την άλλη να καταπολεμήσει την εγκληματικότητα. Αυτό το πλαίσιο όμως θα πρέπει να θεσμοθετεί και την συνυπευθυνότητα του κατασκευαστή λογισμικού για τις περιπτώσεις παραβίασης της ασφάλειας, ίσως να είναι ο μόνος τρόπος για να βοηθήσει του κατασκευαστές λογισμικού να αντισταθούν στις πιέσεις των υπηρεσιών ασφαλείας που λειτουργούν με δική τους ατζέντα.

Αυτές οι ρυθμίσεις φυσικά ξεφεύγουν από τα εθνικά πλαίσια μιας μόνο χώρας, μπορούν να γίνουν μόνο στο επίπεδο της Ε.Ε. αν όχι σε δια-Ατλαντικό επίπεδο.

Όλα αυτά γιατί στην ψηφιακή εποχή τα δικαιώματα γνώμης, ελεύθερης έκφρασης, ιδιωτικότητας, είναι συνυφασμένα με το δικαίωμα στην ψηφιακή ασφάλεια.

*Ο Τρύφων Τριανταφυλλίδης είναι μέλος της Μεγάλης Συνάντησης Αντιπροσώπων (ΜΕ.ΣΥ.Α)

Πηγή: bluebit-bytes.blogspot.gr