Retencja danych – przepisy wykonawcze.

Ustawa nakazująca operatorom przechowywanie danych o połączeniach istnieje od dawna, ale do tej pory dostawcy internetu robili, co mogli/chcieli, bo przepisów wykonawczych nie było. Wszystko wskazuje na to, że niebawem się to zmieni, bo Minister Infrastruktury przygotowuje rozporządzenie w tej sprawie. I nie wygląda ono różowo, szczególnie dla mniejszych ISP, opierających się o sieci ethernetowe, a ich także – obok dostawców telefonii i poczty elektronicznej – dotyczy.

Projekt rozporządzenia Ministra Infrastruktury w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymania i przechowywania, o którym piszę, można przeczytać w całości na stronach Ministerstwa Infrastruktury, podobnie jak dołączone do niego uzasadnienie. Gorąco polecam lekturę obu tych pism przed czytaniem reszty wpisu, a na pewno przed komentowaniem.

Pisać będę z punktu widzenia najbliższego mi, czyli dostawcy internetu i tylko na temat dostarczania usługi internetowej. Pocztę elektroniczną i telefony całkowicie pomijam, choć zdanie administratorów – szczególnie serwerów pocztowych – także mnie interesuje i zapraszam do komentowania.

Przede wszystkim wygląda, że ustawodawca albo zapomniał o istnieniu i zasadach działania sieci opartych o ethernet, albo w ogóle nie zdaje sobie sprawy, w jaki sposób one działają. Ruch w obrębie sieci rozgłoszeniowej w takiej sieci zamykać się może w obrębie jednego przełącznika. Switche są różne, ale nawet te zarządzalne rzadko kiedy oferują wsparcie dla logowania czegokolwiek wymaganego w ustawie. O logowaniu połączeń między użytkownikami dostawcy korzystający ze switchy niezarządzalnych mogą całkiem zapomnieć. Oczywiście, można podzielić sieć na mniejsze (dla każdego użytkownika osobna sieć), ale w ten sposób po pierwsze bardziej obciąża się router, po drugie traci się największą zaletę takiej sieci, jaką jest decentralizacja ruchu lokalnego.

W rozporządzeniu brakuje definicji połączenia. O ile w przypadku telefonii sprawa jest dość oczywista i można ją traktować „na chłopski rozum’, o tyle w przypadku Internetu nie jest tak prosto, szczególnie, że istnieją protokoły bezpołączeniowe. Czy każdy pojedynczy wysłany pakiet traktować wówczas jako połączenie? Co traktować jako rozpoczęcie połączenia? Co jako zakończenie połączenia? W której warstwie modelu OSI należy badać połączenie?

Zauważyć należy, że rozporządzenie wprowadzać ma obowiązek logowania portów. W uzasadnieniu można przeczytać, że dotychczasowa praktyka wskazuje, że obecnie w większości przypadków operatorzy posiadają te dane i nie są one specjalnie generowane w celu retencji ale nie wierzę, że mowa w tym przypadku o portach. O ile większość mi znanych małych ISP jest w stanie określić IP użytkownika i ew. aktywność o zadanej porze, o tyle z portami sprawa ma się zupełnie inaczej (faktem jest, że służby praktycznie nigdy o to nie pytają).

Błędem jest też zapis, że port sieciowy określa rodzaj usługi komunikacyjnej w sieci teleinformatycznej. Istnieją oczywiście pewne zalecenia i standardy, ale port ani nie definiuje usługi, ani usługa nie definiuje portu. Nie ma żadnego problemu w wykorzystaniu nietypowego portu dla danej usługi, co więcej, stosunkowo często jest to stosowane (choćby jako redukcja zagrożenia ze strony skanerów szukających podatności w danych usługach).

Ciekawe jest też wymaganie określenia momentu nawiązania połączenia i rozłączenia z Internetem, także w przypadku adresacji statycznej. Oczywiście definicji Internetu brakuje… Co w przypadku popularnego wśród mniejszych operatorów DHCP, gdzie rozpoczęcie owszem, łatwo określić, ale koniec już nie bardzo…

Ostatnia niefortunna rzecz to – moim zdaniem – termin, od kiedy rozporządzenie miałoby zacząć obowiązywać. Planowaną datą jest bowiem 1 stycznia 2010 r., co praktycznie nie daje mniejszym operatorom możliwości dostosowania się do niego, także po doprecyzowaniu ww. nieścisłości.

Szczerze mówiąc, ciekaw jestem opinii, szczególnie administratorów mniejszych, opartych o ethernet sieci, na temat tego projetku. Chętnie też poznam uwagi na temat ew. błędów w mojej interpretacji ww. rozporządzenia.

 

 

Usunięcie blokady portu 25 w Neostradzie.

Świat się nie zawalił. Narzekań specjalnych nie było, trochę psioczenia niektórych adminów (oj, nie wszyscy się przygotowali, nie wszyscy). Operacja się udała, więc pora na informację, jak zacną skądinąd blokadę wyłączyć.

Rano ten wpis wyglądał inaczej (i ta wersja niedługo wróci), ale z tego co wiem, polityka informowania na infolinii TP jest taka, że się nie da, więc na razie trzymajmy się tej wersji, bo z pewnych względów jest ona słuszna. Myślę, że oryginalna wersja powróci w okolicy Mikołajków.

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Albo masz beznadziejny soft pisany na zamówienie, który wysyła maile na porcie 25 (bez uwierzytelniania, ciekawe, który admin serwera pocztowego przyjmuje taki syf z puli Neostrady). Co wtedy?

Póki co, postaraj się przekonfigurować czytnik poczty. Jeśli nie, zajrzyj za kilka dni…

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Co wtedy?

Wtedy wystarczy zmiana loginu do usługi Neostrada. Na stronie TPSA zawarty jest dokładny opis możliwych ustawień poziomów ochrony przy pomocy loginu. Jak widać, możliwe w tej chwili są trzy warianty:

  1. „goły” login, czyli zablokowane porty „wirusowe” oraz 25,
  2. dodanie prefiksu „PODSTAWOWY-” do loginu – blokowane porty „wirusowe”, odblokowany port 25,
  3. dodanie prefiksu „BEZ_OCHRONY-” do loginu – odblokowane porty „wirusowe”, oraz port 25.

Aby odblokować wysyłkę poczty, wystarczy dodać prefix „PODSTAWOWY-„. Wpuszczanie wirusów nie ma sensu, szczególnie, jeśli użytkownikiem komputera jest ktoś, kto – mając do dyspozycji obrazkowe insturkcje – nie umie zmienić portu, na którym wysyłana jest poczta.

Jak widać, trzeba mieć zdalny dostęp do routera (albo założyć, że osoba, która nie umie zmienić portu poradzi sobie routerem, w co wątpię), albo zdalny dostęp do konfiguracji modemu (pod Windows to chyba tylko jakiś zdalny pulpit wchodzi w grę, ale wtedy lepiej zmienić port).

Kolejna niefajna sprawa, to fakt, że jeśli pomylimy się przy zmianie loginu (uwaga na wielkość liter, ma znaczenie!), to trwale odetniemy się od routera. Dlatego zmiana portu wysyłania poczty wydaje się znacznie lepszą, prostszą, bezpieczniejszą i korzystniejszą dla wszytkich opcją.

Cenzura w sieci.

Niedawno z niepokojem przeczytałem artykuł o „filtorwaniu i blokowaniu” polskiego internetu. Pomysł blokowania nie jest nowy – chodzi o zablokowanie części ruchu, co w ten czy inny sposób jest robione od dawna – jednak tym razem nie chodzi o aspekty techniczne (jak np. blokada ruchu charakterystycznego dla wirusów i trojanów czy spamu), tylko o blokadę po treści.

Zawsze, gdy widzę konieczność nadzoru z zewnątrz, zamiast odpowiedzialności osoby publikującej treści (i skutecznego jej ścigania), odnoszę wrażnie, że chodzi o wielką ściemę. Taka kontrola po pierwsze niesie ze sobą duże ryzyko nadużyć i korupcji (a jeśli chodzi o neutralność nie ufam żadnej, ani polskiej, ani nawet unijnej instytucji, nie mówiąc o różnych firmach czy ich związkach). Powodów nie trzeba daleko szukać – choćby delikatna manipulacja przez zamieszczenie tłumaczenia, które tłumaczeniem nie było może dawać obraz podejścia instytucji.

Dodatkowo, trzeba zwrócić uwagę na sprytne argumenty przy ograniczaniu wolności i zastraszaniu zwykłych ludzi. W przypadku wszechobecnych kamer itp. rolę tę pełnią terroryści (IMO terrorysta zagraża bardziej politykom, niż szaremu obywatelowi, no i jakże jest medialny). Trudno zastraszyć obywatela terrorystą w sieci, więc sięgnięto po co? Oczywiście po dzieci i pedofilię. Problem, który moim zdaniem spokojnie można by skutecznie ścigać bez cenzury, ale czy tak naprawdę instytucjom państwowym zależy na czymś innym niż tylko na zdobyciu społecznego przyzwolenia na cenzurę, za którym pójdą uregulowania prawne (i technologiczne) pozwalające na cenzurowanie czegokolwiek? Wątpię. Rząd boi się ludzi i informacji, których nie kontroluje, a opór przeciw ograniczeniu wolności łatwo będzie negować zarzucając wspieranie pedofilii każdemu, kto się na cenzurę nie zgodzi (argument emocjonalny, z którym trudno polemizować). Albo się mu prewencyjnie zrobi kontrolę (przecież na pewno ma treści, bo ich broni!) i zabierze na rok czy dwa sprzęt komputerowy. W państwie prawa takie rzeczy się zdarzają, przykład niżej.

Drugim krokiem, po wydzieleniu różnych rodzajów treści i wprowadzeniu możliwości ich filtrowania, jest oczywiście wprowadzenie opłat za dostępy do określonych treści czy usług. Mając tak piękne narzędzie lobby producentów rozrywki na pewno będzie dążyło do wymuszenia na państwie „ochrony” swoich interesów, a Internet, z wolnego medium dołączy do mediów kontrolowanych przez państwo. Nierealne? Biorąc pod uwagę ostatnie działania w sprawie odsiebie.com (dead link, domena przejęta), nie mam takiego wrażenia. Państwo używa siły (w stosunku do człowieka, z którym jak najbardziej możliwy był dialog, z tego co czytałem), nadużywa władzy i to tylko w sprawie tej jednej firmy – firm hostingowych jest wiele, o podobnym charakterze – przynajmniej kilka. Tylko pewnie inne nie próbują nawet współpracować w zakresie ochrony praw autorskich i pobierają opłaty…

Oczywiście natura nie znosi próżni, więc im silniejsze działania w stronę cenzurowania, tym silniejsze sięganie po różnego rodzaju narzędzia omijające cenzurę. Nie ma się co oszukiwać, przestępcy będą z nich korzystali jako pierwsi (zarówno z nakładek na istniejący Internet, jak i z różnych projektów tworzących w różny sposób zdecentralizowane sieci). Niestety, zwykły człowiek chcący walczyć aktywnie z cenzurą w sieci, musi mieć świadomość tego, że nie tylko do zacnych celów jego działalność będzie wykorzystywana (tak jest, jeśli ktoś uruchomi węzeł tora, to nie tylko do omijania chińskiej cenzury będzie on wykorzystywany). Ale IMO za wolność warto zapłacić nawet tę cenę, jaką jest ułatwienie działań przestępcom.

A wszystko dlatego, że rządy boją się własnych obywateli i aktywnie (oraz całkiem niepotrzebnie) ingerują w rynek… Nie wiem czemu, ale kłóci mi się to z wizją demokracji.