Wielka Brytania zamierza władać bezprecedensowymi uprawnieniami do inwigilacji – zaalarmował dzisiaj serwis The Verge. Do trzech razy sztuka: Investigatory Powers Bill został zaakceptowany przez parlament, co oznacza, że policja i służby wywiadowcze w Wielkiej Brytanii dostaną do rąk uprawnienia pozwalające na szpiegowanie obywateli w skali dotąd niespotykanej dla państw demokratycznych – pisze James Vincent na The Verge.
Czy słowa Edwarda Snowdena o ekstremalnej inwigilacji w historii zachodniej demokracji są przesadzone, podobnie jak nazywanie projektu Investigatory Powers Bill bardziej niż przerażającym?
Prywatność obywateli w Wielkiej Brytanii w tej chwili wisi na włosku, bowiem projekt wymaga już tylko formalnej, królewskiej zgody – i stanie się prawem.
Projekt nie tylko zalegalizuje brytyjski program globalnej inwigilacji, który będzie zbierał dane komunikacyjne z całego świata, ale także wprowadzi nowe uprawienia dla władz krajowych, m.in. stworzenie rządowej bazy przechowującej historię aktywności internetowej każdego obywatela.
Co pociąga za sobą kontrowersyjny projekt Investigatory Powers Bill?
W jakim stopniu historia aktywności internetowej obywateli będzie monitorowana?
Każdy obywatel znajdzie się na świeczniku. Brytyjski rząd będzie mógł przeglądać historię odwiedzanych przez niego stron internetowych, ale to nie wszystko. W jego rękach znajdą się także informacje o aplikacjach zainstalowanych na urządzeniu mobilnym obywatela i metadane dotyczące połączeń. Jak tłumaczy to The Verge?
James Vincent pisze, że rejestr nie będzie dotyczył dokładnych adresów URL stron internetowych, ale podstawowych domen. Tłumacząc: rząd nie wiedziałby, jaką dokładną podstronę odwiedzasz na www.spyshop.pl, ale wiedziałby, kiedy domena została przez Ciebie odwiedzona i ile czasu na niej przebywałeś.
Poszukiwanie przestępców ma być bezpieczniejsze niż do tej pory?
Dostawcy internetu i operatorzy sieci komórkowych mają przechowywać te informacje przez 12 miesięcy, aby służby były w stanie wyśledzić je dzięki wyszukiwarce, charakteryzującej się filtrami, ograniczającymi ilość odpowiedzi na dane zapytanie. Co ciekawe, projekt informuje, że obecnie władze publiczne otrzymują więcej informacji od dostawców usług łączności, niż potrzebują. Przedstawia także case study, które jednak wywołuje wątpliwości.
Możemy przeczytać, że aby odnaleźć jedną osobę podejrzaną o popełnienie przestępstwa w trzech różnych miejscach w różnym czasie, władze muszą odpytać co najmniej kilku różnych dostawców.
W odpowiedzi mogą otrzymać dane na temat telefonów komórkowych, które znajdowały się w określonym czasie w konkretnym miejscu, aby móc je zestawić ze sobą i dopiero na podstawie analizy dowiedzieć się, który z podejrzanych jest poszukiwanym. Oznacza to, że władze otrzymują też dane o lokalizacji obywateli, którym nie są zainteresowani.
Wprowadzenie filtrowanych zapytań ma ograniczyć ilość otrzymywanych informacji przez władze w odpowiedzi na zapytanie, a także zmniejszyć ryzyko niepotrzebnej ingerencji w dane osób nie mających nic wspólnego ze sprawą…
Jednak dokładny mechanizm działania wyszukiwarki dla władz publicznych nie jest jeszcze znany. Jeśli pozwalałby na filtrowanie historii wizyt na danej stronie internetowej, a następnie – na filtrowanie użytkowników, którzy odwiedzali ją w konkretny dzień o konkretnej godzinie, oznaczałoby to, że władze i tak czy siak mają dostęp do wszystkich danych na dobry początek.
The Verge podkreśla, że bardzo łatwo będzie powiązać dane przeglądania z jednostką. Poza tym – najpierw dane będą zbierane, a dopiero potem będą wyszukiwani sprawcy przestępstw… Dajcie mi człowieka, a znajdę na niego paragraf.
To wkroczenie z butami w prywatność bez nakazu sądowego
Obywatele nie będą nawet wiedzieć o tym, że są szpiegowani przez policję, która będzie zarządzała dostępem do danych na temat ich aktywności online. Kontrolę nad zapytaniami w systemie będzie sprawował specjalnie przeszkolony komendant, odrzucający bądź zatwierdzający zapytania.
To sprawia, że inwigilacja obywateli online stanie się chlebem powszednim, dzięki któremu społeczeństwo powinno spać bezpiecznie, bowiem czujnym oczom rządu nie umknie już ani odwiedzanie stron pornograficznych, ani bezczynne przesiadywanie na Facebooku… Z tego śmieją się internauci, lecz jest to dość czarny humor.
Snowden i smerfy a sprawa brytyjska
Investigatory Powers Bill wprowadza także rozwiązania, które zostały ujawnione przez Snowdena. Chodzi o zbieranie metadanych z całego świata i włamywanie się do prywatnych komputerów. Normą będzie podsłuchiwanie rozmów czy czytanie wiadomości. Umożliwia to także np. niszczenie plików, kasowanie lub podsyłanie dokumentów, wysyłanie spreparowanych wiadomości z danego urządzenia, praktycznie – po prostu przejęcie kontroli nad czyimś urządzeniem.
Czy pocieszeniem ma być, że pozwolenie na włamywanie się do urządzeń ma wydać sekretarz stanu oraz sędziowie, lub to, że włamy mają być stosowane tylko w przypadkach zagrożeń dla bezpieczeństwa narodowego lub poważnych przestępstw?
Projekt zakłada dwa typy ingerencji sprzętowej, jak to zostało ładnie nazwane. Służby będą mogły pozyskiwać dane z telefonów czy komputerów jednostek, ale też masowo ingerować w sprzęty dużych grup osób. To działanie ma być zastrzeżone dla specjalnych agencji i używane poza Wielką Brytanią.
Do wiadomości publicznej zostały podane dwa przykłady: jeżeli powstrzymanie ataku terrorystycznego będzie się wiązało z włamaniem do każdego telefonu i komputera w mieście, zostanie to wykonane. Jeżeli zaistnieje zagrożenie systemem totalitarnym i rozwijaniem broni biologicznej, rząd będzie mógł przejąć np. w całości wewnętrzny system e-mailowy.
Jak pisze The Verge, pod tymi działaniami kryje się np. używanie złośliwego oprogramowania, wykorzystywanego przez hakerów, a nazywanego dość uroczo smerfami. Nosey Smurf służy do ukrytej aktywacji mikrofonu w urządzeniu w celu rejestrowania rozmów, a Tracker Smurf wykorzystuje GPS do śledzenia lokalizacji urządzenia w czasie rzeczywistym.
Chociaż ta inwigilacja nie wprawia w bujanie w obłokach, mamy jeszcze program zwany Dreamy Smurf, służący do włączania urządzenia, które wygląda z zewnątrz na nadal nieaktywne.
„Nakaz tematyczny” a nadużywanie uprawnień
W artykule na The Verge został przytoczona wypowiedź profesora inżynierii bezpieczeństwa z Uniwersytetu w Cambridge, który mówi o ponurej perspektywie. Wyobraźcie sobie szefa policji, który chce zapobiec zbrodniom z użyciem noży. Jak to robi? Żąda od Google dostarczenia odpowiednich danych ze smartfonów z systemem Android. Czy wtedy nie dostaje do rąk danych potencjalnie niewinnych obywateli?
Koniec z szyfrowaniem danych przez firmy?
Władze publiczne mają zyskać również nowe uprawnienia, umożliwiające im ingerowanie w szyfrowanie usług prywatnych firm działających w Wielkiej Brytanii. Jeżeli okaże się, że potrzebne będą dane wybranych obywateli brytyjskich (chodzi o odpytywanie na małą skalę), władze będą mogły zażądać od firm odszyfrowania owych danych – jeżeli będzie to wykonalne.
Brak precyzyjnych określeń sprawia, że może dojść do sytuacji, w której władza żąda od firmy odszyfrowania danych (ponieważ jest to dla niej wykonalne), ale firma odmawia, argumentując to zbyt dużym ryzykiem dla usługobiorców na całym świecie. Z drugiej strony – za odmowę może zostać ukarana…
Brytyjski rząd myśli, że obywatele nie dbają o prywatność?
The Verge powołuje się na Jima Killocka, dyrektora wykonawczego Open Rights Group, który mówi, że z jednej strony – rząd nie będzie w stanie na bieżąco kontrolować wszystkich danych, ale z drugiej strony – władze nie spodziewają się, że wszyscy obywatele przejmą się w dużym stopniu ochroną swojej prywatności.
Tym samym więc – nie zainteresują się np. takimi usługami jak VPN (najlepiej od dostawcy spoza Wielkiej Brytanii).
Podejście realistyczne czy naiwne?
Źródło: The UK is about to wield unprecedented surveillance powers — here’s what it means