Názory k článku Stalo se: Philip Zimmermann v Praze

Ahoj. Myslim, ze autor se dopustil drobne, lec podstatne nepresnosti. Vyhlaska 485/2005Sb. je provadecim predpisem k zakonu 127/2005Sb. o elektronickych komunikacich. Zakon presne vymezuje kdo a co je povinen uchovavat, vyhlaska specifikuje obsah, formu a zpusoby predavani opravnenym organum. Co se tyce napr URL webovych stranek, rozhodne zadny operator neuchovava informace o tom, kam ktery jeho uzivatel pristupoval. §2 odst.4 a) rika, ze ke sluzbam pristupu k siti se uchovavaji nektere identifikatory, ovsem jen takove, ktere maji za ukol identifikovat uzivatele sluzby v case. §2, odst.4 d), ktery se zabyva identifikatory typu sluzby a pozadovanymi zdroji (URI), objemem dat atd. se tyka sluzeb serverovych, tedy naopak sleduje, kdo co na serveru chtel. Provozuji-li serverovou sluzbu (mail, web, ftp,.....) a jsem ze zakova 127/2005Sb. povinen udaje uchovavat, pak jiste nic netusim o tom, kdo se skryva za IP adresou klienta, ktery sluzbu pouzil. Korelace vsech potrebnych udaju, ktere by urcily, ze uzivatel pripojeny ke sluzbe v bode A s identifikatorem I (user id, voip cislo,...) delal v case T presne to a to je nemozna. Zadna takova data nikdo neschromazduje. Neco takoveho by predpokladalo aktivni monitoring a analyzu suroveho datoveho toku vsech uzivatelu v Internetu, coz jiste i autor chape jako fyzicky neproveditelne. Takove setreni je mozne jen na zaklade odposlechu provozu v realnem case, na coz je treba soudni prikaz a vcelku velka souhra technickych okolnosti, aby to vubec slo provest. I tak je objem dat, ktere operatorum zakon prikazuje skladovat obludny a troufam si tvtdit, ze soucasna praxe zdaleka zakonne pozadavky nenaplnuje. Budiz snad utechou, ze opravnene organy, snad, nemaji dostatek erudice a financi k pokusum o ziskani a zpracovani vsech tech udaju, ktere si zakonodarci preji za penize operatoru skladovat.

Ještě pozor na dopady §97 odst.1 a odst.3 zák.127/2005Sb., který ukládá povinnost zřídit odposlechový bod v síti a ukládat provozní a lokalizační údaje všem právnickým a fyzickým osobám, které provozují VEŘEJNĚ DOSTUPNOU službu elektronických komunikací. Tedy v zásadě cokoli, co je přístupné z obecného Internetu. Takže babička Vomáčková, která má doma webserver a píše si na něm blog o vaření je povinna.... Nejen operátoři mají problém.

To se nedela na routerech, to se dela externimi sondami. Netflow na odposlechu neni k nicemu. Data mining primo z datoveho toku v realnem case na online vyzadani je vysneny cil vsech agentu. V korelaci s provoznimi a lokalizacnimi udaji z vyssich vrstev pak ziskas to co potrebujes. Franta vlezl do site, sit zacne analyzovat jeho datovy tok, zameri se na pozadovane markanty a v zapeti agent vyrazi pro Frantu s pouty a se zatykacem elektronicky podepsanym automatickym soudcem :)

Prave tyhle argumenty jim jdou na ruku, protoze okamzite opaci, ze to je jedine spravedlive, nebot to zaplati nikoli danovi poplatnik, tedy i ten, ktery elektronicky nekomunikuje, ale prave a jen uzivatele tech sluzeb v podobe zvysene ceny, coz je pry v poradku. Aneb zaplat si sveho smiraka :) S ekonomikou telekomunikaci si nikdo hlavu nelame.

Ono je to celkem slozite a citlive tema. Na jednu stranu je treba budovat bezpecnost statu a obcanu, na stranu druhou ale vseho moc skodi. Zkus to vyvazit. Nejde to.

Proc bys to delal na 10GE, kde se tak jak tak ztraci vetsina intra-net provozu? Ad 1) vetsina vyrobcu podporuje odposlech provozu na agregacnich zarizenich, ad 2) sonda prijde tam, kde nejlepsi pomer celkovy provoz / zajmovy provoz, tedy pred edge nikoli na pater. Je to slozity, micha se spousta veci dohromady. Lokalizace a provozni data jsou jedna vec, datovy tok uzivatele vec druha. Ze se pak musis prohrabovat v obojim je nasnade, proto se to dela. Otazka je KDO se v tom ma a chce ci nechce vrtat. Modely jsou v zasade dva. Bud si to dela opravneny organ sam, tedy poveluje sledovaci technologii a ziskana data zpracovava ve vlastni rezii, nebo to dela operator. Oba modely maji mnoho kladnych i zapornych aspektu.

Uz dost, zacina to byt dlouhe :)
Pokud chces rozumne flexibilni monitoring provozu v realnem case, nejde to jinak, nez prekryvnou nezavislou infrastrukturou. No a svete div se, to chce dalsi draty, analyzatory, servery, uloziste, bla bla bla. Nektere segmenty siti lze jiste monitorovat jinak, lepe, efektivneji, maji napr. od vyrobce implementovanou podporu (typicky broadband systemy, prikladem muze byt LI IOS Cisca), ale jak to udelas v L2 housingove siti to bych rad vedel (podotykam, ze zajmove udaje jsou ze 3 a vyssich vrstev - napr. URL webu vs. login uzivatele dialupu = dynamicka IP v case a nejlip jeste za PATem z mobilu). Predevsim je nutne si uvedomit, ze soucasne site v porizovaci cene mnoha set milionu korun nikdo nebude cele bourat a stavet znovu, protoze vysel nejaky zakon. Kde je prirozene pritomny pouzitelny mechanismus, bude jiste pouzit, kde neni, nasadi se sondy. Troufam si temer se 100% jistotou tvrdit, ze v druhe vete nevis o cem pises a nedal sis ani moc prace si predpisy precist. Provozni a lokalizacni udaje (napr. web logy, CDR o neuskutecnenych hovorech, error logy mailserveru, kompletni zurnal PAT a NAT mechanismu v mobilnich datovych sitich,....) si ZADNY operator neschovava 6 ci nedej boze EK pozadovanych 36 mesicu a uz vubec ne kvuli billingu.

Ad ruska snaha FSB o trombon veskereho provozu. Nevim jak to dopadlo, ale rad bych videl ten superstroj, ktery z toho neco doluje. IMHO je to hola utopie. Az otoci nejaky operator na PCR, BIS a dalsi organy svych par Gbps a miliony CDR a EDR, opravdu na vsechny simultanne, protoze na jednom centru pro odposlech se patrne nikdy nedohodnou, bude legrace. Podepsal bys v takovych podminkach zakaznikovi jakekoli SLA? Ja ne.

No, rekneme, ze jim to moc nepomuze, telefon ma IMEI :) Na druhou stranu - kdo se chce schovat a vi, tak se schova.

V clanku se pise o 'nepovolanych zvedavcich'. Vystiznejsi by bylo 'smiracka luza'

Ahoj Michale :)
Nazory na vyhlasku, presneji na cely princip odposlechu a smirovani byly, jsou a vzdy budou dvoji. EU a stat chce pokud mozno smirovat vsechno vsude, porad a predevsim zadarm - cti za penize operatoru, operatori to predevsim nechteji platit a jiste hledaji ten nejmirnejsi vyklad. To, co jsem psal v uvodu diskuse je ralny fakt, praxe a zamer tvurcu zakona i vyhlasky. Dohodnute stanovisko na pude APVTS ve spolecne pracovni skupine se zastupci statni spravy vc. ministerstev a opravnenych organu. Nemam dojem, ze by to operatorum nevadilo, ale soucasne zneni predpisu a praktikovany vyklad toleruji. Muze byt totiz jeste mnohem hur a co se bude dit potom je otazka. Extremnim prikladem je zavedeni podobne, ovsem vyrazne tvrdsi normy tusim v Norsku, ktera mela za dusledek bankrot mnoha mensich operatoru, kteri jednoduse naklady neunesly. Telecom je trosku zvlastni pripad, nebot ma zajem si z toho delat komerci. Investoval jiz prilis mnoho penez, aby to cele jen zalozil do supliku. Prvni realna hrozba je vynuceni ukladaci doby vsech provoznich a lokalizacnich udaju v delce 36 mesicu, coz se dost tvrde snazi prosadit EK. To pak bude hukot na trhu s mass storage technologii :) Nejlepe by soudruzi chteli, aby to cele bylo online s odezvou 2 vteriny. Je celkem slozite argumentovat technologicke hranice a nakladnost proti strasakum terorismu Bina Aladina. Me skromne odhady rikaji, ze naklady na online odposlech a ukladani vseho co EK chce v radech let se snadno vysplhaji vysoko nad cenu technologie site, kterou ten bazmek ma sledovat.