Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Najväčšia hrozba pre digitálne súkromie občanov

Vysvetlenie prečo štát predstavuje najväčšiu hrozbu pre digitálne súkromie občanov. Originál text https://www.nethemba.com/blog/-/blogs/mate-strach-o-vase-sukromie-bojte-sa-sis-
by

Pavol Luptak

on 8 March 2017

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Najväčšia hrozba pre digitálne súkromie občanov

Najväčšia hrozba pre digitálne súkromie občanov
Celine's First Law:

National Security is the chief cause of national insecurity.
By 1995, some 174,000 inoffizielle Mitarbeiter (IMs) Stasi informants had been identified, almost 2.5% of East Germany's population between the ages of 18 and 60
From the volume of material destroyed in the final days of the regime, the office of the Federal Commissioner for the Stasi Records (BStU) believes that there could have been as many as 500,000 informers
A former Stasi colonel who served in the counterintelligence directorate estimated that the figure could be as high as 2 million if occasional informants were included
Eastern German Stasi
SIS opakovane podala zvrátený návrh na odpočúvanie akejkoľvek šifrovanej komunikácie všetkých občanov.
Návrh zákona o Úrade civilného spravodajstva a Vojenskom spravodajstve a o zmene a doplnení niektorých zákonov (zákon o štátnom spravodajstve a spravodajských služibách)
Nejde o preklad bieloruského ani severokórejského zákona (aj keď to tak môže vyzerať)
Akú politickú legitimitu majú mať predkladatelia takýchto "diktátorských" zákonov?
Ak niekto bude predkladať zákon o označovaní Židov žltou hviezdou, budeme ho brať vážne?
Ak nie, prečo SIS, či MV SR vážne berieme?
Nekontrolovateľný zber dát občanov a povinnosť odovzdávať šifrovacie kľúče
Návrh uzákoniť zber metadát o občanoch SR "na účely spravodajskej činnosti" bez akejkoľvek súdnej kontroly
Mimoriadný zásah do súkromia, navyše bez akejkoľvek protiváhy
Návrh prikazuje pod hrozbou vysokej pokuty povinnosť odovzdávať šifrovacie kľúče z nejednoznačne definovaného okruhu zariadení - preemptívne a všeobecne.
Úniky o SIS z Wikileaks
Pán Jozef Mozolík zo SIS firmy GISS s.r.o. a pán Jan Fiala z ALLSAT s.r.o. pozvali do Bratislavy nielen zástupcov nešťastnej talianskej spoločnosti Hacking Team, ale aj zástupcov neslávnej spoločnosti Gamma s cieľom odprezentovať ich špehovacie riešenie (FinFisher). A samozrejme čakali na ponuky od oboch týchto firiem.
SIS reálne vyberala špehovacie riešenie medzi spoločnosťami Hacking Team a Gamma, ktoré PREUKÁZATEĽNE pracujú pre diktátorské režimy
FinFisher od Gamma a Galileo od Hacking Team
Existujú viacero navzájom podporujúcich sa dôkazov, že uvedený softvér používajú diktátorské krajiny na špehovanie disidentov a politických aktivistov, ktorí sú následne kriminalizovaní, často aj mučení a zabití
SIS nemá morálny problém cez sprostredkovateľské firmy dohadovať si stretnutie s firmami, ktoré tieto režimy podporujú
Absencia akejkoľvek transparentnosti zo strany občana - bez Wikileaks by sa to nedozvedel
Reakcie štátnych agentúr
SIS všetko dementovali
Česká Polícia sa priznala, že uvedený software od Hacking Team nákupila, odmietla sa k tomu bližšie vyjadriť, kedže všetko podlieha utajeniu. Podľa nej je všetko v poriadku, lebo to využila na legálne účely
Na zamyslenie:
aký je principiálny rozdiel medzi tým, keď Česká Polícia nakúpi špehovací softvér od spoločnosti, ktorá pracuje pre diktátorske režimy a použije ich na "legálne účely" a tým, že keď nakúpi zbrane/muníciu od teroristickej organizácie ISIS a tiež ich použije výhradne na "legálne účely"?
Prečo Česká polícia a SIS úplne morálne zlyhali?
Nemorálne a protihumanistické aktivity talianskej hackerskej spoločnosti Hacking Team sú verejne známe už niekoľko rokov, pravidelne o tom publikuje a v minulosti publikoval napríklad Citizenlab
Ak štátne inštitúcie ako Česká polícia, ktorá od nich uvedený nástroj za desaťtisíce eur reálne zakúpila, podobne SIS, ktorá uvedený nástroj plánovala zákupiť, neboli schopné pri tak veľkej čiastke si spraviť jednoduchý "background check" samotnej spoločnosti Hacking Team, tak to vypovedá o ich neschopnosti overovať si reputáciu biznis partnerov
Prečo je nemorálne používať špehovacie hackerské nástroje firiem od Hacking Team alebo Gamma?
Vlády, ktoré si hovoria, že sú "demokratické" (a tam patrí aj slovenská a česká) od týchto firiem (ktorých kľúčový biznis je postavený na obchodovaní s diktátorskými vládami/režimami) za peniaze daňových obetí nakupujú špehovacie služby a nástroje
Nemožnosť sa voči tomuto špehovania brániť - na 0-day exploity neexistujú bezpečnostné záplaty (nedokumentované chyby vo Flashi, v Jave, ..)
Úplna netransparentnosť - nemožnosť legálne zistiť či vaša vláda uvedené špehovanie reálne zakúpila a používa, kedže tento softvér nakupujú štátne inštitúcie, ktoré podliehajú kompletnému utajeniu (viď vyššie uvedené prehlásenie Českej polície).
Whistleblowing ako jediný spôsob ako sa dozvedieť nemorálne zákulisné informácie tajných služieb
stále "nevyšetrená" Gorila (musela uniknúť, lebo SIS ju nezverejnila)
vyhackovaný Hacking Team a zverejnenie na Wikileaks
zvyšená frekvencia únikov informácií od whistleblowerov svedčí o netransparentnosti a narastajúcom zneužívaní právomocí štátu, podobne o absencii interných vyšetrovacích mechanizmov (kauza krádeže portfólia JAVYS vs. Nethemba interne nikto nezačal vyšetrovať)
Dopady na naše súkromie I
Navrhované zákony spôsobia cielené oslabenie používaných krypto systémov (ak štátne inštitúcie budú mať prístup k dešifrovanej komunikácii alebo kľúčovému materiálu)
Akýkoľvek pokus o reguláciu šifrovania v konečnom dôsledku degraduje ochranu digitálneho súkromia všetkých ľudí a spôsobí zvýšenie rizika odpočúvania tretími stranami
História ukazuje, že "legálne odpočúvacie systémy" štátnej moci boli opakovane nabúrané hackermi a zneužité na odpočúvanie a špehovanie
http://spectrum.ieee.org/telecom/security/the-athens-affair
https://en.wikipedia.org/wiki/SISMI-Telecom_scandal
Dopady na naše súkromie II
Ak štát bude vyžadovať od výrobcov krypto riešení poskytovanie akéhokoľvek prístupu k prenášaným údajom, či kľúčovému materiálu, tak reálne hrozi, že akékoľvek silné krypto riešenia na Slovensku sa prestanú ponúkať a komerčne distribuoovať
Toto isté chcela Saudská Arábia a Spojené Emirátske štáty od Blackberry - tí to odmietli a Blackberry je v týchto krajinách zakázaný http://www.bbc.com/news/world-middle-east-10888954
Slovenskí občania sa pripravia o možnosť mať dostatočne silné riešenia na ochranu digitálneho súkromia a paradoxne vďaka štátu sa stanú ľahšími obeťami cyberzločinu
ITP (tam patrí Galileo alebo FinFisher!) môže podľa zákona používať LEN Policajný zbor, SIS, Vojenské spravodajstvo, Zbor väzenskej a justičnej stráže a Colná správa
"Orgány územnej samosprávy, súkromné bezpečnostné služby ani iná fyzická osoba alebo právnická osoba NESMIE použiť informačno-technický prostriedok."
Hrozí nám ako firme kriminalizácia za to, že používame bežné nástroje na penetračné testovanie (Wireshark, Burp Suite Pro, Metasploit, testovací malware apod... ), ktoré svojou podstatou alebo časťami funkcionality sú podobné ITP?
Ak nie, čo je presne ITP? (veľmi vágna definícia v zákone)
Nový zákon: Legalizácia používania špehovacieho softvéru (Informačno-technický prostriedok) pre vyvolené štátne úrady, kriminalizácia používania ITP inými osobami
Dopady na naše súkromie III
Použitie ITP výhradne štátnymi úradmi vytvára silnú informačnú nerovnováhu (0-day špehovací software môže využiť len štát, občania sa nemajú ako brániť)
Vágna definícia ITP v zákone otvára priestor pre zneužitie - bude naša firma kriminalizovaná za to, že používa pre účel svojej práce špehovacie nástroje / exploity?
Štátne úrady, ktoré sú:
Kompletne netransparentné
Monopolizované
Používajúce 0-day špehovací software bez možnosti občanov sa voči tomu akokoľvek brániť
Najväčšia hrozba pre Vaše digitálne súkromie
Ďakujem za pozornosť!
Chráňte sa!
Šifrované hovory a správy (Signal, Wire)
Šifrovaná instantná komunikácia (Jabber+OTR)
Šifrované emaily (PGP, S/MIME)
Šifrovaný Windows (Microsoft Bitlocker)
Šifrovaný Linux / Mac (dm-crypt/LUKS, FileVault)
Šifrovaný Android / iOS
Aktualizujte pravidelne OS a všetky aplikácie
Podľa štúdie Inštitútu pre verejné otázky Internet Freedom Report 2014: Slovakia, v roku 2012 slovenská polícia zadala 1551 žiadostí o odpočúvanie, z ktorých boli schválené prakticky všetky (1489), ale len 59 sa reálne použilo v nejakom súdnom procese (to je menej ako 4%)
Riziko nelegitímneho odpočúvania (kedy nebol spáchaný žiadny trestný čin) je ako vidíme veľmi vysoké a je dobré sa voči nemu brániť.
Len 4% žiadostí o odpočúvanie sa reálne použije v súdnom procese
Kto som?
IT security špecialista, CEO Nethemba s.r.o. a Nethemba GmbH špecializujúce sa na penetračné testy a etické hackovanie
Dlhodobý aktivista v oblasti ochrany digitálneho súkromia (projekt www.chrantesvojesukromie.sk)
Spoluzakladateľ hackerspaceov v Bratislave - Progressbar a v Prahe - Paralelní Polis
Zakladateľ projektu www.nepracujemeprestat.sk - eticko-ekonomická iniciatíva spoločností, ktoré sa rozhodli prestať pracovať pre štátne inštitúcie
Člen umeleckej skupiny Ztohoven
Rejdiště zločinců a semeniště zla. Chovanec vyhlásil válku anonymitě na internetu
Stať sa vládcom nad Internetom a jeho obsahom je vysnívená méta nejedného svetového diktátora. Každý z nich má na to podobný, ak nie rovnaký dôvod ako pán Minister — “bezpečnejší Internet bez hnutí propagujúcich zlo”.
Je vôbec technicky možné kontrolovať Internet a znemožňovať anonymitu?
NIE.

(
Bez drastických zásahov do súkromia ľudí, zákazu šifrovania a monitorovania akejkoľvek komunikácie).

Tor, Tails, Obsproxy3, obfs4
Momentálne v každej diktátorske krajine na svete je možné obísť štátne centrálne vynucované kontroly Internetu a to aj napriek tomu, že by si ich diktátori želali opak.
NIE.
Obeťou štátneho špehovania a kontroly sa stanú najbežnejší ľudia, ktorí anonymizačné siete používať nebudú. Akékoľvek informácie o nich zbierané sa stanú predmetom zneužitia a korupcie.
Existuje politik, ktorému dôverujete dostatočne na to, aby ste sa dobrovoľne zbavili práva na svoje anonymné príspevky?”.
Dá sa zaviesť efektívna kontrola prístupu k Internetu?
Uvažovanie „keď nerobím nič zlé, nemám čo skrývať” je chybné a veľmi krátkozraké, kedže štátom zbierané informácie môžu byť o vás zneužité ďalšou politickou garnitúrou s ktorou už vôbec sympatizovať nemusíte.

Internetová anonymita tiež umožňuje dosiahnúť a demonštrovať existenciu alternatívnej decentralizovanej spoločnosti ku štátu v ktorej neexistuje možnosť centrálne riadiť a vynucovať pravidlá, kde obojstranné dohody sú vynucované formou vzájomnych kontraktov.
Aktuálne: Schválen návrh, aby Ministerstvo spravodlivosti ČR mohlo blokovať akýkoľvek web v ČR!
Opakovaný pokus štátnych firiem na hazard vylobovovať zákaz prístupu českých hráčov na konkurenčné weby v daňovo priaznivejších krajinách (to isté sa pred pár rokmi stalo aj na Slovensku, našťastie neúspešne)
"Ministerstvo financí bude jako jediná instituce rozhodovat o nelegálnosti webové stránky a technickém zabezpečení blokace" - Michal Feix, ředitel pro právní a legislativní záležitosti společnosti Seznam.cz
„Před zahájením každého řízení požádá nelegálního provozovatele o nápravu. Blokace bude uplatněna až v nejzazším případě,” ujišťuje ministerstvo.
„Jsme proti tomu. Udělat blacklist zakázaných stránek totiž dříve či později povede k tomu, že se na něm začnou objevovat i stránky, které budou nějakým způsobem nepohodlné. Jde o otevření Pandořiny skříňky a podobné omezování pak samozřejmě může pokračovat,“ varuje právník Jan Vobořil, výkonný ředitel organizace Iuridicum Remedium
Regulácia kryptomien v ČR!
Novela o někerých opatřeních proti legalizace výnosů z trestné činnosti EU (tzv. AML legislatíva)
Zavádza zákaz anonymých transakcií kryptomenou nad sumu 1000 EUR, kedy je nutné jednoznačne identifikovať obe obchodujúce strany
Degraduje jednu z najsilnejších vlastností kryptomien (anonymitu / pseudoanonymitu)
Dotkne sa všetkých prevádzkovateľov BTC automatov, prevádzky Paralelní Polis
Full transcript