Głęboka inspekcja pakietów w ITU

W Dubaju trwają dyskusje, które być może rozstrzygną przyszłość Internetu na świecie.

Postępy prac z konferencji w Dubaju relacjonuje Katarzyna Szymielewicz z Panoptykonu (Transparentność dla zaawansowanych).

W tych negocjacjach ściera się jak zwykle wiele interesów. Z jednej strony mamy państwa totalitarne lub autotytarne, dla których swobodne funkcjonowanie globalnego Internetu jest zagrożeniem ze względu na nieskuteczność ich wewnętrznych regulacji o charakterze cenzury prewencyjnej. Co z tego, że Federacja Rosyjska wprowadziła sobie karalność publikacji "materiałów ekstremistycznych" skoro mogą być one opublikowane poza granicami jej jurysdykcji?

W tej sytuacji naturalnym sojusznikiem partyjnego betonu z tych krajów jest beton bezpieczniacki z krajów demokratycznych. Jest to środowisko specyficzne, o percepcji skrzywionej ekspozycją na niegodziwości, z którymi paradoksalnie walczy w jak najbardziej słusznej sprawie. Jak się na codzień ma kontakt tylko z terrorystami i internetowymi pedofilami to łatwo można odnieść wrażenie, że stanowią one znaczącą część ruchu sieciowego i coś z tym trzeba zrobić!

Złowieszczego brzmienia zaczyna nabierać pojęcie deep packet inspection (DPI). Można odnieść wrażenie, jakby standardyzacja tej techniki robiła dużą różnicę. Ale moim zdaniem nie robi żadnej. Płytka czy głęboka inspekcja zawsze widzi w pakietach tylko to, co jej sami pokażemy. W Internecie "od zawsze" obowiązuje podstawowe założenie, że za poufność danych odpowiada ich właściciel. Czyli jeśli przesyłasz coś w postaci niezaszyfrowanej to zakładaj, że będzie to widoczne dla operatora, rządu itd. Nawet jeśli i jeden i drugi obieca co innego. Nie chcesz żeby było widoczne — szyfruj. Tertium non datur.

Przez ostatnie 20 lat wymyśliliśmy mnóstwo zaawansowanych technik ochrony przed instytucjonalną inwigilacją — PGP, Tor, Freenet i wiele innych. Było ich tak wiele ale w sumie nikt nie miał za bardzo pomysłu do czego ich używać, bo jest to zwyczajnie kłopotliwe (sieć działa wolniej itd). Innymi słowy, oczekiwania "ojców założycieli" Internetu wobec inwigilacji rządowej znacznie wyprzedziły same działania rządów, które do sprawy zabrały się z prawie ćwierćwiecznym opóźnieniem.

Ale my jesteśmy do nich dość dobrze przygotowani. Dopóki zatem nie zostanie ograniczona możliwość korzystania z kryptografii i wymienionych technik radykalna zmiana w funkcjonowaniu Internetu nam nie grozi. Na tym etapie bardzo istotne jest natomiast pokazanie stronom rządowym (bo jest ich wiele), że znaczna część ich lęków jest lękami urojonymi. A dokładniej, że ich percepcja ryzyk związanych z Internetem ma niewiele wspólnego z rzeczywistym ich poziomem.

Na rozdymaniu tych lęków bazuje od zawsze przemysł związany z bezpieczeństwem teleinformatycznym — bo uświadomienie przyszłemu klientowi ryzyka związanego z wirusami oznacza szansę na pozyskanie nowego klienta (jedną z podstawowych funkcji marketingu jest uświadamianie klientom ich potrzeb). Problem w tym, że granica między szeroko pojętymi działaniami uświadamiającymi (security awareness) a szkodliwą przesadą jest płynna i łatwo ją przekroczyć nawet w dobrych intencjach (sam to zapewne mimowolnie robiłem w swojej publicystyce).

W relacji z handlowcem prywatnej firmy możemy jednak łatwo zażądać pokazania konkretów i przedstawienia dowodów. Beton bezpieczniacki uwielbia się natomiast powoływać na bliżej niesprecyzowaną wiedzę wewnętrzną lub informacje z zaprzyjaźnionych organów sojuszniczych, nie podlegające żadnej weryfikacji. Najczęściej stosowany argument głosi na dodatek, że brak ścisłej kontroli tego czy owego utrudni ściganie jakiejś wyjątkowo szkodliwej lub odrażającej przestępczości.

Hasłem tym szermowały powszechnie amerykańskie służby bezpieczeństwa przed liberalizacją tamtejszych przepisów dotyczących eksportu kryptografii. Dostęp do kryptografii miał uniemożliwić policji podsłuchiwanie terrorystów, pedofili, szpiegów, handlarzy narkotyków itd. Pomimo tych żalów liberalizacja nastąpiła ostatecznie w 2000 roku i żadna zapaść w wykrywalności tych przestępstw mimo to nie nastąpiła.

Większość tej argumentacji była fantazją policyjnych technokratów, którym wydawało się, że cały problem przestępczości da się rozwiązać za pomocą coraz to doskonalszych gadżetów służących do inwigilacji, podsłuchiwania, dekryptażu itd (koncepcja nieobca twórcom systemów "Magister" i PESEL). W praktyce okazało się, że przestępcy — jak wszyscy inni ludzie — popełniają błędy. Zaszyfrowane nośniki danych odczytuje się najczęściej nie dzięki superkomputerom łamiącym szyfry, tylko dlatego, że podejrzany zabezpieczył je imieniem swojego pudelka, które na dodatek zapisał go (no ale wspak!) w notesie. Albo w ogóle nie są zaszyfrowane...

Co istotniejsze, zażarte wskazywanie drzazgi w postaci np. kryptografii nie pozwoliła organom bezpieczeństwa dostrzec we własnym oku belki, jakim była ich własna niekompetencja, fiksacja na technikaliach czy nieumiejętność współpracy z innymi rządowymi agencjami (raport o nieudolności CIA w sprawach 9/11 i Iraku). I to są prawdopodobnie najistotniejsze argumenty, jakie należy wytaczać przeciwko ewentualnym propozycjom zaostrzenia kontroli nad Internetem jakie niechybnie pojawią się w Dubaju.