Australia vs szyfrowanie – zapalił się bezpiecznik

Do tej pory wiadomości są dobrze znane – Australia niedawno uchwaliła prawo, które zmusza wszystkie firmy technologiczne do udostępniania swojej bazy użytkowników i raz zaszyfrowanych wiadomości organom prawnym. Uzasadnienie? Środki antyterrorystyczne i pokojowe.

Prawdziwy problem wykracza jednak poza rażące naruszenie prywatności ludzi – może faktycznie pozwolić na rozkwit cyberprzestępczości.

Rząd australijski twierdzi, że jest to pierwsze tego typu prawo na świecie, ale trudno nie dostrzec podobieństw do innych podobnych inicjatyw, takich jak Chiński System Kredytu Społecznego. Oboje z jednej strony głoszą poprawę ogólnego samopoczucia, a drugą niszczą prywatność.

Te zestawy dyrektyw zostały przyjęte pod wpływem chwili, w ostatnim dniu 2018 roku, kiedy głosowały za nimi wszystkie instancje administracyjne rządu.

Nazwa tej kontrowersyjnej decyzji to „Ustawa o zmianie (pomocy i dostępie) w zakresie telekomunikacji i innych przepisów prawnych”. Według australijskiego rządu odsetek zaszyfrowanych wiadomości, które ASIO (Australijska Organizacja Wywiadu Bezpieczeństwa) odebrała w 2017 r., wyniósł 55%, co stanowi wzrost o 52% od 2013 r.

W jaki sposób zaszyfrowane wiadomości są niebezpieczne?

Nie były, aż do niedawna, kiedy wdrożono szyfrowanie typu end-to-end. Gwarantuje, że tylko nadawca i odbiorca wiadomości będą mogli zobaczyć jej zawartość.

Żadne inne strony trzecie nie mają dostępu do takich wiadomości, niezależnie od ich platformy. Ten system jest używany przez wiele aplikacji, takich jak WhatsApp i Signal. Dodatkowa warstwa zabezpieczeń neguje poprzednie australijskie przepisy, które wymagały od dostawców przekazywania wiadomości podejrzanego.

Jednak dzięki szyfrowaniu typu end-to-end nawet sam dostawca nie ma dostępu do wiadomości użytkownika. Żeby nie mieli jak pomóc władzom. Teraz rząd australijski ma przepisy przeciwko temu, mówiąc, że pomaga przestępcom uniknąć wykrycia.

Nie jest jasne, czy firmy skoncentrowane na prywatności, takie jak dostawcy VPN, dobrowolnie zastosują się do nowych przepisów, czy też nie będą ryzykować kar.

Jak Australia chce coś zmienić?

Oficjalnie chcą tylko, aby firmy technologiczne współpracowały z agencjami rządowymi, aby dać im wolną rękę nad prywatną komunikacją swoich użytkowników. Ale można to zrobić tylko poprzez zainstalowanie luk w samym systemie bezpieczeństwa samego dostawcy.

Ale kto może powiedzieć, że te luki w zabezpieczeniach nie mogą zostać wykryte przez osoby trzecie?

To prawda, że ​​Australia nie posuwa się tak daleko, by całkowicie zakazać szyfrowania typu end-to-end, jak zrobiły to Chiny, Rosja czy Turcja, ale wszystkie firmy są zmuszone do ujawnienia poufnych danych użytkownika.

Zdecydowana większość ekspertów ds. cyberbezpieczeństwa twierdzi, że nie ma absolutnie żadnego sposobu na stworzenie backdoora skierowanego do jednej osoby. Dotknęłoby to raczej wszystkich użytkowników, narażając ich przez cały czas na cyberataki. Próbując rozwiązać ten możliwy problem, rząd Australii powiedział, że nie byłoby tak, gdyby miały stworzyć „systemową słabość”. Działałoby to jako zabezpieczenie przed możliwymi inwazyjnymi atakami z zewnątrz.

Jednak krytycy i specjaliści ds. bezpieczeństwa twierdzą, że definicja „słabości systemowej” nie jest jasna. Na razie nikt nie ma ostatecznej odpowiedzi na pytanie, w jaki sposób zostanie to osiągnięte przy jednoczesnym zachowaniu bezpieczeństwa użytkownika.

Aby spojrzeć z innej perspektywy, największy cyberatak przeprowadzony w Wielkiej Brytanii na system opieki zdrowotnej miał miejsce tylko z powodu exploita systemu Windows, który znalazła NSA.

Tego rodzaju exploity i luki w zabezpieczeniach zagrażają naszym drzwiom, dając hakerom nową drogę ataku, ułatwiając im pracę. Australia właśnie to robi i mówią, że to walka z cyberprzestępczością. Ironia jest tu niemal namacalna, bo może doprowadzić do faktycznego wzrostu ataków cyfrowych.

Co dzieje się z firmami technologicznymi, które odmawiają przestrzegania przepisów? W najlepszym przypadku odmowa zastosowania się do dyrektyw będzie skutkować wysokimi grzywnami.

To skłoniło niektórych do stwierdzenia, że ​​firmy technologiczne, które już wykazały negatywny stosunek do inicjatywy, mogą wycofać się z rynku australijskiego. Mogłoby to bardzo dobrze doprowadzić do pogorszenia się sytuacji gospodarczej.

Jednak chociaż niektóre firmy mogą zdecydować się na krok wstecz, zdecydowana większość będzie przestrzegać przepisów dotyczących zapobiegania szyfrowaniu z jednego konkretnego powodu. Mianowicie, że użytkownicy nie będą mieli pojęcia, kiedy i nawet, czy mają dostęp do ich komunikacji.

Nikt nam nic nie powie, tyle było już wiadomo, kiedy ustawa została sformułowana po raz pierwszy. Cała idea, która się za tym kryła, polegała na przejęciu kontroli nad wymianą informacji, prawdopodobnie po to, by być o krok przed cyberprzestępcami.

Ta inicjatywa wcale nie jest dobra, nawet na papierze. Czy ludzie mają żyć z ciągłym strachem, że ich komunikacja jest monitorowana, nie wiedząc, kiedy ktoś patrzy? Brzmi strasznie podobnie do 1984 Orwella, ponieważ jest to mrok potężnej Policji Myśli.

W wywiadzie prezes Digital Rights Watch, Tim Singleton Norton, powiedział, że ustawodawstwo jest „sprzeczne z prawami człowieka i podstawowymi zasadami demokracji”, że doprowadziłoby do paraliżu ogólnego cyberbezpieczeństwa Australii.

Przyszłe implikacje będą widoczne dopiero po tym, jak agencje rządowe zaczną wykorzystywać te nowo odkryte uprawnienia. To, czy firmy technologiczne zdecydują się opuścić Australię, czy będą argumentować, że nie podporządkowują się australijskiemu prawu, dopiero się okaże. W każdym razie fale tej decyzji będą się utrzymywać jeszcze przez jakiś czas w przyszłości, miejmy nadzieję, że bez poważnych reperkusji.

Zostaną zgłoszone poprawki i będą prowadzone debaty dotyczące tej ustawy antyszyfrującej, ale jedno jest pewne – ogólna idea jest taka, że ​​w taki czy inny sposób rząd australijski uzyska anonimowy dostęp do prywatnej komunikacji obywateli.

Zapalił się lont za coś, co wydaje się być jedną z wielu bomb naruszających wolność, które zostały dostarczone pod nasze drzwi.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

• Nowa luka w szyfrowaniu oznacza, że ​​poczta e-mail nie jest już bezpieczna
• CloudMounter zapewnia szyfrowanie i bezpieczeństwo w Twoich sprawach związanych z chmurą
• Pełne szyfrowanie w końcu pojawia się na Facebooku Messenger
• Czy jest wada szyfrowania?
• W jaki sposób szyfrowanie może zapewnić firmom zgodność z nadchodzącą dyrektywą UE o ochronie danych