Australia może uchwalić ustawę “Assistance and Access Bill”, która nakazuje deweloperom oprogramowania i sprzętu na dodawanie możliwości “obejścia” szyfrowania komunikacji i przekazania danych organom ścigania. Parlament już przegłosował jej treść. Teraz decyzja należy do gubernatora generalnego.
Wygląda na to, że wszystkie partie chciałyby przyjęcia nowego prawa. Powstało ono z myślą o przeciwdziałaniu terroryzmowi. To na pewno jest ważne, ale zakres ustawy obejmie wszystkich obywateli, a nawet może mieć wpływ na cały świat. Tak było w Stanach Zjednoczonych po zamachach 11 września 2001, kiedy uchwalono USA Patriot Act.
“Assistance and Access Bill” zakłada techniczną pomoc deweloperów oprogramowania i producentów sprzętu dla służb, kiedy nie będą mogły odszyfrować komunikacji. Procedura rozpocznie się od wydania nakazu. Mówi się, że ustawa będzie poprawiana już na początku 2019 roku, więc po co ten pośpiech?
W przypadku dostosowania jakości szyfrowania do wymogów australijskich, jest możliwe, że jego skutkiem będzie obniżenie bezpieczeństwa wszystkich rozmów i komunikacji. O sile szyfrowania decyduje użyty algorytm oraz klucz, czyli “hasło”. Programiści zobligowani do przestrzegania prawa będą musieli wybrać słabszą metodę szyfrowania i prostszy do złamania klucz. To szansa dla przestępców, którzy spróbują wykorzystać znane słabości w szyfrowaniu.
Temat jest popularny na portalach społecznościowych. Cieszy reakcja internautów i głos sprzeciwu trendom w parlamencie. Na Twitterze i Facebooku wpisy dotyczące ustawy są oznaczane hasztagiem #aabill. Brakuje może bezpośredniej reakcji głównych serwisów, jak podczas wprowadzenia w Europie tzw. ACTA2. Według EFF Polska uchroniła przed tym nieszczęsnym prawem cały kontynent.
DIGI i BSA, czyli organizacje zrzeszające największe korporacje, jednym głosem potępiają nadchodzące prawo. Do ustawy zgłoszono zresztą bardzo wiele poprawek. Niestety nie zostały od razu dodane do jej treści, co świadczy o pośpiechu i pisaniu ustawy na kolanie. Australia należy do Five Eye razem z Nową Zelandią, USA, Kanadą i Wielką Brytanią. Te pięć państw ogólnie sprzeciwia się koncepcji szyfrowania.
Co z lokalnymi opiniami Australijczyków? W Australii tylko władze Synodu Tasmanii Zjednoczonego Królestwa Australii zgadzają się z nadchodzącymi przepisami.
Szyfrowanie to obecnie podstawowy standard bezpieczeństwa. Ochrona plików przed niepowołanym dostępem przynajmniej tym mniej zaawansowanym hakerom znacznie utrudnia życie. Nawet jeżeli zaszyfrowany plik zostanie wykradziony i przesłany na serwery przestępcy, to możemy spokojnie życzyć mu szczęścia w przeglądaniu danych, jeżeli nie zna algorytmu szyfrowania i klucza, który będzie trudny, albo niemożliwy do złamania.
Wątpię, aby nie-australijscy producenci zdecydowali się na obniżenie jakości szyfrowania tylko dla Australii. Wszyscy możemy odczuć nowe przepisy. Australijskie wymogi nie są zgodne z międzynarodowymi prawami (w tym z RODO), i jeżeli jakikolwiek polityk europejski zarzuci publicznie taki pomysł, to będziemy mieć potwierdzenie, w jakim kierunku zmierza świat.
Prawdopodobnie nowa ustawa pogarszająca bezpieczeństwa australijskim politykom jest na rękę. Przypomnijmy, że Australia należy do Sojusz Pięciorga Oczu, o którym wspominaliśmy w artykule poświęconym “cenzurze” Huawei.
Co możemy zrobić jako użytkownicy końcowi zamieszkujący na terenie Australii? Wbrew pozorom są pewne możliwości ominięcia kontrowersyjnego prawa (i jeśli podobne zostałoby wprowadzone np. w Polsce). Przypomnę, że polski rząd miał pewne plany dotyczące wprowadzania cenzury w Internecie (technicznie bezskuteczne, ale jednak).
- Szyfrujemy wszystkie nasze dane. Najlepsze efekty przyniesie szyfrowanie całych nośników. Nie polecam wykorzystywania szyfrowania systemowego ani tego sprzętowego.
- Stosujemy silne hasła. Powinny zawierać wielkie / małe litery, znaki specjalne oraz cyfry. Współcześnie optymalne bezpieczeństwo zapewnia hasło powyżej 16 znaków. Należy je również zmieniać.
- Korzystamy z programu antywirusowego. Kto wie, czy następnym krokiem nie będzie wprowadzenie przymusu pozostawienia “furtki” w oprogramowaniu zabezpieczającym.
- Aktualizujemy regularnie wszystkie aplikacje, a stare i nieużywane, usuwamy.
- Wymazujemy pliki. Przeniesienie pliku do Kosza i jego opróżnienie jest daremne. Formatowanie również. Zalecam skorzystanie z programu R-Wipe & Clean, który potrafi nadpisać tzw. wolne miejsce na dysku. Najlepszą metodą jest skorzystanie z degaussera, ale będzie to ostateczność podczas niszczenia dysku.
- Korzystamy z VPN / Tor / serwera proxy. To zdecydowanie zwiększa prywatność w sieci.
- Zmieniamy serwery DNS na te bezpieczniejsze.
- Korzystamy z konta z ograniczonymi uprawnieniami.
- Logujemy się za pomocą klucza bezpieczeństwa, czyli np. opisywanego niedawno Yubikey.
To naprawdę minimum. Podjęte kroki z pewnością utrudnią ewentualną penetrację naszego systemu, monitorowanie i śledzenie. Pozostałe rady zostały podane w poradniku dla kibiców wyjeżdżających na Mistrzostwa Świata do Rosji. Trochę bardziej zaawansowane metody ochrony opisane są w tym artykule.
Aktualizacja #1, 16.12.2018
Signal, popularny komunikator znany z dużego nacisku na bezpieczeństwo użytkowników, informuje, że nie dostosuje się do australijskich przepisów. Aplikacja ta nie przechowuje rejestru rozmów, lokalizacji, zdjęcia użytkownika i informacji o konwersacjach grupowych. Każda rozmowa przeprowadzana za pomocą tekstu lub głosu jest zabezpieczana kluczami, które nie są dostępne dla pracowników. To istotna różnica w stosunku do Messengera od Facebooka, który domyślnie co prawda szyfruje komunikację między stronami, ale już jej zapis na serwerach zaszyfrowany nie jest (trzeba to zmienić w opcjach). Joshua Lund twierdzi, że w większości przypadków deweloperzy nie wiedzą nawet, między jakimi osobami przeprowadzana jest rozmowa. Dodał również, że nowe prawo “nie zadziała zbyt dobrze”, ponieważ użytkownicy Signal znajdą sposób na “obejście” kontrowersyjnego prawa. Chodzi oczywiście o korzystanie z bezpiecznego komunikatora.
