Szerző: Habók Lilla

2018. december 10. 17:09

Tényleg jönnek a hátsó kapuk Ausztráliában

Elfogadta az ausztrál parlament a vitatott törvénymódosítási javaslatot, amely hozzáférést kér a technológiai vállalatok titkosított kommunikációs rendszereinek adataihoz.

Elég gyors ütemben fogadta el az ausztrál parlament az augusztusban megjelent törvénymódosítási javaslatot (Assistance and Access Act 2018), amely kényszeríti a technológiai vállalatokat, hogy a hatóságok számára hozzáférést biztosítsanak a titkosított kommunikációhoz a rendszereikben. A törvényhozók korábban arra hivatkoztak, hogy az elmúlt 12 hónapban 200 olyan bűncselekmény történt, amelyben a nyomozók nem tudtak végül továbblépni a titkosított kommunikációs csatornák és a hatályos jogszabályok miatt. Úgyhogy a törvénymódosítást a szabályozók a terrorizmus, a csalás és a gyermekbántalmazás elleni védelem érdekeire hivatkozva javasolták. A tervezet ellen a vállalatok, biztonsági cégek, szervezetek és szakértők is hevesen tiltakoztak, de mint látható, ezzel nem sikerült az ausztrál parlamenti képviselőket meghatniuk.

A törvénymódosítás részleteit az előző cikkünkben hosszabban kifejtettük, mely szerint az adatgyűjtést továbbra is célzott maradna, nem tenné lehetővé a felhasználói adatok tömeges gyűjtését, viszont a hatóságok könnyebben hozzáférhetnének az igényelt adatokhoz három szint szerint. Első szinten van az önkéntes segítség "technikailag kivitelezhető hozzáféréssel", a második már utasítja a cégeket a technikai közreműködésre, a harmadik szinten pedig a főügyész rendelheti el a hozzáférés biztosítását, akár a rendszer módosítása árán is - utóbbi kettő nem teljesítése már pénzbírsággal jár.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A legnagyobb vitát a harmadik szint keltette, amelynél a vállalatoknak olyan szoftvereket vagy berendezéseket kell telepíteniük a rendszereikbe, hálózatukba,amellyel segítik a nyomozásban az adathozzáférést. A működés a titkosított kommunikációs csatornák integritását elvben nem bontaná le, a tervezet szerint a pont-pont titkosított csatornákhoz senki nem férne hozzá. A végpontokon azonban, ahol a titkosítást az alkalmazások amúgy is visszafejtik, hozzáférést nyerne a hatóság, a kliensalkalmazás (vagy operációs rendszer) megfelelő módosításával. Tehát nem a kommunikációt, hanem a végponti védelmet kell backdoor-hozzáféréssel ellátni, e hátsó ajtóhoz pedig a hatóságoknak kérésre hozzáférést kell biztosítani. Ezzel a módszerrel az ausztrál titkosszolgálat szeretne hozzáférni akár a WhatsApp, a Signal vagy a Telegram üzeneteihez, és minden más hazai és külföldi kommunikációs szolgáltatáshoz, beleértve a készülékgyártókat, az alkatrészgyártókat, az alkalmazásszolgáltatókat és a mobilszolgáltatókat is.

Beépített rendszerszintű gyengeség?

A biztonsági szakértők és a technológiai vállalatok szerint az ausztrál törvény gyengíti az ausztrálok adatvédelmét, ezzel pedig a cégek a fogyasztók bizalmából is veszíteni fognak a termékeikkel szemben. Ráadásul a vállalatok félelme szerint a gyakorlatot más kormányzatok is átvehetik, ami meglátásuk szerint egyáltalán nem lenne jó precedens. Az Apple nyílt levele szerint a törvénymódosítás a bűnözők dolgát csak még inkább megkönnyíti, nem pedig nehezíti, miközben a titkosítást inkább erősíteni kellene a gyengítés helyett.

A vállalat szerint semmi szükség hasonló kormányzati kérésekre, hiszen az Apple az eddigiekben is együttműködött Ausztráliával a nyomozások és bűnelkövetés-megelőzések során, így az elmúlt öt évben 26 ezer adatigénylésre adott át információt. Összességében a levél arra kéri a törvényhozókat hogy módosítsanak a szövegezésen, amely jelen formájában túlzott veszélyt jelent a titkosításra és a biztonságra, melyet egyébként részleteiben is kifejt. Az elfogadott törvény azonban lényegi elemeiben nem változott, csak néhány definícióval bővült, amely kifejti többek közt a rendszerszintű gyengeség és sebezhetőség jellemzőit - a ZDNet részletesebben is bemutatja a változtatásokat.

ausztralia-a_a_torveny

A ProtonMail szerint sem volt jó ötlet az ausztrál törvény

Eközben a törvényhozók az eleinte is hangoztatott érveket hangsúlyozzák, hogy a törvény a nyomozó hatóságok munkáját fogja segíteni, mivel a bűnözők gyakran a titkosított kommunikációs csatornákat használják. Eddig a bűnüldöző szervek elakadtak a nyomozásban a hozzáférés hiánya miatt, amit a törvénymódosítás meg fog oldani - állítja többek közt Christian Porter főállamügyész. A parlamenti szavazás azonban az ausztrál jogászokat tömörítő Law Council szövetségi szervezet szerint is elhamarkodott volt, ami nem várt következményekkel járhat, ugyanis a hírszerzés és a bűnüldözés számára lehetővé teszi a "túlkapásokat". A szakértők szerint pedig összességében nagyon sok tisztázatlan kérdés maradt a szövegezés alapján.

Most már kiskapukat megengedő szabályozás Ausztráliában törvényi szintre emelkedett, amelyet a Parlament megszavazott. Tehát mostantól az ausztrál hatóságok beadhatják az adatgyűjtési kérvényeket a vállalatoknak. Azonban a Parlament a következő ülésén, jövő év elején még megfontolja a korábban beérkezett módosítási javaslatokat. Továbbá az ausztrál kormány nemzetbiztonsági jogalkotási felügyelete (INSLM) a következő 18 hónapban felülvizsgálja az új törvény hatékonyságát és következményeit, úgyhogy a törvény még ennek hatására is változhat.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról