Hacking, prywatność, bezpieczeństwo. No i RSS

Dzień dobry, nazywam się Marcin Lis i zapraszam do wysłuchania kolejnego odcinka podcastu What the Fox Says.

W dzisiejszym odcinku opowiem o tym, jak brytyjskie przedsiębiorstwa zostały schakowane w ostatnim czasie, zwłaszcza w kontekście Jaguar Land Rover, o tym, jak firmy Apple i Google podchodzą do kwestii weryfikacji wieku i dość dużo o prywatności w sieci.

Na początek jednak mały news.

Jeżeli ktoś używał Tiny Tiny RSS, czyli popularnego otwarto-źródłowego czytnika RSS do samodzielnego hostowania, powinien wiedzieć, że przechodzi on poważną zmianę.

Jego pierwszy twórca, czyli Andrew Dolgow, ogłosił, że z dniem 1 listopada tego roku zamyka całą dotychczasową infrastrukturę projektu, w tym repozytorium Git, forum oraz stronę.

Dolgoff nie czerpie już satysfakcji z otrzymywania publicznych projektów open source ani stron internetowych i uważa, że jego projekt jest projektem dokończonym, który wymaga jedynie rutynowych aktualizacji i naprawy błędów.

Jednakże projekt ten nie zniknie.

Pojawił się nowy opiekun, który przejął domenę tt-rss.org oraz przeniósł rozwój projektu do nowego repozytorium na GitHubie, gdzie sforkował tt-rss i gdzie będzie on dalej rozwijany.

Nowy maintainer zobowiązał się zapewnić dalszą dostępność tego narzędzia, aktualizację i poprawki błędów.

Tak więc TTRSS przestanie być rozwijane przez swojego oryginalnego twórcę, ale społeczność nie straci dostępu do tego narzędzia, ponieważ rozwój będzie kontynuowany przez nowego opiekuna, a użytkownicy nadal będą mogli korzystać z czytnika na własnych instancjach.

A teraz przejdźmy do głównego tematu odcinka.

W ostatni dzień wakacji, 31 sierpnia tego roku, Jaguar Land Rover stał się ofiarą jednego z najbardziej destrukcyjnych cyberataków w historii brytyjskiego przemysłu motoryzacyjnego.

Doprowadził on do całkowitego zatrzymania produkcji globalnej i wywołał efekt domina w całym łańcuchu dostaw, generując straty szacowane na pomiędzy 5 a 10 milionów funtów dziennie.

Do odpowiedzialności za atak przyznała się grupa nazywająca się Scatteret Lampus.

Jest to koalicja trzech znanych kolektywów cyberprzestępczych.

Jest to niebezpieczna grupa składająca się głównie z młodych ludzi, niektórych nawet 16-letnich, pochodzących z anglojęzycznej społeczności hakerskiej zwanej DECOM.

Grupa ta wcześniej była odpowiedzialna za ataki na Marks & Spencer, Coop i Harrods.

Podczas tego ataku atakujący wykorzystali kombinację kilku technik.

m.in.

social engineering, żeby zmanipulować pracowników IT w celu uzyskania dostępu do systemów, eksploatację podatności w SAP NetWeaver, wykorzystali tutaj krytyczne luki i brak autoryzacji Visual Composer, który umożliwił im nieautoryzowany dostęp do systemów.

Tak naprawdę umożliwiało to atakującym wykonywanie dowolnych komend na serwerach SAP, upload złośliwych plików wykonywalnych no i docelowo przejęcie całkowitej kontroli nad systemami.

Dodatkowymi czynnikami wpływającymi na skalę i efekt ataku były czas ataku, początek września to jest czas w UK, kiedy wprowadzane są nowe tablice rejestracyjne, kompleksowość

powiedziałbym może nawet bardziej zaawansowanie i skomplikowanie systemów produkcji, ponieważ wysoka automatyzacja produkcji oznacza, że wyłączenie IT sparaliżowało całkowicie oraz integrację łańcuchu dostaw.

Zależność z dostawcami spowodowała tak naprawdę efekt domina.

Skutki ataku były oszałamiające.

Produkcja została całkowicie zatrzymana, nastąpiły problemy z dystrybucją.

Nie dość tego,

Skutki odczuły nie tylko Jaguar Land Rover, ale też powiązane z nim i współpracujące z nim firmy.

Tak naprawdę fabryki w Soul Hill, Hellwood i Wolverhampton zostały zamknięte.

Około tysiąca samochodów dziennie nie zostało wyprodukowanych.

Problemy dotknęły też zakłady w Chinach, Słowacji i w Indiach.

Dealerzy

Jaguara nie mogli rejestrować nowych samochodów, klienci nie mogli odebrać zamówionych aut.

Ba, co więcej, nawet systemy części zamiennych były offline, uniemożliwiając pracę serwisu w zamówieniu części i naprawy.

Około 250 tysięcy osób pracujących w łańcuchu dostaw dla Jaguara Land Rover jest zagrożonym czy to zwolnieniami, czy przestojami w pracy.

Około 6 tysięcy pracowników w firmach współpracujących już zostało zwolnionych.

Dużo z tych małych i średnich firm współpracujących tak naprawdę stoi w tym momencie na krawędzi bankructwa przez brak płynności finansowej.

A wszystko to dlatego, że JLR, czyli Jaguar Land Rover, pracuje w modelu just in time, czyli nie ma praktycznie magazynów, części, tylko wszystko jest dostarczane na bieżąco.

Dlaczego wpływ tego ataku i efekty były takie duże?

Dlatego, że JLR ma krytyczne znaczenie dla brytyjskiej gospodarki.

Jest to największy brytyjski producent samochodów, który odpowiada za 4% całkowitego eksportu towarów z UK.

Firma sama zatrudnia bezpośrednio 34 tysiące osób, wspiera dziesiątki tysięcy miejsc pracy pośrednio, czyli tak naprawdę w tych firmach współpracujących.

No i tak jak wspomniałem wcześniej, ten timing, czyli wrzesień, kluczowy miesiąc dla sprzedaży samochodów w UKI ze względu na wprowadzenie nowych tablic rejestracyjnych.

Według ekspertów był to najgorszy możliwy moment na atak.

Dodatkowo nowoczesne fabryki Jaguara są w pełni zautomatyzowane i w pełni zależne od systemów IT, więc wyłączenie tych systemów oznaczało natychmiastowe zatrzymanie linii produkcyjnych.

Samochód w tym momencie składa się z około 100 tysięcy komponentów od różnych dostawców, czyli zatrzymanie tej produkcji wpływa natychmiastowo na całą sieć tych dostawców.

Więc jakiekolwiek zakłócenie natychmiast praliżyje całą produkcję.

Jakie były działania firmy?

Proaktywnie wyłączyli wszystkie systemy IT globalnie, zaczęli natychmiastową współpracę z ekspertami bezpieczeństwa, powiadomili organy regulacyjne i w efekcie 10 września potwierdzili kradzież danych.

Wcześniej, w tym samym roku, ta sama grupa przestępców zaatakowała inne duże firmy w UK, m.in.

Marks & Spencer, Coop, Harrods czy Linie Quantas.

Co ciekawe, praktycznie wszystkie te firmy używały usług Tata Consultancy Services do zarządzania swoim IT oraz cyberbezpieczeństwem.

Sugeruje to, że Tata Consultancy Services, czyli TCS, może być najsłabszym ogniwem w całym łańcuchu cyberbezpieczeństwa, które umożliwiło atakującym dostanie się do systemów.

Według ekspertów jest to dość dobrze znane w cyberbransze, że hakerzy dzwonią na helpdeski i proszą o dostęp i otrzymują go z łatwością.

A TCS świadczył usługi helpdesk współdzielone pomiędzy klientami, czyli jest jeden helpdesk dla wielu klientów.

Helpdesk TCS mógł resetować hasła, wyłączać 2FA, czyli podwójne autoryzacje, tworzyć nowe konta.

Więc mamy tutaj dodatkowe ryzyko, bo jeden skompromitowany helpdesk może dać dostęp do wielu firm.

Pracownicy tego helpdesku mają uprawnienia w systemach różnych klientów, z czego prosto wynika, że nie ma odpowiedniej segmentacji pomiędzy tymi klientami.

W efekcie brytyjski parlament oficjalnie wezwał TCS do złożenia wyjaśnień.

Komitet Biznesu i Handlu napisał do CEO TCS z prośbą o wyjaśnienie.

Dodatkowo rozpoczęło się śledztwo dotyczące wszystkich ataków, czyli na Jaguarana, Marks & Spencer i na Coopa.

W międzyczasie TCS przeprowadził wewnętrzne śledztwo w sprawie Marks & Spencer i nie znalazł dowodów naruszenia własnych systemów.

Efektem tego śledztwa był wniosek, że żadne systemy ani użytkownicy nie zostali skompromitowani.

Problem jest jednak taki, przynajmniej według ekspertów, że TCS nie przeprowadził niezależnego audytu, a jedynie badał samego siebie, co powoduje oczywisty konflikt interesów pomiędzy audytorami a firmą audytującą.

Sprawa TCS pokazała systemowe zagrożenie dla bezpieczeństwa narodowego UK.

bo w tym momencie jeden dostawca IT obsługuje kluczową infrastrukturę.

Dodatkowo widać też, że outsourcing cyberbezpieczeństwa to jednej firmy pomiędzy wieloma klientami tworzy single point of value, czyli właśnie jeden punkt, który jeżeli jest skompromitowany, kompromituje wszystkich klientów.

No i widać też brak niezależnej kontroli nad dostawcami tego cyberbezpieczeństwa, zwłaszcza w przypadku firmy Tata, która jest jednak firmą z Indii, więc tutaj rząd UK nie ma możliwości wielkiej kontroli nad nią.

A dlaczego mówię, że firma TCS obsługuje kluczową infrastrukturę UK?

Dlatego, że

Firma Tata Consulting Services obsługuje ponad 150 klientów w UK.

Nie tylko Jaguar, Land Rover, Marks & Spencer czy Coop, ale też takie firmy jak Morrison, Sainsbury's, Kingfisher, czyli właściciel sklepów Screwfix i B&Q.

Firmy takie jak Boots, British Airways, British Telecom, ale też takie banki jak Lloyds Bank, Nationwide.

i nawet operatora elektrycznego National Grid.

Jeżeli ich zabezpieczenia też zostałyby przełamane właśnie przez błędy helpdesku, efekty takiego ataku mogłyby być niesamowite i bardzo odczuwalne w społeczeństwie brytyjskim.

Wzór ataku dotychczasowych sugeruje, że nie są to przypadkowe ataki, ale ataki ukierunkowane na wykorzystanie zaufanych relacji klientów ze swoim helpdeskiem.

Jednocześnie helpdesk obsługujący wielu klientów stał się idealnym celem dla tych młodych hakerów.

A wniosek dla branży IT w UK jest taki, że należy dokonać pilnej rewizji podejścia do outsourcingu krytycznych funkcji, większej kontroli nad dostawcami i przemyślenia, czy wszystko powinno być outsourcowane, czy nie lepiej mieć jednak swoje własne systemy bezpieczeństwa i zespoły, nawet jeżeli jest to trochę droższe, bo jednak zapewnia to wyższą warstwę bezpieczeństwa.

Kolejny temat jest mniej związany z typowym cybersecurity, a bardziej z prywatnością użytkowników.

Mówię o podejściu firm Apple i Alphabet, czyli właściciela Google, do tematu weryfikacji wieku użytkowników.

Mówię o tym, ponieważ portal Ars Technica kilka dni temu publikował artykuł na temat podejścia tych firm do weryfikacji wieku użytkowników w Stanach.

Apple i Google wprowadzają mechanizmy weryfikacji wieku na poziomie kont w App Store,

ostrzegając jednocześnie, że takie zmiany obniżą prywatność użytkowników.

Apple wskazało, że prawo będzie wymagać zbierania wrażliwych danych nawet po to, cytując, żeby sprawdzić pogody lub wyniki sportowe.

Koniec cytatu.

W przypadku firmy Apple zmiany te wejdą od 1 stycznia przyszłego roku i obejmą wszystkie nowo zakładane konta w Teksasie.

Cały artykuł Ars Technica właśnie pojawił się w związku z tym, że Teksas prowadził takie przepisy.

I wszystkie te nowo zakładane konta będą musiały potwierdzić pełnoletność, a dla osób poniżej 18 roku życia

Będą to musiały być konta rodzinne należące do grupy rodzina, nie samodzielne konta.

I rodzice czy opiekunowie będą musieli zatwierdzać pobranie aplikacji, zakupy i wszystkie transakcje typu in-app purchase.

Dodatkowo Apple i Google udostępnią deweloperom nowe API do katoryzacji wieku użytkowników i odświeżania zgód rodzicielskich.

Google zapowiedziało też, że ich nowe API powstanie, ale że te wymogi zmniejszą prywatność użytkowników i podkreślają oni konieczność przekazywania App Store'om zakresu wieku i statusu zgód rodzicielskich, co tak naprawdę przerzuci odpowiedzialność za kontrolę wieku na właścicieli App Store'ów.

Podobne prawa obowiązują już w stanie Utah i w Louisianie i mają bardzo zbliżony model, czyli właśnie obowiązkową weryfikację wieku przez AppStory, a nie przez dostarczycieli czy to aplikacji, czy usług.

Jak ten model różni się od podejścia do tego tematu w UK czy w Unii Europejskiej?

Jest trochę inaczej.

Tak jak mówiłem, w Stanach podejście jest takie, że App Store First, czyli prawo przenosi ciężar weryfikacji czy to wieku, czy zgód na operatorów sklepu z aplikacjami, a nie na serwisy treściowe.

W Wielkiej Brytanii dla odmiany mamy przepisy typu online safety ad czy children's code, które skupiają się na platformach treściowych i ryzykach.

Nakładają one obowiązki na serwisy, na przykład na serwisy dostarczające, czy to porno, czy różne fora internetowe, czy nawet serwisy social, by stosowały zaawansowane czeki swoich użytkowników.

Nie ma tutaj takiego przesunięcia ciężaru odpowiedzialności na App Store jak w Stanach, ale jest

efekt tego.

Część serwisów wdrożyła ID-czeki albo zablokowała dostęp z UK.

Tak naprawdę to drugie częściej jest robione, ponieważ wdrożenie ID-czeków nie stanie.

Dodatkowo za niewyegzekwowanie tego grożą w UK kary do 10% globalnego obrotu, więc mało kto chce ryzykować coś takiego.

Najciekawsze jest podejście Unii Europejskiej.

Unia Europejska priorytetyzuje prywatność i interoperacyjność.

Komisja przedstawiła projekt Age Verification Blueprint, czyli otwarto-źrodłowe, prywatnościowe rozwiązanie dowodu pełnoletności, projektowane z myślą o integracji z unijnym portfelem tożsamości cyfrowej, ale też z założeniem takim, że będzie ujawniał minimalne dane użytkownika.

Na zasadzie będzie na przykład tylko przesyłał potwierdzenie, czy jestem powyżej 18 roku życia, czy mniej, bez przekazywania czy to nazwiska, czy dokładnej daty urodzenia itd.

W ten sposób Unia Europejska chce stworzyć jeden wspólny standard dla całego rynku ze wspieraniem implementacji DSA, czyli tego portfela cyfrowego z testami pilotażowymi w różnych państwach.

Więc troszeczkę inaczej niż jest to podejście w Stanach, czyli przerzucenie odpowiedzialności na producentów czy właścicieli App Store'ów.

Ale też nie jest to takie proste.

Trwa debata o zaufaniu technicznym do tego.

Trwają spory o to, kto dostanie atesty, kto będzie zgodny, jak będzie to wyglądało w przypadku ekosystemów mobilnych, czy mniejszych producentów aplikacji, którzy mogą się nie dostosować do tego, albo będą mieli jakieś niestandardowe systemy.

Cały czas jest tutaj kwestia, jak duży nacisk chcemy położyć na bezpieczeństwo, integralność, otwartość, ale też prywatność.

Podsumowując, przy aktualnym, publicznym nacisku na ochronę prywatności, ale też nacisku na firmy, by były zgodne z wymaganiami, obie firmy, czyli i Apple i Google, globalnie tworzą API, udostępniają te API, procedury i mechanizmy dla deweloperów oraz rodziców.

realizując lokalne prawa, co nie szkodzi im oczywiście podkreślać ryzyka dla prywatności użytkowników oraz wygody używania.

Apple rozszerza swoje API i scenariusze zgód rodzicielskich.

Google w Google Play tworzy API wspierające przekazywanie kategorii wieku użytkowników i statusu zgód i jest to odpowiedź zarówno na zmiany w Stanach,

jak też właśnie na regulacje w UK, gdzie w UK grożą za niedopełnienie tego kary, ale też na regulacje unijne, bo firmy chcą się od razu przystosować do nowego standardu, który ma zostać wprowadzony.

Co ciekawe, kiedy mówię o nacisku na prywatność użytkowników, jest to najczęściej nacisk właśnie ze strony użytkowników, ponieważ rządy współcześnie na całym świecie nasilają konfrontację pomiędzy prawem obywatela do prywatności, a dążeniem tych rządów do większego nadzoru.

Praktycznie władze na całym świecie w tym momencie próbują osławić lub obejść szyfrowanie end-to-end, często pod pretekstem czy to walki z przestępczością, czy ochrony dzieci, czy walki z terroryzmem, czy bezpieczeństwa narodowego.

Niezależnie od wytłumaczenia, są to działania stanowiące atak na fundamentalną infrastrukturę bezpieczeństwa cyfrowego, czyli właśnie bezpieczeństwo przesyłanych informacji.

I co ciekawe,

W momencie, kiedy Unia Europejska z jednej strony chce wprowadzić standard interoperacyjny i dbający o prywatność w przypadku kontroli wieku, tak samo to ta sama Unia Europejska wystąpiła z inicjatywą tzw.

chat control.

Jest to propozycja Komisji Europejskiej jeszcze z 2022 roku.

która wymagałaby od dostawców usług komunikacyjnych skanowania wszystkich prywatnych wiadomości i plików w celu wykrywania materiałów wykorzystujących seksualnie dzieci.

Propozycja ta została poddana w przeciągu ostatnich kilku lat różnym modyfikacjom przez kolejne prezydencje Rady Europejskiej.

ale jej istota pozostaje taka sama, czyli tak naprawdę wprowadzenie obowiązkowego skanowania po stronie klienta, co w praktyce oznacza złamanie szyfrowania end-to-end.

Jeszcze w październiku tego roku duńska prezydencja próbowała przyforsować tę propozycję, ale spotkało się to z silnym sprzeciwem państw członkowskich.

Co ciekawe, Niemcy, które wcześniej wspierały tę propozycję, zmieniły swoje stanowiska i 7 października tego roku, czyli tak naprawdę tydzień przed tym jak nagrywam ten odcinek, odmówiły poparcia duńskich propozycji, co oznaczało brak wymaganej większości dla tego projektu.

Jak to stwierdził jeden z polityków niemieckich, są oni przeciwko inwigilacji czatów, bo byłoby to jak prewencyjne otwieranie wszystkich listów w celu sprawdzenia, czy nie ma w nich czegoś nielegalnego, a jest to nie do przyjęcia.

Ciekawy jest odbiór tych propozycji.

Na przykład Signal Foundation oficjalnie oświadczyła, że wycofa swoją aplikację z Unii Europejskiej, jeśli czatkontrol zostanie przyjęty.

Podobne deklaracje złożyły inne firmy oferujące szyfrowane komunikatory, a więcej niż 40 europejskich firm opublikowało list otwarty ostrzegający, że czat kontrol zniszczy prywatność, osłabi szyfrowanie, zaszkodzi konkurencyjności europejskich przedsiębiorstw.

Co ciekawe, w najnowszej wersji propozycji komunikacja państwowa jest wyłączona z obowiązku skanowania, podczas gdy obywatele i przedsiębiorstwa nie, co oznacza, że wszyscy ludzie mają być skanowani, znaczy wiadomości wysyłane przez wszystkich obywateli mają być skanowani, z wyjątkiem polityków.

Mówiąc szczerze, jakoś mnie to nie dziwi.

W Wielkiej Brytanii rząd wykorzystuje takie akty prawne jak Online Safety Act czy Investigatory Power Act do wymuszania na firmach technologicznych implementacji backdoorów w ich szyfrowanych usługach.

Szczególnie niebezpiecznie są tzw.

Technical Capability Notice, czyli tajne nakazy,

zmuszające firmy do stworzenia możliwości dostępu dla organów ścigania do zaszyfrowanych danych.

I nie są to tylko te erotyczne możliwości.

Głośna była sprawa, gdy w lutym tego roku wyszło na jaw, że rząd brytyjski wydał taki TCN przeciwko Apple, wymagając od firmy stworzenia bugdora do usługi Advanced Data Protection w iCloud.

Początkowo nakaz ten dotyczył wszystkich użytkowników Apple na całym świecie, ale po protestach rządu amerykańskiego został zmodyfikowany tak, aby dotyczył tylko użytkowników brytyjskich.

W odpowiedzi na to Apple zdecydowało się całkowicie wyłączyć Advanced Data Protection w Wielkiej Brytanii, zamiast tworzyć backdoor.

Trzeba jednak pamiętać, że gdyby Apple się zgodziło, taki precedens prawdopodobnie zostałby wykorzystany przez inne rządy i zmusił Apple do tworzenia podatności nie tylko dla Brytyjczyków.

Co ciekawe, ten sam rząd amerykański, który protestował przeciwko poczynaniom rządu brytyjskiego, sam procedował w kongresie USA w 2020 roku Earn It Act,

Była to ustawa, która w założeniu miała chronić platformy internetowe przed odpowiedzialnością za treści generowane przez użytkowników.

Miała ona zmusić dostawców usług internetowych do monitorowania treści użytkowników pod groźbą utraty ochrony prawnej.

Tak naprawdę Earn It Act pozostawiłby dostawców usług z trzema możliwymi wyjściami.

Albo osłabiliby bezpieczeństwo swoich systemów przez stworzenie bugdora do szyfrowanych treści, albo obeszli szyfrowanie end-to-end przez dostęp do treści przed lub po skanowaniu, albo całkowicie zaprzestali oferowania usług szyfrowanych.

Podobne podejście jest dość powszechne w krajach kiedyś należących do Imperium Brytyjskiego.

Na przykład Australia przyjęła w 2018 roku Assistance and Access Act, który wprowadza trzy typy nakazów.

Technical Assistance Request, czyli prośby o pomoc w dostępie do zaszyfrowanych danych.

Technical Assistance Notices, czyli nakazy wymagające od firm pomocy w dekryptowaniu danych.

Oraz, tak naprawdę najbardziej groźne, technical capability notices, czyli nakazy dla firm nakazujące im zbudowania nowych możliwości pomagających organom ścigania, czyli tak naprawdę backdoorów.

Bardzo podobne do tego, co chciał rząd brytyjski.

W Kanadzie istnieje ustawa Bill C-26, jeżeli dobrze znalazłem, która składa się z dwóch części.

Z części pierwszej, czyli

dającej rządowi uprawnienie do promocji bezpieczeństwa kanadyjskiego systemu telekomunikacyjnego oraz części drugiej, zwanej też Critical Cyber System Protection Act, która ustanawiała ramy regulacyjne dla wzmocnienia bezpieczeństwa w kluczowej infrastrukturze IT.

Chociaż oficjalnie ustawa ma na celu ochronę infrastruktury krytycznej, krytycy tej ustawy ostrzegają, że może być ona używana do inwigilacji i kontroli komunikacji, ponieważ wymaga ona od organizacji raportowania incydentów bezpieczeństwa, co może obejmować dostęp do zaszyfrowanych komunikacji.

W Indiach mamy przepisy wprowadzające wymóg identyfikowalności dla znaczących pośredników mediów społecznościowych.

Upoważnia to Agencję Bezpieczeństwa Narodowego do śledzenia inicjatora zaszyfrowanej komunikacji na podstawie nakazu sądowego.

Whatsapp twierdzi, że egzekwowanie wymagań rządu indyjskiego oznaczałoby demontaż szyfrowania end-to-end, ponieważ wymagałoby od dostawców zachowania danych umożliwiających dostęp do zaszyfrowanych treści.

Tenże WhatsApp, reprezentowany przez firmę Meta, zaskarżył przepisy IT Rules w sądzie indyjskim, ostrzegając, że jeśli powiedzą nam, żebyśmy złomili szyfrowanie, to WhatsApp odchodzi.

Czyli ich reakcja jest dość podobna do tego, co Signal Foundation powiedziało Unii Europejskiej o ich pomyśle na chat-kontrolę.

Co ciekawe, przepisy indyjskie są bardzo szerokie, bo dają możliwość przechwytywania wiadomości w przypadku zagrożenia publicznego, bezpieczeństwa publicznego, interesów suwerenności, interesów integralności Indii, zagrożenia bezpieczeństwa narodowego, więc jest to bardzo szerokie.

i te definicje są bardzo niejasne, co tak naprawdę daje państwu możliwość nakazania aplikacjom przesyłania treści, wiadomości wysłanych komunikatorem w momencie, kiedy tylko mają na to ochotę.

Ale odchodząc od państw dawnego imperium brytyjskiego,

Mamy też inne przypadki.

Na przykład Francja próbowała wprowadzić podobne przepisy wymagające od dostawców szyfrowanych usług, takie jak Signal czy WhatsApp, udostępnienia odszyfrowanych danych organom ścigania w ciągu 72 godzin.

W tym roku, w marcu 2025 roku, francuskie Zgromadzenie Narodowe odrzuciło tę propozycję,

co przez jej krytyków zostało uznane za zwycięstwo praw cyfrowych, prywatności i bezpieczeństwa.

Posłowie Parlamentu Franceskiego uznali, że szyfrowanie chroni wszystkich, nie tylko aktywistów, dysydentów, terrorystów, przestępców, ale także dziennikarzy, pracowników medycznych, ofiary przemocy i zwykłych obywateli.

Co więcej, w odpowiedzi na te zagrożenia

W Francji została wprowadzona ustawa Resilience, której artykuł 16 mówi, że dostawcy usług szyfrowania nie mogą być zobowiązani do włączenia urządzeń technicznych mających na celu celowe osłabienie bezpieczeństwa systemów informatycznych i komunikacji elektronicznej.

Wiem, że trochę masło maślane, ale to akurat cytat z tłumaczenia.

Tak czy siak jest to zabezpieczenie przeciwko przyszłym próbom łamania szyfrowania.

Do tej pory mówiłem o krajach, które możemy uznać za kraje demokratyczne, praworządne.

Jeszcze ciekawiej jest w krajach takich jak Chiny czy Rosja.

Chiny poszły o krok dalej.

Rozwinęły najbardziej wyrafilowane na świecie system blokowania usług VPN, używając trzech poziomów wykrywania.

Po pierwsze blokują IP znanych serwerów VPN konsumenckich.

Po drugie stosują DPI, czyli Deep Packet Inspection.

Tak naprawdę analizę protokołu szukając podobieństwa do protokołu VPN w danych przesyłanych, jeżeli je znajdą, to to blokują.

oraz używają aktywnego skanowania i wyszukiwania nowych serwerów VPN w sieci, żeby dodać je oczywiście do listy zablokowanych.

Czy to znaczy, że w Chinach nie można używać usług VPN?

Oficjalnie nie do końca.

Można używać VPN-ów zatwierdzonych przez rząd, bo tylko te są legalne w Chinach.

Jak się można domyślić, zatwierdzone przez rząd oznacza,

Bezpieczne, ale nie przed rządem i jego dostępem.

Dodatkowo muszą być one kupione od państwowych firm telekomunikacyjnych i najczęściej są używane przez korporacje czy firmy, bo mimo, że osobisty użytek teoretycznie nie jest nielegalny, jest on niezbyt dobrze widziany w Chinach.

A co z komunikatorami?

Signal na przykład jest w Chinach zablokowany od 2021 roku i nie jest to jedyna technologia, która jest zablokowana w Chinach, a wszystko to nazywane jest przez przywódcę chińskiego,

dbaniem o suwerenność internetową Chin.

Bardzo podobna sytuacja jest w Rosji.

W Rosji zablokowane są takie komunikatory jak Telegram czy Signal, zablokowane jest też używanie VPN-ów, zablokowane jest też reklamowanie VPN-ów, a nawet dzielenie się informacjami na temat tego, jak obejść zakazy.

Podsumowując, zarówno te wymienione przeze mnie działania rządowe, jak i wiele, o których nie wspomniałem, wprowadzone przez państwa zarówno totalitarne, jak i demokratyczne, prowadzą do fragmentacji internetu.

Użytkownicy w krajach objętych restrykcjami są zmuszani do wyboru pomiędzy bezpieczeństwem a dostępem do usług.

A jak podkreślają eksperci od cyberbezpieczeństwa, nie ma sposobu na zapewnienie dostępu do danych szyfrowanych end-to-end bez wprowadzania luki w zabezpieczenia, które narażają bezpieczeństwo i prywatność każdego użytkownika.

Bo backdoor stworzony dla dobrych facetów, dla policji, dla służb, dla rządu, prędzej czy później zostanie odkryty i wykorzystany przez cyberprzestępców albo wrogie państwo.

Aktualne działania różnych władz na całym świecie stanowią w moim odczuciu bezprecedensowy atak na infrastrukturę bezpieczeństwa cyfrowego.

Pod pretekstem czy to zwalczania terroryzmu, czy bezpieczeństwa narodowego, czy ochrony dzieci, rządy próbują systematycznie osłabiać szyfrowanie, które stanowi moim zdaniem podstawę bezpieczeństwa w cyfrowym świecie.

Dlatego obywatele, organizacje społeczne

No i firmy technologiczne muszą kontynuować walkę ochrony szyfrowania jako fundamentalnego prawa do prywatności i bezpieczeństwa w XXI wieku.

Bo bez silnego szyfrowania nasze społeczeństwa stają się coraz bardziej narażone na cyberprzestępczość, naruszenia praw człowieka, ale też autorytaryzm rządów, które wiedząc zbyt dużo, mogą chcieć to wykorzystać.

I to by było na tyle w dzisiejszym odcinku.

Rozgadałem się trochę, ale mam nadzieję, że dobało się Wam.

I zapraszam za dwa tygodnie na kolejny odcinek.