admin – SHARE LAB https://labs.rs Research & Data Investigation Lab Tue, 14 Jul 2015 07:04:24 +0000 sr-RS hourly 1 https://wordpress.org/?v=6.7.5 https://labs.rs/wp-content/uploads/2017/02/cropped-Lab-01-32x32.png admin – SHARE LAB https://labs.rs 32 32 115803093 Hacking Team : “Italijanski posao” srpskih službi bezbednosti https://labs.rs/sr/501/ Mon, 13 Jul 2015 10:15:01 +0000 http://labs.rs/?p=501 Najmanje jedna bezbednosna služba Srbije pregovarala je o kupovini, dok se Ministarstvo odbrane pojavljuje kao probni korisnik špijunskog softvera kompanije “Hacking Team” (HT) iz Milana, čije su elektronske baze ove sedmice postale dostupne javnosti zahvaljujući Anonimusima i Vikiliksu.

Nedugo pošto je kompromitovan tviter nalog italijanske kompanije, prošle nedelje je objavljeno preko 400 gigabajta podataka, uključujući interna dokumenta, liste klijenata kao i softverski kod.

Ogromne HT baze tek su u početnoj fazi analize među stručnjacima, novinarima i aktivistima širom sveta. Tim Share fondacije izdvojio je prepisku kompanije koja se odnosi na Srbiju, a u kojoj učestvuju pripadnici BIA i Ministarstva odbrane, kao i jedna privatna firma sa Novog Beograda.

Pregovori su vođeni od kraja 2011. godine, delom uz posredničke usluge privatne firme za trgovinu i proizvodnju računarske opreme “Teri Engineering“ sa Novog Beograda, čija je direktorka ugovarala sastanke, testiranje softvera i pregovarala o ceni. Ova beogradska firma se u internom razgovoru označava kao akter koji bi proizvođače špijunskog softvera mogao uvesti “u čitavu centralnu Evropu”.

Prema postojećim podacima, prvi zabeleženi kontakt iz Srbije uspostavljen je nakon međunarodnog sajma opreme za unutrašnju bezbednost MiliPol Paris 2011, kada se predstavništvu kompanije Hacking Team obratio pripadnik Bezbednosno-informativne agencije (BIA) sa pozivom za predstavljanje softvera HT u Beogradu.

BIA i Hacking Team

Reč je o sistemu za daljinsku kontrolu (Remote Control System, RCS) zasnovanom na ciljanom širenju virusa na računare i mobilne telefone osoba koje su pod nadzorom. Najveći broj klijenata ovog sistema čine države i bezbednosne službe širom sveta.

HT prepiska 1.png

Inicijalna prezentacija u Beogradu izvesno je održana, ali prepiska zamire do aprila 2012. kada se isti pripadnik BIA ponovo obraća menadžeru HT, koji će ga obavestiti da nova verzija softvera izlazi u maju i da bi se mogli sastati krajem tog meseca.

HT prepiska 2.png

U internoj prepisci menadžera HT o planiranoj prezentaciji u sedištu BIA u Beogradu 24. i 25. maja 2012, napominje se da je BIA već upoznata sa softverom “početkom godine u njihovom sedištu i pre mesec dana u Rimu“. Kako se navodi, BIA ih sada poziva da testiraju samo softver za nadzor mobilnih uređaja. Inače, jedan od predstavnika HT sa kojim komunicira pripadnik srbijanske bezbednosne službe pojavljuje se i u Vikiliksovoj bazi “Spyfiles 3”, vezanoj za niz globalnih proizvođača i dilera špijunske opreme i softvera.

VBA u potrazi za špijunskim virusom

Nezavisno od komunikacije sa Bezbednosno-informativnom agencijom, u isto vreme se menadžerima Hacking Team obraća i direktorka privatne beogradske firme “Teri Engineering”, uz preporuku (i predviđeni procenat za sklapanje posla) izraelske kompanije Nice Systems, specijalizovane za elektronski nadzor i analizu podataka. U prepisci, posrednica iz Beograda kao mogućeg klijenta navodi VBA, što je skraćenica za Vojno-bezbednosnu agenciju, i nudi usluge za lokalnu implementaciju.

VBA.jpg

Pregovori započinju početkom aprila, mesec dana pre parlamentarnih izbora 2012, i posrednici iz Srbije insistiraju da se prezentacija održi što pre. Iz mejlova se može razumeti da je prezentacija uskoro održana, kao i da je klijent iz Srbije (VBA) dobio sistem na testiranje.

belgrade.jpg

Usledili su pregovori o ceni, koju posrednica – uprkos značajnoj proviziji za svoju firmu kao i za partnere iz Izraela – uspeva značajno da spusti od iznosa blizu pola miliona evra, do oko 250.000. U prepisci za podršku oko tehničkih detalja aktiviranja virusa i iskorišćavanja zaraženog telefona učestvuje osoba sa mejl adresom na domenu Ministarstva odbrane Srbije.

blackberry.jpg

Krajem jeseni 2012. direktorka beogradske firme “Teri Engineering“, obaveštava HT da bi usled mogućih “problema sa budžetom”, naručilac posla (umesto VBA/Ministarstva odbrane) mogao biti Telekom Srbija, “firma u 100% državnom vlasništvu“.

telekom.jpg

U septembru iste godine, nakon što je testiranje završeno, posrednica iz Beograda javiće predstavnicima HT da u sistemu postoji problem “kojeg nema kod konkurenata”. Reč je o kompaniji Gamma iz Londona, čiji je softver FinSpy,kao što je poznato, uskoro našao svog kupca u Srbiji.

Gamma.jpg

Komunikacija je nastavljena tek početkom 2014. kada iz Beograda stiže vest da je budžet za ovaj posao konačno usvojen, ali pregovori zapinju oko cene. Zatim se kao prepreka pojavljuju i vanredni parlamentarni izbori (mart 2014) i očekivane smene u Ministarstvu odbrane i bezbednosnim agencijama, pa se iščekuju nova kadrovska rešenja.

Hacking Team pokušava da izdejstvuje još jednu prezentaciju u Beogradu, u nastojanju da odvrati potencijalnog klijenta od konkurencije. U tom trenutku, međutim, konkurentski špijunski softver već je uveliko u Srbiji.

Maja prošle godine, komunikacija iz Beograda potpuno zamire.

Kako službe nadziru zaražene uređaje

Do sada je identifikovano nekoliko načina na koje sistem Hacking Team-a koristi slabe tačke meta (npr. uređaja) koje se napadaju. Radi se o naprednom grafičkom interfejsu u kome se većina radnji obavlja prostim klikom. Pored samog sistema, kupci dobijaju i uputstvo kako da izvrše različite vrste infekcija, fizički i preko interneta.

Najčešći način inficiranja ciljanih uređaja preko interneta jeste slanje zaraženih dokumenata (.doc fajlova) mejlom, koji prilikom preuzimanja automatski pokreću “skidanje” špijunskog softvera (spyware) u pozadini i instaliraju bezbednosnu “rupu” (backdoor) na zaraženom uređaju, čime se implementira HT spyware.

U okviru kontrolnog panela sistema postoji lista svih zaraženih uređaja, s tim da njihov maksimalni broj zavisi od konkretnog proizvoda. Bitno je napomenuti da je svaki sistem napravljen po meri i cena sistema zavisi od toga koje će funkcije obavljati, koje vrste uređaja obuhvata (PC, Mac, BlackBerry, mobilne uređaje) i na kojim operativnim sistemima može da radi (Windows, Linux, OS X).

Osnovna namena softvera je da nadgleda sistem na kom je spyware implementiran i da ga pritom antivirus program ne prepozna, zbog čega je neophodno redovno ažurirati sistem, pa cena godišnjeg održavanja iznosi 20% ukupne vrednosti licence (75.000 €).

Offer.jpg

U okviru svog servera, Hacking Team je imao i deo sa bazom znanja (KnowledgeBase) gde je detaljno opisano koji se podaci iz kojih uređaja i operativnih sistema mogu izvlačiti. U okviru istog dela, nalaze se uputstva kako zaraziti uređaje, kao i analize različitih anti-malware softvera.

Za tehničku podršku, korisnik je otvarao ticket na sajtu Hacking Team-a, nakon čega bi njihova ekipa u laboratoriji uradila rekonstrukciju problema i nalazila rešenje, što može da bude još jedan od razloga zašto je cena održavanja relativno visoka.

Korisnici RCS softvera su uglavnom vlade pojedinih država ili vladine agencije. Sistem funkcioniše na bazi proksi servera koji “peru” saobraćaj kroz nekoliko država, tako da je tehnički gotovo nemoguće utvrditi ko vrši nadzor i gde se nalazi operator koji vrši nadzor.

Kako funkcioniše “pranje saobraćaja”

Proizvođač softvera i opreme za nadzor, Hacking Team je poslednjih godina na meti različitih građanskih organizacija zbog aktivnog učešća u globalnom razvoju industrije nadzora bez civilne kontrole, kao i prodaje softvera državama poznatim po teškim kršenjima ljudskih prava, čak i kada to predstavlja kršenje UN sankcija kao u slučaju Sudana.

Početkom prošle godine je Hacking Team bio ključni akter u istraživanju koje je sproveo CitizenLab, zbog prodaje RCS softvera vladama različitih država. Njihov proizvod je 2012. korišćen za praćenje nagrađivanog marokanskog informativnog portala “Mamfakinch“ kao i aktiviste za ljudska prava iz Ujedinjenih Arapskih Emirata.

Organizacija Privacy International je prošle godine upozorila na mogućnost da je ova kompanija tokom 2007. dobila milion i po evra od fondova povezanih sa Regionom Lombardije. Iz procurelih baza finansijskih podataka vidi se da su Meksiko, Italija i Maroko najveći klijenti Hacking Team-a, sa “porudžbinama” ukupne vrednosti od više miliona evra.

Prihodi Hacking Team-a

Ko može sebi da priušti softver za nadzor?

Share fondacija je još 2013. povodom slučaja “Trovicor” pisala o pravnom okviru za uvoz ovakve vrste softvera, smatrajući da se na njega moraju primeniti pravila koja se odnose na robu dvostruke namene i da je za njen uvoz potrebna dozvola Ministarstva trgovine, turizma i telekomunikacija. U oktobru 2014. godine, Evropska komisija jeproširila listu robe dvostruke namene između ostalog i zbog potrebe kontrole intruzivnih softvera, kao i opreme za nadzor telekomunikacija i interneta. U skladu sa tim je i Vlada Republike Srbije u maju 2015. godine donela odlukukojom je u potpunosti uskladila nacionalnu kontrolnu listu robe dvostruke namene sa listom Evropske komisije.

Sa druge strane, upotreba opreme poput one koju prodaje Hacking Team nije eksplicitno predviđena kao mera koju mogu da preduzimaju državni organi. Ako pretpostavimo da određene organizacije mogu dobiti ovlašćenje za korišćenje ove opreme, to u našem pravnom sistemu ne bi bilo moguće bez odluke suda u skladu sa zakonom. Korišćenje na bilo koji drugi način bi predstavljalo očigledno kršenje ljudskih prava zagarantovanih Ustavom Republike Srbije i brojnim međunarodnim konvencijama.

]]>
501
NEVIDLJIVE INFRASTRUKTURE: Internet mapa Srbije https://labs.rs/sr/nevidljive-infrastrukture-internet-mapa-srbije/ Mon, 01 Jun 2015 13:54:11 +0000 http://labs.rs/?p=484 H

iljadama godina mape su ljudima bile esencijalno sredstvo za definisanje, objašnjavanje i orijentisanje na putu kroz svet. Topologije mreža interneta su bitan alat u karakterizaciji infrastrukture, razumevanju svojstava, ponašanja i evolucije interneta.

U našem prethodnom istraživanju ispitivali smo pojedinačno internet provajdere, njihovu veličinu i strukturu. U ovom pokušavamo da razumemo njihovu međusobnu povezanost, istražujemo mrežu mreža, a možemo reći i interna svojstva interneta.

InternetMap

Šta vidimo?

Identifikujući i prateći putanje (tracerouting) 300.000 IP adresa i 30 ISP-eva u Srbiji, uspeli smo da stvorimo mapu od preko 4500 glavnih linkova i servera koji čine srž nacionalne internet infrastrukture. Ovom mapom mrežne topologije uspeli smo da identifikujemo: glavne aktere – kompanije (internet servis provajdere) koje drže i kontrolišu infrastrukturu, imaju mogućnost pristupa, zadržavanja, analize ili prodaje metapodataka korisnika, zatim njihove tačke međusobnog spajanja, nacionalne Internet izlazne tačke, i stepen centralizovanosti infrastrukture na državnom nivou, kao i na nivou pojedinačnog ISP-a.

Svaka tačka na mapi predstavlja jednu IP adresu (ruter ili neki drugi mrežni uređaj), dok su linije između tačaka veze, kablovi koji ih spajaju. Svaka boja predstavlja drugog internet provajdera. Naglasimo samo da je ovo mapa internet topologije, tj. da ovo nije fizička mapa i ne prikazuje precizne geografske lokacije.

Mreže, kojima rukovode različiti internet provajderi, povezane su na različitim fizičkim lokacijama gde su njihovi ruteri povezani kablovima. Ove tačke spajanja se zovu tačke razmene internet saobraćaja – IXP (Internet exchange points). To su mesta na kojima se različite mreže sastaju, spajajući se u jedan sistem, omogućavajući nam da se povežemo sa uređajima priključenim na druge mreže.

Interkonekcije su i suština Interneta i izraz poslovnog odnosa između internet provajdera1.

Većina provajdera nema uspostavljen direktan odnos (peering arrangements) sa svim ostalim provajderima na svetu. Stoga, uz izuzetak malog broja operatora veoma velikih multinacionalnih mreža, većini provajdera je potreban bar jedan tranzitni provajder da bi omogućili sebi (i svojim korisnicima) pristup celom intrenetu.2.

Bez obzira na snažnu teorijsku pozadinu i virtualnost same materije koja je bila predmet ovog istraživanja, krajnji rezultat je prilično konkretan.

Najznačajniji ishod je identifikacija mesta ukrštanja mreža. Upravo to su tačke moći i što se više provajdera sastaje na toj jednoj lokaciji, ruteru, serveru, to je značaj i moć te tačke veći.

Veoma je značajno znati ko ih drži i kontroliše jer taj entitet kontroliše internet u Srbiji.

U svakom slučaju, najznačajnije je to da materijal koji je proizašao iz ovog istraživanja može služiti kao polazna tačka za neka druga multidisciplinarna istraživanja u vezi sa infrastrukturom interneta u Srbiji, kao na primer merenje brzine interneta u Srbiji, stepen namernog usporavanja protoka, utvrđivanje najkorišćenijih ruta za pristup onlajn sadržaju itd.


Metodologija

Proces istraživanja je podeljen u četiri faze. S obzirom na to da svaka faza obezbeđuje ulazni materijal za narednu, svaka faza je podjednako bitna. Finalni izlazni rezultat celokupnog istraživanja takođe može poslužiti kao osnova za neku novu, napredniju analizu:

Utvrđivanje IP opsega

Svaki uređaj koji je povezan na internet ima jedan ili više interfejsa preko kojih komunicira sa ostalim uređajima na mreži. Svaki interfejs na mreži je definisan određenim skupom parametara od kojih je jedan IP adresa. IP adresa je logička internet protokol adresa koja omogućava podacima da putuju po Internetu od svog izvora do namenjenog odredišta.

 

Iako su IP-evi više logički nego fizički, koristeći IP adresu jednostavno je odrediti u kojoj se zemlji nalazi uređaj koji je koristi. Razlog tome je taj što se IP adrese dodeljuju korisniku od strane jedne uprave. IANA (Internet Assigned Numbers Authority) preko RIR-a (Regional Internet Registries, RIPE NCC za Evropu i delove Azije) dodeljuje određen opseg IP adresa entitetima zainteresovanim da ih iznajme, ali oni drže bazu podataka o tome koji opseg je dodeljen kome i ostale podatke, uključujući i koji opseg je povezan sa kojom državom. To znači da su IP adrese donekle i fizičke adrese. Informacije su javno dostupne i postoje sajtovi koji prikazuju opsege IP adresa prema državama kao i njihove vlasnike.

Skeniranje mreže

S obzirom na to da nisu svi uređaji direktno povezani jedni sa drugima (zapravo, veoma malo njih jeste, npr. čak i računari u istoj kancelariji koriste ruter da bi komunicirali), postoji neophodnost usmeravanja saobraćaja na internetu. To znači da ako jedan host hoće da komunicira sa drugim na internetu, mora da uspostavi rutu kojom će se povezati. Ta ruta je u suštini skup IP adresa različitih mrežnih uređaja koji omogućavaju da ta dva hosta komuniciraju.

 

Dakle, kako bi došli do adrese odredišta, podaci skaču od jednog hosta do drugog. Da bi se videlo kako su dva hosta povezana, koristi se ICMP (Internet Control Message Protocol), jedan od najznačajnijih protokola u skupu IP protokola. Postoji jednostavan alat zvan trejsrut (traceroute), najčešće korišćen u mrežnoj dijagnostici, i on čini skokove podataka u mreži vidljivim i sistematičnim, tj. upotrebljivim kroz slanje ICMP poruka i čekanje odgovora od hostova odredišta.

Za trejsrutovanje opsega IP adresa postoji poseban alat – Nmap, koji je veoma precizan i jednostavan za upotrebu, s tim što, naravno, što je veći opseg, to je veća eksploatacija računarskih resursa. U suštini, Nmap trejsrutuje putanje između hostova po kojim ide i svaku IP adresu iz opsega koji se skenira.

Beleška: Izlazni proizvod se zapravo sastoji iz ruta koje povezuju izvorne računare sa svim aktivnim hostovima iz opsega koji primaju ICMP poruke.

Obrada podataka

Skeniranjem smo dobili ono što zovemo ‘sirovim podacima’ u ovom slučaju. Oni sadrže prilično veliku količinu podataka koji nisu upotrebljivi, što je posledica toga što hostovi iz raznih razloga ne daju nikakav odgovor tokom skeniranja i stoga su irelevantni za internet infrastrukturu u trenutku skeniranja.

 

Podaci koji su zapravo upotrebljivi moraju biti ekstraktovani i formatirani na adekvatan način, kako bi se mogli upotrebiti kao ulazni materijal u softveru za vizualizaciju. Najbitnije je znati sa čim softver za vizualizaciju može da radi, a za ovo istraživanje to su bili CSV (Comma Separated Values) fajlovi, jednostavne strukture sa 3 polja – IP izvora, IP destinacije i oznaka.

 

Proizvod Nmap-a se može sačuvati u .xml fajlu. Oba ova fajla su u stvari verzije text fajla, što čini proces parsiranja podataka znatno lakšim. U suštini, potreban je softver koji će preuzeti tekst iz jednog fajla i prebaciti ga u drugi. Za ovo postoji dosta dostupnih opcija na internetu, uglavnom skripti i tako je u našem slučaju korišćena pajton skripta.

 

Skriprta uzima dve vrednosti – ulazni fajl i izlazni fajl – i ono što radi je da pretražuje tekstualne fajlove za određene reči (u ovom slučaju „trace” i „ipaddr”) i, kada dođe do tih unapred definisanih reči, uzme potrebne vrednosti. Na kraju generiše .csv fajl sa potrebnom strukturom (u ovom slučaju izostavljajući deo oznake jer nije potrebna).

Korišćena skripta je dostupna ovde.

Beleška: Oni koji preferiraju Perl u odnosu na Python mogu pogledati ovaj link.

Vizualizacija podataka

Kako bi se vizualizovali veliki skupovi podataka, u našem slučaju više od 300.000 različitih IP adresa i veza između njih, moramo prvo naći alat koji je sposoban da obradi, prikaže i transformiše mrežu u mapu. Mi smo koristili Gephi, interaktivnu platformu za vizualizaciju i istraživanje, namenjenu različitim tipovima mreža i kompleksnih sistema, dinamičkih i hijerarhijskih grafikona.

Naš glavni izazov je bilo pitanje kako predstaviti veliki broj čvorišta na najzgodniji način a istovremeno dobiti vizualizaciju upotrebljivu za dalja istraživanja. Većina algoritama za grafički prikaz integrisanih u Gephi softver tokom naših testova nisu uspešno prikazali velike setove podataka sa više od 100.000 čvorišta, osim delimično OpenOrd i ForceAtlas2 algoritama.

ForceAtlas2 algoritam koji smo koristili je kraj Continuous Graph Layout Algorithm (force-directed layout). Više o ovom algoritmu možete naći ovde.

Kako bismo što jasnije predstavili rezultate odlučili smo da eliminišemo krajnja čvorišta, prakticno rutere koji se nalaze na samim krajevima mreže. Ovo je smanjilo i pojednostavilo skup na 4067 glavnih čvorišta, IP adresa koje predstavljaju povezanu infrastrukturu glavnih rutera i servera kojim se služe krajnji korisnici u Srbiji.

Alati:

Nmap ( http://nmap.org/ )

Python skripta korišćena za parsiranje XML-a u CSV (script)

Naša skripta za trejsrutovanje

Gephi ( http://gephi.github.io/ )

]]>
484
Nevidljive infrastrukture: Elektronski nadzor i zadržavanje podataka sa mobilnih telefona https://labs.rs/sr/nevidljive-infrastrukture-elektronski-nadzor-i-zadrzavanje-podataka-sa-mobilnih-telefona/ Mon, 01 Jun 2015 13:42:47 +0000 http://labs.rs/?p=482 Na osnovu zahteva za pristup informacijama od javnog značaja poslatih Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, aprila 2014. došli smo u posed 2000 stranica dokumenata i izveštaja, u vezi sa Poverenikovim izveštajem o izvršenom nadzoru nad sprovođenjem i izvršavanjem Zakona o zaštiti podataka o ličnosti od strane operatora mobilne i fiksne telefonije u Srbiji. Ta pribavljena dokumenta su nam poslužila kao osnova za analizu zadržavanja metapodataka i arhitekture elektronskog nadzora. Naša tehnička i pravna analiza, predstavljena u obliku infografika, ilustruje različite načine na koje četiri operatora mobilne i fiksne telefonije u Srbiji omogućavaju državnim organima direktan pristup našim metapodacima. Serija infografika koja sledi pokazuje brojne metode pristupa zadržanim podacima, kojima se zaobilaze zakonske procedure i neophodni sudski nalozi (direktan pristup serverima, aplikacije za direktan pristup).

Dok penetracija tržišta pametnih telefona u Srbiji iznosi oko 35%, sa rastućim trendom, procenat upotrebe mobilnih telefona je čak i preko 130%.3.

Ovo bi značilo da oko četvrtina stanovništva ima više od jednog telefona.Metapodaci kao vrsta informacija su spomenuti ranije, a u ovom kontekstu je bitno pomenuti da svaki uređaj, bez obzira na to da li je pametan telefon ili mobilni telefon starije generacije, generiše metapodatke. Jedina značajna razlika između ovih uređaja je u tome što stariji telefoni nemaju pristup internetu i stoga ne generišu metapodatke u vezi sa upotrebom interneta. Zbog relativno visoke i rastuće stope upotrebe pametnih telefona, kao i izgleda njihovog razvoja, ovo istraživanje je sprovedeno sa fokusom na njih.

Svaki pametan telefon komercijalno dostupan u Srbiji (a i u svetu) trenutno podržava tri vrste saobraćaja preko mobilne mreže – pozive, poruke i mobilni internet. Bitno je pomenuti da sva tri tipa saobraćaja koriste istu infrastrukturu, što bi značilo da su tačke pogodne za elektronski nadzor iste za sav saobraćaj. Dakle, u ovom delu istraživanja ćemo govoriti o saobraćaju generisanom mobilnim uređajima i obuhvatiti  razlike na koje ćemo naići u sve tri vrste saobraćaja.

Onda, počnimo od početka i objasnimo kako se uređaj povezuje na mrežu ili radije kako se autentifikuje na mreži. U svrhu autentifikacije, uređaj koristi 2 identifikaciona broja. Prvi je IMEI broj uređaja (IMEI – International Mobile Station Equipment Identity, tj. Međunarodni identitet mobilne opreme), a drugi je IMSI broj SIM kartice (IMSI – International Mobile Subscriber Identity tj. Internacionalni identifikacioni broj korisnika). Oba ova broja su jedinstvena i predefinisana za svaki uređaj i SIM karticu.

Surveillance1C-01

Infrastruktura mobilnih operatora se sastoji od baznih stanica (BS) koje su geografski raspoređene po području koje pokriva taj mobilni operator. Dakle, bazne stanice grade kostur čitave mobilne infrastrukture.

Kada je iniciran poziv, uređaj onog koji poziva kontaktira najbližu baznu stanicu koja dalje prosleđuje poziv centrali mobilne telefonije (MSI – Mobile Switching Centre). Centrala zatim obaveštava baznu stanicu koja je najbliža uređaju koji se poziva, s kojim se zatim uspostavlja veza. Kada je veza uspostavljena tj. kada se pozvani korisnik javi, metapodaci se generišu u mobilnoj centrali. Centrala skladišti metapodatke u data centru operatora. Sam sadržaj poziva se ne arhivira, ali takođe prolazi kroz centralu.

Surveillance2c-02-02

Koja vrsta metapodataka se arhivira?4
Odgovor na ovo pitanje se razlikuje od centra do centra, barem u Srbiji, ali postoji opšti tip metapodataka koje arhiviraju svi operatori, kao što su identifikacioni broj onog koji poziva, pozvani broj, IMEI, detalji bazne stanice, datum i vreme poziva, količina podataka (za internet), tip usluge, identitet obe strane u komunikaciji, spisak svih SIM kartica koje su korišćene u tom uređaju, i obrnuto, spisak svih uređaja u kojima je korišćena ta određena kartica. Tu su takođe i podaci koji se ne mogu svrstati pod metapodatke, ali do kojih se može doći kroz pomenute metapodatke, kao npr. jedinstveni matični broj građana (JMBG), adresa stanovanja korisnika (preko kontakata ili registracije SIM kartice pripejd korisnika), kao i model uređaja koji je korišćen (preko IMEI broja). Proces arhiviranja ovih podataka se zove zadržavanje podataka.

Kako se podaci skladište?

Operatori u Srbiji su obavezani zakonom da 12 meseci skladište metapodatke svakog korisnika. Podaci su skladišteni na serverima, ali nije striktno definisano da li operatori moraju da poseduju sopstvene servere koji bi služili za ovu svrhu ili mogu da koriste server druge kompanije. Međutim, većina operatora ima svoje servere, a sve aktivnosti na njima se beleže radi kontrole.

Kako se može pristupiti ovim podacima?

Mobilni operatori u Srbiji su formirali odeljenja koja se bave procedurama zadržavanja podataka. Zaposleni na tim odeljenjima su prošli posebne obuke kako bi stručno sprovodili sve aktivnosti zadržavanja i kasnijeg pristupanja podacima. Kada govorimo o pristupanju zadržanim podacima, identifikovano je nekoliko zainteresovanih entiteta tj. državnih organa, koji su do sada na ovaj ili onaj način pristupali zadržanim podacima. Međutim, nemaju svi državni organi ovlašćenje za pristup ovim podacima. To pravo pripada organima pravosuđa, policiji, kao i civilnim i vojnim obaveštajnim službama, i oni koriste nekoliko raspoloživih mehanizama tj. kanala preko kojih se može pristupiti zadržanim podacima.

Surveillance eng web3-03

Zahtev5

Prvi mehanizam je najjednostavniji i zasniva se na principu zahteva i odgovora. Ovaj mehanizam su koristili svi državni organi i svi operatori. Naime, predstavnik države uloži zahtev operatoru u kom navodi tačno kojim podacima želi da pristupi. Postoji nekoliko načina na koje se najčešće predaju ovi zahtevi – faksom, mejlom, telefonom ili lično. Posebno odeljenje operatora zatim obradi zahtev i dostavi izveštaj u skladu sa zahtevom. Potencijalni problemi ovog mehanizma su npr. u tome da zahtevi upućeni telefonskim pozivom ne bi trebalo da budu (a u nekim slučajevima ipak jesu) obrađeni, zbog mogućnosti obmane a i nedostatka neophodnih dokumenata, kao što bi bio sudski nalog. Neki operatori su čak oformili poseban sistem za podnošenje ovih zahteva, tako što su odredili listu imejl adresa koje služe samo u te svrhe.

 

graphs-01

Dobra strana ovog mehanizma je u tome da se svaki zahtev predaje operatoru, što obezbeđuje transparentnost i preglednost zahteva koje ulažu državni organi.

graphs-02

Application for Independent access to retained data

Još jedan mehanizam čine takozvane aplikacije za nezavisno pristupanje zadržanim podacima, softver koji su implementirali neki operatori kako bi državni organi imali lagodniji pristup. Ovaj mehanizam koristi policija, kao i civilna i vojna obaveštajna služba. To faktički znači da pomenuti organi ne moraju da prilažu sudski nalog kako bi dobili podatke. Aplikacijama se može pristupiti onlajn uz akreditive koje je odredio operator. Skup raznih upita je dostupan u samoj aplikaciji, što omogućava neograničen pristup svim podacima koji su skladišteni u bazi podataka, u oblicima različitih listinga – odlazni i dolazni pozivi, količina korišćenih podataka, SMS i MMS komunikacija itd. Svi pomenuti listinzi, zajedno sa osnovnim podacima o korisniku čiji su to metapodaci, sadrže detaljne informacije o lokaciji, trajanju korišćene usluge kao i sve ostale informacije koje smo ranije pominjali kod zadržanih podataka. Podnošenje sudskog naloga za dobijanje svih ovih podataka nije neophodno, tako da je jasno zašto je ovakav mehanizam problematičan za privatnost.

graphs-03

Iako su ovo dva osnovna mehanizma koja se koriste kod svih operatora, postoje i neke specifične situacije ili posebno uspostavljeni kanali za prenošenje podataka između operatora i nekih državnih organa. Ovde ćemo dati dva takva primera.

Sending data 
Postoji uspostavljena veza između između jednog mobilnog operatora i Bezbednosno-informativne agencije (BIA), koji predstavlja samostalan mehanizam pristupanja zadržanim podacima, nezavisan od svih drugih mehanizama. Postojala je praksa da na dnevnom nivou svi metapodaci korisnika zadržani u mobilnoj centrali budu isporučeni BIA-i. Ovo stvara posebne okolnosti netransparentnog rukovanja zadržanim podacima i implicira postojanje masovnog prikupljanja podataka. Još jedan problem ovog mehanizma je taj da on nije u skladu sa pravnom regulativom koja definiše da se zadržani podaci čuvaju ne duže od 12 meseci, što u slučaju BIA-e ne mora biti tako jer ne postoji autoritet koji se bavi kontrolom njenog rukovanja podacima. Štaviše, kako odgovornost arhiviranja metapodataka leži jedino na operatorima, BIA ne bi trebalo da uživa to pravo.

 Direct Access To the Retention database

Drugi slučaj je veza između BIA-e i drugog operatora, koji pruža samo usluge fiksne telefonije i interneta. Ovde je operator, po zahtevu BIA-e, obezbedio direktan pristup sopstvenoj infrastrukturi i to na takav način da BIA ima apsolutni pristup sistemu podataka, kao i mogućnost presretanja saobraćaja u okviru operatorove mreže.

Bitno je napomenuti da poslednja dva mehanizma nemaju nikakvu pravnu podlogu. Štaviše, oni predstavljaju ozbiljno ugrožavanje privatnosti korisnika i kose se sa zakonskom regulativom koja uređuje elektronske komunikacije, kako u Srbiji tako i na međunarodnom nivou.

Prisluškivanje

Premisa da metapodaci ne lažu je svakako istinita, kao i činjenica da se odgovarajućim mapiranjem ovih podataka može doći do znatno boljeg uvida u situaciju, u odnosu na analizu sadržaja komunikacije. Međutim, daleko od toga da je sam sadržaj beznačajan.

Prisluškivanje je tehnika prisutna i u upotrebi koliko i elektronska komunikacija. Sa upotrebom novih tehnologija u komunikacionim infrastrukturama i novim dostupnim uslugama, prisluškivanje je evoluiralo u nov koncept nazvan elektronski nadzor. Elektronski nadzor je mnogo više od prisluškivanja. Može se sprovesti na više nivoa, kako na ličnom ili organizacijskom, tako i na masovnom. Ovo znači da neko može biti u stanju da sluša svaki razgovor koji se vodi u jednoj državi ili čak kontinentu, iako je masovni nadzor protivzakonit u skoro svakoj državi u Evropi. Koncept presretanja elektronskih komunikacija uspostavlja se zakonom, iz bezbednosnih razloga. Presretanje elektronske komunikacije podrazumeva ciljani nadzor, koji se može sprovoditi u određenim okolnostima sa adekvatnim sudskim nalogom i u određenom vremenskom trajanju. Međutim, čak i najmanji propust u zakonu može imati ozbiljne posledice i otvoriti vrata masovnom nadzoru.

wiretapping-06

Poslednjih godina doneti su brojni podzakonski akti koji definišu prava i obaveze operatora i državnih organa u vezi sa presretanjem elektronskih komunikacija. Ova regulativa je tako kreirana da operatori imaju dužnost da kupe opremu (bilo hardver, bilo softver) kojom će komunikacija biti presretana i dostaviti je u monitoring centar, čiji štab vodi BIA. Nakon toga, činjenično, BIA ima carte blanche za rukovanje opremom, dok operatori snose odgovornost i troškove njenog održavanja. Kao što smo pomenuli, presretanje kao proces je prilično dobro regulisano, ali posledice podzakonskih akata i manjak transparentnosti u samom izvršenju procesa su i više nego dovoljan razlog da se preispita legitimnost procedura koje se trenutno uspostavljaju u Srbiji.

tracking-04

Fizičko praćenje u realnom vremenu

Bazne stanice su građa infrastrukture i spomenute su u uvodnom segmentu ovog istraživanja. Zapravo, cela mreža se i zove celularna, tj. ćelijska, upravo zbog ovih baznih stanica. Ćelija je geografsko područje koje pokriva jedna bazna stanica. U svakom trenutku, svaki uređaj je povezan na tri bazne stanice, radi kontinuiranosti signala – to znači da u svakom trenutku tri stanice razmenjuju dolazne i odlazne signale sa uređajem. Bazne stanice su tako postavljene da, kroz nekoliko parametara u signalu, snimaju udaljenost uređaja, tj. određuju njegovu lokaciju. Neki od tih parametara su ugao prijema – AOA (Angle of Arrival), razlika vremena polaska i prijema – TDOA (Time Difference of Arrival) i vreme prijema – TOA (Time of Arrival). Ovo znači da bilo ko ko ima pristup baznoj stanici može u bilo kom trenutku, sa visokim stepenom preciznosti, odrediti fizičku lokaciju bilo kog uređaja povezanog na mrežu.

U Srbiji, prema pomenutim podzakonskim aktima, BIA ima pristup posebnim terminalima opreme za praćenje uređaja. Dalje, postoje mobilni uređaji napravljeni po posebnoj porudžbini koji su konfigurisani na takav način da omogućavaju geo-praćenje u realnom vremenu. Ove mobilne uređaje izdaju operatori državnim organima na njihov zahtev. Ovo bi značilo da bilo ko ko ima pristup terminalu te opreme (što bi značilo da BIA po svom nahođenju odlučuje kako će biti korišćena) može tačno locirati bilo koji uređaj povezan na mrežu u Srbiji.6.

Documents
Report 
Telekom
Telenor
VIP

 Zapisnik11Zapisnik12Zapisnik13Zapisnik14Zapisnik15Zapisnik16Zapisnik17Zapisnik18Zapisnik19Zapisnik20

]]>
482
Nevidljive infrastrukture: Dozvole na mobilnim uređajima https://labs.rs/sr/nevidljive-infrastrukture-dozvole-na-mobilnim-uredajima/ Mon, 01 Jun 2015 13:01:54 +0000 http://labs.rs/?p=479 Korisnici, čak i oni napredni, često zanemaruju važnost Uslova korišćenja, Politika privatnosti i ostalih pravnih dokumenata kojim se obavezuju prilikom instaliranja aplikacija na svoje uređaje. Sa druge strane, kompanije koje prodaju ili nude te aplikacije besplatno, često ova dokumenta sastave tako da korisnik da mnogo širu saglasnost od one minimalne koja je neophodna kako bi instalirana aplikacija mogla ispravno da funkcioniše.

Razlozi iz kojih se uslovi korišćenja i politike privatnosti sastavljaju tako da budu predugi, kompleksni i nerazumljivi za prosečnog korisnika su razni. Jasno je da kompanije koje proizvode i distribuiraju te aplikacije žele da se ograde od bilo kakvih potencijalnih tužbi ili tvrdnji korisnika koje ih mogu koštati dosta novca ili na bilo koji način oštetiti njihovo poslovanje ili reputaciju. Drugi potencijalni razlog je pristup ličnim informacijama korisnika preko uređaja. Međutim, nemaju sve aplikacije iste uslove korišćenja ili politike privatnosti i cilj ovog istraživanja je upravo taj da se utvrdi ko je poštuje korisnikovu privatnost a ko ne.

Korisnici u proseku pristupe oko 27 aplikacija preko svog pametnog telefona svakog meseca. Iako se prosek korišćenih aplikacija na mesečnom nivou ne povećava značajno (sa 23,2 aplikacije u 2011. na 26,8 aplikacija u 2013. godini), nečitanje uslova korišćenja i politika privatnosti ostaje konstantan i uporan problem.5. Bez obzira na to, prosečan broj instaliranih aplikacija po android telefonu je 95.6.

S druge strane, istraživanje je pokazalo da tekst politike privatnosti u proseku ima 2.518 reči i da je potrebno oko 10 minuta da bi se pročitao, što znači da bi prosečan korisnik trebalo da provede okvirno 950 minuta (15,83 sati ili 2 radna dana) čitajući politike privatnosti aplikacija koje je instalirao.

Bitno je razumeti priču iza ovih konfuznih, kompleksnih pravila privatnosti i uslova korišćenja koji zahtevaju previše vremena da bi se pročitali. Lični podaci u raznim oblicima (najčešće u obliku sadržaja ili metapodataka) postali su nova monetarna jedinica. Procenjeno je da će godišnja finansijska vrednost akumuliranih ličnih podataka na internetu dostići 1 bilion do 20207.

Mnoge svetske kompanije su razvile strategije i prekrojile svoja poslovanja tako da se prilagode ovom konceptu pružanja sadržaja u zamenu za lične podatke koje mogu dalje da koriste ili prodaju.

Mobile-01-01-01

Krajnji rzultat ovog dela istraživanja je logička mapa zahteva odobrenja koje aplikacija upućuje korisniku, napravljena da bi se na jednostavan način prikazalo na šta korisnici pristaju prilikom instalacije. Preporučujemo da se ova mapa čita od unutra ka spolja. Počevši sa kategorijom aplikacija, čitalac može odabrati neku konkretnu aplikaciju, zatim pročitati spisak dozvola koje ona zahteva i na kraju videti, na jednostavan način objašnjene, posledice datih saglasnosti. Kategorizacija aplikacija znači da će čitalac ovih nalaza moći da upoređuje različite aplikacije koje pružaju istu uslugu, da bi posle mogao da odabere onu koja najmanje zadire u privatnost korisnika. Na primer, zamislite da poredite dva internet pretraživača kao što su recimo Gugl i DakDakGou (DuckDuckGo). Gugl pretraga zahteva dozvolu da samostalno izvršava preko četrdeset operacija na uređaju, da bi pružio istu uslugu kao DDG koji zahteva dozvolu za izvršavanje svega tri operacije bez daljeg traženja dozvola.

Krajnji rzultat ovog dela istraživanja je logička mapa zahteva odobrenja koje aplikacija upućuje korisniku, napravljena da bi se na jednostavan način prikazalo na šta korisnici pristaju prilikom instalacije. Preporučujemo da se ova mapa čita od unutra ka spolja. Počevši sa kategorijom aplikacija, čitalac može odabrati neku konkretnu aplikaciju, zatim pročitati spisak dozvola koje ona zahteva i na kraju videti, na jednostavan način objašnjene, posledice datih saglasnosti. Kategorizacija aplikacija znači da će čitalac ovih nalaza moći da upoređuje različite aplikacije koje pružaju istu uslugu, da bi posle mogao da odabere onu koja najmanje zadire u privatnost korisnika. Na primer, zamislite da poredite dva internet pretraživača kao što su recimo Gugl i DakDakGou (DuckDuckGo). Gugl pretraga zahteva dozvolu da samostalno izvršava preko četrdeset operacija na uređaju, da bi pružio istu uslugu kao DDG koji zahteva dozvolu za izvršavanje svega tri operacije bez daljeg traženja dozvola.

Prati novac

Postoji nekoliko takozvanih modela monetarizacija za mobilne aplikacije. Suštinski, izgleda da više nije dovoljno razviti odličnu aplikaciju koja je edukativna, korisna, praktična ili jednostavno zabavna. Developeri moraju da se dovijaju kako da zarade na novoj aplikaciji, pošto je većina korisnika do sad navikla da dobija sadržaj ili usluge besplatno. Monetarizacija uglavnom podrazumeva zaradu na reklamnom prostoru ili nekoj vrsti upitnika, ali u nekim aranžmanima korisnici mogu da plate kako bi isključili reklame.

Reklame za mobilne telefone su najčešće izvor profita za mobilne aplikacije. Postoje različite varijante ovih reklama, ali njih uglavnom karakteriše loše iskustvo korisnika, agresivno nametanje što kasnije uzrokuje korisnikov prestanak korišćenja aplikacije. Metode za dostavljanje reklama korisnicima uključuju banere, intersticijalne reklame, zidove sa ponudama, reklamne notifikacije itd.

Rastući izvor profita su ankete koje se mnogo lakše integrišu u aplikacije, pošto se one uglavnom renderuju kao dodatni sloj unutar same aplikacije. One su generalno praktičnije i donose do 20 puta više prihoda od standardnih reklama.

Još neke tehnike monetarizacije su i video ili audio reklame, vidžet reklame itd. Međutim, postoje načini da se ostvari prihod i bez implicitnog praćenja korisnika. Neki od tih načina su plaćene aplikacije, aplikacije sa dodatnim opcijama koje je potrebno kupiti, aplikacije sa pretplatom.8.

Sadržaj trećih lica naspram mobilnih aplikacija

Ovo poređenje može delovati čudno na prvi pogled, ali zakoračimo unatrag i razmotrimo koje podatke mogu da prikupljaju treća lica, a koje mobilne aplikacije. Koliko god bilo iritantno to da kompanije prikupljaju podatke korisnika bez njihove izričite saglasnosti, što čini sadržaj trećih lica – TPC (Third Person Content) najintruzivnijim konceptom na internetu, mnogo je gore biti primoran da daš saglasnost nekoj kompaniji koju možda čak i ne znaš ili ne voliš, kako bi ona imala pristup nekim podacima na tvom uređaju.

Bitno je napomenuti da TPC ima pravo pristupa samo metapodacima, koji su u neku ruku i javno dostupan tip podataka. Dalje, postoje tehnike i procedure (kao što je korišćenje TOR-a, Edblokera (AdBlocker) itd.), koje pomažu korisnicima da dostignu visok nivo zaštite privatnosti. Stvar sa aplikacijama za pametne telefone je u tome da korisnik daje pristanak i ‘dobrovoljno’ se odriče znatnog dela svoje privatnosti; dok, ukoliko ne pristane na pravila korišćenja i politiku privatnosti, gubi svaku mogućnost korišćenja aplikacije.

Istini za volju, metapodaci (mada smo ih već više puta definisali u ovom istraživanju) jesu podaci koje generišu uređaji ili softveri i neophodni su za obavljanje svake aktivnosti na internetu. Oni uključuju IP adresu, vreme pristupanja, trajanje sesije, tip korišćenog softvera, lokacija (bazirano na IP adresi) i tome slično, i to je u suštini sve čemu TPC ima pristup (što se opet svakako ne može smatrati nebitnim).

Šta ove saglasnosti znače?

Iako je većina ovih saglasnosti prilično jasna o tome šta zahtevaju, korisnici uglavnom ne shvataju njihovu intruzivnost, ne zato što im nisu jasne reči već zato što se uglavnom ne trude da shvate smisao. Ovo je dobra prilika da se predstave zahtevi sa kojima se korisnici najčešće susreću prilikom instaliranja aplikacija.

Pravi telefonske pozive.  Ovo dozvoljava aplikaciji da poziva telefonske brojeve o trošku korisnika. No, svejedno, to se najčešće ne koristi na taj način. Aplikacija može da aktivira pozivni ekran i da upiše broj, ali je potrebno da korisnik pritisne dugme za poziv. Ove aplikacije imaju dozvolu za sve radnje koje se odvijaju u pozadini i vode do samog poziva.
Šalji SMS ili MMS. Ovo omogućava aplikaciji da šalje SMS ili MMS poruke u ime korisnika, takođe o njegovom trošku.
Izmeni/ Obriši SD karticu. Ova dozvola daje aplikaciji pravo da očitava, piše ili briše podatke sa memorijske kartice. Postoji dosta legitimnih razloga za traženje ovakve dozvole, imajući u vidu da većina korisnika i želi da aplikacija upiše neke podatke na SD karticu.
Učitaj kontakte. Ukoliko aplikacija nema funkciju za čiji rad je neophodan pristup imeniku, ne bi trebalo da postoji razlog za traženje ove dozvole. Ovim se omogućava pristup svim informacijama o kontaktima u imeniku. Neke aplikacije poput Vajbera (Viber), Vacapa (WhatsApp) ili nekih aplikacija za uređivanje sadržaja pružaju usluge koje zahtevaju pristup ovim informacijama i imaju validne razloge za traženje ovakve dozvole.
Upiši podatke o kontaktima.Aplikacije koje se koriste za brzo pozivanje i neke aplikacije društvenih mreža, traže ovu dozvolu kako bi mogle da obavljaju regularne operacije, u suprotnom, traženje pristupa ovim podacima nije opravdano.   
Učitaj podatke iz kalendara.Podaci iz kalendara često uključuju informacije o kontaktima i lokaciji što ih na neki način čini osetljivim podacima.
Učitaj istoriju pretrage i sačuvanih stranica. Ovi podaci otkrivaju dosta toga o korisniku tako da se pristup njima može, u određenom stepenu, smatrati ugrožavanjem privatnosti. 
Učitaj osetljive logove. Logovi sadrže određene podake koji se mogu logički mapirati i otkriti korisnikove aktivnosti. Neke aplikacije pamte podatke kao što su korisnička imena i šifre.
Izmeni generalna sistemska podešavanja. Ovo se može smatrati intruzivnom operacijom ako se ima u vidu da izmene mogu dovesti do otkrivanja drugih podataka o korisniku, kao na primer uključivanje i isključivanje podešavanja u vezi sa lokacijom.
Povrati aktivne aplikacije. Spisak aktivnih aplikacija je opravdan izvor informacija za aplikacije poput menadžera zadataka, ali on takođe otkriva dosta o korisnikovim sklonostima i tipu korišćenih usluga.
Prikazivanje upozorenja na sistemskom nivou. Zloupotreba ovog odobrenja može dovesti do agresivnog pop-up marketinga. 
Pravi slike i snimke. Ovo odobrenje dozvoljava aplikaciji da pravi slike i snimke bez ikakvih daljih zahteva za odobrenje.
Pristupi dodatnim komandama lokacije.Aplikacije koje imaju ovo odobrenje imaju pristup detaljnim informacijama o korisnikovoj geografskoj lokaciji.

Izmeni konfiguracije. Nije najjasnije šta ovo odobrenje omogućava, sem izmene jezika i regionalnih podešavanja. 

Isključi pozadinske procese. Prilično riskantno ovlašćenje ako se koristi za onesposobljavanje antivirusa ili sličnih aplikacija. 
 Obradi odlazne pozive.Ovo omogućava pristup metapodacima odlaznih poziva tako da bi ga trebalo dozvoliti samo VOIP aplikacijama. 
Koristi SIP. SIP (Session Initiation Protocol) se koristi za VOIP usluge, tako da ima slična svojstva kao i ovlašćenje „pravi telefonske pozive”.

Piši bezbedna podešavanja

Ovo odobrenje bi trebalo da bude rezervisano samo za sistemske aplikacije. 

Čitaj profil

Ovo daje odobrenje aplikaciji da čita pirvatne detalje korisnikovih naloga koji su skladišteni na telefonu. 

Čitaj SMS

Ovo odobrenje omogućava aplikacijama pristup porukama i kao takvo predstavlja ozbiljno ugrožavanje privatnosti.

Piši istoriju poziva

Ovo odobrenje može biti korišćeno kako bi se sakrile zlonamerne aktivnosti. 

Kreiraj profil

Aplikacije koje imaju ovo odobrenje mogu dodavati informacije korisničkom profilu. 

Čitaj tokove društvenih mreža

Ovo odobrenje omogućava aplikacijama pristup najnovijim informacijama na društvenim mrežama kao što su Fejsbuk ili Tviter. Ovo se ne odnosi samo na novosti profila korisnika aplikacije, već i novosti profila ljudi sa kojima je on povezan.

Potvrdi nalog

Ovo odobrenje omogućava aplikacijama autentifikaciju korisnikovih akreditiva poput šifre. Ovo je legitimno u slučaju da aplikacija traži ovo odobrenje i koristi ga samo u sopstvene svrhe, ali se ovo često koristi za fišing (phishing). 

Čitaj priloge mejlova

Prilozi u mejlovima često sadrže osetljive podatke i zbog toga bi trebalo da budu privatni. Ovo odobrenje bi trebalo dati samo aplikacijama imejl klijenata. 

Primaj SMS/MMS

Ovo odobrenje omogućava aplikaciji da nadgleda dolazeće poruke, da ih snima ili dalje obrađuje. 

Dodaj sistemsku uslugu

Ovo odobrenje bi trebalo da bude rezervisano samo za sistemske aplikacije. 

Čitaj instant poruke (IM)

Aplikacije kojima je ovo odobreno mogu da čitaju instant poruke kao npr. poruke na Fejsbuku instant mesindžeru ili njemu sličnim.

Zadiranje u privatnost

Konačno, neophodno je kategorizovati zahteve jer korisnici imaju pravo da odaberu aplikaciju koju će instalirati na svoj uređaj, a nekad je zaista teško odrediti koja aplikacija poštuje privatnost a koja ne. Stoga smo u ovom delu istraživanja izveli evaluaciju različitih tipova ovlašćenja koja se daju aplikacijama. Suštinski, rasporedili smo zahteve u 3+1 kategorije; zahtevi za ovlašćenja sa visokim, srednjim ili niskim stepenom zadiranja u privatnost i specifične zahteve po aplikaciji.

Permissions type

Analiza drugog rezultata pokazuje da aplikacije koje smo analizirali zahtevaju brojna ovlašćenja sa visokim stepenom zadiranja u privatnost. Dok su neki od obaveznih zahteva opravdani radi funkcionisanja aplikacije i u skladu sa tipom usluge koju aplikacija pruža, neke od zahteva aplikacija bi njihovi developeri morali ozbiljno preispitati.

]]>
479
Nevidljiva infrastruktura: Onlajn pratioci https://labs.rs/sr/nevidljiva-infrastruktura-onlajn-pratioci/ Mon, 01 Jun 2015 08:45:38 +0000 http://labs.rs/?p=473

 

„Naravno, niko nije mogao znati da li ga u ovom ili onom trenutku nadziru ili ne. Koliko se često, ili po kom sistemu, Policija misli uključivala na pojedinačne kanale moglo se samo nagađati. Čak je bilo moguće i to da ona neprekidno nadzire svakoga.” (1984, roman Džordža Orvela)

 

Svi smo deo nevidljivog, besplatnog, nematerijalnog radnog sistema9, ne u smislu besplatnog rada koji se povezuje sa proizvodnjom kulture ili sadržaja u digitalnoj ekonomiji, već suptilnijeg i nesvesnog oblika rada koji se zasniva na osnovama egzistencije, našeg kretanja, šablona ponašanja i naše lokacije kako na internetu tako i u fizičkom prostoru

Kako smo povezani na internet, informacije o našem ponašanju se neprekidno prikupljaju, skladište se i analiziraju raznim algoritmima, napravljeni sa različitom svrhom, ali suštinski da bi zadovoljili potrebe onih kojima pripadaju. Tržište za obradu velikih skupova podataka raste iz godine u godinu za 40% širom sveta10, a podaci o našem ponašanju, našim interesovanjima i sklonostima su svakako najtraženiji i najvredniji podaci do kojih se može doći.

U ovom istraživanju želeli smo da zaronimo malo dublje, ispod površine intreneta i veb sajtova koje posećujemo, i da istražimo mrežu onih koji skriveno stiču dobit, kompanija koje prikupljaju i analiziraju podatke o našem ponašanju na internetu.

Invisible infrastructure

Ali hajmo pre toga nekoliko koraka unatrag, u arhitekturu sistema prikupljanja svih tih podataka. HTTP kolačić (cookies) je mali deo podataka poslat sa posećenog sajta i smešten u korisnikov pretraživač. Svaki put kada korisnik otvori tu stranicu, pretraživač šalje kolačić natrag serveru i obaveštava veb sajt o korisnikovim prethodnim aktivnostima11. Ovaj već 20 godina star koncept, razvijen 1994, postao je vredan alat za komercijalizaciju i monetarizaciju mreže, omogućavajući razvoj biznis modela koji se zasnivaju na targetiranju korisnika i koji su sada osnovni izvor primanja za dobar deo najvećih internet kompanija.

„Pre kolačića, Internet je suštinski bio privatan prostor. Nakon uvođenja kolačića, Internet je postao mesto podložno elektronskom nadzoru izuzetnih razmera. ” Lorens Lesig (Lawrence Lessig)

Čak i samo postojanje html kolačića nije bilo poznato široj javnosti sve do 1996, kada su dobili dosta medijske pažnje, naročito zbog negativnih posledica po privatnost. Kolačiće je razvioi Netskejp (Netscape) 1994. godine, da bi bili tajno uvedeni u Netskejpovu prvu verziju internet pretraživača, i to bez slanja obaveštenja ili traženja saglasnosti od korisnika, bez mehanizama notifikacija koji upozorava ljude kada se kolačiči postavljaju na njihov računar, kao i bez ikakve transparentnosti o informacijama koji se skladište u kolačiću12. U narednih 20 godina postojanja kolačića, brojne grupe aktivista, borci za privatnost onlajn kupaca, poverenici za privatnost, komisije i nacionalni i internacionalni regulatorni organi i institucije su raznim pristupima edukovali širu javnost i borili se za pravnu regulativu koja bi kontrolisala uticaj kolačića na privatnost korisnika.

 

Eksploatacija digitalnog otiska

Postoje tri osnovne metode targetiranja u marketinškoj industriji, od kojih je jedna bihejvioralno targetiranje13. Ovo targetiranje se zasniva na eksploataciji naših digitalnih otisaka, podataka koje korsnici digitalnih usluga ostavljaju iza sebe i koji se u većini slučajeva prikupljaju bez znanja vlasnika14.

Naši digitalni otisci mogu sadržati više različitih informacija: našu IP adresu, veb sajtove koje posećujemo, vreme i trajanje posete, tip opreme koju koristimo, naše pretrage, našu lokaciju, godine, pol, seksualne preferencije, knjige koje kupujemo i još dosta informacija, u zavisnosti od usluge koju koristimo. Sve te informacije, kada se povežu, omogućavaju profilisanje korisnika – proces izrade profila na osnovu kompjuterske analize podataka, i pronalaženje šablona i uzajamne povezanosti u velikim količinama prikupljenih podataka o korisniku.

Kako naše ponašanje na internetu i u digitalnim komunikacijama postaje sve prirodnije15, tako naše ponašanje prilikom veb pretraga može biti toliko bogato da na osnovu njega budemo jedinstveno okarakterisati kroz šablone nesvesnog ponašanja i naš identitet potvrđen kognitivnim otiskom16 .

Napredne metode targetiranja, poput prognostičkog targetiranja, koje izvršavaju algoritmi kombinujući bihejvioralno targetiranje, istoriju naših reakcija, podatke o lokacijama, o vremenskim prilikama, socio-ekonomske ili bilo koje druge dostupne relevantne podatke, mogu predvideti našu reakciju na sadržaj u realnom vremenu i ponuditi nam sadržaj koji će sa najvećom verovatnoćom rezultirati željenom reakcijom.

rema Pjuovom upitniku o internetu i američkom životu17 iz februara 2012. godine, 65% korisnika internet pretraživača kaže: „Ne podržavam ciljani marketing jer ne želim da neko prati i analizira moje ponašanje na internetu.” Ali čak i pre nego što šira javnost bude u prilici da se suprotstavi ovom problemu, bitno je da bude svesna u kojoj meri i kojim mehanizmima se odvija ovaj fenomen.

DATA HOARDERS

Dakle, ako ste se pitali: „Kako to da Gugl i Fejsbuk vrede stotine milijardi dolara iako pružaju besplatne usluge?” odgovor je da oni zapravo prodaju uslugu profilisanja i targetiranja korisnika, omogućavajući drugima da usmere svoje reklame ka odgovarajućoj grupi korisnika. Tako na primer, podaci koje je Gugl u stanju da prikuplja danas u mnogome su kompleksniji od onih koje su prikupljale državne tajne službe u prošlosti. Beskrajno rastuća glad za podacima se ne završava na našim ekranima, već se širi i na fizički prostor u vidu aplikacija i platformi koje koriste naši mobilni telefoni, zatim biometrijskih podataka koji se prikupljaju preko raznih gedžeta za sport, stalnim protokom podataka u realnom vremenu preko Guglovih naočara, kućnim uređajima sa ugrađenim internetom (internet of things), navigacioni podaci sa Gugl automobila, pametnih kuća, pametnih gradova i krajnjih osvajača planete – sistema satelita koji dopremaju besplatan internet celom svetu.

Nažalost, ovaj nevidljivi ekosistem zasnovan na eksploataciji podataka korisnika je isti onaj koji podržava besplatan sadržaj i usluge na internetu.18.

Mapiranje pratilaca

Trackers numbers-02

Prema istraživanju koje smo sproveli na 50 najposećenijih veb sajtova od strane internet korisnika iz Srbije, u proseku postoji 7 različitih kolačića trećih lica koji su ugrađeni na svim sajtovima koje smo ispitali. Otkrili smo ukupno 174 različitih vrsta kolačića, na koje smo naišli 365 puta. Tih 174 kolačića je u vlasništvu 87 različitih kompanija, od kojih su značajno dominantne četiri velike američke kompanije: Gugl (90%), Fejsbuk (46%), Tviter (24%) i Amazon (10%), kao i infoposrednici Gemius SA (36%) i Httpul (Httpool) (7%).

Trackers company-03


Praćenje džinova

Dakle, čak i ako izbegavate da koristite Guglove usluge, one svejedno prate 90% vašeg pretraživačkog ponašanja. Prema našem uzorku, ovo radi konkretno 17 različitih kolačića. Gugl analitika (Google analytics), kolačić koji se najčešće susreće, instaliran je na 65% sajtova. Drugi kolačić – Dablklik (DoubleClick), pripojen Guglu 2008. za 3.1 milijardi američkih dolara, pojavljuje se na 40% sajtova. Dablklik je odgovoran za proizvode i usluge namenjene marketinškim agencijama i medijskim kompanijama koji im omogućavaju da mere, targetiraju, i dobijaju obaveštenja o svojim reklamnim kampanjama. 19 provided by former NSA contractor Edward Snowden shows that the NSA uses Google cookies to pinpoint targets.

Trackers Google-02-01

Druga kompanija čije je prisustvo najčešće opaženo u našem istraživanju je Fejsbuk, koja pokriva skoro polovinu (46%) ispitivanih sajtova. Sistemi za praćenje (trackers) koji pripadaju Fejsbuku se najčešće pojavljuju u obliku „like” i ostale dugmadi, funkcije za logovanje i drugih vidžeta ugrađenih u sajtove kojima se pristupa.  Kada god posetimo neki od sajtova koji ima ugrađene ove pratioce, naš pretraživač šalje našu IP adresu (sa informacijom o našoj geografskoj lokaciji), tip i verziju pretraživača, stranicu na kojoj se nalazimo kao i druge Fejsbuk kolačiće na našem računaru, uključujući i naš jedinstveni identifikacioni broj Facebook korisnika, povezan sa našim Fejsbuk nalogom u slučaju da smo registrovani tamo. Ovo Fejsbuku daje mogućnost da prati i snima naše ponašanje čak i van njegovog domena i da prikupljene podatke ukršta sa ogromnom količinom onih kojim već raspolaže zahvaljujući svojoj društvenoj mreži.

Trackers Facebook-04

Koje zemlje su lideri u biznisu onlajn praćenja korisnika?

Prema našem istraživanju koje smo sproveli nad 50 najposećenijih veb sajtova u Srbiji, više od ¾ pronađenih kolačića za praćenje onlajn ponašanja korisnika pripada kompanijama iz SAD-a (75.4%). Google je većinski odgovoran za tako visok procenat, prisvajajući oko pola pite od kolačića za sebe dok ostatak prepušta Fejsbuku, Amazonu i Tviteru da podele među sobom. Ispod osnovnog sloja velikih američkih kompanija koje prikupljaju naše podatke, nalazi se mreža od stotine manjih kompanija, koje se uglavnom bave marketingom i analizom podataka. Možemo da primetimo i prisustvo nekoliko većih regionalnih igrača kao što su Gemius SA i Adocean Ltd iz Poljske, kao i HTTPool d.o.o. iz Srbije. Generalno, veoma mali procenat tih kolačića prikuplja podatke za lokalne kompanije. Zbog toga možemo da kažemo da je Srbija veliki izvoznik informacija o onlajn ponašanju njenih državljana. Međutim, SAD su svakako vodeći igrač u ekonomiji praćenja korisnika, sa najvećom dobiti od našeg onlajn ponašanja.

Tracker countries-05-05

Ako su podaci nafta XXI veka, onlajn praćenje našeg ponašanja, kretanja i preferencija je glavna tehnologija za izvlačenje te nafte.

Cookies are dead, long live Cookies!

]]>
473
Nevidljiva infrastruktura: Tokovi podataka https://labs.rs/sr/nevidljiva-infrastruktura-tokovi-podataka/ Mon, 01 Jun 2015 08:07:08 +0000 http://labs.rs/?p=471 U prethodnoj priči smo istražili uzbudljiv život malog internet paketa, ali kako bismo stvorili širu sliku toka podataka i mapirali ključne lokacije i igrače, sproveli smo širu analizu putanja podataka do 100 najposećenijih sajtova korisnika interneta u Srbiji.

networktopology

Koristili smo Nmap i softver za istraživanje mreže kako bismo trejsrutovali i vizualno prikazali putanje do 100 najposećenijih sajtova korisnika interneta u Srbiji, prema kompaniji Alexa koja se bavi internet analitikom, u vlasništvu Amazona20. Slično našim prethodnim mapama, svaka tačka predstavlja jednu IP adresu (ruter ili drugi mrežni uređaj) i linije između tačaka su veze, kablovi koji ih povezuju.

nationalflow2

Nacionalni saobraćaj

Na put oko mreže se kreće sa žute tačke u centru mape. Posle par lokalnih skokova, sav saobraćaj odlazi na nekoliko tačaka. Pošto je Share Lab povezan na internet preko SBB-a, najvećeg regionalnog internet provajdera, rezultati ovog istraživanja su bazirani na njihovoj mreži. Zanimljivo je da svi podaci putuju do njihovog servera u Beogradu, u SBB TelePark, i da sav saobraćaj do lokalnih veb sajtova ide kroz jednu tačku (bg-ds-r-1-oe0-0-0-1sbb.rs)

Tako da, hipotetički, ako bismo želeli da ispitamo, filtriramo ili zadržimo sav nacionalni saobraćaj koji ide preko SBB-ove mreže, mogli bismo to da uradimo koristeći samo ovu jednu tačku. Štaviše, SBB kao i ostali internet provajderi u Srbiji obavezani su zakonom o zadržavanju podataka da rade upravo to – da skladište sve metapodatke o internet saobraćaju i omoguće pristup državnim organima.

Od uskog grla nacionalnog saobraćaja, putanja vodi ka različitim susedskim ruterima (peering routers) ili do čvorišta za razmenu Internet saobraćaja i ostalih telekomunikacionih servisa – Serbian Open Exchange (SOX). Kao što smo već objasnili u našoj mapi umreženosti Srbije, mreže koje drže različiti internet provajderi u Srbiji spajaju se na fizičkim lokacijama gde su njihovi ruteri povezani kablovima. Na tim mestima mreže se utapaju u jedan sistem, omogućavajući nam da se povežemo na druge uređaje povezane na bilo koju mrežu.

SOX

Tačke lokalne razmene dozvoljavaju podacima da teku lokalnije, kao što i sam naziv kaže, značajno kraćom putanjom u poređenju sa onom koju prelaze kada nema direktne veze između dva provajdera. U tom slučaju moraju ići preko trećeg provajdera ili čak kroz drugu zemlju. U Srbiji, nažalost, postoji samo jedna tačka internet razmene i većina paketa putuje u Beograd iz bilo kog drugog kraja Srbije. Kada bi postojalo više lokalnih tačaka razmene u različitim krajevima zemlje, podaci bi putovali više lokalno što bi značajno skratilo njihove rute.

Ali postoji još jedna zanimljivost na mapi i to je tačka na Telenorovim serverima, koja je deo SOX mreže (mainstream-telenor.sox.rs) i povezuje najposećenije sajtove u Srbiji. Ona pripada kompaniji Maintream d.o.o. osnovanoj 2005. koja pruža usluge hostinga i održavanja.

Više od polovine lokalnih sajtova iz našeg uzorka su hostovani kod ove kompanije. Većina njih ima rekove za servere u tri data centra u Beogradu, ali prema našem istraživanju većina ih je smeštena kod Telenorovog Tier3 Data Centra.

Telenor-Data-Center

Based on our map we can conclude that there is a high level of centralization of the local  internet traffic. We can define 3 different levels of centralization :

  1. Centralizacija na nivou internet provajdera – jedna tačka na kojoj se dalje preusmerava sav saobraćaj
  2. Na nivou tačke internet razmene (IXP) – postoji samo jedna takva tačka u Srbiji
  3. Na nivou hostinga – većina najvećih domaćih sajtova je hostovana kod jedne kompanije

Telenor Tier3 Data Centar

Tačke centralizacije su tačke moći i što se više rutera ili provajdera sreće u jednoj tački to je veći značaj te tačke, rutera, servera. Bitno je znati ko ih kontroliše jer ti entiteti imaju kontrolu nad internetom u Srbiji i, u datim okolnostima, mogu upotrebiti ili zloupotrebiti moć.

 

exitnodes

Izlazne tačke

Istraživanjem smo uspeli da utvrdimo nekoliko glavnih putanja kojim se kreću podaci kada izlaze iz zemlje. Slično centralizaciji lokalnog toka podataka kroz jedan ruter, naišli smo i na nekoliko glavnih tačaka kroz koje prolaze naši podaci pre napuštanja zemlje.

Dve najveće izlazne tačke na mapi, prema našem istraživanju, su:

at-be-r-1-pc1.sbb.rs : najviše povezana sa ruterima koju su u vezi sa DE-CIX u Frankfurtu

bg-yo-r-1-pc1.sbb.rs : povezana sa bpt-b4-link.telia.net koja vodi do rutera u Mađarskoj i Pragu

peer-A515169.sbb.rs : povezana sa sajtovima koji pripadaju Guglu

whereismy4-01

Podaci o toku podataka

Sada kada smo ustanovili glavna uska grla lokalnog internet saobraćaja i glavne izlazne tačke, pokušajmo da analiziramo glavne portove tj. tačke povezivanja i zemlje ka kojima naši podaci teku, vođeni konačnom odredištu.

Od 100 najposećenijih sajtova od strane internet korisnika u Srbiji, samo 27 je zapravo hostovano u Srbiji, a više od polovine tih hostuje jedna ista kompanija.

63% naših internet paketa napušta zemlju. Ispitajmo gde.

Jedan obimni tok podataka ide ka Budimpešti (25), zatim deo ka Beču (25) i Pragu (15). To su uglavnom tranzitni portovi koji dalje sprovode podatke ka Nemačkoj, Holandiji, Britaniji ili Švajcarskoj.

Frankfurt u Nemačkoj je svakako prestonica toka naših podataka, najveći tranzitni port podataka. Čak polovina naših internet paketa prođe tuda u nekom trenutku, uglavnom kroz DE-C IX internet tačku razmene koja nije samo najveća tačka skupljanja svih internet paketa iz Srbije, već najveće mesto internet razmene na svetu, spajajući više od 600 internet provajdera..

Iako je Frankfurt prestonica tranzita, tamo se zapravo ne hostuje mnogo podataka. Najveći udeo sajtova koji su hostovani u Evropi su situirani u Amsterdamu. Takođe je interesantno da je više od polovine tih 11 sajtova u vezi sa pornografijom. Ovo je ulica crvenih fenjera internetovog drugog po veličini porta.

data flow cities-01

Čak 36% naših poseta prelazi Atlantski okean ka SAD. Za razliku od evropskih država, kroz koje podaci uglavnom samo prolaze, u Americi su hostovani.

Kada se sagleda cela slika u vezi sa hostingom najposećenijih sajtova internet korisnika u Srbiji, može se zaključiti da je hosting Amerike svakako dominantniji u odnosu na EU i Srbiju, i to 36% SAD, 27% EU, 27% RS.

Što se tiče transfera podataka, najznačajnija tačka na istočnoj obali SAD-a je Ešburn (Ashburn) u Severnoj Virdžiniji – jedna od prestonica Interneta, domaćin velikom broju data centara, strateški komunikacioni centar za istočne zemlje SAD-a, veliki komunikacijski prolaz ka Evropi i najveća tačka spajanja mreža (Internet peering point ) u Severnoj Americi.

Naše istraživanje je pokazalo da su tačke krajnjih odredišta paketa iz Srbije najgušće koncentrisane na Zapadnoj obali, naročito u okolini San Franciska i Silicijumske doline. Međutim, ne možemo biti sigurni u to da li su ovo zaista krajnja odredišta ili samo maska. Nalazi drugih naših istraživanja ukazuju na to da se tačne lokacije nalaze negde drugde, naročito koncentrisane u Severnoj Virdžiniji, gde se nalaze veliki data centri Gugla, Fejsbuka i Amazona.

whereismap-01

Prema rezultatima našeg istraživanja, ispostavilo se da internet koji koristimo zapravo i nije tako decentralizovan, kakvim ga mi zamišljamo. Naš uzorak pokazuje da se on sastoji od glavnih lokacija za tranzit i hostovanje podataka, od prestonica protoka podataka koje su smeštene u svega 13 zemalja. Ova struktura se veoma razlikuje od prvobitno zamišljene decentralizovane mreže, ideje sa začetka interneta.

Sa druge strane, nijedan od 100 najposećenijih sajtova sa liste se ne nalazi van Evrope ili SAD-a.

Nacionalne granice Interneta

U svrhu ovog istraživanja, možemo da ispitamo dva tipa ‘granica’ koje postoje na internetu. Kako bi mogli da posluju u određenoj državi, internet provajderi su dužni da poštuju određenu zakonsku regulativu te države. Otud prvi tip granice.

Fizička infrastruktura, koju čine kablovi, ruteri, prekidači i serveri, fizički je postavljena na teritoriji jedne zemlje i nju poseduje i njom rukovodi određeni entitet, koji podleže državnoj regulativi. Ovo direktno ukazuje na odnose između države, internet provajdera i podataka koji putuju preko mreže. Tako su, na primer, internet provajderi koji posluju na teritoriji Republike Srbije, prema Zakonu o elektronskim komunikacijama, dužni da skladište sve metapodatke i da ih predaju po zahtevu određenih institucija.

Sa druge strane, provajderi imaju različite tačke spajanja sa drugim, najčešće susednim provajderima, kako bi omogućili svojim klijentima pristup čitavom internetu. U tom putovanju od jednog provajdera do drugog, podaci prelaze fiktivne granične tačke interneta. Granice koje se mogu odnositi na internet su iste one koje se nalaze i u ‘realnom’ svetu. Internet provajderi se mogu posmatrati i kao kontrolori i svaka potencijalna cenzura, filtriranje ili gušenje (throttling) saobraćaja će se najčešće izvesti u saradnji sa njima. Mapiranje tačaka spajanja nacionalnih i internacionalnih provajdera i analiza topologije mrežne strukture omogućavaju nam da bolje razumemo ključne tačke ove infrastrukture, gde bi se potencijalna cenzura, filtriranje ili zagušivanje saobraćaja mogli dogoditi.

Drugi tip granica koji bi mogao biti interesantan za naše istraživanje je taj stvoren samim veb sajtovima, internet platformama i aplikacijama. Svaki uređaj povezan na mrežu ima IP adresu, kako bi komunicirao sa drugim uređajima. Iako su IP adrese više logičke nego fizičke, koristeći samo IP adresu moglo bi se lako odrediti u kojoj zemlji se nalazi uređaj sa tom adresom. Ovo je izvodljivo zato što IP adrese korisnicima pripisuje samo jedna institucija – IANA (Internet Assigned Numbers Authority), koja dodeljuje opseg IP adresa entitetima zainteresovanim da ih kupe, ali čuva bazu podataka sa informacijama o tome kome pripada koji opseg i na teritoriji koje zemlje funkcioniše. Zbog ovoga, sajtovi, aplikacije i internet platforme mogu da odrede iz koje zemlje je posetilac i shodno tome dopuštaju ili blokiraju pristup sadržaju ili servisu. Razlozi za blokiranje pristupa sadržaju na nacionalnom nivou su razni i kreću se u rasponu od autorskih prava do blokiranja seksualnog, političkog ili verskog sadržaja pod pritiskom vlasti širom sveta. U ovom slučaju ulogu kontrolora igraju kompanije vlasnici tih veb sajtova ili aplikacija. Sigurno ste se na sajtovima poput Jutjuba već susreli sa porukom tipa: „Ovaj sadržaj nije dostupan u vašoj zemlji.”

Tok podataka i privatnost

Svi internet provajderi u Srbiji i većina provajdera u zemljama EU su još uvek zakonom obavezani da skladište metapodatke. Skladištenjem i obradom metapodataka, provajderi i državni organi su u stanju da prate trag i identifikuju izvor i destinaciju, datum, vreme, trajanje i tip komunikacije. Čak i bez pristupa samom sadržaju, metapodaci otkrivaju privatne informacije, nekad i u većoj meri nego što bi to učinio sam sadržaj.

U jednom video konferencijskom pozivu septembra 2014, Edvard Snouden (Edward Snowden) je objasnio: „Metapodaci izuzetno duboko zadiru u privatnost. Kao analitičar, radije bih radio sa metapodacima nego sa sadržajem, zato što je to brže i lakše i metapodaci ne lažu… Ako slušam vaš telefonski razgovor, možete da pokušate da zaobiđete suštinu, da pričate u šiframa. Ali ako gledam vaše metapodatke, znam koji broj je koji pozvao, znam koji je kompjuter sa kojim komunicirao.” Stjuart Bejker (Stewart Baker), bivši generalni savetnik Nacionalne bezbednosne agencije (NSA), kaže: „Metapodaci vam govore apsolutno sve o nečijem životu. Ako imate dovoljno metapodataka, sadržaj vam zapravo uopšte nije ni potreban.”

Koliko reči koje guglujete, svi naslovi vaših mejlova, mreža ljudi sa kojima komunicirate, veb sajtovi koje posećujete, navike kretanja i komuniciranja otkrivaju o vašem privatnom ili poslovnom životu? Analiza metapodataka značajno je efikasnija i više zadire u privatnost od tradicionalnih tehnika nadzora koje je praktikovao Štazi u bivšoj Istočnoj Nemačkoj, poznata kao jedna od najefikasnijih i najrepresivnijih tajnih obaveštajnih službi ikada, za koju se smatra da je tada upošljavala između 500.000 i dva miliona doušnika.

Ali bez naših podataka i metapodataka, komunikacija na internetu, ovakva kakvu je danas poznajemo, ne bi bila moguća i zbog toga dajemo internet provajderu saglasnost da tim podacima rukuje i da ih dalje obrađuje. Takođe, time što živimo u Srbiji ili nekoj od država EU, prema zakonima o zadržavanju podataka, mi smo saglasni da se naši metapodaci skladište, kao i da razni državni organi imaju pristup njima i pravo na obradu.

Uostalom, podaci su resurs koji pokreće internet industriju. Biznis modeli nekih od najvećih kompanija na internetu se zasnivaju upravo na prikupljanju i obradi naših privatnih informacija i automatskog profilisanja radi prodaje targetiranih reklama.

Imajući sve ovo na umu, ono što smo želeli da postignemo ovim istraživanjem jeste bolji uvid u nevidljive mreže i mehanizme koji su osnova tih procesa. U našem prethodnom radu, pažnja je bila prvenstveno usmerena ka pravnim aspektima ovih procesa i različitim slučajevima ugrožavanja ljudskih prava u onlajn prostoru, uglavnom u vezi sa privatnošću i slobodnom izražavanja. Kako bismo napredovali, verujemo da je neophodno da pokušamo da proučimo i razumemo tehničku realnost i procese skrivene ispod površine ekrana naših uređaja, kompleksan i nevidljiv spoj softverskih i hardverskih slojeva, skrojenih od nebrojeno mnogo linija koda i metara kablova, rutera i servera.

]]>
471
Nevidljiva infrastruktura: Uzbudljiv život internet paketa https://labs.rs/sr/nevidljiva-infrastruktura-uzbudljiv-zivot-internet-paketa/ Thu, 28 May 2015 13:18:40 +0000 http://labs.rs/?p=465 Adrese, podaci i metapodaci

P

re nego što uronimo dublje u uzbudljiv život internet paketa, treba da zastanemo na kratko i pokušamo da razumemo neke osnovne tehničke aspekte internet komunikacije i infrasktrukture. Internet je globalna mreža kompjutera, a svaki kompjuter koji je povezan na internet ima jedinstvenu adresu. Ta adresa je poznatija kao IP adresa (na primer 24.135.245.173).

Sve informacije koje se prenose putem interneta, između rutera, servera i drugih hostova dele se na malje komadiće podataka, poznate kao paketi. Svaki paket se sastoji od zaglavlja i sadržaja. Kada bi imalo potrebe da ovo objasnimo pomoću analogije, trebalo bi razmišljati o internet paketima kao i klasičnoj papirnoj koverti, gde pismo unutar nje predstavlja sadržaj, a markice i adresa sa spoljašnje strane predstavljaju zaglavlja. Bez adrese ispisane na koverti pismo nikada ne bi stiglo na željeno odredište. Slično kao poštanska služba, ISP-ov ruter utvrđuje adresu odredišta svakog paketa i određuje gde da ga pošalje. Kao što smo rekli, te „adrese ispisane na koverti“ se zovu zaglavlja, i predstavljaju jedan tip metapodataka.


Jednog sunčanog jutra u 7:45:03, rođen je jedan internet paket, težak 60 bajtova, i sa samo jednom jednostavnom životnom misijom – da stigne na mesta zvanog 173.252.120.6.  Iako ovo ne zvuči kao naročito uzbudljiva životna misija, stvari koje se dešavaju tokom naredne 1 sekunde su poprilično zanimljive. Njegovo putovanje počinje brzim skokom od 7 ms, u 5 metara udaljenu kutiju koja se zove kućni ruter. Preko tavana, gde prolazi kroz priključak gde se sreću svi kablovi iz zgrade, skače na ulicu pa u podzemni kabl koji ga vodi do glavnog gradskog rutera u Novom sadu. Brzinom od 30.600.000 km/h, on juri za 10ms do Beograda, u zgradu SBB TelePark-a.

SBB89.216.8.141 SBB TelePark, Belgrade, RS

Skakuće između nekoliko rutera unutar zgrade, a potom napušta zemlju, putujući 0,05s kroz tunel u pravcu Frankfurta u Nemačkoj. U današnje vreme Frankfurt je veoma popularna destinacija za mlade internet pakete u Srbiji. Skoro 50% njih u nekom trenutku tokom njihovog izrazito kratkog života prođe kroz DeCIX, najveću tačku razmene na internetu (IXP – Internet Exchange Point) na svetu21 sa protokom od prosečno 2523 gigabita po sekundi.22.Ovo je mesto, u kom se preko 600 ISP-ova iz preko 60 zemalja susreće i spaja, je nešto poput aerodroma za Internet.

U svom dugom putovanju, naš internet paket će skočiti sa jedne „raskrsnice“ interneta na drugu, prolazeći kroz razne države, nevidljive granice, posećujući velike, sive, dehumanizovane zgrade u predgrađu gradova. Evropska IXP scena 23se danas sastoji od oko 150 IXP-ova i predstavlja impresivan spektar učesnika, počevši od najvećeg svetskog IXP-a do IXP-ova u povoju i glavnih regionalnih učesnika, pa sve do malih lokalnik IXP-ova koji se mogu sresti šitom Evrope.24.

Frankfurt180.81.194.40 One of the DeCIX network of data centers, Frankfurt, DE (PHOTO: GOOGLE STREETVIEW)
Frankfurt280.81.194.40 – EQUINIX, I.T.E.N.O.S. KPN, LEVEL3, TELEHOUSE , KLEYERSTRASSE 79-90, FRANKFURT. – DE-CIX (PHOTO: GOOGLE STREETVIEW)

Posle posete najvećem IXP-u na svetu, naš paket produžava put Dablina u Irskoj, prolazeći kroz TelecityGroup-ov nosač – neutralni centar za podatke koji je specijalizovan za aplikacije i sadržaje  sa velikim protokom ( bandwidth intensive applications) i internet hosting.

Dublin31.13.30.211 TELECITYGROUP, DUBLIN, IR (PHOTO: GOOGLE STREETVIEW)

Neka odredišta na putu našeg internet paketa su za nas skrivena. Brojna ponavljanja, mrežna oprema i ruteri posrednici na tom putu ne otkrivaju svoje postojanje na našim rezultatima pretrage rute. Većina te nevidljive opreme je tu da bi omogućila ovaj put, održavajući brzinu paketa konstantnom ili samo povezujući dva kaba, ali neka od opreme na tom putu je skrivena od nas iz drugih razloga.

Godine 1970, Skjudžek farma (Skewjack farm) u zapadnom Kornvolu (Cornwall) u Engleskoj, na obali Atlantskog okeana, bila je poznata kao kultno mesto za zaljubljenike u surfovanje – Skjudžek surfersko selo. Nažalost, surfersko selo je 1986. zatvoreno, i ovo mesto je postalo poznato po drugoj vrsti surfovanja, veb surfovanju, ili da budemo precizniji – proširenoj verziji veb voajerizma i masovnog prikupljanja i skladštenja. Ova farma je samo nekoliko kilometara udaljena od jednog veoma važnog mesta kada je internet u pitanju, Vajdmaut zaliva (Widemouth Bay), južno od Buda, dolazne tačke za neke od najvećih i najopterećenijih prekoatlantskih optičkih kablova, povezujući Evropu SAD, jedna od stubova današnjeg interneta. Pre nego što internet paket zaroni duboko ispod okeana, on će najverovatnije uskočiti u zgradu na Skjudžek farmi koja podseća na bunker.
skewjack2

skewjackSkewjack, UK map (PHOTO: GOOGLE MAPS)

Godine 2014. je otkriveno da je na ovoj farmi locirano mesto na kom Vladin komunikacioni štab presreće i kopira podatke u GCHQ (Government Communications Headquarters) u Budu, vizualno još uzbudljiviju farmu, nastanjenu desetinama ogromnih satelitskih tanjira koji služe kao zemaljska satelitska stanica i centar za prisluškivanje. Postoji pretpostavka da 25% ukupnog internet saobraćaja prolazi kroz ovu tačku.25.

gchq2gchq1
GCHQ Bude, England (PHOTO: GOOGLE MAPS)

Posle brzog obilaska, naš paket ulazi u polaznu tačku prekoatlantskog kabla, koje se nalazi na 10 km od Vajdmaut zaliva, nedaleko od malog priobalnog grada Buda, mesta sa jednom od najvećom koncentracijom mesta na koje pristižu podaci putem transatlantskog optičkog kabla na svetskom nivou.

Pre 1866. godine informacije su potovale sa jedne na drugu stranu Atlantika samo putem broda, a za to su ponekad bile potrebne nedelje. Prvi pokušaj postavljanja bakarnog kabla dugačkog 3000 km duž okeanskog dna 1858. godine je bio uspešan ali je bio funkcionalan samo tokom 3 nedelje, kada je obustavljena usled mnogih poteškoća tehničke prirode. Bilo je potrebno devet godina i pet pokušaja da bi se uspelo u postavljanju prekoantlantskog telegrafskog kabla, takozvanog „osmog svetskog čuda“, tehnologije koja će ubrzo iz korena izmeniti komunikaciju između kontinenata i stvoriti prvu globalnu komunikacionu mrežu.

cablestation
Cable Station, Valentia Island IR (PHOTO: GOOGLE STREETVIEW)

Prekoatlantski telegrafski kabal iz 1866, postavljen između ostrva Valensije u Irskoj i Heart’s Content Njufaundlend, SAD, je mogao da prenosi 8 reči u minutii u početku je koštalo $100[/note]da se pošalje 10 reči.26 .Oblik i topologija telegrafske mreže 1900.27 koju imamo danas.28 . Glavne dolazne tačke ove mreže od hiljada kilometara optičkih kablova, su oblikovane geografskim uslovima, kao i političkom i ekonomskom moći – moći pristupanja, prenosa i skladištenja podataka, učestvovanja u industrijskoj eksploataciji podataka i metapodataka, kao i idustriji sistema za elektronski nadzor..

Teško je ne biti očaran tim maleckim tokovima podataka dok putuju brzinom svetlosti po okeanskom dnu. Različiti tokovi podataka su razdvojeni u različite frekvencije svetlosti, omogućavajući prenos ogromne količine podata, u slučaju našeg internet paketa, putujući brzinom od 50.000.000 m/s. Brzina transokeanske komunikacije je za 150 godina napredovala sa pitanja nedelja do delica sekunde, daleko izvan ljudskog poimanja, čineći proces transfera informacija apstraktnim i nevidljivim. Međutim, za visokofrekventne algoritme trgovanja, odgovorne za trgovinu akcijama dobrog dela EU i SAD, svaka milisekunda izgubljena u prenosu podataka je od krucijalnog značaj,a što dalje stimuliše razvoj još bržih i sofisticiranijih rešenja.

tuckerton
Tuckerton NJ, TAT 14 Landing point 
(PHOTO: GOOGLE MAP)

Postoji nekoliko glavnih tačaka na kojima se transokeanski kablovi spajaju sa kopnom na drugoj strani okeana. Uglavnom se nalaze na istočnoj strani Long Ajlenda (Long Island, Brookhaven), Manaskuana i Tukertona u Nju Džersiju (Manasquan, Tuckerton, New Jersey), udaljeni kolima sat ipo vremena od Nju Jorka.

Naš internet paket sada putuje južno, ka još jednoj internet prestonici – Ašburnu, Virdžiniji (Ashburn, Virginia), 50km severo-zapadno od Vašingtona (Washington, D.C.).

U početku je arhitekturu (backbone) interneta održavala vlast SAD-a, upravljala njom Nacionalna fondacija za nauku (National Science Foundation), a koristile je akademske i naučne zajednice i institucije. Njihova inicijativa za superkompjuting je pokrenuta 1984. sa idejom da se kompjuteri visokih performansi učine dostupnim istraživačima širom SAD-a29i 1986. ova 56 kbit/s struktura je zaista povezivala naučne centre u Americi. Ali prema NSFNET uslovima korišćenja30 rastućem broju komercijalnih internet provajdera je bila zabranjena upotreba ove strukture. Pošetkom 90-ih, komercijalni internet provajderi su morali da nađu način kako da se fizički međusobno povežu, da bi razmenjivali saobraćaj preko svoje privatne infrastrukture, zaobilazeći onsovnu strukturu koja je bila u vlasništvu države. Saradnja je uspostavljena i određena je zajednička, neutralna fizička lokacija na kojoj će se mreže spojiti, stvarajući svojevrstan informacioni kružni tok. Jedna od prvih takvih lokacija je bio Ašburn (Ashburn), periferija Vašngtona, sedište mnogih tehnoloških startup-ova, vojnih i državnih podizvođača.

Metropolitan zona razmene (Metropolitan Area Exchange – MAE), stvorena 1992, brzo je postala jedna od najvećih raskrsnica u istoriji interneta. Kroz nju prolazi najveća količina internet saobraćaja, na neki način stvarajući od nje crnu rupu, a 5. sprat zgrade na Uglu Tison (Tysons Corner) uskim grlom interneta.

Otvarajući tačke pristupa mreži (network access points) takođe predstavlja i značajnu filozofsku promenu, promenu koja će imati posledice i po fizičku strukturu mreže. U jasnom odvajanju od svojih prvobitnih korena, Internet više nije umršene (mesh) strukture, već potpuno zavisi od malog broja centara.31.

Iako više nije značajan koliko je bio početkom 90-ih, Ašburn je i dalje jedna od prestonica interneta, domaćin velikom broj data centara, strateški komunikacioni centar za istočne zemlje SAD-a, veliki komunikacijski prolaz ka Evropi i najveća Internet peering point u Severnoj Americi.

virginiaEquinix, Ashburn, Virginia US

Nakon posete bivše prestonice Interneta, naš internet paket odlazi dalje 700 km jugozapadno, do svoje konačne destinacije – Forist Sitija u Severnoj Karolini (Forest City, North Carolina).

Forist Siti – grad sa 7.500 stanovnika i stotina miliona korisničkih profila. Fizičko oličenje Facebook-a. Ovo je najveća svetska baza ličnih podataka, privatnih i javnih podataka, intimnih četova, misli i emocija upakovanih u 2 masivna objekta od 28.000 kvadratnih metara, napunjenih hard drajvovima, ruterima, kablovima i sistemima za rashlađivanje.

facebook31.13.29.232 FACEBOOK DATA CENTER, FOREST CITY, NORTH CAROLINA, US (PHOTO: GOOGLE STREETVIEW)

Da bi ove 2 ogromne sive građevine funkcionisale potrebno je samo 80 zaposlenih, koji rade puno radno vreme u tri smene. Zahvaljujući automatskim sistemima32, jedan tehničar može da održava 25.000 servera koji rade u potpunom mraku, sa svetlima koja se pale samo kada senzori detektuju kretanje.

Nedaleko odatle, u Lenoru (Lenoir) i Mejden (Maiden) nalazi se još objekata sličnih veličina, čija je svrha ista, samo u vlasništvu Google-a i Apple-a.

googleGOOGLE DATA CENTER, LENOIR, NORTH CAROLINA, US (PHOTO: GOOGLE STREETVIEW)

To su lokacije na kojima naši podaci zapravo postoje. Data centri su monopoli zajedničkih podataka, akumulatori informacija o informacijama.33.

To su mesta na kojima društvo metapodataka akumulira bogatstvo, sačinjeno od ogromnih količina informacija, kreiranih od strane nas, analiziranih od strane njih.

Ovo je poslednja tačka putovanja, cilj jednosekundnog života našeg internet paketa. Za samo jednu sekundu, on je proputovao 9000 km, prolazeći brojne granice, prebacujući se sa jednog internet provajdera na drugi, koji rade pod različitim pravnim regulativama i komercijalnim interesima, skačući sa jedne internet raskrsnice na drugu i ostavljajući trag svog postojanja na svakoj tački puta. Životna misija ovog paketa je bila jednostavna: dopremi informaciju do facebook.com da je korisnik, negde u Srbiji, ukucao www.facebook.com u svoj pretraživač. Jednom kada se nađe na svojoj suđenoj destinaciji, on će uzrokovati rođenje novih paketa i poslati ih na put sa informacijama koje će putovati u suprotnom pravcu, od Facebook data centra do korisnikovog kompjutera, što će sve dovesti do toga da se Facebook stranica otvori u deliću sekunde.

datacentar

 Duhovi i život posle smrti podataka

Na svojoj konačnoj destinaciji, naš internet paket će biti skladišten, sahranjen da počiva u mračnoj, hladnoj sobi data centra, zajedno sa milijardu drugih paketa, čekajući život posle smrti, čekajući da bude predmet analize nekih algoritama. Ali on neće biti skladišten samo na ovom mestu. Tokom svog putovanja on je na više mesta bio kloniran i skladišten, u nekim drugim data centrima, serverima za zadržavanje podataka internet provajdera, u različitim zemljama i od strane različitih državnih agencija ili privatnih kompanija. Na kraju, biće korišćen na više načina, kao delić velike slagalice ponašanja, preferencija i interesovanja korisnika, ili mali deo koji će te obeležiti kao potencijalnog terorirstu ili razlikovati od njega u oku jednog algoritma. Sa druge strane, naš mali internet paket će doprineti razvoju brzom razvoju industrije prikupljanja, obrade i prodaje ličnih podataka. Procenjena vrednost podataka EU građanina je 2011. bila €315bn i ima potencijal da poraste €1tn na godišnjem nivou do 2020.godine.34.

]]>
465
Nevidljive Infrastrukture: Razumevanje autonomnih sistema https://labs.rs/sr/test/ Thu, 28 May 2015 11:27:10 +0000 http://labs.rs/?p=456 Š

ta se dešava iza male kutije sa zelenim trepćućim svetlima, tvog rutera, u većini slučajeva je potpuna misterija za običnog korisnika.

Internet u svojoj suštini nije ono što većina ljudi vidi kad je onlajn. To je apstraktan prostor koji daje neograničene mogućnosti, ali je ipak u osnovi skup hardvera, miliona servera, rutera, kablova i ostalih perifernih uređaja. U većini slučajeva postoji fizički kabal ili bežična konekcija koji doseže skoro svaki ugao sveta i svakog korisnika interneta. Sve i jedan uređaj u internet infrastrukturi ima svoju fizičku lokaciju. Neki od njih su grupisani pa se može reći da oni prave ’’internet raskrsnicu’’.

Jedan od razloga zašto ne diskutujemo često o ovoj nevidljivoj infrastrukturi može biti taj što brzina kojom paket putuje mrežom toliko velika i toliko iznad naše moći poimanja da u većini slučajeva uopšte i ne osećamo razliku u tome da li naš paket zađe samo do ćoška naše uluce ili otputuje na drugi kraj sveta i natrag.

Iako mi ne razaznajemo razliku, činjenica je da ti paketi za samo fragment sekunde proputuju hiljade kilometara kablova, bezbroj rutera i prekidača, razne nacionalne teritorije, i znatan broj potencijalnih tačaka na kojima mogu biti presretani, usporeni, zadržani, kopirani ili ispitivani.

Za razliku od telefonske mreže, nad kojom je dugo godina monopol držala po jedna kompanija u većini država, globalnu mrežu sačinjava na desetine hiljada međuuvezanih mreža koje drže telekomunikacione kompanije, internet provajderi, pojedinačne kompanije, univerziteti, vlasti i drugi 35Ovi entiteti imaju različite pravne režime, poslovne i tehničke odnose, politike privatnosti i strukture vlasništva. Sve naše komunikacije, i bizarne i intimne, se oslanjaju na te entitete. Ali svejedno, u većini slučajeva, naše znanje o tome kako su te mreže međusobno povezane i način na koji se rukuje našim podacima ostaje u mraku.

orion wide

Razumevanje arhitekture našeg internet provajdera

Prvi korak u razumevanju ove nevidljive mreže je razumevanje strukture naše najbliže mreže, one čiji je vlasnik i koju vodi naš internet provajder. Svaki provajder je priča za sebe. Svaki ima drugi broj korisnika, drugi broj povezanih rutera koji su organizovani u različite strukture.

Svaki uređaj koji je povezan sa internetom (naš kompjuter, ruter, server) ima svoju IP adresu. IP adresa je logička internet protokol adresa koja omogućava protok podacima preko interneta. IANA (Internet Assigned Numbers Authority) preko RIR-a (Regional Internet Registries) dodeljuje određen opseg IP adresa entitetima zainteresovanim da ih kupe, i ona drži bazu podataka o tome koji opseg pripada kome i dosta drugih informacija, uključujući i koji opseg je pripisan kojoj državi. Tako svaki internet provajder ima ograničen i definisan opseg IP adresa koje mogu dalje da dodeljuju svojim korisnicima i infrastrukturi koju poseduju.

Ovaj opseg IP adresa koje jedan internet provajder poseduje bila je početna tačka našeg istraživanja. U Srbiji postoji oko 30 internet provajdera.

provajderi tree

We used IP ranges of every ISP and created a Network Topology map for every one of them. In order to visualize large sets of data, in our case more than 300.000 different IP addresses and links between them, we had to find a tool that is able to display, manipulate and transform the network into a map. We used Gephi 36, platformu za kreiranje interaktivnih vizualizacija i istraživanja različitih vrsta mreža i složenih sistema, dinamičkih i hijerarhijskih grafikona (više reči o ovom procesu biće u odeljku Metodologija).

Dalje sledi 30 različitih mapa internet provajdera u Srbiji sačinjeni od prikupljenih rezultata.

YunetVeratTelekomSinetSBBSatTraktRadiusVektorPTT

Različite strukture i šta mi želimo da naučimo iz njih

OrionKopernikusIKOMHallSysExeNetBeotelnet ZrenjaninBeotelAVCOMAmresAbsolut OK

Analiza struktura mreža može biti korisna za različite aspekte bezbednosti mreža i njihove efikasnosti, ali mi smo u ovom slučaju bili zainteresovani osnovno za  moguće zloupotrebe mreže u pogledu ugrožavanja privatnosti, vršenja elektronskog nadzora i zadržavanja podataka, kao i različitih oblika filtriranja i kontrole sadržaja na internetu i cenzure.

Postoje 3 osnovne strukture mreže:

Centralizovana struktura – svi uređaji su povezani sa jednim centrom koji ima privilegovan pristup i stoga predstavlja glavni element mreže.

  • Decentralizovana struktura – Iako centar i dalje ima najširi spektar ovlašćenja, mreža je tako struktuirana da i centri nižeg reda imaju značajan nivo pristupa.
  • Distribuirana struktura – nijedan centar nema značajno veći nivo pristupa od ostalih.

Analizirajući naš vizualni prikaz internet provajdera u Srbiji, primetili smo da su prisutne kako centralizovane tako i decentralizovane strukture. Centralizovane strukture se mogu povezati sa mrežom Telekoma Srbije koji je u vlasništvu države, a kao primer decentralizovane mreže se može videti univerzitetska mreža – AMRES.

Igre filtriranja

Filtriranje interneta (ili cenzura interneta) je jedan od najrasprostranjenijih oblika kontrole interneta od strane vlasti. Nivo sloboda na internetu na svetskom nivou je opao četvrtu godinu za redom, sa porastom broja država koje uvode politiku primene internet cenzure i nadzora, agresivne i sofisticirane u targetiranju pojedinačnih korisnika. 37 .

Postoje tri često korišćene tehnike za blokiranje pristupa internet stranicama: blokiranje IP adrese, neovlašćeno DNS blokiranje i preusmeravanje i blokiranje URL-a preko proksija. Ove tehnike se koriste kako bi se onemogućio pristup određenim stranicama, domenima ili IP adresama. Kada su targetirani sajtovi van pravne juristikcije vlasti (u stranoj državi), ovo je najefikasniji način da se blokira pritup njenim državljanima. Postoje i naprednije tehnike (blokiranje pretrage termina koji se nalaze na crnoj listi, analiza ključnih reči, analiza dinamičnih pretraga), ali one su ređe i o njima ćemo reći više u kasnijim delovima našeg istraživanja.

Sledeće pitanje nam je bilo najinteresantnije u procesu mapiranja internet provajdera: Gde će se odigrati internet filtriranje na topologiji domaće mreže?

Prema OpenNet Initiative studiji, filtriranje interneta se može dogoditi na bilo kom ili na svakom od sledeća četiri čvora mreže:

  1. POJEDINAČNI RAČUNARI
  2. INSTITUCIJE – filtriranje mreže na institucionalnom nivou korišćenjem tehničkog blokiranja
  3. INTRNET PROVAJDERI – filtriranje na zahtev vlasti najčešće implementiraju internet provajderi koristeći bilo koju od gorepomenutih metoda tehničkog filtritranja ili kombinaciju nekoliko njih istovremeno.
  4. KIČMA INTERNETA (backbone) – Šeme filtriranja nacionalnog sadržaja i tehnike blokiranja mogu biti sprovedene na nivou kičme, utičući na pristup internetu u celoj državi. Ovo se često izvodi na internacionalnom mrežnom prolazu.

 

Amres

U jednom od naših prethodnih istraživanja 38u vezi sa slučajem prkase filtriranja interneta od strane Akademske mreže Republike Srbije (AMRES), otkrili smo primenu decentralizovane metode filtriranja sadržaja, delegirane i izvršavane preko lokalnih administratora i rutera na svakom Univerzitetu u Srbiji.

U ovom primeru, svaki lokalni administrator je odgovoran za sopstvenu listu zabranjenih sajtova i portova. Osnovan ranih 1990ih, AMRES je jedan od najstarijih internet provajdera u Srbiji i metod filtriranja interneta koji je prikazan ovde predstavlja filtriranje na institucionalnom nivou.

Ako pogledamo vizualizaciju AMRES-ove preže, možemo jasno videti zašto je ovaj metod filtriranja bio najlakše primenjiv – decentralizovana struktura AMRES-ove mreže nameće ovakvu strategiju filtriranja.

Iz naše prespektive, takav tip i kompleksnost mrežne strukture i topologije, vlasničke strukture i potreba za menadžmentom, imaju krucijalnu ulogu u definisanju modela filtriranja interneta, kao i vrste i količine opreme koja će se koristiti. Za nas, korisnike i istraživače bez pristupa privilegovanim informacijama, analiza mapa topologija mreža može biti polazna tačka za bolje razumevanje infrastrukture kontrole i potencijalne represije.

Telekom

U decembru 2014. godine, Vlada Republike Srbije je Skupštini dala Predlog Zakona o izmenama i dopunama zakona o igrama na sreću39. Predložene izmene su usvojene bez rasprave i uvida javnosti, iako bi ove izmene, da su ostale, uvele internet cenzuru u Srbiju na ‘zadnja vrata’. Rešenje koje je zapravo predstavljalo glavni problem je bio predlog koji zabranjuje „omogućavanje pristupa web sajtovima od strane domaćih operatora usluga na elektronskim komunikacionim mrežama, pravnim ili fizičkim licima koji organizuju igre na sreću bez odobrenja ili saglasnosti Uprave”.

Srećom, nakon što je SHARE analizirao predložene izmene i pokrenuo medijsku kampanju, Predlog zakona je povučen iz skupštinskih procesa, nakon itervencije Vlade. U jednom delu Predloga, napisano je internet provajderi snose odgovornost i troškove nabavke, postavljanja i održavanja opreme namenjene filtriranju. Kako bismo sastavili komentar u vezi sa iracionalnim troškovima koje bi svaki internet provajder snosio, pokušali smo da analiziramo topologiju mreže svakog pojedinačnog provajdera u Srbiji i pokušali da pretpostavimo koliko i koju vrstu opreme bi morali da kupe. Iako naša metoda nije 100% precizna, imali smo u rukama nešto sa čime smo mogli da radimo, nešto što nam je davalo uvid u nepoznat i nevidljiv dizajn mreže.

Posmatraući mapu mreže Telekoma Srbije, najvećeg internet provajdera u Srbiji i vlasnika najvećeg udela nacionalne infrastrukture, tumačili smo visoko centralizovanu strukturu, gde skoro sva glavna čvorišta, ruteri, su bili povezani sa samo dva glavna servera. Logični zaključak je bio da, ukoliko bi želeli da izvrše filtriranje u realnom vremenu, bilo bi potrebno da instaliraju opremu upravo na tim dvema lokacijama. Sa druge strane, prema broju čvorišta povezanih na ta dva servera, mogli smo zaključiti da oprema koja bi bila postavljena bi morala biti  u stanju da procesuiraju velike količine saobraćaja, dakle, morala bi biti vrhunskih performansi. Uspeli smo da procenimo tip i trošak fiktivnog rešenja za filtriranje, imajući u vidu da postoji samo nekoliko proizvođača opreme sa ovom namenom.

Igrali smo Igru filtriranja i na mapama ostalih internet provajdera, i svaki od njih je bio priča za sebe. Većina njih je bila dosta decentralizovanijih struktura i trebalo nam je više truda da bismo pretpostavili gde bi se filtriranje moglo odirati. Decentralizovane mreže su kompleksnije i teže ih je kontrolisati, imaju više raskršća, više tačaka koje je potrebno pokriti ako želite da imate pristup svim tokovima sadržaja. Međutim, teško je ne videti oblik Panoptikona u slučaju mrežne strukture kao one kod Telekoma Srbije.

S obzirom na to da je naša anilza za sada na nivou pojedinačnog provajdera, ovo je samo delić priče. Internet je mreža svih mreža, i da bismo uspeli da stvorimo kompletnu sliku i da odredimo gde se nalaze tačke kontrole, moramo ispitati njihove lokalne spojeve i veze sa internacionalnim mrežama. Upravo ovo je tema našeg sledećeg istraživanja.

allproviders

]]>
456