Sú školy sledované?
V týchto dňoch dostávajú slovenské školy nové pripojenie k internetu, nazvaného Infovek 2. Tento projekt má svoje korene ešte v predchádzajúcej vláde, tá súčasná na ňom skritizovala čo sa dalo (oprávnene) a zaistila v zmluve kozmetické zmeny. Avšak po jeho zavedení som zistil minimálne jeden, podľa mňa veľký, problém s elektronickou poštou.
Úvod do bezpečnosti
Aby aj menej znalí trochu chápali v čom problém spočíva, dovolím si začať krátkym (zjednodušeným) úvodom do problematiky bezpečnosti internetu. Krátky úvod by bol – neexistuje. Trochu dlhší úvod však je – existuje, ale treba pre to niečo urobiť. A prečo píšem, že treba niečo urobiť? Korene to má v histórii internetu, ktorý dlho používali iba odborníci (alebo aspoň znalí) a masové rozšírenie prakticky nastalo niekedy v 80-tych rokoch minulého storočia, keď sa na scéne objavila webové služba. V súčasnosti používajú služby internetu, často s minimálnymi odbornými znalosťami.
Odborníci vedeli (a vedia) aká je úroveň bezpečnosti i aké sú riziká a podľa toho sa i správajú, a tak nejaké veľké bezpečnostné mechanizmy neboli potrebné – kto ich potreboval, používal na zvýšenie bezpečnosti iné mechanizmy. Väčšina bežných používateľov internetu však o bezpečnosti vie málo a často tie iné nástroje nie len že nepoužívajú, často o nich ani nevedia. Aby neboli bežní používatelia až takým jednoduchým sústom, začali sa koncom minulého storočia do špecifikácií internetu dostávať bezpečné verzie komunikačných protokolov, ktoré síce nerobia z internetu bezpečné prostredie, ale bezpečnosť zvyšujú. Veľmi zjednodušene možno povedať, že bezpečné verzie komunikácie pridávajú (pre používateľa) transparentné šifrovanie prenosov. Asi najznámejšou bezpečnou verziou, s ktorou sa iste stretla väčšina, je šifrovaný prenos webových stránok – HTTPS.
Šifrovanie prenášaných dát je dôležité najmä preto, že sťažuje spracovanie dát, ktoré možno odchytiť prakticky kdekoľvek medzi počítačom používateľa a službou, ktorú používateľ používa. Cielene sa vyhýbam pojmu bráni, pretože odchyteniu nebráni, len vaše prihlasovacie údaje a dáta už nie je také jednoduché prečítať, pretože si ich dešifrovanie vyžaduje vysoký výkon počítačov a dlhšiu dobu, čo väčšinu potencionálnych špicľov odradí.
Bezpečnosť emailov
Vyššie spomenuté problémy s odchytávaním komunikácie po ceste sa samozrejme týkajú aj elektronickej pošty. Ako reakciu na existujúce riziká možno aj tu postrehnúť snahy o šifrovanie komunikácie, pretože pôvodná špecifikácia protokolu na prenos pošty (SMTP) zavádza bezpečnosť leda tak na úrovni pohľadníc – aj malé deti dnes vedia, že to čo je na pohľadnici si môže prečítať každý, a preto tam nepatria žiadne citlivé údaje. Naozaj nepoznám nikoho, kto by na pohľadnicu písal veci ako rodné číslo, či kód svojho kódového zámku doma… Zato však poznám kopu ľudí, čo to napíše do emailu.
Pri klasickej pošte ľudia citlivé údaje zatvárajú do obálky, ktorá síce ich prečítaniu nezabráni, ale sťaží – veď roztrhnutie cudzej obálky je u nás trestné ako porušenie listového tajomstva. Od roku 2002 oficiálne ponúka aj prenos elektronickej pošty podobnú obálku, ktorou je šifrovanie prenosu, dnes označované ako TLS (predtým SSL). V prípade odosielania pošty možno TLS implementovať dvomi spôsobmi:
- tls-on-start je spôsob, keď je šifrovanie inicializované ihneď pri vytváraní spojenia. Tento spôsob nebol nikdy štandardizovaný a na komunikáciu používa samostatný port 465/TCP (ktorý je mimochodom oficiálne priradený niečomu celkom inému);
- STARTTLS je spôsob, ktorý bol štandardizovaný ako rozšírenie klasického SMTP, a šifrovanie pri ňom nastáva až tesne pred odoslaním prihlasovacích údajov. Tento spôsob používa štandardný port 25/TCP.
Východzie nastavenie väčšiny klientov elektronickej pošty, s ktorými sa stretávam je také, že bezpečnú komunikáciu nepoužívajú. Naopak, súčasné poštové servery, s ktorými som sa stretol, štandardizovaný spôsob šifrovania ponúka, a to často tak, že predvolene posielanie emailov nešifrovaným spôsob dokonca odmietnu.
V čom je problém?
Po tom, ako technik T-Comu na našej škole nainštaloval nové zariadenia, som si všimol niečo divné najprv v mojom poštovom klientovi – odmietal mi odosielať emaily. Priznám sa, že som tomu najprv nevenoval veľkú pozornosť, pretože emailov posielam málo. Potom som si všimol, že emaily neodosiela ani môj poštový server, a to som už spozornel a začal pátrať po príčine problémov. Najprv však podotknem, že neposielam emaily cez SMTP servery T-Com, ale cez server webhostingu, ktorý si škola platí.
Mojou prvou cestou boli moje nastavenia – myslel som si, že za problémami je bezpečnostná aktualizácia poštového servera (ktorá prišla v rovnakej dobe), ktorá vyžaduje nejakú zmenu nastavenia. Skontroloval som aj to, či sa mi do servera niekto nenapichol a niečo nezmenil, ale ani to sa mi nepotvrdilo. Ako ďalší cieľ môjho pátrania som zvolil SMTP server našej domény a chvíľu to vyzeralo, že som našiel zdroj problému! Moje zisťovanie totiž viedlo k zisteniu, že:
...
<- 250-AUTH PLAIN LOGIN
<- 250-XXXXXXXA
<- 250 XXXB
*** Host did not advertise STARTTLS
...
Teda, že SMTP server neposkytuje STARTTLS (šifrovanie). Pekne to zapadalo do symptómov – poštový klient neodosiela emaily šifrovaným kanálom, poštový server neodosiela poštu šifrovaným kanálom. Bingo, hotovo, chyba odhalená!
Poodhlasoval som sa, povypínal som, čo bolo vypnúť treba, s tým, že im napíšem z domu – najmä aby mi opadli emócie. Doma som začal komponovať email, do ktorého som chcel pridať moje zistenia, teda kópiu odpovedí servera – aké však bolo moje prekvapenie, keď z domu všetko fungovalo tak ako malo (áno, doma využívam služby iného poskytovateľa pripojenia). Inými slovami, server STARTTLS poskytuje:
... <- 250-AUTH PLAIN LOGIN <- 250-STARTTLS <- 250 HELP -> STARTTLS <- 220 TLS go ahead === TLS started w/ cipher AES256-SHA ...
Samozrejme, obe ukážky sú s pripojenia na rovnaký poštový server, len prvé je zo školy a druhé z domu... Myslím, že z uvedeného je celkom zrejmé, že T-Com, ako poskytovateľ pripojenia internetu školám vstupuje do komunikácie a manipuluje s odpoveďou poštového servera (pripomínam, poštového servera mimo pôsobnosť T-Com). V krátkosti zhrnuté, T-Com vstupuje do komunikácie medzi školou a jej službou a blokuje pri tom šifrovanú komunikáciu s poštovým serverom. Otázkou však ostáva prečo to robí. Ja neviem prečo to robí (zatiaľ), môžem preto len hádať a napadajú ma tri dôvody.
Možné dôvody
Scenár prvý
Prvou reakciou, ktorú som na to skoro od všetkých dostal bolo, že je to chyba v konfigurácii, teda zlyhanie (až neschopnosť) niektorého z technikov. Bolo by to spoločensky najprijateľnejšie vysvetlenie, hoci i tento dôvod so sebou prináša niekoľko vážnych otázok. Ak by bol tento scenár pravdivý, boli by to najmä otázky typu:
- Akýchto technikov tento najväčší telekomunikačný operátor zamestnáva?
- Ako u tohoto operátora funguje kontrola kvality?
- Čo všetko ešte nefunguje tak ako má?
- Ako funguje kontrola kvality štátnych zákaziek?
Môžem vás však „upokojiť”, chyba technika to nebola, ako píšem ďalej…
Scenár druhý
Druhou možnosťou, ktorá ma napadá, je že T-Com sleduje poštovú komunikáciu škôl. Zdá sa vám to v demokratickej spoločnosti ako neprijateľné? Mýlite sa! T-Com toto sledovanie potvrdil (nie mne, lež kolegovi) a ako oficiálny dôvod udáva anti-SPAMovú ochranu.
Považujem toto zdôvodnenie za stojacie na hlinených nohách. Pýtate sa prečo? Nuž, jednak o kvalite antispamovej ochrany tejto úžasnej spoločnosti by mohla rozprávať naša sekretárka, ktorá denne mazala viac ako 100 (slovom sto) ponúk na viagru a podobných nevyžiadaných emailov, samozrejme v poštovej schránke, ktorú poskytovala školám táto spoločnosť v prvej verzii projektu Infovek. Moje pokusy o rôzne nastavenie ich anti-spamového filtra neviedli k zlepšeniu stavu a pomohlo len použiť služby iného poskytovateľa elektronickej pošty.
Druhým spochybnením ich antispamovej snahy je, že vstupujú do komunikácie medzi zákazníkom a jeho službou, poskytovanou treťou stranou. Viem o spamových problémoch poštových serverov T-Com (teda o ich zaraďovaní na antispamové blacklisty) a chápal by som snahu o ochranu ich serverov. Svojou manipuláciou však našej škole znemožňujú využívanie služieb, ktoré sme si zaplatili (áno, aj bezpečné SMTP je v cene poskytnutej služby), a tým škole spôsobujú finančnú škodu.
Ak sa pýtate, čo je na tom nebezpečné, tak je to to, že si nemôžete byť istý, či ešte stále komunikujete s tým, s kým ste komunikovať chceli. V praxi sa tento útok nazýva „Muž uprostred” (Man In the Middle – MIM alebo MItM). No a tým, že zablokovali bezpečnú komunikáciu, môžu emaily, ktoré ich pripojením tečú bez problémov čítať – čo nakoniec aj robia. Čo iné ako čítanie emailov je antispamová kontrola? Samozrejme, ja neviem, či sledujú len adresy odosielateľov alebo prijímateľov, alebo preháňajú antispamovým testom celý obsah správy, tak či tak, správy čítajú. Od telekomunikačného operátora to považujem za neprijateľné zasahovanie do komunikácie, ktoré dnes obhajujú spamom (teda ochranou proti nemu), ale zajtra nám poskytnú úžasnú službu, ktorá vám nedovolí posielať emaily na niektoré adresy, lebo sa to T-Comu (alebo niekomu inému) nebude hodiť.
Scenár tretí
Tento scenár som už naznačil v predchádzajúcej časti a považujem ho za spoločensky najnebezpečnejší. Vychádzam z toho, že súkromná spoločnosť by si sledovanie emailov nedovolila len tak sama od seba. Že to teda robí ako súčasť objednávky, v tomto prípade štátnej zákazky! Teda, že sledovanie obsahu emailovej komunikácie je v záujme objednávateľa – Ministerstva školstva.
Pýtate sa načo? No, poznať názory budúcich voličov môže byť kľúčovým bodom v budúcich (nie nutne hneď ďalších) voľbách. O kontrole, či zamestnanci škôl, že „právne” chápu dokonalosť svojho ministra, či iné, pre mňa úbohé, dôvody. myslím, že postarší si ich z minulosti pamätajú dosť.
Považujete to za nemožné? No, netreba ísť ďaleko a stačí sledovať sledovacie aféry, ktoré sa v týchto (a nedávno minulých) dňoch dostávajú na povrch nie len v susednom Česku, ale i podozrenia na sledovania politikov u nás.
Je tu riešenie?
Viacerí, s ktorými som tento problém konzultoval, mi odporučili, aby som to riešil priamo s T-Com. je to naozaj riešenie? Ak je tento problém centrálny, nie je predsa riešením jednotlivé kontaktovanie zo škôl. Má byť riešený centrálne, a to najmä preto, že iste existuje štátom platený úradník, ktorý za realizáciu zákazky nesie zodpovednosť. teda správcovia sietí v školách to budú riešiť a on za to zoberie plat?
Ďalším dôvodom na centrálne riešenie centrálneho problému je to, že vôbec nastal. Naša ústava garantuje nedotknuteľnosť súkromia, a to ako súkromia fyzických osôb, tak osôb právnických, teda i súkromia škôl. ja považujem ochranu súkromia za veľmi dôležitú a ak si niekto dovolí súkromie narušiť, hoci to ospravedlňuje pomyselnou antispamovou kontrolou, je to nebezpečné, nebezpečné pre nás všetkých.
Pýtate sa prečo tu píšem svoje dohady? No, minimálne blokovanie šifrovaného SMTP dohadom nie je. Ani tzv. „antispamová ochrana”. Či je to naozaj len dobrý úmysel, ktorý naráža na ústavné práva alebo cielený útok na tieto práva, neviem. V súčasnej dobe sú na ceste podania na príslušné, i menej príslušné úrady. Ako sa k tomu postavia neviem. Ale už to, že takáto situácia vôbec nastala je pre mňa také závažné, že nechcem čakať na odpovede a reakcie úradov a chcem na možné riziká takéhoto správania poskytovateľa pripojenia k internetu upozorniť verejnosť.
Otázkou však ostáva prečo to robia. Zaplatil si takéto zasahovanie do súkromia emailovej komunikácie štát alebo je to súkromná iniciatíva súkromnej firmy? Pamätajte, že len to sa nedá zneužiť, čo nikdy nedostanete. V tomto prípade teda nejde o to, či posielate emailom vyhrážky alebo nevyžiadané reklamné materiály, ale že ich niekto sleduje cestou medzi vami a vašou poštovou službou.
Všeobecné
Súvisiace
Podporujem
Komentáre
smtp_pix_workarounds = delay_dotcrlf
smtp_pix_workaround_threshold_time = 0
v main.cf postfixu. Snáď to pomôže :)
Inými slovami, celý problém je len a len v STARTTLS, hoci nepopieram, že za to môže ich HW. Ak je to známa chyba, je zaujímavé, že používajú HW, ktorý przní sieťové (a bezpečnostné) štandardy.
Neviem či existuje podobný workaround ako som spomenul aj pre exim (http://www.debian-administration.org/articles/382 - jeden starší článok týkajúci sa tejto chyby), treba pohľadať prípadne kontaktovať T-com aby na firewall aplikoval príkaz "no fixup protocol smtp 25" keďže predpokladám že tak ako ja ani ty k firewallu nemáš prístup.
Čo sa týka použitia CISCO zariadení so známou chybou - radšej sa ani nebudem vyjadrovať - všetci vieme ako to je.
celkom iný spôsob, ale problém rieši: http://slavino.sk/linux/debian-gnu-linux/debian-a-siet/243-ssl-pre-klienta-exim4 avšak len pre poštový server, nie už pre jednotlivé klienty.
Citovanie kvaso:
a tu si myslím pravý opak. Myslím, že sa treba vyjadrovať a riadne nahlas, pretože týmto svojim konaním hrubo zasahujú do ochrany súkromia, ako učiteľov a študentov, tak i školy ako takej a aby to nebolo málo, tak to všetko za naše peniaze! Mám však pocit, že to nikoho, okrem mňa, netrápi.
Nemyslel som to tak že sa k tomu nebudem vyjadrovať vôbec ;) , len že tými vyjadreniami nebudem spamovať toto fórum. Ako je to s prístupom T-comu vieme. Po pár telefonátoch keď sa to najprv snažili uhrať na moju neznalosť problematiky (nemyslím si o sebe že by som bol kto vie kto ale tieto narážky na moje nedostatočné vedomosti od technika ktorý zjavne o problematike nič nevedel a chcel sa ma zbaviť niekoľkými zle použitými odbornými termínmi sa ma osobne dotkli
vidím, že naše skúsenosti sú si minimálne podobné, ak nie rovnaké...
Už sme dvaja! To je viac ako sám, hoci stále to asi bude málo na to, aby sme niečo zmenili
Keď som sa snažil upozorniť na dôsledky tohoto problému, poväčšinou to ľudia odbili tým, že vymýšľam konšpiračné teórie. No čo už, keď nevedia postaviť protiargumenty, aspoň sa pokúsia protivníka zosmiešniť... Niekoľko ostatných zľahčovalo problém chybou FW, stretol som zatiaľ len dvoch (mimo stránky), ktorí to tiež považujú za vážny zásah do súkromia.
edunet-static-153.87-197-3.telecom.sk [87.197.3.153]:.... Relay access
denied.
Po telefonáte, ktorý som zrealizoval s pracovníkom telekomu, sa situácia zmenila a už nám to funguje. Problém bol v ich nastavení zariadenia, ktoré dodali na školu.
Takze chyba bude aj niekde po ceste.
Je to sice neuveritelne, ale aj v Infoveku moze nieco niekedy fungovat;o).
Čo však urobiť, keď sa generálny riaditeľ Ústavu informatiky a prognóz školstva (ktorého som informoval) vyjadril, že nerozumie v čom je problém... Ja zase nerozumiem čo tam ešte taký "odborník" robí!