Kategória: Linux a sieť

Zmenené: 20. apríl 2011

Sú školy sledované?

../../_images/oko.gif

V týchto dňoch dostávajú slovenské školy nové pripojenie k internetu, nazvaného Infovek 2. Tento projekt má svoje korene ešte v predchádzajúcej vláde, tá súčasná na ňom skritizovala čo sa dalo (oprávnene) a zaistila v zmluve kozmetické zmeny. Avšak po jeho zavedení som zistil minimálne jeden, podľa mňa veľký, problém s elektronickou poštou.

Úvod do bezpečnosti

Aby aj menej znalí trochu chápali v čom problém spočíva, dovolím si začať krátkym (zjednodušeným) úvodom do problematiky bezpečnosti internetu. Krátky úvod by bol neexistuje. Trochu dlhší úvod však je existuje, ale treba pre to niečo urobiť. A prečo píšem, že treba niečo urobiť? Korene to má v histórii internetu, ktorý dlho používali iba odborníci (alebo aspoň znalí) a masové rozšírenie prakticky nastalo niekedy v 80-tych rokoch minulého storočia, keď sa na scéne objavila webové služba. V súčasnosti používajú služby internetu, často s minimálnymi odbornými znalosťami.

Odborníci vedeli (a vedia) aká je úroveň bezpečnosti i aké sú riziká a podľa toho sa i správajú, a tak nejaké veľké bezpečnostné mechanizmy neboli potrebné kto ich potreboval, používal na zvýšenie bezpečnosti iné mechanizmy. Väčšina bežných používateľov internetu však o bezpečnosti vie málo a často tie iné nástroje nie len že nepoužívajú, často o nich ani nevedia. Aby neboli bežní používatelia až takým jednoduchým sústom, začali sa koncom minulého storočia do špecifikácií internetu dostávať bezpečné verzie komunikačných protokolov, ktoré síce nerobia z internetu bezpečné prostredie, ale bezpečnosť zvyšujú. Veľmi zjednodušene možno povedať, že bezpečné verzie komunikácie pridávajú (pre používateľa) transparentné šifrovanie prenosov. Asi najznámejšou bezpečnou verziou, s ktorou sa iste stretla väčšina, je šifrovaný prenos webových stránok HTTPS.

Šifrovanie prenášaných dát je dôležité najmä preto, že sťažuje spracovanie dát, ktoré možno odchytiť prakticky kdekoľvek medzi počítačom používateľa a službou, ktorú používateľ používa. Cielene sa vyhýbam pojmu bráni, pretože odchyteniu nebráni, len vaše prihlasovacie údaje a dáta už nie je také jednoduché prečítať, pretože si ich dešifrovanie vyžaduje vysoký výkon počítačov a dlhšiu dobu, čo väčšinu potencionálnych špicľov odradí.

Bezpečnosť emailov

Vyššie spomenuté problémy s odchytávaním komunikácie po ceste sa samozrejme týkajú aj elektronickej pošty. Ako reakciu na existujúce riziká možno aj tu postrehnúť snahy o šifrovanie komunikácie, pretože pôvodná špecifikácia protokolu na prenos pošty (SMTP) zavádza bezpečnosť leda tak na úrovni pohľadníc aj malé deti dnes vedia, že to čo je na pohľadnici si môže prečítať každý, a preto tam nepatria žiadne citlivé údaje. Naozaj nepoznám nikoho, kto by na pohľadnicu písal veci ako rodné číslo, či kód svojho kódového zámku doma Zato však poznám kopu ľudí, čo to napíše do emailu.

Pri klasickej pošte ľudia citlivé údaje zatvárajú do obálky, ktorá síce ich prečítaniu nezabráni, ale sťaží veď roztrhnutie cudzej obálky je u nás trestné ako porušenie listového tajomstva. Od roku 2002 oficiálne ponúka aj prenos elektronickej pošty podobnú obálku, ktorou je šifrovanie prenosu, dnes označované ako TLS (predtým SSL). V prípade odosielania pošty možno TLS implementovať dvomi spôsobmi:

  • tls-on-start je spôsob, keď je šifrovanie inicializované ihneď pri vytváraní spojenia. Tento spôsob nebol nikdy štandardizovaný a na komunikáciu používa samostatný port 465/TCP (ktorý je mimochodom oficiálne priradený niečomu celkom inému);
  • STARTTLS je spôsob, ktorý bol štandardizovaný ako rozšírenie klasického SMTP, a šifrovanie pri ňom nastáva až tesne pred odoslaním prihlasovacích údajov. Tento spôsob používa štandardný port 25/TCP.

Východzie nastavenie väčšiny klientov elektronickej pošty, s ktorými sa stretávam je také, že bezpečnú komunikáciu nepoužívajú. Naopak, súčasné poštové servery, s ktorými som sa stretol, štandardizovaný spôsob šifrovania ponúka, a to často tak, že predvolene posielanie emailov nešifrovaným spôsob dokonca odmietnu.

V čom je problém?

Po tom, ako technik T-Comu na našej škole nainštaloval nové zariadenia, som si všimol niečo divné najprv v mojom poštovom klientovi odmietal mi odosielať emaily. Priznám sa, že som tomu najprv nevenoval veľkú pozornosť, pretože emailov posielam málo. Potom som si všimol, že emaily neodosiela ani môj poštový server, a to som už spozornel a začal pátrať po príčine problémov. Najprv však podotknem, že neposielam emaily cez SMTP servery T-Com, ale cez server webhostingu, ktorý si škola platí.

Mojou prvou cestou boli moje nastavenia myslel som si, že za problémami je bezpečnostná aktualizácia poštového servera (ktorá prišla v rovnakej dobe), ktorá vyžaduje nejakú zmenu nastavenia. Skontroloval som aj to, či sa mi do servera niekto nenapichol a niečo nezmenil, ale ani to sa mi nepotvrdilo. Ako ďalší cieľ môjho pátrania som zvolil SMTP server našej domény a chvíľu to vyzeralo, že som našiel zdroj problému! Moje zisťovanie totiž viedlo k zisteniu, že:

...
<- 250-AUTH PLAIN LOGIN
<- 250-XXXXXXXA
<- 250 XXXB
*** Host did not advertise STARTTLS
...

Teda, že SMTP server neposkytuje STARTTLS (šifrovanie). Pekne to zapadalo do symptómov poštový klient neodosiela emaily šifrovaným kanálom, poštový server neodosiela poštu šifrovaným kanálom. Bingo, hotovo, chyba odhalená!

Poodhlasoval som sa, povypínal som, čo bolo vypnúť treba, s tým, že im napíšem z domu najmä aby mi opadli emócie. Doma som začal komponovať email, do ktorého som chcel pridať moje zistenia, teda kópiu odpovedí servera aké však bolo moje prekvapenie, keď z domu všetko fungovalo tak ako malo (áno, doma využívam služby iného poskytovateľa pripojenia). Inými slovami, server STARTTLS poskytuje:

...
<- 250-AUTH PLAIN LOGIN
<- 250-STARTTLS
<- 250 HELP
-> STARTTLS
<- 220 TLS go ahead
=== TLS started w/ cipher AES256-SHA
...

Samozrejme, obe ukážky sú s pripojenia na rovnaký poštový server, len prvé je zo školy a druhé z domu… Myslím, že z uvedeného je celkom zrejmé, že T-Com, ako poskytovateľ pripojenia internetu školám vstupuje do komunikácie a manipuluje s odpoveďou poštového servera (pripomínam, poštového servera mimo pôsobnosť T-Com). V krátkosti zhrnuté, T-Com vstupuje do komunikácie medzi školou a jej službou a blokuje pri tom šifrovanú komunikáciu s poštovým serverom. Otázkou však ostáva prečo to robí. Ja neviem prečo to robí (zatiaľ), môžem preto len hádať a napadajú ma tri dôvody.

Možné dôvody

Scenár prvý

Prvou reakciou, ktorú som na to skoro od všetkých dostal bolo, že je to chyba v konfigurácii, teda zlyhanie (až neschopnosť) niektorého z technikov. Bolo by to spoločensky najprijateľnejšie vysvetlenie, hoci i tento dôvod so sebou prináša niekoľko vážnych otázok. Ak by bol tento scenár pravdivý, boli by to najmä otázky typu:

  • Akýchto technikov tento najväčší telekomunikačný operátor zamestnáva?
  • Ako u tohoto operátora funguje kontrola kvality?
  • Čo všetko ešte nefunguje tak ako má?
  • Ako funguje kontrola kvality štátnych zákaziek?

Môžem vás však upokojiť, chyba technika to nebola, ako píšem ďalej

Scenár druhý

Druhou možnosťou, ktorá ma napadá, je že T-Com sleduje poštovú komunikáciu škôl. Zdá sa vám to v demokratickej spoločnosti ako neprijateľné? Mýlite sa! T-Com toto sledovanie potvrdil (nie mne, lež kolegovi) a ako oficiálny dôvod udáva anti-SPAMovú ochranu.

Považujem toto zdôvodnenie za stojacie na hlinených nohách. Pýtate sa prečo? Nuž, jednak o kvalite antispamovej ochrany tejto úžasnej spoločnosti by mohla rozprávať naša sekretárka, ktorá denne mazala viac ako 100 (slovom sto) ponúk na viagru a podobných nevyžiadaných emailov, samozrejme v poštovej schránke, ktorú poskytovala školám táto spoločnosť v prvej verzii projektu Infovek. Moje pokusy o rôzne nastavenie ich anti-spamového filtra neviedli k zlepšeniu stavu a pomohlo len použiť služby iného poskytovateľa elektronickej pošty.

Druhým spochybnením ich antispamovej snahy je, že vstupujú do komunikácie medzi zákazníkom a jeho službou, poskytovanou treťou stranou. Viem o spamových problémoch poštových serverov T-Com (teda o ich zaraďovaní na antispamové blacklisty) a chápal by som snahu o ochranu ich serverov. Svojou manipuláciou však našej škole znemožňujú využívanie služieb, ktoré sme si zaplatili (áno, aj bezpečné SMTP je v cene poskytnutej služby), a tým škole spôsobujú finančnú škodu.

Ak sa pýtate, čo je na tom nebezpečné, tak je to to, že si nemôžete byť istý, či ešte stále komunikujete s tým, s kým ste komunikovať chceli. V praxi sa tento útok nazýva Muž uprostred (Man In the MiddleMIM alebo MItM). No a tým, že zablokovali bezpečnú komunikáciu, môžu emaily, ktoré ich pripojením tečú bez problémov čítať čo nakoniec aj robia. Čo iné ako čítanie emailov je antispamová kontrola? Samozrejme, ja neviem, či sledujú len adresy odosielateľov alebo prijímateľov, alebo preháňajú antispamovým testom celý obsah správy, tak či tak, správy čítajú. Od telekomunikačného operátora to považujem za neprijateľné zasahovanie do komunikácie, ktoré dnes obhajujú spamom (teda ochranou proti nemu), ale zajtra nám poskytnú úžasnú službu, ktorá vám nedovolí posielať emaily na niektoré adresy, lebo sa to T-Comu (alebo niekomu inému) nebude hodiť.

Scenár tretí

Tento scenár som už naznačil v predchádzajúcej časti a považujem ho za spoločensky najnebezpečnejší. Vychádzam z toho, že súkromná spoločnosť by si sledovanie emailov nedovolila len tak sama od seba. Že to teda robí ako súčasť objednávky, v tomto prípade štátnej zákazky! Teda, že sledovanie obsahu emailovej komunikácie je v záujme objednávateľa Ministerstva školstva.

Pýtate sa načo? No, poznať názory budúcich voličov môže byť kľúčovým bodom v budúcich (nie nutne hneď ďalších) voľbách. O kontrole, či zamestnanci škôl, že právne chápu dokonalosť svojho ministra, či iné, pre mňa úbohé, dôvody. myslím, že postarší si ich z minulosti pamätajú dosť.

Považujete to za nemožné? No, netreba ísť ďaleko a stačí sledovať sledovacie aféry, ktoré sa v týchto (a nedávno minulých) dňoch dostávajú na povrch nie len v susednom Česku, ale i podozrenia na sledovania politikov u nás.

Je tu riešenie?

Viacerí, s ktorými som tento problém konzultoval, mi odporučili, aby som to riešil priamo s T-Com. je to naozaj riešenie? Ak je tento problém centrálny, nie je predsa riešením jednotlivé kontaktovanie zo škôl. Má byť riešený centrálne, a to najmä preto, že iste existuje štátom platený úradník, ktorý za realizáciu zákazky nesie zodpovednosť. teda správcovia sietí v školách to budú riešiť a on za to zoberie plat?

Ďalším dôvodom na centrálne riešenie centrálneho problému je to, že vôbec nastal. Naša ústava garantuje nedotknuteľnosť súkromia, a to ako súkromia fyzických osôb, tak osôb právnických, teda i súkromia škôl. ja považujem ochranu súkromia za veľmi dôležitú a ak si niekto dovolí súkromie narušiť, hoci to ospravedlňuje pomyselnou antispamovou kontrolou, je to nebezpečné, nebezpečné pre nás všetkých.

Pýtate sa prečo tu píšem svoje dohady? No, minimálne blokovanie šifrovaného SMTP dohadom nie je. Ani tzv. antispamová ochrana. Či je to naozaj len dobrý úmysel, ktorý naráža na ústavné práva alebo cielený útok na tieto práva, neviem. V súčasnej dobe sú na ceste podania na príslušné, i menej príslušné úrady. Ako sa k tomu postavia neviem. Ale už to, že takáto situácia vôbec nastala je pre mňa také závažné, že nechcem čakať na odpovede a reakcie úradov a chcem na možné riziká takéhoto správania poskytovateľa pripojenia k internetu upozorniť verejnosť.

Otázkou však ostáva prečo to robia. Zaplatil si takéto zasahovanie do súkromia emailovej komunikácie štát alebo je to súkromná iniciatíva súkromnej firmy? Pamätajte, že len to sa nedá zneužiť, čo nikdy nedostanete. V tomto prípade teda nejde o to, či posielate emailom vyhrážky alebo nevyžiadané reklamné materiály, ale že ich niekto sleduje cestou medzi vami a vašou poštovou službou.