Monitorizarea ACTA și tehnologia de tip client automation
Vizavi de ACTA mi-am spus părerea. Dacă avem o lege a drepturilor de autor atât de bună, pe cât spunea domnul ministru al comunicațiilor în seara asta la TVR, de ce am avea nevoie de ACTA?
Apoi, textul ACTA a ajuns la Ministerul Comunicațiilor în data de 19 Ianuarie, iar șapte zile mai târziu a fost semnat la Tokyo. Să mă scuzați, dar nu cred că un acord comercial de asemenea amploare poate fi înțeles și parcurs în doar șase, șapte zile…
Totuși, domnul ministru al comunicațiilor, pe lângă datele de mai sus, a mai spus un adevăr, la invitația moderatorului emisiunii de știri unde a fost invitat, adevăr ce, în traducere, înseamnă cam așa:
În acest moment, există mijloacele tehnologice de monitorizare a traficului fiecărui internaut.
Știu că sunt mulți specialiști care cred că așa ceva este imposibil.
Dar îmi pare rău, dar trebuie să îi contrazic: în acest moment, există mijloacele tehnice de a monitoriza electronic pe oricine, oricât de criptate ar fi pachetele, folosind tehnologie generic denumită „client automation”, pentru că ACTA nu prevede cum se va face monitorizarea, adică dacă se va face prin packet sniffing sau prin instalarea de software pe computerele clienților.
Are și HP un software care se cheamă, chestie de marketing, fix „Client Automation”, atâta că nu este folosit la monitorizare, dar face parte din această categorie software a automatizării computerelor client (nu ale clienților, ci ale computerelor client ale unor servicii – de exemplu banking), dealtfel surprinzător de amplă, tehnologie despre care vom vorbi în continuare.
Dintre firmele mai cunoscute pe la noi și care au astfel de sisteme de client automation, îi mai avem pe cei de la McAfee, Norton și Computer Associates, din vreo câteva zeci de companii, dar cei mai periculoși nu sunt ăștia cunoscuți, relax, ci firmele mici cu 2 -3 hackeri blackhat care vor să facă bani legal…
Sigur că nu se vede la știri, dar tehnologia există de ani buni și pot să vă dezvălui principiul pe care acestă tehnologie a client automation se bazează, și anume:
Pe un computer se instalează un pachet software denumit agent, care execută, la cererea unui server ce-i cere asta, diverse operațiuni, mai mulți astfel de agenți (mii sau zeci de mii) fiind sub comanda unui server cu funcții specifice, server ce are rolul de a coordona diversele operații automate executate pe computerele client, de unde și denumirea de client automation.
Acest agent al unui astfel de sistem poate fi comandat de la distanță să facă orice, oricum, oricând. De exemplu, poate scana tot conținutul hard diskului, să calculeze hash-ul (semnătura) fiecărui fișier după unul sau mai mulți algoritmi (CRC, TDES, AES etc) pentru a determina dacă un fișier este, sau nu, original…
Mai mult, aceste sisteme pot șterge automat fișiere, pot reconfigura computere și echipamente de rețea, pot alerta autoritățile, pot porni webcam-ul, pot instala programe noi inclusiv pe unitățile de memorie externă (stickuri USB și carduri de memorie), posibilitățile sunt nebănuite și nelimitate…
De exemplu, pentru avansați, tehnologia de tipul client automation poate modifica conținutului fișierului hosts și e gata, suntem cu toții „la revedere, pa și pusi, adio și la gară, mi-a părut bine”.
De aceea, vă rog să nu vă bazați că tehnologia nu există. Există. Momentan nu e folosită în acest scop. Dar ar dura câteva săptămâni până să se facă necesara tranziție de la auditul de securitate la cel de materiale înregistrate…
Și nu vă relaxați dacă vi se spune că astfel de sisteme nu se vor folosi pentru cenzură, vă rog să nu puneți botul. Dacă un ziar publică un articol cu textul „Jos Băsescu!” iar voi vreți să spuneți asta undeva, pe vreun blog, s-ar putea interpreta ca și cum ați folosi material piratat, deci nașpa.
Mai are rost să continui? Sau v-ați lămurit deja?
P.S. Știți cum ni se poate băga pe gât instalarea unui astfel de agent? De exemplu la RDS folosim conexiuni PPPoE cu user și parolă și ni se poate pretexta că, pentru a ne conecta la rețea, să folosim software-ul lor client „pentru a ajuta la configurarea dinamică a rețelei”. Ahem.
Pai era singul fel pe care ne monitorizau doar neoficial…ca in realitate oricum ne monitoruizau…deci…acum va fi cu acte in regula…si oricine este apsibil de a calca legea penala dupa reglementarile ACTA!
Nu știu ce să zic…