Kolejny tydzień w Waszyngtonie, kolejna runda uchwalania nowych przepisów dotyczących cyberbezpieczeństwa i kolejny etap sporu o prymat pomiędzy obrońcami prywatności i lobby zwolenników zwiększenia bezpieczeństwa.
W tym tygodniu, wprowadzono dwa, konkurujące ze sobą projekty ustaw, dotyczące problemu botnetów. Jak z dużą częścią technologii informatycznych, problem związany z botnetami stoi w stawia wyzwania rozwiązaniom prawnym tkwiącym korzeniami w erze przed narodzinami Internetu. Co więcej, kwestia ta jest kłopotliwa także z perspektywy ochrony wolności obywatelskich. Z jednej strony istnieje bowiem powszechny i klarowny pogląd, jakoby infekowanie komputerów prywatnych złośliwym oprogramowaniem w celu wykorzystania ich w charakterze tzw. botnetów, oznaczało wykorzystanie i uzyskanie dostępu do tych urządzeń w sposób nieautoryzowany, a takie kroki w Unii Europejskiej, jak i w Stanach Zjednoczonych Ameryki Północnej, są uznawane za niezgodne z obowiązującym porządkiem prawnym. Jednak jak radzić sobie z neutralizacją tego problemu, który w tym zakresie jest dwuwymiarowy?
Na proces składają się odrębne etapy. Po pierwsze, należy odnaleźć serwery dowodzące danym botnetem. Jedna z kłopotliwych kwestii w tym obszarze odnosi się do jurysdykcji. Organ ścigania zajmujący się przestępstwami popełnionymi z użyciem metodologii botnet – niezależnie od tego, czy mamy tu na myśli kradzież tożsamości, czy też ataki DDoS – może nie być w stanie zlokalizować serwera sterującego, z uwagi na zastosowanie technologii, która maskuje IP atakującego, np. Tor. Obecnie, należy ujawnić faktyczny adres IP tegoż serwera, zanim władze będą mogły wydać nakaz jego przejęcia. Wiele agencji rządowych, zajmujących się ściganiem przestępczości, obecnie nie posiada technologii i wiedzy praktycznej niezbędnej do ujawnienia wspomnianych adresów IP. Nawet, jeżeli takowe środki są dla nich dostępne, rzadko znajdują się one w tej samej jurysdykcji, co organ ścigania, a sytuacja, gdy odpowiednie aktywa mają tę samą lokalizację, co nielegalne serwery, jest jeszcze mniej powszechna. W ramach porządku prawnego, obowiązującego na terytorium Stanów Zjednoczonych, wyłącznie sędziowie z jednostki organizacyjnej, na terenie której znajduje się komputer będący celem planowanego przejęcia, mają uprawnienia do zatwierdzenia odpowiednich nakazów. Powyższe oznacza, że działania ukierunkowane przeciwko botnetom mogą wymagać wydania kilkunastu nakazów, przez kilkanaście sądów, na terytorium całego kraju.
Druga kwestia dotyczy samego botnetu. Nawet jeżeli możliwe będzie przejęcie serwerów sterujących atakiem, złośliwe oprogramowanie, które stworzyło sieć komputerów-botów, będzie nadal obecne na zainfekowanych komputerach, pozostając w stanie uśpienia, dopóki inna osoba nie przejmie nad nim kontroli i nie przywróci aktywności botów. Aby faktycznie zneutralizować botnet, wymaga się zneutralizowania lub usunięcia złośliwego oprogramowania ze wszystkich zainfekowanych komputerów. Jednakże, jeżeli pozostawić to zadanie do wykonania władzom,musiałyby one uzyskać dostęp do każdego z urządzeń padających ofiarą wrogiej inicjatywy i stało się elementem większej sieci, która posłużyła do przeprowadzenia nielegalnych działań.
Takie działanie mogłoby zostać uznane za przeszukanie, lub przejęcie, zgodnie z definicją tychże terminów zawartych w Czwartej Poprawce Konstytucji Stanów Zjednoczonych. Niniejszym sędzia stanąłby wobec konieczności wydania odpowiedniego nakazu. Wydanie przez sędziego nakazów dotyczących wszystkich urządzeń tworzących botnet, w tym także komputerów, które fizycznie znajdowałaby się poza granicami USA, stanowiłoby poważne wyzwanie.
Innowacyjne rozwiązanie zastosowano kilkanaście lat temu w czasie akcji przeciwko botnetowi Coreflood. Pominięto wymóg odinstalowania oprogramowania, a co za tym idzie, podjęcier działań nie wymagało uzyskania nakazu. Po uzyskaniu upoważnienia do przejęcia serwerów sterujących Coreflood, rząd przekazał kontrolę nad tymi komputerami organizacji non-profit Internet Systems Consortium (ISC). Zachodziły okoliczności, w ramach których komputery zainfekowane kontaktowały się z serwerami w oczekiwaniu na dalsze instrukcje. Rządowi następnie udało się nakłonić sędziego do wydania tymczasowego „zakazu zbliżania się”, który pozwolił na wysłanie nakazu „stop” do wszystkich komputerów sieci, które czyniły próby skontaktowania się z serwerami. Dlatego, zamiast zdalnego usunięcia lub neutralizacji oprogramowania, które wymagałoby uzyskania odpowiednich nakazów, rząd zdecydował się wyłącznie na zdalną dezaktywację złośliwej zawartości komputerów botnetu. Jednakże wciąż takie podejście przyjęte w przypadku Coreflood budziło wiele wątpliwości z perspektywy ochrony wolności obywatelskich. Okazało się bowiem, że jest to jedynie rozwiązanie o charakterze tymczasowym, a nie mocno ugruntowany sposób obejścia problemu botnetów.
Jednakże obecnie wdraża się szereg inicjatyw w celu poszerzenia zakresu działań dopuszczalnych ze strony rządu. Efektem przyjętych zmian będzie też większa klarowność przepisów umożliwiających stawianie czoła atakom z użyciem sieci komputerów-botów. I tak 19 maja br. senatorowie Sheldon Whitehouse, Lindsey Graham i Richard Blumenthal ogłosili opracowanie projektu Ustawy o przeciwdziałaniu botnetom (Botnet Prevention Act 2016). Zgodnie z założeniami przyjętymi przez autorów, nowa legislacja „wzmocniłaby uprawnienia organów ścigania i sądów” w dziedzinie zwalczania problemubotnetów w kilku, niżej wymienionych obszarach:
zwiększyłyby się uprawnienia Departamentu Sprawiedliwości w zakresie uzyskiwania nakazów sądowych, wymaganych do tego, by neutralizować botnety. Zgodnie z obecnym prawem, Departament Sprawiedliwości posiada ograniczone możliwości, jeżeli chodzi o nakazy sądowe - dotyczą one wyłącznie botnetów używanych do oszustw lub nielegalnych podsłuchów. Projekt ustawy znacząco rozszerzyłby także uprawnienia władz, pozwalające na objęcie odpowiednimi działaniami większego spectrum nielegalnej aktywności, w tym niszczenia danych, ataków DDoS wykorzystywanych do zakłócania działalności witryn sieci web czy innych czynów karalnych, których celem jest wyrządzanie szkód powstających w odniesieniu do komputerów.
legislacja pozwoliłaby sędziom na nakładanie, wedle własnej woli, kar na osoby atakujące komputery kontrolujące funkcjonowanie infrastruktury krytycznej, takiej jak zapory, elektrownie czy szpitale.
stworzony zostałby nowy rodzaj przestępstwa - odnoszący się do kryminalistów, którzy sprzedają dostęp do komputerów w ramach zainfekowanej sieci, tworzącej botnet. W świetle obecnie obowiązującego prawa trudne jest oskarżanie sprzedających o korzystanie z możliwości uzyskania dostępu do komputerów, które stały się obiektem ataku, w szczególności, gdy to nie podmiot sprzedający dostęp stworzył zagrożenie dla urządzeń pozostających w sieci - nie istnieje bowiem obecnie, w prawie karnym obowiązującym w USA, przepis, który bezpośrednio zabraniałby dokonywania takich czynów. Oznacza to, że proponowane rozwiązania prawne uszczelniłyby tę lukę.
Władza sądownicza podejmuje także własne wysiłki w celu rozwiązania problemów związanych z granicami jurysdykcji sądów, które zajmują się problemem botnetów. Zespół sędziów federalnych odpowiedzialnych za Federalny Kodeks Postępowania Karnego zaproponował wprowadzenie poprawki odnoszącej się do Zasady 41 (Rule 41). Regulacja ta określa zakres władzy w rękach sędziów, odnoszący się do wydawania nakazów przeszukania i zajmowania własności prywatnej. Obecnie sędziowie mogą wydawać nakazy przeszukań wyłącznie w granicach jednostki organizacyjnej sądownictwa, w której są powołani do orzekania. Ograniczenie to stworzyło szereg problemów np. dla FBI w ostatniej sprawie, związanej grupą osób żyjących z pornografii dziecięcą, która działała na terenie całego kraju. Nowa propozycja oznacza wprowadzenie następujących zmian Zasady 41:
umożliwi sędziom na wydawanie nakazów przeszukania komputerów poza ich
jurysdykcją, jeżeli lokalizacja inkryminowanych urządzeń byłaby ukrywana za pomocą technologii maskowania IP;
umożliwi sędziom wydawanie nakazów poza obszarem ich jurysdykcji, gdy komputery, które należy przeszukać „zostały uszkodzone bez autoryzacji” i znajdują się w „pięciu lub większej liczbie okręgów”. Jest to w gruncie rzeczy, definicja tego, co może być uznawane za botnet.
umożliwi agentom organów ścigania, od których wymaga się informowania obywateli o fakcie, że ich własność jest przedmiotem przeszukania, realizację tej czynności drogą elektroniczną bez potrzeby przedstawiania nakazu przeszukania osobiście.
Powyższe propozycje uzyskały aprobatę Sądu Najwyższego i wejdą w życie najpóźniej do grudnia br., o ile Kongres nie podejmie działań przeciwko przyjętym w ich ramach rozwiązaniom prawnym. Nie jest zaskakujące, że propozycja spotkała się z falą szerokiej krytyki ze strony lobby obrońców wolności obywatelskich. Sprzeciw wyraziło także wiele firm teleinformatycznych, np. Google, a także grupy handlowe. Co więcej opracowano projekt ustawy, który ma na celu uchylenie obowiązywania dopiero co przyjętego prawa. Senatorowie Ron Wyden i Rand Paul, prawdopodobnie najwięksi obrońcy prywatności danych w izbie wyższej Kongresu USA przygotowali projekt Ustawy o powstrzymaniu masowego hakowania (Stop Mass Hacking Act), w która lakonicznie stwierdza się, że „Proponowane poprawki Zasady 41 Federalnego Kodeksu Postępowania Karnego...nie obowiązują”.
Jeden tydzień i dwa projekty. Pierwszy, którego celem jest uproszczenie procesu neutralizacji botnetów, i drugi, który podaje w wątpliwość zasadność ich zwalczania, argumentując to potrzebą ochrony prywatności. Tak oto pod znakiem dwóch przeciwstawnych rozwiązań legislacyjnych upłynął kolejny, intensywny tydzień w Waszyngtonie, niestety w dużej mierze bezproduktywny z perspektywy debaty publicznej o cyberbezpieczeństwie.