Alice în țara malware-urilor

Alice și Bob schimbă între ei mesaje secrete. Bineînțeles, niciunul nu vrea ca alții să le poată citi. Pentru asta, cei doi găsesc și soluția.

Alice în țara malware-urilor

La sfârșitul lunii trecute, Combridge a fost partener al celei de a VII-a ediții a conferinței anuale „Noile provocări globale în securitate cibernetică.” În cadrul evenimentului organizat de CERT.RO și găzduit de Biblioteca Națională a României, compania a prezentat noul sistem de protecție online, SSL Visibility. Săptămâna trecută, Combridge a organizat și un workshop pe aceeași temă.

De ce preocuparea pentru securitate cibernetică? Una dintre cele mai importante componente ale afacerilor online este de a inspira încredere, de a crea un mediu în care potențialii clienți să se simtă în siguranță atunci când transferă date. Certificatele SSL (Secure Sockets Layer), prin stabilirea unei conexiuni securizate, constituie fundamentul acestei încrederi, scrie digicert.com.

Google a început de doi ani să indexeze paginile web securizate, pas care a crescut interesul pentru ele. În prezent, mai bine de jumătate din traficul de pe Internet este criptat și inspectarea traficului este tot mai dificilă. Cu această tendință, în trei ani, toate site-urile vor fi securizate. De aceea, e nevoie de instrumente noi care să ajute la o mai bună vizibilitate a acestui gen de trafic.

Lăcătușerie digitală

Pentru împătimiții de tehnologie, discuția despre SSL poate părea stupidă, dar multă lume nu știe cum funcționează un site securizat.

SSL este un protocol de securitate creat de Netscape pentru a securiza prin criptare date schimbate între browsere și servere. Protocolul folosește o terță parte (Autoritatea de Certificare) pentru a identifica cel puțin una dintre părțile implicate în transfer. Tehnologia creează un canal de comunicare între browser și server, canal de comunicare al cărui conținut nu îl pot vedea decât cele două părți.

Ce se întâmplă în realitate: 1. browserul trimite o cerere către o pagină securizată (https://); 2. serverul trimite cheia publică către browser, alături de certificat; 3. browserul verifică dacă certificatul a fost emis de o autoritate de certificare, dacă este valid și dacă a fost emis pentru site-ul respectiv; 4. urmează schimbul propriu-zis de informații între browser și server, în format criptat, explică hostx.ro. Mai pe băbește, ar suna așa:

Alice și Bob schimbă între ei mesaje secrete și niciunul nu vrea ca alții să le poată citi: nici fratele curios al lui Alice, nici poștașul căruia îi place să își bage nasul în scrisorile altora. Pentru asta, cei doi inventează următorul sistem: amândoi își cumpără câte un lacăt la care doar ei au chei. Bob îi trimite lui Alice lacătul său, deschis. Alice scrie primul mesaj, îl pune într-o cutie pe care o închide cu lacătul lui Bob și o trimite acestuia. Astfel, numai el va putea citi mesajul. Pentru a putea însă răspunde, Bob trebuie să primească lacătul deschis al lui Alice, cu care să poată apoi închide cutia în care va pune mesajul cu răspunsul său, ne spune Wikipedia.

Dreptul de a fi lăsat în pace

Cu ceva ani în urmă, Bob Dylan, aflându-se în turneu în Anglia, a pierdut avionul și risca să nu mai ajungă la concert. Pentru a ieși din impas, l-a sunat pe Van Morrison și l-a rugat să îi împrumute avionul personal. Răspunsul lui Morrison n-a prea lăsat loc de echivoc:
„– Bob, private is private...”

Datele noastre personale (CNP, datele bancare, asigurările sociale etc.) ne individualizează. Expunerea lor în mediul virtual ne fac vulnerabili la efecte nedorite ce ne pot afecta identitatea, reputația sau cariera. Cum spuneam, SSL securizează aceste date generând încredere din partea utilizatorilor. Dar nu e numai atât, protejarea datelor personale prin SSL mai are o componentă importantă.

Ștefan Zeletin, unul dintre sociologii interesanți ai perioadei interbelice, cu studii la Berlin, Leipzig și Paris și autor al controversatei alegorii Din țara măgarilor, un soi de Ferma animalelor avant la lettre, scria, în Burghezia română, că valorile centrale care fac o societate funcțională și o duc înainte sunt spiritul liber, încrederea și solidaritatea. Citite în altă cheie: mobilurile vieții economice, sociale și politice. Ideile lui Zeletin rămân și astăzi în picioare și sunt confirmate de teoreticieni contemporani, dar sunt completate cu un alt concept esențial: privacy.

Intimitatea este importantă deoarece spațiul privat, susțin Georges Duby și Philippe Ariès în Istoria vieții private, este ceea ce avem mai de preț și ne aparține în exclusivitate nouă. De aceea, poate, când cineva ne sparge casa sau mașina, ceea ce ne răvășește mai mult sunt nu atât daunele sau bunurile furate, cât violarea intimității.

Reflecțiile asupra intimității au o istorie mai lungă, dar tema a început să fie studiată în mod sistematic abia la finele secolului XIX. Primul text de referință este celebrul The Right To Privacy, publicat, în 1890, de avocatul Samuel D. Warren – sătul să mai citească în presa mondenă despre peripețiile soției și fiicei sale – și prietenul său Louis D. Brandeis, profesor la Universitatea Harvard. Eseul vorbește despre „dreptul de a fi lăsat în pace” și marchează începutul demersurilor pentru recunoașterea dreptului la intimitate.

Încercările de a defini cât mai precis esența acestui termen alunecos au continuat până în ultimele decenii, când măsuri legislative în domeniu au dezvoltat o literatură și o cultură a intimității. O scurtă istorie a ideilor despre ea, de la grecii antici până în prezent, puteți citi în Sfera politicii.

Circulația datelor în natură

Într-o discuție purtată cu Albert László Barabási, unul dintre cei mai apreciați teoreticieni ai rețelelor, l-am întrebat și despre gestionarea datelor personale. Sunt două aspecte semnificative: defazajul între generații și diferențele dintre europeni și americani.

  1. „Politicul este foarte rămas în urmă față de societate, explicația fiind în primul rând una demografică: politicienii au în jur de 60-70 de ani, iar societatea este mult mai tânără. Utilizatorii tehnologiilor față de care se ridică aceste probleme de privacy sunt, în marea lor parte, tineri. Aceștia sunt familiarizați cu acest gen de cercetări și foarte toleranți față de ele sau față de efectele lor. Politicienii, în schimb, sunt complet cu capul în nori, nu înțeleg deloc ce facem noi și aduc legi care de multe ori au consecințe negative pentru țările respective. (...) Trebuie găsită o cale optimă, să știm ce îngrădim, care sunt efectele sociale negative, dar să nu blocăm inovația.”

  2. „Între Europa și Statele Unite avem o contradicție fundamentală. Legile europene spun că datele strânse de o firmă nu pot fi folosite decât exclusiv în scopul pentru care au fost strânse și în niciun caz în interes de afaceri. Ele nu pot fi distribuite nici măcar în interiorul firmei respective. De exemplu, la o companie de telefonie, datele nu pot fi transmise departamentului de marketing. În schimb, firma este obligată să dea aceste informații guvernului, în cazul în care acesta le cere. Și nu doar atât, firmele sunt obligate să păstreze aceste date timp de șase luni sau un an. Legile americane, în schimb, spun că firmele pot face în principiu orice cu datele obținute, cât timp nu lezează persoanele implicate. În acest caz se mizează pe etică: dacă o firmă încalcă regula își va pierde credibilitatea față de clienți, de aceea, trebuie să fie atenți. De asemenea, legile americane interzic firmelor livrarea către guvern a oricăror date pe care le dețin. Abordările sunt, așadar, diametral opuse. Nu este evident de cine ne temem, teama aceasta nu este una clar definită. E clar că americanii se tem de guvern, pe când europenii, de firme.”

Cu firma în cap

O temă care stârnește destule dezbateri este legtimitatea angajatorilor de a monitoriza datele personale ale angajaților. Fiecare parte își apără „nevoile și neamul.”

Firmele vor să își protejeze datele și să minimalizeze riscurile care le-ar putea pune în pericol. Din aceste rațiuni, ele consideră legitim să urmărească activitatea angajaților pe calculatoarele și device-urile firmei. Practica este deja arhirăspândită.

De partea cealaltă, angajații acuză firmele că, având acces la datele lor personale, îi pot controla, șantaja sau obstrucționa (nu mai fac măriri de salariu sau avansări dacă observă în contul angajatului sume mari de bani; îi concediază dacă văd că sunt în căutare de alte locuri de muncă sau dacă în fișele lor medicale figurează boli „indezirabile” ș.a.m.d.).

Situațiile diferă de la țară la țară, în funcție de legislația și cultura fiecăreia. Un litigiu-pildă autohton este cazul Bărbulescu vs România, ajuns la CEDO, în care angajatorul a încetat contractul de muncă cu angajatul pentru că acesta a folosit Yahoo Messenger (și) în scop personal. În replică, angajatul a chemat firma în instanță pentru că i-a violat corespondența personală.

Care ar fi, la urma urmei, soluția? Să primeze bunul simț și deontologia ori reglementările?

Firmele ar trebui să pună în gardă de la bun început angajații că activitatea lor online va fi monitorizată (ceea ce majoritatea companiilor care se respectă și fac), iar angajații ar trebui să renunțe la a mai comunica, la locul de muncă, și în alte scopuri decât cele prescrise de fișa postului pe care îl ocupă.