[rsnog] Pravilnik o zakonitom presretanju i zadržavanju podataka

Berislav Todorovic berislav.todorovic at gmail.com
Tue Feb 24 10:52:57 CET 2015 

Najpre hvala Slobi sto me je ukljucio na listu ...

Na temu zakonitog presretanja (hej, zar to ne bese "ovlasceni nadzor"?) -
evo kako to rade neke druge zemlje, kao i neka moja licna iskustva na tu
temu:
Holandija je uvela LI (lawful intercept) nad IP saobracajem jos pre 10
godina, bila je prva u Evropi u tome, a kako nije bilo nikakvih standarda
napravili su protokol za to sami:

http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/regelingen/2012/02/08/tiit-v1-2-0-transport-of-intercepted-ip-traffic/c-documents-and-settings-nsenff-ad-000-desktop-tiit-v1-2-0-2011-09-2.pdf

Protokol je kasnije vecim delom preuzeo ETSI i od toga napravio standarde
101 232-* za presretanje IP saobracaja.
A onda su revidirali starije standarde koji se odnose na PSTN i GSM, dodali
su i 3G/4G, kao i 101 232 i napravili novu seriju - ETSI 102 232.
ETSI 102 232 obuhvata sve vidove saobracaja - od klasicne telefonije do 4G,
Interneta, videa ...

S tim u vezi par sugestija vezanih za pravilnik:

1. Nedostaje referenca na standarde. - ETSI 102 232 je ono sto vecina
vendora sada podrzava, ali su u opticaju i neki stariji: ETSI 201 671 i 101
671 (za telefoniju), kao i holandski TIIT (link imate gore), za koji je
napisano najvise softvera koji se koristi sirom Evrope.

2. Slika 1 na str. 10 TIIT specifikacije jasno definise tacke razgranicenja
drzave (LEMF) i operatora (ISP). U tekstu srpskog pravilnika to nije jasno
definisano, pa moze lako da se desi da operateri budu prinudjeni da
sufinansiraju i T1/T2 uredjaje, sto je besmislica. Trebalo bi insistirati
na tome da drzava pokrije troskove makar T1, T2 i S2 kao i linka "B" dok bi
S1 i veze S1-S2 trebalo da budu trosak operatera. To bi bilo jedino fer
resenje, mada je za ekonomski slabu Srbiju to itekako veliki udarac.

3. Na linku izmedju provajdera i drzave ("B") obavezno mora da se koristi
kriptozastita i ta obaveza bi morala da stoji i u tekstu pravilnika. U
suprotnomm, kopija presretnutog saobracaja moze da padne u ruke kriminalaca
itd.

4. Pracenje tranzitnih linkova je besmisleno bacanje para. Sem toga, taj
saobracaj je ogroman i tesko ga je filtrirati. Pracenje pretplatnickih /
korisnickih linkova je sasvim dovoljno, jer ono sto udje u mrezu mora i da
se isporuci korisniku, a ono sto od korisnika udje mora ionako da ode
napolje. Garbage-in-garbage-out.

Jos malo tehnickih informacija o LI:

http://meetings.ripe.net/ripe-48/presentations/ripe48-eof-etsi.pdf
http://meetings.ripe.net/ripe-51/presentations/pdf/ripe51-lawful-interception.pdf

A sada malo iskustava od ranije:

Najpre tehnicki deo price. Sve u svemu, nimalo jevtina zabava. Premda mnogi
vendori (Cisco, Juniper, Alcatel-Lucent itd.) imaju standardnu podrsku za
LI na svojim ruterima, problem je sto jedinstveni standard za to ne
postoji. Cak i ETSI 102 232 (vidi gore) daje samo "framework" (nesto poput
OSI modela), ali ne definise formate paketa itd. Na primer, holandski TIIT
je detaljno razvijeni protokol, znaju mu se formati paketa, portovi koje
koristi (1903/tcp, 1904/tcp), kako se ponasa na IPv4 i IPv6 mrezama itd.
Sem toga, na nekim slabijim ruterima ukljucivanje ove opcije ume bas da
zagusi ruter, pa vecina ljudi pribegava alternativi - hardverskim
tap-filterima (npr. Netoptics) i koncentratorima. Jedan pasivni "tap" koji
pokriva par vlakana kosta 500 evra, aktivni tap koji pokriva UTP kosta 300
evra, pa sad pomnozite to brojem portova. Medjutim, posto je "tap"
komponenta koja radi na najnizem OSI sloju (Layer 1 / PHY) on prakticno
daje identicnu kopiju signala (elektricnog ili optickog) koji se prenosi, a
samim tim se dobija originalni paket sa originalnim MAC i IP adresama itd.
Posto bi vracanje takvog paketa u aktivnu mrezu izazvalo haos, paketu mora
da se doda novo MAC/IP zaglavlje + neka tunel-enkapsulacija (npr. GRE,
L2TPv3 itd.). Za tu namenu sluze tap-koncentratori, na koje se filteri
kabliraju direktno, a kostaju i po 50,000 evra ... ili neki napredniji
switchevi koji podrzavaju visestruki QinQ + ruteri koji te pakete
prosledjuju u MPLS domen, sto sve zajedno opet nije tako jevtino.

Potom su tu serveru - S2/S2 na strani provajdera, odnosno T1/T2 na strani
LEMF ... Pre nekoliko godina kada je Holandija zapocela sa LI, serveri u
njihovom MUP su pukli sat vremena nakon pustanja u rad. Onda su doneli
privremenu odluku da se portovi iznad STM-1 (155 Mbps) ne prate. Tek nedge
2009 granica je podignuta na 1Gbps, a tek nedavno koliko sam cuo na 10Gbps.
Sada ih muce 100 Gbps portovi za koje jednostavno nemaju resenje ni na
pomolu. A prosle godine je IEEE zapoceo rad na 400 Gbps Ethernetu, kako li
ce to pratiti, hahaha ...

Softver dolazi tek na kraju, on je posebna prica i nije nimalo jevtin ... S
tim delom nisam imao dodira, ali znam par vendora (imate to i u ovim
prezentacijama koje sam citirao).

Sto se proceduralnog dela tice, u tome nisam ucestvovao. Jedini detalj koji
znam je da svaki operater mora da imenuje 2-3 svoja radnika da budu
ekskluzivni poverenici za komunikaciju sa drzavom. Detalje ne znam.

Izvinjavam se na duzini ovog carsava, nadam se da ce nekome koristiti ...

Pozdrav,
Beri


2015-02-24 8:53 GMT+01:00 Bojan Vranac | NetLogic <bojan.vranac at netlogic.rs>
:

> Srećom pa je data mogućnost javne rasprave, a moglo je da bude, kao i
> prošli put veštije skriveno.
> Zanimljivo je da je ovo predlog Pravilnika o zahtevima za uređaje i
> programsku podršku za zakonito presretanje elektronskih komunikacija i
> zadržavanju podataka o elektronskim komunikacijama, gde se ni u jednom
> stavu ne spominju uređaji niti programska podrška, nego je navedeno da će
> zahteve doneti relevantne institucije. A čemu onda uopšte ovaj pravilnik?
> Relevantne institucije imaju već to pravo po ZEK.
>
> E sad, za razliku od gospode iz NSA, u ovom pravilniku SVE ide kao trošak
> provajderu, od uređaja, programske podrške, pa do direktne veze sa
> nadzornim centrom.
>
> Uređaji i programska podrška su apsolutno nedefinisani, osim jednim
> delićem u kojem se kaže da bi trebalo da bude po svetskim standardima za
> ovu oblast, što naravno ostavlja mogućnost (čitaj biće tako), da neka
> velika domaća kompanija donira opremu i programsku podršku i na osnovu te
> donacije će biti napravljena specifikacija, a provajderi će morati da
> nabave opremu koja je kompatibilna sa onim što je država dobila na poklon.
>
> Dalje, direktna veza i praćenje u realnom vremenu, koje ne sme da bude
> vidljivo korisniku… u redu, nije sporno, sa strane provajdera i neće biti
> vidljivo sve dok se presretanje podataka vrši u prostorijama provajdera, a
> ne u nadzornom centru. Ukoliko se prati realtime iz nadzornog centra, na
> koji način će provajderi moći da kontrolišu koga i kada presreću ili kako
> će provajder moći da ograniči nadležne da prate samo i isključivo korisnika
> koji je predmet posmatranja.
>
> Takođe, postoji i fina tačla ZEK, 128, a stav treći, u koji kaže:
>
> “Operator iz stava 1. ovog člana nije dužan da zadrži podatke koje nije
> proizveo niti obradio.”
>
> U većini slučajeva, internet servis provajderi niti proizvode podatke,
> niti ih obrađuju.
>
> Dalje je pitanje ustavnosti i Šabićev komentar:
>
> "Šabić je ukazao da se u Predlogu, kao i ranijih puta, pominje nekakav
> „akt koji predstavlja pravni osnov za vršenje presretanja elektronskih
> komunikacija, kao i za pristup, odnosno dostavljanje zadržanih podataka“.
>
> "S tim u vezi, po ko zna koji put, ističem da je u skladu sa Ustavom
> Srbije jedini akt koji može da bude pravni osnov za odstupanje od Ustavom
> utvrđenog prava na tajnost sredstava komuniciranja, odluka suda. Podsetiću
> i na odluke Ustavnog suda u odnosu na ustavnost odredbi Zakona o
> Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, kao i ranijeg
> Zakona o telekomunikacijama, u kojima je Ustavni sud jasno potvrdio da
> jedino odluka suda može da bude pravni osnov za odstupanje od Ustavom
> utvrđenog prava na tajnost pisama i drugih sredstava komuniciranja, te da
> drugi osnovi nisu u saglasnosti sa Ustavom", ukazao je Šabić.”
>
> Toliko za sada.
>
> Pozdrav
>
>
> From: Zoran Perovic <iconsult at perke.net> <iconsult at perke.net>
> Reply: RSNOG <rsnog at rnids.rs>> <rsnog at rnids.rs>
> Date: February 23, 2015 at 11:36:03 PM
> To: RSNOG <rsnog at rnids.rs>> <rsnog at rnids.rs>
> Subject:  Re: [rsnog] Pravilnik o zakonitom presretanju i zadržavanju
> podataka
>
>   A po kojem pravilniku rade gospoda iz ovog članka:
>
>
>
> http://www.wired.com/2015/02/nsa-firmware-hacking
>
>
>
> Na NANOG listi se razvila veoma interesantna diskusija o jurisdikcijama i
> činjenici da proizvođač Lenovo računara ne podleže Američkom ustavu
>
>  <http://www.wired.com/2015/02/nsa-firmware-hacking/?mbid=social_fb>
>
>
>
>
>
>
>
> *From:* rsnog-bounces at rnids.rs [mailto:rsnog-bounces at rnids.rs] *On Behalf
> Of* Slobodan Markovic
> *Sent:* Monday, February 23, 2015 12:22 PM
> *To:* rs nog
> *Subject:* [rsnog] Pravilnik o zakonitom presretanju i zadržavanju
> podataka
>
>
>
> Ministarstvo trgovine, turizma i telekomunikacija stavilo je na javnu
> raspravu predlog Pravilnika o zahtevima za uređaje i programsku podršku za
> zakonito presretanje elektronskih komunikacija i zadržavanju podataka o
> elektronskim komunikacijama:
>
>
>
>
> http://mtt.gov.rs/download/pravilnik-2014-02-02_tekst%20za%20javne%20konsultacije.pdf
>
>
>
> Komentare možete slati do 4. marta 2015, a kontakt podaci ministarstva su
> ovde:
>
>
>
>  http://mtt.gov.rs/vesti/javne-konsultacije-o-predlogu-pravilnika/
>
>
>
> Takođe, Share fondacija je najavila da će se uključiti u proces
> konsultacija, pa svoje komentare možete poslati i preko njih:
>
>
>
>
> http://www.shareconference.net/sh/vesti/konsultacije-o-predlogu-pravilnika-za-presretanje-i-zadrzavanje-podataka
>
>
>
> Pozdrav,
>
> Sloba
>
>
>
>
>
> --
>
> * Slobodan Marković*
>
> * Advisor for ICT Policy and Internet Community Relations*
>
> slobodan.markovic at rnids.rs
>
> +381-63-387-260
>
>
>
> * Serbian National Internet Domain Registry (RNIDS)*
>
> Žorža Klemansoa 18a/I, 11000 Belgrade, Serbia
> <https://www.google.rs/maps/place/RNIDS/@44.8222262,20.4699215,17z/data=!4m2!3m1!1s0x475a7ab629cba9d9:0x67b38bf5c9d380b3>
>
> rnids.rs | рнидс.срб
> <http://%D1%80%D0%BD%D0%B8%D0%B4%D1%81.%D1%81%D1%80%D0%B1>
>
>
>
>
>
> --
> rsnog at rnids.rs
> http://mail-server.rnids.rs/mailman/listinfo/rsnog
>
>
>
> --
> rsnog at rnids.rs
> http://mail-server.rnids.rs/mailman/listinfo/rsnog
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.rnids.rs/pipermail/rsnog/attachments/20150224/fc1d169b/attachment.htm>

More information about the rsnog mailing list