Niemiłe przygody z różnymi służbami – historie prawdziwe

Osoby pracujące w obszarze bezpieczeństwa bywają czasem narażone na kontakty z przedstawicielami służb specjalnych. Z reguły te spotkania są profesjonalne, czasem jednak niestety nie mają przyjemnego przebiegu lub kończą się nieprzyjemnie.

W ostatnich dniach ujawniono dwa przypadki niezbyt ciekawych spotkań osób zajmujących się kwestiami bezpieczeństwa z przedstawicielami organów ścigania. Dla jednego eksperta sytuacja skończyła się konfiskatą sprzętu, drugi otrzymał niezbyt etyczną propozycję współpracy. Przeczytajcie ich historie by przygotować się do ewentualnych spotkań podobnego rodzaju.

Historia pierwsza, czyli zabierzemy Pana sprzęt i co nam pan zrobi

Vincent Canfield nie jest typowym Amerykaninem. Rzucił szkołę, zamieszkał w Rumunii i prowadzi serwer pocztowy pod adresem cock.li. Ma też dość swobodne podejście do amerykańskiego wymiaru sprawiedliwości. Z jego usług pocztowych korzystają często osoby chcące naruszać prawo, a Vincent nie trzyma logów dłużej niż przez 48 godzin i wszystkie postanowienia o wydaniu danych użytkowników publikuje na swojej stronie (mimo iż z reguły zawierają one klauzule zakazujące ich publikacji). Początkowo trzymał swój serwer w Niemczech, licząc na silne w tym kraju przepisy gwarantujące ochronę prywatności, jednak po dwukrotnej konfiskacie dysków (jego usługa została wykorzystana do wysłania fali wiadomości z groźbą zamachów bombowych na szkoły w USA) serwer przeniósł do Rumunii.

Vincent wziął udział w konferencji Chaos Communication Congress, która miała miejsce pod koniec roku w Niemczech. Po jej zakończeniu wybrał się na wycieczkę do USA, gdzie został niezwłocznie zatrzymany na lotnisku przez lokalny odpowiednik Straży Granicznej. Vincent odmówił odpowiedzi na jakiekolwiek pytania i nie zgodził się na odblokowanie swojego telefonu. Przekazał jedynie kontakt do swojego prawnika. W zamian funkcjonariusze zarekwirowali mu całą posiadaną przez niego elektronikę – od telefonu, przez komputer, po ładowarki, słuchawki i mikrofon.

W drodze powrotnej Vincent został ponownie zatrzymany przez funkcjonariuszy na lotnisku, tym razem miał ze sobą tylko tymczasowy telefon na którego przeszukanie pozwolił, wcześniej załadowawszy stronę porno do przeglądarki. W sumie spędził kilka godzin pod czułą opieką tajemniczych agentów, dodatkowo do tej pory nie odzyskał swojego sprzętu. Co prawda dzięki procedurom przewidującym możliwość zaistnienia takiej sytuacji otrzymał od przyjaciela zaszyfrowane dane umożliwiające zarządzanie serwerem cock.li, jednak zaszyfrował je tak dobrze, że zapomniał hasła. Na szczęście serwer przetrwał jego pobyt w USA bez awarii, Vincent za to nie omieszkał w odpowiedzi na kolejne postanowienie o wydaniu logów poinformować, że wydałby je, gdyby nie to, że amerykańskie służby pozbawiły go możliwości dostępu do serwera i w związku z tym logi uległy skasowaniu.

Historia druga, czyli może zostanie pan agentem i poszpieguje kolegów

Dzisiaj z kolei mogliśmy poznać historię pewnego Holendra, administratora wielu węzłów sieci Tor, którego próbował zrekrutować holenderski odpowiednik naszego ABW, czyli AIVD. Bohater tej historii chciał pozostać anonimowy – wiemy o nim jedynie to, ze ukończył studia na politechnice i jest autorem pracy z obszaru bezpieczeństwa. Dwoje agentów podeszło do niego na siłowni i przedstawiło ofertę współpracy. Najpierw obsypali komplementami jego publikację (najwyraźniej przygotowali się do rozmowy) a potem zaproponowali kolejno:

funkcję opiekuna nad obiecującymi studentami zatrudnionymi w nowopowstającej komórce odpowiadającej za cyber,

pracę w Niemczech, w trakcie której miałby odwiedzać lokalne hackerspace’y powiązane z Chaos Computer Clubem i opowiadać o tym, kto i co tam porabia,

wycieczki na hakerskie konferencje do Hiszpanii, Włoch czy Austrii i obserwację holenderskich hakerów plus relacje z wycieczek po powrocie,

rozbudowę sieci węzłów wyjściowych Tora sponsorowaną przez AIVD plus immunitet od wszelkich skarg w sprawie nadużyć z nimi związanych,

udział we wspólnocie funkcjonującej wokół projektów Tor i Tails bez ścisłych związków z AIVD w ramach „międzynarodowego projektu”.

W każdym ze scenariuszy AIVD miałby przynajmniej pokrywać udokumentowane koszty podróży i imprez (współczesne szpiegostwo sprowadza się już chyba tylko do księgowości) i płacić stałą pensję. Kiedy bohater historii krótko odrzucił wszystkie propozycje usłyszał, że nikt nie zapewni mu ochrony, gdy policja przyjdzie po jego serwery Tora i je skonfiskuje. Otrzymał na pożegnanie numer telefonu na który ma zadzwonić gdy się namyśli i został pouczony, że nie powinien nikomu o tym spotkaniu opowiadać.

Wnioski z tych historii

Kontakty ze służbami mogą być nieprzyjemne nawet dla osób, które nie popełniły żadnego przestępstwa. Amerykańska granica rządzi się swoimi prawami – a w zasadzie swoim bezprawiem, ponieważ zgodnie z wykładnią przepisów w USA wolno przeszukać każdego, kto granicę przekracza, bez potrzeby udowadniania podejrzeń. Jeśli zatem macie jakieś cenne dane, to najlepiej zostawcie je przed podróżą w domu a dyski zaszyfrujcie lub wyślijcie wcześniej pocztą. Lepiej „współpracować” mówiąc „przykro mi, nie mam żadnej elektroniki przy sobie” niż zostać deportowanym lub stracić sprzęt.

W drugim przypadku nie piętnujemy rekrutowania specjalistów do służb specjalnych – ktoś musi bronić naszej infrastruktury przed atakami obcych. Nasze doświadczenia z kontaktów z funkcjonariuszami krajowych służb są w dużej mierze bardzo pozytywne – można z nimi normalnie rozmawiać w spokojnej atmosferze. Niezbyt fajnie wygląda jednak próba infiltracji środowiska hakerów, których jedynym „przestępstwem” jest brak miłości do rządzących.

Pamiętajcie zatem o tym, że na konferencjach, imprezach i spotkaniach możecie natrafić nie tylko na rekruterów z własnych czy tez cudzych służb, ale także na osoby już zrekrutowane.