Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Facebook: liczba żądań otrzymywanych od władz
Facebook udostępnił właśnie szczegółowe informacje dotyczące liczby nakazów ujawnienia danych użytkowników, otrzymanych w pierwszej połowie 2013 roku od poszczególnych władz państwowych.
Raport obejmuje pierwsze 6 miesięcy 2013 roku (do 30 czerwca). Jak zapewnia administracja Facebooka, wszystkie nakazy są dokładnie analizowane i odrzucane w razie stwierdzenia jakichkolwiek wątpliwości prawnych.
Jak wyjaśnialiśmy w ciągu ostatnich tygodni, mamy rygorystyczne procedury postępowania z nakazami ujawnienia danych od instytucji państwowych. Jesteśmy przekonani, że chronią one dane osób korzystających z naszego serwisu i wymuszają na instytucjach państwowych spełnienie ścisłych wymogów prawnych przy każdym nakazie w celu uzyskania jakichkolwiek informacji na temat naszych użytkowników. Analizujemy każdy nakaz pod kątem spełnienia wymogów prawnych zgodnie z naszym regulaminem oraz z literą prawa i wymagamy szczegółowego opisu prawnych i merytorycznych podstaw każdego nakazu. Podważamy wiele nakazów i odrzucamy je w przypadku wykrycia braków prawnych. Zawężamy też zakres zbyt ogólnych lub niejasnych nakazów. Gdy jesteśmy zobowiązani do wypełnienia konkretnego nakazu, często udostępniamy tylko podstawowe dane użytkownika, takie imię i nazwisko.
Więcej informacji na temat naszego podejścia do nakazów od instytucji państwowych można znaleźć tutaj: https://www.facebook.com/safety/groups/law/guidelines/.
Polskie władze we wspomnianym okresie wygenerowały 233 żądania. Co ciekawe, tylko 9% z nich skutkowało ujawnieniem jakichkolwiek danych. Czyżby tak wiele polskich nakazów nie miało wystarczających podstaw prawnych?
Co również bardzo ciekawe, władze USA pomimo programów PRISM oraz XKeyscore wygenerowały od 11 do 12 tys. nakazów, a 79% z nich zostało uznane za zasadne. Szczegółowe dane dla poszczególnych państw wyglądają następująco.
| Kraj | Całkowita liczba nakazów | Użytkownicy / konta objęte nakazami | Odsetek nakazów skutkujących ujawnieniem danych |
|---|---|---|---|
| Albania | 6 | 12 | 83 % |
| Argentyna | 152 | 218 | 27 % |
| Australia | 546 | 601 | 64 % |
| Austria | 35 | 41 | 17 % |
| Bangladesz | 1 | 12 | 0 % |
| Barbados | 3 | 3 | 0 % |
| Belgia | 150 | 169 | 70 % |
| Bośnia i Hercegowina | 4 | 11 | 25 % |
| Botswana | 3 | 7 | 0 % |
| Brazylia | 715 | 857 | 33 % |
| Bułgaria | 1 | 1 | 0 % |
| Chile | 215 | 340 | 68 % |
| Chorwacja | 2 | 2 | 0 % |
| Cypr | 3 | 4 | 33 % |
| Czarnogóra | 2 | 2 | 0 % |
| Dania | 11 | 11 | 55 % |
| Egipt | 8 | 11 | 0 % |
| Ekwador | 2 | 3 | 0 % |
| Filipiny | 4 | 4 | 25 % |
| Finlandia | 12 | 15 | 75 % |
| Francja | 1547 | 1598 | 39 % |
| Grecja | 122 | 141 | 54 % |
| Hiszpania | 479 | 715 | 51 % |
| Holandia | 11 | 15 | 36 % |
| Hongkong | 1 | 1 | 100 % |
| Indie | 3245 | 4144 | 50 % |
| Irlandia | 34 | 40 | 71 % |
| Islandia | 1 | 1 | 100 % |
| Ivory Coast | 4 | 4 | 0 % |
| Izrael | 113 | 132 | 50 % |
| Japonia | 1 | 1 | 0 % |
| Kambodża | 1 | 1 | 0 % |
| Kanada | 192 | 219 | 44 % |
| Katar | 3 | 3 | 0 % |
| Kolumbia | 27 | 41 | 15 % |
| Korea Południowa | 7 | 15 | 14 % |
| Kosowo | 2 | 11 | 0 % |
| Kostaryka | 4 | 6 | 0 % |
| Litwa | 6 | 7 | 17 % |
| Macedonia | 9 | 11 | 33 % |
| Malezja | 7 | 197 | 0 % |
| Malta | 89 | 97 | 60 % |
| Meksyk | 78 | 127 | 37 % |
| Mongolia | 2 | 2 | 0 % |
| Nepal | 3 | 3 | 33 % |
| Niemcy | 1886 | 2068 | 37 % |
| Norwegia | 16 | 16 | 31 % |
| Nowa Zelandia | 106 | 119 | 58 % |
| Pakistan | 35 | 47 | 77 % |
| Panama | 2 | 2 | 0 % |
| Peru | 13 | 14 | 15 % |
| Polska | 233 | 158 | 9 % |
| Portugalia | 177 | 213 | 42 % |
| Republika Czeska | 10 | 13 | 60 % |
| Republika Południowej Afryki | 14 | 9 | 0 % |
| Rosja | 1 | 1 | 0 % |
| Rumunia | 16 | 36 | 63 % |
| Salwador | 2 | 2 | 0 % |
| Serbia | 1 | 1 | 0 % |
| Singapur | 107 | 117 | 70 % |
| Słowenia | 6 | 8 | 50 % |
| Stany Zjednoczone | 11 – 12 tys. | 20 – 21 tys. | 79 % |
| Szwajcaria | 32 | 36 | 13 % |
| Szwecja | 54 | 66 | 54 % |
| Tajlandia | 2 | 5 | 0 % |
| Tajwan | 229 | 329 | 84 % |
| Turcja | 96 | 170 | 47 % |
| Uganda | 1 | 1 | 0 % |
| Węgry | 25 | 24 | 36 % |
| Wielka Brytania | 1975 | 2337 | 68 % |
| Włochy | 1705 | 2306 | 53 % |
Na koniec warto przypomnieć, że podobne dane udostępnił niedawno również Microsoft oraz Google.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Przedział wiekowy podejrzanych: 14 – 20 lat
Skuteczność tych nakazów w Polsce to 9%?
Czyli, że wysyłają zapytania na zasadzie „nie znam prawa, ale liczę, że nam udostępnią te dane, bo jestem urzędnikiem państwowym, a jak nie to trudno”?
agilob,
W raporcie nie ma żadnych szczegółów na ten temat, ale wygląda właśnie na to, że w PL Facebook był w stanie podważyć zasadność 91% żądań…
hahah stany zjednoczone, PRISM w akcji :D
józek,
PRISM jest zabawką NSA i prawdopodobnie inne agencje nie mają do niego dostępu. Stąd też np. policja w USA korzysta pewnie z tradycyjnych nakazów udostępnienia danych i dlatego mamy w USA tyle wygenerowanych żądań pomimo narzędzi takich jak właśnie PRISM.
Akurat nie uderzam tutaj w stronę ilości żądań pod pryzmatem niewydajności PRISMu, ale pod pryzmatem ich ogólnej liczby. PRISM to po prostu definicja szpiegostwa rządowego, tylko tyle. Przedstawię moje intencje na zasadzie porównania (które oczywiście jest nie proporcjonalne do ilości osób posiadających komputer, stopnia demokratyzacji czy stanu gospodarki/produktu krajowego):
– Indie, ilość mieszkańców 1241mln (dostęp do internetu 10% = 124mln), ilość roszczeń 4144
– USA, ilość mieszkańców 311mln (ostęp do internetu 78% = 242mln), ilość roszczeń ~21000
Stosunek ilości osób posiadających dostęp do internetu, to prawie 2:1 dla USA. Stosunek roszczeń? 3:1 również dla USA. Dlaczego demokracja USA infiltruje swoich obywateli bardziej od demokracji Indii, skoro USA za Obamy miało być wolne od podsłuchów i szpiegostwa? Orwell.
Pytanie dla Józka: wolałbyś być operowany w Kenii, Korei czy np. w Szwajcarii gdzie zwyczajem i obowiązkiem jest zgłaszanie samemu i przez sąsiada Policji, że przybywa do Ciebie obcokrajowiec?
Józek – PRISM jest strasznym marnotrawieniem środków – tyle kasy na jego utrzymanie, a policja i tak musi błagać facebooka o dane…
@Jan
Ogólnie rzecz biorąc, sprawdziłbym, która klinika jest lepsza, poczytał jakieś opinie, przejrzał specjalistów i zaznajomił się z cenami. Nie ma tu znaczenia, gdzie ta klinika by się znajdowała. Właściwie, nie rozumiem co to za pytanie. Chcesz się dowiedzieć, co myślę o izolacji państwowej stosowanej w Szwajcarii? Czy moim zdaniem, szpiegowanie obywateli na szeroką skalę pod przykrywką walki z terroryzmem, jest racjonalne? Czy internet nie może być wolną strefą? Na cześć z tych pytań odpowiedział ci Amadeuszx – efektywność środków zapobiegawczych jest BARDZO niska, a ich koszta wysokie. Byłem kiedyś programistom, dość znanym w środowisku, pracowałem w kilku firmach. Zapewniam cię, że mało efektywnych rozwiązań się nie wspiera, wiem jak to wygląda od środka. Jeżeli coś nie przynosi relatywnego zysku, nie utrzymuję się tego. PRISM? Gdy czytałem o pełnej specyfikacji i możliwościach systemu, wyobraziłem sobie potężne data center, połączone z bardzo, ale to bardzo wydajnym komputerem. Gdyby zacząć sumować koszta, wątpię, że amerykanie dalej by to popierali. Utrzymanie łącz, utrzymanie wydajnych serwerów, prowadzenie serwisu, obsługa techniczna, prąd (przy takich przedsięwzięciach, prąd ciśnie się w megawatach), praca software’owa, pisma, postępowania. Koszt utrzymania PRISMu będzie wynosił ok. 100mln$ miesięcznie, jak nie więcej. Wychodzi na to, że każdy Amerykanin rocznie płaci ok. 3$ (bo amerykanów jest jak juz napisałem 314mln) na to, żeby państwo demokratyczne szpiegowało jego pocztę, połączenie, telefony, serwisy społecznościowe, dane przeglądarki, a nawet snifoowało jego ruch sieciowy. A przecież PRISM to nie jedyny taki projekt, jeszcze większe możliwości ma Echelon, który monitoruje… cały świat!
Według Stanów Zjednoczonych, od 2001 roku, dzięki urządzeniom szpiegującym, udało im się złapać kilkuset terrorystów, kilka tysięcy osób podejrzanych o terroryzm i unieszkodliwili kilkanaście-kilkadziesiąt zamachów. Czy efektywność pokrywa koszta? I tak można całymi dniami…
@Amadeuszx
No właśnie o to chodzi :)
@józek: czy na prawdę myślisz, że PRISM ma służyć łapaniu terrorystów czy inwigilacji ludzi od tak dla idei? Nie zdziwił bym się gdyby w niedalekiej przyszłości głównym sponsorem PRISM-u itp. okazały się firmy amerykańskie, chcące wyeliminować „piratów” wszelkiej maści. Im się to może opłacać. Dzisiaj przewagę uzyskuje się ekonomicznie i gospodarczo a do tego bardzo się przydaje znajomość konkurencji i klienteli – czyli jej inwigilacja. W takiej sytuacji te $3 to darmocha. Wystarczy przeliczyć obywateli USA razy cenę licencji na Windę czy OS X i mamy realny zysk – jak nie kupisz to cię FBI czy jakieś inne dziadostwo ścignie.
@MateuszM
Rozumiem twój punkt widzenia, ale nie uważasz, że w twojej opcji za funkcjonowanie PRISMu powinny płacić właśnie koncerny wyłapujące piratów czyli pośrednio wszystkie wytwórnie filmowe/muzyczne, wydawcy oprogramowania/gier, a nie obywatele? My nie chcemy być inwigilowani pod kontem piractwa, my w tym interesu nie mamy, więc czemu my mamy płacić?
Poza tym, w momencie gdyby PRISM służył właśnie do szpiegostwa piratów, to musisz zauważyć, że KAŻDY ściągany przez internet plik w ameryce musiałby być sprawdzany pod kątem oryginalności. Dzisiaj zadania PRISMu nie służą analizie danych przesyłowych, tylko ich wykrywaniu pod kątem konkretnych połączeń, a szpieguje się konkretnie tylko źródła wymiany danych tekstowych (wiadomości e-mailowe, chaty, irc etc.). Zobacz sobie sam, sprawdzenie czy dany plik, który ściąga użytkownik to film, kończy się dopiero w momencie zakończenia pobierania. Standardowy tekst na IRC waży z 20KB, standardowy film w HD ok. 3GB. Masz tutaj nieporównywalny wręcz skok objętości. Gwarantuje ci, że utrzymanie PRISMU przy takich założeniach, przekroczyło by 100… ale miliardów $. Ktoś za to musi płacić tak? Znowu, czy firmom sprzedającym muzykę/filmy/oprogramowanie/gry bardziej opłaca się stracić +/- 500mln$, czy płacić na PRISM 100mld$?
Moja wizja na PRISM – według mnie, chodzi tutaj o kontrolowanie społeczeństwa. Obecnie wszelkie ruchy społeczne są organizowane czy wręcz kontrolowane przez internet – nad którym nikt nie ma władzy absolutnej. Internet zapewnia prostotę i wygodę w organizowaniu akcji demonstracyjnych, w ujawnianiu „nie wygodnych” informacji (akcja „Snowden”) czy zwykłej dezaprobacie. Projekt taki jak PRISM oprócz szczytnej walce z terroryzmem, może włatcom przekazać błyskawicznie informacje, takie jak
1. kto się wyraża o włatcach w niewłaściwy sposób
2. kto jest zaangażowany w akcje protestacyjne
3. najważniejsze informacje o ruchach społecznych
4. konkretne dane członków + zainteresowanie przedsięwzięciem
5. dane przesyłane przez zainteresowanych
itd. itp. etc.
Włatcy posiadając te dane, zawsze mogą rozpocząć działania zapobiegawcze albo… działania „pod publikę”. Jeśli wiesz, że za tydzień będzie akcja protestacyjna, bo ludziom nie podobają się rosnące ceny paliw – występujesz w odjechanym gajerze przed telewizorkiem w oświadczeniu prezydenckim i mówisz, że wolą Ministerstwa Obrony, ropa z iraqu będzie przesyłana lepszym rurociągiem, co obniży koszta dostawy, a tym samym spadnie znacząco cena ropy. Ministerstwu Gospodarki dajesz przykazanie obniżenia akcyzy, na okres miesiąca.
Wynik? Ani nie ma akcji protestacyjnej, ani słupki wyborcze nie poleciały w dół, no i najważniejsze, media nie mają o czym złym napisać, o dobrym już tak, a ludzie przez miesiąc się cieszą (po miesiącu nikt nie będzie już przejawiał takiego zaangażowania jak wcześniej, psychologia społeczna – najsilniejsze i najtrwalsze ruchy, to te powstałe z impulsu). ;)