logo~stef/blog/

/dev/tags

fnords, net, hack, report, english, fun, personal, badtech, projects (h.a.c.k., longstrings, grindr, timecloud, tvhelyett, utterson, parltrack)

/dev/read

Watch videos at Vodpod and other videos from this collection.

Blogroll


Sürgős teendők az adatvédelmi szabályozással kapcsolatban

2013-02-18

your data is secure, because we sell it to authorized partners onlyAz adatvédelem és (megint) mindannyiunk jövője forog kockán.

Bár vélhetően kevés a nokiás doboz, Brüsszelben hiperaktívak a jellemzően amerikai lobbisták, a tét az adatvédelem jövője és az, hogy milyen szereplők, milyen adatokkal tudnak bennünket kordában tartani. Ezen a héten 3 európai parlamenti bizottságban is végszavazáshoz közeledik az adatvédelmi szabályozasi javaslat. Egy korábbi február eleji bizottsági eredmény azt mutatja, hogy egyelőre európa vesztésre áll a nemzetközi és ipari érdekekkel szemben. Az alábbiakban megpróbálom bemutatni a legfontosabb tudnivalókat. Hogy tisztelt aktív olvasoim tájékozottan vehessék fel a kapcsolatot brüsszeli képviselőinkkel és rávegyék őket érdekeink képviseletére.

Európa mindig is élen járt az adatvédelem területén, ennek okai történelmiek, például a nácik a holland népszámlálás adatait felhasználva hatékonyan deportálhatták a vallási vagy etnikai szempontból nem kívánt elemeket.

Az hatályos EUs szabályozás 1995-ben készült, azóta több nagyságrenddel többen használják az internetet és elég sok szervezet komolyan vissza is él vele. Az 1995. évi irányelv sajnálatos módon a tagországokban eltérő szabályozást teremtett. Ami oda vezet, hogy a Facebook (nem csak adózási okokből) Írországban telepedett le, miközben például Németországban folyamatos ombudsmani vizsgálatokkal és bírósági eljárásokkal próbálják megakadályozni a Facebook visszaéléseit. Továbbá a Lisszaboni Szerződés és az Európai Emberi Jogok Chartája is "alaptörvényi" szintre emeli a személyes adatok védelmét és szükségelteti egy szabályozás bevezetesét. Az Európai Bizottság hatástanulmánya azt mondja, hogy a javaslat eredménye 2.3 milliárd Eurós adminisztrációs költségmegtakarítást jelent az EUs cégek számára.

Így hosszú előkészítés után az Európai Bizottság 2012 januárjában előterjesztette javaslatait az irányelv felülvizsgálatára és egy szabályozás megalkotására.

A szabályozás és az irányelv között fontos különbség, hogy a szabályozás kötelező érvényü, az irányelvvel szemben, amely a tagállamokban eltérő hatályú lehet. Ebben a konkrét javaslatban a szabályozás általános érvényü, mig az irányelv a hatóságokra vonatkozik.

not sure if i'm product or customerEurópa stratégiai fontosságú adatvédelmi szempontből, nem véletlen, hogy az összes amerikai online szolgáltató és az amerikai fogyasztóvédők és emberi jogi szervezetek is Brüsszelben nyomulnak. Washingtonban ez a téma egyértelmüen a cégek érdekeinek van alárendelve.

A La Quadrature du Net összegyűjtötte az elérhető lobbista módosító javaslatokat a lobbyplag.eu pedig összehasonlította ezeket a Parltrackban elérhető parlamenti módosító javaslatokkal. Azzal az eredménnyel, hogy kiderült a britek szilárd hídfőállása az amerikai érdekeknek az Európai Únióban, hiszen az Ebay, az Amazon és az Amerikai Kereskedelmi Kamera javaslatait a legtöbben a britek nyújtották be. Itt egyértelmű, hogy nem a választó polgárok akarata érvényesül. Malcolm Harbour képviselő például igazgatója egy brit lobbicégnek, amely többek között képviseli az IBM és a Microsoft érdekeit a választópolgárok helyett.

A fogyasztóvédelmi bizottságban sajnos már feladták a fogyasztók érdekeinek a védelmét. Február elején ez volt az első bizottság, amely véglegesítette a véleményét. Sajnos a nevével ellentétben kiárúsította a fogyasztói érdekeket. Az alábbiakban összefoglalom a legfontosabb pontokat és megemlítem ehhez képest a fogyasztóvédelmi bizottság mit szabotált el.

Személyes adatok definíciója

google knows you're a cat1995 óta jelentősen megváltozott az a környezet, amiben a személyes adataink vannak jelen és értéket képviselnek. Az anonimizálásról pár éve kiderült, hogy lehetetlen egyszerre anoním és hasznos adatokat előállítani. Így a személyes adatok körének kiterjesztése és pontos értelmezése kiemelt fontosságú.

A pseudonímek (álnevek) használata általános gyakorlat. A marketing ipar meg is tesz mindent, hogy úgy is azonosítson mindenkit. Úgy hogy közben elkerülhető a hagyományosan személyes adatok - név, születés, anyja neve, stb. - kezelése. Ennél hasznosabbak az elérhetőségi, demografiai és fogyasztási adatok - ezekkel is pontosan be lehet azonosítani szinte bárkit, de elég egy egyedi online azonosító is (bela42?) - és üzleti szempontból is hasznosabb ez a kategorizálás, ezt a gyakorlatot hívják idegen szóval "singling-out"-nak.

Nyilvánvaló az ipar és a állampolgárok érdekeinek szembenállása, a fogyasztóvédelmi bizottságban már eldőlt, hogy nem veszik be a singling-out szabályozását, viszont cserébe feladták a pseudonímek azonos védelmének biztosítását, de a többi bizottságban is várható a definíció hasonló gyengítése.

Hozzájárulás

Adataink kezeléséhez ma is szükséges a tudatos beleegyezésünk. Ezt a szabályt sok irányból támadások érík, hiszen sok esetben a felhasználó ki van szolgáltatva az adatkezelő piaci monopóliumának. Nincs sok választásunk, amikor értesítenek, hogy az általános szerződési feltételek megváltoznak. Sok esetben egyéb kényszerítő körülmények - pl. nem tud más szolgáltatóra váltani, mert nem tudja magával vinni az adatait -, miatt nem nagyon van alternativánk. És emiatt nem tekinthető az ilyen jellegű beleegyezés tudatosnak vagy kényszer nélkülinek.

Nyilvánvalóan az ipar érdeke ezen előírások gyengítése, ahogyan a fogyasztóvédelmi bizottságban már ki is árusították az európai polgárok jogait ezen pont gyengítésével.

"Jogos" érdek

Adatokat sajnos nemcsak a beleegyezésünkkel lehet kezelni, hanem akkor is, ha szervezetek úgy ítélik meg, hogy ez a "jogos érdekük" - namost ez messziről látható, neontáblákkal kivilágított jogi kiskapu. Ezt a kiskaput nyilván amennyire lehet be kellene zárni. Így csak természetes, hogy a fogyasztóvédelmi bizottságban már elkezdték ezt kitágítani.

Ide tartozik az a törekvés is, hogy feloldásra kerüljenek ezek az adatfeldolgozási korlátok és például lehetővé tegyék a bankoknak, hogy például szexuális vagy egészségügyi adatokat kezeljenek mondjuk csalások felderítésére is.

Felejtés és/vagy törlés joga

Ez a pont az állampolgárok erős kontrollját biztosítja az adataik felett, ahogyan beleegyezés szükséges az adatok kezeléséhez, úgy ezt a beleegyezést meg is lehet vonni. Arra viszont kifejezetten ügyelni kell, hogy ezzel ne lehessen szólásszabadságot korlátozni például újságokban és blogokban. Továbbá arra sem alkalmas ez a szabályozás, hogy más törvényi kötelességből gyűjtött adatokat kezelését korlátozzunk.

Adathordózhatóság

Az interneten sokan ki vannak téve választott szolgáltatójuk kénye-kedvének. Pár éve még a Microsoft kapcsán beszéltünk beszállítói kiszolgáltatottságról, most ugyanazt a bezártság hasonlatot alkalmazhatjuk az online szolgáltatásoknál tárolt adatainkra. Ha ott akarunk hagyni egy szolgáltatót, gyakran meg törölni sem tudjuk az adatainkat, nemhogy tudjuk átvinni őket egy más szolgáltatóhoz. Az adathordozhatóság így nem csak a személyes adataink feletti kontrollt biztosítja, hanem piaci mechanizmust is a verseny fokozására és így az adatvédelem megjelenését mint megkülönböztető szempont is ösztönözheti. Egyértelmü követelés, hogy az exportált adatoknak nyilt szabványosnak és így interoperábilisnek is kell lennie, hogy a kitűzött célok teljesűljenek.

Profilkészítés

A profilkészítés nem más, mint minden lehetséges személyes adat összegyűjtése, feltérképezése és ez alapján az emberek kategorizálása és események előrejelzése. Ezzel legalább három probléma van:

  1. A profil készités nem tökéletes, és az ebből következő hibák az érintetteknek nagy károkat okozhatnak.
  2. Nagyon nehéz a profilok valóságtartalmát ellenőrizni, és kijavítani, ezáltal akár örökre megbélyegezve azokat, akiknél az algoritmus "hibázik".
  3. Megerősít előitéleteket, társadalmi különbségeket és a kisebbségek diszkriminációját.

A fogyasztóvédelmi bizottságban nemcsak, hogy nem támogatják a profilkészítés betiltását, sőt! Felmerült, hogy meg kéne fordítani az egészet és kihangsúlyozni, hogy a profilkészités milyen csodálatos dolog.

Adatok exportja harmadik országba

Mivel adatvédelem terén az EU az egyik legerősebb szabályozással rendelkezik, így a piaci szereplők részéről erős a motiváció az adatok kezelését olyan harmadik országban végezni, ahol az ezzel kapcsolatos szabályozás gyengébb (ld. USA). Így ilyen harmadik országbeli adatkezelés csak akkor engedhető meg, ha ez legalább eléri szigorban az EU szinvonalat.

Harmadik ország hatóságainak adathozzáférése

Aggasztó jelenség, hogy harmadik országok jogot formálnak az Európai Unión belül kezelt adatokra, ez leginkább az Egyesült Államok és a cloud szolgáltatások esetén tettenérhető. Az Egyesült Államok FISA Amendment törvénye lehetővé teszi, hogy amerikai hatóságok kémkedjenek amerikán kívüli állampolgárok akár politikai tevékenységei után is. Amerikai állampolgárok ez alól - alkotmányossági okok miatt - kivételt képeznek. Ezt az egyenlőtlenséget ki kell küszöbölni, és nyilván nem úgy, hogy mi is elkezdünk kémkedni az amerikaiak után...

Inkompatibilis felhasználás

Az inkompatibilis felhasználás azt jelenti, amikor egy adatkezelő jogszerüen kezeli az adatokat, de párhuzamosan más - nem jogszerü - célra is felhasználja. Sajnos pont ezt javasolja a Bizottsági javaslat, és ezt tágítja tovább a fogyasztóvédelmi bizottsági jelentés. Ez a javaslat teljesen feleslegessé tenné a teljes szabályozást, hiszen ezzel kiskapuval tökéletesen hatástalanítja. Csak kompatibilis felhasználás engedhető meg, és a kompatibilitást a lehető legszűkebben kell értelmezni.

Privacy-by-design és alapértelmezett adatvédelem

A privacy-by-design azt jelenti, hogy az adatvédelmet már a termék tervezése során - és a teljes életciklusán - legnagyobb gondossággal kezelik. Az alapértelmezett adatvédelem azt jelenti, hogy amikor egy felhasználó igénybe vesz egy szolgáltatást, akkor alapértelmezve a legszigorúbb adatvédelmi beállításokkal kezdje a szolgáltatás használatát. Ezzel biztosítva a felhasználó legteljesebb ellenőrzését az adatai felett. Ezek nem csak technikai követelmények, hanem olyanok amiket adatkezelő szervezeti intézkedéseire is értelmezni kell.

Ombudsmanok függetlensége, hatásköre és jogai

Az adatvédelmi ombudsmanok a védelem első vonalát képezik. Fontos, hogy erős hatáskörökkel, jogokkal, technikai, anyagi és emberi erőforrásokkal rendelkezzenek és teljes függetlenséget élvezzenek a kormánytól. Ezzel biztosítva a magas szinvonalú munkát és a polgárok bizalmát.

Szankciók

Rendkívül fontos, hogy ez a szabályozás megfelelő szankciókkal és büntetésekkel hatékonyan elriassza a visszaéléseket. Ez leginkább a "big data" - nagy adatok - korában alapvető jelentősségü. Ezek után nem okoz meglepetést, hogy a fogyasztóvédelmi bizottságban maximalizálták és alacsonyan tartották a pénzbüntetéseket.

Incidensek bejelentése

A Bizottság két bejelentési kötelezettséget javasol, az egyik azonnali - 24 órán belül - az adatvédelmi ombudsman felé, és a másik az adatvédelmi incidens áldozatai felé. Mindkettő kiváló javaslat, és eddig nem nagyon tudok ennek konkrét megfúrásáról.

Egyéb lobbizásra érdemes pontok

A lobbyplag.eu kutatása további érdekes vitapontokat azonosított a fentieken kívül. Többek között az ipari zoknibábok azt javasolják:

  • Az adatminimalizálást, mint vezérelvet teljesen ki akarják fordítani, a "minimálisan szükséges" helyett a "nem túlzott" felhasználást akarják engedélyezni.
  • a kollektív fellépés korlátozását, illetve azt, hogy érdekvédelmi szervezetek egységesen ne lépjenek fel a visszaélésekkel szemben.
  • A cloud szolgáltatók felelősségét nagymértékben korlátozni akarjak.

Összegzés

Látható, hogy alapvető fontosságú kérdésről van szó, amit mi sem bizonyít jobban, mint az a számottevő lobbierő, ami leginkább az amerikai online szolgáltatóktól érkezik Brüsszelbe. Így minden európai polgár érdeke ezzel szemben fellépni, felvenni a kapcsolatot a képviselőkkel és meggyőzni őket arről, hogy még mindig a választők érdekeit kell képviselniük. Kiválogattam a magyar képviselőket:

Kedden az Ipar és K+F bizottságban három magyar is dönthet: Edit HERCZOG (MSZP), András GYÜRK (FIDESZ) és Béla KOVÁCS (JOBBIK). Szerdán a Jogi bizottságban József SZÁJER-t (FIDESZ) lehet nyaggatni, és a munkaügyi bizottságban pedig Ádám KÓSA és Csaba ŐRY FIDESZ-es képviselők fogják a nemzeti és remélhetőleg polgári értékeket védeni. Egy telefonnal vagy emaillel biztos lehet őket segíteni.

Fontosabb részletek a szabályozzással kapcsolatban:


cyberfud

2012-11-28

src:http://guckes.soup.io/post/19675336/Fear-FEAR The usage of "cyber" as a prefix is a strong hint for lack of detailed knowledge into a certain topic, the intent to make a profit or take control by diluting the exact issues. Hiding the issues behind such muddled phrasing does not help the understanding and possible solutions.

The more often you hear "cyber" the stronger should be the sense of your "bullshit-meter" signal. Chances are high, that it's about spreading FUD to sell an oppressive and expensive security theater - cyberfud is for the internet, like the liquid-bomb was for airport "security".

So if this greed is only going to make us more oppressed, not safer then how to deal with all these menacing online threats that we hear about in the evening news?

A very wise man said[MP4 video]:

"...I'm suggesting, the internet itself can in no more meaningful sense be secure, than the oceans are secure. The security activities in the oceans, there's the "law of the seas", there are many aspects of it, but the functioning of humanity has depended on the openness and diversity of the seas and i think it depends similarly on the openness and diversity of the internet..."

There's a saying in software development: "a bug is cheapest, when caught as early as possible in the development process". Meaning it's cheaper to fix bugs during unit testing, than after they've been shipped to customers. So instead of starting an arms race to create expensive defensive snakeoil technology, we should focus on making the software more resistant. There's excellent examples, some critical infrastructure - our browsers - show a good understanding of this principle:

Compare this with Siemens not fixing the bug for 625 days that enabled the Stuxnet malware to operate.

It is irresponsible that a vendor waits 625 days to fix bugs that can affect critical infrastructure. Choosing the right words is important, forget cyberfud, here's a positive message:

Responsible Vendor

Closed-source vendors that have a consistent track record fixing bugs promptly and exercising diligence should be awarded, those who are not, should be penalized with full liability.

Instead of spreading cyberfud there should be a publicly available resource where users can check the security track record of vendors, vendors must be absolutely transparent about the vulnerabilities in their products, and it must be possible to objectively compare, measure and rate the vendors according to this data. Procurement decisions must be based on this as a obligatory condition: "no transparency and no sign of responsibility, no contract"

This idea of vendor liability is not new, hackers raised this issue already 14 years ago in a testimony before the US Senate.

I know, this issue cannot be solved solely by suddenly turning this industry into responsible vendors, among others problems are:

  • irresponsible customers disabling security features
  • restrictive laws outlawing security tools reduce the defensive capabilities of the network (like outlawing the immune system),
  • education, instead of paternalizing users into a victim role,
  • increased privacy awareness on the demand side and a strict adoption of the "data-minimization" principle would reduce the amount of "bounty out there" to grab.

The next time you hear about a cyberfud event, or hear some industry guy talking cyberfud, ask a few unsettling questions about commercial vendors externalizing the costs of security that are then exploited by greedy security-corporations and politicians. You are also free to ridicule:

"ich find ja, daß william gibson der einzige ist, der 'cyber' sagen darf, ohne dabei blöd auszusehen" — fx #alternativlos #ftw

(Translation: "The only person who is allowed to use 'cyber' without looking stupid is William Gibson".)


Online cenzúra a BTK-ban

2012-11-27

November 23-án benyújtották az internetes blokkolást lehetővé tevő BTK módosítást. Az alábbi szöveg a társadalmi konzultációra készült, azonban túl későn értesültünk róla, így lekéstünk arról, hogy beadjuk a konzultációra, most itt az alkalom, hogy mégis publikáljuk:

A blokkolást bevezető BTK törvénymódosítás a körülbelül egy éve elfogadott "A gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről szóló 2011/92/EU irányelvére" hivatkozik mint jogalap. Az irányelv előírja az úgynevezett értesítés és eltávolítás (notice-and-takedown) típusú végleges törlést, amiben mindenki egyet értett, hogy ez a leghatékonyabb módja a fellépésnek. A második pont már opcionális, és nagy viták övezték, ez a blokkolás alkalmazását engedi meg a tagállamoknak, bizonyos feltételek mellett. Ennek történetéhez hozzátartozik, hogy amit Németországban a Zensursula kampány kapcsán sikerült megakadályozni, azt eszkalálták EU-s szintre, hogy onnan újra lecsorogjon ez a cenzúrakezdeményezés a tagországokba, és a németeknek mégis lehessen ilyen rendszerük. Persze voltak figyelmeztető hangok, hogy kevésbe demokratikusabb államok nemcsak azonnal élni fognak az opcionális blokkolás bevezetésével, hanem ki is terjesztik más jellegű tartalomra is (ez a jóslat bejönni látszik).

Minden törvénykezési beavatkozásnak vannak társadalmi költségei. A blokkolás egyértelmű pozitív hatásainak bizonyítékai hiányában veszélyes gyakorlat a széleskörű intézkedés alkalmazása, mely olyan súlyos költségeket okoz, mint a küldetés-tágítás (elkerülhetetlen, hogy bővüljön a blokkolandó tartalom köre), technológia-tágulás (elkerülhetetlen az egyre súlyosabb beavatkozást okozó technológia bevezetése), Magyarország „demokrata” hírnevének további romlása, és a jogsértő tartalmat szolgáltatók számára figyelmeztető rendszer létrejötte. A blokkolás megakadályozza a valóban hatékony nemzetközi ellenintézkedéseket. Véget vetne a hálózatsemlegességnek, mivel arra kényszerítené az internet-szolgáltatókat, hogy olyan technológiába ruházzanak be, amelyek a különböző tartalmak egyre súlyosabb diszkriminációjára alkalmasak.

Az EU Bizottság azóta sokat tanult, és a minap a következő álláspontot alakította ki a szerencsejátékok blokkolásával kapcsolatban:

However, blocking access to websites does not work as an isolated enforcement tool and can be easily circumvented. Moreover, depending on the technology used, website blocking can impact on legitimate businesses. The efficiency of the blocking method furthermore depends on the validity of the list of blocked websites. Keeping the list up-to-date requires significant resources while internet addresses can be changed instantly. Lastly, ISPs are faced with the implementation of the provisions for blocking access to websites, not only implying costs and tying-up of resources but also creating potential liability issues. - forrás: Page 61 of the Commission Staff Working Document on gambling.

Lényeges pontok a módosító javaslatban

Tavaly Brüsszelben még csak a gyermekről volt szó, többen felvetették, hogy veszélyes hogy kiterjesztik a jogkört más cselekményekre is. Sajnos a magyar javaslat nem csak a gyermek bántalmazást kívánja elkendőzni, hanem az indoklásban egyből kiterjeszti:

Elektronikus hírközlő hálózat útján számos bűncselekmény elkövethető, így pl. terrorcselekmény, gyermekpornográfia, rasszista cselekmények, csalás, szerzői jogok megsértése, fogyasztó megtévesztése, személyes adattal visszaélés, rágalmazás, becsületsértés, stb.

158/B 4 b) elektronikus adathoz való hozzáférés ideiglenes megakadályozásával.

Ezzel a felesleges és kontraproduktív blokkolással az eddig semleges internet-szolgáltatókat kényszeríti rendőrködésre.

158/D (2) A bíróság a határozatával az elektronikus hírközlési szolgáltatókat kötelezi az elektronikus adathoz való hozzáférés ideiglenes megakadályozására.

212 (1) ... E törvény hatálya kiterjed „e) a 159/B. § és a 182. § (3) bekezdés tekintetében a közvetítő szolgáltatókra.”

Ezzel két probléma van: Egyrészt kérdéses, hogy a bírságolás mennyire van összhangban az e-kereskedelmi irányelv „mere conduit” rendelkezésével. Másrészt a még frissnek mondható Scarlet/Sabam Europai Bírósági döntése miatt kérdéses, hogy kinek kell a blokkolás költségeit viselni – ha ez a internet-szolgálatókra hárul, akkor a döntés miatt ez egy lehetséges támadási felület.

A KEHTA, amelynek célja a tiltólisták karbantartása, szintén teljesen felesleges, a tiltólista titokban tartása lehetetlenné teszi a transzparenciát és a társadalmi kontrollt, amire nagy szükség van tekintve azon országok kiszivárgott listáit, ahol ilyen rendszer üzemben van, láthatjuk hogy komoly tévedésekkel és visszaélésekkel vannak tele ezek a listák.

Statisztikák

A rendelkezésre álló statisztikák is a blokkolás ellen szólnak. Ha összevetjük a bejelentő vonalak, nemzeti bűnözési, az ECO 2010-es jelentését és a banki online csalások elleni fellépés hatékonyságát, kiderül, hogy mind a bejelentések száma, mint a jogsértő weboldalak száma az elmúlt években folyamatosan csökkent.

Néhány, gyermekek elleni erőszakot tartalmazó weboldal az azonosítást követően még hónapokig elérhető marad olyan országokban, amelyekkel az EU egyébként kitűnő nemzetközi kapcsolatokat ápol.

A kifogásolt tartalom szinte kizárólag magasan fejlett internet infrastruktúrával rendelkező szövetséges nyugati országból kerül terjesztésre. Bár vannak jelek arra, hogy ezt az érintettek kezelik, európai szervezetekhez beérkező bejelentések alapján a legtöbb jogsértő tartalom az Egyesült Államokból érkezik.

Gyermekek elleni erőszakot tartalmazó weboldalak átlagosan 4 hétig elérhetőek, banki csalásokat megvalósító vagy abban közreműködő weboldalakat órákon belül sikerül megszüntetni.

Céltévesztés

A blokkolás meghagyja az illegális tartalmat, csak a hozzáférést nehezíti meg kis mértékben. A hozzáférés mindig lehetséges marad, függetlenül az alkalmazott blokkolási technológiától.

A web alapú tartalmat egyre nagyobb mértékben tárolják legális, ingyenes webtárhelyeken, képfeltöltő oldalakon, vagy feltört website-okon. Ilyen oldalakon nyilvánvalóan szívesen eltávolítják az illegális tartalmat olyan gyorsan, amennyire csak lehet – a blokkolást szükségtelenné téve. A képfeltöltő oldalakkal való visszaélés a 2004-es 0%-os értékéről 2006- ban 10%-ra nőtt majd 2009-ben 40%-ra.

A legtöbb jogsértő tartalom nem szabadon elérhető oldalakon található. Más kommunikációs médiumok, mint például a fórumok vagy a peer-to-peer hálózatok sokkal alkalmasabbak az illegális tevékenységek elfedésére. A szervezett bűnözést nyilván nem fogja megakadályozni a gyenge technológia és a még gyengébb nyomozati intézkedések. Hús-vér emberekre és valós erőforrásokra van szükség a valós bűnözés megakadályozásához.

Nemcsak átlag-felhasználók számára könnyű a blokkolás megkerülése, de bűnözők számára is. A kanadai bejelentő központ megfigyelt egy weboldalt, amely 212-szer költözött el 48 óra alatt – a blokkolás bevezetésével a bűnözők ösztönözve lennének, hogy elköltöztessék a weboldalukat, mihelyt az tiltólistára került.

Összegzés

Nyomatékosan kérjük a Kormányt, a minisztériumot és végső soron a parlamentet, hogy vizsgálja felül terveit és vesse el blokkolás bevezetésének felesleges és káros gondolatát. A gyermek ellen elkövetett erőszak és annak megjelenítése az interneten rettenetes bűntény, amely súlyossága néha csak nehezen fogható fel. Ezt a kérdéskört komolyan, tényeken és hatásvizsgálaton alapuló intézkedésekkel kell kezelni, és nem politikai okokból vagy zsigerből. El kell kerülni az olyan intézkedéseket, amelyek csak kozmetikai hatást váltanak ki, de érdemi megoldással nem szolgálnak. Azokban az országokban, ahol ilyen blokkolás a gyakorlat, egyértelmű bizonyítékok támasztják alá, hogy a blokkolás a hatékony nemzetközi intézkedés hatástalan helyettesítője, és nem kiegészítő eszköz.

Blokkolás helyett kötelességünk mindent megtennünk, hogy az ilyen oldalak működését megszüntessük, azonosítsuk az áldozatokat, és az elkövetőket megbüntessük.

Fel kell ismerni a blokkoló-infrastruktúra kiépítésének káros összhatását, a küldetés-tágulást, és annak a költségét, hogy az áldozatok azonosítása helyett elpazaroljuk erőforrásainkat, és egyre jelentéktelenebb problémát orvosoljunk erre alkalmatlan és súlyos beavatkozást jelentő technológiával.

Köszönet minden közreműködőnek a fenti anyag elkészítéséhez.

Linkek


Tunnel daemons

2012-08-22

molerat Various methods of tunneling ssh connections to pierce through restrictive firewalls. The following setups are evaluated:

  • HTTPTunnel+stunnel4, moderately difficult to setup, but once installed it appears as legitimate HTTPS traffic.
  • Iodine, setup needs the most effort, however when done and the network allows DNS queries it works quite reliably.
  • CurveCP, setup is quite easy, when done the link is encrypted and fast. However the firewalls that allow UDP/53 to pass are somewhat limited.
  • ICMPTX, setup is quite easy, however there is no encryption, use it only to tunnel encrypted traffic like ssh and such.
  • TOR, setup is easy, usage is a bit delayed due to the latency of the Tor network, requests look like normal HTTPS traffic.

The setup with the most effort seems to be also the most reliable, an iodine based link over DNS can break out of a lot of networks. If we can use HTTP to browse but other services are restricted then the httptunnel is adequate. For less setup-hassle but increased latency Tor tunnels also deliver reliably. The usefulness of ICMP and CurveCP tunnels depend on the firewall configuration, but if they work, they're pretty fast.

Over HTTPS

This method is generally useful in heavily restricted networks, where you can only use the web for browsing, but no other services are allowed.

We use the fine tool httptunnel for masking our ssh connection. However httptunnel is not encrypted, and thus also the ssh handshake can be identified in the traffic. To avoid that, we put a tunnel into our tunnel using stunnel.

On the server

First we need to generate the SSL certificate:

openssl req -new -x509 -days 365 -nodes \
       -out htcert.pem -keyout htcert.pem

Set up an stunnel, make sure to set the ip address, and the user and group exist:

/usr/bin/stunnel -f -r 127.0.0.1:8888 \
     -d <public ip address>:443 \
     -p htcert.pem -s stunnel4 \
     -g stunnel4 -P ''

When this is done, we can run httptunnel to connect the sshd with the stunnel:

/usr/bin/hts -w -F 127.0.0.1:22 127.0.0.1:8888

On the client

Get the generated certificate from the server (don't forget to remove the private key part). You need to rename the cert to it's hash value and append a '.0':

mv htcert.pem $(openssl x509 -noout -hash -in htcert.pem).0

Now start the stunnel:

sudo stunnel -c -d 127.0.0.1:8888 \
       -r <server-address>:443 \
       -s stunnel4 -g stunnel4 -P '' -a . -v 3

We need to set the server address (can be IP or name-based), make sure the user, group exist.

start the httptunnel:

htc -F <httptunnel-port> 127.0.0.1:8888

The tunnel will listen on httptunnel-port. Enjoy your ssh-over-https:

ssh -p <httptunnel-port> 127.0.0.1

Over DNS

In some cases internet access is blocked however DNS traffic is allowed to pass, allowing us to tunnel through DNS.

If you can setup a special DNS entry for this, tunneling through DNS is very easy using the excellent iodine tool. Follow the straight-forward installation instructions.

Use this method if the network allows resolving of names, even if a local DNS server is forced on us, the tunnel will still work due to recursive queries hitting your "authoritative server".

Hint: you can manage and delegate a DNS zone for free on affraid.org, if you don't have your own.

Using CurveCP on UDP/53

The drawbacks of using any DNS protocol based tunnel like iodine, are that the tunnel has size-wise a huge protocol overhead, you need to setup a slightly uncommon DNS configuration and domain names you control are usually registered on your real name. If the firewall does not force the usage of a local DNS server and it allows traffic to UDP/53, then CurveCP tunnel is a preferred option.

Alternatively you could also run on UDP/80 or other allowed UDP ports.

On the server

Note: During testing I had to recompile CurveCP as the address family was missing from the bind call, see the patch at the end of this post.

Create a server key:

curvecpmakekey serverkey

convert the key to hex, and store it on the client in serverkey.hex:

curvecpprintkey serverkey > serverkey.hex

run the curvecpserver:

curvecpserver <your host name> \
                serverkey \
                <your ip address> \
                53 \
                00000000000000000000000000000000 \
                curvecpmessage /usr/sbin/sshd -i

On the client

This depends on socat the excellent swiss-army knife of socket handling.

Store the serverkey.hex that you generated on the server and run the client:

curvecpclient <curvecpserver hostname> \
    $(cat serverkey.hex) \
    <curvecpserver ip address> \
    53 \
    00000000000000000000000000000000 \
    curvecpmessage \
    -C sh -c "/usr/bin/socat tcp4-listen:9999,bind=127.0.0.1,reuseaddr,fork - <&6 >&7"

Start your ssh-over-curvecp:

ssh -p 9999 127.0.0.1

Over ICMP

Using ICMPTX you can set up tun devices that tunnel over ICMP, which is quite handy as in some cases it's not filtered and allows to pierce through the blockades. ICMPTX creates a local network device, so tunneling anything is quite easy after setup.

On the server

Simply run

(sleep 1; ifconfig tun0 10.0.99.1 netmask 255.255.255.0 )&; icmptx -s <server ip address>

On the client

Simply run

(sleep 1; ifconfig tun0 10.0.99.2 netmask 255.255.255.0 )&; icmptx -c <server ip address>

sshing to your box is then a simple:

ssh 10.0.99.1

Using Tor

Tor is great for hiding traffic, it's latency is a bit bigger than usual, but it's quite possible to get work done through tor tunnels even with ssh. If you configure your client-side tor proxy to use a tor bridge that runs on port 443, then the tunnel looks like casual HTTPS traffic.

There's two options, you can connect from a tor exit node to your normal ssh server, in this case skip the "On the server" part, and use your normal hostname instead of the .onion address referenced there.

On the server

If you want to run your ssh tunnel as a tor hidden service you simply have to add the following two lines

HiddenServiceDir /var/lib/tor/sshtun/
HiddenServicePort 22 127.0.0.1:22

to your /etc/tor/torrc. And find out the hostname of your new hidden service with:

cat /var/lib/tor/sshtun/

On the client

You simply need to call the torified ssh:

torify ssh <.onion hostname from server>

Code

Stubs for running the server-side daemons using the excellent runit tool can be found on github. These can be most easily installed using deamonize.sh. For client-side setup use the instructions in this post.

curvecp patch

curvecpserver had to be patched, as the address family in the bind call was uninitialized, the patch is below:

diff -urw nacl-20110221/curvecp/socket_bind.c nacl-20110221-new/curvecp/socket_bind.c
--- nacl-20110221/curvecp/socket_bind.c 2011-02-21 02:49:34.000000000 +0100
+++ nacl-20110221-new/curvecp/socket_bind.c     2012-08-19 02:52:25.000000000 +0200
@@ -9,6 +9,7 @@
 {
   struct sockaddr_in sa;
   byte_zero(&sa,sizeof sa);
+  sa.sin_family = AF_INET;
   byte_copy(&sa.sin_addr,4,ip);
   byte_copy(&sa.sin_port,2,port);
   return bind(fd,(struct sockaddr *) &sa,sizeof sa);

ACTA vége

2012-07-04

végeredmény A mai napon az Európai Parlament hosszas és izgalmas csaták után (a konzervatívok még az utolsó pillanatban megpróbálták visszadobni a döntést bizottsági fázisba), 478 - 39 arányban (165 tartózkodás mellett) végre nemet mondott a Hamisítás Elleni Kereskedelmi Egyezményre. Ezzel egyelőre vége az Európai Bizottság ámokfutásának - bár 2 hete DeGucht komisszár még jelezte, nem fogja tiszteletben tartani a a parlament demokratikus döntését és újra be fogja terjeszteni, de ezt még meglátjuk. Talán végre hasznosabb vitáknak szentelhetjük a következő heteket, hónapokat. Most, hogy ezzel nem betonozódik be a szerzői jogok és szabadalmak rezsimje, a Szellemi tulajdon érvényesítéséről szóló irányelv, az Adatvédelmi irányelv és az Európai Szerzői Jogi irányelv, Közszféra Információinak további Felhasználásáról szóló irányelv felülvizsgálata lehetnek az első lépések.

Az elmúlt években keményen ACTA ellen fellépő szervezetek közleményei és javaslatai a jövőt illetően:

Köszönet mindenkinek, aki személyesen, telefonon, emailben, levélben, faxban kapcsolatba lépett a képviselőkkel, azoknak akik kimentek az utcára, akik bloggoltak, tweeteltek erről. Ti döbbentettétek rá a képviselőket mekkora a felelősségük. Nélkületek csak egy rakás okostojás lettünk volna.


hálósemlegesség konzultácio

2012-06-30

Az imént küldtem el az NMHH részéről meghírdetett hálózatsemlegességi konzultációra az alább bemásolt véleményt. Köszönet Mariettának, aki lefordította az eredetit és a sok segitőnek, aki magyarított, véleményezett és beleszólt, köszi (tudjátok kik vagytok)!

Hozzászólás a hálózatsemlegességről szóló nyilvános konzultációhoz

A jelen szöveg a Nemzeti Média- és Hírközlési Hatóság által 2012. május 30-án elindított hálózatsemlegességről szóló nyilvános konzultációhoz járul hozzá. Javasoljuk a hatóságnak, hogy tegye világossá, célja a gazdasági fejlődés és az innováció elősegítése. De különösen fontos, hogy kifejezésre juttassa, kiáll a szólásszabadság mellett. Mindezeket megteheti, ha Magyarország internetre vonatkozó szabályozásának értékelése során figyelembe veszi az alábbi alapelveket, melyeket követve biztosítható a hálózatsemlegesség, és hogy a magyar állampolgárok az internet elérésére használt eszközeiket megfelelő szabályozási környezetben tudják használni.

Összefoglaló

  1. A hálózatsemlegesség egy üzleti fogalom, amely kísérlet egy technológiai koncepció újraértelmezésére, ez a kísérletezés az internet működését veszélyezteti.
  2. Az internetszolgáltatókkal akár szabályozás révén is be kell tartatni az „end-to-end” alapelvet
  3. Alapvető fontosságú a hálózatsemlegesség biztosítására a vertikális monopóliumok megtörése, a szolgáltatók korlátozásainak megszüntetése
  4. A nem engedélyköteles spektrumon alapuló, szabad közösségi szolgáltatók támogatása, a Digital Dividend (digitális hozadék) 33 százalékát jelöljük ki erre a célra

Az „end-to-end” alapelv

end-to-end alapelv

A hálózatsemlegesség egy üzleti fogalom, amely alapvetően egy technológiai koncepciót takar, az ún. end-to-end alapelvet.

Az internet különféle protokollok rétegeire épül. A felhasználó interakcióba lép valamely alkalmazással, amely továbbítja az adatokat ezeken a rétegeken keresztül az operációs rendszerbe és tovább. A rétegek legalján valamiféle fizikai eszköz van, például egy kábel vagy egy rádióhullám – lényegében az internetszolgáltató. A fogadó oldalon hasonló rétegek kezelik az adatokat alulról felfelé, amíg azok el nem jutnak a felhasználóig. A különböző rétegek nem vesznek tudomást a felsőbb rétegekből továbbított adatcsomag tartalmáról és nem is változtatnak az adatcsomagokon semmilyen módon. Minden egyes réteg közvetlenül a fogadó oldal azonos funkciójú rétegével kommunikál. Az értelmezés nem a közvetítés során történik, hanem a kommunikáló végfelhasználóknál. Innen ered az alapelv neve.

Az end-to-end alapelv decentralizálja a hálózaton átmenő információt. A klasszikus telefonszolgáltatói háttérrel rendelkező távközlési cégek hozzászoktak, hogy a hálózatukon átmenő információt irányításuk alatt tartják, egy „központban”, amelyben korábban emberek dolgoztak, manapság ezalatt számítógépes kapcsoló központot értünk. Azáltal, hogy a szolgáltatók felügyelet alatt tartják a teljes infrastruktúrát, nincs valódi verseny és nincs innováció. Az 1968-as Caterphone szabályozás létfontosságú volt abból a szempontból, hogy megnyitotta telefonhálózatokat és decentralizálta a hálózati vezérlést azáltal, hogy modemeket engedett csatlakoztatni. Ez a létfontosságú lépés is szükséges volt az internet robbanásszerű növekedéséhez.

A valós hálózatsemlegesség azt jelenti, hogy az internetszolgáltatók csak egy alsóbb rétegét jelentik a teljes rendszernek. Bármilyen, a szolgáltatón keresztül küldött tartalmat a forrástól, a céltól és az adatcsomagot alkotó adatoktól függetlenül továbbítani kell. Ez az end-to-end alapelv, és ez az, amit ma hálózatsemlegesség néven forgatnak ki eredeti jelentéséből. Elengedhetetlen, hogy a szolgáltatókat arra kötelezzük, feleljenek meg az end-to-end alapelvnek, és kezeljenek minden adatcsomagot előítéletek nélkül.

Verseny

Az, hogy az infrastruktúrát és a tartalmat is ugyanaz az üzleti vállalkozás nyújtja, trösztellenes aggályokat vet fel, hiszen ez lehetőséget ad arra, hogy diszkriminálja a harmadik fél által nyújtott tartalmakat, és előnyben részesítse azokat a tartalomszolgáltatásokat, amelyeket ő maga nyújt. Példák vannak arra, hogy a szolgáltató akár teljesen letilthatja a versenytársnak minősülő VoIP (IP-alapú telefon) szolgáltatásokat, vagy a jogkövető, de alternatív hang és videó tartalmakhoz való hozzáférést a hálózatáról. Ez a fajta gyakorlat szintén az end-to-end alapelv megsértése, hiszen az alapelv szerint a tartalmat a hálózat alsóbb rétegeiben előítélet nélkül kell kezelni.

A szabályozásnak hosszútávú megoldásokat kell nyújtania a problémát kiváltó okokra. A tartalmat el kell választani az infrastruktúrát biztosító szolgáltatóktól (például a CDN vagy a triple-play szolgáltatásoknál, ahol az internet-, a telefon- és a televíziószolgáltatás egy csomagban van). A termékek és a szolgáltatások szétválasztására (például a kártyafüggő mobiltelefonoknál) azért van feltétlenül szükség, mert így megszűnik egy ok arra, hogy a hálózatsemlegesség megszegésében a szolgáltató üzletileg érdekelt legyen.

A sávszélesség túlárusítása egy másik probléma, amelyet a verseny hiánya okoz. Az olyan hálózat üzemeltetői, melyek több kapacitást adnak el, mint amennyit képesek szolgáltatni, szükségszerűen a szűrés, a sávszélesség-korlátozás és a blokkolás eszközéhez nyúlnak. Mivel ez gyakran diszkriminatív, így szintén a hálózatsemlegesség megszegésének számít.

Alapvető jogok

A hálózatsemlegességgel kapcsolatos fejlemények az alapvető jogokat is veszélyzetetik. Az analóg tartalomszolgáltatással foglalkozó iparágak (pl. zeneipari kiadók, tudományos folyóirat kiadók) képtelenek felvenni a versenyt a megváltozott feltételekkel, – a terjesztés közel nullszaldósra jön ki – ezért megpróbálják a kormányokat és az internetszolgáltatókat rávenni arra, hogy módosítsanak az alapvető hozzáférésen (hozzáférési jogokon), és automatikusan blokkolják a lakosság nagy részének hozzáférését. A kommunikációhoz, magánszférához és a szólásszabadsághoz való alapvető jogokat sodorják ezzel veszélybe. Kiemelten szigorú igazságszolgáltatói fennhatóságot kell biztosítani, ha és egyáltalán ezen jogok bármelyikét megsértik. A mindennapi élet létfontosságú részei, az adatforgalomról szóló információktól kezdve, az internetbankoláson át a közszolgáltatásokig, mind a szabad internet meglététől függenek. A hálózaton történő blokkolást és módosításokat alkotmányellenesnek minősítették az Európai Unió egyes tagállamaiban. Az internet-hozzáféréshez való jog alapvető jognak számít Észtországban, Finnországban, Franciaországban és Görögországban1. Hollandiában törvény rendelkezik a hálózatsemlegességről2.

Némely tagállamban a szólásszabadsággal kapcsolatos törvényi változások aggodalomra adnak okot. Az anonimitás és a szólásszabadság védelme kiemelten fontos azokban az országokban, ahol a média nagy része valamilyen formában a kormány irányítása alá tartozik. Csak a szabad és korlátok nélkül internet teszi lehetővé a kormányzat átláthatóságát, a korrupció elleni harc segítése érdekében történő szivárogtatásokat, a politikai ellenzék működését és a demokráciát.

Digital Dividend

Ahhoz, hogy kiegyensúlyozott és semleges infrastruktúrát tartsunk fenn, lehetővé kell tennünk az engedélyhez nem kötött rádió spektrumon alapuló, szabad internet-hozzáférés biztosítását. A különféle közösségeket arra kell ösztönöznünk, hogy biztosítsanak last-mile szolgáltatásokat. A Digital Dividend óriási lehetőséget nyújt arra, hogy a felszabaduló analóg televízióspektrum legalább egyharmadát engedélyhez nem kötött spektrum alapú, szabad, közszolgálati internetszolgáltatóknak adjuk. Az olyan kezdeményezéseket, mint az Open Spectrum Alliance3 (magyarországon a HUWICO-hoz hasonlóan), támogatni kell abban, hogy feltörekvő közszolgálati és nem kereskedelmi célú internetszolgáltatókat hozzanak létre, amelyek növelik a piaci versenyt és serkentik a beruházásokat az infrastruktúrába. Az amerikai Szövetségi Kommunikációs Bizottság (FCC) 2010. szeptember 23-i döntése lehetővé teszi a kiosztatlan, úgynevezett white space spektrumának használatát4:

„A white-space spektrum elsőrangú vételnek számít, mert jól közvetíti a jeleket, ezáltal a mobil vezeték-nélküli eszközök számára is megfelelő. Azáltal, hogy ezt az értékes hullámhosszt megnyitjuk az új iparágak virágzásának elősegítésére, munkahelyeket teremtünk Amerikában és serkentjük az új beruházásokat és az innovációt.”

Hazánknak is követnie kell ezt az utat, és elő kell segítenie a nem engedélyhez kötött spektrumon alapuló szereplők megjelenését és fennmaradását a piacon.

Mobil Internet

Az Európában sok helyen általános gyakorlat, hogy a mobil hálózatokra csatlakozó eszközök feletti szigorú ellenőrzés meggátolja a végfelhasználókat abban, hogy alternatív VoIP szolgáltatásokat használjanak. Az üzemeltetők nem engedik, hogy mobil eszközökre más hálózatokról közvetlenül kapcsolatot kezdeményezzünk. A felhasználók készülékei nem tudnak közvetlenül, nem-hangalapú csatornán kommunikálni egymással. Ezenfelül arra sincsen mód, hogy az interneten keresztül hozzákapcsolódjunk egy mobilhálózatra csatlakozott eszközhöz. Ezek a tények már önmagukban sértenek alapvető jogokat, visszafogják a gazdasági növekedést és az innovációt. Az IPv6 bevezetésének felgyorsításával a mobil eszközök esetében feloldható az egyik legnagyobb akadálya annak, hogy ezeket a hálózatokat megnyissuk.

Az end-to-end alapelv szemszögéből semmilyen jelentősége nincsen annak, hogy fizikailag mely közvetítő hálózati médiumról van szó, ezért mindkét hálózat esetében ugyanazokat a szabályokat kell alkalmazni.

Vezetékes és vezeték nélküli hálózatok

Fogyasztói szemszögből nézve nincs igazi verseny sem a vezetékes, sem a vezeték-nélküli elérések piacán. Egy helyi piac, ahol kevesebb mint 4-5 szolgáltató van, nem jelent versenyt. Azáltal, hogy megnyitunk egy nyilvános, nem kereskedelmi célú spektrumot, nőhet a verseny a vezeték-nélküli last-mile piacon.

A vezetékes hálózatok piacán is előnyös lenne, ha a megnyitnák az előfizetők által használt set-top boxokat, hogy növeljék a versenyt, az innovációt és az üzleti növekedést a háztartási szórakoztatóiparban.

Szabályozás és ellenőrzes

A szabályozásban résztvevő szereplőknek meg kell változtatniuk a hozzáállásukat: az „internet szabályozása” helyett a iparági infrastruktúra hálózatsemlegességének betartatására kell fókuszálniuk. Amíg korlátozott számú résztvevője van a piaci versenynek, addig sokkal nagyobb a szigorú felügyelet fontossága, hiszen a nagy piaci koncentrációval nagyobb felelősség is jár.

Alapvető fontosságú, hogy a szabályzó szervezetek ellenálljanak az iparági értékláncon belülről és kívülről jövő aggresszív próbálkozásoknak, melyek a hálózatsemlegességet sérthetik.

Kapacitás

A szolgáltatók kapacitás túlárusításából keletkező bevételüket a tartalomgyártásba és a szolgáltatások működésébe fektetik be, ezek a tényezők definiálják ma a versenyt. Sajnos az, hogy az infrastruktúrába fektetnek be, sokkal ritkább. A széles körben elérhető Fiber To The Home (FTTH) ajánlatok hiányoznak a piacról. A vertikális monopóliumokat, amelyek a last-mile-on alapulnak, szét kell választani külön piacokra és kötelezni kell az internetszolgáltatókat arra, hogy csak a saját piaci kompetenciáik szerint ruházzanak be. Ugyanilyen korlátozásoknak kell érvényesülniük a többi szegmensben is.

Az általános túlárusítási gyakorlatot szabályozni kell: felső korlátra van szükség amely limitiálja a túlárúsítást, továbbá meg kell gátolni, hogy a kapacitás hiány mérséklésére konkrét protokollokat vagy alkalmazásokat szürjenek vagy lassitsanak. Ezekben az esetekben biztosítani kell az átláthatóságot, így a fogyasztók megfelelő képet alkothatnak a szolgáltató valós lehetőségeiről.

Forgalom menedzsment

Az adatforgalom kezelését csak rövid időszakokra szabad megengedni; átmeneti túlterhelés vagy biztonságot veszélyeztető helyzetek esetén. Amennyiben rövidtávú adatforgalom menedzsmentre van szükség, azt bármely más az esethez nem kapcsolódó felhasználó, az adatok és tulajdon diszkriminálása nélkül kell végrehajtani. Ha a sávszélesség nem megfelelő, például a kapacitás túlárusítása miatt, a szolgáltatás minősége forgalom menedzsment nélkül mindenképpen romlani fog. Ha komoly verseny van a piacon, akkor a szolgáltatóknak a sávszélesség növelésével vagy más szolgáltatók versenyképes ajánlataival, például a nem kereskedelmi célú, közszolgálati jellegű szolgáltatásokkal kell felvenniük a versenyt.

Átláthatóság

Az átláthatóság önmagában nem változtat a hálózatsemlegesség megsértésének tényén. A szolgáltatók már most is jelzik az előfizetőkkel kötött szerződéseikben, hogy egyes szolgáltatásokat diszkriminálnak. Ezt a tájékoztatási gyakorlatot meg kell tartani, ugyanakkor valójában semmilyen átláthatóságra nincsen szükség, ha egyszer nincs mit átláthatóvá tenni, amikor semmilyen változtatás vagy blokkolás nem történik – ezért a változtatás- és blokkolásmentesség kell legyen az alapvető állapot. Az átláthatóság a sávszélesség használatának ellenőrzésénél létfontosságú, valamint akkor, ha a végfelhasználókat értesíteni kell arról, hogy ideiglenes hálózati vagy biztonsági problémák fordulnak elő.

Menedzselt szolgáltatások

Menedzselt szolgáltatások csak az alábbi feltételek mellett elfogadhatóak:

  • az ARCEP 2010-es javaslatához hasonlóan, nem működhet a hagyományos hálózat egy minimális minőségének rovására (ha szükséges, akár fizikai szeparáció árán).
  • a végfelhasználónak szabad választást kell biztosítani, melyik szolgáltató szolgáltatását kívánja ily módon kiemelten kezelni (end-to-end),
  • a szolgáltatás kizárólag nagyon korlátozott adatokra vonatkozhat (pl. vészjelző szolgáltatások, közművek mérőberendezései, stb)

Fogyasztói kontroll

A szolgáltatás minőségét az összes fogyasztó tudja ellenőrizni, a sávszélesség sebességének és minőségének valós idejű átláthatósága lehetővé teszi, hogy a fogyasztók saját maguk végezzenek ellenőrzéseket és ennek megfelelően önállóan tegyenek válaszlépéseket. Különösen akkor lehetséges ez, ha a végfelhasználóknak lehetőségük van a bárki számára elérhető eszközöket használni a készülékeiken, és ha a szolgáltatóváltás is egyszerűen megoldható. Biztosítani kell ingyenes és szabad forráskódú eszközöket arra, hogy bármely felhasználó saját maga ellenőrizhesse a minőséget. Ez implikálja azt a feltételt is, hogy bármilyen szoftvert futtathatunk a saját eszközünkön. Ezt jelenleg megnehezítik az eladói vagy szolgáltatói korlátozások a végfelhasználók eszközein. Ha elősegítjük a könnyű szolgáltatóváltást, a nyílt szabványok elterjedését és a nyílt forráskódú szoftverek használatát ezeken az eszközökön, az állampolgárok sokkal bátrabban tesznek majd válaszlépéseket, hiszen sokkal több információval rendelkező szereplői lesznek a piacnak.

Valódi, end-to-end hálózatsemlegesség esetében, a fogyasztók valós időben is ellenőrizhetik az elérhető sávszélességet és az ideiglenes hálózati vagy biztonsági problémákat. Ha egy szolgáltató nem felel meg az end-to-end alapelvnek, akkor az átláthatóság lehetővé teszi azt, hogy ezzel tulajdonképpen a többi, az end-to-end alapelv szerint működő szolgáltatót reklámozza. Ahhoz, hogy ez megvalósuljon, szükségünk van nem-kereskedelmi és nyilvános hozzáférést biztosító szolgáltatókra. Ezen szolgáltatók feladata, hogy biztosítsák az end-to-end alapelv piaci jelenlétét.

Emberi jogokat veszélyeztető technológia

A tartalmak módosítása olyan bonyolult Deep Packet Inspection eszközök elterjedését segíti elő, amelyek károsan hatnak az alapvető szabadságjogokra. Azok a technológiák pedig, amelyeket az Európai Unió piacára fejlesztenek majd, a világ más régióiban is elérhetők lesznek és minimális változtatásokkal politikai ellenzék, ellenzéki csoportosulások ellen lesznek felhasználhatók. Valójában az ilyen technológiák már elérhetők és súlyosan károsítják a demokrácia fejlődését, valamint a politikai menekültek munkásságát.5

Egyéb hatások

Az alapvető jogokat, például a szólásszabadságot vagy a magánszférához való jogot bizonyosan sérti az úgynevezett Deep Packet Inspection (mély csomagelemzés) és a blokkolásra alkalmazott technológiák. Ezekkel a technológiákkal a szolgáltatók visszaélhetnek azért, hogy elnyomják a versenyt és saját kereskedelmi érdekeiket helyezzék előtérbe. Az alternatív tartalmak gyártói, mint például a kis stúdiók, előadók és művészetkedvelő közösségek nem tudnak egyenlő felekként részt venni a tartalomszolgáltatók versenyében. Ez visszaveti az internet sokszorosító hatását a tartalomgyártásban, és a versenyt az iparág domináns szereplőire korlátozza. Az internet alkotást elősegítő, részvételi jellegét pedig egyszerűen csak fogyasztásra alkalmas médiummá alacsonyítja.

Ezt a hatást sajnálatos módon tovább erősíti az a gyakorlat, hogy legtöbb internet ajánlat asszimetrikus, diszkrimálva a letöltést (fogyasztást) szemben a feltöltéssel (termelékeny internethasználattal). Ez a gyakorlat bár ártalmatlannak és nem közvetlenül hálózatsemlegességi kérdés, mégis komoly visszafogó hatása van, a fogyasztóknak maguknak kell tudniuk, dönteni, akarnak-e asszimetriát vagy nem.

Hálózatsemlegesség Magyarországon

Magyarországon a fentiekben taglaltak szellemében kell eljárni. A BEREC jelentésének eredményei alapján hazánkban is széleskörű ellenőrzéseket kell végezni, és meg kell szüntetni a semlegességet sértő gyakorlatokat. Hazánkban a jogalkotás és szabályozás terén a Schewick7 és Neelie Kroes EU-biztos 6 által megjelölt irányban érdemes megtenni az első lépéseket. További kiugrási lehetőséget jelentene, ha a "Digitális Hozadék" meghatározott részét nem-engedélyköteles felhasználásra biztosítanák. Az ebből fakadó innováció, valamint a pozitív gazdasági és versenypiaci hatások révén technológiai lépéselőnybe kerülhetünk a világpiacon.

Zárszó

A kereskedelmi és közszolgálati érdekek ütköztetése során fontos megjegyeznünk, hogy a rövidtávú üzleti érdekek nem állnak összefüggésben a társadalom javát szolgáló hosszútávra szóló előnyökkel, amelyeket ez a vita teljesen kiforgat eredeti jelentésükből. Mind a köz érdekét, mind a kereskedelmi-, innnovációs- és gazdaságfejlesztési érdekeket az eredeti értelemben vett hálózatsemlegesség az end-to-end alapelvhez való szigorú ragaszkodás szolgálja a leghatékonyabban.

Tisztelettel:

  • Veres-Szentkirályi András
  • Marsiske Stefan
  • Maróy Ákos
  • Punger Gergő
  • Kotcauer Péter
  • Horváth Róbert
  • Fekete Tibor
  • Hammerl László
  • Le Marietta
  • Tóth Balázs
  • Kálmán Gergely
  • Dunajcsik Péter
  • Varga-Perke Bálint
  • Tóth Gábor
  • Kürti László

2012 Június 30.

1. http://en.wikipedia.org/wiki/Internet_access#Internet_access_as_right

2. https://www.bof.nl/2012/05/08/netherlands-first-country-in-europe-with-net-neutrality/

3. http://www.openspectrum.eu

4. http://hraunfoss.fcc.gov/edocs_public/attachmatch/DOC-301650A1.pdf

5. http://samibengharbia.com/2010/09/17/the-internet-freedom-fallacy-and-the-arab-digital-activism/

6. http://blogs.ec.europa.eu/neelie-kroes/netneutrality/

7. van Schewick, Barbara. Network Neutrality and Quality of Service: What a Non-Discrimination Rule Should Look Like. Stanford Center for Internet and Society, June 2012. http://cyberlaw.stanford.edu/publications/network-neutrality-and-quality-service-what-non-discrimination-rule-should-look.


acta végső

2012-06-28

kint van az EP ACTA végső szavazásra terjesztett állásfoglalási javaslat:

Az Európai Parlament, [...] tekintettel az Európai Unió és tagállamai, valamint az Amerikai Egyesült Államok, Ausztrália, Japán, Kanada, a Koreai Köztársaság, a Marokkói Királyság, a Mexikói Egyesült Államok, a Svájci Államszövetség, a Szingapúri Köztársaság és Új-Zéland közötti, hamisítás elleni kereskedelmi megállapodás tervezetére, [...] tekintettel a Nemzetközi Kereskedelmi Bizottság ajánlására, valamint a Fejlesztési Bizottság, az Ipari, Kutatási és Energiaügyi Bizottság, a Jogi Bizottság és az Állampolgári Jogi, Bel- és Igazságügyi Bizottság véleményeire (A7-0204/2012), [...]

  1. nem ért egyet a megállapodás megkötésével;
  2. utasítja elnökét, hogy tájékoztassa a Tanácsot arról, hogy a megállapodás nem köthető meg;
  3. utasítja elnökét, hogy továbbítsa álláspontját a Tanácsnak, a Bizottságnak, valamint a tagállamok, illetve az Amerikai Egyesült Államok, Ausztrália, Japán, Kanada, a Koreai Köztársaság, a Marokkói Királyság, a Mexikói Egyesült Államok, a Svájci Államszövetség, a Szingapúri Köztársaság és Új-Zéland kormányának és parlamentjének;

Most mar "csak" - az amerikai függetlenség napján - meg kell szavazni. Az FFII irt ismét egy kíváló levelet, miert fontos ez.

Ugyanaznap az egységes szabadalmi rendszerről is lesz végszavazás, sajnos itt nem állunk olyan rózsásan, a 7 évvel ezelőtti szoftveres szabadalmak elleni győzelemből most majd lefaraghatnak. A harc többfrontos, tessék levelet írni a képviselőknek vagy felhívni őket.


adatkérő levél

2012-04-03

A napokban megint mail-írasra kényszerítettek, ezúttal egy jóakaratú, de tájékozatlan ismerősöm írt fel kéretlenül valami marketing szolgáltatásra. A leiratkozás során több problémás dolgot észleltem. A mostanában történő törvénykezési ámokfutás miatt gyanítható, hogy sok online szolgáltatás még nem állt át az új törvényre, így legalább az elavult törvényre való hivatkozás tekintetében valószínűleg átmenetileg iparági problémával állunk szemben.

Az alábbiak talán másoknak is hasznosak lehetnek, ha hasonló ügyben kívánnak eljárni.

Tisztelt Napidij,

egyik kevésbe tájékozott ismerősöm irt fel az önök szolgáltatására. Ma leiratkoztam a szolgáltatásukról.

1. A leiratkozás során megjelenített megfogalmazás nem feltétlenül jelenti a törlést. Az önök oldala szerint: "Nem akarok tájékoztatást a Napideal ajánlatairól." - nem egyenértékű a törléssel.

2. Továbbá: "A Napideal Kft. ezt követően csak a jogszabályok által előírt kötelező tartalmú adatokat tárolja a jogszabályok szerint előírt ideig."

3. Továbbá: "A Napideal Kft. a Vevők adatainak kezelésekor a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. tv. rendelkezései alapján jár el." Felhívom a figyelmüket, hogy hatályba lepett a "2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról"

Ezert a 2011 CXII tv alapján:

a) a 5. § (1) A pontja értelmében NEM járulok hozza a további kezeléshez.

b) 15. § (1) felszólítom önöket az eddigi adatok felhasználásról teljeskörű tájékoztatásra.

c) a 14. § C pontja szerint kérem személyes adataim törlését.

d) teljeskörű tájékoztatást kérek azokról az adatokról, amelyeket nem törölnek, ott személyes adatonként tételesen megjelölve a további adatkezelés jogalapját.

Ma (2012 Április 3.) az alábbi választ kaptam:

Köszönjük megtisztelő figyelmét és levelét.

Ezúton kívánjuk Önt biztosítani, hogy kívánságának megfelelően az eddig kezelt adatai ( név, e-mail cím ) törlésre kerültek.

Az Ön esetében, mivel semmilyen akcióban nem vett részt, semmilyen további adattárolást nem kell folytatnunk. Nem kell az Ön által esetlegesen megvalósult részvétellel kapcsolatos adatokat ( akció, az akció megrendelési dátuma, fizetési teljesítés banki igazolása, az akció lebonyolítójának visszajelzése, annak dátuma).

Köszönjük levelét!

Üdvözlettel,

Napideal csapata

Szép munka.

Mostanában annyi emailt posztolok, hogy ez lassan már nem is blog, hanem outbox...


acta - ipari szemmel

2012-03-12

A múlt héten részt vettem egy kerekasztal-beszélgetésen, ahol megpróbáltam az ACTA hatását az IT ipar szemszögéből megvizsgálni. Kiderült a dolog könnyebb, mint a felhasználói oldalon. Hiszen nem gyengíti annyira a "commercial scale" megkötés, cserébe viszont könnyen közreműködő 3. fél szerepébe kerülhet. Ahogy az IVSZ közleményében is kitér, az ACTA egyezmény visszafogná a hazai IT ipar - a GDP 10 százalékát adó - a válság ellenére is 6-7 százalékos teljesítményét.

Előjáróban pár alapvetés:

  • Nem vagyok jogász.
  • A bűnözőkkel és az egészségre veszélyes termékekkel szemben fel kell lépni!
  • A szabadalom és a szerzői jog eredetileg átmeneti monopólium az innováció, alkotás ösztönzésére. Az innovációra és a kreativitásra a túlzott szigor ellentétesen hat.
  • Széles tömegek kriminalizálását és elavult üzleti modelleket el kellene felejteni és helyette megoldani az alkotás finanszírozását.

Az ACTÁ-ról azt mondják, hogy itthon és az EU-ban nem kell szigorítani. Találó a hasonlat a kötélhurokhoz (az akasztós fajtához). Nagyon tud szorítani, lazítani viszont nem lehet.

  • Ahogy az EP INTA bizottság tanulmánya (pdf) is megállapítja: "The study finds that the letter of the agreement is not incompatible with the Acquis but that there are no guarantees that its implementation will be."
  • Küszöbön áll az IPRED (szellemi tulajdon védelméről szóló) direktíva felülvizsgálata, és az ACTA bebetonozza ezt az IPRED direktívát, ezzel megakadályozva, hogy a későbbiekben alapvetően változtassunk az IPRED és más idevonatkozó szabályozáson.
  • A jelenleg nem-kötelező részek szép lassan elterjednek és "legjobb gyakorlatként" mégis megvalósulnak, amíg egy "ACTA2" harmonizálja és bebetonozza ezeket.
  • Az Egyesült Államok 301-es speciális jelentésének segítségével már most is komoly nyomást gyakorolnak több európai országra, hogy vezessenek be ilyen nem-kötelező szabályozásokat.
  • Tekintve, hogy Magyarország 2009-ben lekerült a 301 listáról a HENT megalakulása után, és itthon nem kell szigorítani a szabályozáson inkább elgondolkodtató. A 301-es jelentés és a magyar bevetéséről a Wikileaks sürgönyökből lehet tájékozódni.

Közben zajlik a nemzetközi verseny:

  • Kína felébredt, szabadalmi bejelentéseket tekintve lassan átveszi a vezetést, továbbá nem része az egyezménynek.
  • Az Egyesült Államok nem tartja magára nézve kötelezőnek az egyezményt, és így később lazíthat a saját szabályozásán, és így versenyelőnyhez jut a többi ACTA aláíróval szemben.
  • India, Brazília határozottan ellenzi az egyezményt.

Ezzel a világ gazdaságainak jelentős része kivonja magát az egyezmény alól.

Magyarország szempontjából nem egyértelmű az egyezmény hasznossága figyelembe véve, hogy mennyi a hazai és a nemzetközi érdekeltségű szellemi monopóliumok aránya. Jelenleg nettó befizető az ország. A korábban hivatkozott INTA tanulmány 35. oldalából az derül ki, hogy Magyarország 2008-ban körülbelül 1.2 milliárd USD (jó nagy szám, OECD forrásból származik) kereskedelmi deficittel rendelkezett a licenc és jogdíjak tekintetében, a kivitel nagyjából harmada a behozatalnak.

Az ACTA tele van szójátékokkal:

  • 23.1 cikk hivatkozik a "commercial scale" fogalmára, amely nincs definiálva, és akár úgy is értelmezhető, hogy néhány 10 vagy 100 letöltés is ideérthető.
  • a "indirect economic advantage" hasonló ködösen terjeszti ki az érintettek körét.
  • a 27 cikkben a "fair process" egy olyan fogalom, amely nem létezik. Létezik helyette a nemzetközi emberi jogban olyan, hogy "due process" és "fair trial", a kettő keveréke azonban csak ködösítés.
  • a szabadalmakat lábjegyzetben teszik opcionálissá.

Alább pár idézet az egyezmény szövegéből, bemutatva az aggályosabb részleteket.

Részlet a 2.1 cikkből: A kötelezettségek jellege és hatálya

A Party may implement in its law more extensive enforcement of intellectual property rights than is required by this Agreement, provided that such enforcement does not contravene the provisions of this Agreement.

Részlet a 8. cikkből Polgárjogi eltiltó határozatok

Each Party shall provide that, in civil judicial proceedings concerning the enforcement of intellectual property rights, its judicial authorities have the authority to issue an order against a party to desist from an infringement, and inter alia, an order to that party or, where appropriate, to a third party over whom the relevant judicial authority exercises jurisdiction, to prevent goods that involve the infringement of an intellectual property right from entering into the channels of commerce.

A mai internetes gazdaságban az IT ipar jó része, pl a könyvtárak, médiaszolgáltatók, kereső-motorok, a cloudban sikert próbálók mind számíthatnak közreműködő 3. fél státuszra. A helyzetet bonyolítja, hogy a 27 tagállamban nincs a szerzői jog harmonizálva. Az eltiltó határozatok túllépnek a jelenlegi EU-s szabályozáson és visszaélésekre adnak lehetőséget versenytársak ellehetetlenítésével.

Részlet a 9. cikkből: Kártérítések

In determining the amount of damages for infringement of intellectual property rights, a Party’s judicial authorities shall have the authority to consider, inter alia, any legitimate measure of value the right holder submits, which may include lost profits, the value of the infringed goods or services measured by the market price, or the suggested retail price.

lásd még a 3. lábjegyzetet is.

Ez azt jelenti, hogy a jogsértett megfelelő szabályozás mellett nagyjából bármit bemondhat veszteségre, bár ez opcionális, ez jócskán túlmutat a hatályos szabályokon.

Hány IT ipari KKV létezik, amelynek szellemi monopóliumokban kompetens jogi osztállyal rendelkezik? Ennek költségei egy induló vállalkozás esetén komoly visszatartó hatása jelentenek. Egy vélelmezett jogsértés esetén az induló vállalkozások várható kártérítései magas belépési küszöböt jelenthetnek.

Részlet a 11. cikkből információ-szolgáltatás

"... to order the infringer or, in the alternative, the alleged infringer, to provide to the right holder or to the judicial authorities, at least for the purpose of collecting evidence, relevant information as provided for in its applicable laws and regulations that the infringer or alleged infringer possesses or controls. Such information may include information regarding any person involved in any aspect of the infringement or alleged infringement and regarding the means of production or the channels of distribution of the infringing or allegedly infringing goods or services, including the identification of third persons alleged to be involved in the production and distribution of such goods or services and of their channels of distribution."

Az hogy a feltételezett jogsértőről bíróság nélkül személyes információkat lehet szolgáltatni, sok "may"-jel van körül bástyázva, de korábban idézett 2.1-es cikkelyben buzdítanak a szigorúbb szabályozásra.

Részlet a 14.2 cikkből: Kis küldemények és személyi poggyász

"Each Party shall include in the application of this Section goods of a commercial nature sent in small consignments.ö"

és

"... may exclude personal luggage"

Az első idézet szerint kis csomagokat a határon elfoghatnak, ez gyakorlatilag a párhuzamos importot és a gyors és olcsó prototípizálást nehezíti meg. E problémakörnek nem a kalózkodás, hanem egy globális árazási probléma az oka.

A 16. cikk: határ-intézkedések

  • hatóságok saját hatáskörben,
  • export esetén is,
  • közvetlen bizonyítékok nélkül,
  • határozatlan időre,

Védjegyek esetén vitatott a hatóságok kompetenciája a hasonlóság megállapítására, sok esetben ezt bíróságok és védjegy jogászok hosszadalmas eljárását igényli. Az átmeneti intézkedések során fellépő zavarok a beszállítói értékláncokat érzékenyen érintheti, korlátozva a versenyt és visszaélésekre adva lehetőséget. Problémás lehet még kis szériás prototípusok, elektronikai alkatrészek beszerzése, ha ezek a határon határozatlan időre elakadnak.

Részlet a 23.4 cikkből: Bűncselekmények

"... büntetőjogi jogkövetkezmények legyenek érvényesíthetők az ebben a cikkben meghatározott olyan bűncselekményben való segédkezés vagy az arra való felbujtás vonatkozásában..."

A segédkezés értelmezéstől függően az IT ipar egy jó része "képbe kerülhet".

És akkor végül pár részlet a 27-es Digitális cikkből:

  • 27.1 cikk, "expeditious remedies to prevent infringement and remedies which constitute a deterrent to further infringements", magyarul: "gyors és eredményes megelőzését, valamint azokat, amelyek a további jogsértésekre nézve visszatartó erővel bírnak."
  • 27.2 cikk, "means of widespread distribution for infringing purposes", a 13-as lábjegyzet példaként felhozva buzdít az internet szolgáltatók felelősségének és következmények szigorítására.
  • 27.3 cikk, bíróságon kívüli intézkedésekről, a szabályozás privatizálásáról, a közreműködő szolgáltatók "önkéntes" felelősség-vállalásáról Frank LaRue ENSZ külön-megbízott elutasítóan nyilatkozott, az EDRi saját tanulmányban szintén.
  • 27.4 cikk, a feltételezhető elkövetőről és a közreműködőkről személyes adatok adhatóak ki a jogsértettnek, bírói engedély nélkül.
  • 27.5-7 cikk az Egyesült Államok DMCA szabályozásának kivételeit nélkülöző jogi diktátuma, ez megtiltja a DRM megkerülésére szolgáló módszereket, ezzel a legtöbb eszköz még jobban el lesz zárva a tulajdonosból felhasználóvá jogfosztott fogyasztóról, akiknek semmiféle kontrollja nincs a fogyasztott tartalom felett. Ezenkívül ez még ellehetetleníti a jogszerű visszafejtést (reverse-engineering) is. Ezek a részek egyébként szigorítanak a meglévő nemzetközi egyezményeken, ez nem volt része a WIPO egyezményeknek. Az USA DMCA szabályozás első 12 évének tapasztalatairól az EFF publikált tanulmányt.

Az ACTA korlátozza az innovációt mivel nagyobb erőt biztosít a nagy piaci szereplőknek az újakkal, kisebbekkel szemben. Többek között a szankciók és intézkedésekkel való visszaéléssel, a létrejövő "önkéntes" infrastruktúra lehetővé teszi a hálózati adatfolyamok megkülönböztetését és így versenytársak fékezésére ad lehetőséget. Miközben a szűréssel sok esetben nem eldönthető egy tartalomról hogy valóban jogot sért-e, így a sok tévedés lehetősége további költségeket jelent.

Riszpekt és köszönet, annak aki ezt végigolvasta! Szerintem az olyan egyezmények és törvények amelyek, félelmet, bizonytalanságot és kétséget keltenek elfogadhatatlanok. Jogászok?


cybercrime letter

2012-03-08

xkcd 932 - CIA Earlier today I sent a letter to Monika HOHLMEIER - the responsible rapporteur - and the shadows (Jan Philipp ALBRECHT, Alexander ALVARO, Ioan ENCIU, Timothy KIRKHOPE, Marie-Christine VERGIAT) in the LIBE committee of the European Union. I was alarmed by the brief from the EFF on the urgent matter of criminalizing software in the proposal "Judicial cooperation in criminal matters: combating attacks against information systems". The most troubling article 7 can be seen here, with further procedural information on parltrack.

Dear responsible members of the European Parliament,

I became aware of the 2010/0273(COD) "Judicial cooperation in criminal matters: combating attacks against information systems" dossier. Having strong roots in the security industry, allow me to argue specifically for the removal of Article 7.

Let me draw a parallel to biology, these tools are part of the immune system. Without them we couldn't repair the system, while the viruses would still be able to wreak havoc in the body, even more so - as the body is lacking it's intrinsic incentive to immunize itself against known threats.

The tools referenced in Article 7 can be used for completely legit purposes, indeed some tools are ordinary tools used by everyone daily on the internet. Even a narrow interpretation could also include web-browsers in this definition. If at all, only the use with criminal intent should be penalized, other uses especially those favorable to society should rather be fostered. Furthermore this directive could also harm scientific research funded by the EU in FP7 programmes.

You have surely heard about "critical infrastructure" incidents, where default three-letter passwords were used to gain access. From personal experience working in software development and security, I can only underscore this as one of the core root causes for the current state of security. In fact not only do vendors save on security features, if they are provided they are disabled by the customers. Such gross misconduct should be penalized, not the provisions of Article 7.

Indeed there could be an opportunity for supporting industry to harden all our infrastructure, similar to the 2YK bug-fixing. Furthermore it would be wise to educate society about these tools instead of banning them, so they become commodity, and thus also create an overall commodity-like baseline security-level.

I'll try to call you on the phone later, so you have a chance to discuss these matters in more detail. I would be grateful if you could propose a timeslot in your busy schedule, when this would be convenient for you and before you take a decision.

Concluding this letter: some parts of the proposed legislation are counter-productive - maybe also counter-intuitive - in terms of protecting our infrastructure. Please take this into account and support the appropriate amendments to be voted and passed.

Respectfully,

Andras KABAI, Senior IT Security Specialist

Zoltán KINCSES, Court/FP7 expert, CISO - Educatio Nonprofit Ltd,

Mátyás KOSZIK, ATW.hu, ISP owner and operator,

Stefan MARSISKE,

András VERES-SZENTKIRÁLYI, IT security expert - Silent Signal Ltd.


anonymous és a tüntetések

2012-02-25

Az anonymous jelenség az ACTA kapcsán vált aktuálissá.

Teljes általánosságban az anonimitás igen fontos eszköz mindenféle visszaéléssel szemben. Erre vonatkozólag igen kiváló előadást tartott a minap Jake Applebaum, ahol kiemeli, hogy már a 70-es években egy anonymoushoz hasonló csoport parancsolt megálljt a COINTELPRO programnak. A HBGary eset kapcsán az Anonymous is rámutatott hogy hasonló visszaélések a mai napig kedvelt eszközei a különböző szerveknek. A 70-es évek akciójának köszönhetjük például az infoszabadság törvényeket. Ez egyértelműen pozitív és kívánatos hatás.

Az mai Anonymousnak azonban van pár olyan aspektusa, amely nem feltétlenül vált ki ilyen pozitív hatásokat. Ilyen például a túlterheléses (DOS) támadásokkal való fogalmi összefonódás. Megfelelő keretek között a DOS a politikai véleménynyilvánítás egyik eszköze, hasonlóan az ülősztrájkhoz, amely mondjuk meggátolja a képviselőket a parlament gépkocsival való megközelítését, vagy az APEH^WNAV munkatársainak az irodájuk elérésére. Azonban ennek módja szerintem csakis a politikai véleménynyilvánítás célját szolgálhatja, és átmeneti blokkoló jellegű lehet. A vélemény-nyilvánítós DOS - amely egy nem túl bonyolult dolog - mellett vannak sokkal hatékonyabb eszközök is a kifejezésre. DOS és bruteforce helyett érdemes az energiát valami elegáns, tartós és konstruktív dologra költeni. Például rá lehetne ugrani közösségileg doktori disszertációira és rámutatni, melyik milyen kamu. A németeknél ez bejött. ;) vagy ilyet magyarra adaptálni (lehet, h. már kész is van).

Az anonymousszal egy másik aggály, hogy a sok jó kezdeményezés közé pár olyan - első ránézésre szimpatikus - akció keveredik, amely hosszú távon káros következményekkel járhat. Az ilyen akciók jobb esetben csak a közvélemény egy részét fordíthatja el. Lásd pl. az idősebb korosztályt, aki esetleg szimpatizál pl az ACTA ellenes fellépéssel, de - az egyébként teljesen jóakaratú - maszkos júzerek elterelik a figyelmet az érdemi vitáról. Rosszabb esetben az ilyen eredménye a drákói törvény szigorítás, amely egyébként pont az ACTA támogatók táborába üldözhet ingadozó szereplőket. És akkor még visszautalva HBGary esetre meg kell említeni, hogy az anonimitás lehetővé teszi provokátoroknak a beépülést és az "időzített bombák" telepítését. De ez egy ilyen, szerkezeténél fogva ezek bele vannak kódolva az anonymous fogalomba, ezt le kell tudni valahogy kezelni. Egy jó védekezés ezek ellen a szervezeti gyengeség ellen, a pozitív, építő jellegű akciók, amikor valami tartós létrejön.

Az ACTA szempontjából az anonymous egy eszköz az egyezmény megakadályozására. Nem szabad elfeledkezni, hogy a cél az ACTA megakadályozása, nem az anonymous médiaszereplése. Az ACTA elleni tüntetésre például jó lenne, ha minél színesebb lenne, gyerekekkel, lufikkal, vicces akciókkal és plakátokkal. A marconán menetelő userek lehet hogy csökkentik a tüntetés hatékonyságát. Ezek a csajok pl mindig bekerülnek a hírekbe, tudom - mások az adottságok. Online is lehet sok vicces és pozitív kampányt folytatni, és legfőképpen érdemit. Kezdjünk el azon gondolkozni mi milyen szabályozást vagy alkotó munkát ösztönző rendszerekre van szükségünk egy virágzó tudás-alapú társadalmi keretrendszerhez. Ez kemény munka, az élet sokkal több területét érintve, de megérne, épp most figyelnek ránk egy kicsit. Anonymousnak lenni nem csak móka, felelősség is.


digitális tudomány konzultáció

2012-02-19

Tavaly ősszel volt egy bizottsági konzultáció: "Consultation on scientific information in the digital age", erre beadtunk az FCForum és az EDRi kooperációjában egy véleményt (pdf). Januárban kijött az eredmény, és elég egybehangzó a vélemény. Ide kapcsolódik, hogy az Elseviert - a tudományos lapkiadók piacvezetőjét - elkezdték az akadémikusok bojkottálni, elegük van a kizsákmányolásból nekik is.

Végezetül pár kivonat az eredeti véleményből:

Our world has progressed from the economics of scarcity to an economy of abundance - at least when it comes to knowledge, information and data. This radical and ongoing shift is affecting all spheres of life, from the entertainment industry to public sector information. Scientific research is sadly an area where the fruits of this change have not begun to be harvested, despite the fact that the internet, which is the most important agent of change in this respect, was born in the research community. It is a precondition for meeting the EU's agenda to be a global leader in innovation to harness and nurture the generative nature of internet-enabled collaboration.

The role of Europe

We feel that policy formulation at the European level on access and preservation issues is essential to make progress on these issues and therefore agree strongly. This is for two reasons: first, scientific research was borderless even before the advent of the information age. Second, the legal frameworks surrounding issues of access and preservation have been to a large extent subject to legislative efforts at the European level. Although no effective harmonisation has come from the Copyright Duration Directive (93/98/EEC), Copyright Directive (2001/29/EC), the Database Directive (96/9/EC) and IPRED (2004/48/EC) , they do affect access and preservation issues to a large extent.

Moreover, we feel that the the following problems need to be addressed, primarily in order to be able to pursue Europe's ambitions in science, technology and sustainable economic development:

A majority of raw research data is not accessible to the scientific community as a result of database rights and/or other limitations. Or at least not accessible without strings attached. Examples of this are the results of clinical trials of new drugs. There have been several cases where early access to this data would have prevented harmful substances being prescribed (e.g. the Paxil and the Vioxx scandals)1.

The current model of the scientific publishing industry is fundamentally broken. Authors submitting articles to scientific journals are unpaid or even have to pay for publication ("author-pays" model). The editorial boards and the peer reviewers of scientific journals are effectively unpaid. The cost of printing journals and of their dissemination has dropped in the past decades. The price of scientific journals nonetheless keeps on escalating2. The profit margins of the scientific publishers are exceeding 35% now, while the general periodical publishing industry operates at a margin of less than 5%. According to financial analysts, no value is added by the scientific publishers that remotely justifies these excessive margins3.

We suggest than a comprehensive reform should include at least the following actions:

* Database protection should be abolished. Irrespective of any rights that preexisted the aforementioned Directive, there should be an harmonised EU rule that factual data is not eligible for copyright protection.

* Both the duration and the extent of copyright protection should be revised downwards. Any policymaking should take into account that reuse of information is essential for scientific progress.

* The EU should harmonise the transfer of copyrights from the original author to others. Such a transfer would have to be temporary and subject to compulsory registration.

* By extension, further expansion of IPR-enforcement powers through unfortunate directives such as IPRED should be curbed. In this vein ACTA should not be ratified by the EU since it can only worsen the situation in this regard. The chilling effects of excessive damages, provisional measures and injunctions in this field cannot be underestimated.

We also agree that co-ordinating existing initiatives in EU Member States would be an appropriate role for Europe.

Furthermore, we agree that Europe should be involved in supporting the development of a European network of repositories (online archives). In addition to this, we feel that online archives should use open standards as meant by the EIF 1.0 definition to the furthest extent possible, in order to foster genuine access to knowledge. Whenever possible, scientific information should be public, the same way legislation and jurisprudence are.

Finally on this point, we strongly agree that Europe should encourage universities, libraries, funding bodies, etc., to implement specific actions. A specific action should be that (European) funding of scientific research should be made contingent on a) unencumbered disclosure of both raw (provided that there are no privacy issues with raw data) and processed data and b) publication through open access scientific journals. Release early and release often, to borrow a mantra from the highly successful open source software development community, should be the credo of European research.

...we would like to stress that the current process of public funding of research by the EU is deeply flawed, but the problems are not unsolvable The biggest problem is that the areas of research that receive public funding are currently selected on the basis of framework programmes of half a decade ago. To quote a commentator in Forbes Magazine: ".. the system of awarding funds is insular, long winded and in no sense responsive to markets – these are five and six year plans, laying out innovation priorities from, say 2007 – 2013. Which areas of research should receive money is decided by the people who will bid for it and projects are assessed by people who are also applying. The impetus for change is dampened by the weight and self-serving nature of the system."4

An alternative avenue that is worth exploring is the use of competitions to solve specific scientific challenges. This model has been deployed successfully by DARPA and private actors like the X-prize challenges or the InnoCentive marketplace5.

Furthermore, user-driven innovation should be fostered. Examples of this phenomenon are so-called fablabs which put prototyping equipment in the hands of artists and designers. Even more grass-roots are hackerspaces, which despite their tremendous difficulties with housing and materials, have already shown to act as incubators for SMEs6.

1. Jasonoff, Transparency in Public Science, Purposes, Limits, in: Law and Contemporary Problems, vol. 69, iss. 21, Summer 2006, pp. 21-45.

2. see also Glenn S. McGuigan, Robert D. Russell, The Business of Academic Publishing: A Strategic Analysis of the Academic Journal Publishing Industry and its Impact on the Future of Scholarly Publishing, in: Electronic Journal of Academic and Special Librarianship, v.9 no.3 (Winter 2008)

3. http://southernlibrarianship.icaap.org/content/v09n03/mcguigan_g01.html

4. http://www.forbes.com/sites/haydnshaughnessy/2011/07/11/europes-disintegration-its-not-about-the-piigs-or-the-euro/

5. http://www.innocentive.com/

6. An example of this is innovation award winning soup.io


acta - gyarmatosítás

2012-01-27

Gyarmatosítási módszerek, államoknak hadseregeik vannak, cégeknek meg befolyásuk.

"Minden hadviselésnek törvénye, hogy legjobb épségben hagyni az ellenséges országot, elpusztitani, nem már nem olyan jó." - Szun Tzu

...így hadsereg helyett nemzeti érdekek álcája mögül kereskedelmi egyezményekkel terjeszkedtek (banán tarifák, dohány, etc), ez vezetett az olyan egyezményekhez, mint a GATT, TRIPS, a szabadkereskedelmi egyezmények, stb. Ebből lett a WTO és a WIPO nemzetközi szervezet, mivel ezek úgy-ahogy demokratikusan működnek, bekerültek a civil szervezetek és a fejlődő országok (legfőképp Brazília, Kína, India és Oroszország). Így itt a befolyás jelentősen csökkent. megjelent a mezőgazdasagi és természeti erőforrások mellett egy új értékosztály is, a "szellemi monopóliumoké", itt is komoly gyarmatosítás folyik, ennek egyik kedvelt eszköze a kereskedelmi szankciókkal való fenyegetőzés:

Külföldi bejelentők Magyarországon1

De ez nem elég, így az "információs" társadalomban élen járó és néhány fejlődő csatlós kell mutatóba: Egyesült Államok, Japán, az EU, Dél Korea, Mexico, Svájc, Marokkó, Kanada, Ausztrália, Szingapúr és Új Zéland. Pár éve ezek az országok saját zárt "klubot" hoztak létre, hogy titokban, kereskedelmi egyezménynek álcázva kisajátítsa a világ szellemi értékeit. Banán és kávé tarifák helyett széles körben a magáncélú felhasználást is büntethetővé tennék. Az egyik tárgyalási forduló után készült egy lista azokról akik - szemben a civil társadalommal - hozzáférhettek a tárgyalási dokumentumokhoz, ime egy kivonat:

  • International Intellectual Property Alliance
  • Time Warner Inc.
  • Eli Lilly and Company
  • Cisco Systems, Inc.
  • Anheuser-Busch Companies, Inc.
  • Merck & Co., Inc.
  • Biotechnology Industry Organization
  • Entertainment Software Association
  • CropLife America
  • Representing the Thomas G. Faria Corporation
  • Recording Industry Association of America
  • IBM Corporation
  • Intellectual Property Owners Association
  • Motion Picture Association of America, Inc.
  • Association of American Publishers, Inc.
  • General Motors Corporation

Magyar bejelentők belföldi bejelentései1

A TRIPS egyezményben meghatározott kereskedelmi felhasználással szemben, az ACTA az eredeti céllal - a káros hamisított gyógyszereket, vagy gyenge minőségű kereskedelmi mennyiségű termékeket bűnözői körök forgalomba hozásával - szemben hatástalan. Ellenben fenyegeti a KKV-ket, a generikus gyógyszerek korlátozásával a világ népegészségügyet, a megújuló energiaforrások hasznosítását, a másodlagos utángyártott alkatrész ipart, biotech ipart, stb.

"The Dutch port of Rotterdam is a major transit hub as well as key point of exit and entry for Europe. India says Dutch customs seized at least 19 consignments of drugs in 2008 and 2009, including treatments for blood pressure, cardiological conditions, HIV AIDS, schizophrenia and dementia. French and German customs also seized drugs." - http://www.indiabrazilchamber.org/en/?p=1519

Magyar bejelentők külföldi bejelentései1

Az egész egyezményt teljes titokban tárgyalták, mindenféle társadalmi konzultáció nélkül, és mindezidáig egyetlen politikus sem vállalta fel nyíltan az ACTA támogatását.

Az USA kivétel az egyezmény kötelező érvényű, így később ha megváltoztatják a saját szellemi monopóliumokra vonatkozó jogrendszerüket, a többi aláíró partner állam versenyhátrányba kerül, mert őket köti az egyezmény. Skizofrén jelenet lehetett, amikor itthon Orbán Viktor a nemzeti függetlenség örzője, a napokban szólította fel a minisztériumot az egyezmény megkötésére.

Egyetlen valódi reményünk maradt, az Európai Parlament. 2009 óta együttdöntési - egyfajta vétó joguk - van. Ez egy új vívmány, és ha nem élnek vele, akkor precedenst teremtenek arra, hogy teljes jelentéktelenségbe süllyedve mostantól minden törvényt nemzetközi egyezmény segítségével erőszakolnak rá, minden demokratikus intézményrendszert mellőzve. Az EP-ben ez az eljárás most van folyamatban, és két dolog van, ami eldöntheti a dolgot:

  1. Ha az EP kéri az Európai Bíróság álláspontját az egyezménnyel kapcsolatban.
  2. Ha a parlament a végső szavazáson nemet mond az egyezményre

Ha a parlament nem ezt teszi, akkor ez olyan, mintha valaki levágná a frissen átültetett szuper robot lábait.

Ebben az ügyben Magyarország szempontjából Szájer József a kulcsember, hiszen ő a 14 tagú FIDESZ delegáció vezetője - és összesen 22 magyar képviselő van az EP-ben.

Mivel az IMF mellett más fenyegetések is leselkednek országunk függetlenségére, ezért akinek számít az innováció, a demokrácia, a jogállamiság, és a nemzeti függetlenség, az kérem vegye ki a részét az lenti szervezetek kampányaiban, tájékozodjon és kérdezzen rá a felelősségüket elkerülő politikusoktól.

Foundation for Free Information Infrastructures

European Digital Rights

La Quadrature du Net

Act-on-Acta

korábbi posztok ACTA témában
update

Ma le is mondott az egész cirkusz miatt az EP véleményéért felelős referens:

I want to denounce in the strongest possible manner the entire process that led to the signature of this agreement: no inclusion of civil society organisations, a lack of transparency from the start of the negotiations, repeated postponing of the signature of the text without an explanation being ever given, exclusion of the EU Parliament’s demands that were expressed on several occasions in our assembly. As rapporteur of this text, I have faced never-before-seen manoeuvres from the right wing of this Parliament to impose a rushed calendar before public opinion could be alerted, thus depriving the Parliament of its right to expression and of the tools at its disposal to convey citizens’ legitimate demands. Everyone knows the ACTA agreement is problematic, whether it is its impact on civil liberties, the way it makes Internet access providers liable, its consequences on generic drugs manufacturing, or how little protection it gives to our geographical indications. This agreement might have major consequences on citizens’ lives, and still, everything is being done to prevent the European Parliament from having its say in this matter. That is why today, as I release this report for which I was in charge, I want to send a strong signal and alert the public opinion about this unacceptable situation. I will not take part in this mascarade. - Kader Arif, rapporteur for ACTA in the European Parliament

Lábjegyzetek

1. Grafikonok a Magyar Szabadalmi Hivatal Éves jelentés 2010 (pdf) alapján készültek.


Anonshort

2012-01-19

Clicktracking is evil, dnet and endre specified the details of an anonymous URL unshortening service (UUS), anonshort. Basically it resolves HTTP and HTML meta redirects, and cleans out those annoying Urchin Tracker Module URL parameters.

We currently don't provide a web user interface, only a very slim web API. Simply construct an URL by appending the shortened URL to http://anonshort.hsbp.org:8080/?u= and get a resolved URL back. Easiest is in the command line with curl:

curl 'http://anonshort.hsbp.org:8080/?u=<URL>'

the same service is also available for even more privacy as a tor hidden service at:

http://ixzr427vwpmxk3io.onion

using this tor hidden service is similarly easy with curl and torify:

torify curl 'http://ixzr427vwpmxk3io.onion/?u=<URL>'

We do cache the results, but we do so in a way that prohibits even us to deduce the input and output URLs without knowing the input URL. The algo is quite nifty i hope it stands up to scrutiny (check out cache.py).

All resolves are running over tor, the user agents are chosen from a pre-selected set of samples taken in the wild.

There was talk of a web-interface as well, let's see how that evolves.

enjoy it!


hacktivism hour cccamp2011

2011-08-28

At the camp we had a very inspiring radio show [ogg]. One interesting topic that came up was copyright abolitionism. As a free software developer it's hard for me to accept the loss of protection by the GPL from closing down free software. I can agree however, that we must change our discourse from copyright to alternative ways of incentivising value creation. If we can replace copyright with alternative systems that empowers creators and amplifies creation while somehow also preserving the 4 basic rights of free software, I'm all OK with that. (I admit the mixing of free software ideas with more general value-creation, needs some more refinement, but you get the idea.)



< prev posts

CC BY-SA RSS Export
Proudly powered by Utterson