Geekly articles weekly

Jedes Internetunternehmen muss den Programmcode auf Ersuchen der Behörden heimlich ändern

Jedes Internetunternehmen muss den Programmcode auf Ersuchen der Behörden heimlich ändern


Am 6. Dezember 2018 verabschiedete das australische Parlament das Gesetz über Unterstützung und Zugang 2018 - Änderungen des Telekommunikationsgesetzes von 1997 über die Regeln für die Bereitstellung von Telekommunikationsdiensten.

In rechtlicher Hinsicht legen diese Änderungen „Standards für die freiwillige und obligatorische Unterstützung von Telekommunikationsunternehmen für Strafverfolgungsbehörden und spezielle Dienste in Bezug auf Verschlüsselungstechnologien fest, nachdem Anfragen nach technischer Unterstützung eingegangen sind“.

Tatsächlich ist dies ein Analogon zum russischen "Frühlingsgesetz", wonach Internetunternehmen den Verkehr auf Ersuchen von Strafverfolgungsbehörden entschlüsseln müssen. In einigen Fällen ist das australische Recht sogar strenger als das russische. Einige Experten sind ratlos darüber, wie solche Gesetze in einem demokratischen Land allgemein verabschiedet werden könnten, und nennen sie einen „gefährlichen Präzedenzfall“ .

Legale Sabotage


Die Entwicklung des neuen Gesetzes dauerte mehr als ein Jahr, es ist äußerst komplex und umfangreich. Zu Beginn wird die „goldene Regel“ erklärt, zu der Strafverfolgungsbehörden kein Recht haben: Sie haben nicht das Recht, IT-Unternehmen zu verpflichten, „Systemschwachstellen“ in ihre Produkte einzuführen. Der Text definiert jedoch nicht, was als Systemschwachstelle angesehen wird.

Es wird ferner argumentiert, dass IT-Unternehmen bei der Entschlüsselung der Nachrichten von Benutzern behilflich sein müssen, die von Strafverfolgungsbehörden entwickelt werden. Die Liste der obligatorischen „Unterstützung“ enthält die folgenden Elemente:

  • Entfernung einer oder mehrerer Formen des elektronischen Schutzes;
  • Bereitstellung technischer Informationen;
  • Erleichterung des Zugangs zu Dienstleistungen und Ausrüstung;
  • Softwareinstallation;
  • Technologiewandel;
  • Verschleierung der Tatsache, dass eine der oben genannten gemacht wird.

Der letzte Punkt ist besonders bemerkenswert. Es geht nicht nur darum, Informationen vor Benutzern zu verbergen, damit diese die Installation eines neuen "Sicherheitsupdates" auf ihren Geräten nicht blockieren. Alles ist viel interessanter.

Wenn Sie sich die Definition des „benannten Kommunikationsanbieters“ in Paragraph 317C (Paragraph 6) ansehen, muss selbst ein einzelner Entwickler , wenn er australischer Staatsbürger ist, die Strafverfolgungsanforderungen erfüllen, eine Hintertür im Programm implementieren und diese Informationen vor seinem Arbeitgeber verbergen , da er sonst inhaftiert wird .

Designierter Kommunikationsanbieter



Es bleibt die Frage, inwieweit das Gesetz für australische Programmierer gilt, die für ausländische Unternehmen arbeiten.


Gemäß den angenommenen Änderungen hat die Polizei beispielsweise das Recht, eine „Anfrage nach technischer Hilfe“ an die australische Facebook-Niederlassung mit der Bitte um Aktualisierung von Facebook Messenger oder anderer Software zu senden, damit die Polizei auf die Nachrichten der betroffenen Person zugreifen kann. Wenn Sie der Definition in Absatz 317C buchstäblich folgen , können diese Anforderungen nicht nur an Unternehmen, sondern auch an einzelne Entwickler und Systemadministratoren von Internetdiensten gesendet werden. In der Tat ist dies eine legalisierte Sabotage von Computersystemen.

Dies ist der Hauptunterschied zwischen australischem Recht und ähnlichen Gesetzen in anderen Demokratien, in denen IT-Unternehmen Strafverfolgungsbehörden unterstützen müssen. Die Schwachstelle einer ähnlichen britischen Gesetzgebung besteht beispielsweise darin, dass die Behörden nichts davon erhalten, wenn ein Unternehmen technisch nicht in der Lage ist, Benutzernachrichten zu entschlüsseln (z. B. wenn die End-to-End-Verschlüsselung dort korrekt implementiert ist).

Nach australischem Recht können die Behörden jedoch "Software-Updates" verlangen. Bei Bedarf müssen Sie möglicherweise sogar die Verschlüsselung im Programm vollständig deaktivieren. Dies ist ein gefährlicher Präzedenzfall, sagen Experten.

Andere mögliche „Unterstützungsoptionen“, die IT-Unternehmen bereitstellen müssen:

  • Ändern eines Hardwaregeräts wie Apple Home oder Amazon Alexa für die kontinuierliche Audioaufnahme
  • Anforderung an einen gefälschten Website-Dienstleister;
  • Anforderung an ein Unternehmen, genauere Telefon-Geolokalisierungsdaten zu übertragen.

„Jetzt sind Unternehmen auch verpflichtet, auf ersten Wunsch der Strafverfolgungsbehörden die gesamte Verschlüsselung vollständig zu deaktivieren und dabei zu helfen, ihre eigene Software zu beschädigen. Alle in Australien tätigen IT-Unternehmen fallen unter dieses Gesetz. Einschließlich verschiedener Websites und Internetdienste.

Eines der größten IT-Unternehmen in Australien ist Atlassian - die Autoren von BitBucket, JIRA, HipChat, Zephyr, Bamboo und anderen bekannten Diensten. Für sie können die Konsequenzen einer solchen Entscheidung des Gesetzgebers ungeheuerlich sein. Es ist wahrscheinlich, dass das Unternehmen unter einem solchen Druck seines eigenen Staates die Gerichtsbarkeit ändern kann.

Eine solche „Gesetzgebung“, die als gute Absichten wie der Kampf gegen den Terrorismus usw. getarnt ist, hilft einem solchen Kampf nicht. Terroristen werden immer einen Weg finden, um zu kommunizieren, egal welche Maßnahmen der Staat ergreift. Die einzige betroffene Partei in dieser Situation sind normale Benutzer, deren Sicherheitsniveau im Cyberspace aufgrund von Hintertüren, die auf Ersuchen der Sicherheitskräfte bereitgestellt werden, erheblich abnimmt.

Es ist unmöglich, im 21. Jahrhundert eine solche Geheimtür zu schaffen, nur die Guten werden einen Schlüssel dazu haben. Das Vorhandensein von Sicherheitslücken in Software, die von Strafverfolgungsbehörden verwendet werden soll, bietet Angreifern genau die gleiche Möglichkeit, diese zu verwenden. Und im Kampf gegen Terrorismus und Kinderpornografie produzieren sie nur null, wenn nicht sogar negative Abgase. - schreibt Alexander Litreev, ein russischer IT-Sicherheitsexperte und Autor des beliebten Telegrammkanals Cybersecurity & Co.

Die einzige Abschwächung, die die Gegner des Gesetzes erreichten, war, dass die australische Regierung versprach, diese Gesetzgebung nur bei der Untersuchung schwerer Verbrechen mit einer Freiheitsstrafe von drei Jahren anzuwenden.

Selbst diese Einschränkung enthält jedoch eine sehr große Liste von Verstößen, z. B. einen falschen Notruf. Australien hat kürzlich einen weiteren zweifelhaften Spionage and Foreign Interference Act 2018 verabschiedet , der derzeitige oder ehemalige Regierungsbeamte bis zu fünf Jahre lang dafür bestraft, dass sie „Informationen preisgeben, die nationalen Interessen schaden könnten“. Menschenrechtsaktivisten glauben, dass dieses Gesetz gegen Informanten und Journalisten gerichtet ist.

Fünf Augen


Früher dachte jemand, dass solche Gesetze gegen „ausländische Agenten“ und „Spione“, die eine obligatorische Entschlüsselung des Verkehrs erfordern, nur in Ländern verabschiedet werden können, in denen die Menschenrechte nicht zu sehr respektiert werden. Die Praxis zeigt jedoch, dass die Behörden von Großbritannien und Australien ebenfalls versuchen, die elektronische Kommunikation der Bürger streng zu kontrollieren. Die Situation verschlechtert sich überall und nicht nur in Russland.

Australien ist Mitglied der Five Eyes- Allianz zusammen mit Kanada, den Vereinigten Staaten, Neuseeland und dem Vereinigten Königreich. Diese Länder verpflichten sich, Informationen auszutauschen, und gaben im September 2018 eine gemeinsame Erklärung ab, in der sie ankündigten, dass IT-Unternehmen ihren Zugang zu diesen Informationen erleichtern werden: „Wenn Regierungen weiterhin mit Hindernissen für den legitimen Zugang zu Informationen konfrontiert sind, die zum Schutz benötigt werden Die Bürger unserer Länder ", heißt es in der Erklärung der fünf Länder," können technologische, Strafverfolgungs-, Gesetzgebungs- oder andere Maßnahmen ergreifen, um legitime Zugangsentscheidungen zu treffen. "

In Anbetracht des Vorstehenden ist es wahrscheinlich, dass andere Länder des Bündnisses solche Gesetzesvorlagen annehmen.

Viele Experten sind sich einig, dass solche Gesetze mehr schaden als nützen und die Sicherheit tatsächlich schwächen, anstatt sie zu stärken: „Dieses Gesetz weist schwerwiegende Mängel auf und wird wahrscheinlich die allgemeine Cybersicherheit in Australien schwächen und das Vertrauen in die Elektronik verringern Handel, Senkung der Sicherheitsstandards für die Datenspeicherung und Senkung des Schutzes der Bürgerrechte “, sagte Digital Rights Watch in einer Erklärung .

Höchstwahrscheinlich wird das Gesetz nicht nur gegen Terroristen, sondern auch gegen Einzelpersonen angewendet, sagt Mark Gregory, Spezialist für Netzwerktechnik und Internetsicherheit an der RMIT University of Melbourne: „Es ist zu voreilig, weit gefasst und vage formuliert und wird letztendlich falsch verwendet . Es kann nicht nur in Strafsachen, sondern auch im Gesellschaftsrecht eingesetzt werden. “

"Es gibt Probleme mit Transparenz, Rechenschaftspflicht, Kontrolle und potenziellem Missbrauch", fügt Monique Mann hinzu, eine Technologie-, Rechts- und Regulierungsforscherin an der Queensland University of Technology.

Vertreter der IT-Branche sagen, dass das Gesetz den Export von IT-Diensten aus dem Land bedroht, da die Welt der Zuverlässigkeit australischer Programme weniger vertrauen wird.




Source: https://habr.com/ru/post/de432680/

More articles:


All Articles