Ladar Levison je imao burno leto. Pre nešto manje od dva meseca, osnivač Lavabita je bio prinuđen da zatvori svoj sigurni i-mejl servis, suočen sa zakonskim komplikacijama. Dok su novinarske službe pokušavale da saznaju detalje, Levison se nalazio na Četvrtom okružnom sudu za žalbe, pokušavajući da odbrani zakonitost kriptografije, Kada sam ga upoznao, bio je usred kampanje kroz Njujork, gde je skupljao sredstva za svoju odbranu. Do sada je skupio oko 80000 dolara, od 96000 koliko je procenio da će mu trebati za suđenje. To je pokazatelj koliko je posto popularan poslednjih meseci, i koliko će mu pomoći biti potrebno da izdrži do kraja godine.
Problemi su počeli u junu ove godine kada je korisnik Lavabita iz nepoznatih razloga postao predmet interesovanja FBI-a. Sumnjalo se da je Edvard Snouden korisnik, koji je otkrio tajne NSA, ali je Levison uporno odbijao da to potvrdi. Bilo kako bilo, vršen je veliki pritisak, toliki da je vremenom FBI tražio pristup kompletnoj mreži, i pokušao da uplaši Levisona tužbom za nepoštovanje vlasti ako ne pristane. „ To me je tako pogodilo da, iako verovatno ne bih imao 5000 dolara za advokata, morao sam da smislim način da se izborim sa ovim, jer je bilo koja druga opcija koju su mi nudili, mogla da završi mojim hapšenjem.“
Ključni trenutak je bio kada je FBI tražio od Lavabit-a privatne SSL ključeve. U prošlosti, Levison je uvek uvažavao ove naloge, ali je ovaj zahtev je otišao dalje od onoga što je on predviđao. „Nikada ranije nisao čuo da federalci traže od komapnija da predaju SSL ključeve. Da li se zakon promenio? Samo malo. Nisam shvatio da je dekripcija SSL tokova u realnom vremenu uopšte moguća.“ To objašnjava zašto su federalci bili tako tajnoviti po pitanju zahteva i zašto su se pojavili mesec dana unapred zbog provere Levisona. Samo postupajući po zahtevu suda, otkrili su zastrašujuće naprednu fazu hakovanja od strane NSA (National Security Agency) Ovo su bile državne tajne, tajne zbog kojih će se naći na naslovnoj strani Njujork Tajmsa samo nekoliko meseci kasnije.
Da bi zaustavili napad, FBI-ju nisu bili potrebni ključevi za šifrovanje korisnika, nego samo SSL ključevi Levisona. FBI je krenuo da traži pojedinačne mejlove korisnika, i izgledalo je da je došlo do pomaka u proveri. Jednom kada su imali pristup mreži, mogli su da idu mnogo dalje. “Usmeno, agenti FBI-a su mi rekli da će sakupiti sadržaj i lozinke”. Levison kaže:”A ja sam imao veliki problem sa tim.”
Levison je rekao da je probao da ispoštuje sudski nalog a da ne dozvoli potpuni pristup mreži, ali je stav vlade to učinio nemogućim. „ Jedan od mojih zahteva je bio da se obezbedi transparentnost“, rekao je Levison: “to jest da mi omoguće da potvrdim da uredjaj koji hoće da prikače na moju mrežu neće sakupljati informacije o drugim korisnicima, osim onog u nalogu (zahtevu). Nisu pristali na to.“ Rezultat je, zasad, poznat: Levison je predao ključeve iskucane sitnim, nečitljivim slovima a zatim je zatvorio servis zauvek. “Plašio sam se da ne dođu po mene zbog ometanja pravde”, rekao je. „Mislim da su to i planirali, ali da je pritisak javnost sprečilo“
Sada kada je sa sudskih zapisa skinuta oznaka tajnosti, Levison konačno može da objsni zašto je servis morao biti ugašen. Imati neometan pristup Lavabitovom SSL sertifikatu je bilo jednostavno previše. „Uzimaju vam reputaciju i koriste je za svoje potrebe“, kaže Levison. Da je servis ostao aktivan, ti ključevi bi omogućili FBI-u da ima skenira sve mejlove na osnovu ključe reči ili upotrebe neki softver za razbijanje zaštita. Mreža bi, jednostavno rečeno, pripadala FBI-u.
To je daleko iznad običnog prisluškivanja, i Levison vidi ovu ideju kao egzistencijalnu pretnju za male nezavisne softvere. Ako se primenom zakona može oteti bilo koja mreža u državi sa sudskim nalogom, kako se onda može bilo kome verovati? „Kako se može verovati softveru koji je potpisao microsoft ili Symantec?“, pita on. „Ako su potpisani njihovim ključevima, država vam uvek može tražiti te ključeve, kreirati modifikovanu verziju sa malverom i poslati je vama, a vi nećete znati da li je modifikovan verzija sa malware-om ili je legalna (originalna) verzija, jer ima isti potpis”. Bez poverenja, ceo sistem će se urušiti.
Ovo opet vodi nazad na Levisonov slučaj, koji se procesiura na federalnom sudu. Ako Lavabit pobedi, to bi mogao biti presedan i servisi ne bi bili mogli da budu primoravani da daju svoje sertifikate. To nije potpuna pobeda, ali u svetu gde nalozi FISA sudova mogu odobriti naizgled neograničena prava vlastima, dobar je početak. “Ja mislim da Kongres treba da odredi žaštićene klase informacija”, kaže Levison. „Stvari koje federalci ne mogu tražiti od nevinih nezavisnih servisa. Stvari kao kompanijini SSL ključevi za šifrovanje, izvorni kod, admnistratorske šifre. Ako ne dobijemo, biće teško, možda i nemoguće, da se veruje sigurnosti američkih proizvoda i servisa u bliskoj budućnosti.”
Ovo je veliki zahtev, za nekom vrstom gesta koji bi vratio nam vratio veru, i kome se možemo nadati, ali ne i očekivati. Ali bez toga teško je za poverovati da će američke kompanije moći da vrate poverenje korisnika. Problem je još veći jer je Lavabit usamljen u svetu, izgrađen na obećanjima o čuvanju privatnosti, još uvek dovoljno mali da se ugasi zbog principa. I dok je slučaj Labavita postao tačka okupljanja za slučajeve protiv kršenja prisluškivanja, nema razloga smatrati da je Levison prva osoba koja je primorana da preda SSL ključeve servisa. On je samo prvi koji je ugasio servis zbog toga.
Postavi komentar