Internet w samolocie? Proszę bardzo, ale będziesz inwigilowany jak tylko się da
Wierzysz szyfrowanym połączeniom? Ufasz liniom lotniczym, które przecież mają traktować cię jak gościa, a nie jak wroga? Jak odkryła jedna z inżynierek Google’a, popełniłeś podwójny błąd.
Ubiegły rok obfitował w skandale dotyczące inwigilacji i podsłuchiwania internautów przez władze. I już dziś się okazuje, że nowy nie będzie o wiele lepszy, jeżeli w ogóle. W aferę zamieszane są (być może w sposób nieświadomy) międzynarodowe linie lotnicze z wielu krajów, firma Gogo zapewniająca pasażerom samolotów dostęp do Internetu oraz… tak, zgadliście, komórka rządu Stanów Zjednoczonych.
Jak ujawniła za pośrednictwem swojego konta twitterowego Adrienne Porter Felt, na co dzień pracująca nad bezpieczeństwem przeglądarki Chrome, system Gogo Inflight Internet przeprowadza na internautach atak nazywany jako „man in the middle”. Teoretycznie, szyfrowanie połączenia powinno nas od tego uchronić. Dzięki kryptografii, transmisja pomiędzy usługodawcą internetowym a użytkownikiem jest nieczytelna dla podsłuchującego. Gogo znalazł na to metodę.
hey @Gogo, why are you issuing *.google.com certificates on your planes? pic.twitter.com/UmpIQ2pDaU
— Adrienne Porter Felt (@__apf__) styczeń 2, 2015
System ten podmienia certyfikaty znanych dostawców na własne, podszywając się pod znane marki, takie jak Google. W efekcie internauta jest przekonany, że korzysta z bezpiecznego połączenia, a tymczasem firma Gogo ma dostęp do treści naszych transmisji cyfrowych. Ktoś mógłby zasugerować, że to z powodu jakichś technicznych trudności związanych z dostępem do Sieci w samolocie i choć to niedopuszczalne, to motywy tego działania nie są złowrogie. Sytuacja wygląda jednak znacznie ciekawiej.
Przyjaźń Gogo z rządem USA
Sęk w tym, że Gogo współpracuje z rządem Stanów Zjednoczonych, a owa współpraca polega na „udostępnianiu możliwości egzekwowania prawa przez funkcjonariuszy rządowych i wspieraniu ich interesów”. Opublikowane dokumenty opisują między innymi umieszczanie rządowego spyware’u w produktach Gogo. Co więcej, sama firma otwarcie się przyznaje do zbierania danych na temat swoich użytkowników, jednak metody jakie stosuje i jakie ujawniła inżynierka Google’a są niedopuszczalne.
Jeżeli mieliście wątpliwą przyjemność korzystania z systemów Gogo na pokładzie samolotu, sugerujemy zmianę wszystkich haseł do usług, z których w tym czasie korzystaliście. Szyfrowanie SSL/TLS niestety nie zapewniło wam żadnej ochrony.
Jakie konsekwencje?
Obawiamy się, że żadnych. Linie lotnicze są tu jednym ciałem, które może wpłynąć na Gogo lub wręcz rozwiązać z firmą umowę. Obawiamy się, że nawet i do tego nie dojdzie. Pamiętajcie, że jesteście tymi „światłymi” internautami, którzy czytają Spider’s Web i podobne witryny, bo bardzo was ciekawi elektronika użytkowa. Należycie jednak do mniejszości. Większość pasażerów typowego liniowca nie ma zielonego pojęcia na temat szyfrowania danych, możliwości podsłuchu i innych „technicznych szczegółach”.
Zgadujemy, że cała awantura rozejdzie się po kościach. Skandal jest relatywnie mały w porównaniu do tego, co ujawnił Edward Snowden, a nawet jego zeznania nie sprowokowały Amerykanów do wyjścia na ulicę czy nawet zmiany swoich przyzwyczajeń.
A władze mogą nadal działać w sposób prawie nieskrępowany.
* Ilustracje pochodzą z serwisu Shutterstock