EU eIDAS: Τα VPN δεν θα προστατεύουν το απόρρητο των Ευρωπαίων εάν ψηφιστεί ο νόμος, προειδοποιούν οι ειδικοί
Έχουμε ήδη αναφέρει πριν από λίγους μήνες πώς η προσπάθεια της ΕΕ να διορθώσει το Διαδίκτυο αναμένεται να μετατραπεί σε εφιάλτη ιδιωτικότητας και ασφάλειας για τους πολίτες. Τώρα, οι ειδικοί είπαν στο TechRadar ότι ούτε οι υπηρεσίες VPN θα μπορούσαν να διασώσουν την online ανωνυμία μας εάν ο νόμος περάσει στην τρέχουσα μορφή του.
Γνωστό ως το
eIDAS 2.0
, ο περιβόητος προτεινόμενος κανονισμός είναι μια αναθεώρηση του προηγούμενου νόμου της ΕΕ για την ψηφιακή ταυτότητα—μια διαδικασία που ξεκίνησε το 2020 και πρόκειται να ολοκληρωθεί. Ο νόμος στοχεύει να κάνει δύο πράγματα: να αλλάξει τον τρόπο με τον οποίο τα προγράμματα περιήγησης ιστού αντιμετωπίζουν την ασφάλεια και τον έλεγχο ταυτότητας ιστότοπων, ενώ λανσάρουν μια εφαρμογή αναγνώρισης (EU ID Wallet) για όλους τους Ευρωπαίους.
Ασφαλείς πάροχοι προγραμμάτων περιήγησης, όπως το Mozilla, και κρυπτογράφοι, επιστήμονες υπολογιστών και υποστηρικτές του απορρήτου έχουν προειδοποιήσει για το πώς αυτές οι προτεινόμενες διατάξεις θέτουν σε κίνδυνο την ασφάλεια και το απόρρητο των πολιτών σε όλο το μπλοκ. Για τους σκοπούς αυτού του άρθρου, θα εστιάσω αποκλειστικά στα ζητήματα που αφορούν τον έλεγχο ταυτότητας του προγράμματος περιήγησης.
Άρθρο 45 για την ενίσχυση της διαδικτυακής επιτήρησης
“Είμαστε όλοι σοκαρισμένοι στην ευρύτερη κοινότητα ασφαλείας. Δεν νομίζω ότι το Ευρωπαϊκό Κοινοβούλιο γνώριζε τι έκαναν”, μου είπε ο Χάρι Χάλπιν, Διευθύνων Σύμβουλος και συνιδρυτής της Nym Technologies. «Όλα αυτά είναι εξαιρετικά επικίνδυνα πράγματα, είναι εκπληκτικό που πέρασε ένας τέτοιος ηλίθιος κανόνας».
Ο Χάλπιν είναι ένας επιστήμονας υπολογιστών με μακρά ιστορία στον αγώνα για καλύτερη προστασία της ιδιωτικής ζωής αφού βίωσε από πρώτο χέρι τον αντίκτυπο της επεμβατικής κρατικής επιτήρησης. Τα τελευταία 15 χρόνια, βρίσκεται σε λίστα παρακολούθησης για την προηγούμενη εμπλοκή του με ομάδες ακτιβιστών της βάσης για το κλίμα. Τον περασμένο Νοέμβριο, ξεκίνησε το NymVPN για να προσφέρει καλύτερη διαδικτυακή ανωνυμία από τις υπάρχουσες λύσεις. Τώρα, οι προσπάθειές του μπορεί να καταστούν παρωχημένες — τουλάχιστον σε ολόκληρη την ΕΕ.
Ας κάνουμε ένα βήμα πίσω, όμως, για να καταλάβουμε ποιο είναι πραγματικά το θέμα. Όπως αναφέρθηκε προηγουμένως, η Ευρωπαϊκή Επιτροπή προσπαθεί να αλλάξει τον τρόπο με τον οποίο τα προγράμματα περιήγησης ιστού διαχειρίζονται τους ελέγχους ταυτότητας ιστοτόπων με τρόπο που ο Halpin περιέγραψε ως «τρελή προσέγγιση». Αλλά, πώς μοιάζει αυτή η αλλαγή;
(Πίστωση εικόνας: Getty Images)
Πιθανότατα έχετε δει το μικρό λουκέτο να κάθεται στην αριστερή πλευρά μιας διεύθυνσης URL ιστότοπου στη γραμμή αναζήτησης ενός προγράμματος περιήγησης (δείτε την παραπάνω εικόνα). Αυτό υποδηλώνει ότι ο ιστότοπος στον οποίο πρόκειται να αποκτήσετε πρόσβαση προστατεύεται από μια σύνδεση HTTPS, που σημαίνει ότι η σύνδεση μεταξύ του προγράμματος περιήγησης και του διακομιστή που παρέχει την υπηρεσία είναι κρυπτογραφημένη.
Κάνοντας κλικ στο λουκέτο, μπορείτε να διαβάσετε τα στοιχεία του ποιος εξέδωσε το λεγόμενο πιστοποιητικό root εγκρίνοντας την ασφάλεια της σύνδεσης. Αυτή είναι η οντότητα που διασφαλίζει ότι ο ιστότοπος είναι ακριβώς αυτό που ισχυρίζεται ότι είναι.
Αυτό που θέλει να αλλάξει το eIDAS, εγείροντας πολλές ανησυχίες στον κλάδο, είναι ο τρόπος αντιμετώπισης αυτών των πιστοποιητικών. Όπως εξήγησε η μηχανικός υπολογιστών και καθηγήτρια στο EPFL Carmela Troncoso, ο νόμος θα δώσει στα κράτη της ΕΕ το δικαίωμα να εκδίδουν αυτές τις αποδείξεις εμπιστοσύνης τις οποίες τα προγράμματα περιήγησης ιστού θα πρέπει να αποδεχθούν ως αληθινά. Οι πάροχοι προγραμμάτων περιήγησης δεν θα μπορούν επίσης να αφαιρέσουν αυτά τα πιστοποιητικά (όπως συμβαίνει αυτή τη στιγμή) ακόμη και σε περιπτώσεις που παρατηρούν κακόβουλες δραστηριότητες, εκτός εάν το κράτος μέλος δεν το επιτρέπει.
“[The law] αλλάζει την ισορροπία δυνάμεων μεταφέροντας αυτούς τους ελέγχους ασφαλείας στα κράτη μέλη. Θεωρούμε ότι αυτό είναι εξαιρετικά επικίνδυνο», μου είπε ο Troncoso. «Η ασφάλεια ολόκληρου του Διαδικτύου είναι στη γραμμή γιατί δεν πρόκειται για την ασφάλεια δύο σελίδων, είναι το όλο θέμα».
Το ήξερες?
Συντομογραφία του εικονικού ιδιωτικού δικτύου, το VPN είναι λογισμικό ασφαλείας που πλαστογραφεί τη διεύθυνση IP σας και κρυπτογραφεί τις συνδέσεις στο Διαδίκτυο. Με απλά λόγια, κρυπτογραφεί όλα τα δεδομένα κατά τη μεταφορά ενώ επαναδρομολογεί τη σύνδεσή σας μέσω ενός από τους διεθνείς διακομιστές του. Χρησιμοποιείται ευρέως για την παράκαμψη των γεωγραφικών περιορισμών στο διαδίκτυο και την ενίσχυση του απορρήτου κατά την περιήγηση στον Ιστό.
Αυτό σημαίνει ότι οι κυβερνήσεις θα μπορούν να υποκλέψουν όλη μας την κίνηση στο Διαδίκτυο. «Ένα καθεστώς επιτήρησης χειρότερο από αυτό που έχουν η Κίνα και η Ρωσία», είπε ο Χάλπιν. «Δεν νομίζω ότι κάποιος με τα καλά του μυαλά θα το δεχόταν αυτό».
Ακόμη χειρότερα, ίσως, υποστηρίζει επίσης ότι ούτε η πιο ασφαλής εφαρμογή VPN δεν θα μπορέσει να το αποτρέψει.
Αυτό συμβαίνει επειδή η κυβέρνηση θα ενεργήσει ως ο άνθρωπος στη μέση μεταξύ του μηχανήματος μας και του ιστότοπού μας, «στο μέσο της σύνδεσής μας» όπως το έθεσε ο Halpin.
«Το VPN βρίσκεται σε χαμηλότερο επίπεδο—υπερασπίζεται τη σύνδεση δικτύου, αλλά υπάρχει επίσης ο ιστότοπος ή η εφαρμογή που τρέχει στην κορυφή του δικτύου», είπε. “Δεν θα έχει σημασία αν χρησιμοποιώ VPN επειδή η συγκεκριμένη κυβέρνηση μπορεί να υποκλέψει την κυκλοφορία στο επίπεδο του προγράμματος περιήγησης ιστού. Μπορεί να υποκλέψει νόμιμα όλη την κίνηση μέσω του προγράμματος περιήγησής σας, ακόμα κι αν είναι κρυπτογραφημένο και δεν το κάνει θέλω εσείς ή ακόμα και η Google να το μάθετε».
Ταυτόχρονα, ωστόσο, ο Halpin πιστεύει ότι ένα VPN μπορεί να είναι σε θέση να φέρει ορισμένα πλεονεκτήματα — θεωρητικά. Για παράδειγμα, θα μπορούσατε να πλαστογραφήσετε την τοποθεσία της διεύθυνσης IP σας για να προσποιηθείτε ότι δεν βρίσκεστε στην Ευρώπη και να κατεβάσετε ένα πιο ιδιωτικό και ασφαλές πρόγραμμα περιήγησης. «Είναι σχετικά τρελό, αλλά θα μπορούσε να συμβεί», είπε.
Τι έπεται?
Ενώ η Ευρωπαϊκή Επιτροπή απέρριψε τέτοιες ανησυχίες για την ασφάλεια, κατά τη στιγμή της σύνταξης, συμφώνησε μόνο σε ένα προσωρινό κείμενο.
Γι’ αυτό η ομάδα του νορβηγικού προγράμματος περιήγησης Opera, αισθάνεται πιο αισιόδοξη. Παρά το γεγονός ότι συμφώνησε με τον ευρύτερο κλάδο ότι στην τρέχουσα μορφή του ο νόμος δεν θα βελτιώσει την ασφάλεια του ιστού, ο αντιπρόεδρος πληροφορικής και ασφάλειας Christian Zubel μου είπε: «Πιστεύω πραγματικά ότι μπορεί να ξυπνήσουμε αύριο και να δούμε μια διαφορετική έκδοση [of the text].”
Ωστόσο, οι ειδικοί αναμένουν ότι η τελική συμφωνία θα αποκαλυφθεί μέχρι τα τέλη Μαρτίου, καθώς η Βουλή πιέζει να κλείσει όλες οι ανοιχτές νομοθετικές διαδικασίες πριν από τις επερχόμενες ευρωεκλογές που έχουν προγραμματιστεί τον Ιούνιο.
Το σίγουρο είναι ότι το άρθρο 45 της αναθεώρησης του eIDAS δεν ανοίγει το δρόμο μόνο για μεγαλύτερη επιτήρηση. Ο κίνδυνος να αυξηθεί η διαδικτυακή λογοκρισία είναι επίσης υψηλός, όπως και οι πιθανές επιθέσεις στον κυβερνοχώρο. «Από πλευράς κυβερνοασφάλειας, κάνει την Ευρώπη επικίνδυνο μέρος για να κάνεις οτιδήποτε μέσω του Διαδικτύου», μου είπε ο Χάλπιν.
Αξίζει να σημειωθεί, ωστόσο, ότι οι νομοθέτες φαίνεται ότι άκουγαν την κραυγή από το εσωτερικό του κλάδου – τουλάχιστον εν μέρει. Στην πραγματικότητα, δεν άλλαξαν την ίδια τη διάταξη, αλλά πρόσθεσαν μια αρχική αιτιολογική σκέψη που θα πρέπει να διευκρινίσει τις ασάφειες και να αφήσει στους παρόχους προγραμμάτων περιήγησης περισσότερη ελευθερία να διασφαλίζουν την ασφάλεια του ιστού. Παρά το γεγονός ότι αυτό είναι μια καλή αρχή, μένει να φανεί πόση αξία θα είχε τελικά από νομική άποψη.
VIA:
TechRadar.com/
