No início deste mês, as autoridades alemãs apresentaram um projecto de lei que permitiria às autoridades responsáveis pela aplicação da lei utilizar a infra-estrutura dos fornecedores de Internet para instalar sistemas de vigilância nos dispositivos dos cidadãos. Como relata a publicação Privacy News Online, de propriedade do provedor VPN Private Internet Access e especializado em notícias de segurança da informação, supostamente usa o software FinFly ISP da FinFisher para implementar o MITM. Leia mais sobre isso já falou em Habré como parte de uma notícia semelhante.
O folheto fornecido pelo WikiLeaks afirma que o software FinFly ISP foi projetado para funcionar em redes de provedores de serviços de Internet, é compatível com todos os protocolos padrão e pode ser instalado no computador de destino junto com uma atualização de software. Um dos residentes do Hacker News no tópico temático sugeridoque o sistema pode ser usado para implementar o ataque QUANTUMINSERT. Conforme observado na Wired, ela usado na NSA em 2005. Ele permite ler IDs de solicitação de DNS e redirecionar o usuário para um recurso falso.
Prática muito antiga
Em 2011, especialistas do Chaos Computer Club (CCC) - Sociedade hacker alemã - contado sobre software usado pelas autoridades policiais na Alemanha. Este é um Trojan capaz de instalar backdoors e iniciar programas remotamente. Ele também sabia fazer capturas de tela e ligar a câmera e o microfone do computador. Mesmo assim, o sistema foi sujeito a severas críticas.
Em 2015 este tópico novamente trazido para discussão. Surgiu a questão da constitucionalidade desta forma de vigilância. Como escrevi A emissora internacional alemã DW e representantes da organização política “Partido Verde” opuseram-se a este sistema. Observaram que “os fins da aplicação da lei não justificam os meios”.
A história do MITM no nível do ISP começou a ser amplamente discutida em um tópico no Hacker News. Vários moradores levantaram questões sobre a situação com privacidade de dados pessoais como um todo.
Também falamos sobre obrigações de armazenamento de dados por parte dos provedores de Internet, e alguém até se lembrou de um caso Cripto_AG. É um fabricante global de equipamentos criptográficos que pertencia secretamente à Agência Central de Inteligência dos EUA. A organização participou do desenvolvimento de algoritmos e forneceu instruções para incorporação de backdoors. Esta história também é bastante detalhada coberto em Habré.
Qual é o próximo
A decisão final sobre o novo projeto de lei ainda não foi tomada e ainda está para ser vista. Mas já está claro que o problema da falsificação de sites pode se tornar ainda mais grave. Mas quem com certeza poderá se beneficiar com a situação são os provedores de VPN. Eles já são mencionados em quase todos os tópicos ou habraposts com um tema semelhante.