pravila EU-a

Sigurnosni stručnjaci upozoravaju: Rušenje zidina oko tehno divova riskantan je potez

29.03.2022 u 12:45

Bionic
Reading

Najavljeni akt o digitalnim tržištima nastoji srušiti zidine oko velikih tehnoloških kompanija, no rezultat bi mogao biti internet izložen kibernetičkom kriminalu

Europski su zakonodavci 24. ožujka objavili dogovor o reguliranju poslovanja velikih tehnoloških kompanija u EU. Ovaj zakon, poznat kao Digital Markets Act, DMA ili prevedeno - zakon o digitalnim tržištima, ambiciozan je potez s dalekosežnim implikacijama.

On obuhvaća sve kompanije s više od 75 milijardi eura osnovnog kapitala ili više od 45 milijuna korisnika u EU te od njih traži da, među ostalim, naprave proizvode koji su međuoperabilni s manjim platformama. Tako bi, recimo, WhatsApp ili iMessage trebali na zahtjev manjih kompanija dozvoliti pristup svojim sustavima za razmjenu poruka. Premda ovo zvuči kao premisa za digitalnu utopiju u kojoj male i velike aplikacije za komunikaciju zajedno rade, tehnološki eksperti s razlogom gledaju na to kao velik rizik za digitalnu sigurnost.

Zakon koji cilja Metu, Apple, Amazon...

Fokus DMA-e velike su kompanije s velikim brojem korisnika i strukturalnom moći koju mogu iskoristiti protiv manjih konkurenata. Nova bi regulacija otvorila vrata manjim proizvođačima i dozvolila npr. instalaciju aplikacija na iPhone mimo App Storea, plasiranje vanjskih prodavača na istaknutija mjesta u pretrazi na Amazonu ili prisiljavanje aplikacija na slanje tekstualnih poruka u nekoliko protokola, piše Verge.

Ovakve mjere predstavljaju velik problem za usluge koje koriste enkripciju na dva kraja - među kriptografima vlada stav da će to biti jako težak, možda čak i nemoguć zadatak - a najviše će trpjeti potrošači. Otvaranje drugim aplikacijama značilo bi micanje dijela, ako ne i cijele enkripcije, što će ugroziti privatnost poruka vrlo velikog broja korisnika.

Stručnjaci također upozoravaju da ne postoji jednostavno rješenje koje može stvoriti međuoperabilnost različitih usluga za enkriptirane poruke. 'Ne postoji učinkovit način na koji se mogu spojiti razne enkripcije', rekao je sigurnosni stručnjak Steven Bellovin, profesor računalnih znanosti sa sveučilišta Columbia.

'Pokušavanje 'pomirenja' dviju kriptografskih arhitektura ne samo da je potpuno neizvedivo - jedna ili obje strane morat će uvesti ogromne promjene', rekao je. 'Dizajn koji radi samo kad su oba sugovornika online izgledat će puno drugačije od onog koji radi s pohranjenim porukama... kako je ikom palo na pamet da te dvije stvari mogu raditi zajedno? Taj zadatak je nemoguć.'

'Jedino rješenje je smanjenje sigurnosti'

Jedini način na koji se ova kompatibilnost može postići je da sofisticiranija aplikacija ogoli značajke sve dok ju slabija aplikacija može 'doseći'. Konkretno, ako imate aplikaciju s enkripcijom i aplikaciju bez enkripcije, komunikacija među njima morat će biti bez enkripcije.

Druga, jednako jeziva sugestija DMA-e uključuje dekripciju poruka na obje platforme i ponovnu enkripciju, čime se ruši koncept enkripcije na oba kraja i stvara ranjiva točka koju se može zlorabiti.

Stručnjak za internetsku sigurnost Alec Muffett, koji je nekad radio na Facebooku te je nedavno omogućio uslugu Tor, za Twitter kaže da je također greška pomisliti kako će Apple, Google, Facebook i ostale tehnološke kompanije proizvesti identične proizvode koji mogu međusobno kombinirati.

'Ako ušećete u McDonald's i kažete: 'U ime slamanja korporativnih monopola zahtijevam da u ponudu stavite sushi iz obližnjeg restorana', samo bi vas blijedo gledali', rekao je Muffett. 'Što se dogodi nakon što sushi dođe od traženog restorana? Može li ili smije li McDonald's ponuditi taj sushi kupcu? Je li dostavljač zbilja iz onog restorana? Je li hrana pripremljena na siguran način?'

Masivna sigurnosna prijetnja

U ovom trenu sve usluge za dopisivanje preuzimaju odgovornost za svoju sigurnost, što je Muffetta i ostale stručnjake dovelo do zaključka da će propusti jedne kompanije dovesti do sigurnosnih rizika kod druge, dramatično smanjivši zaštitu. Sigurnost najmoćnijih kompanija svest će se na razinu sigurnosti najslabije karike u međuoperativnom lancu.

Još jedan veliki problem samo je održavanje koherentnog 'prostora za ime' - kolekcije identifikatora stvorenih za razlikovanje raznih uređaja u umreženom sustavu. Osnovni princip enkripcije je da su poruke enkriptirane na način koji je jedinstven poznatom kriptografskom identitetu, što znači da je menadžment identifikacije fundamentalan dio održavanja sigurnosti.

'Kako ćete reći telefonu s kime želite razgovarati i kako telefon zna tu osobu?' rekao je Alex Stamos, direktor Stanford Internet Observatoryja i bivši voditelj sigurnosti na Facebooku. 'Ne postoji način na koji aktivirati enkripciju na dva kraja bez vjerovanja svim pružateljima usluge da će propisno odraditi menadžment identiteta. Ako je poanta u tome da svi sustavi za dopisivanje tretiraju jedni druge kao istu stvar, dobit ćemo sigurnosnu noćnu moru.'

Stručnjaci na strani DMA-e

U nedavnom blogu Matrixa, projekta za razvoj sigurnosnog standarda otvorenog izvora, spomenuti su problemi koje navode drugi sigurnosni stručnjaci. U objavi koju je napisao suosnivač Matrixa Matthew Hodgson može se pronaći razumijevanje za zabrinutost drugih stručnjaka, no također se spominje to da u stvaranju međuoperabilnosti ima 'puno koristi' koje će doći kao rezultat protivljenja zatvorenim ekosustavima. 'Velike kompanije nekad davno zaključile su da međuoperabilnost nije vrijedna truda. Na koncu, ono što se radilo su ograđeni vrtovi u koje se uvlači što veći broj korisnika.'

'Aplikacije za poruke već imaju primjer međuoperabilnosti - njezino ime je SMS i korisnici je ne mogu smisliti', komentirao je pak Alex Stamos i dodao da 'SMS ima velike sigurnosne propuste koji se ne mogu objasniti samo zelenim balončićima u iMessageu'.