Prestrezanje podatkov v omrežju A1?
Raziskovalec dr. Matej Kovačič je na svojem blogu Telefoncek.si objavil zanimivi zapis o prestrezanju spletnega prometa v podatkovnem omrežju ponudnika A1. A1 odgovarja, da ne gre za prestrezanje, ampak za blokado domen na nivoju DNS. Kovačič se ne strinja.
Govora je o uporabi tehnologije Podrobno pregledovanje paketov (Deep Packet Inspection, oz. DPI), ki jo pri A1 očitno uporabljajo pri varnostni storitvi A1 Protekt, ki so jo v času korona krize za en mesec brezplačno vključili vsem svojim mobilnim naročnikom. Gre za vpogled v omrežni promet, ki se ga, kot pravi dr. Kovačič, v nedemokratičnih režimih uporablja kot tehnologijo množičnega nadzora, zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure. Seveda pa se uporablja tudi za zagotavljanje varnosti, saj lahko z njim prestrežemo viruse, zlonamerno kodo, hekerske napade in podobno.
Kot poudarja avtor, je tako delovanje pri A1 zelo verjetno brez ustrezne pravne podlage, saj gre za vdor v zasebnost uporabnikov. In ni skladno z GDPR, saj pri tem niso pridobili soglasja strank. Dogajanje je sicer opazil zaradi nerodne implementacije prestrezanja, kjer so prestrezanje spletnega prometa na strani, zaščitene s povezavo HTTPS, izvedli z napadom s posrednikom (MITM, Man In The Middle). Tu napadalec brskalniku uporabnika podtakne lažno digitalno potrdilo, s čimer ga prepriča, da je promet med brskalnikom in spletno stranjo varen. Proti temu imajo brskalniki vgrajeno zaščito, ki je v tem primeru opozorila na napačni certifikat – namesto pravega je avtor opazil uporabo certifikata nemškega varnostnega podjetja SecuCloud, ki sicer stoji za A1 Protekt.
Vsekakor priporočamo branje zapisa v celoti.
Velja povedati, da dr. Kovačič občasno piše tudi za Monitor, med drugim o varnosti povezav HTTPS.
Na A1 smo že poslali vprašanje za njihov komentar, odgovor objavljamo v celoti:
V zadnjih dneh so se na spletni strani Telefoncek.si in družbenih omrežjih Piratske stranke Slovenije pojavile obtožbe na račun podjetja A1 Slovenija, da prek storitve A1 Protekt izvaja nezakonito in množično prestrezanje komunikacij in podatkov svojih naročnikov. Obtožbe v A1 odločno zavračamo in smo prepričani, da bodo njihovo neutemeljenost potrdile tudi pristojne ustanove. Avtor namreč očitno ne pozna implementacije rešitve v družbi A1 ter v svojih prispevkih navaja napačno interpretacijo arhitekture rešitve in njenega delovanja.
A1 Protekt je storitev, ki jo A1 Slovenija ponuja v sodelovanju s podjetjem Secucloud. Secucloud je ponudnik omrežnih varnostnih rešitev s sedežem v Nemčiji, ki ponuja širok nabor omrežnih varnostnih rešitev, namenjenih tako ponudnikom internetnih storitev, telekomunikacijskih operaterjev kot tudi podjetjem. Rešitev je zasnovana na osnovi filtriranja spletnih domenskih naslovov in je v celoti integrirana v podatkovnem centru A1 na območju Republike Slovenije.
Delovanje storitve A1 Protekt je, tako kot delovanje vse drugih storitev A1 Slovenija, povsem skladno z vso relevantno zakonodajo. Storitev tako ne krši GDPR zakonodaje in ne obdeluje osebnih podatkov uporabnika na nezakonit način. 6. člen GDPR določa več pravnih podlag za obdelavo podatkov. Soglasje je zgolj eden izmed njih. Podrobnejša razlaga je opredeljena v Posebnih pogojih storitve A1 Protekt oziroma Politiki varstva osebnih podatkov A1, dostopni na A1.si. Storitev A1 Protekt je namenjena zaščiti končnih strank A1 pred potencialno škodljivimi spletnimi stranmi in ne izvaja množičnega prestrezanja komunikacij, temveč deluje v skladu s standardi na trgu, se pravi na isti način kot druge podobne rešitve.
Za zaščito uporabnikov pred zlonamernimi spletnimi stranmi in zlonamerno kodo uporablja t.i. preverjanje / filtiriranje naslovov spletnih strani v bazah mednarodno priznanih varnostnih podjetij, kot je na primer Symantec, in uporabnike obvešča o dostopu do spletnih strani, ki so v bazah teh podjetij prepoznani kot tvegani. V praksi to pomeni, da ob zaznani grožnji začasno onemogoči dostop do spletne strani, ki je prepoznana kot tvegana, in uporabnika o tem obvesti s preusmeritvijo na ciljno stran. Na njej nato storitev uporabnika obvesti, da je spletna stran, ki jo želi obiskati, potencialno nevarna. Uporabnik pa se lahko odloči, ali bo vseeno obiskal spletno stran ali ne. Prav tako lahko uporabnik storitev izklopi v skladu s splošnimi pogoji uporabe storitve.
Dr. Kovačič se z obrazložitvijo ne strinja: