====== Schuzka s Piraty 2019-05-07 (confcall) ====== ===== Info prezentovane za DBaS ===== ==== WEB ==== - WiP, Na webu se pracuje (pilujeme texty). - Cca ve ctvrtek (do konce týdne) by asi mohlo byt neco co se da ukazat. Dál pilujeme texty. - Necht se Zuzce ozve Alex Mansurov (mediální prezentace)? od Piratu. Nereagoval mail a telefonní kontakt nemáme. Má být hlavní kontakt ohledně medialni prezentace. - co dali Pirati do kupy: - nějaká svoje hesla - další argumenty - infografiku - ..? ==== Organizacne ==== Franta Kopriva psal Alzbete, ta neodpovedela. Zuzka psala Alexovi, neodpovedel. Alex nema cas. Franta Navrkal je ted hlavni kontakt. Ruza zada telefonicky kontakt na Navrkala pro Susan a Alzbetu. ==== Dalsi ==== - videli jsme prezentaci pro CSIRTy, ukolebavka - VZ jede propagandu. Ukolebavky siri VZ obecne jak kritkum, tak verejnosti. - spojime se s Koskem z ISP Alliance - tématu se asi bude věnovat Seznam zpravy - Seznam asi bude mít nějakou schůzku s VZ - jde tam právní odd. ₊ další = briefujeme je. VZ tvrdi ze je primarne nezajima soukromy sektor. Pokud je maji nezajimat soukrome subjekty, pak nemusi mit krabicky vsude! Jedna vec jsou deklarace, jina zneni zakona! ===== Zapis z confcallu ===== - Pirati poslali pripominky Metnarovi (MO CR). Vypracoval Vasek Mach? (tez na confcallu). Je sance ze vlada mirnejsi pripominky zapracuje a nebude je treba vybojovavat v PSP. Tvrdsi navrhy budou predkladat Pirati v PSP. - MO zatim nedodalo posledni verzi. Dost mozna bude az verze ktera pujde do PSP. Vlada jeste nepredlozila, chceme dostat zmeny uz do vladniho navrhu - Profant dela dablova advokata, VZ je udajne krotka. Rozvedky se pretahujou. Podle Profanta VZ nema lidi. (Presto se objevuji v mediich naznaky o mozne zmarene investici statnich penez.) - Netflow nebo Netflow se sirsima hlavickama (WTF?). Pravomoc zapisovat si VZ neuzurpuje. - Prezident a premier se verejne tajnych sluzeb nezastavaji. Parlamentni kontrola udajne ano. Insider z Kontrolni komise reportuje, ze kontrolni komise nevi co ma delat, je pozadu za deni v mediich. Komise je bezzuba. Potrebovala by notičky, co má kontrolovat, napad doplnit do zakona nastroje auditu pro komisi. - soucasne zakony VZ vyuzit nechce aby jim do toho nelezla Policie. Nelibi se jim prilis ani NUKIB. - Napad pouzit "Velke ucho" pro kontrolni komisi, tj zkopirovat princip kontroly odspolechu (seznam odposlouchavanych cisel). Kritika ze se povoluje povrchne o co je zazadano, bez hlubsi kontroly. - Profant vidi cinnost NUKIB pozitivne, i kdyz maji trochu syndromy uradu (pomalost, lidske zdroje,..). - VZ Profantovi vysvetlilo jakym typum utoku chce VZ zabranit. (dale se nerozebira, zamluvilo se) - VZ se boji si data posilat k sobe. Nejradeji by certifikovany HW kde si vyklikaji co chteji videt. - VZ je ochotno krabicky mit na principu splitteru, read only. bez zasahu do provozu. - operatori jsou OK s tim data predavat. Zarucilo by co VZ vidi a dostava. Pokud by chteli vic muselo by se to schvalovat nejakym stavajicim procesem. ISP budou predavat sami, tj obdoba data retention - udajne BIS co ma napichnute, ma problem s sifrovanim - v ramci spoluprace tajnych sluzeb jsou data ze zahranici, maji pristup k CA certifikatum, cilene rozsifruji SSL. - spekulace o krabickach z Izraele, spravovanych USA - VZ nechce aby jim do krabicek lezl/zasahoval nekdo bez proverky. Hrozi ze misto spoluprace s ISP si to nechaji spravovat jinou tajnou sluzbou nebo budou resit nejakym obdobnym nouzovym resenim, treba i jen kvuli vlastni neschopnosti. - ISP Alliance, obava ze zateze site v pripade preposilani dat, budou muset ISP dokupovat konektivitu -> naklad? a to jak posilanim dat z monitoringu, tak tim ze se krabicka stane cilem utoku (oslepeni sondy, nebo cil hacku). - ISP Alliance se boji ze umisteni krabicky z ISP dela cil utoku - ISP Alliance vadi ze neni postup kdyz bude problem s krabickou - VZ tvrdi ze aktivni zasahy ma uz davno povolene stavajici legislativou. Jen je to pro ne komplikovanejsi. Nutne to v zakonu nepotrebujou (dabluv advokat, ukolebavka)? - VZ o utocich muze komunikovat jen v rezimovem. Udajne je pro ne problematicke sdileni informaci s plebsem u ISP. - z pouheho kompletniho monitoringu hlavicek packetu na uzlu lze napr. provest utok na ToR pres casove korelace. - know how ze zahranici VZ ma. - info z BIS - distribuovane utoky, pres vice vrstev - kdyz VZ nedostane pravomoc budou resit pres placene informatory (delaji uz ted). existuje pro ten ucel specialni soud 24x7 pro cinnost tajnych sluzeb/VZ - Pirati nechteji plosne sledovani - osekat tak aby VZ nebyla slepa, ale nemohla prilis. Profant razi strategii povolit VZ co je akceptovatelne, pokud budou v budoucnu chtit vic budou to muset zduvodnovat. - Martin Archalous? - jak to vypada v zahranici. mate pravo zasahovat a nesmite zasahovat do soukromi. Strasburk vyzaduje nezavisly kontrolni mechanismus kde funguji individualni stiznosti (soud, vysetrovaci komise). - Je NetFlow osobi udaj? - IURE ma dojem ze jde o pokus neco zastrit. - pokud osobni udaje tak specifikovat jasne ktere nez se tvarit ze tam nejsou. moznost to pak proskrtavat. (strategie povolime akceptovatelne, rozsireni si zduvodnite). Profant - kdyz jim dame jen Netflow tak budou muset zduvodnit kdyz budou chtit neco navic. - predavani dat dalsim rozvedkam - mela by byt kontrola co se predava, idealne kontrolni komisi vymyslet jak auditovat - ISP postaveny do situace "ty nam udelej zasah nebo jdes do basy a ani nemuze rict ze zavres bussines kvuli zkurveni rozvedkou" - kde je definice toho kdo je ISP? Poskytovatel sluzeb dle zak. o el.kom. - definice udajne v zakone existuje - ma se pridat par.98a (IURE) - navrh aby VZ mohla mit krabicky jen na hranicnich routerech do republiky. Definice by byla asi problematicka. - dostat do novely ze jde primarne o ochranu statni spravy!!! - misto slova monitoring pouzivat odposlech kvuli srozumitelnosti pro poslance/verejnost - Profant - nezapominat ze aktivni protiutok muze zpusobit pruser! (Vy nam bruteforcuejte prihlaseni do emailu, my vam zDoSujeme jadernou elektrarnu) - aktivni zasahy s casovym omezeni? pro ISP neakceptovatelne - kdyz nebudou krabicky jak to bude VZ delat? - obdobi po pripominkovem rizeni muze trvat 14dnu az tri roky. - Profant pocita s pouzitim obstrukci - Vaclav - na zaklade ceho se deje aktivni zasah ted? nevim jaky zakon, mozna zakon o obrane - Vaclav - rozhodnuti ministra je dostatecna zaruka? nebo Bezpecnostni rada statu? - Vaclav - existuje statistika monitoringu? stavajici odposlechy, neni kdo by rozporoval. VZ je ochotno davat poslancum statistiky. Ty ale muze rozvedka falsovat. Kontrolni komise potrebuje rozumne auditni postupy a nastroje a budou vdecni kdyz to nekdo vymysli. - Lex Wedos - zpetne schvalovani napr aktivnich utoku by bylo v jistych pripadech v pohode. Chyba se stane maximalne jednou nez dostanou pres prsty. - Rezim mezinarodniho prava - neschvaluje soud - valecny akt rozhodnutim ministra je nebezpecne vysoka pravomoc - dosavadni praxe o data retention: csv nejdriv mailem, ted datovkou, chybi rozsah, tezce prezkoumatelne. pripady kdy uz nikdo nezna duvody proc neco je tak jak je. - VZ deklaruje ochotu pusti komisi/poslance k sondam. Riziko Potemnkinovskych vesnic. - Obrana zapracovava pripominky, komunikuji i neformalne. nejstastnejsi jsou kdyz nekdo udela praci za ne. Pak je vysoka sance Crtl+C, Ctrl+V. - zakazat outsourcing cinnosti rozvedky, napr. obdobou pripadu Hacking team. kdyz to zakazeme rozvedka, bude to outsourcovat "seda zona". - Profant a Kopriva maji telefon na Berouna - jemnejsi upravy se budou podsouvat ted, tvrdsi navrhovat poslanci - Navrkal posle co vytvori Vasek Mach za paragrafy. DBaS by rad virtualne Vaskovi koukal pres rameno. Vasek do dvou tydnu neco posle. Vyslo by do casove ze by se injectlo jeste do vladniho navrhu. - technicke konzultace Vaskovi zodpovi Ivor nebo DBaS