Saptamana trecuta a fost promulgata faimoasa lege “Big Brother” sau 82/2012 cum o s-o stie avocatii :)
Ieri am citit-o si eu (are 6 pagini) si e cam frectie la picior de lemn. Nu zice aproape nimic nou din ce nu se intampla si pana acum si nici nu vine apocalipsa.
Pe scurt:
- Operatorii de telefonie mobila:
- trebuie sa tina lista apelurilor si sms-urilor primite si efectuate timp 6 luni. BIG FUCKING DEAL. Oricum se tine lista apelurilor pentru facturare sau pentru factura detaliata de o poate vedea orice abonat. Probabil ce nu se tinea pana acum sunt apelurile si sms-urile primite.
- trebuie sa stocheze IMEI-ul telefoanelor si IMSI-ul. la fel, big fucking deal. Oricum in sistemul de customer care sunt trase automat aceste date sa stii ce telefon are omul cand suna ca nu-i merge telefonul.
- locatia celulei de pe care s-a efectuat apelul. de asta nu stiu daca se stocheaza acu sau nu, da s-ar putea sa se stocheze deja.
- Operatorii de retele de date pentru acces internet:
- sursa, destinatia, protocolul, durata: date care se obtin incredibil de usor din Netflow. Nu stiu cum e treaba prin .ro, insa prin alte tari din astea mai bananiere in ceea ce priveste internetul unde inca se mai face billing la cantitatea de trafic, acolo se foloseste netflow la greu. Probabil in loc de sampling 1:1000 o sa vrea MCSI sa se faca sampling 1:1 si aici o sa fie durerea mare, ca o sa cam trebuiasca multe upgrade-uri.
- posta electronica: ora la care utilizatorul a facut login si logout, cui a trimis si de la cine a primit e-mail. Se aplica doar serviciilor hostate de provider. Date care pana acum nu erau logate nicaieri, o treabuiasca logate si stocate 6 luni. Nu stiu de nici un MTA care sa logheze si altceva in afara de la cine catre cine s-a dat un mail.
- Localizarea si identificarea abonatului:
- pentru clientii business e simplu: le dai un subnet, stii al cui e si gata.
- pentru home users e mai complicat: trebuie sa tii cont si cine ce IP sau prefix (IPv6) a avut alocat si cat timp sa-l corelezi cu traficul facut pe acel IP sau prefix. Nimic ce nu se poate rezolva probabil cu un JOIN bine facut.
Toate aceste informatii trebuie stocate intr-o baza de date si distruse in mod sigur dupa 6 luni. Adica un cron-job zilnic care sa faca un DELETE $stuff FROM $table WHERE DATE > $CURRENT_DATE – 6 months (sau ceva de genul). Ce inseamna sau ce nu inseamna sters securizat probabil ramane la latitudinea operatorului cat de liable vrea sa fie daca dupa ce da DELETE se mai gaseste sau nu ceva pe disc care n-ar trebui sa fie acolo. Desi cred ca o sa fie bine, ca oricum sunt useless datele alea si nu ajuta pe nimeni un dump de netflow (poti gasi direct pe internet, nu tre sa risti parnaia spargand un server pentru asta).
Pentru toti crizatii si specialistii in securitate wannabe care-si dau cu parerea sa se afle in treaba:
Articolul 1, alineatul 3:
Prezenta lege se aplica doar datelor generate sau prelucrate ca urmare a unei comunicatii ori a unui serviciu de comunicatii si nu se aplica in ceea ce priveste continutul comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, in aceste cazuri fiind aplicabile prevederile Codului de procedura penala, precum si cele ale legilor speciale in materie.
Da, deci e interzis in mod explicit inregistrarea continutului SMS-urilor, e-mailurilor, a ce site-uri a vizitat utilizatorul si asa mai departe. Asa ca toata lumea inapoi la treaba, nu-i nimic de vazut aici.
Si o chestie foarte interesanta trecuta in lege: toate cheltuilelie cu punerea in picioare a sistemelor de retinere a datelor sunt deductibile. Parca vad c-o sa-si ia toti hard disk-uri de 1TB cu 5000EUR bucata :))
Asteptam cu interes normele de aplicare…
Si eu. Acolo e posibil s-o mai dea de gard, da in rest nu e nimic securist in lege cum e ea iesita :)
Vin si eu cu o intrebare. E musai sa faci sampling la netflow de 1:1 ? Ca pana la un punct este posibil, dar de la punctul ala inainte devine atat de scump incat nu-ti mai permiti o linie de 10Gbps .
Stiu ca de la un punct incolo e “close to impossible” si trebuie sa te duci mai sus cu sampling-ul, dar depinde cum interpreteaza astia legea cand fac normele de aplicare. Asta cu 1:1 e worst case scenario.
“Hope for the best, plan for the worst”