19

Co zmieniło się od czasu rewelacji Snowdena – wywiad z Mikko Hyppönenem, wybitnym specjalistą do spraw bezpieczeństwa

Co powinna zrobić Europa, żeby spróbować konkurować z USA jeżeli chodzi o serwisy i usługi oraz czemu Snowden nie koniecznie musi być bohaterem, chociaż wszyscy mamy nadzieję, że nim jest, tego dowiecie się z wywiadu z Mikko Hyppönenem z którym miałem przyjemność rozmawiać po raz drugi, przy okazji konferencji organizowanej przez Finnish Information Security Cluster […]

Co powinna zrobić Europa, żeby spróbować konkurować z USA jeżeli chodzi o serwisy i usługi oraz czemu Snowden nie koniecznie musi być bohaterem, chociaż wszyscy mamy nadzieję, że nim jest, tego dowiecie się z wywiadu z Mikko Hyppönenem z którym miałem przyjemność rozmawiać po raz drugi, przy okazji konferencji organizowanej przez Finnish Information Security Cluster oraz F-secure. Przyjemność, bo Mikko to najciekawszy rozmówca z jakim przeprowadzałem wywiad.

Jeżeli jesteście zainteresowani moim pierwszym wywiadem z Mikko, znajdziecie go tutaj.

Jan Rybczyński: Ostatni raz, gdy rozmawialiśmy o największych problemach dotyczących bezpieczeństwa, było to jeszcze przed pojawieniem się Snowdena. Działania ze strony państw były wówczas wspomniane, ale nie miały takiej rangi jak dzisiaj.

Mikko Hyppönen: Tak, dziś jest to znacznie istotniejsza kwestia. Tak dużo dowiedzieliśmy i nauczyliśmy się od czasu przecieków Snowdena. Ty był dziwny rok.

Zacznijmy w takim razie od tego, czy wciąż używasz jeszcze swojego Chromebooka?

Ciągle go mam. W zasadzie mam dwa Chromebooki, jednego zepsułem niestety. Ekran mu zamarzł – dosłownie. Zostawiłem go na zewnątrz, ekran zamarzał i pękł. Wciąż używam drugiego Chromebooka, który mi pozostał, ale dla moich potrzeb staje się stopniowo za wolny.

Czy możemy uwolnić się od usług i serwisów pochodzących ze Stanów Zjednoczonych? Mnie się wydaje, że to trudne.

To cholernie trudne. Wiem, bo próbowałem to zrobić. Dla przykładu, jaki telefon możesz kupić? Jest bardzo mały wybór. Jeden nazywa się Jolla i pochodzi z Finlandii, stworzony został przez byłych pracowników Nokii i działa na ich własnym systemie operacyjnym – Sailfish, ale ma bardzo mało użytkowników. Nie może więc w tej chwili konkurować, chociaż mam nadzieję, że z czasem rozwiną się. Jakich wyszukiwarek możesz używać? Naprawdę trudno konkurować z Google, chociaż są tacy, którzypróbują, np. DuckDuckGo i kilka innych, ale nie mogą konkurować z powszechnością Google Search. Próbuję oddalać się od usług z USA na ile to możliwe i udaje się to np. w przypadku serwisów chmurowych, co polecam robić innym. Rozwiązaniem na dłuższą metę jest współpraca państw europejskich. Nie ma sensu, aby każde państwo próbowało budować własne zamienniki, bo to się zwyczajnie nie uda. Jeśli będziemy współpracować, jest szansa, że damy radę. Nie powinniśmy budować od zera. Zamiast tego powinniśmy skierować nasze środki i budżety na skontrolowanie istniejących rozwiązań Open Source. To Open Source jest rozwiązaniem – trzeba sprawdzić Linuksa, serwer Apache i otwarte bazy danych, upewniając się, że nie ma w nich backdoorów. To dużo roboty, ale razem jesteśmy w stanie temu podołać. Wtedy będziemy mieć coś, czemu można ufać. Problemem jest to, że ale nawet takie rozwiązanie zajmie lata.

Czyli wierzysz, że można przywrócić balans, że Europa jest w stanie sama sobie poradzić? W końcu Windows pochodzi ze Stanów i tak dalej…

Jeśli pytanie brzmi „czy to możliwe?”, to przecież Europa jest większa niż USA, mamy więcej ludzi, nasz budżet jest większy. Oczywiście, że możemy to zrobić.

To czemu jeszcze tego nie zrobiliśmy?

To świetne pytanie. Ponieważ ponosimy ciągłe porażki w innowacji, w wykształcaniu regionów technologicznych w Europie. Nie mamy doliny krzemowej. To nasza porażka – całej Europy. Powinniśmy być w stanie poradzić sobie znacznie lepiej. Jesteśmy znacznie więksi, a mimo to ciągle nam się nie udaje. A nawet jeżeli zdarza się jakiś sukces w Europie, to zostaje sprzedany Amerykanom, jak Skype, jak Nokia.

Nokia to smutna historia.

Smutna, ale mogło być gorzej. Przynajmniej Nokia przetrwała. Nie robi już telefonów, ale ciągle istnieje. Są inne firmy, które nie przetrwały.

Dobrze było mieć tak dużą firmę w Europie jak Nokia.

W swoim najlepszym czasie byli siódmą najbardziej wartościowa marką na świecie, pochodzącą z kraju z 5 milionami obywateli – całkiem nieźle. Niestety okres świetności mają już za sobą.

Pytanie, czy Europa kieruje swój wysiłek we właściwym kierunku? Dla przykładu narzucenie konieczności ostrzegania przed ciasteczkami. Czy to było na tyle istotne, żeby przykładać do tego taką wagę?

Tak, to niedorzeczne. Jedyną dobrą stroną tych ostrzeżeń, jest wykształcenie świadomości w użytkownikach, że są śledzeni. W praktyce to niewiele zmienia, ale przynajmniej ludzie może będą trochę bardziej świadomi śledzenia i profilowania. Nie sądzę, żeby to było użyteczne w jakikolwiek inny sposób. Jak mówiłem, powinniśmy dokonać zmiany w naszej polityce, powinniśmy położyć znacznie większy nacisk polityczny na USA, aby przestali inwigilować niewinnych ludzi. Powinniśmy to zrobić, ale tego nie robimy. Słabo radzimy sobie również z ochroną Snowdena. To upokarzające. Wyobraźmy sobie przez moment, że Snowden nie pracowałby dla wywiadu Stanów Zjednoczonych, tylko dla wywiadu Chińskiego, ujawniając informację, że Chiny szpiegują cały świat, a następnie uciekłby z Chin i prosił o azyl. Chiny domagałby się, aby go zwrócić, aby mógł zostać podany procesowi jako zdrajca. Sądzę, że każdy europejski kraj przyjąłby takiego człowieka i dał mu azyl, traktując jak bohatera. Jednak Snowden nie jest Chińczykiem, jest Amerykaninem, a my mówimy „nie możemy, przykro nam”. Jesteśmy tchórzami. Mój kraj jest tchórzem, twój kraj jest tchórzem.

Sami prosimy się o kłopoty. Pozwalamy im na to.

Tak, pozwalamy się tyranizować. Ale to się nigdy nie skończy, jeżeli nie będziemy protestować.

A wymaganie od użytkowników, żeby zrezygnowali z korzystania amerykańskich serwisów i usług jest nierealne. Jesteśmy do nich zbyt przyzwyczajeni, korzystanie z nich jest zbyt wygodne.

A ludzie są z natury zbyt leniwi. Sami wypuściliśmy nowe produkty, jako odpowiedź na działania NSA, wliczając F-Secure Freedome i F-Secure Younited. Cieszę się, że reagujemy na sytuacje, wciąż jednak pozostaje tajemnicą, czy ludzie są zainteresowani i gotowi zareagować, czy tylko ta gotowość jest na poziomie deklaracji. Czy jest w tym biznes, czy ludzie zdecydują się przesiąść, czy będą korzystali z tego, co jest darmowe.

Myślę, że największym problemem będzie przekonanie ludzi, że muszą płacić, żeby samemu nie być produktem. Uważam, że większość w ogóle nie bierze pod uwagę możliwości płacenia za darmowe serwisy takie jak Facebook, tylko po to, żeby zachować prywatność i kontrolę. Nie da się w ten sposób zebrać masy krytycznej użytkowników, bo jesteśmy rozpieszczeni latami korzystania z darmowych serwisów. Sądzisz, ze da się zmienić to podejście?

DSC00221

Mam nadzieję, że tak, ale jeszcze nie udało się tego sprawdzić w praktyce. Nasze założenia mogą być błędne. Może się okazać, że w praktyce ludzie nie zdecydują się na zmianę przyzwyczajeń, jedynie teoretyzują, że mogliby to zrobić. Chciałbym się mylić i zobaczyć jak ludzie się zmieniają.

Może rozwiązanie tkwi w edukacji? Skoro wszyscy korzystamy z technologii, trzeba ludzi uczyć jak z niej korzystać bezpiecznie i kłaść na to odpowiednio duży nacisk.

Tak, to powinno być w podstawowym programie nauczania dla wszystkich, bo wszyscy będą potrzebować tej wiedzy i umiejętności w przyszłości i powinni rozumieć, jak istotna w ich życiu jest prywatność. Informacje zebrane na ich temat mogą zostać wykorzystane za całe dekady od dnia dzisiejszego.

Ja byłem w klasie informatycznej i miałem dwie godziny zajęć tygodniowo. To była wersja dla najbardziej zaangażowanych. Inne klasy, o innym profilu, nie miały informatyki wcale. To dziwne, że tak mały nacisk kładzie się na coś tak istotnego dla wszystkich.

Zgadzam, chociaż uważam, że w Fińskich szkołach kładą na to trochę większy nacisk, ale nawet w Finlandii powinniśmy robić więcej w tym kierunku. Jeśli nie będziesz miał tych umiejętności, będzie to wpływać na Twoje życie każdego dnia.

Czy teraz uważasz, że zagrożenie ze strony rządu jest najpoważniejsze, po rewelacjach Snowdena?

Nie. Po pierwsze, nie da się tego tak wprost porównać. Najczęstszym zagrożeniem dla  statystycznego użytkownika jest zainstalowanie malware, które chce okraść go z pieniędzy w taki czy inny sposób. To najczęstszy sposób, żeby napytać sobie kłopotów. Zagraniczny wywiad nie będzie chciał Ciebie zainfekować, chyba, że jesteś Angelą Merkel. Ta ogólna inwigilacja, podczas której gromadzą dane zwykłych osób, to oczywiście problem, ale jak porównać ją do działalności przestępczej? Gdyby zapytać kogoś na ulicy: Co byś wolał? Trojana na komputerze, który kradnie Twoje pieniądze, czy Amerykanów zbierających twoje wiadomości tekstowe? Pewnie woleliby Amerykanów. To oczywiście problem, ale ciężko go porównywać do działalności przestępczej, a większość przypadków, z jakimi spotykamy się w naszych laboratoriach to działania kryminalne. To zdecydowana większość, tak mówią liczby.

Możesz powiedzieć z iloma przypadkami szpiegowania zwykłych ludzi się spotkałeś? Może nie totalnie zwyczajnych, ale nie rangi Angeli Merkel?

Zwykle spotykamy się z dziesiątkami prób dziennie, ale nie wiemy, kto jest ich celem. Zwykle są nimi politycy czy osoby na wysokim stanowisku w firmie, a nie ludzie z ulicy. Inwigilacja niewinnych ludzi nie odbywa się przy pomocy malware, ale za pomocą przejmowania danych operatorów, centrum danych itp. ale tutaj nie znam dokładnych liczb.

Mimo wszystko priorytet się przesuną odrobinę. W pierwszej kolejności chcecie chronić ludzi przed kryminalistami działającymi w sieci, ale już w drugiej kolejności przed szpiegowaniem rządowym.

Tak i to jest dziwne. Nie zgadłbym, że tak to się właśnie skończy. Tym się teraz zajmujemy.

Wszyscy mówili, że USA nas szpieguje, zbiera wszystkie informacje na nasz temat. Tak podpowiadała intuicja.

Tak, kiedy jednak widzisz jak to działa naprawdę, gdy widzisz fakty, to zupełnie inna sprawa. Musimy podziękować Snowdenowi za tę pobudkę. Spełniły się nasze najgorsze obawy i teraz wiemy to na pewno.

Podczas prezentacji wspominałeś, że nie jesteś jeszcze gotów nazwać Snowdena bohaterem. Możesz powiedzieć, co konkretnie masz na myśli?

Dla przykładu, od czasu gdy skontaktował się, mówiąc, że będzie udzielał informacji, do momentu faktycznego ich udzielenia minęły dwa miesiące. Tak nie działa klasyczny informator. Intencjonalnie ustawił się w takiej pozycji, żeby wyciągnąć najwięcej informacji, jak tylko mógł. Dla mnie to nieetyczne. Tradycyjny informator pracuje w organizacji i gdy zobaczy, że dzieje się coś złego, czego nie może zmienić od środka, to wyciąga te informacje na widok publiczny. Snowden zrobił co innego, dostał pracę polegającą na wyciągnięciu jak największej ilości dokumentów. Druga kwestia, o której większość ludzi nie wie, to fakt, że pomimo, że Snowden nie skończył nigdy szkoły średniej, mówi płynnie po chińsku. To trochę dziwne. To niczego nie udowadnia, ale daje do myślenia. W najgorszym wypadku Snowden jest Chińskim kretem. Ja w to nie wierzę, ale to wystarcza, żebym powstrzymał się przed publicznym nazywaniem go bohaterem. Może nim nie być. Mam nadzieję, że jest bohaterem, naprawdę chciałbym, aby finałem tej historii było to, że jest bohaterem, chociaż nie mam takiej pewności.

Tyle, że ludzie chyba nie przejmują się za bardzo sprawą Snowdena, nie tak jak powinni. Tylko ludzie zorientowani technicznie doceniają powagę tej informacji. Ta sprawa nie porusza opinii publicznej aż tak bardzo.

Tak, niestety, a szkoda. Ludzie są niemal zmęczeni kolejnymi informacjami napływającymi od Snowdena. Tak jak informacja z ostatniego tygodnia – 200 milinów wiadomości tekstowych jest przechwytywanych każdego dnia przez NSA. Wydaje mi się, że to robi wrażenie, ale informacja szybko przeleciała przez media.

Dziękuję za kolejną, miłą rozmowę. Mam nadzieję, że następnym razem, jak się spotkamy, nie będzie kolejnego wielkiego przełomu pokroju Snowdena.

Również dziękuję, zobaczymy.