A CIA lett származású igazgatójának bukását végső soron a szeretőjével folytatott óvatlan internetes kommunikáció okozta. Ha a világ leghatalmasabb kémfőnöke képtelen vigyázni digitális titkaira, mit tehetnénk mi? – kérdezhetjük. Valójában nem is keveset.
Barack Obama még fel sem ocsúdott november 6-i győzelmi mámorából, amikor másnap reggel arról tájékoztatták a titkosszolgálatok vezetői, hogy David Petraeus csalja a feleségét, emiatt nagy botrány van készülőben.
Az újraválasztott elnök azonnal behívatta a nevezett főkémet, aki aztán felajánlotta lemondását. A sajtó ezután alaposan kivesézte a nemzetbiztonsági kockázatokat is felvető, szövevényes románcot.
Petraeus körülbelül egy évig tartott fenn házasságtörő viszonyt az ugyancsak a titkosszolgálatoknál dolgozó Paula Broadwell-lel, életrajzi könyvének írójával. Minderre akkor derült fény, amikor Broadwell névtelen fenyegető e-mailekkel kezdte zaklatni a hadsereg egyik főparancsnokságának otthont adó floridai Tampa ismert társasági szereplőjét, Jill Kelleyt. Azzal gyanúsította a vetélytársának érzett hölgyet, hogy miatta szakított vele Petraeus. Eközben Kelley Petraeus volt helyettesével, John Allen tábornokkal is intim viszonyt tarthatott fenn.
A fenyegetések hatására Jill Kelley szólt egyik FBI-os ismerősének, így az elhárításért is felelős szövetségi nyomozóirodánál utánajártak a névtelen e-maileknek, majd Broadwellen keresztül csakhamar eljutottak Petraeushoz. A CIA-igazgató helyzete még tarthatatlanabbá vált, amikor volt szeretőjének számítógépén titkos iratok tömegét találták, bár egyelőre nem Petraeust gyanúsítják ezek kiadásával.
Nyomok a kibertérben
Az egész történet kulcsa az e-mailekben rejlik. Petraeus és szeretője regényre elegendő e-mailt váltott egymással. De nem a legmodernebb módszerekkel kódolt üzeneteket, és még arra sem ügyeltek, hogy ne lehessen lenyomozni a postafiók felhasználóinak kilétét. Nem, ők teljesen sima Gmail-fiókot használtak. Hogy mégse legyen olyan nyilvánvaló a kommunikáció, az elektronikus leveleket nem küldték el a másik címére. Ehelyett ugyanabba az e-mail fiókba jelentkeztek be mindketten, majd a megírt leveleket piszkozatként elmentették és kiléptek. A másik később bejelentkezve megtalálhatta az üzenetet a félkész levelek között.
CIA-igazgatótól talán nem is annyira meglepő módon Petraeus az általa üldözött, megfigyelt terroristáktól tanulta a módszert. Használta ezt Kálid Sejk Mohamed, a 2001. szeptember 11-i terrortámadások fő kitervelője, Richard Reid, aki a cipőjébe rejtett bombával akart felrobbantani egy repülőt, de a 2004-es madridi vonatmerényletek végrehajtói is.
Csakhogy ez a módszer annyira közismert (sok kémfilmben is szerepelt már), hogy nem lehet átverni vele az FBI-t. Hiába nem küldtek ugyanis e-mailt egy bizonyos postafiókról, ez korántsem jelenti azt, hogy nem hagytak nyomot maguk után. Amikor e-mailt küldünk egy másik postafiókra, illetve elmentjük ezt a levelet a saját postafiókunk piszkozatmappájába (ha olyan online postafiókról van szó, mint a Google Gmail szolgáltatása), az csak számunkra tűnik alapvetően másfajta műveletnek. Valójában mindkét alkalommal adatokat küldünk egy távoli számítógépnek.
A metaadat a király
A módszer elterjedtsége vezethette arra az amerikai igazságügyi minisztériumot, hogy nem tekinti „elektronikus tárolóhelyeknek” a „piszkozatok” és az „elküldött levelek” mappákat. Ez azért fontos, mert a minisztérium érvelése szerint így nem vonatkozik rájuk a tárolt üzenetekről szóló törvény, tehát még egyszerűbben hozzáférhet a tartalmukhoz.
„A metaadat a király” – írja az Amerikai Polgári Szabadságjogi Unió nevű szervezet a botrányhoz kapcsolódó közleményében. Valóban, Petraeus vesztét az internetes kommunikáció közben folyamatosan keletkező és a szolgáltatók által elraktározott metaadatok okozták. Ezek olyan információk, amelyek nem tartalmazzák magát az üzenetet, de minden mást igen. Megtudható belőlük, hogy mikor, honnan értünk el egy weboldalt, és milyen tevékenységet végeztünk ott. Ebben a konkrét ügyben az FBI lekérte a szolgáltatótól azoknak a számítógépeknek az IP-címeit (ezek a címek a komputereket azonosítják az interneten), amelyekről beléptek abba a postafiókba, amelyről küldték a Jill Kelleyt fenyegető e-maileket. Broadwell túlságosan okosnak hihette magát, mert csak szállodai wifi (vezeték nélküli) internetkapcsolatokról lépett be a fiókba. Csakhogy ezt számos alkalommal, több szállodából eljátszotta, így a vendéglistákat összehasonlítva könnyedén felderíthetővé vált személye. Ezután Broadwell minden más internetes tevékenységét is ellenőrizték, így jutottak el a Petraeusszal közös e-mail fiókig.
Mindannyiunk számára szolgál tanulsággal a botrány, bár látszólag csak az amerikai katonai felső vezetés meglehetősen belterjes köreit érinti. Minthogy a világ vezető internetes vállalatainak többsége amerikai, közvetve az amerikai jog vonatkozik minden felhasználójuk személyes adataira is. Hiába élünk több ezer kilométer távolságban az Egyesült Államoktól, ha amerikai e-mail szolgáltatást veszünk igénybe (például a Google cég Gmail levelezőrendszerén van postafiókunk), az amerikai kormányzat bármikor igényelhet adatszolgáltatást rólunk a cégnél.
A Google rendszeresen közzéteszi, hogy a megelőző időszakban hány esetben érkezett hozzá megkeresés az amerikai kormánytól. Nos, az elmúlt fél évben 7969-szer (huszonhat százalékkal többször, mint a megelőző fél évben), amely kéréseket kilencven százalékban teljesen vagy részlegesen teljesített is.
Újabb érdekesség, hogy az efféle adatszolgáltatást az Egyesült Államokban még mindig egy 1986-ban (amikor e-mailről az emberek többsége nem is hallott) elfogadott amerikai törvény szabályozza, amely csak a fél évnél nem régebbi adatok átadását köti bírói végzéshez, írja a MIT Technology Review. A régebbi e-maileket, rendszernaplókat az ügyészség kérésére is kötelesek kiadni a szolgáltatók. Emellett a törvényhozók mintha elfeledkeztek volna az e-mailekhez tartozó metaadatokról, és a személyiségi jogi törvények megalkotásakor főképp az üzenetek tartalmára koncentráltak. Így a metaadatokhoz sokkal könnyebben hozzáférhetnek az amerikai hatóságok.
Sokan kérdezik, miért rögzítik egyáltalán a szolgáltatók a felhasználók számítógépeinek IP-címeit, amelyeket aztán némelyikük minden egyes e-mail üzenet metaadatai között továbbít is. A hivatalos válasz szerint azért, mert így próbálják kiszűrni, ha valakinek feltörték a fiókját. (Szinte mindenki kapott már olyan figyelmeztetést, amely szerint szokatlan helyről léptek be a postafiókjába, és egyben felszólítják, igazolja, hogy az tényleg ő volt-e. Ez nem lenne lehetséges az IP-címek rögzítése nélkül.) Vannak, akik nem hiszik el az efféle magyarázatokat, és úgy gondolják, az egész rendszer éppen a titkosszolgálatok minél zökkenőmentesebb kiszolgálása érdekében lett olyan, amilyen.
Google: magyar kérések elutasítva
Mihez férhetnek hozzá a magyar hatóságok (például ha Magyarországon működő internetes levelezőrendszert használunk)?
Hazánkban a rendőrségnek nincs szüksége bírósági felhatalmazásra ahhoz, hogy tájékoztatást kérjen a szolgáltatóktól az internetes tevékenység nyomait őrző metaadatokról – tudjuk meg Ormós Zoltán infokommunikációs ügyekkel foglalkozó jogásztól. Elmondása szerint hasonlóan a való világban hagyott nyomok felderítéséhez, a virtuális térben is létezik titkos adatgyűjtés, amelyet elsősorban a nemzetbiztonsági szakszolgálatok végeznek, illetve van nyílt nyomozás, amely a rendőrség hatáskörébe tartozik.
Míg titkos adatgyűjtés esetén igen tág a szolgálatok eszközkészlete, és keveset tudni a felderítés tárgyáról (elvileg az az interneten küldött üzenetek tartalmi része is lehet), addig a rendőrségi nyomozás főként ugyanazokra a metaadatokra korlátozódik, amelyek David Petraeus vesztét is okozták.
– A rendőrség egyszerűen megkeresi hivatalos levélben az internetszolgáltatót, esetleg a tárhely működtetőjét, és adatokat kér tőle például IP-címekről, rendszernaplókról. Ügyvédi praxisomból tudom, hogy a legtöbb szolgáltatóval igen gördülékenyen működik ez az együttműködés – mondja Ormós Zoltán. – Nagyon sok bűncselekmény esetében merülhet föl efféle igény a szerzői jog megsértésétől a zaklatási, rágalmazási, zsarolási ügyekig. Mindezek akár tízezres nagyságrendű megkeresést is eredményezhetnek. A szolgáltatóknak egy évig kell megőrizniük minden metaadatot az adatmegőrzési uniós irányelv szerint, és kötelesek együttműködni a hatóságokkal.
Bár nálunk is növekszik a modern informatikai módszerek bűnügyi nyomozásban játszott szerepe, Ormós Zoltán szerint a rendőrség az internetes kommunikáció tartalmáról még mindig sokszor a hagyományos eszközök segítségével, házkutatás alkalmával, informátorok elmondásából szerez tudomást.
Noha a magyar szolgáltatókkal olajozott a rendőrség együttműködése, ez nem mondható el a külföldi internetes cégekről. Ormós Zoltán elmondása szerint a külföldi adatigénylést az illetékes nyomozó kezdeményezi, és mikéntje hasonlít a nemzetközi jogsegély eljárásrendjéhez. Így az ügyek könnyen elvesznek a diplomáciai bürokrácia útvesztőiben. A Google fentebb idézett jelentése szerint 2010 júliusa és 2012 júniusa között összesen 314 felhasználó adataira vonatkozó megkeresést kapott hazánkból, amelyek közül egyet sem teljesített. (Összehasonlításul: a lengyel megkeresések tíz-húsz százalékát például megalapozottnak ítélte, a nullaszázalékos magyar sikerarány elég szembeötlő a listán.) Megkérdeztük mindkét féltől, a Google-tól, illetve az Országos Rendőr-főkapitányságtól (ORFK), miért dobták vissza kivétel nélkül a magyar kérelmeket, de érdemi választ egyiküktől sem kaptunk. A Google-tól ezt írták: „Amikor felhasználói adatokkal kapcsolatos kérelem érkezik, gondosan mérlegelünk, és csak a kérelmező hatáskörébe tartozó adatokat szolgáltatjuk ki. Előfordul, hogy egyes esetekben megtagadjuk az információszolgáltatást, illetve csak korlátozott adatokat szolgáltatunk ki. Törvénytisztelő vállalatként tartjuk magunkat az érvényes jogi eljárásokhoz. Szigorúan ragaszkodunk a felhasználói adatok védelméhez, és a kérelmekre való reagálás előtt mindig tekintetbe vesszük a törvény szellemét és betűjét is.” Az ORFK sem tudott vagy nem kívánt tájékoztatást adni a kérelmekről, illetve hogy milyen indokkal utasították el őket.
Sárkány ellen sárkányfű
Ki vagyunk hát szolgáltatva mindannyian? Legtöbbünk igen, bár ha reálisan szemléljük az ügyet, a törvénytisztelő emberek kilencvenkilenc százalékának interneten viselt dolgai valószínűleg nem érdekelnek semmilyen kémszervezetet, így megkérdőjelezhető a túlzott titkosítás értelme is. Ha mégis úgy érezzük, hogy követnek bennünket, vannak módszerek, amelyekkel elrejthetjük tevékenységünk nyomait az avatatlan szemek elől.
A legegyszerűbb, hogy lehetőleg ne használjunk elektronikus eszközöket, telefont, számítógépet a kommunikációhoz.
Ez persze bajosan oldható meg a modern világban. Léteznek olyan szoftverek, amelyek titkosítják az e-maileket elküldés előtt, így aki nem ismeri a jelkulcsot, az csak értelmezhetetlen adathalmazt lát a szöveg helyén. Más e-mail szolgáltatók eldobható postafiókot ajánlanak. Ezek csak tíz percig léteznek, arra jók, hogy elküldjünk róluk egy levelet, esetleg választ kapjunk gyorsan, majd törlődnek nyomtalanul (pontosabban elvileg nyomtalanul, mert mint láttuk, az interneten szinte mindennek nyoma marad valahol).
Ám a legparanoiásabb internetfelhasználók végső megnyugvását csak az olyan, már valóban a kiberkalózok világát idéző programok szolgálhatják, mint a TOR. Ez a szoftver szerverek sorozatán vezeti át az elküldött információt, miközben többször átkódolja, valamint eltünteti a szerverek közötti kommunikáció nyomait.
A TOR-t előszeretettel használják például iráni, egyiptomi, kínai, líbiai ellenzéki aktivisták, hogy átférjenek a nagy állami tűzfalak résein, és eltöröljék átlépésük nyomát.
Gyaníthatóan így tesznek nemcsak Irán, hanem az Egyesült Államok ellenségei is.
2012. december 1.
