弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

ハンドオーバー・インターフェイス update3

マイクロソフトが海外のサーバの情報を要求する正当な理由と戦う。

マイクロソフトは昨年12月から司法省のデジタル情報の要求に対して、米政府には海外の保管されている顧客データを会社に強要する権限はないとして協力を拒否してる。いまさらながらマイクロソフトは頑張らないと裏口だらけのWindowsサーバにデータを置いとくのは危険だからなー

逆に考えれば米司法省の権限は多国籍企業には及ばないということに。

ベライゾン「正当な理由が通用するのなら、それは外国政府が米国内にあるデジタルファイルの検索させろと言う主張の追い風にもなる。」…さすがー、WiFi盗聴ワゴン(FBI Surveillance VAN)のベラらしい発言ですな。

gawker.com→Do Not Name Your Wifi Network 'FBI SURVEILLANCE VAN'

ベラ「例えば露政府が米企業のクラウドサービスと提携した地元企業に、米企業が露の国策企業と折衝してる情報の公開を要求できることになる。または、米人権団体が露政府に露の法律を犯していると訴訟を起こすだろう。…」

ベラ「判事の解釈に従って、露の役人は露の提携企業に、ターゲットのデータを米から取得してモスクワの露政府に渡すことを命令できる。」 さすが悲観的なベラの弁護士らしい主張だわ。

米判事「アイルランドのダブリンにあるクラウドサーバのデータを取得することは米憲法の違法な検索と差し押さえには抵触しない。メールのファイルを開いて読むまでは検索が発生しないからだ。」 うは。憲法解釈を変えるのは今の世界のトレンドなのか。

情報機関が通信会社のインフラに直接アクセスできることをボーダホンが暴露。

いよいよハンドオーバー・インターフェイスが実在することが判明。次は通信会社のインフラにFinSpyのような遠隔操作ウィルスに国民を感染させる為のインフェクション・プロキシ(iProxy)の設置がバレるのだろうか。そのときぬこ兄ちゃんの劇団型冤罪裁判チームはどうするんだろ?

WikiLeaksのSpyfilesは電話会社や通信会社がLawful Interceptionのインターフェイス(裏口)を実装し、司法当局に自由にアクセスさせている実体を暴露した。

wikileaks.org→Utimaco Safeware – LI in Clouds

DRはData Retention、RDはretained data、LEAsはLaw Enforcement Agencies

wikileaks.org→ETSI activities on Retained Data handling and Lawful Interception standardisation

日本ではTTCとARIB

司法機関向けに通信データを傍受し、保全しなければならない。国によっては盗聴は合法なのだ。

etsi.org→Handling of Retained Data in ETSI standards/14 January 2009; session 5, ETSI Security Workshop #04 (PDF)

SpyFilesで頻出するETSIのDR Reference Model
傍受したデータベースをHI-A/HI-Bのインターフェイスで当局に公開するインフラ設計のモデル


ISDNの時代から電話は監視されていた。

Cloud Computing
Legal Issues
  • Location of storage, servers etc. might not be known
    Might even not be known by the service provider himself
    Location might change during usage

  • But: Many large service providers have regional/local datacenters serving
    customers in this region

  • Which laws do apply?
    The country where the customer is located?
    The country of the service provider?
    The country where the infrastructure is located?
    One of the above depending on situation?
    Situation might change even during one session
    Compliance requirements (e.g. auditing, reporting)
    Laws might even contradict each other

Cloud Computing
Legal Issues – Theoretical example

  • Service provider located in US
    For the service provider, US-laws apply

  • Customer located in EU (Germany)
    For the customer relation, German laws apply (probably)

  • Data Centers located in Ireland, Norway and Switzerland
    For DC in Ireland EU-laws apply, but not for DCs Norway and Switzerland
    Data is possibly stored in all DCs above and/or moved automatically between them

クラウド環境になり、システムのコンポーネントが世界中に点在する場合
適応する法律に困る

司法機関は何もかも通信傍受したいと考えている
都合のいい国の法律を適応すれば
盗聴ではなくLIになるので合法になる
法律の根拠もなく他国のデータベースに、米の司法機関はフルアクセス可能
それに対して欧ではプライバシーの問題が表面化

Cloud Computing
Lawful Interception – LEAs Interest
  • Bad guys use cloud services, too

  • Communication
    e.g. Google mail

  • Stored data
    e.g. Dropbox

  • Service usage
    e.g. Google Maps

  • Publications
    e.g. Facebook
    Anders Breivik
More and more information is handled by the cloud
- one reason is exploding mobile access (iPhone, Android)

"The only problem with the cloud is that at some point it will rain.”
「クラウドの唯一の問題は雨が降ったときに濡れてしまうことだ。」
Reinhard Posch, CIO for the Austrian Federal Government at EIC

投稿されたコメント:

コメント
コメントは無効になっています。