Napsali jsme pro Lupa.cz

Existující vyhláška č. 357/2012 Sb. je odbornou veřejností považována za sice poněkud problematickou, ale přesto nijak výrazně zatěžující subjekty podnikající v elektronických komunikacích. Jejím hlavním principem z pohledu povinného subjektu je, že dělí službu přístupu k síti elektronických komunikací s přepojováním packetů (takhle kostrbatě ZoEK definuje službu připojení k Internetu) na dvě zásadní kategorie, které mají odlišné povinnosti.

Poskytujete-li přístup k síti elektronických komunikací s přepojováním paketů bez překladu adres, tedy podle §2 odst. 3 písm. a) nebo b) této vyhlášky, pak je možné naplnit literu vyhlášky prostým ukládáním informací o tom, jakému produktu jste kdy přidělili jaké veřejné IP adresy, a provoz v zásadě nemusíte nikam logovat (tedy provádět data retention). Obrátí-li se pak na vás policie se žádostí o poskytnutí provozních a lokalizačních údajů, pak jednoduše poskytnete informaci o subjektu, kterému jste příslušnou IP adresu v požadované době přidělili.

Odlišná situace ovšem nastává, poskytujete-li přístup k síti elektronických komunikací s přepojováním paketů s překladem adres, tedy podle §2 odst. 3 písm. f) této vyhlášky. Pak metadata o internetovém provozu zákazníků využívajících takovou službu uchovávat musíte. Jistou výhodou je, že můžete taková data získávat ze zařízení, která onen překlad adres (NAT resp. CGNAT) přímo provádějí, přičemž si vytvářejí tzv. conntrackové tabulky, podle kterých potom překládají příchozím packetům příslušnou cílovou IP adresu (zpravidla z veřejné na privátní). Pak jednoduše postačuje logovat nově přibývající záznamy v této tabulce a opět je liteře vyhlášky č. 357/2012 Sb. učiněno zadost.

V obou případech se jedná o informace, které operátor má a jejichž ukládání pro něj nepředstavuje zásadní zátěž. Novela však přišla s požadavkem ukládat i IP adresy (a porty, k těm se dostaneme dále) cílů odchozích packetů, a to i v případech, které spadají pod ustanovení §2 odst. 3 písm. a) nebo b), tedy u služeb bez překladu adres. V tomto případě je ovšem situace zásadním způsobem odlišná. Ďábel se totiž skrývá, jako obvykle, v detailech.

Nejsou metadata jako metadata

Běžným argumentem, proč by to nemělo představovat pro operátory zátěž, je tvrzení, že operátoři taková data už dávno sbírají. Ano, sbírají, jsou tu ovšem obrovská ale. Jedna věc je sbírat data pro řízení a optimalizaci provozu v síti a případně pro detekci volumetrických útoků, druhá věc je sbírat data pro forenzní analýzu.

Představte si, že vaším prvkem protéká každou sekundu několik set gigabitů internetového provozu. Vy samozřejmě chcete vědět, odkud a kam ten provoz teče, a máte k tomu celou řadu legitimních důvodů. Co však je podstatné, to je fakt, že vás jako operátora zajímají tato data v nějaké agregované formě, nepotřebujete k ničemu znát každý jednotlivý tok („flow“), k modelování toků naprosto postačuje využívat poměrně hrubého vzorkování (v řádech 1 : 100 až 1 : 1000), výsledky získáte i tak s přesností pro daný účel naprosto postačující. 

Poměrně běžné pak je, že taková data jsou dále po nějaké automatizované analýze často ještě ztrátově komprimována. Pro modelování provozu a vyhledávání volumetrických anomálií je takový přístup vyhovující, pro forenzní analýzu je to však prakticky nepoužitelné.

Proč tomu tak je? Například proto, že komunikační karty současných plnohodnotných páteřních směrovačů, jako je například řada Cisco ASR 9900 nebo Juniper MX, mají z řady dobrých důvodů určitá výkonová omezení pro exportování informací o datových tocích a tato omezení jsou nastavena, podle druhů jednotlivých karet, v řádu desítek až stovek tisíc toků za sekundu (flows per second, fps). Ztrátová komprese zase, kromě toho, že znemožňuje plošné šmírování, dále snižuje nároky na velikost i výkon datových úložišť (a tedy náklady).

Jediným řešením zadání, daného onou navrženou a posléze staženou novelou vyhlášky č. 357/2012 Sb., by tedy byly externí „wiretap“ hardwarové sondy. O ceně takové sondy pro pouhé 4 × 1 Gbps provozu, což je z pohledu větších síťových operátorů, disponujících mnoha rozhraními o rychlostech 100 Gbps a 400 Gbps, kapacita víceméně směšná, si můžete udělat představu například z této smlouvy. Násobte nejen kapacity, ale i počty portů – a pak se nedivte, až vám váš ISP zdraží vaše připojení. A to jsme se ještě nezačali bavit o úložištích s petabytovými kapacitami. Ne, pro větší síť to opravdu nejsou jednotky milionů korun, které by na to snad dokázal poskytnout Útvar zvláštních činností SKPV PČR.

A teď ty nešťastné porty

Vyhláška č. 357/2012 Sb. i její novela vyžadují ukládat „adresu IP a číslo portu“, přičemž vyhláška definuje v §1 písm. i) pojem „číslo portu“ takto:„i) číslem portu identifikátor používaný u internetových protokolů k rozlišení aplikace podílející se na komunikaci koncového bodu.“

Taková definice je ovšem značně problematická. Pomineme-li, že onen „port“ opravdu nemusí mít s žádnou aplikací nic společného, síť s přepojováním packetů zná jen konkrétní jednotku přenosu dat, tedy IP packet (datagram) ve smyslu 3. vrstvy (referenčního modelu ISO/OSI). Co to je, definuje dokument RFC791. Packet sestává ze dvou částí, hlavičky a těla (data, „payload“), hlavička IP packetu vypadá takto:

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |Version|  IHL  |Type of Service|          Total Length         |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |         Identification        |Flags|      Fragment Offset    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  Time to Live |    Protocol   |         Header Checksum       |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                       Source Address                          |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Destination Address                        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Options                    |    Padding    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Povšimněte si prosím, že žádný pojem „port“ ani nic, co by se takovému označení mohlo podobat, v této hlavičce není. Je zde označen pouze protokol, zdrojová adresa a cílová adresa. Označení „číslo portu“ znají až protokoly 4. vrstvy (referenčního modelu ISO/OSI), a to pouze některé, například TCP, UDP, SCTP nebo RDP, zatímco jiné, například ICMP, IGMP, GRE apod. nikoli. Pojem „číslo portu“ se tedy proto vztahuje pouze ke konkrétnímu protokolu 4. vrstvy (referenčního modelu ISO/OSI), přičemž takové naprosto shodné „číslo portu“ mohou využívat různé odlišné protokoly 4. vrstvy referenčního modelu ISO/OSI zároveň.

Jiné protokoly 4. vrstvy nic takového neznají, přesto je možné je využít pro přenášení informací a tedy i k případnému páchání trestné činnosti. Ostatně také pojem „spojení“, se kterým vyhláška č. 357/2012 Sb. operuje, znají jen některé protokoly 4. vrstvy.Také kupříkladu současné rozšiřování protokolu QUIC (vizte třeba RFC9000) výrazně zvyšuje šanci, která donedávna nebyla zase tak moc pravděpodobná, že operátor zaznamená shodná „čísla portů“ pro komunikaci jak protokolem TCP, tak protokolem UDP, přičemž se bude jednat o dvě zcela odlišné komunikace odlišných koncových uživatelů (záměrně zde nepoužíváme pojem „spojení“, protože takový pojem terminologie protokolu UDP nezná), majících společné jen to, že jejich internetový provoz je překládán na stejnou veřejnou IP adresu.

Orgánům činným v trestním řízení tak mohou být předána data, směřující na koncového účastníka, který s podezřelou komunikací žádným způsobem nesouvisí, což samozřejmě může vést ke společensky škodlivému následku ve formě radikálního zásahu do života nevinných osob – a to platí jak pro stávající verzi vyhlášky č. 357/2012 Sb., tak i pro onu navrhovanou a posléze staženou novelu.

Sečteno a podtrženo: bezpečí nám české provedení data retention nepřináší, komunikace mezi kriminálníky může snadno zůstat naprosto neodhalena, naopak bezpráví to může ledaskomu přinést poměrně snadno a ještě navíc to stojí zúčastněné čas, úsilí a nemalé peníze. Chtěli-li bychom parafrázovat polního kuráta Otto Katze, můžeme jen ironicky konstatovat, že co stát činí, dobře činí…