[ipv6-tf] Po seminarium

Lukasz Stelmach stlman w poczta.fm
Wto, 27 Wrz 2011, 11:32:36 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dzień dobry.

Wczoraj odbyło się zorganizowane przez PIIT i zapowiadane na tej
liście, seminarium na temat nieuchronności wdrożenia IPv6.

Wystąpienia prelegentów były interesujące, mimo że część informacji
była powtórzona po raz setny. Pierwszy wystąpił pan Adam Kozakiewicz,
który opisał czym jest nowa wersja IP, czym się różni od starej i
jakie są jego przewagi nad wersją czwartą.

Następny w kolejności był pan Maciej Łopaciński, który tradycyjnie już
prezentował punkt widzenia dostawcy treści. Mówił z grubsza to samo co
powiedział w 2009 na podobnym seminarium zorganizowanym przez UKE.
Niestety by osiągnąć lepszy efekt dramatyczny posunął się do kilku
*drobnych* nadużyć. Po pierwsze (kolejność dowolna, bo przywołuję z
pamięci) wyliczając urządzenia zdolne i nie do użycia IPv6 w
przykładowej sieci domowej zapomniał na slajdzie umieścić obok swojego
laptopa swój telefon. Gdyby to uczynił wówczas "statystyka" by się
znacząco zmieniła.

Następnie przedstawił stanowisko GIODO dotyczące traktowania adresu IP
jako danej osobowej[1]. Stanowisko nota bene potwierdzone przez
sąd[2]. Sprawa jednak nie jest jednoznaczna i w innych krajach
zdarzają się orzeczenia dokładnie odwrotne co, uwzględniając, że
Polskie prawo opiera się na kodeksach a nie na orzeczeniach, pozwala
przypuszczać, że sytuacja może ulec zmianie. Na poparcie swych obaw
jako dostawcy treści odwołując się do fragmentu

    [...]w przypadkach, gdy adres IP jest na stałe lub na dłuższy
    okres czasu przypisany do konkretnego urządzenia, które przypisane
    jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi
    on daną osobową.

stwierdził, że tym bardziej adres IPv6 stworzony na podstawie adresu
MAC (EUI-64) urządzenia jest daną osobową, którą on jako
przedsiębiorca musi przetwarzać nader ostrożnie. Pochwały godny jest
rzadko spotykany wśród działających w biznesie (w szerokim sensie) tak
rozszerzony sposób interpretowania tekstów prawnych. Skoro bowiem
stanowisko GIODO odnosi się do "adresu IP" to możliwe są dwie
alternatywne interpretacje. Po pierwsze nigdzie nie jest (choć to
bardzo naciągany argument) napisane, że dotyczy to stanowisko również
wersji szóstej. Po drugie "na stałe lub na dłuższy okres czasu"
przypisany jest w przypadku IPv6 nie cały adres a jedynie jego
fragment, co z punktu widzenia użytkownika ma kolosalne znaczenie dla
jego prywatności jednak z punktu widzenia przedsiębiorcy, który chce
działać zgodnie z prawem stanowi moim zdaniem wygodne wyjście.

Tuż po (lub przed, nie pamiętam ale nie to jest istotne) pan Maciej
opisał (z punktu widzenia użytkownika (to dobrze) a nie dostawcy
treści (co warto podkreślić)) problem gromadzenia przez Google i
innych informacji na temat lokalizacji sieci z konkretnymi prefiksami
IPv6. Po pierwsze nie wiem czy mają oni do tego prawo. Gdy robili to
samodzielnie swoimi szpiegowozami dostali po łapach. Po drugie
poczynił założenie, że prefiks IPv6 jest na stałe przypisany do
lokalizacji geograficznej. Otóż czasami jest a czasami nie jest. Śmiem
przypuszczać, że dostawcy internetu nie będą klientom prywatnym
przyznawać stałych prefiksów tak jak dziś nie przyznają stałych
adresów IPv4, czego przy dzisiejszym powszechnym wykorzystaniu
domowych routerów działających 24/7 nie można tłumaczyć mniejszą ich
liczbą od liczby klientów. W takiej sytuacji zbieranie informacji o
dokładnej lokalizacji sieci IPv6 wydaje się (ja jestem tego prawie
pewien) pozbawione sensu bowiem po kilku miesiącach zbierania może się
okazać, że wybrany prefiks był widziany na Targówku, Szczęśliwicach,
Moczydle i Okęciu. Usługi takie jak GeoIP wydają się być jedyną
sensowną alternatywą dla portali. Gdy potrzebne są dokładniejsze
informacje lepiej jest odpytać urządzenie mobilne czy to o pozycje GPS
czy choćby o identyfikator komórki. Lista BTSów wraz z ich pozycjami
geograficznymi dostępna jest na stronach UKE.

Jeżeli tę listę czyta ktoś z urzędu GIODO (i jakimś cudem przedarł się
aż tu) mam na podstawie tego co powyżej dwie sugestie. Po pierwsze,
stworzenie oddzielnej kategorii danych wrażliwych, do których
należałyby adresy IPv4 IPv6 oraz MAC. Nie są to dane osobowe sensu
stricte ponieważ nie są w żaden sposób powiązane na trwałe z żadnym
człowiekiem. Telefon mogę zgubić lub sprzedać, adresami IP
administrują ISP (a nad nimi RIPE), którzy mogą je przyznawać odbierać
i przesuwać w sposób dowolny. Nie zmienia to oczywiście faktu, że dane
te mogą być wykorzystane w sposób naruszający prywatność osób
aktualnie lub w przeszłości z nich korzystających. Należy się im więc
pewna ochrona jednak na pewno nie taka sama jak "analogowym" danym
osobowym takim jak imię i nazwisko czy adres zamieszkania.

Druga kwestia dla GIODO to regulacja (nie, nie dostawców treści
przetwarzających adresy IP szanowny Panie Macieju) wymuszająca
możliwość przełączania sposobów tworzenia adresów IPv6 pomiędzy
tradycyjnym na podstawie MAC a chroniącym prywatność opartym na RFC
4941[3], który moim zdaniem powinny być ustawiony jako domyślny.

Problem anonimowości i uwierzytelniania w Internecie jest oczywiście
dużo szerszy ale nie czas to i miejsce żeby go roztrząsać.

Ufff...

Następnym prelegentem był pan Paweł Krześniak, który opowiadał o
zagrożeniach dla bezpieczeństwa sieci związanych z wdrażaniem IPv6.
Osobiście streściłbym to wystąpienie w dwóch punktach (choć na to
zdecydowanie nie zasługuje):

1. Podstawowym problemem jest niewystarczająca znajomość wynikająca z
małego, na razie rozpowszechnienia.

2. Problemy są w sumie zbliżone do tych, które niesie ze sobą IPv4 co
wyraźnie widać na przykładzie problemów w sieciach LAN. Mimo, że
protokoły się zmieniają to problemy takie jak MITM czy DOS pozostają
bez zmian.

Na koniec wystąpił pan Piotr Ławniczak z TPSA. To wystąpienie było dla
mnie najciekawsze stanowiło bowiem zmianę (uwaga, będę bardzo
generalizował) postawy "biznesu" w stosunku do tej, którą prezentował
dwa trzy lata temu. Pan Ławniczakotwarcie przyznał, że widmo braku
adresów IPv4 zagląda, nawet jeśli z oddali i przez ogromną lornetkę,
w oczy TPSA, która podejmuje działania by z tym problemem sobie
poradzić. Działania te nie sprowadzają się, z czego należy się cieszyć,
do uruchamiani CGN lecz prowadzą do wdrożenia IPv6.

[1] http://www.giodo.gov.pl/319/id_art/2258/j/pl/
[2] http://prawo.vagla.pl/node/8929
[3] http://tools.ietf.org/html/rfc4941
- -- 
Było mi bardzo miło.               Czwarta pospolita klęska, [...]
>Łukasz<                 Już nie katolicka lecz złodziejska.  (c)PP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk6BmDQACgkQNdzY8sm9K9wo2wCfaMWKpjHZ6VKyo0SHFFneA295
yYsAn1ROX4UK9Sab7SFKUc7LC7ON3c79
=+eJm
-----END PGP SIGNATURE-----


----------------------------------------------------------------------
Galeria profesjonalnych fryzur ślubnych. Wejdź i zainspiruj się.
Zobacz >>> http://linkint.pl/f2a49

Więcej informacji o liście ipv6-tf