[ipv6-tf] Po seminarium

[Maciej Łopaciński]

Dziękuję Łukaszowi, za napisanie sprawozdania i udział w konferencji. Wszystkie prezentacje sa dostępne już na stonie PIIT:
http://www.piit.org.pl/piit2/index.jsp?place=Lead01&news_cat_id=25&news_id=5797&layout=2&page=text 

Pozwolę sobie na odpowiedź na poliemikę Łukasza:
1) Zarzut *drobnych* nadużyć. Przedstwiona na slajdzie 20 sieć, jest autentyczną siecią w mieszkaniu mojej teściowej. Ta sieć nie ma WiFi, więc nie mogłem w niej przedstawić telefonu, a komputer z W7, jest tylko, gdy przyjadę tam ze swoim laptopem. Moją sieć w pewnym przybliżeniu obrazuje rysunek ze slajdu 33 - pominąłem jednak tam, urządzenia bez IPv6 (GPS z WiFi, bramkę VoIP, access-point, dekoder telewizji N). Tak więc jeśli zaburzyłem statystykę, to raczej w drugą stronę.

2) IPv6 i dane osobowe - szczerze mówiąc liczyłem na udział w konferencji dr Wiewiórowskiego i miałem nadzieję uzyskać jakieś odpowiedzi, albo przynajmniej zapowiedź poruszenia problemu na forum grupy roboczej art. 29. Niestety z GIODO był tylko przedstawiciel. Trudno jest podejmować decyzje inwestycyjne, bez wcześniejszego wyjaśnienia ewentualnych problemów prawnych.

3) Jeśli chodzi o przydzielanie adresacji IPv6 klientom, to szczerze mówiąc IPv6 ze zmiennym adresem sieci dla mnie, jako klienta prawie niczym nie różni się od IPv4 z NATem. Dla mnie, IPv6 będzie przydatne, jeśli dzięki niemu, będę mógł "zajrzeć" do urządzeń inteligentnego domu i coś wysterować. 

Jeszcze raz dziękuję Łukaszowi za sprawozdanie i wszystkich zapraszam do dyskusji. Jeśli ktoś będzie na PLNOGu, to z chęcią się spotkam w czasie konferencji i porozmawiam (jeśli ktoś jedzie pociągiem z Warszawy z 17.20, to z chęcią porozmawiam już w pociągu).

----- Original Message -----
From: "Lukasz Stelmach" <stlman w poczta.fm>
To: "Polish IPv6 Task Force" <ipv6-tf w pl.ipv6tf.org>
Sent: Tuesday, 27 September, 2011 11:32:36 AM
Subject: [ipv6-tf] Po seminarium

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dzień dobry.

Wczoraj odbyło się zorganizowane przez PIIT i zapowiadane na tej
liście, seminarium na temat nieuchronności wdrożenia IPv6.

Wystąpienia prelegentów były interesujące, mimo że część informacji
była powtórzona po raz setny. Pierwszy wystąpił pan Adam Kozakiewicz,
który opisał czym jest nowa wersja IP, czym się różni od starej i
jakie są jego przewagi nad wersją czwartą.

Następny w kolejności był pan Maciej Łopaciński, który tradycyjnie już
prezentował punkt widzenia dostawcy treści. Mówił z grubsza to samo co
powiedział w 2009 na podobnym seminarium zorganizowanym przez UKE.
Niestety by osiągnąć lepszy efekt dramatyczny posunął się do kilku
*drobnych* nadużyć. Po pierwsze (kolejność dowolna, bo przywołuję z
pamięci) wyliczając urządzenia zdolne i nie do użycia IPv6 w
przykładowej sieci domowej zapomniał na slajdzie umieścić obok swojego
laptopa swój telefon. Gdyby to uczynił wówczas "statystyka" by się
znacząco zmieniła.

Następnie przedstawił stanowisko GIODO dotyczące traktowania adresu IP
jako danej osobowej[1]. Stanowisko nota bene potwierdzone przez
sąd[2]. Sprawa jednak nie jest jednoznaczna i w innych krajach
zdarzają się orzeczenia dokładnie odwrotne co, uwzględniając, że
Polskie prawo opiera się na kodeksach a nie na orzeczeniach, pozwala
przypuszczać, że sytuacja może ulec zmianie. Na poparcie swych obaw
jako dostawcy treści odwołując się do fragmentu

    [...]w przypadkach, gdy adres IP jest na stałe lub na dłuższy
    okres czasu przypisany do konkretnego urządzenia, które przypisane
    jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi
    on daną osobową.

stwierdził, że tym bardziej adres IPv6 stworzony na podstawie adresu
MAC (EUI-64) urządzenia jest daną osobową, którą on jako
przedsiębiorca musi przetwarzać nader ostrożnie. Pochwały godny jest
rzadko spotykany wśród działających w biznesie (w szerokim sensie) tak
rozszerzony sposĂłb interpretowania tekstĂłw prawnych. Skoro bowiem
stanowisko GIODO odnosi się do "adresu IP" to możliwe są dwie
alternatywne interpretacje. Po pierwsze nigdzie nie jest (choć to
bardzo naciągany argument) napisane, że dotyczy to stanowisko również
wersji szóstej. Po drugie "na stałe lub na dłuższy okres czasu"
przypisany jest w przypadku IPv6 nie cały adres a jedynie jego
fragment, co z punktu widzenia uĹźytkownika ma kolosalne znaczenie dla
jego prywatności jednak z punktu widzenia przedsiębiorcy, który chce
działać zgodnie z prawem stanowi moim zdaniem wygodne wyjście.

Tuż po (lub przed, nie pamiętam ale nie to jest istotne) pan Maciej
opisał (z punktu widzenia użytkownika (to dobrze) a nie dostawcy
treści (co warto podkreślić)) problem gromadzenia przez Google i
innych informacji na temat lokalizacji sieci z konkretnymi prefiksami
IPv6. Po pierwsze nie wiem czy mają oni do tego prawo. Gdy robili to
samodzielnie swoimi szpiegowozami dostali po łapach. Po drugie
poczynił założenie, że prefiks IPv6 jest na stałe przypisany do
lokalizacji geograficznej. Otóż czasami jest a czasami nie jest. Śmiem
przypuszczać, że dostawcy internetu nie będą klientom prywatnym
przyznawać stałych prefiksów tak jak dziś nie przyznają stałych
adresĂłw IPv4, czego przy dzisiejszym powszechnym wykorzystaniu
domowych routerów działających 24/7 nie można tłumaczyć mniejszą ich
liczbą od liczby klientów. W takiej sytuacji zbieranie informacji o
dokładnej lokalizacji sieci IPv6 wydaje się (ja jestem tego prawie
pewien) pozbawione sensu bowiem po kilku miesiącach zbierania może się
okazać, że wybrany prefiks był widziany na Targówku, Szczęśliwicach,
Moczydle i Okęciu. Usługi takie jak GeoIP wydają się być jedyną
sensowną alternatywą dla portali. Gdy potrzebne są dokładniejsze
informacje lepiej jest odpytać urządzenie mobilne czy to o pozycje GPS
czy choćby o identyfikator komórki. Lista BTSów wraz z ich pozycjami
geograficznymi dostępna jest na stronach UKE.

Jeżeli tę listę czyta ktoś z urzędu GIODO (i jakimś cudem przedarł się
aĹź tu) mam na podstawie tego co powyĹźej dwie sugestie. Po pierwsze,
stworzenie oddzielnej kategorii danych wraĹźliwych, do ktĂłrych
należałyby adresy IPv4 IPv6 oraz MAC. Nie są to dane osobowe sensu
stricte ponieważ nie są w żaden sposób powiązane na trwałe z żadnym
człowiekiem. Telefon mogę zgubić lub sprzedać, adresami IP
administrują ISP (a nad nimi RIPE), którzy mogą je przyznawać odbierać
i przesuwać w sposób dowolny. Nie zmienia to oczywiście faktu, że dane
te mogą być wykorzystane w sposób naruszający prywatność osób
aktualnie lub w przeszłości z nich korzystających. Należy się im więc
pewna ochrona jednak na pewno nie taka sama jak "analogowym" danym
osobowym takim jak imię i nazwisko czy adres zamieszkania.

Druga kwestia dla GIODO to regulacja (nie, nie dostawców treści
przetwarzających adresy IP szanowny Panie Macieju) wymuszająca
możliwość przełączania sposobów tworzenia adresów IPv6 pomiędzy
tradycyjnym na podstawie MAC a chroniącym prywatność opartym na RFC
4941[3], który moim zdaniem powinny być ustawiony jako domyślny.

Problem anonimowości i uwierzytelniania w Internecie jest oczywiście
dużo szerszy ale nie czas to i miejsce żeby go roztrząsać.

Ufff...

Następnym prelegentem był pan Paweł Krześniak, który opowiadał o
zagrożeniach dla bezpieczeństwa sieci związanych z wdrażaniem IPv6.
Osobiście streściłbym to wystąpienie w dwóch punktach (choć na to
zdecydowanie nie zasługuje):

1. Podstawowym problemem jest niewystarczająca znajomość wynikająca z
małego, na razie rozpowszechnienia.

2. Problemy są w sumie zbliżone do tych, które niesie ze sobą IPv4 co
wyraźnie widać na przykładzie problemów w sieciach LAN. Mimo, że
protokoły się zmieniają to problemy takie jak MITM czy DOS pozostają
bez zmian.

Na koniec wystąpił pan Piotr Ławniczak z TPSA. To wystąpienie było dla
mnie najciekawsze stanowiło bowiem zmianę (uwaga, będę bardzo
generalizował) postawy "biznesu" w stosunku do tej, którą prezentował
dwa trzy lata temu. Pan Ławniczakotwarcie przyznał, że widmo braku
adresów IPv4 zagląda, nawet jeśli z oddali i przez ogromną lornetkę,
w oczy TPSA, która podejmuje działania by z tym problemem sobie
poradzić. Działania te nie sprowadzają się, z czego należy się cieszyć,
do uruchamiani CGN lecz prowadzą do wdrożenia IPv6.

[1] http://www.giodo.gov.pl/319/id_art/2258/j/pl/
[2] http://prawo.vagla.pl/node/8929
[3] http://tools.ietf.org/html/rfc4941
- -- 
Było mi bardzo miło.               Czwarta pospolita klęska, [...]
>Łukasz<                 Już nie katolicka lecz złodziejska.  (c)PP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk6BmDQACgkQNdzY8sm9K9wo2wCfaMWKpjHZ6VKyo0SHFFneA295
yYsAn1ROX4UK9Sab7SFKUc7LC7ON3c79
=+eJm
-----END PGP SIGNATURE-----


----------------------------------------------------------------------
Galeria profesjonalnych fryzur ślubnych. Wejdź i zainspiruj się.
Zobacz >>> http://linkint.pl/f2a49
_______________________________________________
ipv6-tf mailing list
ipv6-tf w pl.ipv6tf.org
http://www.pl.ipv6tf.org/cgi-bin/mailman/listinfo/ipv6-tf
--
Agora TC Sp. z o.o., ul. Czerska 8/10, 00-732 Warszawa
Numer identyfikacji podatkowej / Polish VAT and tax ID no.: PL 899-244-52-28
Miejsce zarejestrowania / Place of registration: 
Sąd Rejonowy dla m. st. Warszawy / Regional Court for the Capital City of Warsaw
Numer rejestru KRS / Registration no.: 105451
Kapitał zakładowy / Share capital: 50.000,00 zł.

Niniejsza wiadomość jest przeznaczona wyłącznie dla zamierzonego adresata i może zawierać informacje o charakterze poufnym. W razie stwierdzenia, że odbiorcą miała być inna osoba prosimy poinformować nadawcę oraz niezwłocznie usunąć wiadomość. Wiadomość może nie stanowić oficjalnego stanowiska spółki Agora TC i nie być związana z jej działalnością.

This message is for the intended recipient only and it may contain confidential information. If you receive this message in error, please immediately delete it and notify the sender. This message may not represent the official views of Agora TC and may not be related to its business.