14. dubna 2020

Nainstalujte si telescreen!

Včera přišel mail ze školy, že od zítřka (to jest ode dneška) se přechází na jednotný výukový systém pomocí aplikace Zoom. Hned ve mě hrklo - vždyť to je ta raketově rostoucí firma, jejíž přístup k bezpečnosti je podle Bruce Schneiera v lepším případě lajdácký, v horším pak zlomyslný, nedávno ji zakázali používat učitelům v Singapuru, a která posílá klíče do Činy! Ale o ničem z toho se v tom mailu nepsalo. Jen samá pozitiva:

"Tento systém má několik zásadních výhod. Především jednoduchost, znatelně vyšší kvalitu videa i zvuku a téměř neomezený počet účastníků, navíc nabízí další nástroje pro efektivnější online výuku. Před prvním přihlášením pomocí našeho odkazu mohou být ti z vás, kdo ještě nepoužíváte program ZOOM, vyzváni k jeho instalaci (není ale vždy nutné). Po úspěšném prvním přihlášení bude stačit již příště jen vždy kliknout na daný odkaz. Není potřeba si zřizovat žádný další účet apod. Nad rámec těchto změn se však pro Vás nic jiného nemění."

Čtu, hledám si další informace a nevěřícně zírám. Tak už je to tady... Připadám si jako protagonista nějakého lehce snového pokračování 1984. Vítejte v Oceánii! Telescreen jenom zapojíte do zásuvky. Pak už nemusíte dělat vůbec nic. Netřeba ani stisknout tlačítko. Telescreen se o všechno postará sám. Nad rámec toho, že vám to jenom de-facto hackne počítač, se pro vás nic jiného nemění. Na ten počítač vám to třeba nainstaluje webserver, který v lepším případě za pár dní výrobce vašeho operačního systému zase zablokuje, ale toho si nevšímejte. Vždyť je to jenom taková běžná hackeřina... Tvařte se třeba, že tam tam ten webserver nikdy nebyl. 2 + 2 = 5!

A tak radši koukám, co píše Schneier. Není to moc povzbudivé čtení:

"Zoom špehuje své uživatele pro osobní získ."
"Šifrování Zoomu je příšerné. Ta firma tvrdí, že nabízí end-to-end šifrování, ale není to pravda."
"Lžou také o způsobu šifrování, který používají."
"AES-128 je OK, ale používání ECB módu je známkou toho, že nikdo v té firmě neví o kryptografii vůbec nic."
"[Organizační struktura] může Zoom vystavit tlaku čínských úřadů."
"Z pohledu bezpečnosti a soukromí je Zoom pohroma. Ta firma se dosud vyhýbala odpovědnosti, protože nebyla příliš známá. Teď, když je středem pozornosti, to všechno vychází na světlo."

Zoom se sice kaje a slibuje, že se napraví (jak jinak), ale ta historie přešlapů je drtivá a sliby nejsou činy. Kromě toho se bojím, co dalšího ještě může ta firma skrývat. Co když je jejich "šifrování" natolik mizerné, že to může odposlechnout kdokoli po cestě? A jak je to s vazbami Zoomu na čínskou totalitní diktaturu? Ne, tenhle malware opravdu podporovat nehodlám!

Škole jsem tedy napsal, že aplikace Zoom má sice možná nějaké výhody, ale z bezpečnostního i morálního hlediska jde o naprostou tragédií. Přihodil jsem pár odkazů a apeloval na vedení, aby používání této "bezpečnostní tragédie" přehodnotilo. Absolutně nedůvěryhodné aplikace s vazbami na zločinné totalitní režimy do domácí sítě pustit nechci, takže moje děti se patrně nebudou moci účastnit vyučování.

Ze školy napsali, že tohle vůbec netušili. Mail prý předají svému IT oddělení a doporučí jim se tím dále zabývat. Výuka však zítra pojede podle plánu a pak se uvidí. Poslal jsem jim tedy ještě pár odkazů včetně varování od FBI. Ale moje děti jsou dnes opravdu bez Zoomu a tím pádem i bez vyučování. Takže tu teď sedím, dopisuju tenhle text a čekám, co bude dál.

Hlavou se mi honí různé děsivé myšlenky. Rozumí v tom jejich IT oddělení vůbec někdo bezpečnosti? Asi ne, jak naznačuje heslo k Zoom meetingu sestávající ze dvou snadno uhodnutelných písmenek. Umí tam aspoň někdo anglicky? Možná, že ne. Jinak by přeci nemohli výše uvedená rizika před námi rodiči zamlčet a Zoom nám jen tak vnutit. Proč neposlali aspoň odkaz na nějaký manuál, jak se vyhnout největším rizikům a zabránit tomu, aby hackeři ukazovali dětem svoje pohlavní orgány? A co jejich nadřízení? Uvědomují si, že když je nějaká služba zdarma, tak její uživatelé vůbec nejsou zákazníci, ale produkt? Není takové jednání už jenom vzhledem k výši školného poněkud trapné?

Chápu argument, že Zoom je jednoduchý a pohodlný - ovšem za cenu vaší bezpečnosti a vašeho soukromí. To sice platí v nezanedbatelné míře i pro Google, pro Facebook či třeba pro Windows, ale je tam přeci jen několik zásadních rozdílů. Co se týče zabezpečení komunikace, věřím všem těm třem firmám neskonale víc, než Zoomu. A zadruhé používám Google, Facebook a vlastně i Windows dobrovolně a rizik jsem si vědom, zatímco Zoom nepotřebuju a nechci. Je mi vnucován zvenčí. Pěkně to vystihl Arvind Narayanan:

"Ano, alternativy existují, ale je děsivé, jak rychle získal Zoom během krize navrch. Fakt, že se o tomhle rozhoduje na nejvyšších úrovních vedení, spolu s obvyklými síťovými efekty, vede k tomu, že jedinci vlastně vůbec nemají možnost vybrat si, že Zoom používat nebudou."

Inu, uvidíme... Děti mě asi mají za blázna, ale můžu se utěšovat tím, že nejsem jediným odmítačem.