Categories
Edukacija i školstvo Internet

Računalna sigurnost, kratki vodič (I dio)

Sažetak bloga (dolje piše kako i zašto): što prije svoje korisničke prebacite na 2FA/MFA autentikaciju, a passwordi trebaju imati minimalno 12 (optimalno 14 i više znakova). Te dvije aktivnosti će vam umanjiti šansu kompromitacije korisničkog računa za +99%.

Ovaj blog je dopunjen 19. kolovoza 2022., osvježena je ilustracija s vremenom potrebnim za “razbijanje passworda” (stara slika je ostala usporedbe radi). Te je dodan link na službene Microsoftove preporuke za passworde.

Posljednjih dana, a potaknuti aktualnim događanjima, puno se razgovaralo o računalnoj sigurnosti. Često govorim o istim ili sličnim temama, pa sam krenuo pisati ovaj vodič čiji je cilj da malo bolje razumijete protiv kakvih prijetnji se borite ali i da dobijete ideju kako umanjiti ili u cijelosti izbjeći neke od tih opasnosti. Cijelo polje računalne sigurnosti je iznimno veliko, široko i komplicirano, te jednostavno nije realno obuhvatiti sve u jednom tekstu. Svrha ovog posta je da opišem nekoliko osnovnih problema i ponudim rješenja koja bi trebala dramatično povećati razinu vaše računalne sigurnosti (po Pareto principu, 20% aktivnosti će riješiti 80% mogućih problema). Za vas koji ste malo stručniji, odmah da napomenem kako je dio teksta, čitljivosti i opće razumljivosti radi, generaliziran i pojednostavljen. Također, sva je šansa da ćete na internetu ili od prijatelja i kolega dobiti pitanja “tko vam je to rekao?” pa ću pokušati objasniti razloge pojedinih taktika, kao i razloge zašto neke druge taktike nisu nužno bolje ili čak ispravne (a s čime se možete i ne morate složiti, no ako razmislite o njima već smo napravili pomak).

Ideja je ovaj vodič napraviti u više dijelova i u prvome dijelu se bavim samo zaštitom korisničkih računa (samo i jedino time). Kako drugi dijelovi budu dostupni, na ovome mjestu će se nalaziti linkovi na njih.

Korisnički računi

U današnje doba, suma vaših online korisničkih računa i interakcija putem društvenih mreža stvara vaš digitalni identitet koji je sve češće važan ili čak kritični element funkcioniranja u društvu. Ako vam netko preotme vaše korisničke račune na društvenim mrežama (Facebook, Instagram, Twitter, Linkedin, YouTube) i email servisima (Gmail, Outlook, Yahoo i dr.). osim što može naučiti sve ili puno toga o vama, u mogućnosti je analizirati mrežu vaših poznanstava, promotriti vaše interakcije, vjerojatno će pronaći i niz korisničkih računa u raznim web dućanima, forumima i cijelom nizu drugih web servisa koje koristite a koji se potom mogu eksploatirati.

U praksi, korisnički računi najčešće imaju hijerarhiju (koje možda niste ni svjesni), a koja se svodi na to da svi servisi koji su gore nabrojani, prije ili kasnije vode do vašeg email računa (bio to vaš privatni email račun ili poslovni). Na mnogim servisima će vaša email adresa biti ime korisničkog računa, dok će neki servisi koristiti vaše email sustav (gmail) ili društvene mreže (facebook) kao login podatke. Poanta je u tome da je vaša email adresa centar/ishodište vašeg digitalnog/virtualnog identiteta i najosjetljiviji korisnički račun kojeg treba štititi koliko je god to moguće, potom dolaze sekundarni servisi koji vas čine vidljivima na internetu (društvene mreže), te naravno svi onu servisu kroz koji obavljate različite financijske i druge transakcije (web dućani, zdrastvene ustanove, eGrađani i slično).

Da bi dobro zaštitili email račun, potrebno je uvijek odabrati dobar i jedinstveni password (šifru, zaporku). Oko toga kakav password treba odabrati ima puno diskusija, ali recimo da sigurnost passworda ovisi o njegovoj dužini i fondu znakova koji se koristi. Password može imati samo slova, slova i brojeve, slova i posebne znakove (+-*,.}[~*). Svaki dodatak u passwordu za red veličine diže kompleksnost zadatka “pogađanja” passworda, a isto vrijedi i za svaki dodatni znak u passwordu. Neki servisi i neke organizacije uvjetuju obaveznu promjenu passworda nakon isteka nekog vremenskog periodadanas se ta praksa smatra pogrešnom jer neminovno vodi do pojednostavljenih passworda, učestalog ponavljanja ili kreiranja varijacija na osnovnu temu, a zbog čestih promjena nerijetko budu i zapisani na nekom očiglednom mjestu.

Generalno gledano, konsenzus je da sigurni password danas ima 14 ili više znakova, te se sastoji od kombinacija malih i velikih slova, brojeva i/ili posebnih znakova. Sigurni password možete kreirati na puno načina, jedan od njih je da ga generirate u nekom password generatoru. Problem s računalno generiranim passwordima je da su oni najčešće “lagani” računalo za pogađati (jer računalo inkrementalno mijenja znak po znak dok ne dođe do “pobjedničke” kombinacije), a istovremeno iznimno teški ljudima za zapamtiti (pa se onda ti passwordi zapisuju po postitima, rokovnicima ili u drugim digitalnim dokumentima i bilješkama).

Koliko treba računalu/softwareu iz 2021. godine da “razbije” password.
Koliko treba za razbijanje passworda u 2022. godini (uočite razliku!!!)

Kako bi se tome doskočilo, postoje i aplikacije koje su namijenjene generiranju i čuvanju passworda – tzv. password manageri. To su najčešće aplikacije na vašem mobilnom telefonu koje otvarate nekim pinom ili sličnom shemom i koje za svaki korisnički račun imaju zapisan password. Treba reći da oni značajno pojednostavljuju priču, ali isto tako ovisite o tome da je uređaj s aplikacijom uvijek pored vas (da nije npr. ukraden). A treba znati da su neki od password managera u prošlosti bili uspješno hakirani i mnogi ili svi passwordi koji su tamo pospremljeni su odjednom postali dostupni hakerima (u hashiranom obliku, o čemu malo kasnije).

Treća i vrlo efikasna moguća taktika jest da kao password koristite neku vama lako pamtljivu rečenicu (rečenicu iz omiljene knjige, stih pjesme ili nešto slično), a kojeg “začinite” nekim slučajnim velikim slovom (usred riječi), interpunkcijom, brojem ili nekim posebnim znakom. Npr. password koji glasi “IvicaimAricasuseizGubili+1” lagano je pamtljiv i sastoji se od 26 znakova što ga čini iznimno sigurnim.

Svejedno, neovisno o tome koliko god sigurni password imali, to nije uvijek dovoljno. U praksi, neće se dogoditi da će haker pogađati vaš password pokušavajući se ulogirati u vaš email račun, nego će umjesto toga hakirati neki web servis i pokušati downloadati tablicu iz baze podataka u kojoj se nalazi vaše korisničko ime i/ili email adresa te password. To također znači da imate vrlo malo utjecaja na sigurnost svojeg vlastitog korisničkog računa jer će se proboj dogoditi negdje drugdje.

Vi nemate stvarnu kontrolu niti znate kako je vaš password pohranjen na nekom web servisu, no mogu objasniti kako to (najčešće) funkcionira. Aplikacije uopće neće bilježiti vaš password u svoju bazu podataka, nego će umjesto toga zapisati hash vrijednost vašeg passworda (ako vam prilikom pokušaja resetiranja passworda servis pošalje emailom vaš aktualni password, to znači da password zapisuju kao nezaštićeno tekstualno polje i bježite od tog servisa koliko god daleko možete).

Hashiranje je jednosmjerni matematički postupak koji će iz polja (u našem slučaju password) bilo koje dužine izračunati “hash” vrijednost uvijek iste veličine, a koji je jedinstven za upravo to polje znakova. Kažemo da postupak nije reverzibilan na isti način kao što iz mljevenog mesa ne možete natrag napraviti biftek (kada bi postupak bio reverzibilan onda ne bi govorili o hashiranju nego o enkriptiranju vaših podataka).

Programer vašeg hakiranog web servisa ima mnogo opcija, no na današnji dan, najbolja praksa zapisivanja passworda u baze uključuje hash funkciju (postoje mnogobrojne, danas je najčešća SHA256, prije je to bila SHA1 ili MD5), a koja je začinjena sa “solju” (engl. salt). Salt je “začin”, najčešće sasvim slučajni slijed znakova koji je jedinstven samo vašem korisničkom računu, a koji se pridoda vašem passwordu (na početku ili kraju) kako bi se dodatno zakomplicirala hash vrijednost. Ako se baš želi otežati situacija, onda primjerice hash funkciju provrtite npr. tisuću puta (zato da kalkulacija duže traje).

U praksi to znači da ako imate password “mračniblog” MD5 hash vrijednost glasi “d66b9eb45c0a19fa5171fffe432ddec4”, ali ako to izvrtimo stotinu puta onda je rezultat “0adcac5a56774665e22cadd4941d3c0a”. Ako na password dodamo “+salt” tada će vrijednost biti “12c148ece5e82c6ae0c26ef93688efae”, a ako protjeramo takav začinjeni password stotinu puta dobijemo “1fd2d3a475aa90454c0668d49a2135a0”. Sve ovo i sami možete provjeriti na nekom od online hash generatora. Poanta, soljenja hasha je u tome da se čak i malenom razlikom u polju kojeg hashiramo, finalni rezultat drastično razlikuje – što se vidi iz gornjeg primjera.

Na web stranici Have I Been Pwned možete upisati svoje email adrese koje koristite, kao odgovor dobiti ćete popis curenja podataka u kojima se one spominju. Ovisno o tipu proboja, vjerojatno se u njima negdje nalazi i hash vrijednost passworda kojeg ste tada koristili. To još uvijek ne znači da je vaš password kompromitiran. Ako se hash vašeg passworda nalazi u nekoj od tzv. rainbow tablica tada će haker usporediti i pokušati pronaći hash vašeg passworda i passworda koji se nalaze u rainbow tablicama i ako postoji podudaranje to znači da je vaš password kompromitiran i svima dostupan. Zato je “salt” bitan jer on dodaje razinu kompleksnosti na svaki hash i uobičajene rainbow tablice tu neće pomoći, pa se umjesto toga, ako ste doista osoba od interesa, pokušava napraviti brute force koji pokušava napraviti hash od svih mogućih permutacija ili dictionary attack koji pak koristi riječnik već poznatih passworda. Ovdje dolazi do izražaja i programer aplikacije, jer ako je proces hashiranja napravljen 100x uzastopce tada će svaka operacija trajati stotinu puta duže (i toliko je manja šansa da password bude otkriven). Moderno računalo može kreirati milijune hasheva u sekundi, a ako za hashiranje koristite grafičku karticu tada možemo govoriti o desetinama ili stotinama milijuna kalkulacija u sekundi.

Možete se zaštititi dobrim passwordom (i gore je navedeno kakav bi password trebao biti), no password sam po sebi nije uvijek dovoljan i potrebno je podići razinu sigurnosti za još jednu razinu. Kako bi to postigli, koristi se princip višestruke autentikacije ili najčešće korišten 2FA. 2 (two) Factor Autentikacija koristi vrlo jednostavno načelo koje kaže da za uspješnu autorizaciju morate imati dva elementa: nešto što znate i nešto što posjedujete – i ovo je srž svake dobro implementirane sigurnosne politike. Banke vam vjeruju s milijunskim transakcijama preko interneta zato što ste prilikom prijave servisu napisali nešto što znate (PIN ili password) i zato što imate neki fizički predmet koji je jedinstven i kojeg nije moguće kopirati (bankovnu karticu, USB s certifikatom, token uređaj ili nešto treće).

Prijedlog je dakle da na svim imalo kritičnim korisničkim računima aktivirate 2FA autentikaciju, jer ako haker i posjeduje vaše korisničko ime i password, to mu i dalje neće biti dovoljno da izvrši uspješnu autentikaciju i preuzme kontrolu nad servisom (email računom, društvenom mrežom ili web dućanom). Ovo osobito vrijedi ako ste administrator nekog servisa u kojem se nalaze podaci o većem broju korisnika (gdje je veći broj korisnika svaka brojka koja je jednaka ili veća broju 2).

Gotovo svi moderni servisi posjeduju 2FA način autentikacije i smatram da u današnje doba, ako naletite na neki servis koji to ne podržava, morate ozbiljno razmisliti želite li s njima poslovati. Na internetu ima više imenika sa servisima koji podržavaju 2FA, a ovo je jedan od onih koje ja (ponekad) koristim.

Čisto da bude jasno, ima puno različitih nijansi 2FA autentikacije i iako svaka od njih je bolja od toga da nemate uključen 2FA, činjenica je da su neka od rješenja manje ili više podložna proboju (ali opet, u redovima veličina je to teže nego da zlonamjernici imaju samo vaše korisničko ime i password).

Najjednostavnija i vrlo česta forma 2FA autentikacija je autentikacija putem SMS-a. To otprilike znači da ste morali autorizirati prilikom prve prijave i svoj broj mobilnog telefona, a u času kada se pokušate ponovno ulogirati u servis, vlasnik servisa će vam nakon što ste uspješno upisali korisničko ime i password, na broj vašeg mobitela poslati jednokratnu šifru tzv. OTP (najčešće šesteroznamenkasti broj). Problem sa SMS porukama je što one nisu apsolutno sigurne jer se SMS poruka može presresti, a SIM kartica klonirati.

One Time Password je moguće generirati i putem aplikacija za autentikaciju (npr. Google ili Microsoft Authenticator, makar postoje i druga rješenja) a koje onda možete koristiti da pospremi sve korisničke račune koji mogu koristiti 2FA. Ovo je nešto sigurnija metoda od SMS-a, jer nema razmjene podataka putem interneta ili GSM mreže, no i ovdje postoji šansa kompromitacije ako je vaš mobilni uređaj zaražen nekim virusom/trojanom a koji može u pozadini pokretati aplikacije i čitati odgovore koje aplikacija daje. Fizička ekstenzija OTP autentikacije su tokeni, njih najčešće koriste banke i financijske institucije, a ponekad se koriste i kao element ulogiravanja u računala (inače, jedna od poznatijih kompromitacija token sustava je onaj kada je bio hakiran RSA).

Obitelj Yubico ključeva.

Ultimativno rješenje za sigurnost je korištenje security ključeva poput onih koje prodaje Yubico ili Hypersecu (ja koristim). Ovdje je riječ o minijaturnim računalima koja su zalivena u blok plastike i koje spajate na računalo/mobilni telefon putem USB porta (ok, postoje i NFC verzije, ali shema je ista). U trenutku autentikacije, ključ mora biti u USB portu i na traženje vaše web aplikacije morate kliknuti fizički gumbić na security ključu (što osigurava da nitko ne može aktivirati ključ s udaljene lokacije, nego to može samo korisnik napraviti). U tom času računalo USB ključu pošalje upit (challenge), USB ključ vraća odgovor (response) i ako on odgovara očekivanom odgovoru autentikacija je dopuštena. Vrijedi samo napomenuti da se security ključevi razlikuju ne samo po vrsti porta na koji se spajaju, nego i po sigurnosnim protokolima koje podržavaju tako da nije svejedno koji ključ ćete koristiti za koju namjenu (i da, jedan ključ se može koristiti za mnogobrojne servise).

Da zaključim, da bi bili sigurni – vaši passwordi moraju biti kompleksni (14 znakova i više), moraju biti jedinstveni (jer ako sigurnost jedne web stranice bude probijena onda je probijena svugdje gdje imate korisnički račun) i za pravu sigurnost morate koristiti neku od ponuđenih 2FA taktika. Izbjegavajte koristiti lagano dostupna imena iz obitelji, datume rođenja i slične očigledne passworde. Ako krenete u zonu 2FA, pokušajte izbjegavati SMS autentikaciju – no svakako je koristite ako je to jedina 2FA metoda na željenom servisu. Naučite koristiti autentikator aplikacije, a za doista mirni san počnite koristiti security ključeve (i ne zaboravite na sigurnom mjesto pohraniti backup podatke, jer ako izgubite 2FA. Svakako preporučam da vaša glavna email adresa (ona na koju su vezani svi drugi servisi) svakako bude na nekom sigurnom servisu koji omogućava sve ove oblike zaštite (primjerice Gmail, Outlook, Office365…).

p.s. ista shema funkcionira i za PIN-ove, bolje je koristiti šesteroznamenkasti PIN nego četveroznamenkasti (gdjegod ga koristili), a ako možete konfigurirajte i paswordless login na svojem računalu (to je podržano i na Windowsima i OS X).

Misao dana:
Most people are starting to realize that there are only two different types of companies in the world: those that have been breached and know it and those that have been breached and don’t know it. Therefore, prevention is not sufficient and you’re going to have to invest in detection because you’re going to want to know what system has been breached as fast as humanly possible so that you can contain and remediate.

Categories
Gadgets Internet Priroda i društvo

Mala VOD usporedba (Netflix vs. HBO GO vs. Amazon Prime vs. MaxTV)

Mali i kratki post na samo jednu temu, VOD tj. video on demand platforme. Naime kako novosti konzumiram s interneta više nema stvarne potrebe za gledanjem TV-a u svojoj klasičnoj formi i u proteklih nekoliko mjeseci sam pogledao i pokušao usporediti nekoliko VOD platformi koje su dostupne kod nas. Netflix gledam već godinama (i dok nije bio dostupan u .hr), dok su ovi ostali servisi došli naknadno i dostupni su na domaćem tržištu. Posljednji od njih je Amazon Prime Video koji je došao prije nekoliko tjedana.

Ne bih sada ulazio u problematike sadržaja preduboko. No ono što je više nego očito je kako Netflix tu rastura i to ne samo u američkom katalogu nego i ovome koji je dostupan na hrvatskom Netflixu. Količina originalnog contenta je velika i često vrlo kvalitetna, a ove preostale TV serije i filmovi su također zastupljeni u izobilju. Jednostavno nema smisla uspoređivati katalog Netflixa s drugim platformama jer nisu usporedive niti u redu veličine. Ipak, ako ima jedna koja je usporediva, to je svakako HBO GO sa svojom bogatom vlastitom produkcijom plus sve ostalo što se nalazi u katalogu. Treći bi bio domaći MaxTV (druge servise nisam proučavao jer im nemam pristupa) gdje je katalog videoteke osrednji prema jadnom, no uvjerljivo najlošiji odabir je (barem u ovome času) na Amazon Prime Videu.

Pravi razlog zašto sam uopće napisao ovaj post je u stvari frustracija korisničkim sučeljem. Koristim ove servise na smart TVima i set top boxovima i sve što mogu reći je da je sve skupa jedan ogromni užas uz izuzetak Netflixa. Korisničko sučelje na svim tim platformama je jadno i loše. Ne mislim pritom samo na to da je nepregledno nego što se postavke pregleda non stop resetiraju i vraćaju na originalne postavke (dakle tipka “back” vas ne dovede tamo gdje ste bili nego na početak nekog ekrana) i slično. Uglavnom, nije nikakvo čudo da Netflix rastura konkurenciju pa čak i HBO GO koji je vizualno možda malo atraktivniji ali je funkcionalno inferioran.

Eto, toliko od mene, samo da znate da sam pomalo frustriran funkcionalnošću većine VOD platformi i da mi je uvjerljivi leader Netflix.

Misao dana:
Television? The word is half Greek, half Latin. No good can come of it.

Categories
Internet

Mitologija ACTA-e

Posljednjih nekoliko dana zapljusnuti smo neočekivanom dozom interesa koji je iskazan za ACTA-u, međunarodni sporazum čiji je cilj reguliranje zaštite intelektualnih prava i autorskih djela. U Hrvatskoj, (ne)svjest o ACTA sporazumu zapalio je predsjednik Ivo Josipović koji obzirom na svoju povijest u Hrvatskom društvu skladatelja i kao pravnik koji se godinama borio za zaštitu autorskih prava po definiciji podržava svaki sporazum koji će osnažiti zaštitu intelektualnog vlasništva. S druge strane, nakon potpisivanja ACTA-e prije nekoliko mjeseci, zahvaljujući videu kojeg je proizveo glasoviti Anonymous ali i nizu kritika koje s dobrim razlogom postoje za prethodne prijedloge sporazuma koji je do svoje konačne verzije značajno razvodnjen i ublažen, sasvim je jasno kako je do do ove gužve došlo unatoč tome što većina tvrdnji koja se ACTA sporazumu stavlja na teret uopće nema uporišta u finalnoj verziji dokumenta koja je pak pisana u suhoparnoj i tehničko-pravničkoj terminologiji na stranome jeziku i ovisno o verziji koju čitate ima više od 25 stranica – što samo znači da je vrlo mali broj onih koji je tekst sporazuma doista i pročitao, no svejedno mnogi o njemu imaju vrlo isključivo mišljenje.

Jedan od prvih mitova koji se uporno ponavlja je kako će internet provideri, dakle tvrtke koje vam osiguravaju internet vezu biti putem ACTA sporazuma prisiljeni promatrati ili instalirati opremu kako bi bili u stanju identificirati promet zaštićenih materijala (pjesama, videa i slično). Ničega niti sličnoga nema u sporazumu, nema ni takozvanih „three-strikes“ prijedloga, kao ni isključivanja s interneta. U sporazumu nema ništa ni o generičkim lijekovima za siromašne afrikance i azijce; tehnologija generičkih lijekova je dobro poznata i jedino što eventualno može doći na udar je kada bi neki lijek imenom, pakiranjem i izgledom podsjećao na neki drugi zaštićeni lijek (primjerice, planetarno popularna Viagra postoji u cijelom nizu sličnih ali ne i identičnih generičkih izvedenica koje slobodno  kolaju svijetom). I posljednje, ACTA ne predviđa mogućnost da bi se neke od web stranica mogle ukinuti brisanjem kroz DNS sustav, baš kao što ni internet provider neće biti zaduženi da promatraju komentare i sadržaje korisnika kako bi bili sigurni da nema objavljenog zaštićenog materijala.

Naravno, ACTA nije nužno niti dobar sporazum jer sama činjenica da je predviđen kao međunarodni sporazum, koji potom obvezuje nacionalna zakonodavstva, veže ruke zakonodavcima kako da reguliraju pojedina područja koja su već sada dijelom normirana na različite načine u različitim zemljama; prevedeno, sve ono što ACTA predviđa uglavnom je predviđeno našim zakonima i već sada je kažnjivo, no način provedbe i konsekvence su drugačije definirane. Primjerice, člankom devet sporazuma predviđeno je da odštetu mora platiti onaj koji je znao ili je postojao razumni osnov da zna da je riječ o djelu ili materijalu koji je zaštićen nekim pravom što bi moglo značiti da vaše neznanje da rukujete ili ste zaprimili ili razmijenili neki zaštićeni materijal nije dovoljno da bi vas oslobodilo. Problematičnim bi se mogao pokazati i članak 12. koji u jednoj rečenici kaže kako se vlasti moraju pobrinuti da proaktivno spriječe promet autorskim ili drugim pravom zaštićenog materijala – iako je ovdje eksplicitno naglašen promet roba i sprečavanje puštanja takve robe u trgovinske kanale (primjerice lažnu robu poput odjeće, nakita i slično) – što bi se moglo primjeniti i na internet promet kako to naglašava Anonymous, no da bi se to desilo vlasnik prava mora dokazati kako je povreda prava „izvjesna“, što pak znači da je vlastima potrebno podastrijeti neki suvisli dokaz o takvoj aktivnosti.

ACTA previđa i konkretnu kriminalnu odgovornost, dakle ne samo prekršajnu kaznu ili civilni naknadu štete ali ponovno, samo u slučajevima gdje je dokazano kako se radi o stavljanju u promet radi ostvarivanja novčane dobiti.

Najproblematičniji je ipak članak 27. koji se eksplicitno bavi prometom digitalnih dobara i koji već u prvoj rečenici kaže kako je potrebno osigurati brze i efikasne procedure kako bi spriječili povredu prava, odnosno kako je potrebno osigurati rješenja koja će odvratiti potencijalnog počinitelja. Također, ACTA kaže kako je potrebno zakonskim putem spriječiti svaki pokušaj da se utječe na uređaje ili softver koji je dizajniran da onemogući ili ograniči pojedine funkcije (primjerice kopiranje), a jednako tako je zabranjeno uvoziti, prodavati ili prizvoditi uređaje koji bi tako nešto omogućavali ili otežali kontrolu.

ACTA očito nije onoliko rigorozna koliko se pokušava predstaviti, no svejedno, kroz neke od svojih članak otvara put da se u nacionalnim zakonodavstvima kreiraju mjere poput onih o kojima govori Anonymous. Temeljna razlika je u tome što protivnici ACTA sporazuma tvrde kako je izvjesno da će to Vlade učiniti, odnosno da ACTA traži od nacionalnih zakonodavstava da takve mjere osiguraju, dok hladnokrvno čitanje teksta pokazuje da od toga nema ništa, odnosno sasvim sigurno nema ništa više što već sada nije na raspolaganju nacionalnim zakonodavstvima.

Gdje je onda problem? Problem je u tome što je dolazak digitalnog medija trajno promijenio tehnološki balans. U doba vinilnih ploča i audio kazeta, za bilo kakvu reprodukciju morali ste imati odgovarajuću opremu koja je sama po sebi ograničavala tko može biti pirat. Danas, u doba kada svatko na svom računalu može „prepržiti“ desetke muzičkih Cd-ova u jednome satu, ili još gorje, što može postaviti web stranicu koja će zaštićeni sadržaj dijeliti tisućama – svaki takav čin kopiranja ili daljnje distribucije postaje ekonomski mjerljiv, a nositelji prava umjesto da imaju relativno ograničen broj organiziranih pirata odjednom moraju svoj teritorij braniti u globalnom i umreženom svijetu.

Tri su temeljne taktike za zaštitu autorskih prava. Prva i često korištena taktika je tužakanje do iznemoglosti. Američka RIAA (donekle ekvivalent lokalnog ZAMPa) redovito i masovno tuži tisuće građana i u pojedinim slučajevima ostvaruju doista bizarne uspjehe. Prije godinu dana, nakon tri suđenja Jammie Thomas Rasset osuđen je da mora isplatiti odštetu u iznosu od impresivnih 1.5 milijuna dolara zbog toga što je podijelo 24 pjesme, dakle 62.500 dolara štete za svaku od podijeljenih pjesama. ACTA postavlja pitanje naknade štete koja se može opisati izgubljenom dobiti ili drugim ekonomskim štetama te je sud dužan prihvatiti ili barem uzeti na znanje te izračuna od nositelja prava, no tko je pravi autoritet da kaže kolika je šteta nastala. Albumi Withney Houston do prije neki dan su koštali oko 5 funti (danas nakon njezine smrti koštaju odlukom Sony Musica 8), kako je onda moguće da šteta od toga da ste s prijateljima podijelili album ili dva bude 1.5 milijuna dolara (ekvivalent kupovine 200.000 albuma?). Ili pak situacija u kojoj također amerikanac Richard Franco Montejo pred sobom ima petogodišnju zatvorsku kaznu za upload (ok, masovni) Kayne Westa, dok istovremeno liječnik koji je proglašen krivim za ubojstvo Michaela Jacksona mora izdržati četiri godine? Da li je ekonomska šteta dijeljenjem jedne epizode dr. House-a ekvivalent cijene DVD-a na kojem se ta epizoda nalazi; ili je pak šteta sličnija prihodu kojeg proizvođač te epizode ostvaruje u oglašavanju na TV kanalu. Dakle ako je TV postaja emitirala epizodu koju je gledalo 500.000 ljudi, a reklame emitirane u tom terminu su prikupile 200.000kn tada je prihod po gledatelju bio svega 40 lipa koji potom treba umanjiti za trošak odašiljača i cijeli niz drugih troškova da bi stigli do stvarnog prihodaili izgubljene dobiti kojeg je ostvario vlasnik prava na TV emisiju.

Druga taktika je ograničavanje kopiranja zaštićenih materijala, dakle ono što je predviđeno ACTA sporazumom u njegovom članku 27. Bizarno, upravo to priželjkuje naš domaći Ivan Vučica koji je predsjedniku uputio otvoreno pismo u kojem kritizira ACTA sporazum. Ivan Vučica traži od predsjednika da se založi za dolazak iTunes dućana u Hrvatsku. Appleov iTunes revolucionarizirao je prodaju muzike, videa i knjiga putem interneta zahvaljujući tzv. DRM ili digital rights managementu koji efektivno „zaključava“ muziku koju ste kupili samo na vaše uređaje, pa je tako Ivan u pokušaju da nagovori predsjednika da se usprotivi ACTA sporazumu kao argument iskoristio Apple i iTunes koji je korporativno utjelovljenje svega onoga protiv čega se oponenti ACTA-e bore, a to je da se sadržaj može slobodno kopirati i razmjenjivati za osobne potrebe – prevedeno, to mora značiti da ste u stanju muziku sa svojeg iPoda slobodno prekopirati na bilo koji drugi muzički uređaj koji posjedujete, a s muzikom koja je kupljena u Appleovom dućano tu nije slučaj.

I posljednje, treća taktika je da digitalni sadržaji budu svima lagano dostupni. Za Hrvatsku, to bi značilo otvaranje digitalnih dućana Applea, Amazona ili drugih kompanija. Problem iTunes dućana i sličnih prodavatelja intelektualnih prava iznimno je jednostavan u SAD-u koje je jedno veliko i unificirano tržište, za razliku od Europe koja je fragmentirana i gdje su u različitim zemljama različiti nositelji autorskih prava, a sve zajedno u zemljama koje na različite načine imaju riješeno pitanje poreznog tretmana prodaje i prometa muzike, knjiga i videa. Velike kompanije su naravno zaintresirane za otvaranje digitalnih dućana u zemljama koje su veliki kupci poput Velike Britanije, Francuske, Italije, Njemačke; no malene zemlje poput nas neće skoro doći na red iz jednostavnog razloga što je pravna zavrzlama prevelika u odnosu na potencijalnu dobit pa su stoga odvjetnički aparati velikih kompanija usmjereni na velika tržišta. Utješno, jednoga dana ćemo i mi doći na red, vjerojatno među posljednjima.

I za kraj, slažem se s tvrdnjom mnogih kako je piratstvo ili kopiranje audio i video sadržaja elementarni sustav distribucije i promocije za mnoge; a u nekim situacijama do određenih sadržaja i ne možete doći bez piratstva – prije nekoliko dana sam pokušao na YouTubeu pogledati spot Nick Cavea Fifteen feet of pure white snow za koju je nositelj prava EMI i koji je onemogućio hrvatskim posjetiteljima YouTubea da je pogledaju. Ako promotrite presjek potrošnje internet kapaciteta u americi i europi vidjeti ćete kako je u Americi udio koji u europi zauzimaju torrenti preuzeo Netflix koji na jednostavan način bilo kome dopušta da za minimalnu naknadu (desetak dolara mjesečno) raspolagati bibliotekom u kojoj se sastoje tisuće i tisuće filmova – probajte to usporediti s cijenom iznajmljivanja pojedinačnog filma iz digitalne videoteke operatera koji vam pruža triple-play uslugu. U europi toga nema ili je cijena neusporedivo veća, pa je stoga taj prostor prirodno zauzet torrent klijentima i ljudima koji se pokušavaju dokopati nedostupnog sadržaja.

Hrvatska može i ne mora pristupiti ACTA sporazumu, s jedne strane kao uređena zemlja koja se trudi pripasti europskom krugu moramo regulirati i poštivati intelektualna prava – taj dio bi morao biti jasan svima; no jednako tako, zbog naše male veličine, pravnih i drugih problema jednostavno smo osuđeni da pojedine sadržaje konzumiramo kao pirati. Uz malo sreće, svijetom prošireni bunt zaustaviti će ACTA sporazum i prije nego što mi moramo donijeti našu finalnu odluku.

Misao dana:
As we’ve seen, our constitutional system requires limits on copyright as a way to assure that copyright holders do not too heavily influence the development and distribution of our culture.