Nyt kun Lex Nokia on hyväksytty, on kiintoisaa pohtia, millä eri tavoin sitä voi kiertää. Käsittääkseni organisoitua keskustelua tästä aiheesta ei ole kielletty. :-) (Totean myös varmuudeksi, että itse en tällaista omalla työpaikallani koskaan tekisi, mutta on vain hauska pohtia teknisiä keinoja, koska tunnen aihetta hiukan.)

1. SFTP
Olettaen että ssh-portti on auki, helpointa olisi siirtää tiedosto SFTP:llä jollekin palvelimelle. Palvelin voisi sijaita esim. Amazonin EC2-pilvessä, jolloin sen omistajan selvittäminen saattaisi olla melko hankalaa. Tarvittaessa palvelinyhteyttä voisi kierrättää tcp-tunneloinnilla monenkin osoitteen kautta. SFTP on salattu, joten tiedoston sisällöstä tai nimestä ei jäisi mihinkään tietoa.

2. HTTPS
Mikäli muut kuin web-yhteydet on blokattu, seuraavaksi helpointa olisi avata selaimella SSL-yhteys jollekin palvelimelle ja lähettää tiedosto webbilomakkeella sinne. Tämän voisi tehdä vaikka jostakin webbihotellista vuokratulle palvelimelle, joka ottaisi tiedoston vastaan myöhempää noutoa varten tai lähettäisi sen eteenpäin privaattisähköpostiin.

3. HTTP
Mikäli SSL:kin on blokattu tai firman palomuuri tukee ainoastaan proxytettya HTTP:tä, niin dokumentin voisi ensin salata paikallisesti ja tallentaa ASCII-tekstimuotoon. Tämän voisi tehdä esimerkiksi GPG-työkalulla, tai periaatteessa jopa selaimessa client-side-JavaScriptillä, jos kyse on alkujaan tekstimuotoisesta datasta. Lopullinen salattu data liimattaisiin web-lomakkeelle ja lähetettäisiin POST-pyyntönä palvelimelle.

* * *

Kaikissa edellämainituissa tapauksissa TCP-yhteydet voisi tunneloida esimerkiksi botnetin satunnaisten IP-osoitteiden läpi, jolloin olisi käytännössä mahdotonta selvittää minne tiedosto lähetettiin ja mitä siinä oli sisällä. Logeissa näkyisi vain, että jotain satunnaista dataa postattiin johonkin satunnaiseen Internet-osoitteeseen.

Hienoin ratkaisu yhdistäisi tähän vielä steganografian siten, että postattava data näyttäisi jonkinlaiselta luonnolliselta hölynpölyltä. Se voisi olla esimerkiksi ripoteltu HTTP-pyyntöjen headereihin tai URLeihin siten, että liikenne näyttäisi tavalliselta webbisurffailulta, mutta pikku hiljaa pyyntöjen mukana menisi palasia yrityssalaisuudesta.

Jos Kimmo Sasi sattuu lukemaan tämän blogikirjoituksen, niin hän voisi ehkä kommentoida, ovatko nämä realistisia tapoja kiertää Lex Nokiaa yrityssalaisuuksien vuotamiseksi?