Мастер-ключ. Как шифрование данных служит активистам, преступникам, правительствам и обычным людям

Фичер

Phantom Secure и телефоны для наркомафии, тоска ФБР по универсальному ключу, продавцы шпионского ПО в Бахрейн, аргументы из Исландии – разбираем главные конфликты современного шифрования.

31 октября 2018 г.

Наркокурьер доставил пакет в условленное место. Он шлет сообщение наркодилеру, который подтверждает, что платеж в биткойнах переведен на электронный счет. Курьер оставляет товар на «точке». Тот, кто затем забирает пакет, информирует обоих — тоже текстовым сообщением — что всё прошло по плану.

В это время полицейские, которые «ведут» наркодельцов, пытаются перехватывать их сообщения, но на экране появляется лишь бессмысленный набор букв и цифр.

Теперь спроецируем ситуацию в большем масштабе: правоохранители трех стран годами пытаются ликвидировать наркосиндикат, оперирующий миллионами долларов. Избежать встречи с силовиками наркомафии помогала канадская телеком-компания Phantom Secure — она снабдила их телефонами с особым программным обеспечением (ПО), которое обходит полицейские ловушки.

Компания усовершенствовала телефоны BlackBerry так, чтобы вызовы направлялись через серверы лишь в тех странах, где правоохранители не рвутся помогать зарубежным коллегам — например, в Панаме или Гонконге.

Как позднее стало известно из дела Phantom Secure, ее «пользовательская база» была строго ограничена: купить телефон мог только тот, кого рекомендовал существующий клиент. При этом компания могла удаленно деактивировать любой из своих телефонов при подозрении, что он нарушал «целостность системы», например, попадал в руки информатора полиции.

Такое хитроумное ПО очевидно помогает международной организованной преступности. И правоохранительные органы весьма логично хотят запретить или как минимум контролировать его.

Но Phantom Secure всего лишь использовала программы, доступные бесплатно в интернете.

Технология VPN (Virtual Private Network — «виртуальная частная сеть») направляет сообщения получателю, перекидывая их по непредсказуемому маршруту по серверам в разных странах. Местоположение и данные отправителя при этом надежно маскируются.

Программа кодировки PGP, изначально придуманная для защиты частной сферы пользователей, переводит сообщение отправителя в «абракадабру» символов, и лишь нужный адресат на своем устройстве может превратить содержание в читабельный текст.

Метод этот называется сквозным шифрованием. Именно он позволяет безопасно покупать в интернете и пользоваться онлайн-банкингом даже тем, кто об этом методе и не слышал.

Активисты и журналисты-расследователи тоже не могут обойтись без кодировки сообщений. Технология оберегает тех, кто живет в странах с репрессивным режимом, где за гражданами шпионят, сажают в тюрьму за критику власти, или просто убивают инакомыслящих.

Получается, что эти продвинутые технологии также повышают безопасность, развивают торговлю и демократию… И как сделать так, чтобы они не могли служить бандитам?

Найти верный баланс

«Мы видим, что криминалитет во всех преступных сферах и на всех уровнях иерархии использует в коммуникации шифрование», — отметило Национальное управление по борьбе с преступностью Великобритании в докладе 2018 года об оценке оргпреступности и рисков тяжких преступлений.

«Встраивание функции шифрования в устройства массового выпуска будет идти еще активнее и даст преступникам бо́льшую защиту по определению, без необходимости менять начинку устройства», — предупреждает доклад.

В 2017 году глава британского правительства Тереза Мэй и ее предшественник Дэвид Кэмерон призывали запретить все устройства, которые используют сквозное шифрование.

Бывшая руководитель МВД Великобритании Эмбер Радд в свое время также рекомендовала технологическим компаниям отказаться от этой функции.

«Мне не нужно разбираться в тонкостях шифрования, чтобы понять: оно помогает преступникам», — как-то сказала Радд.

Ответственные лица в США проявляют не меньшее беспокойство по поводу доступности технологий кодировки.

В мае 2017 года экс-директор ФБР Джеймс Коми заявил в Юридическом комитете сената США, что подозреваемые в преступлениях все чаще используют шифрование. Из шести тысяч сотовых телефонов, конфискованных ФБР с октября 2016-го по апрель 2017 года, почти половина имели программу кодировки, и следователи не могли проверить их содержимое.

«Это означает, что половину устройств, изъятых по делам о терроризме, делам, связанным с контрразведкой, оргпреступностью, детской порнографией, нельзя открыть никакими средствами, — посетовал Коми. — Это серьезная проблема».

После бойни со стрельбой в калифорнийском Сан-Бернардино в 2015 году, когда погибло 14 человек, ФБР несколько раз просило Apple предоставить доступ к заблокированным iPhone убийцы.

В Apple ответили отказом, заявив, что для компании личная сфера пользователей превыше всего.

После этого ФБР попыталось заставить Apple создать «общий ключ», с помощью которого следователи могли бы заглядывать в закодированные телефоны и компьютеры обвиняемых.

Технологический гигант вновь не пошел на уступки, сославшись на Конституцию США.

Дело не в том, что технологические компании не видят здесь проблемы, как сказал в интервью телеканалу MSNBC глава Apple Тим Кук. «Понятно, что с точки зрения правоохранителей вопрос очень болезненный», — признал он. Однако, по словам Кука, ФБР просит ПО — по сути, «мастер-ключ», которое потенциально может быть опасным в случае, если его украдут или будут им злоупотреблять.

«Нельзя никого заставлять написать программу, которая навредит цивилизации», — добавил он.

Как только «мастер-ключ» появится, любой, к кому он попадет в руки, фактически обеспечит себе неограниченный доступ высшего уровня в сферы государственной безопасности. Ни одно правительство и ни одна компания не могут гарантировать того, что некая третья сторона со злыми намерениями не получит такого доступа.

Активисты, отстаивающие неприкосновенность личной сферы, согласны с этим. Сквозное шифрование отвечает оправданным ожиданиям граждан иметь такую неприкосновенность, а лазейка в виде «мастер-ключа» даст любому возможность неограниченно долго следить за всеми, к чьим устройствам у него будет доступ.

В своей недавней книге «Верность высшего порядка» (A Higher Loyalty) Коми признаёт, что сложно найти баланс между защитой частной жизни и интересами правоохранительной системы. При этом он сделал акцент на том, что, по его мнению, технологические компании не осознают всей остроты проблемы.

«Ребята из Кремниевой долины не замечают «темной стороны». Они пребывают там, где всегда солнце, все умны и богаты», — пишет он в своей книге.

Когда ключи в руке Большого Брата

А что насчет репрессивных режимов?

В эпоху кибершпионажа, когда принимаются драконовские законы о слежке за гражданами, а оборонщики продают шпионское ПО режимам с сомнительной репутацией, право на тайну — это не только прятать историю браузера. Это еще и вопрос защиты тех, кто, сильно рискуя безопасностью, вскрывает грязные дела олигархов, диктаторов и преступных сообществ.

Как показали утечки данных, компании Евросоюза Gamma Group и HackingTeam мало смущает «послужной список» покупателей: они продавали высокотехнологичную технику для электронной слежки Бахрейну, Египту, Казахстану, Судану и Туркменистану — а у этих стран вовсе не блестящая история по части прав человека как в обычной жизни, так и в цифровой сфере.

Невероятно мощные политические и экономические рычаги поддерживают многомиллиардную индустрию коммерческого шпионского ПО, в которой процветают такие компании.

Однако, когда граждане подают в суд на правительства за вторжение в их частную жизнь, Фемида не дает однозначного ответа.

В 2017 году правозащитный аналитический центр в Торонто Citizen Lab в отчете рассказал о том, как американский гражданин — уроженец Эфиопии попытался дать отпор посягавшим на неприкосновенность его частной жизни. В Федеральный суд США он подал иск к властям Эфиопии, когда выяснил, что они незаконно следили за ним с помощью шпионского оборудования израильского производства.

В итоге американский суд постановил, что США не обладают правом определять, имело место преступление или нет.

Как гражданам защитить себя?

Только через использование шифрования, считают эксперты.

«Идея запретить шифрование не выдерживает критики», — говорит эксперт по кибербезопасности, депутат парламента Исландии Смари Маккарти. Он уверен, что от запрета выиграет лишь криминалитет и властные режимы.

Кроме того, здесь встают более глубокие правовые вопросы, как замечает Маккарти, ранее работавший в OCCRP. «Запрет шифрования равносилен отмене требования иметь ордер суда, потому что власти — а по сути, любой — тогда смогут не только отслеживать общение граждан — у них будет весьма сильное искушение заниматься этим», — предупреждает он.

«Это искушение можно наблюдать уже сегодня, что доказывают масштабные незаконные меры слежки, которые практикует Великобритания, США и другие страны», — добавляет Маккарти.

С этим согласен Рафаэль Вино, специалист по информационной безопасности из люксембургского Центра реагирования на компьютерные инциденты — правительственной инициативы по обеспечению цифровой безопасности.

Уголовное преследование за шифрование вряд ли станет препятствием для преступников, которым нет дела до того, законно что-то или нет.

«Преступники не подчиняется закону, для них вообще ничего не изменится. А вот журналистам запрет на шифрование точно навредит», — сказал эксперт в беседе с OCCRP. Он поставит их и гражданских активистов перед тяжелейшим выбором: быть в безопасности или быть законопослушными.

Создатель программы PGP Филип Циммерман так резюмировал это отношение на своем сайте: «Если конфиденциальность окажется вне закона, только те, кто сами вне закона, будут иметь эту самую конфиденциальность».

После громких протестов против планов британских регуляторов и желания ФБР получить «мастер-ключ» в обеих странах власти сняли свои требования. Но вопросы так и остались нерешенными.

Пока что правоохранители действуют по старинке, пытаясь справиться со все более искусными методами преступников.

В деле стрелка из Сан-Бернардино ФБР в итоге истратило 900 тысяч долларов на взлом его iPhone 5 стоимостью 350 долларов. А в расследовании в отношении Phantom Secure Бюро пришлось положиться на информаторов, чтобы собрать улики, достаточные для ареста владельца компании Винсента Рамоса.

В начале октября Рамос признал, что руководил преступным бизнесом, который помог продать героин, метамфетамин и не менее 450 килограммов кокаина за счет передачи драгдилерам устройств с зашифрованными каналами связи, чтобы они не попались силовикам.

Как сообщил американский Минюст, Рамос согласился уплатить штраф в 80 миллионов долларов, а также отдать государству еще десятки миллионов с банковских счетов, дома, свой «ламборгини», криптовалютные счета и золотые монеты.

Признание Рамоса — «серьезный удар по транснациональной оргпреступности», — указал в заявлении ведомства спецагент регионального управления ФБР по Сан-Диего Джон Браун.

«ФБР и наши партнеры из правоохранительных структур других стран наглядно показали: нас не собьют с толку те, кто злонамеренно использует шифрование, чтобы содействовать криминальным структурам и помогать преступникам уходить от ответственности», — заявил спецагент.