События вокруг спора между Apple и американскими госорганами в лице ФБР и минюста продолжают развиваться, но уже сейчас ясно, что они серьезно повлияют на развитие индустрии безопасности в части защиты личной информации.
На первый взгляд кажется, что сейчас активизировался спор за возможность влиять на развитие технологий: между, так сказать, технарями и гуманитариями политиками. Вроде бы первые руководствуются возможностью реализовать ту или иную функциональность в софте и железе, а вторые — необходимостью договариваться с различными заинтересованными сторонами.
На самом деле спорят не об этом. Технологии всегда развиваются независимо от того, согласны ли с этим окружающие или нет. Выводя свой спор с ФБР в общественное пространство, Apple борется за то, чтобы оставаться в авангарде этого самого технического развития. Иными словами, если Apple проиграет и реальная (а то и воображаемая!) защищенность устройств компании каким-то образом пострадает, это не значит, что за всеми нами обязательно будет следить Большой Брат. Это значит, что условный вымпел с надписью «Самый безопасный смартфон» перехватит какая-то другая компания. Впрочем, для нас с вами последствия проигрыша Apple будут немного другими.
Я все пропустил. Что вообще случилось-то?
2 декабря 2015 года в Сан-Бернардино, штат Калифорния, произошел теракт. Американский гражданин пакистанского происхождения вместе с сообщницей расстрелял своих коллег из окружного департамента здоровья. Нападавшим удалось скрыться, но их заблокировали в трех километрах от места преступления. В последовавшей перестрелке преступники были убиты.
В ходе расследования был обнаружен телефон преступника Apple iPhone 5c — корпоративный смартфон, официально принадлежащий работодателю. Предположительно Apple по запросу госорганов предоставила резервную копию данных с телефона из облачного сервиса с iCloud. Но в облаке была устаревшая копия данных, датированная 19 октября, после чего, опять же предположительно, владелец телефона отключил функцию резервного копирования.
Намерение ФБР получить абсолютно все данные со смартфона выразилось в судебном предписании к компании Apple (исходник выложила EFF), в котором довольно четко прописано, что компания должна сделать, чтобы помочь следствию. А именно: 1) отключить функцию, которая уничтожает данные на телефоне после десяти неправильных попыток ввода разблокировочного кода; 2) обеспечить возможность ввода этого самого кода электронным способом; 3) отключить задержку между попытками ввода.
Иными словами, ФБР хочет подобрать код перебором и требует от Apple обойти все встроенные ограничения, которые делают подбор невозможным. В материале The Intercept отмечают, что успех такого сценария зависит от длины пароля: на четырехзначный PIN-код уйдут секунды, на семизначный — до девяти дней, на десятизначный — 25 лет. Но это если Apple подчинится, а пока компания этого делать не хочет.
В обращении к клиентам компании CEO Apple Тим Кук заявил, что компания передала госорганам все данные, которые у нее имелись и которые могли помочь следствию. А «план по перебору» справедливо назвал бэкдором: «Правительство США попросило нас дать то, чего у нас попросту нет, и сделать то, что мы считаем слишком опасным».
Факты на этом закончились, дальше началось бурное обсуждение. Предлагаем вам разобраться, о чем же все-таки все говорят, в формате вопросов и ответов.
Чем обосновано требование к Apple с точки зрения законодательства США?
Очень интересный вопрос, спасибо. Требование основано на акте 1789 года, известном как All Writs Act. Он входит в состав закона, который, собственно, и создал всю судебную систему США после подписания Джорджем Вашингтоном, первым президентом страны.
В общем, это произошло еще в те времена, когда Калифорния, где через двести с лишним лет будет находиться штаб-квартира Apple и произойдет упомянутый теракт, вместе с Мексикой являлась колонией Испании и в состав США не входила. Если предельно все упростить, акт оставлял лазейку для несовершенной законодательной системы молодого американского государства: давал судам свободу принимать необходимые решения, не ссылаясь на уже принятые законы.
В детальном обзоре законодательной части этой истории Gizmodo приводит судебную практику с применением данного акта. Сейчас, когда с законодательством вроде проблем нет, All Writs Act задействуется нечасто, но регулярно. Например, в 1977 году телекоммуникационную компанию обязали помочь отследить переговоры криминальной банды, занимавшейся рэкетом.
Что будет, если средства, которыми пользуются спецслужбы для взлома и шантажа, попадут в чужие руки: http://t.co/8qDXX7qmbD #ничегохорошего
— Kaspersky (@Kaspersky_ru) October 9, 2014
То есть получается, что древний закон применяется потому, что правила взлома смартфонов нигде больше не прописаны. Если Конгресс США не озаботился приведением такой практики в порядок, то суду приходится использовать вот такие вот шорткаты. В материале Gizmodo приводится и редкий случай, когда судья отказался применять данный акт, поставив справедливый вопрос (правда, по другому делу и другому поводу): законодательной базы нет потому, что Конгресс не успел ее создать, — или потому, что не захотел?
Почему ФБР просит Apple взломать iPhone, а не делает это самостоятельно?
Очевидно, потому, что самостоятельно федералы этого сделать не могут. Вся ситуация говорит о том, что методы защиты информации, внедренные Apple, работают. Есть еще один нюанс, который всплыл буквально вчера. Apple организовала конференц-звонок с журналистами на каких-то невиданных ранее условиях. Представители компании поделились своим видением проблемы, при этом журналистам было запрещено их цитировать дословно! Более того, даже имена представителей компании не были раскрыты.
Оказывается ФБР сама залочила телефон террориста, а теперь требует от Apple всё исправить https://t.co/sb6mVjH8EB Я СДЕЛЯЛЬ
— Republic Politics (@Repub_politics) February 20, 2016
По мнению анонимных сотрудников Apple, ФБР выстрелило себе в ногу, случайно сбросив пароль к учетной записи iCloud, к которой был привязан смартфон. Если бы этого не произошло, телефон, будучи включенным, но все еще заблокированным, сам бы синхронизировался с iCloud, откуда данные предположительно можно было бы добыть с помощью компании. После сброса такая возможность была упущена: пароль на телефоне неправильный, а какой правильный — никто не знает и узнать не может.
Каковы вообще позиции сторон?
Apple озвучила свою позицию 16 февраля: предложенное решение эквивалентно созданию бэкдора, это ставит в опасность всех наших клиентов, мы этого делать не хотим. Причем заявление было сделано в публичном поле. Представители государства ответили 19 февраля, и не публично, а в виде заявления в суд по данному делу. По мнению представителей департамента юстиции, Apple имеет техническую возможность реализации системы перебора паролей, но не желает подчиняться, отдавая предпочтение не закону, а «маркетинговой стратегии». «Не желает подчиняться» в данном случае может иметь прямые юридические последствия в суде и звучит как угроза.
А Apple вообще может обойти систему защиты?
Неизвестно. Заявление Тима Кука четкого ответа на этот вопрос не содержит: «это опасно», «они просят то, чего у нас нет», и так далее. Понятно, что Apple, как разработчик и софта, и железа для айфонов, может многое. Главный вопрос — будет ли компания подчиняться?
По мнению оппонентов Apple, опасности особой нет. В судебном заявлении прямо прописано, что компания может привязать этот грязный хак к единственному телефону, более того, она не обязана передавать изготовленный для перебора паролей софт государству. С другой стороны, даже знание о том, что Apple смогла реализовать подобный сценарий, теоретически может дать государству или злоумышленникам возможность создать собственный бэкдор. Естественно, восприятие защищенности смартфонов Apple пострадает, если компания подчинится. Все будут знать, что в случае чего государство до ваших данных доберется.
Apple говорит, что лишила себя и государство доступа к нашим данным, но на самом деле это не совсем так: http://t.co/xnSYxUH7uj
— Kaspersky (@Kaspersky_ru) September 23, 2014
Так что история действительно важная. Она проходит на фоне общего обсуждения о том, где находится баланс между защитой личных данных и интересами государства, в том числе при расследовании преступлений, актов террора и так далее. Вот показательная новость от декабря прошлого года: ФБР (и не только) утверждает, что бэкдоры к системам шифрования — это нормально, если доступ к ним имеют только специально обученные люди по решению суда. Специалисты по защите данных, естественно, не согласны: бэкдорами может воспользоваться кто угодно. Спор между Apple и ФБР в таком контексте становится показательным кейсом: его исход может серьезно повлиять на безопасность устройств, которые все мы используем. Запасаемся попкорном.
Проигрыш Apple не будет означать, что сильная криптография окажется недоступной или под запретом. Просто она станет менее распространенной, а в дальнейшем развитии технологий защиты данных такие компании, как Apple, Google, Facebook, Twitter (последние три поддержали Apple в споре), будут играть меньшую роль. А им, понятно, хотелось бы этого избежать.
Из рубрики "Джобс бы уже всех уволил": Apple не смогла исправить обход парольной защиты в обновлении iOS 9 — https://t.co/kG6eTLdqqU
— Kaspersky (@Kaspersky_ru) September 29, 2015
Вишенка на тортике: Джон Макафи вызвался взломать айфон бесплатно, за три недели, используя «преимущественно методы социальной инженерии». Интернет задается вопросом, как именно Макафи собирается применять методы социальной инженерии к владельцу телефона, застреленному три месяца назад.
Ломать или не ломать?
Мы в «Лаборатории Касперского» считаем противопоставление безопасности и приватности большой ошибкой. В том, что касается электронных коммуникаций, безопасность и приватность — это одно и то же, поскольку достигаются они одним и тем же способом: надежным шифрованием.
Обоюдоострый золотой ключ, или почему не стоит нарушать конфиденциальность ради безопасности https://t.co/rZ2hxaz8dn by @symsymsym
— Евгений Касперский (@e_kaspersky_ru) November 25, 2015
Шифрование — это математика, а не магия. Его невозможно ослабить эксклюзивно для определенной группы лиц: рано или поздно (и скорее рано) слабое место найдут и другие люди, в том числе очень, очень нехорошие.
В целом все меры, угрожающие приватности, ставят под удар в первую очередь шифрование, а тем самым — безопасность данных и коммуникаций. И последствия могут быть самыми неприятными.