fbpx

Каталог статей

Каталог статей для размещения статей информационного характера

Мобільні телефони та гаджети

Новий законопроект змусить компанії розміщувати в пристроях бекдор для підриву власного шифрування

Новий законопроект змусить компанії розміщувати в пристроях бекдор для підриву власного шифрування

Уряд хоче отримувати доступ до інформації з цифрових пристроїв у надзвичайних ситуаціях та під час судових розслідувань. Зараз він не може цього зробити, тому що деякі сервіси (наприклад, WhatsApp) і деякі пристрої (наприклад, iPhone) зашифровані.

У той час як терористи, можливо, все ще користуються одноразовими телефонами, правоохоронці мають у своєму розпорядженні переважну кількість пристроїв, задіяних у кримінальних розслідуваннях, до яких вони не можуть отримати доступ через шифрування. Природно, що слідчі звернулися за допомогою до виробників пристроїв і програмного забезпечення, і вони вже давно просять про допомогу в зломі цих пристроїв.

Але після того, як у 2013 році Едвард Сноуден оприлюднив дані стеження АНБ, довіра людей до уряду похитнулася. Такі компанії, як Apple і Google, почали включати шифрування пристроїв за замовчуванням у своїх смартфонах. Розробники додатків, такі як люди, що стоять за WhatsApp, також додали шифрування до своїх продуктів. Хоча уряд не був у захваті від рішення компаній, дебати про шифрування здебільшого залишалися прихованими від очей громадськості. До того часу, поки один конкретний випадок не виніс її на широкий загал.

  • Позов про клавіатуру-метелика в MacBook: чи маєте ви право на виплату?
  • Як користуватися новою функцією спільнот в Microsoft Teams
  • Не слухайте мільярдерів на кшталт Ілона Маска – магазини додатків – це фантастика

У грудні 2015 року стрілець на ім’я Саїд Фарук разом зі своєю дружиною відкрив вогонь по співробітниках округу Сан-Бернардіно на святковому заході, вбивши 14 осіб. Вважається, що пара, яка загинула в перестрілці з поліцією, має зв’язки з “Ісламською державою”, але все, що вони залишили після себе – це зашифрований iPhone 5C, який належав округу Сан-Бернардіно.

Спочатку Apple допомагала ФБР у розслідуванні, але потім бюро обрушило на купертінівців судовий припис, який зобов’язував їх створити спеціалізований код, який би відкривав чорний хід в iPhone. Apple, побоюючись, що код потрапить в чужі руки, відмовилася його виконувати. Компанія стверджувала, що надання правоохоронним органам ключа шифрування поставить під загрозу безпеку даних її клієнтів та їхнє приватне життя. Після місячної судової тяганини ФБР припинило справу, після того, як йому вдалося отримати доступ до iPhone за допомогою платних професійних хакерів “сірих капелюхів”.

Якби Apple пішла назустріч, ФБР потенційно могло б використовувати код “GovtOS” для розблокування будь-якого iPhone, який був у її розпорядженні. Якби Apple була змушена передати свій вихідний код – це означало б, що уряд міг би встановити оновлення на всі iPhone і продовжувати стверджувати, що воно походить від Apple. Тоді уряд міг би отримати доступ до кожного аспекту вашого телефону, від камери до мікрофону.

“Є багато речей, які ми хочемо приховати від інших людей”.

У поганих руках ключ шифрування зробив би для кіберзлочинців дуже простим завданням заволодіти будь-чиїм iPhone і отримати доступ до фотографій, текстів, електронних листів і всього іншого, що ви зберігаєте на своєму телефоні. Люди можуть сказати, що їм нічого приховувати, бо вони не роблять нічого поганого – але хтось завжди може знайти дані, що зберігаються у вашому смартфоні, щоб використати їх у своїх цілях.

Але для декого не менш тривожним є те, що уряд має можливість стежити за всім, що ви робите. Як сказав Гленн Грінвальд, “є багато речей, які ми хочемо приховати від інших людей – які ми розповідаємо нашому психіатру, нашому адвокату, нашому лікарю, нашому чоловікові або незнайомцю в Інтернеті – і які не мають нічого спільного зі злочинністю”.

Були численні заклики до Конгресу зайняти позицію і почати розмову для вирішення проблеми шифрування, і нарешті проект антишифрувального законопроекту, який отримав назву “Закон про дотримання судових наказів 2016 року”, був офіційно оприлюднений. Він майже такий самий, як і той, що просочився в мережу тиждень тому.

Законопроект, внесений сенатором Річардом Берром (штат Північна Кароліна) і сенатором Діаною Файнштейн (штат Каліфорнія), змусить компанії виконувати судові накази, що вимагають доступу до їхніх пристроїв або послуг.

Інший законопроект, підтриманий головою Комітету з питань внутрішньої безпеки Палати представників Майклом Макколом, республіканцем від Техасу, та сенатором Марком Уорнером, штат Вірджинія, передбачає створення “національної комісії”, яка б вивчала питання шифрування в рамках кримінальних розслідувань.

Але законопроект Файнштейна-Берра має на меті вжити заходів. Ось все, що Вам потрібно знати про нього.

Що таке Закон про виконання судових рішень 2016 року?

Законопроект, що має офіційну назву “Закон про виконання судових рішень 2016 року”, був представлений 13 квітня як проект для обговорення – це означає, що його формулювання можуть бути змінені. Перший крок – відкрити обговорення, щоб отримати зворотній зв’язок, повідомив Digital Trends Том Ментцер, прес-секретар Файнштейна.

Його мова проста – ніхто не стоїть над законом. Хоча в законопроекті сказано, що компанії, які пропонують комунікаційні послуги та продукти, повинні захищати конфіденційність своїх клієнтів, в ньому також сказано, що компанії повинні виконувати судові накази, як того вимагає закон. Іншими словами, ви можете запропонувати шифрування, але ви також повинні мати ключ, щоб зламати це шифрування, коли правоохоронні органи потребують доступу до пристрою підозрюваного.

“Для підтримки верховенства права та захисту інтересів і безпеки Сполучених Штатів всі особи, які отримують санкціонований судовий ордер на інформацію або дані, повинні своєчасно надавати відповідну, зрозумілу інформацію або дані, або відповідну технічну допомогу для отримання такої інформації або даних”, – йдеться в обговорюваному проекті.

Якщо перекласти юридичною мовою, то залишається ось що: Компанії, яким наказано надати інформацію або дані, повинні робити те, що наказують суди та правоохоронні органи. Якщо ваша послуга чи продукт зашифровані, розшифруйте їх і надайте дані у розбірливому вигляді. Але уряд також хоче переконатися, що майбутні продукти дозволять легко отримати доступ до даних користувачів.

“Провайдер або служба віддалених обчислень або служба електронних комунікацій для громадськості, яка поширює ліцензії на продукти, послуги, додатки або програмне забезпечення охопленої особи або нею, повинна забезпечити, щоб будь-які такі продукти, послуги, додатки або програмне забезпечення, що поширюються такою особою, могли відповідати вимогам підрозділу (а)”, – йдеться в проекті.

Уряд хоче, щоб дистриб’ютори ліцензій на програмне та апаратне забезпечення переконалися, що нові послуги та продукти можуть легко пропонувати доступ до зашифрованих даних у “зрозумілому” форматі.

Але якщо дані зашифровані, як компанії можуть зробити їх легкодоступними?

Більшу частину часу дані зашифровані, і доступ до них взагалі неможливий – саме тому Apple назвала “тягарем” те, що команда інженерів присвятила час створенню спеціалізованого програмного забезпечення, яке могло б запропонувати ФБР “чорний хід” у справі Сан-Бернардіно. Всі дані iPhone зашифровані, і Apple не може отримати доступ до них без спеціального інструменту, який ФБР хоче створити. Проблема в тому, що такого інструменту ще не існує.

Створення коду для зламу власного шифрування суперечить меті надання зашифрованих послуг.

Якщо компанія не може отримати доступ до запитуваної інформації через шифрування, уряд все одно буде очікувати “технічної допомоги”, тобто від такої компанії, як Apple, очікується створення спеціального коду для обходу власного шифрування.

Кінцева мета полягає в тому, щоб компанія “досягла мети судового рішення”, незалежно від того, скільки для цього знадобиться робочої сили та ресурсів. Це може бути досить складно для малих підприємств, яким потрібно перенаправляти ці ресурси в інше русло. Але, можливо, більш важливим є те, що створення нового коду для зламу власного шифрування перекреслює саму мету надання зашифрованих послуг, оскільки це дає уряду легкий доступ до ваших даних.

Законопроект говорить, що компанії не зобов’язані змінювати свої продукти

Відповідно до законопроекту, уряд може попросити компанію зробити все необхідне, щоб зламати шифрування і надати запитувані дані, але уряд не просить компанію змінювати свій продукт або послугу.

“Ніщо в цьому Законі не може тлумачитися як таке, що уповноважує будь-якого державного службовця вимагати або забороняти будь-яку конкретну конструкцію або операційну систему, яка повинна бути прийнята будь-яким суб’єктом господарювання”, – йдеться в проекті.

Але це досить заплутане положення, оскільки вся суть цього законопроекту полягає в тому, щоб змусити технологічні компанії змінити свої зашифровані послуги шляхом надання ключа або бекдору – що саме по собі змушує компанію змінити дизайн свого продукту або послуги.

Якщо єдиним продуктом компанії є продаж зашифрованих послуг, таких як, наприклад, зашифрована електронна пошта, то з прийняттям цього законопроекту вся її бізнес-модель стає спірною, оскільки вона не може гарантувати, що ніхто не шпигує за вашими електронними листами.

Уряд платитиме компаніям за дешифрування сервісів та пристроїв

Apple стверджувала, що створення спеціального програмного забезпечення для ФБР для розблокування iPhone, який був заблокований у справі Сан-Бернардіно, покладе “тягар” на її інженерів. Менші компанії також заявили, що у них немає грошей або ресурсів для виконання запитів уряду. Законопроект Файнштейна-Берра хоче покрити витрати, понесені на допомогу слідчим, шляхом надання компенсації за допомогу компанії.

“Суб’єкт господарювання, який отримує постанову суду … та надає технічну допомогу … отримує компенсацію за такі витрати, які є обґрунтовано необхідними і які були безпосередньо понесені при наданні такої технічної допомоги або таких даних у зрозумілому форматі”, – йдеться у проекті.

Законопроект не визначає суму та не встановлює орієнтирів щодо того, скільки компенсації отримають компанії. Хоча грошова компенсація може бути привабливою для деяких малих підприємств, компанії ризикують втратити довіру своїх клієнтів, передаючи дані користувачів державі.

Що робити, якщо компанія відмовляється виконувати вимоги?

В обговорюваному проекті також відсутня будь-яка згадка про покарання за те, що станеться, якщо компанія, як Apple у справі Сан-Бернардіно, відмовиться допомагати правоохоронним органам у доступі до зашифрованих даних. Формулювання законопроекту відрізняється від каліфорнійського законопроекту про боротьбу з шифруванням, який щойно був відхилений, та нью-йоркського законопроекту, який передбачав штрафи у розмірі 2,500 доларів США для компаній, які відмовляться співпрацювати з правоохоронцями.

“Штрафи будуть призначатися судами. Судді мають широку свободу дій щодо покарань за неповагу до суду”.

За словами пана Менцера, суди визначатимуть розмір штрафів.

“Покарання будуть визначатися судами”, – сказав він. “Судді мають широкі повноваження щодо покарань за неповагу до суду”.

Таким чином, покарання, з яким зіткнеться компанія, якщо вона відмовиться допомагати уряду, буде визначатися в кожному конкретному випадку.

Сильна негативна реакція

Під час розгляду справи Apple проти ФБР технологічні компанії, приватні особи та юридичні експерти об’єдналися, щоб боротися з урядом, який вимагав від Apple створити “чорний хід” і підірвати власне шифрування. Цілком ймовірно, що ми знову побачимо подібну реакцію, якщо законопроект Файнштейна-Берра про шифрування буде просуватися далі. З моменту витоку минулого тижня юридичні та технічні експерти виступили рішуче проти нього.

“Хорошою паралеллю до цього було б притягнення виробника транспортного засобу до відповідальності за клієнта, який в’їхав у натовп”, – заявив минулого тижня експерт-криміналіст Джонатан Здзярський у відповідь на витік проекту закону. “Тільки все набагато гірше: запропонований законопроект дозволить притягнути до відповідальності виробника шин, а також вчених, які винайшли ці шини”.

Ладар Левісон, засновник сервісу захищеної електронної пошти Lavabit, вважає, що сенатору Файнштейну та авторам законопроекту не варто намагатися заборонити шифрування. Левісон закрив свій поштовий сервіс після того, як виконав постанову суду ФБР і надав приватні SSL-ключі до своєї поштової мережі. ФБР хотіло отримати доступ для шпигунства за викривачем АНБ Едвардом Сноуденом, який у той час користувався зашифрованим сервісом електронної пошти.

“Пройшло багато часу з тих пір, як Google зробив свою домашню сторінку чорною [на знак протесту]”, – сказав Левісон в інтерв’ю Digital Trends. “Можливо, Файнштейн пропустила колірну схему, і законопроект, який вона представила, насправді є лише її секретним планом, розробленим для того, щоб домогтися її повернення”.

Його коментар відноситься до того, коли Google влаштував відключення електроенергії разом з кількома великими технологічними компаніями і зробив свій логотип чорним на знак протесту проти Закону про припинення конфіденційності в Інтернеті та Закону про захист інтелектуальної власності. Багато хто вважав, що SOPA та PIPA матимуть згубні наслідки для свободи слова та підприємництва, пов’язаного з Інтернетом.

Законопроект Файнштейна-Берра проти шифрування змінив би визначення зашифрованого пристрою на щось, що може бути зламане, коли уряд цього забажає. Компанії не матимуть права голосу в цьому питанні, і вони будуть поставлені перед неможливим вибором: Або бути оштрафованими урядом за відмову дотримуватися вимог, або втратити довіру споживачів, порушивши свою обіцянку щодо безпечного шифрування.

Нещодавно в Інтернеті було опубліковано відкритий лист, підписаний Асоціацією реформаторського урядового нагляду, Асоціацією комп’ютерної та комунікаційної індустрії, Коаліцією інтернет-інфраструктури (I2C) та Асоціацією розважального програмного забезпечення. Як повідомляє Apple Insider, ці групи представляють такі компанії, як Apple, Amazon, Microsoft і Google. Уривок з листа: “Ми пишемо, щоб висловити нашу глибоку стурбованість з приводу благих намірів, але в кінцевому підсумку нездійсненної політики щодо шифрування, яка послабить ті самі засоби захисту, які нам потрібні, щоб захистити нас від людей, які хочуть заподіяти економічну і фізичну шкоду”.

Група заявляє, що вони розробляють шифрування для захисту від уряду, а також кримінальних елементів. Якщо компанії будуть змушені дотримуватися цього закону і надавати доступ уряду, вони також можуть створити вразливості, які можуть бути використані тими, хто прагне завдати шкоди. Група визнає, що необхідно зберігати пильність щодо злочинності і тероризму, але повинен бути баланс, і вона “готова і бажає брати участь в діалозі про те, як досягти цього балансу”.

Звичайно, ми очікуємо, що технологічні компанії будуть агресивно боротися з цим законопроектом в найближчі місяці, і важливо відзначити, що адміністрація Обами заявила, що, швидше за все, не буде підтримувати будь-яке антишифрувальне законодавство. Ми будемо уважно стежити за розвитком подій.

Рекомендації редакції

  • У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ в iCloud
  • Супутниковий зв’язок в iPhone 14: як це працює, скільки коштує та інше
  • Чому позов проти AirTags від Apple може бути більшим, ніж ви думаєте
  • Втома від підписки на додатки швидко руйнує мій смартфон
  • Ваш iPhone може збирати більше персональних даних, ніж ви думаєте

Source: digitaltrends.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *