Apple не намерена создавать инструмент для взлома смартфонов по приказу ФБР
Вопрос о вмешательстве властей в частную жизнь граждан встал особенно остро после того, как ФБР потребовало от Apple создать инструмент для взлома смартфонов. По мнению генерального директора Apple Тима Кука, это поставит под угрозу пользователей продукции компании по всему миру. Банки.ру разбирался, с чего все началось и к чему может привести.
С чего все началось
2 декабря прошлого года в городе Сан-Бернардино произошла трагедия — несколько вооруженных людей открыли стрельбу в здании центра для людей с ограниченными возможностями. Погибло 16 человек и 22 получили ранения. Террористы были убиты в перестрелке. У одного из них, Саида Ризвана Фарука, был обнаружен iPhone 5c. ФБР предполагает, что в смартфоне может содержаться важная для расследования информация.
Что пошло не так
Так в чем же дело? Чтобы ответить на этот вопрос, стоит разобраться, как действует защита смартфонов Apple. Дело в том, что данные, хранящиеся на iPhone, надежно шифруются. Без ввода пароля получить доступ к данным невозможно. При этом в целях безопасности пароль хранится не на удаленном сервере, а в самом iPhone. Чтобы исключить возможность подбора пароля с помощью перебора, разработчики предусмотрели механизмы защиты: после десяти попыток ввода неверного пароля ключи шифрования могут быть полностью удалены. После этого получить доступ к информации, хранящейся на устройстве, будет невозможно.
Выход из ситуации — получение резервной копии данных смартфона из облачного хранилища iCloud. Но ФБР столкнулось с проблемой: последняя синхронизация с «облаком» состоялась за полтора месяца до инцидента. И здесь случилось то, что по-русски принято характеризовать словом «раздолбайство». Смартфон Фаруку выдал его работодатель — департамент здравоохранения Сан-Бернардино. Однако почему-то в гаджете не была заблокирована функция смены кода доступа к устройству, чем и воспользовался террорист.
По запросу ФБР работодатель — фактический владелец iPhone — осуществил сброс пароля Apple ID. Если до этого и существовала призрачная надежда на то, что смартфон сможет синхронизировать данные, оказавшись в «знакомой» сети Wi-Fi, после этих манипуляций она улетучилась.
Что требуют от Apple
Не имея возможности получить доступ к данным, правительство затребовало у Apple инструмент, с помощью которого можно взломать зашифрованное устройство и обойти систему защиты от перебора паролей. В ответ на отказ компании ФБР обратилось в суд.
О том, как может работать такое программное обеспечение и зачем оно понадобилось, порталу Банки.ру рассказал заместитель руководителя лаборатории Group-IB по компьютерной криминалистике Сергей Никитин:
«Смартфон может обновлять свою операционную систему, но после загрузки нового образа (операционной системы. — Прим. ред.) он проверяет корректность цифровой подписи, из-за чего подсунуть ему поддельное ПО нельзя.
ФБР просит сделать такую прошивку, которая пройдет проверку подписи на одном конкретном смартфоне и в которой будут отключены возможности удаления ключей шифрования и установки задержки — и будет возможно перебирать пароли неограниченно, с использованием любого интерфейса, например автоматизированно. Причем эта измененная прошивка должна загружаться только в оперативную память устройства и никак не будет менять данные на самом смартфоне. Без помощи компании ФБР вышеописанные действия произвести не может — только Apple может подписывать прошивки, чтобы они прошли проверку на подлинность на смартфоне».
Утечет или не утечет
Надо сказать, что ФБР не настаивает на передаче модифицированной прошивки органам государственной власти и предлагает провести все манипуляции со смартфоном «внутри» Apple. Возникает вопрос: почему же компания так отчаянно сопротивляется? По мнению Никитина, руководство Apple переживает не за конкретный смартфон, а за то, что компанию обяжут изменить систему защиты всех будущих гаджетов. Угрозы для остальных пользователей нет.
Для Apple предоставление данных, хранящихся в смартфонах пользователей, не является чем-то экстраординарным, считает директор Digital Security Ильи Медведовский: «Сегодня даже неспециалистам ясно, что американские спецслужбы (прежде всего Агентство национальной безопасности) контролируют американских вендоров. Также совершенно очевидно, что такие вопросы не принято выносить на суд общественности и они обычно решаются в кулуарах. Стоит отметить, что в этой истории речь идет только о ФБР, а не об АНБ. А это, как говорится, «две большие разницы»: в этой области АНБ на порядки превосходит ФБР и совершенно точно ни с кем не делится своим разработками. Кроме того, не секрет, что с 2008 года Apple более 70 раз удовлетворила подобные запросы федеральных властей по аналогичным частным случаям». Надо сказать, что речь идет лишь о предоставлении доступа к данным, но не о создании «бэкдора».
Реакция Тима Кука на требования ФБР, по мнению Медведовского, вполне понятна: в данной ситуации публично отреагировать по-другому он просто не мог — любой другой ответ означал бы дискредитацию не только Apple, но и других американских производителей. Но, как отмечает эксперт, «если доверие к ним и было, оно давно и окончательно подорвано».
Создание прецедента
Дело осложняется тем, что для решения вопроса ФБР решило воспользоваться актом от 1789 года, именуемым All Writs Act («Обо всех исковых заявлениях и постановлениях»).
«По своей сути акт довольно прост: в нем говорится, что в помощь государственным органам суды могут издавать приказы. Однако есть одна важная оговорка: приказы могут выдаваться в соответствии с обычаями и принципами права. При этом не уточняется, какие именно обычаи и принципы имеются в виду и какому конкретно праву приказы должны соответствовать», — рассказал Банки.ру партнер юридической фирмы BGP Litigation Александр Ванеев.
По словам эксперта, долгое время применения этой общей законодательной нормы не требовалось, использовалось имеющееся законодательство. К примеру, закон от 1992 года, касающийся помощи органам, расследующим преступления в сфере электронных коммуникаций. Именно им регламентируется порядок предоставления доступа к информации.
Применение All Writs Act позволит существенно расширить полномочия власти. Именно вокруг этого и разгорелся скандал. «С одной стороны, существует законодательная норма, в которой четко прописано, какую информацию и каким образом могут получить следователи. С другой (на этом настаивает правительство в споре с адвокатами ответчиков) — эта норма не действует, так как речь идет не об информации, которую кто-либо когда-либо передавал или собирается передать, а об информации, сохраненной на устройстве и, таким образом, не подпадающей под действие закона», — говорит Ванеев.
Точку в этой ситуации должен поставить суд. В зависимости от того, какую сторону он примет, зависит многое. Если суд поддержит использование акта XVIII века, это создаст прецедент, которым впоследствии могут воспользоваться еще не раз. Именно этого опасаются Тим Кук и все те, кто в данный момент протестует против создания инструмента для доступа к зашифрованным данным, хранящимся в памяти смартфона.
Павел ШОШИН, Банки.ру
Письмо Тима Кука
Правительство США потребовало, чтобы компания Apple пошла на беспрецедентный шаг, который ставит под угрозу безопасность наших клиентов. Мы выступаем против этого требования, последствия которого выходят далеко за рамки правового поля.
Эта ситуация требует публичной дискуссии, и мы хотим, чтобы наши клиенты и люди по всей стране поняли, о чем идет речь.
О шифровании
Смартфоны стали неотъемлемой частью нашей жизни. Люди используют их для хранения огромного количества личной информации: начиная от наших разговоров и фотографий, музыки, заметок, финансовой и медицинской информации и заканчивая данными о том, где мы были и куда идем.
Эти данные должны быть защищены от хакеров и преступников, желающих получить к ним доступ и использовать без нашего разрешения. Клиенты рассчитывают, что и Apple, и другие компании делают все, что в их силах, для защиты персональных данных, а мы в Apple преданы идее сохранения этой информации.
Компрометация персональных данных в конечном счете может поставить под угрозу нашу личную безопасность. Именно поэтому их шифрование настолько важно для всех нас.
На протяжении многих лет мы использовали шифрование для защиты персональных данных наших клиентов. Мы считаем это единственным способом сохранить информацию в безопасности. Эти данные недосягаемы даже для нас, так как мы считаем, что содержимое вашего iPhone — не наше дело.
Дело Сан-Бернардино
Мы были шокированы и возмущены декабрьским терактом в Сан-Бернардино. Мы скорбим по поводу гибели людей и хотим справедливости для всех, кого это затронуло. ФБР обратилось к нам за помощью сразу после нападения, и мы упорно трудились, чтобы помочь властям раскрыть это ужасное преступление. Мы не испытываем сочувствия к террористам.
Когда ФБР запросило данные, находящиеся в нашем распоряжении, мы их предоставили. Apple выполняет требования судебных повесток и ордеров на обыск, как и в случае Сан-Бернардино. Мы также отправили инженеров компании для консультирования ФБР и предоставили в их распоряжение наши лучшие идеи.
Мы с уважением относимся к профессионалам ФБР и считаем их намерения благими. До этого момента мы сделали все, что могли сделать в рамках закона, чтобы помочь. Но теперь правительство обратилось к нам с требованием создать то, что, по нашему мнению, слишком опасно. Они попросили нас создать «бэкдор» для iPhone.
ФБР хочет, чтобы мы сделали новую версию операционной системы с возможностью обхода функций защиты данных и установили ее на iPhone, добытый ими в ходе расследования. В случае если это программное обеспечение, аналогов которому сегодня не существует, попадет в чужие руки, это будет означать потенциальную возможность разблокировки любого iPhone.
ФБР может называть этот инструмент как угодно, но не ошибайтесь: создание прошивки, которая сможет обойти механизмы безопасности, является «бэкдором». Несмотря на заверения правительства, что этот инструмент будет использован только в конкретном случае, не существует способа проконтролировать это.
Угроза безопасности
Можно поспорить, что создание одного «бэкдора» для одного устройства — простое решение. Однако принятие такого аргумента означает игнорирование основ цифровой безопасности и того, что именно требует правительство в данной ситуации.
В современном мире ключ к зашифрованной системе является информацией, способной разблокировать данные, защищенные ровно настолько, насколько защищен этот ключ. Как только информация становится известной или появляется способ обойти шифрование, данные становятся уязвимыми для любого, кто обладает соответствующими знаниями.
Правительство утверждает, что этот инструмент будет использован только один раз. На одном телефоне. Но это не так. После создания он может быть использован снова и снова, на любом количестве устройств. Это эквивалентно отмычке, способной открывать сотни миллионов замков. Ни один разумный человек не скажет, что это приемлемо.
Власти принуждают нас к взлому собственных пользователей, что подорвет все достижения в области безопасности, защищающие наших клиентов, в том числе десятки миллионов американских граждан, от киберпреступников. Инженеры, занимавшиеся разработкой системы шифрования для iPhone, должны будут, по иронии судьбы, ослабить эту защиту, подвергая пользователей опасности.
Мы не можем вспомнить ни одного прецедента, когда американская компания подвергала бы своих пользователей риску. В течение многих лет криптологи и специалисты в области национальной безопасности предупреждали об опасности ослабления шифрования. Такая уступка ударит по законопослушным гражданам, доверяющих свои данные таким компаниям, как Apple. Злоумышленники все равно продолжат свое дело, используя легкодоступные инструменты.
Опасный прецедент
Вместо того чтобы требовать принятия законодательного акта через конгресс, ФБР предлагает беспрецедентное использование закона All Writs Act от 1789 («Обо всех исковых заявлениях и постановлениях») для расширения своих полномочий.
Правительство хочет, чтобы мы удалили механизмы безопасности и добавили в операционную систему новые возможности, позволяющие ввод пароля «электронным» способом. Это позволит облегчить разблокировку iPhone с помощью «брутфорса» — путем перебора тысяч или миллионов комбинаций паролей с той скоростью, на которую способны современные компьютеры.
Последствия пугают. Если правительство сможет использовать закон для разблокировки iPhone, оно сможет получить доступ к данным любого устройства. Власти смогут пойти дальше, потребовав от Apple создать программное обеспечения для перехвата сообщений, доступа к информации о здоровье и финансах, и даже получения доступа к микрофону и камере без вашего ведома.
Противостоять этому приказу непросто. Но мы чувствуем, что должны говорить о том, что, как нам видится, является превышением полномочий со стороны правительства.
Хотя мы считаем намерения ФБР благими, со стороны правительства является неправильным заставлять нас создать «бэкдор». Мы опасаемся, что это требование подорвет основы свободы и независимости, которые правительство должно защищать.
Тим Кук, генеральный директор Apple