Присоединяйтесь к нашим группам

ФБР и «Apple»: схватка за конфиденциальность

ФБР и «Apple»: схватка за конфиденциальность
Противостояние между «Apple» и ФБР в отношении системы безопасности «iPhone» становится все более непредсказуемым и опасным. Особенно в контексте доверия к правительству США.
22 02 2016
17:31

Жан-Луи Гассье, партнер в «Allegis Capital».

5 апреля 1887 года в письме к архиепископу Мэнделлу Крайтону лорд Актон написал слова, которые широко цитируются до сих пор - и также часто забываются в случае необходимости:

«Власть развращает. Абсолютнаявластьразвращаетабсолютно.  […] особенно когда к этому добавляется склонность или стремление власти к злоупотреблениям».

Сегодня эти слова всплывали в моем сознании по мере того, как я пытался постичь суть разногласий между ФБР и «Apple». С одной стороны, следует избегать нагромождения данных технического или правового характера, при этом не слишком выхолащивая суть. С другой стороны, имеются основания для провокационных утверждений, включая обращения к принципам. Нас интересуют последствия, а не принципы, принимая во внимание тот факт, что обращение к принципам часто служит якорем надежд.

Попробуем постепенно разобраться в этой головоломке.

ФБР хочет получить доступ к информации, хранящейся на «iPhone 5c», которым пользовался стрелок из Сан-Бернардино Сайед Ризван Фарук и находящийся в распоряжении местного отделения бюро. Система безопасности «iPhone» содержит функцию защиты от повторения попыток набора четырехзначного пароля, разблокирующего устройство. После пяти неудачных попыток «iPhone» инициирует режим ожидания на 1 минуту, затем на 15 минут, затем на 1 час. После 10 неудачных попыток « iPhone» уничтожает все хранящиеся на нем данные.

(Совет только для зануд: Если вы хотите разобраться в «Fortress iOS», обратитесь к инструкции «iOS Security Guide». Вы не поверите, сколько неожиданной информации таится на его страницах).

По той причине, что единственным способом получить доступ к данным в телефоне является угадывание, а девяти попыток явно недостаточно, ФБР необходим обходной маневр - взлом, который бы позволил «обмануть» существующую систему безопасности.

Обратились ли наши служители закона к собственным экспертам или же в другие государственные учреждения с опытом криптографических работ? Обратились ли «люди в черном» к хакерам, работающим под их прикрытием? Нам это неизвестно. Нам известно лишь то, что ФБР располагает решением суда, обязывающим «Apple» разработать специальную версию  «iOS», которая могла бы перешагнуть через блокировку «10 неудачных попыток – и ты вне игры».

(Джон МакАфи, хорошо известный и не всегда законопослушный эксперт по безопасности, предложил разблокировать «iPhone» бесплатно за три недели. Это больше похоже на публичный трюк, но для понимания хакерской культуры стоит прочесть следующий абзац:

«Кибернаука – это не дисциплина, которую можно изучить. Это прирожденный талант и смекалка. Музыкальная школа Джиллиард не может воспитать Моцарта. Моцарт или Бах, точно так же, как наши хакерские сообщества, появляются на свет с генетически заложенными способностями. Офис, забитый выпускниками Стэнфорда с отличием по компьютерным наукам, не в состоянии составить конкуренцию одному прирожденному хакеру без высшего образования».

(Кстати, его предложение осталось без ответа).

Подобная ситуация заставляет нас задуматься: а в состоянии ли сам «Apple», используя накопленные знания об «iOS», обойти свой собственный код безопасности? И имеет ли смысл вообще поднимать вопрос об этом?

К сожалению, имеет. Не запрашивая пароль, «iPhone» может быть переведен в режим  DFU, позволяющий загрузить новую операционную системы на устройство. Метод часто используется для «перепрошивки» «iPhone», т.е. загрузки на него нелегального программного обеспечения. Видимо, эту операцию и имел в виду МакАфи.

Первоначально при «белом использовании» режим DFU был предусмотрен для реанимации «метрового»  «iPhone». Телефон подключался к  «Mac» или компьютеру, совместимому с « iTunes», инициировался режим  DFU и оригинальный  iOS выводился на экран. Прошу обратить внимание на этот важный момент: «iPhone» не считается окончательно «умершим». Где-то в его недрах таится функция по проверке ключа, который активируется изображением « iOS image». Этим ключом владеет только «Apple». Попытки одурачить «iPhone» и загрузить нелегальное программное обеспечение обречены на провал (Хотя МакАфи явно считает по-другому).

Теперь мы подошли к сути запроса ФБР:

OK, «Apple». У тебя есть ключ, который открывает «iPhone» (любой «iPhone», прошу отметить) и позволяет принять запрос от изображения «iOS». Поэтому, будьте так любезны, напишите служебную программку обновления, которая позволит обойти блокировку пароля. Мы привезем телефон «iPhone» в ваш офис, и ваши инженеры смогут самостоятельно «обновить» устройство. Все, о чем мы просим – это предоставление нам удаленного доступа к устройству, которое будет находиться полностью под вашим контролем, чтобы мы могли продолжить игру в «угадай пароль». Это всего четыре цифры – 10 000 попыток.

Исходя из предположения, что «Apple» в состоянии обойти контроль безопасности, почему же компания отказывается от сотрудничества? Ведь это ради благой цели, и речь идет исключительно об одном телефоне?

Проблема заключается в одном последствии, которое возникнет на этой дороге, вымощенной благими намерениями. Если «Apple» уступит в случае с исключительно одним телефоном, таких случаев будет становиться все больше и больше.  И конечно, все они будут представляться в интересах расследования самых запутанных преступлений или же предотвращения реальной опасности. Как можно отказываться помогать в  борьбе с террористами, наркоторговцами, педофилами?

Далее на этом пути – остальные страны, увидев, что « Apple» уступил, начнут требовать от него того же. Будут ли подобные иностранные запросы так же «обоснованы», как заявки от наших (не столь респектабельных) государственных служб  в США?

Будьте уверены - то, что предлагается, никак иначе, кроме как «лазейка», не назовешь.

Благодаря материалам, рассекреченным с помощью «Bloomberg», мы в курсе того, что американские власти имеют далеко идущие планы по взлому телефонных систем безопасности.

«На секретном совещании, прошедшем в Белом доме на День благодарения, высокопоставленные сотрудники служб безопасности отдали распоряжения всем государственным органам правительства США об изыскании средств обхода систем шифрования и получения доступа к наиболее защищенным персональным данным пользователей на наиболее безопасных для потребителя устройствах, включая «iPhone» компании «Apple Inc.», наиболее выдающийся продукт одной из самых влиятельных компаний Америки (по информации двух человек, ознакомленных с решением)».

Если это - правда, то речь идет не только о том, чтоб заставить «Apple» обойти собственную системы безопасности в конкретных «iPhone», или заставить «Google» сделать то же самое на устройствах  «Android». Речь идет о том, что наше правительство затеяло опасную игру с огнем. Обратите внимание, что информация «Bloomberg» не упоминает о каких-либо законодательных поправках, а только о технических возможностях по обходу существующих систем кодирования.

«Представитель Совета национальной безопасности Марк Строх отказался от комментариев, но озвучил заявление одного из представителя администрации Обамы: «Мы не должны приходить к преждевременному заключению о том, что технические и правоохранительные возможности по решению этой задачи нам недоступны. Хотя разработка механизмов по доступу к закодированной информации может повлечь за собой появление слабых и уязвимых звеньев, существуют технические и процессуальные меры, которые могут быть предприняты для ограничения подобных рисков».

Мы вернулись к  тому, с чего начали: «Мы хорошие парни, мы найдем способ обойти системы кодировки =- но это исключительно для наших благих служебных целей. Преступники и враги нашего государства не смогут получить доступ к подобным возможностям».

Авторитарные мечтатели даже во сне не могли представить себе подобные радужные перспективы. Лазейка «Только для хороших парней» может служить прикрытием для изворотливых политиков, но законно избранным руководителям страны нужно набраться мужества и сказать чистую правду: это не сработает, это лишь навредит всем честным людям.

Как я уже отмечал ранее, смекалистые преступники воспользуются кодировками, для доступа к которым у властей не будет лазеек. Любой человек («при помощи «Linux») может выгрузить и воспользоваться программами кодировки из открытых источников, которые очень трудно взломать и которые можно приспособить под свои конкретные задачи. Тем, кому на самом деле есть что скрывать, могут обезопасить свои коммуникационные канали с помощью техники стенографии.

Если вы совершенно справедливо полагаете, что у меня недостаточно квалификации для подтверждения подобных заявлений, то обратимся к генералу Майклу Хейдену, бывшему директору ЦРУ и Совета по национальной безопасности, который однозначно считает «лазейки» плохой идеей:

«Америка будет в большей безопасности с системой кодировки, которая не может быть вскрыта и не станет достоянием третьих лиц ни при каких обстоятельствах. Не будет преувеличением сказать, что это является залогом общего здорового состояния Соединенных Штатов».

Есть еще кое-что.

По мере того как потребительская версия «Интернета вещей» все шире охватывает гаджеты и разумные устройства повсеместно, мы наблюдаем ошеломительный приток персональных данных. Естественно, ответственные поставщики всячески защищают самые интимные подробности нашей повседневной жизни при помощи системы кодировки… но нашим доблестными государственным органам непременно захочется узнать, соблюдаем ли мы законы, когда рыбачим, плаваем, едим, курим, размножаемся и умираем.

Если вы считаете, что я зашел слишком далеко в своей паранойе, советую вспомнить богатую историю законодательных актов, запрещавших «неестественные» интимные акты между двумя согласными на это взрослыми людьми, хотя в других странах уже давным-давно это считались личным делом каждого человека.

Мы также можем обратиться к печальным последствиям от применения антитеррористических положений «Патриотического Акта», применяемых для оправдания вмешательства в частную жизнь граждан, не имеющего ничего общего с борьбой с терроризмом. В своей статье для  «Washington Post» Рэдли Балко пишет:

«Когда критики указывают на то, к каким злоупотреблениям может привести новый закон, сторонники закона обвиняют этих критиков в цинизме – они говорят о том, что нужно иметь веру в честность  и правильность суждений государственных служащих. Но будьте уверены:  если закон предоставляет властям новые полномочия – этот закон будет интерпретироваться в наиболее расплывчатых, наиболее нахрапистых и наиболее провластных формулировках, насколько это возможно».

Не забудем также о том, что нам поведали WikiLeaks и Эдвард Сноуден о практике ЦРУ и СНБ. Примем к сведению тот факт, что взлом американского реестра государственных служащих привел к утечке персональных данных более 18 млн. человек.  Нарушения, взломы, утечки – все это происходило уже много раз, и все это повторится еще неоднократно. Открытые для государственных служб «лазейки» неизбежно приведут к печальным результатам.

Кроме того, обратим внимание на новые тенденции в развитии финансовой системы (такие как биткойны), нуждающиеся в стопроцентной кодировке при своей работе. Подобные системы просто исчезнут на корню, если «лазейки» позволят служителям закона с хорошими намерениями, стоящими на страже мира и спокойствия, совать свой нос во все происходящие операции. С какой стати любой компании, полагающейся на безопасность, экспортировать скомпрометированную технологию?

В конце концов, на кого, по их мнению,  работают все эти государственные чиновники, замышляющие покушение на кодирующие технологии?

Последние новости:

Судя по всему, длинным рукам неупомянутого государственного агентства удалось дотянуться до пароля iCloud и изменить его на «iPhone 5c», находящемся в его распоряжении. Если бы им не удалось этого сделать, « iPhone» автоматически перевел бы данные в «iCloud», как это делалось раньше, тем самым предоставив ФБР данные, доступа к которым федералы так активно добивались. «Apple» предоставил следствию информацию по предыдущим копированиям в «iCloud».

В состоянии, больше похожем на нервозное, представители Департамента юстиции объявили позицию «Apple» по безопасности и конфиденциальности «маркетинговой стратегией». То есть вместо того, чтобы отстаивать юридические права, Депаратмент обратился к поиску надлежащих мотивов. Что ж, улучшение безопасности и конфиденциальности является продающим «коньком» «Apple», но при этом также выражают позицию компании по социальным и коммуникативным вопросам. Зарабатывать добро и делать добро – не всегда взаимоисключающие понятия.

Следует ли департаменту юстиции играть с огнем? Действительно ли департаменту необходимо вывести прецедент в юридическую плоскость с тем, чтобы заставить всех производителей устройств (телефонов, Интернета вещей, легковых автомобилей)  предусматривать «лазейки» с однозначными последствиями для пользователей повсеместно – и в том числе для самих американских компаний?

Намерен ли Департамент юстиции сделать из Тима Кука мученика, осудив его и заключив в тюрьму? Я очень сомневаюсь в том, что он готов зайти настолько далеко – только представьте эти фотографии – и маркетинговые преимущества.

Я просто надеюсь на то, что после очередных слушаний и разговоров, как это было прежде, все закончится ничем.

Время, необходимое на подбор цифр:

Согласно расчетам « Intercept», шестизначный пароль (миллион комбинаций) потребует максимум 22 часа, минимум 11 часов для разблокировки. Чем длиннее пароли, тем дольше времени потребуется для их определения:

«Семизначный код потребует максимум 9.2 дня (в среднем 4.6 дней), восьмизначный код – максимум три месяца (в среднем 46 дней), девятизначный код – 2.5 года (в среднем 1.2 года), 10-значсный код - максимум 25 лет (в среднем 12.6 лет), 11-значный код – 253 года (в среднем 127 лет), и т.д.».

Если вы хотите повысить безопасность доступа к телефону или любому другому устройству – установите длинный пароль. «Intercept» предлагает легкий способ запомнить 11-значный пароль – начните с телефонного номера (10 цифр) и закончите цифрой на свое усмотрение.

Я использую телефонные номера со времен моего детства во Франции – в них присутствуют буквы, что, несомненно, развлечет желающих взломать мои коды, явки и пароли.


Источник: qz.com





Liderweb
Фредди Бонилья, секретарь безопасности Гражданской Авиации Колумбии, сообщил, что расследование аварии самолета, потерпевшего крушение у берегов Колумбии с восходящей бразильской футбольной командой "Шапекоэнсе" (Chapecoense), считает, что в момент крушения в воздушном судне закончилось топливо.
02:30 | 02.12.2016
close Не показывать больше
Теперь читать новости на мобильном телефоне стало ещё удобнее
Скачай новое приложение obzor.press и всегда будь в курсе последних событий!