Barras sako, kad JAV reikia šifravimo užpakalinių durų, kad „netemtų“. Hm, ką?
Liepos 23 d. Fordhamo universiteto tarptautinės kibernetinio saugumo konferencijos pagrindiniame pranešime JAV generalinis prokuroras Williamas Barras ėmėsi vėliavos, kuria Teisingumo departamentas ir Federalinis tyrimų biuras mojavo daugiau nei dešimtmetį. FTB direktorius Jamesas Comey įvardijo kaip „auksinį raktą“.
Cituodamas smurtinių nusikaltėlių keliamą grėsmę, naudodamas šifravimą savo veiklai slėpti nuo teisėsaugos, Barras teigė, kad informacinis saugumas „neturėtų atsiskaityti dėl to, kad padarytume mus labiau pažeidžiamus realiame pasaulyje“. Jis tvirtino, kad šiandien tai vyksta.
„Paslaugų teikėjai, įrenginių gamintojai ir programų kūrėjai kuria ir diegia šifravimą, kurį iššifruoti gali tik galutinis vartotojas ar klientas, ir jie atsisako teikti technologijas, leidžiančias teisėtoms teisėsaugos agentūroms teisėtomis prieigomis esant tam tikroms aplinkybėms“, – paskelbė Barras. .
Tai, anot jo, teisėsaugai darė vis sunkiau stebėti nusikalstamą veiklą. Ši aklavietė taip pat leido nusikaltėliams pateikti savo informaciją ir komunikaciją „pateisinančiu įrodymą … gesinant teisėsaugos galimybes gauti įrodymus, būtinus nusikaltimams nustatyti ir tirti“, ir leido „nusikaltėliams veikti nebaudžiamai, slepiant savo veiklą pagal neįžengiama paslapties skraiste “.
Kitaip tariant, teisėti vyriausybės stebėjimo pajėgumai „temsta“, teigia AG Barras.
„Grynasis poveikis yra sumažinti bendrą visuomenės saugumą“, – tęsė jis. „Šiandien esu čia, norėdamas jums pasakyti, kad, naudodami šifravimą kibernetiniam saugumui gerinti, turime užtikrinti, kad išlaikytume visuomenės galimybes gauti teisėtą prieigą prie duomenų ir ryšių, kai reikia reaguoti į nusikalstamą veiklą“. „AG Barr“ uždarė sakydamas, kad JAV piliečiai turėtų priimti šifravimo užpakalines duris, nes užpakalinės durys yra būtinos mūsų saugumui.
Atsakydamas į tai generolas Michaelas Haydenas, buvęs Nacionalinio saugumo agentūros direktorius, pasakė: „Ne iš tikrųjų”.
Ne visai. Aš buvau nacionalinio saugumo agentūros direktorius
– genas Michaelas Haydenas (@GenMhayden) 2019 m. Liepos 23 d
Nepaisant Barro teiginių tikslumo, šifravimas tikrai yra kur kas labiau paplitęs nei prieš penkerius metus – tada, kai ką tik nukaldintas memuarų autorius Edwardas Snowdenas pasauliui apžvelgė JAV žvalgybos agentūrų skaitmeninės stebėjimo pajėgumų veikimą. Gerai ar blogai, Snowdeno duomenų saugykla ir toliau sukrečia ne tik pasaulio požiūrį į bendravimo privatumą – tai sutvirtino pasaulio požiūrį į informacijos saugumą apskritai.
Snoudeno poveikis de jure masinio stebėjimo buvo galbūt mažiau, nei jis būtų tikėjęsis. Tačiau jo apreiškimai turėjo platų poveikį technologijų pramonei ir interneto bei saugumo standartų plėtrai. Nors Snowdenas pradėjo dialogą dėl žvalgybos politikos, „kai kurios reikšmingiausios reformos buvo techninės, o ne teisinės“.
Taip teigia Benas Wizneris iš Amerikos piliečių laisvių sąjungos, kuris veikė kaip Snowdeno advokatas. „Šifravimo plitimas buvo greitai pagreitintas“, – sako jis. „Ir internetas šiandien yra saugesnis nei 2013 m. Technologijų įmonės suprato, kad jos veikė pagal netinkamą grėsmės modelį.”
Po Snowdeno interneto ir technologijų įmonės nebegalėjo ignoruoti valstybės finansuojamų veikėjų keliamos grėsmės savo klientams, sakė Markas Rumoldas, „Electronic Frontier Foundation“ (EFF) vyresnysis advokatas. Jis tęsė:
Įmonės, pripažintos saugančiomis nuo valstybinės priežiūros, yra jų svarbiausias klausimas … Šioms įmonėms yra finansinis interesas, kad jos galėtų įtikinti savo vartotojus, kad jų duomenys yra saugūs, todėl matėme, kad daugelis įmonių žengia veiksmus šifruoti įvairiais būdais ir manau, kad nėra abejonių, kad tai padidina saugumą ir privatumą.
Kiek šie veiksmai trukdė teisiniam stebėjimui ir tyrimui – teisėsaugos ir žvalgybos agentūrų bandymai, veikiantys pagal teismo patvirtintą orderį, yra ginčytini. Kaip neseniai paskelbtame tinklaraščio įraše pabrėžė informacijos saugumo specialistas Robertas Grahamas, nėra jokių nusikaltimų, kurie atitiktų šifravimą, padidėjimo įrodymų. Tokie teiginiai, anot jo, „paremti emociniais anekdotais, o ne statistika“.
Net tariamai griežti vyriausybės pateikti duomenys buvo reguliariai išpūsti. 2017 m. Gruodžio mėn. FTB direktorius Christopheris Wray per kongreso parodymus tvirtino, kad 2017 finansiniais metais biuras „negalėjo pasiekti maždaug 7800 mobiliųjų įrenginių turinio“ naudodamasis turimais įrankiais. Wray paskelbė šį skelbimą praėjus metams po vyriausybės itin viešo mūšio dėl šifravimo su „Apple“ po tragedijos San Bernardino mieste, Kalifornijoje. Tačiau šis skaičius buvo žymiai didesnis nei 880 prietaisų, kuriuos FTB nurodė prieš metus, o „Washington Post“ tyrimas nustatė, kad pagal FTB vidinį įvertinimą 2017 m. Nepasiekiamų prietaisų skaičius buvo apie 1200.
Taigi, ar tikrai stebėjimas „temsta“? O gal tai, kaip siūlė Greimas, yra „stebėjimo aukso amžius“, kur reikia dar daugiau privatumo? Josephas Lorenzo Hallas, Demokratijos ir technologijų centro (CDT) vyriausiasis technologas, linksta į pastarąjį.
„FTB sako, kad jie„ sutemsta “, -„ Hall “sakė Arsui. – Na taip, nes jie spoksojo į saulę.
Nustatyti perteklinę ekspoziciją
Per pastaruosius penkerius metus didžioji interneto dalis tapo saugesnė. „Snowden“ atskleidimai galėjo tiesiogiai nesukelti saugių interneto protokolų, tačiau jie tikrai padėjo motyvuoti protokolų kūrimą. Nors „pasaulinio stebėtojo“ grėsmė internete buvo teorizuota dar prieš Snoudeną, jo įrodymai apie tokio pobūdžio galimybes iškart sukėlė techninės bendruomenės atsaką.
„Inžinierių bendruomenė iš tikrųjų rimtai žiūrėjo į Snoudeno apreiškimus“, – „Hall“ sakė „Ars“. Praėjus vos 11 mėnesių nuo pirmojo nutekėjimo, interneto inžinerijos darbo grupė paskelbė RFC 7258, „teigdama, kad visuotinis stebėjimas yra ataka“, pažymėjo Hallas.
Teisybės dėlei reikia pasakyti, kad 2014 m. Internetas praktiškai neturėjo kur eiti, bet pakilo privatumo apsaugos srityje. Beveik visi pagrindiniai interneto elementai tuo metu buvo „beveik visiškai nesaugūs“ nuo jų sukūrimo, paaiškino Hallas. Tai „todėl, kad mes eksperimentavome su jais. Ir dabar mes turime atgaline data grįžti atgal ir vėl apsaugoti”.
Po to, kai suvokiama masinio stebėjimo grėsmė, įvyko reikšmingų patobulinimų užtikrinant interneto srautą. Tai apėmė daug daugiau į saugumą nukreiptų operacijų pas pagrindinius interneto paslaugų teikėjus. Du konkretūs pokyčiai paspartino „Snowden“ apreiškimus: saugių HTTP (HTTPS) ir TLS šifravimų priėmimas pagrindinėse interneto tarnybose ir „Transport Layer Security“ (TLS) 1.3 sukūrimas.
HTTPS iki šiol turėjo didžiausią poveikį, o pakeitimai TLS dar labiau uždarys stebėjimo duris. 2013 m. Mažiau nei 30% žiniatinklio srauto buvo užšifruota, o mažiau nei 10% svetainių palaikė saugius ryšius. Iki 2017 m. Daugiau nei pusė žiniatinklio palaikė HTTPS, o šiandien daugiau nei 70% žiniatinklio srauto yra užšifruoti, remiantis „Google“ ir „Let’s Encrypt“ duomenimis. 2019 m. Balandžio mėn. Buvo apsaugota 91% JAV naudotojų aplankytų tinklalapių. Tarptautiniu mastu apie 85% aplankytų tinklalapių buvo užšifruoti.
El. Pašto srauto šifravimo priėmimas – tiek tarp kliento ir serverio, tiek nuo teikėjo iki tiekėjo – taip pat smarkiai išaugo dėl tiesioginio „Snowden“ atskleidimo. 2014 m. Pradžioje buvo užšifruotas tik maždaug ketvirtadalis el. Pašto srauto tarp „Google“ ir kitų teikėjų. Dabar tai daugiau nei 75%.
Šifravimo priėmimas turėjo didelės įtakos tiek žvalgybos bendruomenei, tiek teisėsaugai, bent jau kalbant apie „tradicinį“ interneto srautą. Didžioji dalis metaduomenų, kuriuos nagrinėjome mūsų 2014 m. Projekte su NPR ir kurie buvo tinkami stebėti NSA „XKeyscore“ sistemoje, tapo daug mažiau prieinami. Neseniai mes surengėme bandymus, naudodami save kaip auką. Daugelis identifikatorių ir kito turinio, kurį 2014 m. Galėjome išsirinkti iš pasyvaus srauto rinkimo, buvo žymiai sumažinti. Tai nereiškia, kad jų nebėra – jie dabar tiesiog slepiami užšifruotame HTTPS ir TLS sraute, bent jau standartiniam žiniatinklio ir el. Pašto srautui.
Šis praktinis svarstymas gali būti tiesiogiai atsakingas už tai, kad NSA atsisakė kolekcijos „apie“ (srauto turinyje ieškoma pranešimų, kuriuose nurodyti konkretūs raktiniai žodžiai ar identifikatoriai, kurie domina įdomius asmenis). Tačiau vis dar yra kitų būdų surinkti stebėjimo duomenis iš interneto srauto, kurie netrukus netamsės.