Коллектив Авторов - Цифровой журнал «Компьютерра» № 190

Компьютерра

09.09.2013 - 15.09.2013

Колонка

Метафора терморектальной аналитики в контексте диалога АНБ с ИТ-бизнесом

Сергей Голубицкий

Опубликовано 09 сентября 2013

Американскому‭ ‬АНБ‭ (‬и‭ ‬его‭ ‬британской‭ ‬сестрице GCHQ‭) ‬сильно‭ ‬не‭ ‬повезло:‭ ‬с‭ ‬ними‭ ‬случился‭ ‬Сноуден.‭ ‬Мы‭ ‬люди‭ ‬взрослые‭ ‬и‭ ‬прекрасно‭ ‬осознаем,‭ ‬что‭ ‬за‭ ‬собственными‭ (‬и‭ ‬не‭ ‬только‭) ‬гражданами‭ ‬следят‭ ‬по‭ ‬мере‭ ‬сил‭ ‬и‭ ‬возможностей‭ ‬все‭ ‬государства‭ ‬нашей‭ ‬планеты‭ ‬— ‬даже‭ ‬такие‭ ‬высоконравственные,‭ ‬как‭ ‬Россия,‭ ‬Индонезия‭ ‬и‭ ‬Китай.‭ ‬Однако‭ ‬исторический‭ ‬опыт‭ ‬удержания‭ ‬правдоискателей‭ ‬в‭ ‬узде,‭ ‬дополненный‭ здоровым‭ ‬гражданским‭ ‬рефлексом‭ ‬держаться‭ ‬от‭ ‬государственных‭ ‬дел‭ ‬как‭ ‬можно‭ ‬дальше,‭ ‬обеспечивает‭ ‬властям‭ ‬этих‭ ‬государств‭ ‬привилегию‭ ‬заниматься‭ ‬всем ‬чем‭ ‬угодно ‬в‭ ‬комфортной‭ ‬тишине‭ ‬общественного‭ ‬неведения.

Как‭ ‬бы‭ ‬там‭ ‬ни‭ ‬было,‭ ‬англо-саксонские‭ ‬нации‭ ‬добровольно‭ ‬пошли‭ ‬на‭ ‬совмещение‭ государственных‭ ‬репрессивных‭ ‬функций‭ ‬с‭ ‬реальными‭ ‬рычагами‭ ‬по‭ ‬обеспечению‭ ‬гласности,‭ ‬находящимися‭ ‬в‭ ‬руках‭ ‬гражданского‭ ‬общества,‭ ‬а‭ ‬потому‭ ‬вынуждены‭ ‬мириться‭ ‬с‭ ‬невротическим‭ ‬абсурдом‭ ‬общественно-политической‭ ‬жизни:‭ ‬газеты‭ ‬со‭ ‬спокойным‭ ‬видом‭ ‬публикуют‭ ‬сообщения‭ ‬о‭ ‬нарушениях‭ ‬элементарных‭ ‬гражданских‭ ‬прав‭ ‬государственными‭ ‬ведомствами,‭ ‬государственные‭ ‬ведомства‭ ‬с‭ ‬таким‭ ‬же‭ ‬спокойным‭ ‬видом‭ ‬обосновывает‭ ‬объективную‭ ‬необходимость‭ ‬в‭ ‬репрессиях,‭ ‬обыватели‭ ‬непринуждённо‭ ‬читают‭ ‬о‭ ‬творимом‭ ‬беззаконии‭ ‬в‭ ‬газетах‭ ‬и‭ ‬либо‭ ‬находят‭ ‬оправдания‭ ‬для‭ ‬этого‭ ‬беззакония,‭ ‬либо‭ ‬выражают‭ ‬с‭ ‬ним‭ ‬несогласие‭ ‬—‭ ‬исключительно‭ ‬мирными‭ ‬демонстративными‭ ‬действиями‭ (‬дефилируют‭ ‬по‭ ‬улицам‭ ‬с‭ ‬плакатами‭)‬.

Самое‭ ‬главное,‭ ‬что‭ стабильность‭ ‬общества‭ ‬при‭ ‬этом‭ ‬никак‭ ‬не‭ ‬нарушается‭ ‬и‭ ‬никому‭ ‬и‭ ‬в‭ ‬голову‭ ‬не‭ ‬приходит‭ ‬устраивать‭ ‬революции.‭ ‬В‭ ‬этом,‭ ‬кстати,‭ ‬и‭ ‬заключена‭ ‬гениальная‭ ‬прозорливость‭ ‬ставки‭ ‬на‭ ‬гласность,‭ ‬которая‭ ‬выбивает‭ ‬почву‭ ‬из-под‭ ‬ног‭ ‬любого‭ ‬насильственного‭ ‬бунта.

На‭ ‬исходе‭ ‬прошлой‭ ‬недели‭ ‬творческое‭ ‬объединение‭ «‬Эдвард‭ ‬Сноуден‭ ‬+‭ ‬газета The Guardian‭»‬ порадовало‭ ‬мир‭ ‬очередной‭ ‬серией‭ ‬неистовых‭ ‬разоблачений,‭ ‬которые,‭ ‬не‭ ‬будь‭ ‬в‭ ‬западных‭ ‬странах‭ ‬гласности,‭ ‬могли‭ ‬бы‭ ‬привести‭ ‬к‭ ‬массовым‭ ‬беспорядкам.‭ ‬Глен‭ ‬Гринвальд,‭ ‬умудрённый‭ ‬горьким‭ ‬опытом‭ ‬истязаний‭ ‬его‭ ‬возлюбленной‭ ‬в‭ ‬аэропорту‭ ‬Хитроу,‭ ‬решил‭ ‬больше‭ в‭ ‬одиночку‭ ‬не‭ ‬рисковать,‭ а потому‭ ‬пригласил‭ ‬к‭ ‬соавторству‭ ‬ещё ‬двух‭ ‬журналистов‭ ‬—‭ ‬Джеймса‭ ‬Болла‭ ‬и‭ ‬Джулиана‭ ‬Боргера:‭ ‬как-никак‭ ‬втроём‭ ‬будет‭ ‬веселее‭ ‬противостоять‭ ‬погромам‭ ‬и‭ ‬конфискациям‭ ‬техники‭ ‬в‭ ‬редакции‭ ‬родной‭ ‬газеты.

В‭ ‬публикации‭ «‬Как‭ ‬американские‭ ‬и‭ ‬британские‭ ‬шпионские‭ ‬ведомства‭ ‬уничтожают‭ ‬частную‭ ‬жизнь‭ ‬и‭ ‬безопасность‭ ‬в‭ ‬интернете‭»‬ рассказывается‭ ‬о‭ ‬бюджете‭ ‬в‭ $‬250‭ ‬млн‭ (‬для‭ ‬сравнения:‭ ‬на PRISM‭ ‬выделялось‭ «‬лишь‭»‬ $20‭ млн)‬,‭ ‬которые‭ ‬дядя‭ ‬Сэм‭ направляет ежегодно‭ ‬на‭ ‬ведение‭ ‬операций‭ ‬по‭ ‬созданию‭ ‬лазеек‭ ‬в‭ ‬программном‭ ‬коде,‭ ‬позволяющих‭ ‬государству‭ ‬с‭ ‬лёгкостью‭ ‬преодолевать‭ средства коммерческих‭ ‬программ‭ ‬криптологической‭ ‬защиты.

‭Бюджет‭ ‬распределяется‭ ‬по‭ ‬трём‭ ‬направлениям:‭ — ‬разработка‭ ‬и‭ ‬утверждение‭ ‬международных‭ ‬стандартов‭ ‬шифрования,‭ ‬удобных‭ ‬для‭ ‬государственного‭ ‬взлома‭; —‭ ‬обслуживания‭ ‬технопарка‭ ‬суперкомпьютеров‭ ‬для‭ ‬преодоления‭ ‬криптозащиты‭ ‬методом‭ ‬грубой‭ ‬силы‭; — ‬полюбовное‭ ‬сотрудничество‭ ‬с ИТ-компаниями‭ ‬и‭ ‬провайдерами‭ ‬интернет-услуг,‭ ‬которые‭ ‬добровольно‭ ‬внедряют‭ ‬в‭ ‬свои‭ ‬продукты backdoors‭ ‬и trapdoors ‬либо‭ ‬предоставляют‭ ‬компетентным‭ ‬государственным‭ ‬органам‭ ‬ключи‭ ‬для‭ ‬расшифровки‭ ‬коммуникаций.

Широким‭ ‬жестом‭ ‬Эдвард‭ ‬Сноуден‭ ‬передал‭ ‬на‭ ‬минувшей‭ ‬неделе‭ ‬сразу‭ ‬трём‭ ‬изданиям‭ ‬—‭ ‬The Giardian,‭ ‬The New York Times‭ ‬и ProPublica‭ ‬—‭ ‬документы,‭ ‬свидетельствующие‭ о‭ ‬том,‭ ‬что‭ ‬в‭ ‬2010‭ ‬году‭ ‬10-летние‭ ‬усилия‭ ‬Агентства‭ ‬национальной‭ ‬безопасности‭ ‬США‭ ‬увенчались‭ ‬грандиозным‭ ‬успехом — ‬взломом‭ ‬криптозащиты‭ «‬обширного‭ ‬объёма‭ ‬информации‭»‬,‭ ‬которая‭ ‬была‭ ‬получена‭ ‬по‭ ‬каналам‭ «‬Большой‭ четвёрки‭»‬ (Hotmail,‭ ‬Google,‭ ‬Yahoo!,‭ ‬Facebook‭)‬.

‬рассказывала,‭ ‬как‭ ‬АНБ‭ вынудило Microsoft‭ ‬раскрыть‭ ‬перед‭ ‬государственными‭ ‬структурами‭ ‬алгоритмы‭ ‬криптозащиты‭ ‬почты Outlook‭ ‬и‭ ‬чат-сервиса,‭ ‬поэтому‭ ‬добавление‭ ‬к‭ ‬списку‭ «‬опущенных‭»‬ других‭ ‬провайдеров‭ ‬интернет‭-‬услуг‭ ‬лишь‭ ‬количественно‭ ‬расширило‭ ‬наши‭ ‬представления‭ ‬о‭ ‬масштабах‭ ‬государственной‭ ‬интервенции‭ ‬в‭ ‬частную‭ ‬жизнь‭ ‬граждан.‭

Всех,‭ ‬кому‭ ‬интересны ‬технические‭ ‬подробности‭ ‬усилий‭ ‬АНБ‭ ‬и GCHQ‭ ‬по‭ выкручиванию‭ ‬рук ИТ-бизнесу,‭ ‬я‭ ‬отсылаю‭ ‬к‭ ‬оригинальной‭ ‬публикации The Gurdian‭ ‬по‭ ‬линку‭ ‬выше.‭ ‬Мне‭ ‬бы‭ ‬сейчас‭ ‬хотелось‭ ‬обсудить‭ ‬другой‭ ‬аспект‭ ‬государственных‭ ‬инициатив,‭ ‬а‭ ‬именно ‬наличие‭ (‬или‭ ‬отсутствие‭) ‬у‭ ‬американских‭ ‬и‭ ‬британских‭ ‬компетентных‭ ‬органов‭ ‬инструментов‭ ‬воздействия‭ ‬в‭ ‬конечной‭ ‬инстанции‭ (‬того‭ ‬самого‭ ‬терморектального‭ ‬анализатора‭) ‬на‭ ‬тех‭ ‬представителей‭ ‬коммерческих‭ ‬структур‭ ‬интернета,‭ ‬которые‭ ‬по‭ ‬той‭ ‬или‭ ‬иной‭ ‬загадочной‭ ‬причине‭ ‬откажутся‭ ‬от‭ ‬добровольного‭ ‬стукачества‭ ‬на‭ ‬собственных‭ ‬клиентов.

‭Для начала послушаем,‭ ‬что говорят сами коммерческие структуры.‭ ‬На‭ ‬Quora‭ ‬был размещен вопрос:‭ ‬«Уместно ли предположить,‭ ‬что разработчики популярных программ для хранения паролей‭ ‬(LastPass‭ ‬и др.‭) ‬согласятся добровольно ‬либо будут принуждены компетентными органами установить‭ ‬backdoor-программы‭ ‬в свои алгоритмы шифрования‭?‬»

Откликнулись два сотрудника‭ ‬AgileBits,‭ ‬разработчика‭ ‬1Password,‭ ‬и заявили,‭ ‬что компания не хранит мастер-пароли пользователей,‭ ‬поэтому перехватить‭ ‬или расшифровать файл‭ ‬1Password,‭ ‬в котором хранятся пользовательские пароли,‭ ‬технически невозможно.

Есть,‭ ‬однако,‭ ‬и другой вариант:‭ ‬государство потребует от разработчика искусственно ослабить алгоритмы шифрования ‬либо внедрить в него опять же‭ ‬backdoor,‭ что позволило бы перехватывать‭ ‬пользовательские‭ ‬мастер-пароли.‭ ‬На этот счёт у‭ ‬1Password‭ ‬также нашлись контраргументы:

—‭ ‬наши разработчики проживают в Канаде,‭ ‬США,‭ ‬Великобритании и Нидерландах‭ (‬поди,‭ ‬типа,‭ ‬всех поймай‭); —‭ ‬архитектура нашей системы безопасности и дизайн информации предельно открыты,‭ ‬поэтому будет сложно принудительно их ослабить без того,‭ ‬чтобы это сразу же не обнаружилось‭; —‭ ‬менеджеры паролей не являются инструментами коммуникаций,‭ ‬поэтому интерес к этим программам со стороны компетентных органов не столь ярко выражен‭; — ‬если государство очень заинтересует какой-то пользователь‭ ‬1Password,‭ ‬ему будет гораздо проще взломать‭ ‬ОС его компьютера,‭ ‬чем вынудить‭ ‬1Password‭ ‬изменить дизайн приложения; —‭ ‬наконец,‭ ‬всегда есть вариант поступить так,‭ ‬как поступила компания‭ ‬Lavabit, —‭ ‬отказаться от сотрудничества и закрыть свой бизнес.

Не знаю,‭ ‬как вас,‭ ‬но меня все эти аргументы лишь позабавили.‭ ‬Не в плане их технической безосновательности‭ (‬здесь,‭ ‬как водится,‭ ‬всё на уровне‭)‬,‭ ‬а в плане социальной наивности.‭ ‬Аргумент проживания разработчиков в других странах несерьёзен,‭ ‬учитывая возможности США добиться экстрадиции практически кого угодно из Евросоюза и дружественных государств‭ (‬Канада,‭ ‬Австралия и т. д.‭)‬.‭ ‬Аргумент про перекладывание проблем на плечи частных пользователей также несостоятелен,‭ ‬поскольку для компетентных органов означает лишнюю работу‭ (‬зачем,‭ ‬когда можно одним выстрелом положить всех зайцев из огорода‭ ‬1Passaword сразу‭)‬.‭ ‬Ну и так далее.