Поскольку большая часть нашей жизни переместилась в зашифрованные смартфоны, возросло и желание правоохранительных органов видеть, что там содержится. По сути, это не вызывает возражений: ведь если у полицейских есть веские основания полагать, что содержимое какого-нибудь телефона поможет раскрыть или предотвратить преступление, они должны иметь возможность получить ордер на проверку этого содержимого, так же, как и на обыск жилища.
Но, как подметил Адам Гетти, предприниматель в сфере кибербезопасности, законодательство и концепции, на которых оно построено, создавались в то время, когда все ваше имущество находилось рядом с вами и к нему можно было прикоснуться. Сейчас все по-другому. Средний житель развитой страны хранит значительно больше данных в отдаленном месте, чем в тактильном месте у себя дома. В большинстве стран действуют законы, предусматривающие защиту жилища от назойливых обысков. Однако законы, касающиеся цифровых устройств, далеко не так ясны. Еще больше усложняет ситуацию облачное хранение, когда мы размещаем личные данные на серверах, которые нам не принадлежат и зачастую находятся в чужих государствах, где конфиденциальность данных определяется не такими законами, как в нашей стране.
В этой главе делается попытка разобраться в некоторых из этих сложностей. Мы увидим, как полиция обходит шифрование, а если не обходит, – использует метаданные вашего телефона, то есть неразговорные элементы звонков, для отслеживания вашего местоположения. Мы также спросим, какие существуют – и должны существовать – гарантии того, что данные людей, даже размещенные в отдаленном месте, будут защищены так же надежно, как дома в запертом сейфе.
Вернемся к противостоянию Apple и ФБР. Помимо конституционных вопросов, в требованиях ФБР к Apple были три огромные опасности.
Первая – техническая. Создание специальной операционной системы может быть сложной задачей в самом начале, но компании Apple придется решать ее всего один раз, потом систему просто нужно будет немного перенастраивать под конкретные телефоны, к которым правительство захочет получить доступ. Это похоже на любой другой технологический прорыв: создание первого айфона было проблемой и затянулось на многие годы, а следующие айфоны фактически стали вариациями первого.
Вторая опасность, за неимением лучшего слова, гигиеническая. Ослабленная операционная система Apple давала бы утечки, что позволило бы любому человеку взломать любой айфон. Специальная программа, которую полиция может загрузить на телефон подозреваемого в терроризме, чтобы узнать, кто помог ему спланировать террористический акт, может быть легко загружена на ваш или мой телефон по прихоти человека, желающего получить доступ к нашим банковским счетам или украсть нашу личность.
Последняя и самая тревожная опасность – это прецедент. Если один магистрат может заставить Apple написать код для получения информации об одном преступлении, почему другой суд не может вынудить Apple сделать то же самое в случае других преступлений? Каким будет порог – только подозрение в терроризме? Если убийца руководствуется религиозными мотивами, являются ли отнятые им жизни более ценными, чем те, которые отняты по другим мотивам? Может ли судья потребовать расшифровку при рассмотрении гражданского иска, когда на кону только деньги? Аргументы скользкой дорожки часто служат последним прибежищем негодяев, но в данном случае дорожка не просто скользкая – она почти вертикальная.
Этот риск особенно высок в репрессивных системах или в странах, где отсутствует независимый суд. Например, можно представить, как в Китае, России, Иране или любой из других похожих стран власти исходят слюной от желания взломать шифрование телефона для поиска не только убийц или террористов, но и диссидентов, оппозиционных политиков, активистов студенческих движений – да кого угодно. Они могут требовать от Apple предоставления бэкдорного доступа и либо манипулировать им самостоятельно, либо, что еще хуже, обучать экспертов, которые затем будут пользоваться доступом по своему усмотрению. Можно представить, что Apple отказывается и ее руководители предстают перед судом одной из этих стран по сфабрикованному обвинению в подстрекательстве к преступлению, а после «суда» компанию приговаривают к выплате крупной суммы денег и/или сажают местных сотрудников в тюрьму.
Очевидно, жесткий отказ был для Apple единственным способом защититься от подобных катастрофических последствий. Компания продолжает так поступать.
В декабре 2019 года пилот ВВС Саудовской Аравии застрелил трех человек и ранил восьмерых на военно-морской авиабазе Пенсакола. Полиция обнаружила телефон стрелка. В январе 2020 года генеральный прокурор Уильям Барр провел пресс-конференцию, на которой призвал Apple разблокировать этот телефон. Правоохранительные органы уже давно устраивают парад ужасов – пресловутые террористы, бомбы замедленного действия, торговля людьми, организованная преступность и т. д., – чтобы показать, почему им необходим бэкдор для шифрования. Apple по-прежнему не сдается.
Если бы по делу Сан-Бернардино вынесли решение, сейчас позиция Apple или правоохранительных органов была бы подкреплена судебным прецедентом. В отчете генерального инспектора о показаниях ФБР в отношении телефона Фарука отмечается, что глава криптографического подразделения ФБР определенно недоволен прекращением судебного разбирательства. Здесь читается намек: некоторые сотрудники правоохранительных органов хотели не столько разблокировать конкретный телефон, сколько создать юридический прецедент[85].
Прокурор США Эйлин Декер, которая рассматривала это дело, выступила с заявлением. Объясняя, почему министерство юстиции отозвало иск, она сказала: «С помощью третьей стороны мы теперь можем разблокировать этот айфон, не ставя под угрозу какую-либо информацию в нем»[86]. ФБР не раскрыло, кто эта третья сторона. Но информированные источники указывали на израильскую фирму Cellebrite.
В марте 2018 года я посетил офис Cellebrite в Петах-Тикве, что к востоку от Тель-Авива. Мозговым центром этой компании является тихая чистенькая комната с кондиционером – она похожа на библиотеку, но вместо книг повсюду на полках стоят мобильные телефоны. Возможно, у Cellebrite есть не все телефоны, когда-либо выпущенные где-либо на земле, но наверняка почти все. Они и должны там быть: чтобы взломать телефон, сначала надо его изучить.
А что можно найти в телефоне, когда его взламывает полиция? Все. «Вы можете сколько угодно говорить мне, кто вы такой, – заявляет Лиор Бен-Перец, исполнительный директор Cellebrite. – Но дайте мне свой телефон на пятнадцать минут, и я скажу вам, кто вы на самом деле». Из кабинета Бен-Переца открывался прекрасный вид на низкий горизонт Петах-Тиквы и мягкие холмы неподалеку, но меня больше интересовало изображение на большом мониторе.
В кабинет вошел молодой инженер и подключил один из смартфонов к чему-то похожему на настольный компьютер с несколькими портами на передней панели. После быстрого входа в систему и нескольких кликов компьютер определяет тип подключенного устройства. Затем пользователь может обойти пароль заблокированного телефона и использовать один из нескольких методов извлечения данных. Логическое извлечение выявляет данные, которые находятся в непосредственном доступе – сохраненные текстовые сообщения, электронные письма и изображения. Если есть дополнительное время, машина Cellebrite выполнит и физическое извлечение – раскроет больше информации, в том числе той, которая была удалена. Затем эти данные, аккуратно организованные и размеченные, можно просматривать, сохранять, совместно использовать, фильтровать и искать.
Полицейские могут носить при себе устройство Cellebrite. Размером с планшет, оно выполняет базовый поиск по телефону – своего рода цифровую сортировку, которая позволяет быстро решить, необходимо ли более полное исследование и извлечение информации. «Раньше места преступлений были связаны с отпечатками пальцев и следами ног, – говорит Бен-Перец. – Сегодня все это цифровое: мобильные устройства, интегрированные автомобильные сети и планшеты. Наш цифровой след является самым сильным показателем того, что произошло в действительности».
Cellebrite с большой осторожностью раскрывает, как именно работают их устройства. Столь же сдержанны и компании, разрабатывающие шифрование для Cellebrite: рассказать о функционировании такой технологии все равно что дать искушенному противнику дорожную карту, с помощью которой он вас опередит. Поэтому то, что следует ниже, не стоит рассматривать как разъяснение деятельности Cellebrite. Это скорее обсуждение, основанное на моих беседах с несколькими источниками, хорошо разбирающимися в кибербезопасности. Тема обсуждения – как в целом работает шифрование на устройствах и как его перебороть.
Внутри большинства зашифрованных смартфонов находится сопроцессор. Кроме прочего, он должен обеспечить гарантию, чтобы только выбранный пользователем пароль мог расшифровать содержимое телефона. Один из способов это сделать – увеличить время для последовательного ввода версий пароля. Например, если вы ввели неправильный пароль пару раз, вам вообще не требуется дополнительного времени для следующей попытки: ведь люди постоянно ошибаются (вводят старый код или просто промахиваются мимо нужной цифры). Такую ошибку сопроцессор допускает.
Но после третьего или четвертого ошибочного ответа он может заблокировать ваш аккаунт на час или два. После пятой неудачной попытки количество времени, требуемое для следующей, может увеличиться в десять раз, потом – в сто и т. д. Это делает угадывание пароля методом перебора (когда по очереди пробуются все мыслимые комбинации букв и цифр) функционально невозможным или, по крайней мере, совершенно неэффективным с точки зрения затрат. В конце концов хорошо зашифрованный телефон уничтожит ключи шифрования и тем самым удалит свои данные или сделает их функционально недоступными.