Ποια δεδομένα χρηστών μπορούν να λάβουν οι ομοσπονδιακές αρχές επιβολής του νόμου των ΗΠΑ από τους παρόχους υπηρεσιών κρυπτογραφημένων μηνυμάτων;
Ένα έγγραφο που αποκαλύφθηκε πρόσφατα τον Ιανουάριο του 2021 από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) παρέχει μια συνοπτική περίληψη σε σχέση με εννέα διαφορετικές εφαρμογές "ασφαλούς ανταλλαγής μηνυμάτων". Δείχνει ότι με νόμιμη διαδικασία, το FBI μπορεί να λάβει διάφορους τύπους μεταδεδομένων, και σε ορισμένες περιπτώσεις ακόμη και αποθηκευμένο περιεχόμενο μηνυμάτων. Το τι ακριβώς είναι διαθέσιμο, ωστόσο, ποικίλλει σε μεγάλο βαθμό ανά εφαρμογή. Το μονοσέλιδο έγγραφο θα πρέπει να δώσει χρήσιμες οδηγίες σε άτομα που έχουν συνείδηση της ιδιωτικής ζωής - συμπεριλαμβανομένων δημοσιογράφων, πληροφοριοδοτών και ακτιβιστών - ενώ παράλληλα θα βοηθήσει να διαλυθούν οι παρανοήσεις σχετικά με τις δυνατότητες παρακολούθησης του FBI (ή την έλλειψή τους) στο πλαίσιο της κρυπτογραφημένης ανταλλαγής μηνυμάτων. Εύγε στη μη κερδοσκοπική οργάνωση Property of the People (POTP), που διευθύνεται από τον "γκουρού της FOIA" Ryan Shapiro και τον ακούραστο δικηγόρο Jeffrey Light, για την απόκτηση αυτού του αρχείου βάσει του νόμου περί ελευθερίας της πληροφόρησης.
Με ημερομηνία 7 Ιανουαρίου 2021, το έγγραφο αναφέρει ότι αντικατοπτρίζει τις δυνατότητες του FBI από τον Νοέμβριο του 2020. Οι εφαρμογές που περιλαμβάνονται στο διάγραμμα είναι οι iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (που ανήκει στην Meta, γνωστή και ως Facebook) και Wickr (η οποία εξαγοράστηκε από την AWS τον Ιούνιο). Οι περισσότερες από αυτές τις εφαρμογές - iMessage, Signal, Threema, Viber, WhatsApp και Wickr -κρυπτογραφούν τα μηνύματα από προεπιλογή. Όσον αφορά τις υπόλοιπες, το Telegram χρησιμοποιεί προεπιλεγμένη κρυπτογράφηση από άκρο σε άκρο (E2EE) σε ορισμένα πλαίσια, αλλά όχι σε άλλα. Η E2EE είναι ενεργοποιημένη από προεπιλογή στις νεότερες εκδόσεις του LINE, αλλά ενδέχεται να μην είναι ενεργοποιημένη σε παλαιότερους πελάτες. Και το WeChat, που ανήκει στον κινεζικό γίγαντα Tencent, δεν υποστηρίζει καθόλου κρυπτογράφηση από άκρο σε άκρο (μόνο κρυπτογράφηση από πελάτη σε διακομιστή). Αυτή η διαφορά μπορεί να εξηγήσει γιατί το έγγραφο αναφέρεται στις εφαρμογές ως "ασφαλείς" αντί για "E2EE".
Τι δεδομένα χρηστών μπορεί να πάρει το FBI;
Το διάγραμμα φωτίζει τη διαφοροποίηση ως προς το πόσα δεδομένα συλλέγουν και διατηρούν οι διάφορες υπηρεσίες σχετικά με τους χρήστες και τις επικοινωνίες τους - και, κατά συνέπεια, ποια δεδομένα θα παράσχουν στην επιβολή του νόμου, εφόσον υπάρχει έγκυρο ένταλμα, κλήτευση ή δικαστική εντολή. (Σκεφτείτε, για παράδειγμα, ένα ένταλμα που ζητά "όλα τα αρχεία" που έχει στην κατοχή του ένας πάροχος και αφορούν έναν χρήστη: όσο περισσότερες πληροφορίες διατηρεί για τους χρήστες του, τόσο περισσότερες μπορεί να απαιτηθεί να παράσχει στην επιβολή του νόμου). Αυτό κυμαίνεται από τις ελάχιστες πληροφορίες που είναι διαθέσιμες από το Signal και το Telegram, μέχρι τις βασικές πληροφορίες συνδρομητών και άλλα μεταδεδομένα που αποκαλύπτουν αρκετές υπηρεσίες στο FBI, ακόμη και "περιορισμένο" αποθηκευμένο περιεχόμενο μηνυμάτων από τρεις από τις εννέα εφαρμογές: LINE (η οποία, όπως ειπώθηκε, εξακολουθεί να υποστηρίζει συνομιλίες χωρίς E2EE), iMessage και WhatsApp.
Αυτό το τελευταίο μέρος μπορεί να αποτελέσει έκπληξη για ορισμένους χρήστες του iMessage και του WhatsApp, δεδομένου ότι μιλάμε για μηνύματα E2EE. Είναι αλήθεια ότι το E2EE καθιστά τα μηνύματα των χρηστών μη προσβάσιμα στις διωκτικές αρχές κατά τη μεταφορά, αλλά είναι διαφορετική ιστορία για την αποθήκευση στο σύννεφο. Εάν ένας χρήστης iMessage έχει ενεργοποιήσει τα αντίγραφα ασφαλείας iCloud, ένα αντίγραφο του κλειδιού κρυπτογράφησης δημιουργείται μαζί με τα μηνύματα (για σκοπούς ανάκτησης) και θα αποκαλυφθεί ως μέρος της επιστροφής εντάλματος της Apple, επιτρέποντας την ανάγνωση των μηνυμάτων. Τα μηνύματα του WhatsApp μπορούν να δημιουργηθούν αντίγραφα ασφαλείας στο iCloud ή στο Google Drive, οπότε ένα ένταλμα έρευνας σε μία από αυτές τις υπηρεσίες cloud μπορεί να αποδώσει δεδομένα του WhatsApp, συμπεριλαμβανομένου του περιεχομένου των μηνυμάτων (αν και ένα ένταλμα έρευνας στο WhatsApp δεν θα επιστρέψει το περιεχόμενο των μηνυμάτων). (Το WhatsApp άρχισε πρόσφατα να αναπτύσσει την επιλογή για τα αντίγραφα ασφαλείας μηνυμάτων E2EE στο σύννεφο, καθιστώντας το διάγραμμα του FBI ελαφρώς ξεπερασμένο).
Ενώ είναι δυνατόν να συγκεντρώσετε κάποιες από τις πληροφορίες του διαγράμματος ψάχνοντας τη δημόσια τεκμηρίωση των κατασκευαστών εφαρμογών και τα ποινικά μητρώα των δικαστηρίων, το FBI τις συγκέντρωσε βολικά σε μια σελίδα με μια ματιά. Μπορεί να είναι παλιά νέα για εσάς, αν τυχαίνει να είστε εξοικειωμένοι τόσο με τη νομοθεσία που διέπει το απόρρητο των ηλεκτρονικών επικοινωνιών όσο και με τις τεχνικές αποχρώσεις των κρυπτογραφημένων εφαρμογών ανταλλαγής μηνυμάτων της επιλογής σας. Αυτό μπορεί να περιγράφει πολλούς αναγνώστες της Just Security και δημοσιογράφους που ασχολούνται με την κυβερνητική επιτήρηση, αλλά μάλλον δεν αντικατοπτρίζει το νοητικό μοντέλο του μέσου χρήστη για το πώς λειτουργεί μια υπηρεσία ανταλλαγής μηνυμάτων E2EE.
Το διάγραμμα αποκαλύπτει επίσης λεπτομέρειες για τις οποίες οι κατασκευαστές εφαρμογών δεν μιλούν ευθέως, αν μιλούν καθόλου, στις δημόσιες κατευθυντήριες γραμμές τους σχετικά με τα αιτήματα των αρχών επιβολής του νόμου. Με ένα ένταλμα, το WhatsApp θα αποκαλύψει ποιοι χρήστες του WhatsApp έχουν τον χρήστη-στόχο στα βιβλία διευθύνσεών τους, κάτι που δεν αναφέρεται στη σελίδα πληροφοριών του WhatsApp για την επιβολή του νόμου. Και η Apple θα δώσει αναζητήσεις iMessage 25 ημερών από και προς τον αριθμό-στόχο, ανεξάρτητα από το αν πραγματοποιήθηκε συνομιλία, κάτι που περιγράφεται στις κατευθυντήριες γραμμές της Apple για την επιβολή του νόμου, αλλά χρειάζεται λίγο ψάξιμο για να το καταλάβεις, αφού ούτε το FBI ούτε η Apple εξηγούν τι σημαίνει αυτό σε απλά αγγλικά. Σε κάθε περίπτωση, η εταιρεία αποκαλύπτει μια λίστα με τους άλλους χρήστες της που τυχαίνει να έχουν τα στοιχεία επικοινωνίας του χρήστη-στόχου, είτε ο στόχος επικοινώνησε μαζί τους είτε όχι. (Αν άλλες υπηρεσίες ανταλλαγής μηνυμάτων συνηθίζουν να αποκαλύπτουν παρόμοιες πληροφορίες, αυτό δεν αντικατοπτρίζεται στο διάγραμμα). Αυτές οι λεπτομέρειες υπογραμμίζουν την ευρεία εμβέλεια της αμερικανικής νομοθεσίας για την ηλεκτρονική παρακολούθηση, η οποία επιτρέπει στους ερευνητές να ζητούν οποιοδήποτε "αρχείο ή άλλη πληροφορία που αφορά συνδρομητή [του στόχου]" σε απάντηση σε εντολή 2703(δ) ή ένταλμα έρευνας. Ενώ η Apple και η Meta έχουν αγωνιστεί για την προστασία της ιδιωτικής ζωής των χρηστών ενάντια στις υπερβολικές κυβερνητικές απαιτήσεις, ο νόμος καθιστά ωστόσο πολλά δεδομένα χρηστών δίκαιο παιχνίδι.
Δημοφιλείς εσφαλμένες αντιλήψεις για το απόρρητο των μηνυμάτων
Εν ολίγοις, δεν είναι εύκολο για τον μέσο άνθρωπο να κατανοήσει με ακρίβεια ποιες ακριβώς πληροφορίες από τις εφαρμογές ανταλλαγής μηνυμάτων του θα μπορούσαν να καταλήξουν στα χέρια των ομοσπονδιακών ερευνητών. Όχι μόνο οι διαφορετικές εφαρμογές έχουν διαφορετικές ιδιότητες, αλλά οι κατασκευαστές εφαρμογών δεν έχουν και πολλά κίνητρα για να είναι ειλικρινείς σχετικά με τέτοιες λεπτομέρειες. Όπως καταδεικνύει το διάγραμμα του FBI, η αγορά των δωρεάν, ασφαλών εφαρμογών ανταλλαγής μηνυμάτων είναι ένα ευχάριστα πολυπληθές και ανταγωνιστικό πεδίο. Οι πάροχοι θέλουν να δώσουν στους σημερινούς και επίδοξους χρήστες την εντύπωση ότι η εφαρμογή τους είναι κορυφαία όσον αφορά την ασφάλεια και την ιδιωτικότητα των χρηστών, είτε ο χρήστης ανησυχεί για κακόβουλους χάκερ, είτε για κυβερνήσεις, είτε για τον ίδιο τον πάροχο. Οι πάροχοι έχουν μάθει να είναι επιφυλακτικοί στην υπερβολή των ιδιοτήτων ασφαλείας της υπηρεσίας τους, αλλά στοιχηματίζουν ότι τα αντίγραφα μάρκετινγκ θα τραβήξουν περισσότερη προσοχή από τα τεχνικά λευκά έγγραφα ή τις εκθέσεις διαφάνειας.
Από αυτή την άποψη, τα κίνητρα των κατασκευαστών εφαρμογών ευθυγραμμίζονται με εκείνα του FBI. Δεδομένης της πολυετούς εκστρατείας του FBI κατά της κρυπτογράφησης, το FBI αποτελεί περίεργο σύντροφο για τους παρόχους κρυπτογραφημένων υπηρεσιών που έχει καταδικάσει ονομαστικά σε δημόσιες ομιλίες. Ωστόσο, τόσο οι πάροχοι υπηρεσιών όσο και το FBI επωφελούνται από μια δημοφιλή παρανόηση που υποτιμά τα δεδομένα χρηστών που είναι διαθέσιμα στους ερευνητές από ορισμένες υπηρεσίες E2EE. Αυτή η παρανόηση διατηρεί ταυτόχρονα την εικόνα των παρόχων στα μάτια των χρηστών που έχουν συνείδηση της ιδιωτικής ζωής, ενώ παράλληλα υποστηρίζει την αφήγηση του FBI ότι "σκοτεινιάζει" στις ποινικές έρευνες λόγω της κρυπτογράφησης.
Παρόλο που αυτή η παρανόηση μπορεί να βοηθήσει τους ερευνητές των διωκτικών αρχών, μπορεί να έχει σημαντικές συνέπειες για τους στόχους τους. Όχι μόνο οι εγκληματίες του κήπου, αλλά και οι δημοσιογράφοι και οι πηγές τους, οι πληροφοριοδότες και οι ακτιβιστές εξαρτώνται σε μεγάλο βαθμό από την επιλογή της υπηρεσίας επικοινωνιών τους.
Όπως σημειώνεται στο άρθρο του RollingStone σχετικά με το διάγραμμα του FBI, τα μεταδεδομένα του WhatsApp ήταν το κλειδί για τη σύλληψη και την καταδίκη της Natalie Edwards, πρώην υπαλλήλου του Υπουργείου Οικονομικών των ΗΠΑ, η οποία διέρρευσε εσωτερικά έγγραφα σε δημοσιογράφο με τον οποίο αντάλλαξε εκατοντάδες μηνύματα μέσω του WhatsApp. Η Έντουαρντς (και πιθανότατα και ο δημοσιογράφος, ο οποίος όφειλε στην Έντουαρντς ηθικό καθήκον προστασίας της πηγής) πίστευε ότι το WhatsApp ήταν ασφαλές για την επικοινωνία δημοσιογράφου/πηγής. Αυτή η παρανόηση κόστισε στην Έντουαρντς την ελευθερία της.
Η πραγματικότητα πίσω από τον μύθο
Χάρη στο FOIA και τους ένθερμους μαθητές του στο POTP, το κοινό μπορεί τώρα να δει το εσωτερικό έγγραφο του FBI που συνοψίζει εύστοχα την πραγματικότητα πίσω από τον μύθο. Δείχνει ότι, παρά τους ισχυρισμούς του περί "σκοτεινής μετάβασης", το FBI μπορεί να αποκτήσει αξιοσημείωτη ποσότητα δεδομένων χρηστών από εφαρμογές ανταλλαγής μηνυμάτων που έχουν συνολικά αρκετά δισεκατομμύρια χρήστες παγκοσμίως. (Η δυνατότητα ελέγχου των δημόσιων ισχυρισμών της κυβέρνησης έναντι των εσωτερικών της δηλώσεων είναι ένας από τους λόγους για τους οποίους η πρόσβαση του κοινού στα κυβερνητικά αρχεία, ο λόγος ύπαρξης του POTP, είναι τόσο ζωτικής σημασίας). Δείχνει τον ρόλο που διαδραματίζουν η αποθήκευση στο νέφος και τα μεταδεδομένα στην άμβλυνση των επιπτώσεων της κρυπτογράφησης από άκρο σε άκρο στην παρακολούθηση των επικοινωνιών σε πραγματικό χρόνο. Και δείχνει ποιες δημοφιλείς υπηρεσίες ανταλλαγής μηνυμάτων E2EE πραγματικά δεν γνωρίζουν σχεδόν τίποτα για τους χρήστες τους.
Αν οι χρήστες πιστεύουν ότι οι κρυπτογραφημένες εφαρμογές που χρησιμοποιούν δεν διατηρούν πολλές πληροφορίες για αυτούς, το διάγραμμα του FBI δείχνει ότι αυτή η πεποίθηση είναι σε μεγάλο βαθμό λανθασμένη. Με ορισμένες εξαιρέσεις, πολλές μεγάλες υπηρεσίες ανταλλαγής μηνυμάτων E2EE παραδίδουν κάθε είδους δεδομένα στις ομοσπονδιακές αρχές επιβολής του νόμου, ενώ τα αντίγραφα ασφαλείας στο cloud μπορούν να επιτρέψουν ακόμη και την αποκάλυψη αποθηκευμένων μηνυμάτων που έχουν σταλεί σε δύο από τις μεγαλύτερες εφαρμογές ανταλλαγής μηνυμάτων E2EE. Ακόμα και αν λίγα ή τίποτα από όσα περιέχονται στο έγγραφο είναι πραγματικά νέα, εξακολουθεί να είναι χρήσιμο να τα βλέπει κανείς να εκτίθενται τόσο συνοπτικά σε μία μόνο σελίδα. Εάν ανησυχείτε για το απόρρητο των μηνυμάτων, χρησιμοποιήστε αυτό το διάγραμμα (μαζί με οδηγούς απορρήτου και ασφάλειας που αφορούν ειδικά την περίπτωσή σας, όπως για τη δημοσιογραφία ή τις διαμαρτυρίες) για να σας βοηθήσει να αποφασίσετε ποια εφαρμογή είναι η καλύτερη για εσάς - και να το μοιραστείτε και με τους ανθρώπους με τους οποίους συνομιλείτε. Με αυτόν τον τρόπο, μπορείτε να πάρετε μια πιο τεκμηριωμένη απόφαση σχετικά με το ποια(-ες) εφαρμογή(-ες) θα κρατήσετε (και ποια(-ες) θα αφήσετε πίσω)
