Kokius naudotojų duomenis JAV federalinė teisėsauga gali gauti iš šifruotų žinučių siuntimo paslaugų teikėjų?
Neseniai paviešintame 2021 m. sausio mėn. paskelbtame Federalinio tyrimų biuro (FTB) dokumente pateikiama glausta santrauka, susijusi su devyniomis skirtingomis "saugių žinučių" programėlėmis. Jame nurodoma, kad teisinėmis priemonėmis FTB gali gauti įvairių rūšių metaduomenų, o kai kuriais atvejais - net išsaugotą žinučių turinį. Tačiau tai, ką galima gauti, labai skiriasi priklausomai nuo programėlės. Vieno puslapio dokumentas turėtų suteikti naudingų gairių privatumu besirūpinantiems žmonėms, įskaitant žurnalistus, informatorius ir aktyvistus, taip pat padėti išsklaidyti klaidingus įsitikinimus apie FTB sekimo galimybes (arba jų nebuvimą) šifruotų žinučių siuntimo kontekste. Dėkojame vyriausybės skaidrumo ne pelno siekiančiai organizacijai " Property of the People" (POTP), kuriai vadovauja "FOIA guru" Ryanas Shapiro ir nenuilstantis teisininkas Jeffrey Lightas, už šio įrašo gavimą pagal Informacijos laisvės įstatymą.
Dokumente, datuotame 2021 m. sausio 7 d., teigiama, kad jis atspindi FTB galimybes 2020 m. lapkričio mėn. Į lentelę įtrauktos šios programėlės: "iMessage", "LINE", "Signal", "Telegram", "Threema", "Viber", "WeChat", "WhatsApp" (priklausanti "Meta", fka "Facebook") ir "Wickr" (kurią birželį įsigijo AWS ). Dauguma šių programų - "iMessage", " Signal", " Threema", " Viber", " WhatsApp" ir " Wickr"- pagal numatytuosius nustatymus šifruoja pranešimus. Kalbant apie likusias, " Telegram" kai kuriais atvejais naudoja numatytąjį šifravimą nuo galo iki galo (E2EE), tačiau kitais atvejais - ne. E2EE pagal numatytuosius nustatymus įjungtas naujesnėse LINE versijose, tačiau senesniuose klientuose jis gali būti neįjungtas. O "WeChat", priklausanti Kinijos milžinei "Tencent", visiškai nepalaiko galutinio šifravimo (tik kliento ir serverio šifravimą). Šis skirtumas gali paaiškinti, kodėl dokumente programėlės vadinamos "saugiomis", o ne "E2EE".
Kokius naudotojų duomenis gali gauti FTB?
Diagrama parodo, kiek duomenų apie naudotojus ir jų bendravimą renka ir saugo įvairios paslaugos, ir kokius duomenis jos pateiks teisėsaugos institucijoms, jei bus gautas galiojantis orderis, šaukimas į teismą ar teismo nutartis. (Pagalvokite, pavyzdžiui, apie orderį, kuriuo prašoma pateikti "visus paslaugų teikėjo turimus įrašus", susijusius su naudotoju: kuo daugiau informacijos apie naudotojus paslaugų teikėjas saugo, tuo daugiau jos gali būti pareikalauta pateikti teisėsaugos institucijoms.) Ši informacija yra labai įvairi - nuo minimalios "Signal" ir "Telegram" informacijos iki pagrindinės abonentų informacijos ir kitų metaduomenų, kuriuos kelios paslaugos atskleidžia FTB, ir net "riboto" trijų iš devynių programų saugomo žinučių turinio: LINE (kuri, kaip minėta, vis dar palaiko pokalbius ne per E2EE), "iMessage" ir "WhatsApp".
Kai kuriems "iMessage" ir "WhatsApp" naudotojams ši paskutinė dalis gali būti netikėta, nes kalbame apie E2EE žinutes. Tiesa, dėl E2EE naudotojų žinutės tampa neprieinamos teisėsaugos institucijoms jų siuntimo metu, tačiau debesų saugyklų atveju yra kitaip. Jei "iMessage" naudotojas yra įjungęs "iCloud" atsarginių kopijų kūrimą, šifravimo rakto kopija sukuriama kartu su žinutėmis (atkūrimo tikslais) ir bus atskleista kaip "Apple" įsakymo grąžinimo dalis, todėl žinutes bus galima perskaityti. "WhatsApp" žinučių atsarginės kopijos gali būti daromos "iCloud" arba " Google Drive", todėl, pateikus kratos orderį vienai iš šių debesijos paslaugų, gali būti rasti "WhatsApp" duomenys, įskaitant žinučių turinį (nors pateikus kratos orderį "WhatsApp", žinučių turinys nebus grąžintas). (Neseniai "WhatsApp" pradėjo diegti E2EE žinučių atsarginių kopijų debesyje parinktį, todėl FTB lentelė šiek tiek paseno.)
Nors kai kurią lentelėje pateiktą informaciją galima surinkti iš viešų programėlių kūrėjų dokumentų ir teismų baudžiamųjų bylų raštų, FTB ją patogiai sudėjo į vieną apžvalginį puslapį. Jei esate susipažinę su elektroninių ryšių privatumą reglamentuojančiais teisės aktais ir pasirinktos (-ų) šifruotų žinučių programėlės (-ių) techniniais niuansais, jums tai gali būti sena naujiena. Tai gali apibūdinti daugelį " Just Security" skaitytojų ir vyriausybinio sekimo žurnalistų, tačiau tikriausiai neatspindi vidutinio naudotojo mąstymo modelio, kaip veikia E2EE žinučių siuntimo paslauga.
Diagrama taip pat atskleidžia detales, apie kurias programėlių kūrėjai atvirai nekalba, jei apskritai kalba, savo viešai skelbiamose gairėse apie teisėsaugos institucijų prašymus. Gavusi orderį, "WhatsApp" atskleis, kurių "WhatsApp" naudotojų adresų knygose yra tikslinis naudotojas - apie tai "WhatsApp" teisėsaugos informacijos puslapyje neužsimenama. O "Apple" pateiks 25 dienų trukmės "iMessage" žinučių paiešką į tikslinį numerį ir iš jo, neatsižvelgiant į tai, ar įvyko pokalbis, kas aprašyta "Apple" teisėsaugos gairėse, tačiau reikia šiek tiek pasikapstyti, kad suprastum, nes nei FTB, nei "Apple" nepaaiškina, ką tai reiškia paprasta anglų kalba. Kiekvienu atveju bendrovė atskleidžia kitų savo naudotojų, kurie turi tikslinio naudotojo kontaktinę informaciją, sąrašą, nepriklausomai nuo to, ar tikslinis naudotojas su jais bendravo, ar ne. (Jei kitos žinučių siuntimo paslaugos praktiškai atskleidžia panašią informaciją, tai neatsispindi lentelėje.) Šios detalės pabrėžia, kad JAV elektroninio sekimo įstatymas, pagal kurį tyrėjai gali reikalauti bet kokio "įrašo ar kitos informacijos, susijusios su [tiksliniu] abonentu", reaguodami į 2703(d) įsakymą ar kratos orderį, yra labai platus. Nors "Apple" ir "Meta" kovojo už naudotojų privatumą prieš pernelyg griežtus vyriausybės reikalavimus, vis dėlto pagal šį įstatymą daug naudotojų duomenų tampa sąžiningu žaidimu.
Populiarus klaidingas supratimas apie žinučių privatumą
Trumpai tariant, paprastam žmogui nelengva tiksliai suprasti, kokia informacija iš jo žinučių siuntimo programėlių gali atsidurti federalinių tyrėjų rankose. Skirtingos programėlės ne tik pasižymi skirtingomis savybėmis, bet ir programėlių kūrėjai nėra labai suinteresuoti atvirai pateikti tokią informaciją. Kaip rodo FTB diagrama, nemokamų, saugių žinučių siuntimo programėlių rinka yra labai perpildyta ir konkurencinga. Paslaugų teikėjai nori sudaryti esamiems ir būsimiems naudotojams įspūdį, kad jų programėlė yra geriausia, kai kalbama apie naudotojo saugumą ir privatumą, nesvarbu, ar naudotojas nerimauja dėl piktavalių įsilaužėlių, vyriausybių, ar paties paslaugų teikėjo. Teikėjai išmoko atsargiai pervertinti savo paslaugos saugumo savybes, tačiau jie lažinasi, kad rinkodaros kopija sulauks daugiau dėmesio nei techninės baltosios knygos ar skaidrumo ataskaitos.
Šiuo atžvilgiu programėlių kūrėjų paskatos sutampa su FTB paskatomis. Atsižvelgiant į FTB daugelį metų vykdomą kampaniją, nukreiptą prieš šifravimą, keistai dera su šifravimo paslaugų teikėjais, kuriuos jis viešose kalbose pasmerkė savo vardu. Tačiau ir paslaugų teikėjai, ir FTB gauna naudos iš populiaraus klaidingo įsitikinimo, dėl kurio nepakankamai įvertinami naudotojų duomenys, kuriuos tyrėjai gali gauti iš tam tikrų E2EE paslaugų. Šis klaidingas supratimas tuo pačiu metu palaiko paslaugų teikėjų įvaizdį privatumu besirūpinančių naudotojų akyse ir kartu palaiko FTB pasakojimą, kad dėl šifravimo jis "tamsėja" vykdydamas kriminalinius tyrimus.
Nors šis nesusipratimas gali padėti teisėsaugos tyrėjams, jis gali turėti reikšmingų pasekmių jų taikiniams. Nuo ryšio paslaugų pasirinkimo labai priklauso ne tik eiliniai nusikaltėliai, bet ir žurnalistai bei jų šaltiniai, informatoriai ir aktyvistai.
Kaip pažymima žurnalo " Rolling Stone"straipsnyje apie FTB diagramą, "WhatsApp" metaduomenys buvo labai svarbūs suimant ir nuteisiant Natalie Edwards, buvusią JAV iždo departamento pareigūnę, kuri nutekino vidaus dokumentus žurnalistui, su kuriuo apsikeitė šimtais žinučių per "WhatsApp". Edwards (ir tikriausiai taip pat žurnalistas, kuris buvo įsipareigojęs Edwards etiškai saugoti šaltinį) manė, kad "WhatsApp" yra saugi žurnalisto ir šaltinio bendravimui. Šis nesusipratimas Edwards kainavo laisvę.
Už mito slypinti tikrovė
FOIA ir jos uolių mokinių POTP dėka visuomenė dabar gali susipažinti su FTB vidaus dokumentu, kuriame glaustai apibendrinama už mito slypinti tikrovė. Iš jo matyti, kad, nepaisant teiginių apie "užtemimą", FTB gali gauti nepaprastai daug naudotojų duomenų iš žinučių siuntimo programėlių, kurios bendrai turi kelis milijardus naudotojų visame pasaulyje. (Galimybė patikrinti viešus vyriausybės teiginius pagal jos vidaus pareiškimus yra viena iš priežasčių, kodėl tokia svarbi yra vieša prieiga prie vyriausybės dokumentų, POTP raison d'être). Tai rodo, kokį vaidmenį debesijos saugykla ir metaduomenys atlieka mažinant galutinio šifravimo poveikį ryšių stebėjimui realiuoju laiku. Taip pat parodoma, kurios populiarios E2EE pranešimų perdavimo paslaugos iš tiesų beveik nieko nežino apie savo naudotojus.
Jei vartotojai mano, kad šifruotos programos, kuriomis jie naudojasi, nesaugo daug informacijos apie juos, FTB diagrama rodo, kad šis įsitikinimas iš esmės yra klaidingas. Su tam tikromis išimtimis daugelis pagrindinių E2EE žinučių siuntimo paslaugų federalinėms teisėsaugos institucijoms perduoda įvairiausius duomenis, o debesijos atsarginės kopijos netgi gali leisti atskleisti saugomas žinutes, išsiųstas dviem didžiausiomis E2EE žinučių siuntimo programėlėmis. Net jei dokumente pateiktos žinios yra tik maža naujiena arba iš viso nėra naujiena, vis tiek naudinga matyti, kad jos taip glaustai išdėstytos viename puslapyje. Jei esate susirūpinę dėl žinučių privatumo, naudokitės šia lentele (kartu su privatumo ir saugumo gidais, skirtais konkrečiai jūsų situacijai, pavyzdžiui, žurnalistikai ar protestams), kad galėtumėte nuspręsti, kuri programėlė jums tinkamiausia - ir pasidalykite ja su žmonėmis, su kuriais bendraujate. Taip galėsite priimti labiau pagrįstą sprendimą, kurią (-ias) programėlę (-es) pasilikti (o kurią (-ias) palikti).
