Jakie dane użytkowników mogą uzyskać amerykańskie federalne organy ścigania od dostawców usług szyfrowania wiadomości?
Niedawno ujawniony dokument Federalnego Biura Śledczego (FBI) ze stycznia 2021 r. zawiera zwięzłe podsumowanie dotyczące dziewięciu różnych aplikacji do "bezpiecznego przesyłania wiadomości". Wynika z niego, że dzięki legalnemu procesowi FBI może uzyskać różne rodzaje metadanych, a w niektórych przypadkach nawet przechowywaną treść wiadomości. Jednak to, co jest dostępne, różni się znacznie w zależności od aplikacji. Jednostronicowy dokument powinien dostarczyć przydatnych wskazówek osobom dbającym o prywatność - w tym dziennikarzom, demaskatorom i aktywistom - jednocześnie pomagając rozwiać błędne przekonania na temat możliwości nadzoru FBI (lub ich braku) w kontekście zaszyfrowanych wiadomości. Wyrazy uznania dla rządowej organizacji non-profit Property of the People (POTP), prowadzonej przez "guru FOIA" Ryana Shapiro i niestrudzonego prawnika Jeffreya Lighta, za uzyskanie tego rekordu na mocy ustawy o wolności informacji.
Datowany na 7 stycznia 2021 r. dokument stwierdza, że odzwierciedla możliwości FBI na listopad 2020 r. Aplikacje uwzględnione na wykresie to iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (należący do Meta, fka Facebook) i Wickr (który został przejęty przez AWS w czerwcu). Większość z tych aplikacji - iMessage, Signal, Threema, Viber, WhatsApp i Wickr -domyślnie szyfruje wiadomości. Jeśli chodzi o resztę, Telegram używa domyślnego szyfrowania end-to-end (E2EE) w niektórych kontekstach, ale nie w innych. E2EE jest domyślnie włączone w nowszych wersjach LINE, ale może nie być włączone w starszych klientach. Z kolei WeChat, należący do chińskiego giganta Tencent, w ogóle nie obsługuje szyfrowania end-to-end (tylko szyfrowanie klient-serwer). Ta rozbieżność może wyjaśniać, dlaczego dokument odnosi się do aplikacji jako "bezpiecznych" zamiast "E2EE".
Jakie dane użytkownika może uzyskać FBI?
Wykres przedstawia różnice w ilości danych gromadzonych i przechowywanych przez różne usługi na temat użytkowników i ich komunikacji - a co za tym idzie, jakie dane udostępnią organom ścigania na podstawie ważnego nakazu, wezwania sądowego lub nakazu sądowego. (Pomyślmy na przykład o nakazie z prośbą o "wszystkie zapisy" w posiadaniu dostawcy dotyczące użytkownika: im więcej informacji przechowuje o swoich użytkownikach, tym więcej można wymagać od niego dostarczenia organom ścigania). Waha się to od minimalnych informacji dostępnych z Signal i Telegram, do podstawowych informacji o subskrybentach i innych metadanych, które kilka usług ujawnia FBI, a nawet "ograniczonej" przechowywanej zawartości wiadomości z trzech z dziewięciu aplikacji: LINE (która, jak wspomniano, nadal obsługuje czaty spoza E2EE), iMessage i WhatsApp.
Ta ostatnia część może być zaskoczeniem dla niektórych użytkowników iMessage i WhatsApp, biorąc pod uwagę, że mówimy o wiadomościach E2EE. To prawda, że E2EE sprawia, że wiadomości użytkowników są niedostępne dla organów ścigania podczas przesyłania, ale to inna historia w przypadku przechowywania w chmurze. Jeśli użytkownik iMessage ma włączone kopie zapasowe iCloud, kopia klucza szyfrowania jest tworzona wraz z wiadomościami (w celu ich odzyskania) i zostanie ujawniona w ramach zwrotu nakazu Apple, umożliwiając odczytanie wiadomości. Wiadomości WhatsApp mogą być archiwizowane w iCloud lub Google Drive, więc nakaz przeszukania jednej z tych usług w chmurze może przynieść dane WhatsApp, w tym treść wiadomości (chociaż nakaz przeszukania WhatsApp nie zwróci treści wiadomości). (WhatsApp niedawno zaczął wprowadzać opcję tworzenia kopii zapasowych wiadomości E2EE w chmurze, przez co wykres FBI stał się nieco nieaktualny).
Chociaż możliwe jest zebranie niektórych informacji z wykresu poprzez przeszukiwanie publicznej dokumentacji twórców aplikacji i akt spraw karnych sądów, FBI wygodnie zebrało je na jednej stronie. Może to być dla ciebie stara wiadomość, jeśli znasz zarówno prawo regulujące prywatność komunikacji elektronicznej, jak i techniczne niuanse wybranej aplikacji do szyfrowania wiadomości. Może to opisywać wielu czytelników Just Security i reporterów zajmujących się inwigilacją rządową, ale prawdopodobnie nie odzwierciedla modelu mentalnego przeciętnego użytkownika, w jaki sposób działa usługa przesyłania wiadomości E2EE.
Wykres ujawnia również szczegóły, o których twórcy aplikacji nie mówią otwarcie, jeśli w ogóle, w swoich publicznych wytycznych dotyczących żądań organów ścigania. Dzięki nakazowi WhatsApp ujawni, którzy użytkownicy WhatsApp mają docelowego użytkownika w swoich książkach adresowych, o czym nie wspomniano na stronie informacyjnej WhatsApp dotyczącej egzekwowania prawa. Apple udostępni 25-dniowe wyszukiwania iMessage do i z numeru docelowego, niezależnie od tego, czy rozmowa miała miejsce, co jest opisane w wytycznych Apple dotyczących egzekwowania prawa, ale wymaga trochę kopania, aby zrozumieć, ponieważ ani FBI, ani Apple nie wyjaśniają, co to oznacza w prostym języku angielskim. W każdym przypadku firma ujawnia listę swoich innych użytkowników, którzy mają dane kontaktowe użytkownika docelowego, niezależnie od tego, czy cel się z nimi komunikował. (Jeśli inne usługi przesyłania wiadomości stosują praktykę ujawniania podobnych informacji, nie jest to odzwierciedlone na wykresie). Szczegóły te podkreślają szeroki zakres amerykańskiego prawa nadzoru elektronicznego, które pozwala śledczym żądać wszelkich "zapisów lub innych informacji dotyczących abonenta [docelowego]" w odpowiedzi na nakaz 2703(d) lub nakaz przeszukania. Podczas gdy zarówno Apple, jak i Meta walczyły o prywatność użytkowników przed zbyt daleko idącymi żądaniami rządu, prawo to niemniej jednak czyni wiele danych użytkowników uczciwą grą.
Popularne błędne postrzeganie prywatności wiadomości
Krótko mówiąc, przeciętnemu człowiekowi nie jest łatwo dokładnie zrozumieć, jakie informacje z jego aplikacji do przesyłania wiadomości mogą trafić w ręce federalnych śledczych. Nie tylko różne aplikacje mają różne właściwości, ale twórcy aplikacji nie mają zbytniej motywacji, by mówić wprost o takich szczegółach. Jak pokazuje wykres FBI, rynek bezpłatnych, bezpiecznych aplikacji do przesyłania wiadomości jest niezwykle zatłoczonym i konkurencyjnym polem. Dostawcy chcą dać obecnym i potencjalnym użytkownikom wrażenie, że ich aplikacja jest najlepsza, jeśli chodzi o bezpieczeństwo i prywatność użytkowników, niezależnie od tego, czy użytkownik obawia się złośliwych hakerów, rządów, czy samego dostawcy. Dostawcy nauczyli się uważać na wyolbrzymianie właściwości bezpieczeństwa swoich usług, ale zakładają, że kopia marketingowa przyciągnie więcej uwagi niż techniczne białe księgi lub raporty przejrzystości.
Pod tym względem motywacje twórców aplikacji są zbieżne z motywacjami FBI. Biorąc pod uwagę wieloletnią kampanię FBI przeciwko szyfrowaniu, jest ono dziwnym partnerem dla dostawców usług szyfrowania, których potępiło z nazwy w publicznych wystąpieniach. Jednak zarówno dostawcy usług, jak i FBI korzystają z popularnego błędnego przekonania, które nie docenia danych użytkowników dostępnych dla śledczych z niektórych usług E2EE. To nieporozumienie jednocześnie utrzymuje wizerunek dostawców w oczach świadomych prywatności użytkowników, jednocześnie podtrzymując narrację FBI, że "ciemnieje" w dochodzeniach kryminalnych z powodu szyfrowania.
Chociaż to nieporozumienie może pomóc śledczym organów ścigania, może mieć znaczące konsekwencje dla ich celów. Nie tylko zwykli przestępcy, ale także dziennikarze i ich źródła, demaskatorzy i aktywiści mają wiele do powiedzenia w kwestii wyboru usługi komunikacyjnej.
Jak zauważono w artykule RollingStone o wykresie FBI, metadane WhatsApp były kluczem do aresztowania i skazania Natalie Edwards, byłej urzędniczki Departamentu Skarbu USA, która ujawniła wewnętrzne dokumenty reporterowi, z którym wymieniła setki wiadomości za pośrednictwem WhatsApp. Edwards (i prawdopodobnie również reporter, który był winien Edwards etyczny obowiązek ochrony źródła) wierzyli, że WhatsApp jest bezpieczny dla komunikacji dziennikarz/źródło. To nieporozumienie kosztowało Edwards wolność.
Rzeczywistość za mitem
Dzięki FOIA i jej gorliwym uczniom w POTP, opinia publiczna może teraz zobaczyć wewnętrzny dokument FBI, który zgrabnie podsumowuje rzeczywistość stojącą za mitem. Pokazuje on, że pomimo twierdzeń o "odejściu w ciemność", FBI może uzyskać niezwykłą ilość danych użytkowników z aplikacji do przesyłania wiadomości, które łącznie mają kilka miliardów użytkowników na całym świecie. (Możliwość sprawdzenia publicznych twierdzeń rządu w porównaniu z jego wewnętrznymi oświadczeniami jest jednym z powodów, dla których publiczny dostęp do dokumentów rządowych, raison d'être POTP, jest tak istotny). Pokazuje rolę, jaką przechowywanie danych w chmurze i metadane odgrywają w łagodzeniu wpływu szyfrowania end-to-end na nadzór komunikacji w czasie rzeczywistym. I pokazuje, które popularne usługi przesyłania wiadomości E2EE naprawdę nie wiedzą prawie nic o swoich użytkownikach.
Jeśli użytkownicy uważają, że szyfrowane aplikacje, z których korzystają, nie przechowują zbyt wielu informacji na ich temat, wykres FBI pokazuje, że przekonanie to jest w dużej mierze fałszywe. Z pewnymi wyjątkami, wiele głównych usług przesyłania wiadomości E2EE przekazuje wszelkiego rodzaju dane federalnym organom ścigania, a kopie zapasowe w chmurze mogą nawet umożliwić ujawnienie przechowywanych wiadomości wysłanych w dwóch największych aplikacjach do przesyłania wiadomości E2EE. Nawet jeśli niewiele lub nic z tego, co znajduje się w dokumencie, nie jest prawdziwą nowością, nadal warto zobaczyć to tak zwięźle przedstawione na jednej stronie. Jeśli obawiasz się o prywatność wiadomości, skorzystaj z tej tabeli (wraz z przewodnikami dotyczącymi prywatności i bezpieczeństwa specyficznymi dla Twojej sytuacji, takimi jak dziennikarstwo lub protesty), aby pomóc Ci zdecydować, która aplikacja jest dla Ciebie najlepsza - i udostępnij ją również osobom, z którymi rozmawiasz. W ten sposób możesz podjąć bardziej świadomą decyzję o tym, które aplikacje zachować (a które zostawić).
