Ce date privind utilizatorii pot obține organele federale de aplicare a legii din SUA de la furnizorii de servicii de mesagerie criptată?
Un document din ianuarie 2021 al Biroului Federal de Investigații (FBI), dezvăluit recent, oferă un rezumat concis cu privire la nouă aplicații diferite de "mesagerie securizată". Acesta arată că, în cadrul unui proces legal, FBI poate obține diverse tipuri de metadate și, în unele cazuri, chiar conținutul mesajelor stocate. Cu toate acestea, ceea ce este disponibil exact variază foarte mult în funcție de aplicație. Documentul de o pagină ar trebui să ofere orientări utile persoanelor preocupate de protecția vieții private - inclusiv jurnaliștilor, denunțătorilor și activiștilor - contribuind în același timp la risipirea concepțiilor greșite privind capacitățile de supraveghere ale FBI (sau lipsa acestora) în contextul mesageriei criptate. Felicitări organizației nonprofit de transparență guvernamentală Property of the People (POTP), condusă de "gurul FOIA" Ryan Shapiro și de neobositul avocat Jeffrey Light, pentru obținerea acestei înregistrări în temeiul Freedom of Information Act.
Datat 7 ianuarie 2021, documentul afirmă că reflectă capacitățile FBI la data de noiembrie 2020. Aplicațiile incluse în grafic sunt iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (deținut de Meta, fka Facebook) și Wickr (care a fost achiziționat de AWS în iunie). Majoritatea acestor aplicații - iMessage, Signal, Threema, Viber, WhatsApp și Wickr- criptează mesajele în mod implicit. În ceea ce privește restul, Telegram utilizează implicit criptarea end-to-end (E2EE) în anumite contexte, dar nu și în altele. E2EE este activată implicit în versiunile mai noi ale LINE, dar este posibil să nu fie activată în clienții mai vechi. Iar WeChat, deținut de gigantul chinez Tencent, nu acceptă deloc criptarea de la un capăt la altul (doar criptarea de la client la server). Această variație poate explica de ce documentul se referă la aplicații ca fiind "sigure" în loc de "E2EE".
Ce date despre utilizatori poate obține FBI?
Graficul evidențiază variațiile în ceea ce privește cantitatea de date pe care diferite servicii o colectează și o păstrează despre utilizatori și despre comunicațiile acestora - și, în consecință, ce date vor furniza autorităților de aplicare a legii în baza unui mandat valabil, a unei citații sau a unui ordin judecătoresc. (Gândiți-vă, de exemplu, la un mandat care solicită "toate înregistrările" în posesia unui furnizor referitoare la un utilizator: cu cât acesta păstrează mai multe informații despre utilizatorii săi, cu atât i se poate cere să furnizeze mai multe autorităților de aplicare a legii). Aceasta variază de la informațiile minime disponibile de la Signal și Telegram, la informațiile de bază despre abonat și alte metadate pe care mai multe servicii le dezvăluie FBI-ului, și chiar conținut "limitat" de mesaje stocate de la trei dintre cele nouă aplicații: LINE (care, după cum s-a spus, încă acceptă chat-uri non-E2EE), iMessage și WhatsApp.
Ultima parte ar putea fi o surpriză pentru unii utilizatori iMessage și WhatsApp, având în vedere că vorbim despre mesageria E2EE. Este adevărat că E2EE face ca mesajele utilizatorilor să fie inaccesibile forțelor de ordine în timpul tranzitului, dar este o poveste diferită pentru stocarea în cloud. Dacă un utilizator iMessage are activate copiile de siguranță iCloud, o copie a cheii de criptare este salvată împreună cu mesajele (în scopul recuperării) și va fi dezvăluită ca parte a returnării mandatului Apple, permițând citirea mesajelor. Mesajele WhatsApp pot fi salvate în iCloud sau Google Drive, astfel încât un mandat de percheziție la unul dintre aceste servicii cloud poate furniza date WhatsApp, inclusiv conținutul mesajelor (deși un mandat de percheziție la WhatsApp nu va returna conținutul mesajelor). (WhatsApp a început recent să ofere opțiunea de a face copii de siguranță ale mesajelor E2EE în cloud, ceea ce face ca graficul FBI să fie ușor depășit).
Deși este posibil să se pună cap la cap unele dintre informațiile din grafic prin parcurgerea documentației publice a producătorilor de aplicații și a dosarelor penale ale instanțelor, FBI le-a adunat în mod convenabil într-o singură pagină. S-ar putea să fie o știre veche pentru dvs., dacă sunteți familiarizat atât cu legislația care reglementează confidențialitatea comunicațiilor electronice, cât și cu nuanțele tehnice ale aplicației (aplicațiilor) de mesagerie criptată aleasă (alese) de dvs. Acest lucru ar putea descrie o mulțime de cititori Just Security și de reporteri despre supravegherea guvernamentală, dar probabil că nu reflectă modelul mental al utilizatorului mediu cu privire la modul în care funcționează un serviciu de mesagerie E2EE.
Graficul dezvăluie, de asemenea, detalii despre care producătorii de aplicații nu vorbesc deschis, sau deloc, în orientările lor publice privind cererile de aplicare a legii. În cazul unui mandat, WhatsApp va dezvălui ce utilizatori WhatsApp au utilizatorul țintă în agenda lor de adrese, lucru care nu este menționat pe pagina WhatsApp de informații privind aplicarea legii. Și Apple va oferi 25 de zile de căutări iMessage către și de la numărul țintă, indiferent dacă a avut loc sau nu o conversație, ceea ce este descris în liniile directoare ale Apple privind aplicarea legii, dar necesită un pic de cercetare pentru a fi înțeles, deoarece nici FBI-ul, nici Apple nu explică ce înseamnă acest lucru în limbaj simplu. În fiecare caz, compania dezvăluie o listă a celorlalți utilizatori ai săi care se întâmplă să aibă informațiile de contact ale utilizatorului țintă, indiferent dacă acesta a comunicat sau nu cu ei. (Dacă alte servicii de mesagerie au obiceiul de a dezvălui informații similare, acest lucru nu este reflectat în grafic). Aceste detalii subliniază domeniul larg de aplicare al legislației americane privind supravegherea electronică, care permite anchetatorilor să solicite orice "înregistrare sau alte informații referitoare la un abonat [țintă]" ca răspuns la un ordin 2703(d) sau la un mandat de percheziție. În timp ce Apple și Meta au luptat pentru confidențialitatea utilizatorilor împotriva cererilor guvernamentale exagerate, legea face totuși ca o mulțime de date ale utilizatorilor să devină un joc cinstit.
Percepții populare greșite cu privire la confidențialitatea mesageriei
Pe scurt, nu este ușor pentru o persoană obișnuită să înțeleagă cu exactitate ce informații din aplicațiile sale de mesagerie ar putea ajunge în mâinile anchetatorilor federali. Nu numai că aplicațiile diferite au proprietăți diferite, dar producătorii de aplicații nu sunt prea stimulați să fie sinceri cu privire la astfel de detalii. După cum demonstrează graficul FBI, piața aplicațiilor de mesagerie gratuite și sigure este un domeniu aglomerat și competitiv. Furnizorii doresc să dea utilizatorilor actuali și potențiali impresia că aplicația lor este cea mai bună în ceea ce privește securitatea și confidențialitatea utilizatorilor, indiferent dacă aceștia sunt îngrijorați de hackeri rău intenționați, de guverne sau de furnizorul însuși. Furnizorii au învățat să se ferească să supraestimeze proprietățile de securitate ale serviciilor lor, dar pariază că textul de marketing va primi mai multă atenție decât documentele tehnice sau rapoartele de transparență.
În această privință, stimulentele producătorilor de aplicații sunt aliniate cu cele ale FBI. Având în vedere campania de ani de zile a FBI împotriva criptării, acesta face o pereche ciudată cu furnizorii de servicii criptate pe care i-a condamnat în discursuri publice. Cu toate acestea, atât furnizorii de servicii, cât și FBI beneficiază de pe urma unei concepții populare greșite care subestimează datele utilizatorilor puse la dispoziția anchetatorilor de anumite servicii E2EE. Această neînțelegere menține în același timp imaginea furnizorilor în ochii utilizatorilor preocupați de respectarea vieții private, susținând în același timp povestea FBI conform căreia, din cauza criptării, investigațiile penale sunt "în întuneric".
Deși această neînțelegere îi poate ajuta pe investigatorii din domeniul aplicării legii, ea poate avea consecințe semnificative pentru țintele lor. Nu doar infractorii obișnuiți, ci și jurnaliștii și sursele lor, informatorii și activiștii depind foarte mult de alegerea serviciului de comunicații.
După cum se menționează în articolul Rolling Stonedespre graficul FBI, metadatele WhatsApp au fost esențiale pentru arestarea și condamnarea lui Natalie Edwards, o fostă funcționară a Departamentului Trezoreriei SUA care a divulgat documente interne unui reporter cu care a schimbat sute de mesaje pe WhatsApp. Edwards (și probabil și reporterul, care îi datora lui Edwards o datorie etică de protecție a sursei) a crezut că WhatsApp este sigur pentru comunicarea jurnalist/sursă. Această neînțelegere a costat-o libertatea pe Edwards.
Realitatea din spatele mitului
Datorită FOIA și discipolilor săi zeloși de la POTP, publicul poate vedea acum documentul intern al FBI care rezumă perfect realitatea din spatele mitului. Acesta arată că, în ciuda afirmațiilor sale privind "întunecarea", FBI poate obține o cantitate remarcabilă de date despre utilizatori de la aplicații de mesagerie care au împreună câteva miliarde de utilizatori la nivel mondial. (Capacitatea de a testa afirmațiile publice ale guvernului în raport cu declarațiile sale interne este unul dintre motivele pentru care accesul public la înregistrările guvernamentale, rațiunea de a fi a POTP, este atât de crucială). Aceasta arată rolul pe care stocarea în cloud și metadatele îl joacă în atenuarea impactului criptării end-to-end asupra supravegherii comunicațiilor în timp real. Și arată ce servicii de mesagerie E2EE populare nu știu cu adevărat aproape nimic despre utilizatorii lor.
Dacă utilizatorii cred că aplicațiile criptate pe care le folosesc nu păstrează prea multe informații despre ei, graficul FBI arată că această convingere este în mare parte falsă. Cu unele excepții, multe dintre cele mai importante servicii de mesagerie E2EE transmit tot felul de date autorităților federale de aplicare a legii, iar backup-urile în cloud pot permite chiar divulgarea mesajelor stocate trimise prin două dintre cele mai importante aplicații de mesagerie E2EE. Chiar dacă puțin sau nimic din ceea ce se află în document nu este cu adevărat o noutate, este totuși util să îl vedeți expus atât de succint într-o singură pagină. Dacă sunteți preocupat de confidențialitatea mesageriei, utilizați acest grafic (împreună cu ghidurile de confidențialitate și securitate specifice situației dvs., cum ar fi pentru jurnalism sau proteste) pentru a vă ajuta să decideți care este cea mai bună aplicație pentru dvs. și împărtășiți-l și cu persoanele cu care discutați. Astfel, puteți lua o decizie în cunoștință de cauză cu privire la aplicația (aplicațiile) pe care să o (le) păstrați (și pe care să o (le) abandonați)
