Aké údaje používateľov môžu federálne orgány činné v trestnom konaní USA získať od poskytovateľov služieb šifrovaných správ?
Nedávno zverejnený dokument Federálneho úradu pre vyšetrovanie (FBI) z januára 2021 poskytuje stručný prehľad v súvislosti s deviatimi rôznymi aplikáciami na "bezpečné zasielanie správ". Vyplýva z neho, že na základe zákonného postupu môže FBI získať rôzne typy metadát a v niektorých prípadoch aj obsah uložených správ. Presne to, čo je k dispozícii, sa však v jednotlivých aplikáciách značne líši. Jednostránkový dokument by mal poskytnúť užitočné usmernenie ľuďom, ktorí sa starajú o ochranu súkromia - vrátane novinárov, informátorov a aktivistov - a zároveň pomôcť rozptýliť mylné predstavy o možnostiach sledovania (alebo ich nedostatku) FBI v kontexte šifrovaných správ. Poďakovanie neziskovej organizácii Property of the People (POTP), ktorá sa zaoberá transparentnosťou vlády a ktorú vedie "guru FOIA" Ryan Shapiro a neúnavný právnik Jeffrey Light, za získanie tohto záznamu na základe zákona o slobodnom prístupe k informáciám.
V dokumente s dátumom 7. januára 2021 sa uvádza, že odráža možnosti FBI od novembra 2020. Aplikácie zahrnuté v tabuľke sú iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (vo vlastníctve Meta, fka Facebook) a Wickr (ktorý v júni získala spoločnosť AWS ). Väčšina z týchto aplikácií - iMessage, Signal, Threema, Viber, WhatsApp a Wickr- predvolene šifruje správy. Čo sa týka ostatných, Telegram v niektorých kontextoch používa predvolené end-to-end šifrovanie (E2EE), v iných však nie. V novších verziách aplikácie LINE je E2EE predvolene zapnuté, ale v starších klientoch nemusí byť zapnuté. A WeChat, ktorý vlastní čínsky gigant Tencent, nepodporuje end-to-end šifrovanie vôbec (len šifrovanie medzi klientmi a servermi). Tento rozdiel môže vysvetľovať, prečo sa v dokumente o aplikáciách hovorí ako o "bezpečných" namiesto "E2EE".
Aké údaje používateľov môže FBI získať?
Tabuľka osvetľuje rozdiely v tom, koľko údajov o používateľoch a ich komunikácii zhromažďujú a uchovávajú rôzne služby - a následne aké údaje poskytnú orgánom činným v trestnom konaní na základe platného príkazu, predvolania alebo súdneho príkazu. (Zamyslite sa napríklad nad súdnym príkazom, ktorý požaduje "všetky záznamy", ktoré má poskytovateľ k dispozícii a ktoré sa týkajú používateľa: čím viac informácií o svojich používateľoch uchováva, tým viac sa od neho môže požadovať, aby ich poskytol orgánom činným v trestnom konaní.) Ide o širokú škálu informácií, od minimálnych informácií, ktoré sú k dispozícii od Signalu a Telegramu, cez základné informácie o účastníkoch a ďalšie metadáta, ktoré FBI poskytuje niekoľko služieb, až po "obmedzený" obsah uložených správ od troch z deviatich aplikácií: LINE (ktorá, ako už bolo povedané, stále podporuje konverzácie mimo E2EE), iMessage a WhatsApp.
Táto posledná časť môže byť pre niektorých používateľov iMessage a WhatsApp prekvapením, keďže hovoríme o správach E2EE. Je pravda, že E2EE robí správy používateľov neprístupnými pre orgány činné v trestnom konaní počas prenosu, ale v prípade cloudového úložiska je to iný príbeh. Ak má používateľ služby iMessage zapnuté zálohovanie na iCloud, spolu so správami sa zálohuje aj kópia šifrovacieho kľúča (na účely obnovy), ktorá bude zverejnená v rámci vrátenia súdneho príkazu spoločnosti Apple a umožní prečítanie správ. Správy WhatsApp možno zálohovať na iCloud alebo Disk Google, takže príkaz na prehliadku jednej z týchto cloudových služieb môže priniesť údaje WhatsApp vrátane obsahu správ (hoci príkaz na prehliadku aplikácie WhatsApp nevráti obsah správ). (Spoločnosť WhatsApp nedávno začala zavádzať možnosť zálohovania správ E2EE v cloude, čím sa tabuľka FBI stala mierne neaktuálnou).
Hoci niektoré informácie v tabuľke je možné dať dohromady prehľadávaním verejnej dokumentácie výrobcov aplikácií a trestných spisov súdov, FBI ich vhodne zhromaždila na jednej prehľadnej stránke. Ak náhodou poznáte zákony upravujúce ochranu súkromia v elektronickej komunikácii a technické nuansy vybranej aplikácie na šifrované správy, možno to pre vás budú staré správy. To môže opisovať veľa čitateľov Just Security a reportérov zaoberajúcich sa vládnym dohľadom, ale pravdepodobne to neodráža mentálny model priemerného používateľa o tom, ako funguje služba na zasielanie správ E2EE.
Tabuľka tiež odhaľuje podrobnosti, o ktorých výrobcovia aplikácií nehovoria otvorene, ak vôbec, vo svojich verejne prístupných usmerneniach o požiadavkách orgánov presadzovania práva. V prípade súdneho príkazu spoločnosť WhatsApp zverejní, ktorí používatelia aplikácie WhatsApp majú cieľového používateľa vo svojich adresároch, čo sa na stránke s informáciami o presadzovaní práva spoločnosti WhatsApp neuvádza. A spoločnosť Apple poskytne 25-dňové vyhľadávanie iMessage na cieľové číslo a z neho bez ohľadu na to, či sa konverzácia uskutočnila, čo je opísané v usmerneniach spoločnosti Apple o presadzovaní práva, ale na pochopenie je potrebné trochu pátrať, pretože ani FBI, ani spoločnosť Apple nevysvetľujú, čo to znamená v zrozumiteľnej angličtine. V každom prípade spoločnosť zverejňuje zoznam svojich ostatných používateľov, ktorí majú kontaktné údaje cieľového používateľa, bez ohľadu na to, či s nimi cieľový používateľ komunikoval alebo nie. (Ak iné služby zasielania správ praktizujú zverejňovanie podobných informácií, v tabuľke sa to neodráža.) Tieto podrobnosti zdôrazňujú široký záber amerického zákona o elektronickom sledovaní, ktorý umožňuje vyšetrovateľom požadovať akýkoľvek "záznam alebo iné informácie týkajúce sa [cieľového] účastníka" v reakcii na príkaz 2703(d) alebo príkaz na prehliadku. Hoci spoločnosti Apple a Meta bojovali za súkromie používateľov proti nadmerným vládnym požiadavkám, zákon napriek tomu umožňuje využívať množstvo údajov používateľov.
Populárne nesprávne vnímanie súkromia v oblasti správ
Stručne povedané, pre bežného človeka nie je ľahké presne pochopiť, aké informácie z jeho aplikácií na zasielanie správ by mohli skončiť v rukách federálnych vyšetrovateľov. Nielenže rôzne aplikácie majú rôzne vlastnosti, ale výrobcovia aplikácií nemajú veľkú motiváciu byť v týchto detailoch priami. Ako ukazuje tabuľka FBI, trh bezplatných, bezpečných aplikácií na zasielanie správ je vďačne preplnený a konkurenčný. Poskytovatelia chcú u súčasných a budúcich používateľov vzbudiť dojem, že ich aplikácia je špičková, pokiaľ ide o bezpečnosť a súkromie používateľa, či už sa používateľ obáva zlomyseľných hackerov, vlád alebo samotného poskytovateľa. Poskytovatelia sa naučili dávať si pozor na preceňovanie bezpečnostných vlastností svojich služieb, ale vsádzajú na to, že marketingová kópia si získa väčšiu pozornosť ako technické biele knihy alebo správy o transparentnosti.
V tomto ohľade sa motivácia tvorcov aplikácií zhoduje s motiváciou FBI. Vzhľadom na dlhoročnú kampaň FBI proti šifrovaniu sú jej poskytovatelia šifrovaných služieb, ktorých vo verejných vystúpeniach menovite odsúdila, zvláštnymi spoločníkmi. Poskytovatelia služieb aj FBI však profitujú z rozšírenej mylnej predstavy, ktorá podceňuje údaje používateľov dostupné vyšetrovateľom z niektorých služieb E2EE. Toto mylné chápanie zároveň udržiava imidž poskytovateľov v očiach používateľov, ktorí si uvedomujú súkromie, a zároveň podporuje naratív FBI, že v dôsledku šifrovania sa "stmieva" pri vyšetrovaní trestných činov.
Hoci toto nedorozumenie môže pomôcť vyšetrovateľom orgánov činných v trestnom konaní, môže mať významné dôsledky pre ich ciele. Na výbere komunikačnej služby záleží nielen zločincom zo záhrady, ale aj novinárom a ich zdrojom, informátorom a aktivistom.
Ako sa uvádza v článku časopisu Rolling Stoneo grafe FBI, metadáta aplikácie WhatsApp boli kľúčom k zatknutiu a odsúdeniu Natalie Edwardsovej, bývalej úradníčky amerického ministerstva financií, ktorá vyzradila interné dokumenty reportérovi, s ktorým si vymenila stovky správ cez WhatsApp. Edwardsová (a pravdepodobne aj reportér, ktorý mal voči Edwardsovej etickú povinnosť chrániť zdroj) verila, že aplikácia WhatsApp je bezpečná pre komunikáciu novinára so zdrojom. Toto nedorozumenie stálo Edwardsovú slobodu.
Skutočnosť za mýtom
Vďaka zákonu o slobodnom prístupe k informáciám a jeho horlivým žiakom v POTP si teraz verejnosť môže pozrieť interný dokument FBI, ktorý prehľadne zhŕňa realitu za mýtom. Ukazuje, že napriek tvrdeniam o "stmievaní" môže FBI získať pozoruhodné množstvo údajov o používateľoch z aplikácií na zasielanie správ, ktoré majú spolu niekoľko miliárd globálnych používateľov. (Možnosť testovať verejné tvrdenia vlády v porovnaní s jej internými vyhláseniami je jedným z dôvodov, prečo je verejný prístup k vládnym záznamom, zmysel existencie POTP, taký dôležitý). Ukazuje úlohu, ktorú cloudové úložisko a metadáta zohrávajú pri zmierňovaní vplyvu end-to-end šifrovania na sledovanie komunikácie v reálnom čase. A ukazuje, ktoré populárne služby E2EE pre zasielanie správ skutočne nevedia o svojich používateľoch takmer nič.
Ak si používatelia myslia, že šifrované aplikácie, ktoré používajú, o nich neuchovávajú veľa informácií, graf FBI ukazuje, že toto presvedčenie je do veľkej miery mylné. Až na niektoré výnimky mnohé veľké služby na zasielanie správ E2EE odovzdávajú federálnym orgánom činným v trestnom konaní všetky druhy údajov a cloudové zálohy môžu dokonca umožniť zverejnenie uložených správ odoslaných v dvoch najväčších aplikáciách na zasielanie správ E2EE. Aj keď len málo alebo nič z toho, čo je v dokumente, nie je skutočnou novinkou, aj tak je užitočné vidieť to tak stručne uvedené na jednej strane. Ak sa obávate o súkromie pri posielaní správ, použite túto tabuľku (spolu s príručkami o ochrane súkromia a bezpečnosti špecifickými pre vašu situáciu, napríklad pre žurnalistiku alebo protesty), aby ste sa mohli rozhodnúť, ktorá aplikácia je pre vás najlepšia - a podeľte sa o ňu aj s ľuďmi, s ktorými chatujete. Takto sa môžete informovanejšie rozhodnúť, ktoré aplikácie si ponecháte (a ktoré opustíte).
