Războaiele crypto într-o nouă etapă: „lovitura nucleară”
Liviu IoniţăAgenţia Naţională de Securitate (National Security Agency, NSA) a SUA a publicat, recent, avertizări cu privire la posibilitatea accesării şi utilizării datelor de localizare mobile, precum şi a altor dispozitive conectate la Internet, de către ... adversari. NSA a recomandat ca lucrătorii guvernamentali, în general persoanele preocupate de confidenţialitate, să oprească FindMyDevice, Wi-fi şi Bluetooth, ori de câte ori acestea nu sunt necesare şi să limiteze utilizarea datelor de locaţie de către aplicaţii. Se pare că a devenit o practică uzuală a agenţiei, în ultimele luni, comunicarea de avertismente şi împărtăşirea de sfaturi cu privire la securitatea cibernetică.
În luna iunie, NSA a emis un avertisment potrivit căruia hackerii ruşi exploatează o vulnerabilitate de pe serverele de e-mail.
Iar, mai devreme, în aprilie, în contextul extinderii perioadei „work from home”, agenţia analiza securitatea unor platforme criptate, oferind „criterii prin care angajaţii şi organizaţiile guvernamentale pot decide în mod informat care dintre aplicaţii răspund în siguranţă nevoilor lor particulare”.
În timp ce NSA împarte sfaturi cu dărnicie, bătălia pentru confidenţialitate a intrat într-un nou capitol: la 23 iunie 2020, senatorii americani Marsha Blackburn, Tom Cotton şi Lindsey Graham au introdus Legea privind accesul legal la datele criptate, act normativ care obligă companiile tehnologice care operează în SUA să ofere guvernului şi agenţiilor de aplicare a legii acces la datele criptate atunci când li se solicită acest lucru.
Accesarea neautorizată a dispozitivelor mobile devine un risc de securitate naţională
În ghidul său din 4 august, Agenţia Naţională de Securitate a Statelor Unite avertizează că locaţia oricărui smartphone pornit poate fi identificată.
NSA solicită angajaţilor săi să dezactiveze distribuirea locaţiilor pe dispozitivele mobile şi alte gadgeturi pentru a elimina orice risc de securitate şi scurgeri de informaţii, precizând că, deşi indicaţiile sale sunt destinate în primul rând personalului militar şi celui din intelligence, de ele pot ţine cont toţi utilizatorii de telefonie mobilă.
Agenţia recomandă acordarea de cât mai puţine permisiuni aplicaţiilor şi limitarea navigării web pe telefoane.
Potrivit ghidului, dispozitivele mobile nu ar trebui să aibă serviciile de localizare activate, deoarece acestea ar putea urmări mişcarea în cadrul instituţiilor guvernamentale şi ar putea oferi acces la date sensibile.
Distribuirea locaţiilor poate fi esenţială pentru anumite aplicaţii precum Google Maps, dar informaţiile pe care acestea le colectează despre locaţia utilizatorilor ajung şi la companii tehnologice care apoi pot vinde datele anonimizate către comercianţi şi agenţii de publicitate.
Ghidul NSA acoperă, de asemenea, dispozitivele IoT, fiind vizată conectarea la Internet a dispozitivelor care pot dezvălui date despre operaţiuni militare. De asemenea, avizul s-a extins şi la echipamentele de urmărire utilizate în fitness şi alte tehnologii încorporate în ceasurile inteligente şi computerele care se găsesc în automobile.
Între timp, disputa dintre furnizorii de platforme de mesagerie criptată (Facebook, WhatsApp, iMessage) şi politicieni a intrat într-o nouă etapă.
Guvernul SUA, ca de altfel şi guvernele celorlalte state din Five Eyes, se confruntă cu marile companii tehnologice pentru a face criptarea end-to-end accesibilă agenţiilor de aplicare a legii, în timp ce industria de IT susţine că acest demers va afecta confidenţialitatea şi va slăbi securitatea utilizatorilor din întreaga lume.
Criptarea end-to-end reprezintă un sistem în care numai utilizatorii (emiţător/destinatar) implicaţi în procesul de comunicare pot citi mesajele, ceea ce împiedică, în principiu, o terţă parte să poată accesa cheile criptografice necesare pentru a avea acces la conversaţie. Ca urmare, pentru a respecta regimul confidenţialităţii, companiile care utilizează acest procedeu nu sunt în măsură să transmită autorităţilor textele mesajelor clienţilor lor.
Pentru ca agenţiile guvernamentale să aibă acces la date va fi nevoie să fie încorporate în dispozitive aşa numitele backdoors (tip de software destinat ocolirii sistemelor de securitate) ori realizarea a ceea ce se cheamă ... key escrow (o măsură de securitate a datelor în care o cheie criptografică este încredinţată unei terţe părţi, adică este păstrată în custodie), dar care prezintă un risc major pentru securitate: utilizatorul oferă acces la informaţii celui care deţine cheia criptografică.
Problema ridicată de cei care se opun ideii este dacă doar „băieţii buni” vor avea acces la aceste backdoors, ceea ce este puţin probabil.
Dezbaterea cu privire la viitorul criptării end-to-end a polarizat inclusiv opinia publică şi se intensifică.
De o parte sunt cei care susţin că investigaţiile sunt împiedicate de existenţa criptării end-to-end, de cealaltă sunt cei care consideră că orice compromis în criptarea end-to-end şi introducerea de backdoors în aplicaţii va fi exploatat de persoane rău intenţionate.
Disputa pentru confidenţialitatea dispozitivelor digitale este veche de mai mulţi ani. În 1993, Agenţia de Securitate Naţională a dezvoltat cipul Clipper, pentru a oferi guvernului acces la orice dispozitiv mobil în care a fost instalat. Acest cip utilizează un puternic algoritm de criptare, folosind un sistem de key escrow: o cheie universală pentru decodare se găseşte în posesia agenţilor guvernamentali.
O dată cu Clipper, a fost declanşat ceea ce avea să fie cunoscut sub numele de „războaiele cripto” între guvern şi producătorii de telefoane, aceştia câştigând în cele din urmă când proiectul a fost anulat în 1996.
Intenţia statului de a găsi mijloace pentru a depăşi barierele de criptare a continuat, iar dezvăluirile lui Edward Snowden au arătat cât de departe au mers aceste eforturi, agenţiile de informaţii devenind capabile să ocolească criptarea atât a smartphone-urilor iOS, cât şi a celor cu sistem de operare Android.
Un punct culminant al disputei a fost în 2016, după ce FBI-ul nu a putut accesa iPhone-ul unuia dintre trăgătorii implicaţi în atacul terorist din San Bernardino. Telefonul a fost proiectat pentru a şterge toate datele după mai multe încercări eşuate de conectare. Ulterior, NSA şi FBI au încercat să-i solicite Apple nu doar acces la telefon, ci să dezvolte o versiune nouă a iOS cu diferite caracteristici de securitate dezactivate.
WhatsApp a popularizat nivelul de securitate oferit de criptarea end-to-end şi susţine şi în prezent că va continua să depună eforturi împotriva încercărilor guvernamentale de acces, asigurându-se că utilizatorii sunt astfel protejaţi.
WhatsApp s-a dovedit cel mai dispus, alături de Facebook, să lupte pentru criptarea end-to-end în instanţă. În cadrul acţiunilor judecătoreşti, WhatsApp a avut surpriza să constate, ca urmare a dezvăluirii unor documente în timpul proceselor, că directorul FBI, Christopher Wray, în prezent un militant activ pentru introducerea backdoors, a argumentat în trecut în favoarea criptării end-to-end când, în calitate de avocat, partener al firmei King & Spalding, a fost angajat să protejeze software-ul WhatsApp de efortul Departamentului Justiţiei de slăbire a criptării.
Şi tot o surpriză în întortocheatul război al opţiunilor pro şi contra criptării end-to-end dintre agenţiile de aplicare a legii şi companii, a fost publicarea, în 24 aprilie, de către Agenţia Naţională de Securitate a SUA a unui document consultativ privind securitatea platformelor de mesagerie şi conferinţe video.
Documentul NSA „oferă o imagine a celor mai bune practici”, a unor „considerente simple, acţionabile pentru utilizatorii guvernamentali” care „permit forţei de muncă să funcţioneze în siguranţă de la distanţă folosind dispozitive personale.”
NSA a acordat calificative superioare referitoare la securitatea comunicaţiilor tocmai WhatsApp, Wickr şi Signal, cele trei platforme care sunt printre cei mai înfocaţi susţinători ai criptării mesajelor end-to-end. Iar printre primele criterii pentru calificativele NSA: criptarea end-to-end.
Proiect legislativ care oferă autorităţilor acces nelimitat la datele criptate
Însă, ceea ce unii numesc „lovitura nucleară” din războaiele crypto, este actul normativ introdus, la data de 23 iunie 2020, de către senatorii americani Marsha Blackburn, Tom Cotton şi Lindsey Graham.
Legea accesului la datele criptate (Lawful Access to Encrypted Data Act of 2020, LAED) va interzice companiilor tehnologice care operează în SUA să ofere criptare end-to-end în servicii online şi să ofere dispozitive criptate care nu pot fi deblocate şi nu includ mijloace de decriptare a datelor destinate agenţiile de aplicare a legii.
Astfel, proiectul de lege permite instanţelor să oblige furnizorii de sisteme de operare, producătorii de dispozitive şi furnizorii de servicii de comunicaţii să ajute guvernul, în urma oricărei solicitări de informaţii făcute prin intermediul unui mandat. Mai mult, furnizorilor în cauză li se cere să se asigure că sunt în măsură să ofere acea asistenţă, ceea ce va include obligarea acestora să comunice date despre „orice capacităţi tehnice care sunt necesare pentru a pune în aplicare şi a respecta ordinele judecătoreşti anticipate”.
Proiectul de lege marchează, practic, sfârşitul serviciilor digitale care includ criptare end-to-end, şi care nu oferă backdoors pentru acces destinat agenţiilor guvernamentale de aplicare a legii şi nu se adresează doar Apple, Google, Facebook, Signal şi altora asemenea lor.
El se aplică, în egală măsură, sistemelor de operare şi aplicaţiilor, platformelor de mesagerie şi chat, platformelor social media şi serviciilor de stocare prin e-mail şi cloud, de videoconferinţă, smartphone-urilor, laptop-urilor şi desktop-urilor şi, probabil, maşinilor de vot şi dispozitivelor IoT, vizând orice dispozitiv electronic cu doar 1 GB capacitatea de depozitare.
Mai mult, proiectul de lege se aplică şi metadatelor.
Pentru datele stocate (stored date), fie de la distanţă, fie pe un dispozitiv local, forţele de ordine vor merge în faţa unui judecător şi vor solicita o hotărâre judecătorească care necesită asistenţă tehnică din partea furnizorului (pe care o pot face simultan cu cererea de informaţii sau după obţinerea mandatului). Dacă forţele de ordine pot indica existenţa unor „motive rezonabile”, potrivit cărora demersul „va ajuta la executarea mandatului”, judecătorul este obligat să emită ordinul de oferire de asistenţă tehnică în consecinţă.
Pentru comunicarea în timp real (data in motion), proiectul de lege prevede un alt tip de ordin judecătoreasc: mandatul de interceptare.
Pentru toate aceste obligativităţi de acordare de asistenţă tehnică există o limitare: furnizorul care primeşte comanda trebuie să decripteze datele „cu excepţia cazului în care acţiunile independente ale unei entităţi neafiliate fac imposibil din punct de vedere tehnic acest lucru”, adică, dacă datele au fost criptate de altcineva, nu de furnizor.
Asta însemnă, de pildă, că Facebook nu va mai avea voie să răspundă că nu are capacitatea de a decripta mesajele WhatsApp; Apple nu va mai avea voie să spună că nu are capacitatea de a debloca un iPhone. Dacă legea va fi adoptată, va fi necesar să reproiecteze acele produse astfel încât să le poată decripta.
Dacă un furnizor nu a conceput deja o capacitate de decriptare, procurorul general poate impune să se construiască una, folosind ceea ce se numeşte „directivă privind capacitatea de asistenţă” (assistance capability directive).
Pentru a crea o capacitate de decriptare, furnizorii pot extinde lucrările către contractanţi, dar numai dacă acesta are sediul în SUA.
Există opinii potrivit cărora proiectul de lege este „o combinaţie nefericită” între Communications Assistance for Law Enforcement Act, CALEA, proiectul de lege Compliance with Court Orders Act din 2016 al senatorilor Richard Burr şi Dianne Feinstein (care nu a fost finalizat) şi Legea australiană din 2018 privind asistenţa şi accesul.
Adoptarea legii în SUA nu va opri infractorii şi teroriştii să găsească alte modalităţi de a-şi cripta datele şi comunicaţiile. Al Qaeda rulează propriul său software de mesagerie criptată, care nu va răspunde la un ordin al judecătorilor din Statele Unite. Mai mult, majoritatea entităţilor care oferă produse criptate se află în afara SUA, în afara competenţei Congresului.
Proiectul de lege este formulat într-un mod atât de amplu, încât doar va elimina garanţiile de confidenţialitate şi securitate pe care criptarea le oferă în prezent utilizatorilor obişnuiţi, în timp ce „băieţii răi” vor înceta să mai utilizeze produsele şi serviciile furnizorilor de tehnologie din SUA şi se vor muta către alte zone - fie că sunt aplicaţii şi platforme ilicite (cum ar fi aplicaţia rulată de Al Qaeda), fie către cele legitime din afara SUA - care le îngreunează autorităţilor americane monitorizarea.
Temerea celor care susţin securitatea comunicaţiilor şi criptarea end-to-end este că, „în timp ce oamenii sunt distraşi stocând mănuşi din latex şi hârtie igienică, există un proiect de lege care conţine un alt virus, acela al backdoors pe care agenţiile de aplicare a legii încearcă să îl introducă de ani de zile.” Senatorul american Ron Wyden caracterizează acţiunea de promovare a respectivei legislaţii drept „cal troian”, care oferă guvernului „acces la toate aspectele din viaţa americanilor”.
Anul trecut, CEO-ul platformei de mesagerie uber-Wickr a recunoscut necesitatea reală şi „complet legitimă” a forţelor de ordine, dar a avertizat, de asemenea, că „a decide cine primeşte acces (la cheia de criptare) înseamnă a fi în măsură să determini cine este bun şi cine este rău".
Este argumentul esenţial împotriva noii legislaţii: generează riscuri în timp ce este posibil să nu ofere beneficiile preconizate.
Centrul pentru Internet şi Societate de la Universitatea Stanford numeşte proiectul de lege, care se aliniază poziţiei alianţei de intelligence Five Eyes, un „atac nuclear frontal complet asupra criptării în Statele Unite” (Riana Pfefferkorn).
Firma de securitate cibernetică, SecureWorld, a analizat proiectul legislativ prin prisma declaraţiilor Five Eyes în dezbaterea privind confidenţialitatea şi securitatea din 2018:
„Legile privind confidenţialitatea trebuie să împiedice interferenţele arbitrare sau ilegale, dar confidenţialitatea nu este absolută.”
„Decalajul din ce în ce mai mare dintre capacitatea forţelor de ordine de a accesa în mod legal datele şi capacitatea lor de a achiziţiona şi utiliza conţinutul acestor date este o preocupare internaţională presantă.”
„Suntem întotdeauna dispuşi să lucrăm cu furnizorii de tehnologie pentru a ne îndeplini responsabilităţile publice de siguranţă şi pentru a asigura capacitatea cetăţenilor de a-şi proteja datele sensibile”.
O coaliţie formată din mai multe grupuri din domeniul cybersecurităţii şi libertăţii Internetului (Internet Society, Wikimedia Foundation, Centrul pentru Democraţie şi Tehnologie), precum şi academicieni şi experţi de la American Civil Liberties Union, Stanford University şi Massachusetts Institute of Technology, a trimis, în 7 iulie, o scrisoare iniţiatorilor proiectului de lege anti-criptare, argumentând că ar face sute de milioane de americani mai vulnerabili la hacking.
Scrisoarea menţionează schimbarea dramatică produsă în ultimii ani, pe măsură ce parlamentarii şi oficialii au devenit din ce în ce mai sceptici la ideea importanţei unei criptări solide susţinută de specialiştii.
Autorii mesajului menţionează, de asemenea, vulnerabilităţile generate de sporirea teleworkingului în timpul pandemiei, care a deschis noi posibilităţi pentru hackeri şi a făcut vitală criptarea şi susţin că forţele de ordine nu explorează şi alte modalităţi prin care pot urmări online criminalii, fără a sparge criptarea.
Aceste metode includ utilizarea hacking-ului autorizat legal pentru a exploata erorile în modul în care infractorii utilizează criptarea.
Susţinătorii criptării se declară şi împotriva unui alt proiect de lege al Senatului care ameninţă criptarea şi care ar însemna, în fapt, un prim pas în eliminarea acesteia: Eliminating Abusive and Rampant Neglect of Interactive Technologies, EARN IT Act.
Odată intrat în vigoare, EARN IT ar elimina scutirea legală de responsabilităţi acordată în prezent platformelor de mesagerie pentru „comunicarea pe Internet” în propriile reţele, prevăzută de Communications Decency Act (CDA). Ca urmare, în cazul transmiterii unui conţinut periculos şi ilegal, aceştia vor putea fi traşi la răspundere.
EARN IT Act, printre ai cărui iniţiatori îl regăsim din nou pe acelaşi senator Lindsey Graham, nu menţionează introducerea de backdoors, ci vine cu mesajul ”dacă transmiţi conţinut ilegal sau periculos, vei fi responsabil”.
Carnegie Endowment for International Peace şi Princeton University au convocat un grup de experţi - Encryption Working Group - pentru a promova un dialog constructiv asupra politicii de criptare.
Grupul de lucru este format din foşti oficiali guvernamentali, reprezentanţi ai mediului de afaceri, avocaţi ai vieţii private şi drepturilor civile, experţi în aplicarea legii şi specialişti în informatică.
Începând cu anul 2018, grupul s-a întâlnit pentru a discuta problemele importante legate de politica de criptare, iar, la unele dintre sesiunile de lucru, au participat şi reprezentanţi ai agenţiilor guvernamentale federale din SUA.
Grupul a luat în considerare faptul că dezvăluirile de încălcări masive ale confidenţialităţii datelor şi dezvăluirile despre abilităţile de urmărire a utilizatorilor de tehnologie au evidenţiat rolul pe care îl poate juca criptarea în protejarea datelor personale.
De la cetăţeni obişnuiţi la aşa numite persoane cu risc (jurnalişti, activişti, grupuri marginalizate care se tem de persecuţie), criptarea este folosită din ce în ce mai mult pentru protecţie nu numai împotriva criminalităţii informatice, ci şi împotriva dezvăluirii şi monitorizării nedorite a mesajelor de către platformele tehnologice şi alţi actori interesaţi. Importanţa criptării a crescut pe măsură ce tehnologia informaţiei a permis crearea şi stocarea informaţiilor personale din ce în ce mai sensibile.
Concluzia grupului de lucru: sunt necesare mai multe demersuri pentru a detalia dezbaterea, pentru a separa abordarea legată de stored data de cea care priveşte data in motion şi a examina riscurile şi beneficiile deopotrivă.
Ca urmare, nu va putea exista o singură abordare pentru cererile de acces legal la conţinutul comunicărilor care să poată fi aplicate oricărei tehnologii sau mijloace de comunicare.