Służby Specjalne
Zgniłe jabłko czy owoc zakazany?
FBI zgodnie z nakazem sądowym domaga się, by Apple pomógł agentom Biura uzyskać dostęp do zaszyfrowanych danych z iPhone’a sprawcy ataku terrorystycznego z San Bernardino. Prezes Apple przekonuje, że firma nie posiada takich zdolności, a spełnienie żądań FBI mogłoby przynieść niepożądane skutki.
Przemawiając 16 miesięcy temu w Waszyngtonie dyrektor FBI James Comey ostrzegał przed zbliżającym się punktem krytycznym, w którym konieczne stanie się podjęcie określonych kroków i decyzji na nowo definiujących prywatność: „Nadejdzie kiedyś dzień, gdy dla wielu niewinnych ludzi ważne stanie się, abyśmy my jako strażnicy prawa nie mieli możliwości uzyskania dostępu do niektórych danych czy informacji, nawet w zgodzie z obowiązującymi przepisami”. Szef Federalnego Biura Śledczego w dalszej części swego wywodu przedstawił, co należy zrobić, by taki dzień nigdy nie nadszedł. „Potrzebujemy wsparcia i współpracy ze strony firm przy realizacji zgodnych z prawem nakazów sądowych, aby przestępcy na całym świecie nie mogli znaleźć azylu, w którym byliby w stanie bezpiecznie prowadzić nielegalną działalność”.
Szef FBI opisał określone innowacje technologiczne, które mogłyby ograniczyć możliwości Biura w realizacji jego zadań. „W przypadku nowego systemu operacyjnego firmy Apple, informacje przechowywane w wielu telefonach iPhone i innych urządzeniach są szyfrowane domyślnie. Oznacza to, że firmy same w sobie nie są w stanie odblokować telefonów, laptopów czy tabletów w celu ujawnienia zdjęć, dokumentów, korespondencji e-mail i nagrań w nich przechowywanych. Szyfrowanie nie jest jedynie kwestią technologii, jest to także element strategii marketingowej. Będzie to jednak miało bardzo poważne konsekwencje dla organów ścigania i agencji zajmujących się bezpieczeństwem narodowym na wszystkich poziomach. Zaawansowani przestępcy będą korzystać z wyżej wymienionych środków, żeby uniknąć wykrycia. Jest to ekwiwalent „nieotwieralnej” szafki. Sejfu, do którego nie da się włamać”.
Na całym świecie rządy domagają się zapewnienia im „tylnych furtek” do systemów teleinformatycznych. To dostawcy technologii dokonują wyboru, czy zgodzić się na tego typu żądania czy też zrezygnować z prowadzenia działalności gospodarczej w państwach, których władze wysuwają takie roszczenia.
Ta hipotetyczna sytuacja i przewidywania Comeya, wedle których wskutek nowej polityki Apple, dojdzie do konfrontacji (interesów państwa z interesami biznesu – przyp. red.), urzeczywistniły się w ubiegłym tygodniu. W swoich felietonach zresztą także przewidywałem, że szyfrowanie stanie się istotnym problemem dla cyberbezpieczeństwa w 2016 r.
Całkiem niedawno, bo 17 lutego br., Tim Cook, prezes zarządu Apple, wysłał list otwarty do swych klientów, w którym zapowiedział, że technologiczny gigant będzie walczyć z nakazem sądu, który zmusza jego firmę do udzielenia FBI pomocy w odblokowaniu telefonu iPhone należącego do Syeda Farooka, jednego z dwóch terrorystów odpowiedzialnych za śmierć 16 osób (w tym siebie samego) i zranienie dodatkowych 24 ofiar w placówce służby zdrowia w San Bernardino w Kalifornii pod koniec ub.r. Zapowiadając odmowę wykonania nakazu sądowego Cook stwierdził, że firma Apple zrobiła wszystko, co było w jej mocy zgodnie z prawem, by pomóc FBI, jednak amerykański rząd obecnie prosi o stworzenie nowych rozwiązań, które koncern uznaje za potencjalnie zbyt niebezpieczne.
Obecnie FBI nie jest w stanie spenetrować telefonu Farooka, ponieważ jest on zablokowany hasłem, a dane na nim zapisane są zaszyfrowane. Telefon posiada także opcję automatycznego kasowania danych, która może spowodować usunięcie wszystkich zapisanych na nim informacji. Stanie się to po dziesiątej nieudanej próbie wprowadzenia hasła. W świetle tych okoliczności FBI poprosiło Apple o stworzenie poprawki systemu operacyjnego, stosowanego na telefonach iPhone, dzięki której możliwe byłoby zastąpienie opcji auto-erase możliwością wprowadzania hasła nieskończenie wiele razy. Pozwoliłoby to ekspertom z FBI skorzystać z metody „brute force” - w celu uzyskania dostępu do danych mogliby oni wprowadzać kolejne permutacje hasła aż do skutku.
Cook twierdzi jednak, że stworzyłoby to „tylne wejście” do zaszyfrowanego systemu, które mogłoby być wykorzystywane nielegalnie przez amerykański rząd. Mogliby je również przejąć hakerzy. Udostępnienia hasła mogłyby także zażądać autorytarne rządy innych krajów, które łamią prawo. Istnienie tego typu tylnego wejścia Cook uznał za niebezpieczne, nawet hipotetycznie.
James Comey przewidział, że nakaz sądu zmuszający Apple do udzielenia pomocy FBI wywoła sprzeciw firmy i prewencyjnie odniósł się do argumentacji, którą faktycznie posłużył się producent telefonów typu iPhone. „Istnieje błędne przekonanie, jakoby stworzenie legalnego rozwiązania do przechwytywania danych i wbudowanie go w system wymagało tzw. tylnego wejścia, które mogliby wykorzystać nieprzyjaciele. Nie jest to jednak prawda. Nie szukamy „tylnej furtki”. Chcemy użyć głównego wejścia w sposób przejrzysty zgodnie z prawem. Nie potrzebujemy nic ponad sądowy nakaz i procedury prawa, które zapewniają nam legalny dostęp do materiału dowodowego i informacji niezbędnych do przeprowadzenia śledztwa oraz zapobiegania atakom terrorystycznym przez frontowe drzwi”.
W gruncie rzeczy argumenty Cooka i Comeya dotyczą bardziej semantyki niż samej istoty problemu. Co więcej oba stanowiska są w pewnym stopniu absurdalne.
Weźmy chociażby przedstawione przez Comeya żądanie stworzenia dla FBI „drzwi frontowych”. Kwestia tego, gdzie drzwi się znajdują, nie ma żadnego znaczenia. Problemem nie jest, jaką drogą organy ścigania uzyskają dostęp do zaszyfrowanych danych - frontowymi, tylnymi, czy nawet bocznymi drzwiami. Chodzi o samo istnienie takiej furtki. Jeżeli Stany Zjednoczone podejmą kroki w celu stworzenia mechanizmu prawnego, zgodnie z którym FBI i inne organy ścigania uzyskają zdolność odszyfrowywania danych w granicach prawa i pod nadzorem sądowym, głupotą byłoby zakładać, że hakerzy nie podejmą prób sforsowania tej furtki. A jeżeli Stany Zjednoczone rozwiną tego typu zdolności, do czego posuną się Rosja, Chiny i pozostałe państwa, które chcą mieć podobny dostęp do danych swych obywateli?
Argumentacja Cooka jest nie mniej problematyczna. Sugestia, jakoby na penetrację podatne były tylko te rozwiązania informatyczne, które zostały wyposażone przez producenta w „tylne wejście”, świadczy o ignorancji w świetle tego, co dzieje się na co dzień w cyberprzestrzeni. Hakerzy nieustannie poszukują i wykrywają słabości systemów. Skoro Apple byłby w stanie stworzyć „aktualizację” systemu, która zgodnie z oczekiwaniami FBI umożliwi wyłączenie opcji automatycznego usuwania danych w iPhone’ie, bezpodstawne jest twierdzenie, że podobnej modyfikacji nie będzie w stanie wprowadzić trzecia strona, nawet jeśli zostanie to okupione znacznie większym wysiłkiem.
Drugi argument Cooka, dotyczący stworzenia precedensu, który mógłby być wykorzystany przez dyktatorów i reżimy autorytarne, jest równie nietrafiony i świadczy o hipokryzji. Na całym świecie rządy domagają się zapewnienia im „tylnych furtek” do systemów teleinformatycznych. To dostawcy technologii dokonują wyboru, czy zgodzić się na tego typu żądania czy też zrezygnować z prowadzenia działalności gospodarczej w państwach, których władze wysuwają takie roszczenia. I tak np. firma Blackberry, która przedkłada bezpieczeństwo smartfonów nad inne kwestie, niemal zaprzestała sprzedaży swych produktów na rynku indyjskim właśnie z powodu żądań rządu w New Delhi, który domagał się dostępu do komunikacji użytkowników urządzeń dostarczanych przez wspomnianego producenta. W ostateczności jednak firma poszła na pewne ustępstwa. Z kolei Apple podjęło podobne kroki w Chinach. Gazeta wydawana przez rząd Chińskiej Republiki Ludowej, „People's Daily”, niedawno ogłosiła, jakoby amerykański producent zgodził się na to, by chińskie krajowe Biuro Informacji Internetowych uzyskało możliwość sprawowania „kontroli bezpieczeństwa” we wszystkich produktach amerykańskiego giganta.
Tak więc debata, którą relacjonujemy, nie dotyczy konieczności dokonania wyboru pomiędzy frontowymi czy tylnymi drzwiami. Nie chodzi w niej także o to, jak zabezpieczyć systemy teleinformatyczne czy walczyć z autorytarnymi rządami. Wynika ona z głębokiej sprzeczności tkwiącej w nowym podejściu do problemu prywatności, które rozwinęło się w USA od początku naszego stulecia. Jak wynika w ostatniego sondażu przeprowadzonego przez Pew Research Center, Amerykanie gotowi są dzielić się swoimi danymi dla wymiernych korzyści, np. w zamian za darmowe usługi pocztowe takie jak Gmail, jednak są zaniepokojeni faktem, że używane przez nich techniki komunikacji, nie są bezpieczne.
Mamy tu do czynienia z perwersyjną sytuacją, w której konsumenci premiują komercyjne firmy ochoczo dzieląc się z nimi swymi danymi w zamian za obietnicę ich zabezpieczenia i nieprzekazywania osobom trzecim do celów reklamowych, a jednocześnie odmawiają przekazania tych samych informacji rządowi, który nie może im zaoferować wymiernych korzyści z tego tytułu.
Potrzebujemy wsparcia i współpracy ze strony firm przy realizacji zgodnych z prawem nakazów sądowych, aby przestępcy na całym świecie nie mogli znaleźć azylu, w którym byliby w stanie bezpiecznie prowadzić nielegalną działalność.
W omawianym przypadku Apple podtrzymał stanowisko, jakiego oczekiwali odeń amerykańscy klienci, mimo że mogło to naruszać zasady, których koncern musi przestrzegać w Chinach. Z drugiej strony FBI walczy z kryzysem zaufania do władz, który został spotęgowany w wyniku działań Edwarda Snowdena. Przy takiej dynamice zmian zakończenie sporu nie leży w gestii Apple czy FBI.
Konflikt będzie trwał dopóty, dopóki nie zostanie na nowo zdefiniowana prywatność, która będzie odpowiadała realiom cyfrowego świata i którą zaakceptuje całe społeczeństwo jako model rozwoju. W tym sensie Comey miał rację mówiąc, że „moim celem jest wciągnięcie rodaków w imieniu państwa w dyskusję, która ma przynieść odpowiedź na pytanie, gdzie się znajdujemy i dokąd zmierzamy w świetle prawa”.
Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl