Хакерский арсенал ЦРУ: стоит ли нам его опасаться?
После того как на сайте Wikileaks были опубликованы тысячи документов, которые — согласно авторам публикации — раскрывают хакерский инструментарий ЦРУ, включая программы и баги для прослушивания смартфонов, персональных компьютеров и даже "умных" телевизоров, на Центральное разведывательное управление США обрушился целый шквал критики.
Правозащитники утверждают, что создавая каталог изъянов, пробелов и уязвимых мест в системах защиты электронных устройств, спецслужбы намеревались использовать это для своей работы, но при этом поставили под угрозу все население.
"Наша цифровая безопасность оказалась под угрозой, потому что ЦРУ копило информацию об уязвимых местах, вместо того чтобы сотрудничать с компаниями по их устранению", — заявил представитель группы по защите гражданских свобод Access Now Нэйтан Уайт.
Стоит ли нам волноваться?
"Нет ничего удивительного в том, что люди, в задачу которых входит поиск злоумышленников и защита населения, используют все имеющиеся средства для сбора информации об интересующем их объекте", — говорит Дон Смит из SecureWorks — компании, работающей в сфере кибербезопасности.
"Если ЦРУ не располагает возможностями для прослушивания, значит, оно не справляется со своей работой", — считает он.
А специалист по вопросам кибербезопасности Алан Вудворд, который работает советником Европола, а раньше оказывал подобные услуги британскому Центру правительственной связи GCHQ, и вовсе считает, что публикация Wikileaks должна обрадовать общественность.
"Опубликованные документы в большинстве своем касаются направленных акций, речь не идет о массовой слежке и перетряхивании целого стога данных в поисках одной иголки", — сказал он в интервью Би-би-си.
"Им требуются ордера, они не могут просто так прослушать любой телефон, так это не делается, — пояснил эксперт. — Одна из причин, по которой люди доверяют спецслужбам, заключается в том, что эти спецслужбы подчиняются закону, а когда этого не происходит, это вылезает наружу".
Тем не менее, Access Now утверждает, что решение ЦРУ засекретить информацию об уязвимых местах в системах защиты гаджетов "имело серьезные последствия для прав человека и цифровой безопасности".
Методы ЦРУ подверг критике и Эдвард Сноуден. "Представьте себе мир, где ЦРУ придумывает, как проследить за вами через ваш же телевизор, — написал он в "Твиттере". — И этот мир уже здесь".
Безопасны ли "умные" устройства?
Наши дома "умнеют" на глазах: буквально все в них, от электрического выключателя до управляемых голосовыми командами кухонных агрегатов, подключается к интернету.
Если эти устройства не защищены, они могут рассказать о том, что вы делаете дома.
"Представление о том, что спецслужбы ведут массовую слежку с помощью этих устройств, не соответствует действительности, — уверяет Дон Смит. — Я бы крайне удивился, если бы это происходило на самом деле, потому что просто не существует ресурсов, способных разобраться со всем этим объемом информации. Меня куда больше волнует то, чего могут достигнуть с помощью этих устройств киберпреступники. Ведь есть множество примеров таких вещей, как "радионяни", в которые можно проникнуть через интернет".
В документах, опубликованных Wikileaks, рассказывается о том, как некоторые модели телевизоров Samsung можно приспособить для слежки за их хозяевами. Однако Алан Вудворд считает, что этот изъян едва ли широко использовался на практике.
"Речь идет всего о нескольких моделях телевизоров Samsung. И если вы читали эти документы, то поймете, что изъян в безопасности сохранялся некоторое время. Было бы странным, если бы ЦРУ не обратило на это внимание, — говорит Вудворд. — Но проводили ли они удаленную хакерскую атаку? Нет. Для этого нужно прийти к вам домой и подключить специальное USB-устройство. А это очень рискованно. Если вы приходите к кому-то домой, вы можете себя выдать".
По словам Алана Вудворда, всякий, кто волнуется, что его электроприборы следят за ним, может "просто выключить их из розетки".
Конечно, этот совет едва ли пригодится тем, кто собирается приобрести один из холодильников последней модели с голосовым управлением, которые сейчас поступили в продажу.
Однако Майк Маклеллан из компании SecureWorks, ранее сотрудничавший с созданным британским правительством Национальным центром кибербезопасности, считает, что среднестатистическому обывателю следует опасаться совсем другого.
"У вас намного больше шансов стать жертвой киберпреступников или вымогателей, чем оказаться на крючке у разведки", — считает он.
Может ли ЦРУ прочитать мои послания в WhatsApp или Signal?
Приложения, позволяющие людям отправлять зашифрованные текстовые сообщения, подразумевают, что их частные послания могут быть перехвачены и прочитаны в интернете.
В документах ЦРУ описываются методы, позволяющие проникать в операционные системы смартфонов, такие как Android и iOS, что может позволить агентам читать сообщения, отправленные через WhatsApp и Signal.
Однако Алан Вудворд обращает внимание на то, что в опубликованных документах речь не идет о том, что ЦРУ удалось "вскрыть" шифр какой-то из этих платформ. Вместо этого сообщение может быть считано в "пункте назначения", со смартфона отправляющей или принимающей стороны, где оно имеется в незашифрованном виде.
Из документов становится понятно, что правительства "принимают тот факт, что шифровка станет обычной практикой в сетях", и поэтому для того, чтобы читать сообщения, усилия необходимо сосредоточить на конечных пунктах.
"Они понимают, что запрет на шифровку не сработает", — говорит Вудворд.
Должно ли было ЦРУ помочь устранить бреши в системе безопасности?
Сноуден назвал ЦРУ "неописуемо безответственным" за то, что агентство не делилось информацией об изъянах в системах безопасности таких устройств, как смартфоны.
"В документах ЦРУ говорится, что [правительство США] анализирует слабые места в американских товарах, а затем эти лазейки сознательно оставляют открытыми, — написал Сноуден в "Твиттере". — Чем это опасно? Тем, что пока лазейка, оставленная ЦРУ, не закрыта, любой хакер может получить доступ в любой iPhone в мире".
Но Вудворд говорит, что его совсем не удивляет тот факт, что ЦРУ не рассказало про обнаруженные бреши в системах безопасности таких производителей, как Apple и Google.
"Если вы занимаетесь разведкой, разве вы станете рассказывать людям о том, что известно только вам? — вопрошает он. — Это ведь ЦРУ, а не агентство по обеспечению компьютерной безопасности. Если у них имеются лазейки, они ими воспользуются. А исправлять ошибки — это не их работа".
Майк Маклеллан также говорит, что "в этом заключается правда жизни: спецслужбы всегда ищут слабину в системах безопасности", но при этом добавляет, что частные компании тоже этим занимаются и "продают свои находки тем, кто больше заплатит".
Все это сильно настораживает Нэйтана Уайта из группы Access Now, который считает, что скрывая информацию об уязвимостях гаджетов, ЦРУ ставит под угрозу жизни простых граждан.
"Наивно думать, что только "хорошие ребята" смогут воспользоваться этими инструментами, — пишет он в своем блоге. — Правительствам, органам правопорядка, разработчикам технологий и гражданскому обществу жизненно необходима честная дискуссия о последствиях хакерской деятельности правительства в цифровой век".
Тем не менее, Алан Вудворд полагает, что многие лазейки, о которых шла речь в опубликованных документах, уже закрыты.
"Неверно предполагать, что ЦРУ складирует проколы в системах безопасности. Эти бреши возникают довольно редко, а исправляются они так быстро, что срок в год или два в технических масштабах можно считать другой эпохой, — полагает он. — Я бы очень удивился, если бы узнал, что они "складируют" эти возможности. Я думаю, они используют их при первом удобном случае, пока не поздно".
Будет ли искусственный интеллект угрожать нашему праву на частную жизнь?
Регулярная прослушка всего населения стала бы огромным и потенциально нереализуемым заданием для любой разведки.
Однако последние разработки в области искусственного интеллекта могли бы облегчить и ускорить процесс обработки информации.
Ряд компаний, в том числе Amazon и Google, уже продают контролируемые голосом смартфоны и динамики, которые распознают речевые команды. Такого рода технологии могут быть использованы для слежки за населением.
"Уже сейчас имеются возможности для массового сбора информации с телефонов, — говорит Дон Смит. — Искусственный интеллект может ускорить этот процесс и помочь в обработке данных, но я не думаю, что среднестатистическому гражданину стоит по этому поводу волноваться. Это просто один из многих возможных будущих рисков".
"Подумайте об объемах информации, с которыми придется иметь дело, — вторит ему Вудворд. — Невозможно записать каждый телефонный разговор в мире, не говоря уже о каждом разговоре, который ведется вблизи этого аппарата. Если ваша персона не представляет для них интереса, они не будут тратить на вас время".