Уроки, которые мы вынесли после взлома компании, создающей программы для слежки за пользователями Сети

Уроки, которые мы вынесли после взлома компании создающей программы для слежки за пользователями Сети
Уроки, которые мы вынесли после взлома компании создающей программы для слежки за пользователями Сети
В июле 2015 года стало известно, что итальянская технологическая компания Hacking Team, создающая программы для слежки за пользователями Сети, была взломана активистами-хакерами. Более 400 гигабайт писем, кодов и документов Hacking Team были выложены на Wikileaks. Hacking Team – одна из многих компаний, таких как Blue Coat, Gamma, Thales и Siemens, которые создают и продают правительствам разных стран технологии и продукты для наблюдения за гражданами и пользователями Сети.

Поделитесь этой новостью с коллегами

Hacking Team была основана с целью создания и продажи технологий для наблюдения за поведением граждан в сетевом пространстве. Программное обеспечение, разработанное компанией, было продано правительствам Судана, Эфиопии, Бахрейна, Египта, Казахстана и Саудовской Аравии. Правительства Бахрейна, Египта, Эфиопии и Марокко приобрели программы, чтобы контролировать деятельность журналистов, адвокатов и правозащитников.

Более 400 GB писем, кодов и документов Hacking Team уже в архиве на Wikileaks. Перед поиском рекомендуем вам установить и использовать браузер Tor. Утечки заинтересуют журналистов, НКО и исследователей, которые хотят проанализировать их содержание.

Эти данные играют важную роль для цифровых активистов и правозащитников по двум причинам:

  • они помогают понять возможности и практики взлома и контроля за вами в Сети, которые используют правительства;
  • они повышают уровень осведомленности о методах, которые использует индустрия наблюдения.

Новость и документы, полученные в результате взлома такой компании, как Hacking Team, дает нам возможность лучше понять технологии, которые влияют на ненасильственное ущемление прав человека.

Мы выделим четыре тезиса

1. Использование цифровых технологий против правозащитников – торговля вредоносными программами для наблюдении происходит в глобальном масштабе.

Интернет дает людям некоторые странные противоречия и неоднозначные улучшения. С одной стороны, мы видим полезные онлайн-платформы, такие как Uber и AirBnB. С другой стороны, правовые основы для реальной активности гражданских прав ограничиваются и подвергаются мониторингу на цифровом пространстве.

Специальный докладчик ООН по конфиденциальности (United Nations Special Rapporteur on Privacy) и Международная Амнистия (Amnesty International) определили цифровые технологии конфиденциальности, которые имеют решающее значение для защиты прав человека. И все же такие компании, как Hacking Team, продают вредоносные программы для наблюдения, что позволяет правительствам шпионить и обманывать активистов. И нет законов, способных регулировать такое поведение.

Торговля оружием создает социальную, экономическую и культурную рознь, нарушает и угрожает безопасности и благополучию многих стран. Торговля цифровым оружием, таким как инструменты наблюдения, менее заметна.

В то время как торговля оружием связана с войнами и конфликтами, торговля цифровым оружием изображается как неотъемлемая часть для сохранения мира и безопасности. Это обоснование дано для массового цифрового наблюдения государствами в интересах защиты своих граждан.

2. Понимание цифровой безопасности и конфиденциальности для многих затруднительно. Обучение других на эту тему еще сложнее.

Масштабы работы Hacking Team и размер их клиентов побудили активистов задуматься об образовании пользователей в сфере цифровой безопасности и конфиденциальности. Утечка Hacking Team говорит о том, что государства, желающие контролировать или нарушить работу правозащитников, хорошо вооружены передовыми вредоносными программами.

Кроме того, некоторые из этих вредоносных программ построены на «уязвимости нулевого дня», которая означает, что традиционные средства обеспечения безопасности еще не имеют необходимых механизмов защиты от вредоносных программ, даже если они установлены, настроены и обновлены должным образом.

Все это подчеркивает важность принятия поведенческого подхода к цифровой безопасности, а не надежда на средства защиты. Образование, обучение и руководства самообучения должны отражать это, сосредоточив внимание на надежных, гибких и полезных практиках управления информацией. Такие рабочие процессы часто зависят от базового знакомства людей с традиционными инструментами и тактиками укрепления потенциала.

В то же время прикладные исследования, которые проводятся в Tactical Tech, предполагают, что усвоение практик цифровой безопасности и конфиденциальности зависит от ряда факторов, выходящих за рамки педагогический практики. Эти факторы варьируются в зависимости от социально-культурного развития и геополитики.

Несмотря на трудности, Tactical Tech и другие НКО работают над наращиванием потенциала, чтобы подчеркнуть поведенческие аспекты цифровой безопасности и конфиденциальности, так как они часто являются самым слабым звеном для правозащитников и активистов. Утечка Hacking Team служит предостережением в этом отношении.

Придумывание сложных паролей и принятие двухфакторной аутентификации считается первой линией обороны против цифровых угроз безопасности и конфиденциальности. Если бы сотрудники Hacking Team усвоили эти знания, а не полагались на пароли, типа «passw0rd», они бы не были взломаны.

3. «Моделирование угроз правозащитникам» должно развиваться.

В различных сферах деятельности оценка рисков и препятствий – обычная практика. Правозащитники должны также уделять этому внимание и работать в данном направлении постоянно, так как угрозы, с которыми они сталкиваются, и условия, в которых они работают, крайне нестабильные.

Защита прав человека, традиционная оценка рисков и моделирование угроз – основные аспекты для разработки стратегии безопасности. Утечка Hacking Team выявила обширные масштабы наблюдения, которые развернуты против правозащитников. Это хороший момент, чтобы задуматься о том, как активисты могут уделять больше внимания и ресурсов для моделирования угроз и разработки способов защиты.

Эта работа должна включать в себя результаты наблюдений за вредоносными отраслями и включение этих выводов в руководства для образования правозащитников в сфере безопасности и конфиденциальности. Вероятно, что мы будем продолжать видеть тенденцию роста целевого наблюдения за конкретными лицами и организациями.

4. Несоблюдение законов, направленных на защиту правозащитников, активистов и гражданского общества.

Тот факт, что государства покупают цифровое оружие, чтобы использовать против правозащитников, проблематичен и с точки зрения политики. Нет законов, которые ограничивают или регулируют возможности правительств купить такие технологии, не соответствующие рыночным требованиям, прозрачности и подотчетности. (Хотя такие организации, как Privacy International, работают, чтобы изменить это.)

В то время как наблюдение может быть оправдано при определенных обстоятельствах, оно должно быть подотчетно верховенству закона и условиям конструктивной прозрачности. Утечка Hacking Team выявила более печальную действительность по отношению государств к их собственным законам, обеспечивающим жизнеспособность оппозиции и защиту правозащитников. В результате трудно представить, как правозащитники могут защищать свои права в рамках демократического процесса.

В отсутствие общественной дискуссии и в условиях, когда «национальная безопасность» – главный аргумент власти, маловероятно, что такое регулирование будет способствовать интересам простых граждан.