Уроки, которые мы вынесли после взлома компании, создающей программы для слежки за пользователями Сети

Уроки, которые мы вынесли после взлома компании создающей программы для слежки за пользователями Сети
Уроки, которые мы вынесли после взлома компании создающей программы для слежки за пользователями Сети
В июле 2015 года ста­ло извест­но, что ита­льян­ская тех­но­ло­ги­че­ская ком­па­ния Hacking Team, созда­ю­щая про­грам­мы для слеж­ки за поль­зо­ва­те­ля­ми Сети, была взло­ма­на акти­ви­ста­ми-хаке­ра­ми. Более 400 гига­байт писем, кодов и доку­мен­тов Hacking Team были выло­же­ны на Wikileaks. Hacking Team – одна из мно­гих ком­па­ний, таких как Blue Coat, Gamma, Thales и Siemens, кото­рые созда­ют и про­да­ют пра­ви­тель­ствам раз­ных стран тех­но­ло­гии и про­дук­ты для наблю­де­ния за граж­да­на­ми и поль­зо­ва­те­ля­ми Сети.

Поделитесь этой новостью с коллегами

Hacking Team была осно­ва­на с целью созда­ния и про­да­жи тех­но­ло­гий для наблю­де­ния за пове­де­ни­ем граж­дан в сете­вом про­стран­стве. Про­грамм­ное обес­пе­че­ние, раз­ра­бо­тан­ное ком­па­ни­ей, было про­да­но пра­ви­тель­ствам Суда­на, Эфи­о­пии, Бах­рей­на, Егип­та, Казах­ста­на и Сау­дов­ской Ара­вии. Пра­ви­тель­ства Бах­рей­на, Егип­та, Эфи­о­пии и Марок­ко при­об­ре­ли про­грам­мы, что­бы кон­тро­ли­ро­вать дея­тель­ность жур­на­ли­стов, адво­ка­тов и пра­во­за­щит­ни­ков.

Более 400 GB писем, кодов и доку­мен­тов Hacking Team уже в архи­ве на Wikileaks. Перед поис­ком реко­мен­ду­ем вам уста­но­вить и исполь­зо­вать бра­у­зер Tor. Утеч­ки заин­те­ре­су­ют жур­на­ли­стов, НКО и иссле­до­ва­те­лей, кото­рые хотят про­ана­ли­зи­ро­вать их содер­жа­ние.

Эти данные играют важную роль для цифровых активистов и правозащитников по двум причинам:

  • они помо­га­ют понять воз­мож­но­сти и прак­ти­ки взло­ма и кон­тро­ля за вами в Сети, кото­рые исполь­зу­ют пра­ви­тель­ства;
  • они повы­ша­ют уро­вень осве­дом­лен­но­сти о мето­дах, кото­рые исполь­зу­ет инду­стрия наблю­де­ния.

Новость и доку­мен­ты, полу­чен­ные в резуль­та­те взло­ма такой ком­па­нии, как Hacking Team, дает нам воз­мож­ность луч­ше понять тех­но­ло­гии, кото­рые вли­я­ют на нена­силь­ствен­ное ущем­ле­ние прав чело­ве­ка.

Мы выделим четыре тезиса

1. Использование цифровых технологий против правозащитников – торговля вредоносными программами для наблюдении происходит в глобальном масштабе.

Интер­нет дает людям неко­то­рые стран­ные про­ти­во­ре­чия и неод­но­знач­ные улуч­ше­ния. С одной сто­ро­ны, мы видим полез­ные онлайн-плат­фор­мы, такие как Uber и AirBnB. С дру­гой сто­ро­ны, пра­во­вые осно­вы для реаль­ной актив­но­сти граж­дан­ских прав огра­ни­чи­ва­ют­ся и под­вер­га­ют­ся мони­то­рин­гу на циф­ро­вом про­стран­стве.

Спе­ци­аль­ный доклад­чик ООН по кон­фи­ден­ци­аль­но­сти (United Nations Special Rapporteur on Privacy) и Меж­ду­на­род­ная Амни­стия (Amnesty International) опре­де­ли­ли циф­ро­вые тех­но­ло­гии кон­фи­ден­ци­аль­но­сти, кото­рые име­ют реша­ю­щее зна­че­ние для защи­ты прав чело­ве­ка. И все же такие ком­па­нии, как Hacking Team, про­да­ют вре­до­нос­ные про­грам­мы для наблю­де­ния, что поз­во­ля­ет пра­ви­тель­ствам шпи­о­нить и обма­ны­вать акти­ви­стов. И нет зако­нов, спо­соб­ных регу­ли­ро­вать такое пове­де­ние.

Тор­гов­ля ору­жи­ем созда­ет соци­аль­ную, эко­но­ми­че­скую и куль­тур­ную рознь, нару­ша­ет и угро­жа­ет без­опас­но­сти и бла­го­по­лу­чию мно­гих стран. Тор­гов­ля циф­ро­вым ору­жи­ем, таким как инстру­мен­ты наблю­де­ния, менее замет­на.

В то вре­мя как тор­гов­ля ору­жи­ем свя­за­на с вой­на­ми и кон­флик­та­ми, тор­гов­ля циф­ро­вым ору­жи­ем изоб­ра­жа­ет­ся как неотъ­ем­ле­мая часть для сохра­не­ния мира и без­опас­но­сти. Это обос­но­ва­ние дано для мас­со­во­го циф­ро­во­го наблю­де­ния госу­дар­ства­ми в инте­ре­сах защи­ты сво­их граж­дан.

2. Понимание цифровой безопасности и конфиденциальности для многих затруднительно. Обучение других на эту тему еще сложнее.

Мас­шта­бы рабо­ты Hacking Team и раз­мер их кли­ен­тов побу­ди­ли акти­ви­стов заду­мать­ся об обра­зо­ва­нии поль­зо­ва­те­лей в сфе­ре циф­ро­вой без­опас­но­сти и кон­фи­ден­ци­аль­но­сти. Утеч­ка Hacking Team гово­рит о том, что госу­дар­ства, жела­ю­щие кон­тро­ли­ро­вать или нару­шить рабо­ту пра­во­за­щит­ни­ков, хоро­шо воору­же­ны пере­до­вы­ми вре­до­нос­ны­ми про­грам­ма­ми.

Кро­ме того, неко­то­рые из этих вре­до­нос­ных про­грамм постро­е­ны на «уяз­ви­мо­сти нуле­во­го дня», кото­рая озна­ча­ет, что тра­ди­ци­он­ные сред­ства обес­пе­че­ния без­опас­но­сти еще не име­ют необ­хо­ди­мых меха­низ­мов защи­ты от вре­до­нос­ных про­грамм, даже если они уста­нов­ле­ны, настро­е­ны и обнов­ле­ны долж­ным обра­зом.

Все это под­чер­ки­ва­ет важ­ность при­ня­тия пове­ден­че­ско­го под­хо­да к циф­ро­вой без­опас­но­сти, а не надеж­да на сред­ства защи­ты. Обра­зо­ва­ние, обу­че­ние и руко­вод­ства само­обу­че­ния долж­ны отра­жать это, сосре­до­то­чив вни­ма­ние на надеж­ных, гиб­ких и полез­ных прак­ти­ках управ­ле­ния инфор­ма­ци­ей. Такие рабо­чие про­цес­сы часто зави­сят от базо­во­го зна­ком­ства людей с тра­ди­ци­он­ны­ми инстру­мен­та­ми и так­ти­ка­ми укреп­ле­ния потен­ци­а­ла.

В то же вре­мя при­клад­ные иссле­до­ва­ния, кото­рые про­во­дят­ся в Tactical Tech, пред­по­ла­га­ют, что усво­е­ние прак­тик циф­ро­вой без­опас­но­сти и кон­фи­ден­ци­аль­но­сти зави­сит от ряда фак­то­ров, выхо­дя­щих за рам­ки педа­го­ги­че­ский прак­ти­ки. Эти фак­то­ры варьи­ру­ют­ся в зави­си­мо­сти от соци­аль­но-куль­тур­но­го раз­ви­тия и гео­по­ли­ти­ки.

Несмот­ря на труд­но­сти, Tactical Tech и дру­гие НКО рабо­та­ют над нара­щи­ва­ни­ем потен­ци­а­ла, что­бы под­черк­нуть пове­ден­че­ские аспек­ты циф­ро­вой без­опас­но­сти и кон­фи­ден­ци­аль­но­сти, так как они часто явля­ют­ся самым сла­бым зве­ном для пра­во­за­щит­ни­ков и акти­ви­стов. Утеч­ка Hacking Team слу­жит предо­сте­ре­же­ни­ем в этом отно­ше­нии.

При­ду­мы­ва­ние слож­ных паро­лей и при­ня­тие двух­фак­тор­ной аутен­ти­фи­ка­ции счи­та­ет­ся пер­вой лини­ей обо­ро­ны про­тив циф­ро­вых угроз без­опас­но­сти и кон­фи­ден­ци­аль­но­сти. Если бы сотруд­ни­ки Hacking Team усво­и­ли эти зна­ния, а не пола­га­лись на паро­ли, типа «passw0rd», они бы не были взло­ма­ны.

3. «Моделирование угроз правозащитникам» должно развиваться.

В раз­лич­ных сфе­рах дея­тель­но­сти оцен­ка рис­ков и пре­пят­ствий – обыч­ная прак­ти­ка. Пра­во­за­щит­ни­ки долж­ны так­же уде­лять это­му вни­ма­ние и рабо­тать в дан­ном направ­ле­нии посто­ян­но, так как угро­зы, с кото­ры­ми они стал­ки­ва­ют­ся, и усло­вия, в кото­рых они рабо­та­ют, крайне неста­биль­ные.

Защи­та прав чело­ве­ка, тра­ди­ци­он­ная оцен­ка рис­ков и моде­ли­ро­ва­ние угроз – основ­ные аспек­ты для раз­ра­бот­ки стра­те­гии без­опас­но­сти. Утеч­ка Hacking Team выяви­ла обшир­ные мас­шта­бы наблю­де­ния, кото­рые раз­вер­ну­ты про­тив пра­во­за­щит­ни­ков. Это хоро­ший момент, что­бы заду­мать­ся о том, как акти­ви­сты могут уде­лять боль­ше вни­ма­ния и ресур­сов для моде­ли­ро­ва­ния угроз и раз­ра­бот­ки спо­со­бов защи­ты.

Эта рабо­та долж­на вклю­чать в себя резуль­та­ты наблю­де­ний за вре­до­нос­ны­ми отрас­ля­ми и вклю­че­ние этих выво­дов в руко­вод­ства для обра­зо­ва­ния пра­во­за­щит­ни­ков в сфе­ре без­опас­но­сти и кон­фи­ден­ци­аль­но­сти. Веро­ят­но, что мы будем про­дол­жать видеть тен­ден­цию роста целе­во­го наблю­де­ния за кон­крет­ны­ми лица­ми и орга­ни­за­ци­я­ми.

4. Несоблюдение законов, направленных на защиту правозащитников, активистов и гражданского общества.

Тот факт, что госу­дар­ства поку­па­ют циф­ро­вое ору­жие, что­бы исполь­зо­вать про­тив пра­во­за­щит­ни­ков, про­бле­ма­ти­чен и с точ­ки зре­ния поли­ти­ки. Нет зако­нов, кото­рые огра­ни­чи­ва­ют или регу­ли­ру­ют воз­мож­но­сти пра­ви­тельств купить такие тех­но­ло­гии, не соот­вет­ству­ю­щие рыноч­ным тре­бо­ва­ни­ям, про­зрач­но­сти и под­от­чет­но­сти. (Хотя такие орга­ни­за­ции, как Privacy International, рабо­та­ют, что­бы изме­нить это.)

В то вре­мя как наблю­де­ние может быть оправ­да­но при опре­де­лен­ных обсто­я­тель­ствах, оно долж­но быть под­от­чет­но вер­хо­вен­ству зако­на и усло­ви­ям кон­струк­тив­ной про­зрач­но­сти. Утеч­ка Hacking Team выяви­ла более печаль­ную дей­стви­тель­ность по отно­ше­нию госу­дарств к их соб­ствен­ным зако­нам, обес­пе­чи­ва­ю­щим жиз­не­спо­соб­ность оппо­зи­ции и защи­ту пра­во­за­щит­ни­ков. В резуль­та­те труд­но пред­ста­вить, как пра­во­за­щит­ни­ки могут защи­щать свои пра­ва в рам­ках демо­кра­ти­че­ско­го про­цес­са.

В отсут­ствие обще­ствен­ной дис­кус­сии и в усло­ви­ях, когда «наци­о­наль­ная без­опас­ность» – глав­ный аргу­мент вла­сти, мало­ве­ро­ят­но, что такое регу­ли­ро­ва­ние будет спо­соб­ство­вать инте­ре­сам про­стых граж­дан.