Забудьте про дело Apple против ФБР: WhatsApp только что включила шифрование для миллиарда человекWired Magazine, США
08.04.2016
Кейд Метц (Cade Metz)
Последние полтора месяца главной новостью Кремниевой долины была баталия Apple против ФБР, которое отдало федеральное распоряжение разблокировать iPhone массового убийцы в Сан-Бернардино. Отказ компании подчиниться вызвал громкие дебаты по поводу неприкосновенности частной информации и безопасности в наш цифровой век. Но этим утром три парня, сидя в маленьком кабинете в калифорнийском городке Маунтин-Вью, ослабили накал страстей в этих мощных дебатах.
В Маунтин-Вью находится штаб-квартира компании, разработавшей приложение для обмена сообщениями WhatsApp, которой сегодня владеет Facebook. WhatsApp со временем стало одним из самых важных приложений в мире. Этим сервисом пользуются более миллиарда человек, которые через него обмениваются сообщениями, делают телефонные звонки, отправляют фотографии и делятся видео. Это значит, что только у Facebook более крупная автономная сеть связи. Сегодня загадочные создатели WhatsApp Брайан Эктон (Brian Acton) и Ян Коум (Jan Koum) вместе с высоконравственным шифровальщиком и криптографом с псевдонимом Мокси Марлинспайк поведали миру, что компания ввела шифрование данных переписки для всех видов связи своего сервиса.
Это значит, что если какая-то группа людей пользуется последней версией WhatsApp, то вне зависимости от ее численного состава, два человека или десять, сервис будет шифровать все их сообщения, телефонные звонки, фотографии и видео. Он будет делать это вне зависимости от типа телефона, на котором установлено приложение. Это может быть и iPhone, и платформа Android, и телефон Windows, и старенькая раскладушка Nokia. Когда шифрование начнет работать, даже сотрудники WhatsApp не будут иметь доступа к данным, передаваемым по их сети. Иными словами, WhatsApp никак не сможет выполнить распоряжение суда о предоставлении доступа к содержанию сообщений, телефонных звонков, фото и видео, передаваемых через сервис. Подобно Apple, WhatsApp устраивает обструкцию федеральному правительству, но делает это гораздо масштабнее — примерно на миллиарде устройств.
«Создавая безопасные продукты, мы делаем безопаснее мир, хотя многие люди из правоохранительных органов могут с этим не согласиться», — говорит Эктон, работавший сотрудником в интернет-гиганте Yahoo и занимавший там 44-е место, а в 2009 году вместе со своим коллегой Коумом основавший WhatsApp. Теперь, когда есть кодировка, объясняет Эктон, любой может заниматься бизнесом или беседовать с врачом, не беспокоясь о том, что его могут подслушать. С таким шифрованием, говорит он, вы можете даже стать разоблачителем — и ни о чем не волноваться.
ФБР и Министерство юстиции отказались комментировать эту историю. Но многие правительственные чиновники и работники других структур наверняка не согласятся с таким шагом компании. В конце 2014 года WhatsApp закодировала часть своей сети. С тех пор сервис очевидно использовался при подготовке противоправных действий, в том числе, террористических нападений в Париже в прошлом году. Как сообщает New York Times, не далее как в этом месяце Министерство юстиции рассматривало судебное дело против этой компании, когда постановление о прослушивании не удалось выполнить из-за сквозного шифрования WhatsApp.
«Правительство не хочет останавливать шифрование, — говорит бывший федеральный прокурор Джозеф Демарко (Joseph DeMarco), специализирующийся на киберпреступности и представляющий различные правоохранительные органы, которые поддерживают Министерство юстиции и ФБР в их борьбе с Apple. — Но возникает вопрос: что делать, когда компания создает систему шифрования, из-за которой невозможно выполнить санкционированное судом постановление на обыск? Где тот разумный уровень содействия, которого можно требовать от компании?»
WhatsApp отказалась обсуждать конкретные распоряжения о прослушивании. Но возможность возбуждения судебного дела не очень-то волнует Эктона и Коума. Поддерживая догматы веры, которые исповедуют инженеры из Кремниевой долины (иногда истово, иногда не очень), они считают, что конфиденциальность онлайновой информации необходимо защищать от любого рода слежки. «Нам здесь в США в чем-то повезло, ведь у нас есть надежда, что система сдержек и противовесов продержится еще много лет и десятилетий. Но во многих странах такой системы нет», — говорит одетый в футболку и толстовку Коум. По его мнению, это не отвлеченный теоретический спор, потому что большинство пользователей WhatsApp живут за пределами США. «Можно привести следующий довод: может, вам и хочется доверять государству, но вы не должны этого делать, поскольку вам неизвестно, как будут обстоять дела в будущем».
Эктон и Коум начали вводить систему шифрования в WhatsApp в 2013 году, а в 2014-м удвоили усилия, когда с ними связался Марлинспайк. Этот шифровальщик с дредами руководит проектом программного обеспечения с открытым исходным кодом Open Whisper Systems по шифрованию мессенджеров. Среди специалистов по информационной безопасности и защите частной информации Марлинспайк хорошо известен как откровенный идеалист. Но та позиция, которую занимает он, Эктон и Коум, не говоря уже о других инженерах WhatsApp, работающих в проекте и в мозговом центре Facebook, который поддерживает данные усилия, вряд ли является экстремальной, если учитывать масштабную борьбу Кремниевой долины с государственными и правоохранительными органами по вопросам защиты информации. В Кремниевой долине необходимость надежного шифрования вообще не обсуждается и не ставится под сомнение. Для самых влиятельных лидеров из сферы информационных технологий — непреложное правило. А WhatsApp — это очередной поборник шифрования. Компания считает, что ведет такую же борьбу, как Apple и многие другие фирмы.
WhatsApp несет шифрование в массы в большей степени, чем любая другая компания до нее. Поражает то, что добиться этого ей удалось силами крошечной группы людей. В компании работает всего около полусотни инженеров. А в работе по шифрованию для одного миллиарда пользователей участвовала команда из 15 человек. Это крохотная, технологически подкованная группа людей, которые занялись новой формой асимметричного сопротивления власти, бросив вызов не только американскому государству, но и всем остальным государствам. «Технология это усилитель, — говорит Эктон. — Поставив нужных людей на нужные места и обеспечив правильное руководство, мы на самом деле можем добиться положительных перемен».
Но конечно, для кого-то эти перемены положительные, а для кого-то нет. Однако эти люди — проводники новых технологий в стиле Кремниевой долины: миллиардеры в шортах с большими карманами и в майках, которые сделали нечто колоссальное, потому что захотели это сделать. И потому что смогли.
Соединяя мирПодобно некоторым другим технологическим стартапам, WhatsApp добилась успеха во многом случайно. Эктон и Коум первоначально задумали приложение для того, чтобы люди могли оповещать о своей доступности друзей, родственников и коллег: могут они в данный момент обмениваться сообщениями, говорить или нет? Но вскоре оно превратилось в приложение-мессенджер, дав людям возможность отправлять и получать текстовые сообщения через интернет, не прибегая к сетям SMS, которыми управляют компании сотовой связи типа Verizon и AT&T. Но истинная гениальность приложения в том, что Эктон и Коум уже на ранней стадии решили выйти на международный рынок.
На первом году работы стартапа они предложили услуги на немецком, испанском, французском, итальянском и некоторых других языках, и приложение стало быстро распространяться за океаном, где стоимость SMS-сообщений гораздо выше, чем в США. Сегодня компания предлагает приложение на 50 с лишним языках. Мессенджер превратился в основную социальную сеть во многих странах мира, включая Бразилию, Индию и значительную часть Европы. Во многих странах местные операторы беспроводной связи подписали соглашения с WhatsApp, предлагая этот сервис напрямую своим клиентам. Они наносят удар по собственным сервисам текстовых сообщений, но заставляют людей шире пользоваться интернетом через свои беспроводные сети, и тем самым увеличивают собственные прибыли.
К февралю 2014 года у WhatsApp было 450 миллионов пользователей, и Facebook выложил19 миллиардов долларов на приобретение стартапа, штат которого составлял всего 50 человек. С тех пор WhatsApp расширил свой штат совсем незначительно, но сегодня к его услугам прибегает более одного миллиарда человек со всего мира.
Но два создателяприложения остаются в тени, несмотря на все успехи и достижения. Они почти никогда не выступают перед средствами массовой информации. Коуму, в частности, пресса и публичность вообще не интересны, да и обычное человеческое общение он тоже считает лишним. «Естественно, ты не можешь верить всему тому, что читаешь в прессе», — говорит он мне, репортеру. Хотя компания управляет одним из крупнейших в мире онлайновых сервисов, а владеет ею самая большая на нашей планете социальная сеть, она продолжает работать почти полностью самостоятельно в неприметном здании в Маунтин-Вью, где на входе вас встречает необычайно прилежная охрана. А поскольку приложение WhatsApp гораздо популярнее за рубежом, чем в США, обычно рьяная и усердная пресса Кремниевой долины не очень к ним пристает. В результате американцы не вполне осознают размах шифровального проекта компании и стоящие за ним мотивы.
Коум и Эктон давно уже занимаются компьютерной безопасностью. Познакомились они в Yahoo, занимаясь проверкой безопасности по заданию компании. В то время Коум также принимал участие в работе коллектива и мозгового треста под названием w00w00 (произносится как «ву ву»). Это было сплоченное интернет-сообщество, использовавшее старый интернет-чат IRC для обмена идеями буквально по всем аспектам этой отрасли. Коум родился на Украине при советской власти, а потом в подростковом возрасте эмигрировал в США. Поэтому у него было кое-какое представление о том, насколько трудно сохранить неприкосновенность частной жизни от внимания назойливой власти. Но Коум говорит, что главным генератором идеи шифрования WhatsApp был Эктон — довольно общительный человек, выросший во Флориде. «Брайану принадлежит главная заслуга, потому что он захотел это сделать раньше», — говорит Коум по поводу кодирования WhatsApp.
Действительно, Эктон первым начал работу по шифрованию WhatsApp, приступив к ней в 2013 году. «Вообще-то я не хотел заниматься этой работой по обеспечению конфиденциальности разговоров, — говорит он, добавляя, что люди постоянно просили компанию включить шифрование. — Этого хотели наши пользователи. Ну, не какая-то обычная мамаша из американской глубинки, а люди в разных странах мира». Но вначале все ограничилось опытным образцом, созданным при помощи одного стажера, пришедшего в WhatsApp. Этот проект запустили всерьез только тогда, когда Мокси Марлинспайк вспомнил про инженера из WhatsApp, который работал над версией приложения для телефонов Windows. Он познакомился с ним на семейной вечеринке в доме своей подруги.
Знакомый МоксиПодруга Мокси Марлинспайка из семьи русских физиков, и в 2013 году она по поводу воссоединения семьи организовала вечеринку в квартире, где жила вместе с Марлинспайком. В списке гостей были 23 русских физика и один американец, работавший инженером в WhatsApp. (Он был женат на родственнице подруги Мокси.) В тот вечер Марлинспайк немного поболтал с этим инженером, а год спустя решил, что пришло время разработать систему шифрования для сервиса, который к тому времени стал одним из крупнейших в мире приложений для обмена сообщениями. Он отправил инженеру письмо по электронной почте и попросил представить его учредителям компании.
Я встретился с Марлинспайком в офисе WhatsApp. У меня возникло впечатление, что он не очень хочет раскрывать свои мотивы. Это характерная черта Мокси, по крайней мере, во время интервью, которые он дает репортерам. Но в онлайне он не стесняется высказывать свою точку зрения. В прошлом он писал, что шифрование важно, так как дает возможность любому нарушить закон. Но в Маунтин-Вью он был более лаконичен. «WhatsApp самый популярный мессенджер в мире, — говорит Марлинспайк, который не только шифровальщик и криптограф, но также моряк и судостроитель. — Мне захотелось связаться с этим человеком».
Учитывая склонность компании к затворничеству, знать кого-то, кто знает кого-то, очень важно, особенно когда нужно налаживать контакты. Когда инженер представил Марлинспайка, Эктон встретился с ним в кафе Dana Street Roasting Company, где любит собираться народ из Кремниевой долины. Спустя несколько недель Марлинспайк познакомился с Коумом. Оказалось, что у них много общего. Марлинспайк вращался в одном с Коумом подпольном мире гуру сетевой безопасности, пока в 2011 году не пришел работать в Twitter — откуда очень быстро ушел, чтобы создать Open Whisper Systems. «Мы говорили о днях IRC, — вспоминает Коум ту встречу. — Как тогда было».
Они подружились. Вскоре Марлинспайк уже работал над созданием сквозного шифрования для всего WhatsApp вместе с Эктоном, Коумом и маленькой командой инженеров из этой компании. По словам Эктона, им повезло, когда они познакомились с Марлинспайком. Без этого знакомства они бы вряд ли сумели создать полную систему шифрования. О своем эпохальном начинании Эктон и Коум рассказывают как-то очень буднично, а Марлинспайк вообще в основном молчит. Встретились. Деньги были. Разработали. На все ушло чуть меньше двух лет. Такая прозаичность очень сильно интригует.
Усиление споровШифрование WhatsApp предполагалось завершить к середине января 2016 года. Коум с коллегами хотел объявить о полной кодировке сервиса на конференции DLD Media в Мюнхене, где он должен был участвовать в широко известном «разговоре у камина». В Германии защите информации, как цифровой, так и прочей, придается необычайно большое значение, и Коум подумал, что пришло время поведать миру о планах WhatsApp. Незадолго до этого бразильский суд вынес предписание о временном закрытии WhatsApp в стране, когда компания отказалась представить властям сообщения, пересылавшиеся через уже зашифрованные каналы сервиса. В Германии Коум мог выдвинуть свои возражения.
Но к середине декабря стало ясно, что в намеченные сроки закончить проект не удастся. Разработчики намеревались зашифровать все на всех устройствах. «В последнюю очередь мы занялись видео, — говорит Коум. — Надо было сделать так, чтобы пользователь Android мог послать видео пользователю S40. Или чтобы человек с Blackberry мог послать его на телефон Windows». Поэтому компания решила повременить с объявлением. А в Германии Коум рассказал о новой бизнес-модели своей компании.
Тем временем, дебаты по поводу шифрования только усиливались. 16 февраля руководитель Apple Тим Кук опубликовал открытое письмо, в котором отказался исполнить судебное распоряжение о разблокировании телефона, принадлежавшего одному из двух стрелков в калифорнийском Сан-Бернардино, которые в декабре расстреляли 14 и серьезно ранили 22 человека. В тот день Эктон сказал Коуму: «Тим Кук мой герой». Спустя две недели правоохранительные органы Бразилии арестовали вице-президента Facebook, потому что WhatsApp отказалась передать им сообщения, несмотря на распоряжение суда. Видимо, бразильцы не понимали, что сотрудник Facebook не имеет никакого отношения к WhatsApp, и что WhatsApp из-за сквозного шифрования никак не может прочитать сообщения. Спустя два дня WhatsApp вместе с Facebook и несколькими другими компаниями представила экспертное заключение в поддержку Apple в ее борьбе с ФБР.
Конечно, WhatsApp пользуется поддержкой своей материнской компании, которая намного крупнее. Facebook отказалась от комментариев конкретно для этой статьи. Но после поглощения WhatsApp социальной сетью Коум вошел в состав правления Facebook. «Если бы не их поддержка, мы бы сегодня этого не добились», — говорит он. Но Facebook ничего не навязывала WhatsApp. Свое решение компания приняла до поглощения. А к тому времени, когда Facebook заплатила за WhatsApp миллиарды долларов, преобразования в сервисе уже шли полным ходом.
Никаких обходов системы защитыМногие законодатели призывают компании типа WhatsApp оснащать свои системы кодировки «бэкдорами» для обхода систем защиты, доступными только для правоохранительных органов. Сегодня даже пошли разговоры о принятии закона, требующего установку «бэкдоров». Но по мнению Коума, если в зашифрованный сервис вставить такую систему обхода, то смысл шифрования будет утрачен — можно вообще ничего не кодировать. Пользоваться бэкдором в сервисе будут не только правоохранительные органы, но и хакеры. Кроме того, если добавить бэкдор или вообще убрать из WhatsApp шифрование, это ни в коей мере не остановит злоумышленников. Они все равно пролезут. В эпоху программного обеспечения с открытыми исходными кодами инструменты шифрования находятся в свободном доступе. «Джин кодировки выбрался из бутылки», — говорит Коум.
На самом деле, даже сторонники принятия закона о бэкдорах для зашифрованных цифровых сервисов признают, что не все так просто. «Если мы требуем, чтобы наши компании вставляли двери, то надо ли нам пускать в эти двери китайцев? Или для них двери надо строить тогда, когда эти сервисы используются у них в стране?— спрашивает демократ из комитета по разведке палаты представителей Адам Шифф (Adam Schiff). — И как это отразится на борьбе с инакомыслием в авторитарных странах, которые могут воспользоваться этими обходными путями в незаконных целях?»
Когда я вспоминаю сообщения СМИ о том, что террористы при подготовке атак в Париже общались через WhatsApp, чем воспользовались законодатели, требующие введения бэкдоров, Коум не отступает ни на шаг. «Мне кажется, политики, они используют эти ужасные теракты для продвижения своих целей, — заявляет он. — Если Белый дом думает, что Twitter может решить их проблемы с ИГИЛ, то у него не все в порядке».
Коум прав, говоря о том, что шифрование доступно любому, у кого есть причины им воспользоваться. Но WhatsApp в пошла гораздо дальше всех остальных. Например, Apple шифрует данные на iPhone и использует сквозное шифрование сообщений, отправляемых через ее собственный сервис iMessage. Однако iMessage доступен только на iPhone. Apple продала около 800 миллионов айфонов с момента их изобретения. Но трудно понять, какое количество из них работает до сих пор, и сколько людей общается через iMessage. А WhatsApp работает почти на всех типах устройств. Плюс к этому, в технологиях Apple есть несколько зияющих дыр. Многие пользователи дублируют пересылаемые через iMessage сообщения на сервисе iCloud компании Apple, что сводит на нет сквозное шифрование. А у WhatsApp, между тем, сегодня миллиард пользователей.
Специалисты всячески превозносят кодировку, предлагаемую мессенджером Telegram, который создал странствующий по миру российский предприниматель. Но сквозное шифрование не включается в Telegram по умолчанию. И оно не действует при групповом обмене сообщениями. Кроме того, пользователей у Telegram гораздо меньше, чем у WhatsApp.
Новое положение вещейВыступая против сквозного шифрования, американское правительство заявляет, что оно просто пытается сохранить существующее положение вещей — что оно давно уже имеет право выдавать предписания о предоставлении коммуникационных данных. «Такой же принцип действует в других отношениях, — говорит бывший федеральный прокурор Демарко, помогающий правоохранительным органам и Министерству юстиции в борьбе против Apple. — Вопрос в том, что должны делать компании, когда власть обращается в суд и получает судебное распоряжение, будь то ордер на обыск, на прослушивание телефона или на снятие информации».
Когда я говорю об этом аргументе Коуму и Эктону, они обращаются к Марлинспайку. Криптограф не проявляет особого желания участвовать в беседе, но когда начинает говорить, говорит он с убежденностью идеалиста. «В определенном смысле сквозное шифрование — как дань уважения прошлому, — заявляет он. — Сейчас наше общение все больше и больше осуществляется по сетям связи, а не с глазу на глаз, и не по традиционным конфиденциальным каналам связи. Ведь раньше даже письменная корреспонденция не подвергалась такой массовой проверке, какой сегодня подвергается электронная переписка».
С ним согласен Эктон, одетый в привычную для него униформу — шорты с большими карманами и футболку. «Телефону 100-110 лет, — говорит он. — Был такой промежуточный период, когда государство обладало обширными возможностями для прослушивания. Но если смотреть на историю человечества в целом, то эволюция людей и цивилизаций происходила в условиях конфиденциальности бесед и общения. Если хотите, мы возвращаем людям такую конфиденциальность».
Эктон, Коум и Марлинспайк верят во все это, что бы ни говорили и ни делали власти. Они просто делают то, что хотят делать, и потому что могут. Хотя New York Times дает понять, что WhatsApp получила распоряжение на перехват зашифрованных данных, Эктон и Коум говорят, что никакого реального сотрудничества с государством у них нет. Но наверное, скоро будет. Эктон и Коум почти полностью контролируют одну из крупнейших сетей связи на земле. Они познакомились с Мокси Марлинспайком. Эта троица разделяет стандартную веру Кремниевой долины в онлайновую конфиденциальность. Но сейчас государству приходится мириться с чем-то большим, нежели заблокированный айфон — с секретностью информации миллиарда человек.
Оригинал публикации: Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People
http://inosmi.ru/social/20160408/236060091.html=========================
Amnesty International: безопасных мессенджеров нетОпубликовано: 21 окт. 2016 г.
https://m.youtube.com/watch?v=hPXXTc1utGM=============================
WhatsApp обнаружила серьезную уязвимость. Из-за нее в телефон попадала шпионская программа14 мая 2019
Серьезная уязвимость в WhatsApp позволяла хакерам устанавливать на телефонах вредоносную программу для слежки за пользователями, признал владелец одного из самых популярных мессенджеров Facebook.
Брешь в системе безопасности обнаружил сам WhatsApp около 10 дней назад, после чего компания проинформировала американские правоохранительные органы и экспертов по безопасности.
Суть атаки заключалась в следующем: на телефон пользователя отправлялся голосовой звонок. Даже если пользователь звонок не принимал, на телефон жертвы все равно устанавливалась вредоносная программа, позволяющая отслеживать передвижение владельца с помощью камеры и микрофона смартфона. Сама информация о звонке могла и вовсе исчезнуть из памяти устройства, пишет британская Financial Times, первая сообщившая об уязвимости мессенджера.
WhatsApp исправила уязвимость и рекомендовала всем пользователям обновить приложение до последней версии.
По информации Financial Times, шпионскую программу разработала израильская фирма NSO Group, которую иногда называют "торговцами кибероружием". В основном свою продукцию фирма продает западным и ближневосточным спецслужбам и правительствам.
Главный продукт израильской NSO - шпионская программа Pegasus, которая может незаметно для жертвы атаки читать его SMS и электронную почту, включить микрофон и камеру телефона, узнавать местоположение пользователя, копировать персональные данные.
Как заявили в самой израильской компании, программное обеспечение предоставляется "только авторизированным государственным агентствам исключительно для расследования преступлений и борьбы с терроризмом".
В NSO уточнили, что проведут расследование возможного злоупотребления ПО и в случае неободимости могут рассмотреть возможность сворачивания программы.
По последней оценке Facebook, WhatsApp пользуются полтора миллиарда человек по всему миру. В WhatsApp заявили, что проводят расследование и пока не знают, сколько человек пострадало из-за уязвимости, и что скорее всего речь идет о целевых атаках на конкретных людей.
За кем следили в прошлом?Как пишет FT, последнюю уязвимость эксперты по безопасности WhatsApp обнаружили в воскресенье, когда вирусную программу попытались установить на телефон находящегося в Британии юриста-правозащитника.
Его имя не называется, но, как пишет FT, он помогал группе мексиканских журналистов, критикующих власти, проживающему в Канаде диссиденту из Саудовской Аравии. Кроме того, юрист подал в суд на разработчика ПО израильскую NSO, утверждая, что фирма должна нести ответственность за то, как используются произведенные ей программы.
По информации канадской НКО The Citizen Lab, воскресная атака связана с той же уязвимостью, которую пытаются устранить в WhatsApp.
Правозащитники из Amnesty International также утверждают, что в прошлом оказывались жертвами шпионских программ, созданных NSO.
Во вторник в суде Тель-Авива заслушается петиция к министерству обороны Израиля от группы израильских юристов, правозащитных организаций и Amnesty International с требованием отозвать лицензию фирмы NSO.
"NSO продает ПО правительствам, которые известны своими вопиющими нарушениями прав человека, предоставляя им инструменты для отслеживания активистов и критиков. Атака на Amnesty International стала последней каплей", - цитирует FT Данну Инглтон из технического отдела Amnesty International.
https://www.bbc.com/russian/news-48262725
