[Перевод] Главной угрозой для общества стали компании, которые «защищают безопасность»

Получив новый телефон, я всегда его разбираю. Не из любопытства и не по политическим причинам, а просто для безопасности. Первый шаг — удаление двух или трёх крошечных микрофонов на плате. Это лишь начало сложного процесса. Но даже после нескольких дней работы с паяльником смартфон всё равно остаётся самым опасным предметом в моей квартире.

image-loader.svg
Микрофоны на материнской плате смартфона перед удалением

До публикации проекта Pegasus — разоблачения фатальных последствий деятельности NSO Group, ещё одной коммерческой фирмы, которая вышла из-под контроля индустрии безопасности — большинство производителей смартфонов и большая часть мировой прессы дружно закатывали глаза, когда я публично называл новенький iPhone потенциальной угрозой для жизни.

Теперь все поняли, о чём речь.
Много лет публиковались репортажи, что компания NSO Group занимается взломом телефонов с целью получения прибыли, причастна к гибели и задержаниям журналистов и правозащитников. Что операционные системы смартфонов изобилуют катастрофическими дырами (а код написан на устаревших языках, давно уже признанных небезопасными). Много лет специалисты объясняют: даже когда всё работает как положено мобильная экосистема — это адская антиутопия, смесь слежки за пользователями и откровенного манипулирования. Однако до сих пор многие не видят зла в индустрии, которая кажется такой хорошей.

В последние восемь лет я словно убеждал единственного друга бросить курить и меньше пить, в то время как реклама кричит со всех щелей: «Девять из десяти врачей курят айфоны!», «Незащищённый мобильный сёрфинг освежает!»

3rmsqsg31jrpwura99gtsszzfwq.jpeg

Но я не теряю оптимизма, поэтому проект Pegasus кажется мне поворотной точкой. Это хорошо изученная, детальная и совершенно безумная история о «троянском коне» с крыльями (в греческой мифологии Пегас — крылатый конь, сын горгоны Медузы, ударом копыта о землю мог выбивать источники, — прим. пер.), который превращает телефон в вашем кармане в универсальный жучок. Его можно дистанционно включить или выключить без вашего ведома.

Вот как это описывает Washington Post:

«Клод Манген — жена французского политического активиста, заключённого в тюрьму в Марокко. Месяц назад на её iPhone 11 с неизвестного аккаунта пришло сообщение iMessage, которое доставило вредоносное ПО на телефон. Софт установился без каких-либо предупреждений и нотификаций, минуя системы безопасности Apple.

Экспертиза не смогла раскрыть, что именно было скопировано и отправлено. Это могло быть что угодно: Pegasus имеет доступ к электронной почте, голосовой связи, сообщениям в социальных сетях, паролям, списку контактов, фотографиям, видео, звукозаписям и истории сёрфинга. Шпионская программа может активировать камеры или микрофоны для получения свежих изображений и записей. Может прослушивать звонки и голосовую почту. Вести логи геолокации и определять, где пользователь находится сейчас: стоит ли человек на месте, а если движется, то в каком направлении.

И всё это без малейшего участия человека. Пользователю не требуется прикасаться к телефону, он даже не знает, что получил таинственное сообщение от незнакомого человека — в случае Манген, некоего linakeller2203@gmail.com».


Короче говоря, телефон в вашей руке существует в состоянии вечной незащищённости. Он всегда открыт для заражения кем угодно, у кого достаточно денег. Весь бизнес этой «индустрии информационной безопасности» заключается в создании новых инфекций, которые обходят последние обновления безопасности. Эти инструменты затем продают странам, которые остро нуждаются в самых изощрённых средствах угнетения своего населения.

Подобная индустрия, единственной целью которой является производство уязвимостей, должна быть ликвидирована.


Даже если завтра NSO Group и всех представителей этой индустрии внезапно сотрёт с лица земли вулканом общественного возмущения, это не изменит того факта, что мы в разгаре величайшего кризиса компьютерной безопасности в истории. И разработчики Apple, Google, Microsoft, которые хотят продавать продукт, а не доводить его до совершества, и их полная противоположность — благонамеренные разработчики Linux, которые хотят доводить продукт до совершенства, а не продавать его — все они спокойно пишут код на небезопасных языках, потому что… ну, потому что так привыкли, а модернизация требует значительных усилий, не говоря уже о расходах. Подавляющее большинство уязвимостей, которые потом эксплуатируются индустрией небезопасности, появляются по техническим причинам, связанным с управлением памятью. Поэтому выбор более безопасного языка — критически важная мера защиты…, но мало кто об этом думает.

image-loader.svg
По данным Google, 70% серьёзных ошибок в браузере Chrome связаны с безопасностью памяти. Их можно устранить, используя более безопасные языки

Если вы хотите изменений, их нужно стимулировать. Например, если хотите вызвать сердечный приступ у Microsoft — предложите идею юридической ответственности за плохой код в коммерческом продукте. Хотите лишить сна Facebook — расскажите об идее юридической ответственности за любые утечки личных данных, собранных без необходимости. Только представьте, как быстро Цукерберг начнёт нажимать клавишу Delete.

Где нет ответственности, нет и подотчётности… и это приводит нас к роли государства.


Спонсируемое государствами хакерство стало настолько обычным соревнованием, что на Олимпийских играх у него должна быть отдельная категория.

Каждая страна осуждает усилия других как преступление, отказываясь при этом признать вину за собственные нарушения. Поэтому не стоит удивляться, когда Ямайка присылает бобслейный экипаж на зимние игры. Или когда появляется частная компания и заявляет такое же право на участие в гонках, как и национальное государство.

Если хакерство законно для нас, то будет законным и для них, частного сектора. Основной принцип капитализма: это просто бизнес. Если все это делают, то и вам можно.

Такое логическое упрощение — источник всех проблем в истории контроля над вооружениями. И такое же взаимно гарантированное уничтожение, как в ядерном конфликте, почти гарантировано в цифровом конфликте, благодаря полному межконнекту и однородности сети.

Вспомним Pegasus, который нацелен в первую очередь на iPhone. Хотя айфоны по умолчанию более приватны и безопасны, чем Android, но это гомогенная монокультура: если вы найдёте способ заразить один, то сможете (вероятно) заразить их все. Проблема усугубляется тем, что Apple не разрешает клиентам вносить какие-либо значимые изменения в работу устройств iOS. Если объединить монокультуру, «чёрный ящик» с почти всеобщей популярностью Apple среди мировой элиты, то становятся очевидными причины активной охоты NSO Group именно за iPhone.

Правительства должны понять, что разрешение работы NSO Group и их злонамеренных коллег, а тем более их субсидирование, не отвечает государственным интересам. Независимо от того, где находится клиент или государство-клиент на оси авторитаризма. Последний президент США постоянно сидел в твиттере со своего iPhone, и я готов поспорить, что половина самых высокопоставленных чиновников и их помощников в любой стране читали эти твиты тоже на своих айфонах.

5pzbg-cyy-eww3hmp6lherf3yoa.jpeg

Хотим мы того или нет, у противников и союзников общая технологическая среда, и с каждым днём мы всё больше зависимы от устройств, работающих под управлением общего кода.

Идея стратегического паритета в сборе разведданных между великими державами (США, Китай, Россия, даже Израиль) и развивающимися странами (например, Азербайджан), конечно же, глубоко ошибочна. Правительства пока не осознали угрозу, потому что разрыв в возможностях ещё не исчез. Но вскоре они поймут, что вся мощь глобального цифрового шпионажа становится доступна абсолютно любому игроку.


В технологиях (как в борьбе с вирусными инфекциями) защита каждого означает защиту всех. Первый шаг — запрет на торговлю зловредами. Мы не разрешаем торговать опасными биологическими вирусами, то же самое должно быть справедливо для цифровых инфекций. Устранение мотива прибыли снижает риски распространения и одновременно защищает прогресс, оставляя место для общественно значимых исследований.

Хотя изъятие зловредов с коммерческого рынка не отнимет их у государственных спецслужб, но мы хотя бы снижаем вероятность, что безрассудные наркоторговцы и сексуально озабоченные голливудские продюсеры с миллионами долларов в кармане смогут заразить любые (или все) айфоны на планете, испортив статусные игрушки любителей латте.

Мораторий — лишь промежуточный этап, чтобы выиграть время. Следующий шаг — юридическая ответственность. Важно понимать, что ни масштабы бизнеса NSO Group, ни глобальный урон для мирового сообщества, не стали бы возможны без доступа к глобальному капиталу таких аморальных фирм, как Novalpina Capital (Европа) и Francisco Partners (США). План простой: если компании не продадут, владельцев следует арестовать. Единственный продукт этой индустрии — преднамеренный, предсказуемый вред, и эти компании являются добровольными соучастниками. Кроме того, если компания занимается подобной деятельностью по указанию государства, ответственность должна выйти за рамки вегетарианского гражданского и уголовного кодекса. Нужен скоординированный международный ответ.

image-loader.svg
Дипломатия иными средствами


Представьте, что вы — редакция Washington Post (конечно, сначала вас придётся лишить хребта, но всё-таки). Представьте, что ваш колумнист убит, а в ответ вы тихенько обращаетесь к организаторам этого убийства с просьбой в следующий раз заполнить чуть больше документов. Откровенно говоря, реакция «Пост» на скандал с NSO Group настолько постыдно слаба, что сама по себе является скандалом: сколько авторов должно погибнуть, чтобы до них дошли последствия шпионского ПО?

Саудовская Аравия с помощью Pegasus взломала телефоны бывшей жены Джамаля Хашогги и его невесты — и использовала полученную информацию для подготовки чудовищного убийства и последующего сокрытия следов.

Но Хашогги — лишь самая известная из жертв «Пегаса», благодаря хладнокровному и жестокому характеру его убийства. «Продукт» (читай: криминальный сервис) NSO Group использовался для шпионажа за бесчисленным количеством других журналистов, судей и даже учителей. За оппозиционными политиками, за супругами и детьми «объектов слежки», за их врачами, адвокатами и даже их священниками. Вот что всегда упускают из виду люди, считающие запрет «слишком экстремальным»: эта индустрия продаёт возможность просто отстреливать репортёров, которые вам не нравятся.

Если мы не остановим продажу этих технологий, то у нас будет не 50 тысяч, а 50 миллионов мишеней. И произойдёт это гораздо быстрее, чем кто-либо из нас ожидает.

Такова будет реальность: люди настолько заняты игрой со своими смартфонами, что не замечают — устройства уже под чужим контролем.


8phx-1apbwvk5vchi3wxibeaorw.jpeg

© Habrahabr.ru