Что такое “взломать iPhone для ФБР”

С момента выхода предыдущей статьи на эту тему прошло не так много времени, и ситуация с iPhone террориста пока еще далека от решения, но за это время все равно появилось достаточно много информации, которую полезно будет озвучить.

То, что было известно и до этого — факт, что iPhone 5c на самом деле принадлежал не террористу лично, а госучреждению, где он работал. Отсюда вытекает сразу несколько интересных моментов:
— выяснилось, что вскоре после совершения нападения для учетной записи Apple ID был сброшен пароль.
— Сначала ФБР говорила о том, что, «видимо, IT-админ госучреждения сделал сброс пароля», но затем твиттер-аккаунт графства Сан-Бернардино опубликовал информацию, что это происходило под контролем ФБР:

The County was working cooperatively with the FBI when it reset the iCloud password at the FBI«s request.

— CountyWire (@CountyWire) February 20, 2016


— Apple не преминула воспользоваться этой информацией, чтобы заявить, что если бы не этот сброс пароля, то компания могла бы помочь ФБР и без написания бэкдора.
— ФБР в свою очередь утверждает, что бекапы из iCloud по 19 октября — это мало, и вообще в бекапы входит не вся информация, и больше может быть на самом телефоне, поэтому настаивает на бэкдоре.

В поддержку ФБР подключилось и Министерство Юстиции, подав ходатайство о том, чтобы заставить Apple сотрудничать с ФБР. Один из аргументов МЮ заключался в том, что поскольку работа Apple заключается в том, чтобы писать программное обеспечение, написать такую версию ОС для iPhone, который нужно взломать, ей не составит труда. Подобный аргумент я также слышал и от читателей, и от других «интернет-экспертов», что, мол,»да че там, писать, наверно, уже и так все написали, а это все пиар для отмазки». Для меня очевидно, что такие «эксперты» не имеют малейшего понятия о том, как работает процесс правосудия в США (и вообще, возможно, не представляют себе, что правосудие возможно). В том-то и дело, что «втихаря написать» то, что просит ФБР, чтобы после этого это можно было использовать в суде, не получится (как и не получится, допустим, для минимизации рисков утечки посадить одного разработчика и одного представителя ФБР, написать модифицированную iOS, взломать iPhone, а потом этих двух участников процесса убить, а модифицированную iOS уничтожить). Мне прислали интересную статью о том, что же на самом деле должна будет сделать Apple, если ее все-таки заставят такую ОС для ФБР писать. Судите сами, сколько там возможных моментов для утечки такой «отмычки» не в те руки (перевод с некоторыми сокращениями ниже). Вот, кстати, резюме автора, чтобы вы понимали, что он знает, о чем он пишет.

————-
Что не все осознают, и что существенно отличается в юридическим мире — это разница между предоставлением исследовательских услуг и разработкой того, что суд посчитает инструментом.

Инструмент — это термин, используемый в судах для описания чего-либо, от измерителя уровня алкоголя до судебных инструментов, и чтобы признать в качестве судебного доказательства новый инструмент, нужно, чтобы он был ратифицирован, проверен и принят научным сообществом. Инструмент должен отвечать строгим требованиям воспроизводимости и предсказуемости, и третья сторона (например, эксперты защиты) должны иметь доступ к нему. К инструментам и другое отношение, чем к исследовательским услугам, вроде копирования данных с телефона. Я делал и то, и другое для правоохранительных органов: предоставлял услуги и разрабатывал криминалистические инструменты. Предоставление образа памяти требует дачи свидетельских показаний о примененной методике. Мои криминалистические инструменты, однако, проходили куда более тщательный процесс, требующий серьезных ресурсов, и то же самое ждет Apple.

Инструмент должен быть спроектирован и разработан в строгих рамках, что должно обеспечить воспроизводимые, предсказуемые результаты, с основательной проверкой на ошибки, с документацией, адекватной обработкой ошибок, и тд. Инструмент должен быть криминалистически безупречен и не изменять ничего на устройстве, или же документировать все вносимые изменения. Должна быть написана полная документация, которая будет пояснять методы и методики, применяемые для отключения функций безопасности. Инструмент не может быть просто поделкой, призванной сломать PIN, он должен быть разработан так, чтобы все его функции были объяснены, и методология могла бы быть воспроизведена третьими сторонами. Поскольку ФБР, по-видимому, является стороной, которая будет предоставлять PIN-коды для проверки, Apple должна будет спроектировать и разработать интерфейс для передачи PIN в устройство, что означает дополнительные ресурсы для проверки ввода, проектирование протокола, еще больше сохранения истории, обработки ошибок, и тд. ФБР также запросила возможность делать это по беспроводным каналам связи (возможно, удаленно), что также означает шифрование передаваемых данных, проверку, отзыв сертификата и тд.

Когда инструмент будет разработан, он должен будет быть протестированным внутри Apple на некотором количестве устройств с идентичными версиями аппаратного обеспечения и операционной системой. Также должен быть создан некий набор экспертов внутри компании, которые будут проверять инструмент и затем поручаться за технологию. В моем случае это была целая куча ученых из разных государственных агентств, проводящих коллегиальный обзор. С тестовых устройств должен сниматься образ до и после процедуры, и затем дисковые образы должны сравниваться, чтобы убедиться, что ничего не изменилось;, а изменения, которые происходят при разблокировке операционной системы и ведении системных журналов должны документироваться, чтобы затем их можно было объяснить в суде. Нужно будет исправлять ошибки. Пользовательский интерфейс должен быть упрощенным и качественно обрабатывать ошибки, так, чтобы он мог быть использовать третьими сторонами.

Когда инструмент будет готов, он должен будет пройти проверку и подтверждение третьей стороной. В этом случае это может быть NIST/NIJ (тут проходили проверку мои инструменты). У NIST есть процесс тестирования и сертификации мобильных криминалистических инструментов, и Apple должна будет предоставить им копию инструмента (который должен будет работать на всех тестовых устройствах NIST). NIST проверяет, что можно достать все данные на тестовых устройствах. Каждый раз, когда инструмент обновляется, он должен опять проходить процесс сертификации. После того, как NIST проверит и сертифицирует инструмент, ФБР сможет использовать его на устройстве. Вот пример того, как выглядела сертификация одного из моих инструментов:
https://www.ncjrs.gov/pdffiles1/nij/232383.pdf

Во время судебного процесса суд захочет узнать, какие исследовательские проверки проходил инструмент; если он не был сертифицирован в NIST или другой третьей сторону, или же если он не принят научным сообществом, то инструмент и доказательства, им добытые, могут быть отвергнуты судом.

Apple должна быть готова защищать свой инструмент и методологию в суде; нет, правда, защита/cудья/ даже присяжные в Калифорнии будут задавать тупые вопросы из серии «а почему вы это не сделали так», или «а это джейлбрейк», или «а что, нельзя было просто сделать телефону джейлбрейк?» (мне действительно пришлось на этот вопрос отвечать присяжному в кривой юридической системе Калифорнии, которая позволяет присяжным задавать вопросы). Apple должна инвестировать ресурсы в инженеров, которые хорошо знакомы не только со своим кодом, но также должны осознавать, почему они выбрали те методики в качестве лучших практик. Если определенные оспаривания приводят не туда, то будущие версии инструмента потребуют внесения изменений по запросам ФБР.

Если улики из устройства попадут в материалы дела, рассматриваемые в зале судебных заседаний, адвокат обязательно запросит (и должен это сделать) копию инструмента для того, чтобы провести независимую экспертизу, и в этом случае ПО должно будет работать еще на одном наборе тестовых устройств. Apple должна будет сотрудничать с экспертами со стороны защиты, чтобы проинструктировать их по использованию инструмента, чтобы они получили предсказуемые и постоянные результаты.

В весьма вероятном случае, если ФБР будет применять инструмент к другим устройствам, Apple будет вынуждена содержать команду из разработчиков и юристов, чтобы поддерживать на должном уровне знания об инструменте, поддерживать разработку инструмента и предоставлять свидетельские показания по мере необходимости.

Другими словами, разработка такого инструмента — это куда более сложный процесс, чем просто копирование данных с телефона, как могла бы запросить ФБР:

  • Разработать его в соответствии с криминалистически устойчивыми стандартами
  • Сертицифировать и коллегиально проверить
  • Протестировать на многочисленных тестовых устройствах
  • Инструмент должен быть принят судом
  • Может быть выдан криминальным экспертам третьей стороны (для тестирования)
  • Может быть выдан экспертам защиты (для защиты)
  • Инструмент должен быть способен выдержать оспаривания в суде
  • Инструмент может потребовать пояснений перед судом
  • Возможно, придется выдать исходный код, если будет соответствующее решение суда
  • Необходимо его поддерживать и исправлять ошибки
  • Понадобится защищаться от исков тех, кто был признан виновным
  • Придется юридическими методами преследовать те организации и компании, или хакеров, которые украдут части кода
  • Содержать юридический и инженерный персонал для поддержки инструмента Maintain
  • На апелляциях проходить все эти процессы снова и снова


Дойдет ли этот случай до зала судебных заседаний? Безусловно, они (ФБР) уже признали, что они разрабатывают разные версии и присматриваются к другим людям. Если родственнику или кому-то другому будет предъявлено обвинение, эти инструменты обязательно всплывут в суде. Даже вне пределов этого дела, можете себе представить создаваемый прецедент и вероятность того, что этот инструмент будет использован не однажды, а многократно, каждый раз сталкиваясь с необходимостью соответствовать требованиям суда в разных юрисдикциях, с разными аргументами защиты, с раздачей ПО другим сторонам для анализа и воспроизведения результатов, и тд.

Вы задаете неправильный вопрос. Задумайтесь вот о чем: даже если подозреваемый никогда не попадет в суд, мы говорим о применении устойчивой криминалистической науки. Все, что я описал в этой статье, соответствует лучшим практикам в этой сфере. Для любого, кто мог бы удовлетвориться простой халтурой вместо криминалистического инструмента, это означало бы отвратительный прецедент ухода от обоснованный науки и методологии в работе с доказательствами. Это, без сомнений, нанесло бы вред репутации криминалистического процесса и понизило бы планку всех подобных стандартов. Другими словами, репутация криминалистической науки куда более важна, чем вопрос о том, дойдет ли это дело или не дойдет до зала судебных заседаний.

По секрету всему свету:

© alexmak.net