Любая интернет-компания обязана тайно изменить программный код по требованию властей
6 декабря 2018 года парламент Австралии принял Assistance and Access Bill 2018 — поправки к Telecommunications Act 1997 о правилах оказания услуг электросвязи.
Говоря юридическим языком, эти поправки «устанавливают нормы для добровольной и обязательной помощи телекоммуникационных компаний правоохранительным органам и спецслужбам в отношении технологий шифрования после получения запросов на техническую помощь».
По сути это аналог российского «закона Яровой», который требует от интернет-компаний обязательной расшифровки трафика по запросу правоохранительных органов. В отдельных моментах австралийский закон даже более суровый, чем российский. Некоторые эксперты недоумевают, как такое законодательство вообще могло быть принято в демократической стране и называют его «опасным прецедентом».
Разработка нового закона продолжалась более года, он чрезвычайно сложный и объёмный. В начале декларируется «золотое правило», на что не имеют права правоохранительные органы: они не имеют права требовать от IT-компаний внедрения в свои продукты «системных уязвимостей». Однако в тексте нет определения, что считается системной уязвимостью.
Дальше утверждается, что IT-компании обязаны помогать в расшифровке сообщений пользователей, которые попали в разработку правоохранительными органами. Список обязательной «помощи» включает в себя такие пункты:
- удаление одной или нескольких форм электронной защиты;
- предоставление технической информации;
- облегчение доступа к услугам и оборудованию;
- установка программного обеспечения;
- изменение технологий;
- сокрытие факта, что сделано что-либо из перечисленного.
Последний пункт особенно примечателен. Речь идёт не только о сокрытии информации от пользователей, чтобы те не заблокировали установку свежего «обновления безопасности» на свои устройства. Всё гораздо интереснее.
Если посмотреть определение «designated communication provider» в параграфе 317C (пункт 6), то даже отдельный разработчик, если он гражданин Австралии, должен выполнить требование правоохранительных органов, внедрить бэкдор в программу и обязан скрыть эту информацию от своего работодателя, иначе ему грозит тюремное заключение.
Designated communication provider
Остаётся открытым вопрос, насколько действие закона распространяется на австралийских программистов, которые работают на иностранные компании.
One of the ways #AABill gets access to systems is by commandeering employees of companies to write backdoors. But they«re not even allowed to tell their employer, or face jail time.
I went through the mechanics of this, and realised how out of touch Canberra is…
— Alfie John (@alfiedotwtf) December 4, 2018
Согласно принятым поправкам, например, полиция имеет право отправить в адрес австралийского подразделения компании Facebook «запрос на техническую помощь» с требованием обновить Facebook Messenger или другое программное обеспечение, чтобы полиция получила доступ к сообщениям интересующего лица. Если буквально следовать определению из параграфа 317C, то эти запросы можно направлять не только компаниям, но также отдельным разработчикам и системным администраторам интернет-сервисов. Фактически, это узаконенный саботаж компьютерных систем.
В этом ключевое отличие австралийского закона от похожих законов в других демократических странах, которые требуют от IT-компаний содействия правоохранительным органам. Например, уязвимость аналогичного британского законодательства в том, что если компания технически не имеет возможности расшифровать сообщения пользователей (например, если там грамотно реализовано end-to-end шифрование), то власти ничего от неё не добьются.
А вот по австралийскому закону власти могут потребовать «обновить программное обеспечение». Они могут потребовать даже полностью отключить шифрование в программе, если это необходимо. Именно в этом опасный прецедент, считают специалисты.
Другие возможные варианты «содействия», которое обязаны обеспечить IT-компании:
- модификация аппаратного устройства, такого как Apple Home или Amazon Alexa, для непрерывной записи звука;
- требование к поставщику услуг по созданию фейкового веб-сайта;
- требование к компании передать более точные данные геолокации телефона.
«Теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения. Под этот закон попадают все IT-компании, работающие в Австралии. В том числе, различные сайты и интернет-сервисы.
Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов. Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства.
Подобное «законотворчество», маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали. Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.
Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, даёт ровно такую же возможность злоумышленникам их использовать. А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп. — пишет Александр Литреев, российский эксперт по IT-безопасности и автор популярного телеграм-канала «Сайберсекьюрити и Ко».
Единственное смягчение, которого добились противники законопроекта — правительство Австралии пообещало использовать данное законодательство только при расследовании серьёзных преступлений, которые предусматривают тюремное заключение от трёх лет.
Впрочем, даже это ограничение включает в себя очень большой список нарушений, например, ложный вызов экстренной службы. Недавно в Австралии был принят ещё один сомнительный закон Espionage and Foreign Interference Act 2018, который предусматривает для нынешних или бывших госслужащих уголовное наказание до пяти лет за разглашение «информации, которая может повредить национальным интересам». Правозащитники считают, что этот закон направлен против информаторов и журналистов.
Кто-то раньше думал, что подобные законы против «иностранных агентов» и «шпионов» с требованием обязательной расшифровки трафика могут принимать только в странах, где не слишком уважают права человека. Но практика показывает, что власти Великобритании и Австралии тоже пытаются установить жёсткий контроль над электронными коммуникациями граждан. Ситуация ухудшается повсеместно, а не только в России.
Австралия является членом альянса «Пять глаз» (Five Eyes) наряду с Канадой, США, Новой Зеландией и Великобританией. Эти страны соглашаются обмениваться разведывательной информацией, а в сентябре 2018 года они выпустили совместное заявление, в котором объявили, что IT-компании облегчат им доступ к этой информации: «Если правительства будут продолжать сталкиваться с препятствиями на пути законного доступа к информации, необходимой для защиты граждан наших стран, — говорится в заявлении пяти стран, — мы можем принимать технологические, правоприменительные, законодательные или другие меры для достижения законных решений доступа».
В свете вышеизложенного есть вероятность, что такие законопроекты могут принять и другие страны альянса.
Многие эксперты сходятся во мнении, что подобные законы несут больше вреда, чем пользы и на самом деле ослабляют безопасность, а не укрепляют её: «У этого закона серьёзные недостатки и он, вероятно, приведёт к ослаблению общей кибербезопасности в Австралии, снижению доверия к электронной торговле, снижению стандартов безопасности для хранения данных и снижению защиты гражданских прав», — сказано в заявлении правозащитной организации Digital Rights Watch.
Скорее всего, закон начнут применять не только против террористов, но и против частных лиц, считает Марк Грегори, специализирующийся на сетевой инженерии и интернет-безопасности в Мельбурнском университете RMIT: «Он слишком поспешный, широко и нечётко сформулирован и в конечном итоге будет использовано неправильно. Его можно использовать не только в вопросах уголовного, но и корпоративного права».
«Существуют проблемы, связанные с прозрачностью, подотчётностью, надзором, а также потенциальными возможностями злоупотребления», — добавляет Моник Манн, исследователь в области технологий, права и регулирования в Квинслендском технологическом университете.
Представители IT-индустрии говорят, что закон угрожает экспорту IT-услуг из страны, поскольку в мире станут меньше доверять надёжности австралийских программ.
Удостоверяющему центру GlobalSign исполнилось 22 года! В честь дня рождения компании дарим скидку 60% на сертификаты.