Как ФБР заставило Yahoo модифицировать фильтр входящей почты
Марисса Майер подверглась критике за неспособность обеспечить меры безопасности в условиях давления со стороны правительственных разведслужб. Фото: AP Photo/Michel Euler
Для отдела безопасности Yahoo нынешняя ситуация выглядит так, словно компанию взломали. Некий злоумышленник в середине 2015 года установил бэкдор, который сканировал почтовый трафик (в отчёте сказано о поиске конкретной «signature», что бы это не значило). Так могла поступать иностранная разведка, которая хочет найти конкретную информацию. Но в данном случае иностранная разведка оказалась ни при чём. Как стало известно[1] агентству Reuters, высшее руководство корпорации Yahoo помогло агентам правительственных служб США установить специальный бэкдор для сканирования почтового трафика Yahoo Mail.
Как выяснилось[2], это было сделано втайне от персонала и отдела безопасности Yahoo. Об операции знали только несколько её участников. Говорят, когда начальник отдела безопасности, известный специалист Алекс Стамос узнал об этом в июне 2015 года, он сразу подал заявление об увольнении. Искать новую работу Алексу пришлось недолго[3].
Yahoo получила судебное предписание предоставить доступ к своей почтовой системе из секретного Суда по негласному наблюдению в целях внешней разведки (FISC). По закону FISA[4] (Акт о негласном наблюдении в целях внешней разведки), получатель такого судебного предписания не имеет права разглашать информацию о получении ордера. В случае оспаривания решения оно рассматривается снова в секретном суде, и компания опять же не имеет права разглашать информацию о рассмотрении такого дела. В конце концов, никто из пользователей не должен получить прямого уведомления о том, что над его аккаунтом установлена слежка.
Некоторые компании, опасаясь получения секретных предписаний FISC, используют трюк, известный как «свидетельство канарейки» — они заранее размещают на сайте заявление[5] о том, что до сих пор не получали судебных предписаний FISC. В случае получения такого ордера они просто убирают с сайта ставшее ложным заявление[6], не нарушая формально требование о неразглашении информации. Фонд электронных рубежей специально отслеживает[7] свидетельства канарейки на разных сайтах, чтобы пользователи могли делать выводы о тайных действиях правительства США.
Сразу после появления сообщения о доступе правительственных спецслужб к почтовому трафику Yahoo практически все крупные компании выступили с официальными заявлениями о том, что у них не действует подобная система сканирования конфиденциальных сообщений пользователей. С такими заявлениями выступили Apple, Google, Twitter и Microsoft[8].
Компания Yahoo выпустила типичное «опровержение без отрицания». Алекс Стамос отказался комментировать[9] ситуацию.
Таким образом, Yahoo осталась в одиночестве. Марисса Майер подверглась критике коллег за то, что не сумела обеспечить меры безопасности и защитить пользователей.
Yahoo пытается оправдаться: «Статья в [Reuters] вводит в заблуждение. Мы узко интерпретировали каждый государственный запрос, чтобы минимизировать утечку данных, — заявила компания. — Сканирование писем, описанное в статье, не существует в нашей компании».
Что же происходило на самом деле?
За прошедшее время появилась новая информация о том, как могла быть организована система сканирования трафика на серверах Yahoo Mail. Естественно, компании Yahoo запрещено разглашать эти сведения, но в интервью NY Times двое государственных служащих и ещё одно лицо поделились информацией[10] на условиях анонимности. Они подтвердили, что Министерство юстиции США в прошлом году получило ордер от судьи FISC на получение разведданных в отношении иностранной террористической организации. Чтобы выполнить судебное требование, компания Yahoo модицифировала существующую систему сканирования входящего трафика, которая в штатной ситуации используется для фильтрации вредоносного программного обеспечения и спама.
После такой модификации система находила и сохраняла для ФБР копии всех сообщений, которые содержали указанную «цифровую подпись» («digital signature»). В данный момент система уже не работает.
Адвокат EFF Эндрю Крокер (Andrew Crocker) говорит[11], что власти скорее всего использовали параграф 702[12] Акта о негласном наблюдении в целях внешней разведки, который позволяет «массовый сбор информации с каналов связи для сбора данных об иностранном физическом лице».
Такой запрос не совсем обычен, потому что принуждает компанию систематически сканировать весь трафик, а не содержимое конкретных почтовых ящиков. Как говорилось выше, несколько крупных ИТ-компаний однозначно заявили, что не сталкивались с такими запросами FISC.
Сканировать трафик 500 миллионов пользователей частной компании, чтобы найти следы одного преступника — довольно необычная операция спецслужб. Но она проведена легально, судя по всему.
Эта история стала поводом для очередной дискуссии о балансе между национальной безопасностью, секретностью и защитой частной переписки пользователей. Нет, ФБР не читало чужие письма. Но оно внедрилось в систему и рылось в вашем почтовом ящике, в поисках нужной информации. Пусть это происходило автоматически. Пусть спам-фильтры и системы подбора контекстной рекламы по анализу содержания почтовых писем Google делают то же самое. Но всё равно неприятно.
Некоторые эксперты считают, что момент для скандала, который порочит репутацию Yahoo и Мариссы Майер, выбран очень удачно. «Я не могу отделаться от ощущения, что возможная покупка активов Yahoo и потенциальное вознаграждение для Мариссы Майер от этой сделки могли подтолкнуть некие плохо информированные спекуляции о том, что они делали с почтой пользователей, — говорит[13] профессор Алан Вудворд (Alan Woodward), специалист по безопасности из Университета Суррея (Великобритания). — Я подозреваю, что действия Yahoo не сильно отличаются от того, что делают другие американские сервис-провайдеры».
В то же время дьявол скрывается в деталях. Если ФБР имело доступ к системе сканирования почтового трафика по произвольным ключевым словам, то это действительно проблема. Законность такой системы сомнительна, эту тему нужно серьёзно обсуждать.
Сообщение Reuters о тесном сотрудничестве Yahoo с ФБР появилось через две недели после новости об утечке учётных данных 500 млн пользователей Yahoo[14].
Похоже, Мариссе Майер будет заключить трудно выгодную сделку по продаже активов Yahoo и получить достойный гонорар.
P.S. Срок действия параграфа 702 Акта о негласном наблюдении в целях внешней разведки истекает в конце 2017 года. Фонд свободных рубежей организовал общественную кампанию End 702[15], призывая Конгресс США не продлевать срок действия этого параграфа, потому что она сильно упрощает массовую прослушку электронных коммуникаций государственными службами и нарушает права граждан США.
Использованны источники
- ^ стало известно (geektimes.ru)
- ^ выяснилось (www.forbes.com)
- ^ пришлось недолго (www.facebook.com)
- ^ закону FISA (ru.wikipedia.org)
- ^ заранее размещают на сайте заявление (habrahabr.ru)
- ^ убирают с сайта ставшее ложным заявление (geektimes.ru)
- ^ специально отслеживает (geektimes.ru)
- ^ выступили Apple, Google, Twitter и Microsoft (www.techdirt.com)
- ^ отказался комментировать (theintercept.com)
- ^ поделились информацией (www.nytimes.com)
- ^ говорит (theintercept.com)
- ^ параграф 702 (fas.org)
- ^ говорит (www.forbes.com)
- ^ утечке учётных данных 500 млн пользователей Yahoo (habrahabr.ru)
- ^ End 702 (www.end702.com)