Про 150млрд. долларов на тотальную слежку, запрет Telegram и доказательство, что это борьбе с террором не поможет

*Написал колонку в Forbes на тему (ссылка на только что опубликованную статью ниже), – в которой делаю попытку на простом языке объяснить, почему идея запрета шифрования имеет несколько фундаментальных изъянов и надо от нее отказаться. К сожалению, редакция Forbes вырезала часть моих мыслей из текста в силу специфики формата издания, но тут я могу опубликовать колонку без купюр, а версия Forbes – по ссылке ниже. 
—————-

На заседании 20 марта суд отклонил апелляцию Telegram к ФСБ и подтвердил законность требований по передаче органам безопасности ключей для дешифровки всей переписки абонентов мессенджера.

Мотивация ФСБ проста: якобы продукт используется террористами и для перлюстрации их разговоров, органы должны получить доступ к переписке всех клиентов. Павел Дуров в ответ резонно заявил через своих представителей, что право на неприкосновенность переписки гарантируется Конституцией. Но итог споров подвел суд: ФСБ выиграла, если Telegram в 15-дневный срок не выполнит предписание суда, мессенджер может быть запрещен на территории РФ. 

Развязка конфликта имеет колоссальную важность для каждого из нас, страны в целом, и, как ни странно, для самих органов ФСБ. Выделю пять критичных моментов. 

*Нельзя создавать универсальные ключи к Telegram 

Не существует золотого ключика, который откроет любой секретный чатик Telegram. Когда абоненты общаются, их послания шифруются временными ключами, которые во-первых, уникальны только для конкретных абонентов (то есть, ключом Васи и Маши нельзя расшифровать и прочитать чат Джона и Усамы), во-вторых, “протухают” очень быстро (каждые 100 сообщений, но не реже раза в неделю). В-третьих, известны только участникам переписки — у разработчиков Telegram их нет, ибо ключи генерируются непосредственно абонентами.

И есть причина, почему эта технология сделана настолько параноидально. Дело в том, что последние 30 лет интернет-сервисы и приложения взламывались огромное количество раз, в том числе, хакерам неоднократно удавалось находить правительственные бэкдоры и использовать их в своих целях — для воровства денег и информации, взломов, шантажа и так далее. (“Бэкдоры” — это так называемые “черные ходы” или, попросту, дыры в защите ПО, сделанные разработчиками специально для спецслужб и военных, чтобы дать им неограниченный доступ к информации). На эти грабли Интернет наступил не поддающееся подсчету количество раз — ломали всех и каждого, даже крупные компании уровня Sony и Equifax (банковский сервис).

В результате, IT-сообщество осознало и приняло простую истину — все тайное рано или поздно становится явным. Уязвимость, известная хорошим парням, однозначно будет обнаружена плохими — хакерами или спецслужбами потенциального противника. После катастрофических инцидентов вроде heartbleed (когда внезапно выяснилось, что зашифрованный трафик протокола https, используемый на миллионах сайтов, можно было читать), многие сервисы и крупные компании раз и навсегда отказались от практики “закладок” в своих продуктах.

АНБ тоже требовала от Apple ключи для дешифровки всех айфонов. Процесс шел долго и публично, а СМИ активно освещали процесс. В итоге Apple удалось убедить АНБ и Сенат США в том, что, если такие мастер-ключи будут созданы Apple для АНБ, они неизбежно (ибо сюрприз — хакеры умеют находить дыры!) попадут в плохие руки и вред от этого перекрывает все потенциальные плюсы. Гендиректор Apple Тим Кук лично давал публичные показания на эту тему.

Отказ России учиться на чужих ошибках выглядит крайне тревожно. Если Дуров вдруг согласится сделать для ФСБ бэкдор в своем продукте (а именно об этом его просят, ибо никаких мастер-ключей попросту не существует), это будет означать, что уязвимостью в защите продукта дырке неизбежно и довольно быстро начнут пользоваться профессиональные международные хакеры, спецслужбы других стран, в том числе тех, которых ФСБ считает потенциальным противником. А пользователи просто начнут уходить на другие платформы.

Об опасности создания бэкдоров ввиду их неизбежной компрометации неоднократно предупреждали и Эдвард Сноуден, и Брюс Шнаер (один из ведущих мировых экспертов по безопасноти), и многие другие ведущие эксперты по кибер-безопасности. Об этом прямым текстом говорю и я. 

Полагаю, что в самой ФСБ присутствует конфликт между запросом оперативных подразделений (их требование, в силу специфики работы и отсутствия глубоких технических знаний предмета, как раз понятно) и мнением их собственных специалистов по технической контрразведке. Думаю, мнением последних пренебрегли или не нашли аргументы убедительными, хотя они прекрасно понимают риски создания мастер-ключей к чему бы то ни было по вышеназванным причинам. В ФСБ работают одни из лучших в мире технических специалистов и к их мнению их собственным коллегам-оперативникам стоит прислушаться.

*Ни один мессенджер не является “официальным инструментом” террористов

В математике есть чудесный метод доказательства — “от противного”. Он крайне эффективен и прост. Давайте на секунду представим, что вы террорист и мысли ваши нечисты. Далее представьте, что Telegram — запрещен и вы не можете им пользоваться. Вы перестанете общаться со своими сообщниками? Нет. У вас сохранится возможность общаться с ними через другие средства? Да. То есть, инициатива запрета не решает обозначенную проблему. Что и следовало доказать.

Профессиональные террористы, с которыми сейчас борется весь мир, в том числе Россия, всегда имеют источники финансирования — и именно борьба с оными может нанести им максимальный вред. Ибо пока у них есть деньги, они смогут расходовать их часть на обеспечения своей собственной информационной безопасности — грубо говоря, смогут нанять на рынке хакера, который лишен морали и работает исключительно за деньги. Это несложно. Хакер обеспечит покупку за наличные или на украденные кредитные карты одноразовых телефонов и сим-карт, не привязанных к личностям террористов. Затем за считанные минуты соберет одноразовый зашифрованный месенджер уровня Telegram из доступных в публичном доступе кодов.
Пример: любой желающий может зайти на сайт — здесь – https://github.com/signalapp/libsignal-protocol-c – лежат исходные коды (то есть готовый к сборке конструктор) мессенджера Signal на языке программирования С++. Это мессенджер уровня Facebook Messenger, Whatsapp, Telegram, а в чем-то и превосходит их.
И таких исходных кодов, готовых к применению — в Сети много. В XXI веке программный код принято выкладывать в публичный доступ, так как конкурентное преимущество уже не кроется в удержании секрета своего продукта, оно в способности работать на опережение. Вы можете прямо сейчас начать копировать Google Android — можно скачать исходные коды и даже сделать свой телефон. Но, пока вы будете его копировать, Google уже сделает новую версию, ваш продукт станет устаревшим и его никто не купит.
Еще одна причина публичности кода — безопасность: многократно доказано, что любое проприетарное решение, особенно в области шифрования, заведомо ущербно в сравнении с открытым в исходных кода. Публичная проверка кодов и алгоритмов шифрования на прочность интернет-сообществом — общемировая практика. Она делает продукты надежными, но она же сводит на нет все запрещающие инициативы: тот, кому запретили инструмент А, всегда сможет выбрать одну из многочисленных альтернатив B-Z. 

Тотальный контроль граждан — извращение принципов демократии 
В чем суть оперативно-розыскной деятельности, следствия и честного суда в любом демократическом государстве? Когда человек дает повод(!) подозревать его в противоправной деятельности (есть свидетели преступления или физические доказательства), запускается очень четкий и проверенный веками механизм. Следственные органы заводят дело и начинают собирать факты. Если им нужно следить за Васей и знать, что он делает, ибо Вася потенциально опасен, следователь получает санкцию непредвзятого суда и только тогда делает задуманное. Это отличает тоталитарную страну от свободной. Важно понимать, что оперативник не следит за всеми гражданами, чтобы поймать только Васю. 
То, что происходит сегодня, не только в России, но и во многих странах мира, переворачивает все с ног на голову: для того, чтобы поймать 12000 убийц в год, государство следит за 150 млн человек.
В психиатрии есть такая прибаутка: “Нет здоровых людей, есть лишь плохо обследованные”. В ситуации, когда каждый шаг каждого человека фиксируется “большим братом”, у государства не возникает проблем с “диагнозом”. Компромат найдется на кого угодно: кто-то улицу на красный переходит, кто-то нарушает скоростной режим, кто-то не вовремя платит налоги, а кто-то жене изменяет и хранит видео своих подвигов на своем смартфоне. Люди — не роботы, у всех есть слабости. И с этой точки зрения тотальный контроль нарушает баланс сил свободного общества, ибо любого неугодного человека можно начать шантажировать или “закрыть” в любой момент. 

*Тотальная слежка неэффективна и стоит слишком дорого

Если этические вопросы от вас далеки, давайте перейдем к цифрам. Самые передовые технологии сбора данных о людях и их классификации разрабатываются лидерами индустрии контекстной рекламы — в первую очередь, это, безусловно, Google и Facebook. Важно понимать, что несмотря на отвратительные и опасные побочные эффекты работы этих индустрий: контекстная реклама имеет огромный уровень погрешности — условно говоря, рекламодатель, покупающий аудиторию, попадает в своих клиентов где-то в 60% случаев.
http://new.forbes.ru/tehnologii/358883-bezzashchitnye-dannye-kak-facebook-okazalas-v-centre-samogo-bolshogo-skandala-v) 

Но в том-то и дело, что рекламодателя это устраивает, ибо он оперирует понятиями уровня ROI (return of investment — возврат инвестиций) — если на вложенные $100, он получает $120 прибыли — ему абсолютно все равно, какая погрешность у рекламы. Проблема в том, что сейчас многие спецслужбы практикуют аналогичный технологический подход — собирают о людях максимум информации и учат искусственный интеллект (то есть, создают алгоритмы машинного обучения) в этом огромном океане фактов искать нужные закономерности и, в том числе, автоматически выявлять потенциальных преступников и места преступлений. Об этом мы, как минимум, знаем из материалов Сноудена.

То есть мы, люди, прямом смысле уже создали первую версию “полиции будущего”, прекрасно показанную в фильме “Особое мнение” по одноименному роману Филиппа К. Дика, где людей арестовывают и судят за преступления, которые те еще не совершили.

В чем тут главная проблема? Вы не поверите, но снова в математике: спецслужбы и правоохранительные органы мира (не только России) захлебываются в сигналах об опасностях. Искусственный интеллект не ест и не спит, в отпуск не ходит, водку не пьет — подозрения появляются постоянно, огромными пачками. Но что происходит дальше? Органы обязаны назначать на отработку версий обычных живых людей, оперативных сотрудников, которых очень мало, чье обучение стоит очень дорого и длится годами. А еще у них есть семьи и дети, которые тоже требуют времени. И спать они иногда хотят. В итоге эти самые сотрудники огромную часть своего времени тратят на отработку ложных следов, потому что, условно, из миллиона красных флажков, 400 000 — ерунда уровня сообщений “давай завтра взорвем танцпол”, а еще 300 000 — мягко говоря, второстепенны по сравнению с действительно важными делами стратегического масштаба. А настоящие угрозы отлеживаются старыми методами — в основном, агентурной работой. И неэффективность технических маркеров растет во всех странах, ибо данных собирается больше, но растет и количество ложных срабатываний — у всех существующих алгоритмов 100% надежности нет.

Главный побочный эффект — колоссальное количество денег сжигается в промышленных масштабах. По информации Сноудена, совокупный бюджет АНБ — белый и неофициальный, составляет около $75 млрд в год. От него же мы знаем, что эта сумма больше той, что тратят на слежку все остальные страны вместе взятые. Поэтому мировой бюджет на слежку за своими и чужими гражданами можно оценить примерно в $150 млрд в год.

Для сравнения, ВВП Хорватии — 50,43 млрд, Катара — 152,5 млрд, Новой Зеландии — 185,02 млрд (данные за 2016 год:). Величайшее технологическое достижение Лунная программа стоила США 100 млрд, отправка марсохода Curiosity — 1млрд. Уровень затрат на слежку растет, но на Луну мы чаще летать не стали. Это повод задуматься о том, туда ли мы, человечество, тратим деньги. На мой взгляд, кибероружие и инструменты глобальной слежки должны регламентироваться и управляться ООН так же, как ядерное оружие. Тогда затраты на слежку должны быть жестко ограничены, а методы — строго регламентированы международным законодательством. Наши деды, создавшие ООН после войны, хотели решать вопросы человечества коллегиально, ибо хлебнули последствий подхода, в котором каждый тянет одеяло на себя. Мы же, вместо развития, часто стремимся обгадить и сломать все, что они сделали. Не стыдно перед предками? 

*Международные отношения

Есть еще один подводный камень, о котором почему-то часто забывают в таких ситуациях. Благодаря интернету, мы живем в глобальном мире и по-настоящему международном сообществе. Не бывает приложений и сервисов с на 100% однородным населением. Даже в китайских приложениях и за китайским фаерволом есть русские, американские, немецкие, британские — словом, граждане разных стран. Когда спецслужба конкретной страны просит сервис предоставить ключи полной дешифровки переписки, технически, она просит предоставить ей возможность перлюстрации корреспонденции иностранных граждан. Это не что иное, как разведывательная деятельность. Сообщения могут включать личную информацию и персональные данные. Также вмешательство может стать причиной не одного международного скандала. Вспомните, как сказалась на американо-германских отношениях слежка АНБ за телефоном Ангелы Меркель: в 2017 году она заявила, что Германия не может как прежде рассчитывать на союзников, а на встрече с Трампом последний показательно отказался пожать ей руку на глазах многочисленных журналистов. 

*Россия опять выбирает между Европой и Азией

В UK, Германии и Франции многократно обсуждались инициативы по запрету оконечного шифрования. Особенно сильно страсти бурлили в Великобритании, где Джеймс Камерон пытался на уровне первого лица провести соответствующий закон. Но, как и в США, эксперты смогли убедить власти, что идея с мастер-ключами — вредна: лучше иметь всех своих граждан защищенными и тем самым поставить палки в колеса внешним разведкам, хакерам и кибер-террористам, чем открыть всю переписку своим спецслужбам, а значит — всем на свете. Думаю, со стороны Европы — это это чистый и холодный расчет. В итоге, требования по обязательной расшифровке трафика сначала были сняты с иностранных компаний в рамках Investigatory Powers Act 2016 года. Надо понимать, что для Европы “иностранные компании” — это почти 100% мессенджеров, поэтому фактически акт признает право на шифрование переписки их пользователей.
В этом году, оконечное шифрование и вовсе попадает под защиту GDPR (General Data Protection Act), — закона, вступающего в силу 25 мая. Пользователь в рамках GDPR получит право защищать свою информацию любыми доступными средствами, в том числе шифровать. А бизнесы будут обязаны им эту защиту обеспечить, а еще и предоставить право “быть забытым”. За несоблюдение требований GDRP компании могут штрафоваться на суммы вплоть до 4% годового оборота, что неизбежно повлияет на рынок данных.

Россия, судя по кейсу с Telegram vs ФСБ, скорее двигается по пути Китая, нежели Европы и США. Правильный это подход или нет — покажет время. Но тут хочется вспомнить фразу персонажа Костика из “Покровских ворот” — “… поверьте историку, — осчастливить против желания — нельзя”. 

Текст Forbes: 
http://www.forbes.ru/tehnologii/359045-vystrel-v-nogu-pochemu-zapret-telegram-bespolezen-dlya-fsb

Если вы находите мои аргументы убедительными, like & share – приветствуется – чем больше людей будет знать и понимать истинное положение вещей – тем меньше будет таких ситуаций.