2024/09/23 10:58:33

Соглядатай и доносчик в кармане. Эксперт по защищенной связи - о рисках использования смартфонов

Сергей Яковлев, полковник в отставке, эксперт по вопросам защищённой мобильной связи, подготовил для TAdviser колонку о рисках использования современных смартфонов и популярных приложений.

Содержание

Чем опасен смартфон

Cмартфон – друг или враг? Уверен, что большинство читателей ответит – конечно, друг. Он неимоверно расширяет коммуникационные возможности через соцсети, позволяет получать огромнейшие объёмы разнообразной информации и обмениваться ею, помогает развивать бизнес и управлять им, прокладывает маршруты поездок, развлекает и многое другое. Всё это так, но всё это одновременно имеет и другую, весьма неприятную, если не сказать, опасную сторону.

Очень многие обладатели смартфонов знают, что их любимый девайс что-то кому-то сообщает и далее этого их познания о реальных возможностях смартфонов (яблочных или андроидных, это без особой разницы, единственно что операционная система iOS является более изощрённой в своих «шпионских» функциях) не идут. И совершенно напрасно.

Подавляющее большинство пользователей и понятия не имеет, какого соглядатая и доносчика они имеют рядом с собой 24 часа в сутки. Смартфоны через свои операционные системы и установленные приложения собирают и передают в гигантские дата-центры (все они принадлежат или находятся под контролем АНБ США) и своим разработчикам абсолютно всю информацию, проходящую через смартфон – фото, видео и звуковые файлы, текстовые файлы (причём, при использовании клавиатур текстовых редакторов, например Word, набираемый текст передаётся разработчику и другим в режиме реального времени), переписка в соцсетях и через разного рода мессенджеры, не взирая на то, являются ли они общего доступа либо платными. И всё это сохраняется там вечно.

Более того, операционные системы «по собственной инициативе» передают туда же (а это уже заложено в самих чипах, на которых построен смартфон, и разрешения пользователя на эти передачи совершенно не требуется) геолокацию пользователя в режиме реального времени, маршруты его передвижения с полной привязкой к картам (например, гугловским), идентификационные номера смартфона (IMEI) и SIM-карты (а также телефонный номер), телефонные книги со всей содержащейся в них информацией об абонентах. Более того, эти операционные системы позволяют управлять смартфоном дистанционно (даже в его выключенном состоянии) – через его микрофоны (а их в любом смартфоне несколько) возможно прослушивать всё, что находится в зоне их чувствительности, через видеокамеры смартфона скрытно получать фото и видео информацию. Иллюстрацией этому служит то, что многие уже испытали на себе – обсуждая с кем-то какую-то тему и имея рядом даже не активный смартфон, после его включения неожиданно обнаруживаются рекламные баннеры или видеоролики именно по обсуждавшейся теме.

Вот, в частности, какой информацией интересуется американское АНБ (согласно информации, переданной его бывшим сотрудником Э. Сноуденом):

  • посещённые сайты;
  • полученная и отправленная почта;
  • активность в соцсетях (Facebook, Twitter и др., в т.ч. Вконтакте, Одноклассники)
  • активность в блогах: опубликованные и прочитанные посты, оставленные комментарии (патент АНБ на технологию определения темы текста путём анализа существительных);
  • звукозаписи телефонных переговоров с биометрической идентификацией личности по голосу (патент АНБ);
  • видеозвонки через WhatsApp, Telegram, Zoom, Google Meet и др.;
  • и многое другое.

Понятно, что утечка чувствительной личной и деловой информации, прослушки и «подглядывание» могут нанести очень серьёзный ущерб личного или материального плана, но причём здесь геолокация? Искренне советую не относиться несерьёзно к утечке этой информации. Обладая ею, а также маршрутами передвижения владельца смартфона можно без труда определить место его постоянного проживания, место работы, места отдыха, регулярно посещаемые адреса и многое другое. В конце концов, зная геолокацию пользователя можно нанести по нему удар высокоточным оружием, что уже не раз было сделано в ходе различных военных операций. Всё это, конечно же, в первую очередь относится к пользователям уже являющимся объектами интереса спецслужб противника, либо имеющим такой потенциал. Однако и простые телефонные разговоры обычного, рядового пользователя легко могут стать предметом интереса как спецслужб, так и криминального элемента.

Как же пользователь может защитить себя от утраты чувствительной для него информации и персональных данных, если, конечно, он всерьёз беспокоится об этом и не рассчитывает на «авось». Рассмотрим несколько возможных вариантов.

Полумеры защиты

Замена СИМ-карты и самого смартфона

Смена СИМ-карты (номера телефона) не позволит избежать пользователю смартфона прослушки/слежки со стороны третьих лиц (заинтересованных спецслужб), поскольку новый номер просто добавится в файл со всей прошлой информацией о пользователе. Информацию же о пользователе спецслужбы получают благодаря уже изначально заложенным в смартфон его производителем и разработчиками (Google, Samsung, Microsoft и др.) программным обеспечением.

Каждый звонок со смартфона несёт в себе информацию об уникальном номере (IMEI) смартфона, который, как отпечаток пальца, позволяет идентифицировать его владельца, невзирая на СИМ-карту, которой он в данный момент пользуется. Также, помимо воли и желания пользователя, передаётся информация о геолокации смартфона (причём она регулярно передаётся и в фоновом режиме, без совершения звонков и привязывается эта геолокация не к СИМ-карте, а к IMEI смартфона), телефонной книге, аудио записи с микрофона, фото/видео информация с видеокамеры, набираемые тексты на клавиатуре при пользовании текстовыми процессорами и мессенджерами и многая другая, к которой сам пользователь разрешает доступ установленным им самим приложениям и которую эти приложения собирают для создания профиля пользователя (например, как было отмечено выше, для подкачки рекламы по вопросам, способным заинтересовать пользователя).

Вся эта информация специальными сервисами Google, операционными системами iOS и Android, а также спецслужбами, на которые они замыкаются, сводится в единый профиль пользователя с целью идентификации пользователя, отслеживания его перемещений, контактов, переговоров, активности в соцсетях и многого другого. Этот профиль, в частности, используется и для того, чтобы при замене СИМ-карты на смартфоне определить, находится ли смартфон у прежнего пользователя или же перешёл к новому.

Частая смена СИМ-карт на одном и том же смартфоне в случае, если пользователь этого смартфона находится под особым вниманием спецслужб, является для них тревожным сигналом, способным многократно повысить внимание как к нему самому, так и к исходящим от него информационным потокам. Таким образом, частая смена СИМ-карт, превышающая какой-то логически объяснимый порог, не только не поможет уйти от возможной прослушки/слежки со стороны спецслужб, но и вызовет повышенное внимание с их стороны.

Конечно, смена СИМ-карт может помочь радикально решить задачу избавления от прослушки/слежки, но только при условии использования при этом кнопочного телефона (а не смартфона), замены его одновременно с заменой СИМ-карты, использования всего этого комплекта только для одного единственного сеанса связи с последующим уничтожением комплекта. Причём этот сеанс должен быть СМС-сеансом, а не голосовым, поскольку частотный отпечаток голоса пользователя уже может быть заложен в его ранее созданный профиль. При этом далеко не все пользователи, обеспокоенные сохранением своей информации и персональных данных, смогут отказаться от смартфона, поскольку отказываясь от него, необходимо будет отказаться также от целого ряда возможностей, присущих только смартфону.

Использование для обмена чувствительной информацией защищённых мессенджеров общего доступа

При использовании мессенджеров общего доступа (таких, как Телеграм, WhatsApp, Viber, Signal, Wire и др.) для конфиденциальной связи и в качестве транспортной среды для отправки зашифрованных сообщений (в плане недоступности передаваемой информации для третьих лиц) существует целый ряд серьёзнейших уязвимостей, а именно:

  • практически самой серьёзной угрозой для сохранения конфиденциальности связи при использовании мессенджеров Телеграм, работающих в среде Android, является служба клавиатуры Google, встроенная в операционную систему. В момент начала набора текста с клавиатуры устройства (как уже отмечалось выше) эта служба устанавливает защищённое соединение с одним из серверов дата-центров Google (значительное большинство из которых расположено в США) и в реальном времени транслирует набираемый пользователем тест;
  • другой серьёзной проблемой для конфиденциальности при работе с мессенджерами общего доступа является отсутствие механизма контроля со стороны пользователя за защищённостью передаваемой информации в реальном времени в плане угрозы «человек посередине» (стороннее к передаваемой информации лицо). При отсутствии такого контроля сервер, находящийся между двумя пользователями, получает возможность читать и подменять передаваемую информацию;
  • они не позволяют пользователю создавать и использовать свой собственный сервер, что не двусмысленно означает возможность проведения не подконтрольных пользователю операций с его информацией (её копирование, подмена, удаление, пересылка в облачное хранилище);
  • особо следует отметить серьёзнейшие уязвимости в плане сохранения конфиденциальности передаваемой информации при работе в «секретном чате», если таковой имеется, как, например, в Телеграм. Прежде всего, для организации и функционирования «секретного чата» в среде Телеграм используется собственный протокол MTProto, аудит которого невозможен и функционал которого до конца не известен. В силу этого совершенно правомерно высказать подозрение, что Телеграм заложил в этот протокол специальные возможности, публичное декларирование которых ему совершенно не выгодно. О наличии таких спецвозможностей говорит и тот факт, что Телеграм пошёл на значительные финансовые издержки для разработки и внедрения MTProto взамен стандартного, хорошо изученного и безопасного TLS-протокола безо всякого на то обоснования и разъяснения. Также и привязка телефонного номера (IMEI и т.п.) к аккаунту «секретного чата» является весьма значительной уязвимостью.

Кстати, бывший сотрудник АНБ США Эдвард Сноуден считает безопасность мессенджера Телеграм, как минимум, недостаточной.

Более того, далеко не все бесплатные мессенджеры являются полностью независимыми и не подконтрольными различным структурам (а, точнее, спецслужбам) различных государств. Так, например, мессенджер Signal скачали более 100 миллионов пользователей, и он может похвастаться громкими одобрениями со стороны всемирно известного предпринимателя Илона Маска. Signal создал впечатление, что все его пользователи, включая политических диссидентов, могут общаться друг с другом, не опасаясь перехвата или преследования со стороны правительства. Однако, основатель Twitter Джек Дорси публично заявил о том, что мессенджер Signal контролируется спецслужбами США и целиком и полностью финансируется Госдепом со всеми вытекающими отсюда последствиями.

С Джеком Дорси насчёт Signal согласен и Кристофер Ф. Руфо - старший научный сотрудник Манхэттенского института, пишущий редактор City Journal. Он отмечает, что технология, лежащая в основе мессенджера, первоначально финансировалась за счет гранта в размере 3 миллионов долларов от спонсируемого правительством США Фонда открытых технологий (OTF), выделенного из Radio Free Asia, первоначально созданного как антикоммунистическая информационная служба в годы холодной войны. Нынешняя председатель правления Фонда Signal Кэтрин Махер в период «арабской весны» руководила инициативами в области цифровых коммуникаций на Ближнем Востоке и в Северной Африке для Национального демократического института, организации, в значительной степени финансируемой государством (США). Она налаживала отношения с онлайн-диссидентами и использовала американские технологии для продвижения интересов поддерживаемых США цветных революций за рубежом. Для тех, кто верит в свободный и открытый Интернет, роль Махер в Signal должна стать тревожным знаком, говорит Кристофер Ф. Руфо. Согласно идеологии К.Махер «свобода Интернета» — это тактика, а не принцип, а «борьба с дезинформацией» означает подавление высказываний инакомыслящих, в том числе в США. С ними согласен и создатель Телеграм Павел Дуров. Кроме этого, он также считает, что этой «болезнью» страдает весь американский hi-tech.

Ещё один пример подобного это появившийся в 2018 году мессенджер ANOM. Его широко рекламировали как полностью приватный, защищённый, хэшированый и независимый. Для его использования СИМ-карта была не нужна, а зарегистрироваться в нём можно было только по рекомендации действующего пользователя. Для большей безопасности пользования приложением требовалась также и прошивка смартфона специальным софтом. Этот мессенджер чрезвычайно понравился представителям различных криминальных структур, торговцам оружием и другим подобным элементам, взявшим его в качестве основного средства коммуникации внутри своих группировок. Однако в 2021 году неожиданно выяснилось, что этот мессенджер является проектом и продуктом ФБР, Европола и федеральной полиции Австралии. Эти ведомства специально пиарили анонимность мессенджера, запускали широкие рекламные кампании и посылали агентов под прикрытием распространять прошитые смартфоны с предустановленным приложением.

Далеко не все мессенджеры и почтовые сервисы, являвшиеся изначально действительно независимыми способны сохранить её под давлением властей и спецслужб. Известным примером и редчайшим исключением из этого является произошедшее с защищённым сервисом электронной почты Lavabit. В мае 2014 года владелец этого сервиса Ладар Левисон сообщил подробности судебного процесса, в результате которого почтовый сервис пришлось закрыть. ФБР и министерство юстиции до сих пор не признавались, что доступ к серверам Lavabit им требовался с единственной целью — прочитать почту Эдварда Сноудена. Lavabit — анонимный почтовый сервис, которым пользовался Эдвард Сноуден, находясь в Шереметьево летом 2013 года. В это время к хостинг-провайдеру пришли агенты ФБР и потребовали установить следящее оборудование на сервере Lavabit. Затем они обнаружили, что почта на сервере зашифрована — и потребовали от Левисона выдать секретные ключи, чтобы расшифровать содержимое переписки. Тот отказался. Дальнейшее разбирательство с министерством юстиции продолжалось 38 дней.

Процесс был непростым и вёлся в закрытом режиме, то есть Левисон даже не мог открыто объявить, что ищет адвоката. Он до последнего отказывался выдать ключи шифрования. Наблюдая по телевизору пресс-конференции Сноудена, государственные органы пришли в ярость — и вызвали Левисона по повестке. В результате судебного заседания ордер на выдачу ключей шифрования заменили ордером на обыск без права подачи апелляции.

Поскольку в ходе обыска правоохранительные органы могли полностью скомпрометировать систему безопасности почтового сервера, Левисон решил закрыть бизнес, которым он занимался 10 лет, и уничтожить ключи шифрования. Данный случай является прекрасной иллюстрацией действий властей и спецслужб в преследовании своих интересов. Подавляющее большинство владельцев подобного бизнеса без особого сопротивления идут на сотрудничество и предоставляют спецслужбам все необходимые инструменты для контроля информационных потоков своих пользователей. Хотя действия Ладара Левисона явились редчайшим исключением из прискорбного правила.

Ярким подтверждением подобного давления на владельцев платформ/мессенджеров, предназначенных для обмена конфиденциальной информацией, является недавний арест разработчика и владельца мессенджера Телеграм Павла Дурова властями Франции по обвинению в целом ряде якобы совершённых им преступлений. На деле же этот арест был вызван его отказом предоставить французским (читай – американским) спецслужбам ключи шифрования и исходный код мессенджера для значительного облегчения контроля проходящих через него информационных потоков. Данная ситуация является отличной «лакмусовой бумажкой» для определения (хотя бы и в первом приближении) подконтрольности властям/спецслужбам любого «защищённого» мессенджера свободного доступа (и не свободного также). Коль не было публичного скандала с отказом разработчика предоставить властям ключи шифрования – следовательно, тем или иным способом они их получили.

И здесь вызывает удивление тот факт, что в нашей стране некоторые чиновники и даже военнослужащие используют мессенджеры подобные Телеграм для переговоров и обмена служебной/конфиденциальной информацией, несмотря на неоднократные указания президента России о необходимости обращать самое серьёзное внимание на реальную защищённость используемой связи. Также необходимо постоянно помнить о том, что если мессенджер, соцсеть или любая другая платформа позиционируют себя как независимые, некоммерческие и ничего вам не продают, то, скорее всего, они продают вас и ваши секреты.

В целом, преодоление криптозащиты интернет-коммуникаций является одним из приоритетов АНБ США. Об этом свидетельствует целый ряд секретных документов раскрытых Эдвардом Сноуденом. Сразу в трех изданиях (The Guardian, The New York Times и ProPublica) были выложены выдержки из секретного бюджета АНБ, согласно которым с 2000 года, когда стали массово внедрятся средства шифрования, спецслужбы США потратили миллиарды долларов на взлом криптографии в рамках секретной программы Bullrun. Деятельность Агентства не ограничивалась научными исследованиями алгоритмов и строительством дата-центров для взлома коммуникаций методом перебора ключей. Выяснилось, что Агентство давно и успешно работает с ИТ-компаниями по вопросу встраивания в их продукты закладок для спецслужб США, а также ведет работу по обнаружению уязвимостей в механизмах шифрования и целенаправленному ослаблению международных алгоритмов защиты данных. На одно только встраивание бэкдоров в популярные коммерческие продукты, в рамках программы Sigint, ежегодно тратится 250 млн. долларов.

Согласно документам, наибольшие усилия предпринимаются для взлома протокола SSL, обеспечивающего безопасность большинства коммуникаций в современном интернете. VPN и технологии защиты 4G также являются одними из приоритетных направлений. АНБ поддерживает внутреннюю базу данных ключей шифрования, позволяющую мгновенно расшифровывать соединения. Если же необходимых ключей не оказывается, то запрос переходит к специальной «Службе восстановления», которая пытается получить его различными способами.

Вместе с АНБ в программе участвовал GCHQ (Government Communications Headquarters - Центр правительственной связи) — британская спецслужба, ответственная за радиоэлектронную разведку и защиту информации государственных органов. По информации The Guardian, в течение трех лет она разрабатывала способы взломов зашифрованных данных, проходящих через Hotmail, Google, Yahoo и Facebook. Согласно документам, к 2012 GCHQ разработал «новые возможности доступа» в системы Google.

В последнее время все больше крупных компаний стали переходить на специальные аппаратные решения для организации VPN и криптографии, поэтому на 2013 год АНБ планировало либо встроить аппаратный бэкдор в чипы шифрования через производителя, либо обнаружить и негласно использовать уже имеющиеся уязвимости в реализации. Что именно происходит сейчас неизвестно, т.к. документам Э.Сноудена уже несколько лет.

Тем не менее даже Сергей Лавров (министр иностранных дел РФ) с юмором, но, вместе с тем, весьма серьёзно отзывается о проблеме смартфонов - "что касается подозрений, что хакеры ЦРУ могут проникать не только в смартфоны, но и в современные телевизоры, а я слышал, что и в холодильники... Я сам стараюсь на переговоры, которые касаются чувствительных вопросов, не брать никаких телефонов» («Российская газета» 09.03.2017).

Нужно ли отказываться от смартфона, если необходимо купировать все риски?

Ознакомившись со всем выше изложенным, читатель может сделать вывод, что, пользуясь мобильной связью, всегда будешь иметь риск компрометации находящейся на смартфоне или проходящей через него информации или же элементарного её похищения. Более того, пользуясь смартфоном, его владелец будет постоянно испытывать угрозу и для личной безопасности (конечно же, здесь речь идёт о специфической категории пользователей).

Закономерно возникает вопрос – для того, чтобы купировать все эти риски действительно необходимо отказаться от использования смартфонов и вернуться на десятилетия назад?

Нет, не надо. Надо всего лишь не поддаваться на навязчивую рекламу и пользоваться действительно защищённой системой мобильной связи. А такие системы защищённой корпоративной мобильной связи (СЗКС) в России существуют (например, «B-Force»). Принцип их действия заключается в применении модифицированной ОС Android, отсутствии необходимости предварительного генерирования сеансовых ключей для шифрования передаваемой информации (вербальной или файловой), применении специального шифрования информации, собственного независимого сервера от любой третьей стороны (в т.ч. и от разработчика) для каждого корпоративного пользователя. Причем, на сервере не ведётся запись трафика, транзакций и логирования и он также не принимает участия в шифровании информации, реализацией функции срочного, полного и гарантированного удаления полученной и сохранённой на смартфоне информации в случае внезапного появления какой-либо внешней угрозы.

Обращаясь к последним событиям в Ливане, когда был произведён массовый дистанционный подрыв пейджеров и других аккумуляторных связных устройств, следует отметить, что смартфоны, принадлежащие к упомянутой выше системе ЗКС не подвержены подобной угрозе даже в случае закладки в них взрывчатки. Объясняется это тем, что они не идентифицируются из вне, поскольку работают без СИМ-карт и даже их идентификация по IMEI блокируется модифицированной ОС Android.

Для пользователей «яблочных» смартфонов есть плохая новость - подобные системы защиты на этих смартфонах не работает. Да и вообще, какой бы мессенджер или систему защищённой связи не установить на любой iPhone, по-настоящему защитить свою информацию не удастся от слова совсем. Аппаратные возможности самих этих смартфонов будут прилежно исполнять свою функцию, а именно – шпионить за вами и доносить «хозяину» все ваши секреты.

Однако, есть и хорошая новость для пользователей смартфонов с российской операционной системой "Аврора". Эту ОС можно с полным правом назвать стерильной, поскольку она даже не пытается искать какие-либо сервера для «слива» чувствительной информации. Она просто-напросто не обладает таким функционалом. Также отсутствует и инфраструктура для сбора подобной информации. Эта ОС реально обеспечивает безопасность работы с информацией, хотя и имеются некоторые неудобства с её использованием, как, например, невозможность установки большинства привычных приложений и, вообще, довольно ограниченный их круг, доступный к установке.

Резюмируя, отметим: вызывает глубокое сожаление тот факт, что российский пользователь (в т.ч. и потенциальный) продолжает искать «пророка в чужом отечестве» и попадает в умело расставленные сети иностранных разработчиков систем связи, жаждущих заполучить чужие тайны и секреты.

Здесь будет полезно и интересно процитировать мнение Эдварда Сноудена в отношении мессенджеров свободного доступа. Он прокомментировал то, что премьер-министр Франции использует WhatsApp для совещаний с министрами, а президент общается с подчинёнными в Telegram:

«
Любая из этих двух программ лучше, чем SMS или телефоны без шифрования, — сказал он, — но их очень рискованно использовать, если вы премьер-министр! Facebook "слой за слоем" снимает защиту с WhatsApp, обещая при этом, что не будет прослушивать разговоры пользователей, потому что они зашифрованы. Но они пытаются это сделать из соображений национальной безопасности. На самом деле эти программы слежки никогда не использовались для общественной безопасности: речь идёт о власти, влиянии, о том, как изменить события в мире в желаемом направлении людьми, которые управляют этими системами. Поэтому не используйте WhatsApp или Telegram, если у вас есть альтернатива.
»