23 сентября 2014

Защитила ли нас Apple от слежки?

Безопасность Новости

Хотим мы того или нет, но в наше время власти любого развитого государства имеют достаточно и средств, и поводов для того, чтобы если не подчинить себе все цифровое пространство, то хотя бы пристально наблюдать за его обитателями. В частности, пресловутое АНБ, по слухам, столь хорошо финансируется и настолько независимо, что имеет почти безграничные возможности в исследованиях, разработках, подкупах и прочих занятиях, способствующих эффективной слежке за гражданами. К счастью, по закону справедливости (а также вселенского баланса) существуют силы, способные противостоять условному злу.

Защитила ли нас Apple от слежки?

Нет, это не рядовые пользователи Интернета, то есть не мы с вами. В текущей ситуации все, что мы можем сделать, — это в лучшем случае использовать VPN, Tor и прочие инструменты, способные хотя бы затруднить вмешательство Большого Брата в личную онлайн-жизнь. Совсем другое дело — корпорации, так или иначе связанные с телекоммуникациями: вот кто действительно способен сдерживать натиск АНБ и прочих провластных организаций и защищать наше право на конфиденциальность. И если еще год назад эта «защита» в основном заключалась в невнятных заявлениях вроде «мы не сотрудничаем с АНБ» и «мы действуем в рамках законодательства», то теперь компании наконец-то перешли от слов к делу.

Яркий тому пример — Apple, глава которой в опубликованном недавно открытом письме заявил о том, что с момента выхода операционной системы iOS 8 у компании «отсутствует техническая возможность» передавать персональные данные кому-либо, в том числе и правоохранительным органам.

Что именно сделала Apple?

Если верить размещенному на сайте компании заявлению и не вдаваться в нудные технические подробности, то Apple фактически добровольно лишила себя копии ключа от сейфа, в котором хранятся пользовательские данные: в устройствах на iOS 8 вся информация, включая сообщения, фотографии, почту, заметки, содержимое iTunes и т.д., зашифрована с применением двух парольных кодов, один из которых хранится только на самом устройстве и никуда не передается. Официальный документ, в котором описывается данный механизм, при этом утверждает, что компания не может узнать этот код, а значит, лишает себя физической возможности расшифровать содержимое устройства и передать данные правоохранительным органам. Впрочем, это вовсе не значит, что власти не смогут узнать, что таится в вашем смартфоне или планшете, но об этом позже.

Apple New Policy

Кроме того, iOS 8 содержит ряд других нововведений, так или иначе связанных с безопасностью и конфиденциальностью. Например, динамическую смену MAC-адреса (уникального идентификационного номера, которым снабжен каждый беспроводной модуль Bluetooth и Wi-Fi), позволяющую сохранять анонимность, и функцию Always-on VPN, которая поможет компаниям эффективнее контролировать защиту данных на смартфонах своих сотрудников.

Отдельным абзацем, кстати, Тим Кук упомянул, что его компания никогда не сотрудничала и не планирует сотрудничать с какими-либо организациями и госструктурами с целью создания в своих продуктах «потайных ходов» для доступа к данным пользователей, а также не предоставляла и не будет предоставлять доступ третьим лицам к своим серверам.

Не важно, сотрудничала Apple со спецслужбами или нет: важно, что если бы компания не встала на защиту пользователей, то вскоре оказалась бы их врагом.

Почему Apple так поступила?

Недавно упавший в огород Apple камень с примотанной к нему пачкой фотографий обнаженных знаменитостей — очевидная, но далеко не единственная причина, по которой в Apple решили подчеркнуть свою заботу о конфиденциальности пользователей и опубликовать аж целое открытое письмо на эту тему за подписью самого Тима Кука. Заметное влияние на планы купертиновцев оказал Эдвард Сноуден: рассекреченные им в прошлом году документы АНБ, в которых среди прочих крупных организаций фигурировала и Apple, оставили на гладкой и ровной репутации компании пусть и не критическую, но все же довольно обидную вмятину, которую пришлось выправлять. И сейчас уже даже не важно, сотрудничала компания со спецслужбами на самом деле или нет: тренд нынче таков, что, если ты не защищаешь своих пользователей и их данные всеми возможными способами, значит, с тобой что-то не так и доверять тебе не стоит. Как говорится, кто не с нами, тот против нас.

Celebrities photos leaked

Попавшие в Сеть фотографии с айфонов звезд уже прочно вошли в жизнь Интернета (изображение с theunfappening.com)

Конечно, Apple слишком любима и уважаема, чтобы в одночасье стать врагом для миллионов клиентов, однако и бездействовать компания позволить себе не могла. Тем более накануне запуска смарт-часов Apple Watch и системы платежей Apple Pay, к которым у специалистов по информационной безопасности уже есть ряд насущных вопросов и даже претензий.

Что все это значит для пользователей?

Помимо очевидных улучшений вроде усиленной защиты данных существует еще один, куда более значительный положительный фактор. Пример, поданный Apple, скорее всего, спровоцирует другие компании двигаться в том же направлении, уделяя безопасности и конфиденциальности пользовательских данных и самих пользователей больше внимания. Конечно, едва ли какая-то из корпораций вздумает пойти на правоохранительные органы и спецслужбы настоящей войной, но усложнить для них процесс получения чьих-то данных — вполне выполнимая задача.

Изменения в политике хранения и защиты пользовательских данных рассчитаны скорее на усложнение процесса доступа к ним, чем на исключение возможности их легитимного получения.

Где здесь уловка?

Чтобы ответить на этот вопрос, нужно понимать две вещи. Во-первых, компания Apple, как и любая другая, всегда будет в первую очередь думать о собственном бизнесе и его благополучии. Во-вторых, так или иначе все компании вынуждены подчиняться законам тех стран, в которых они работают. Это значит, что если местное законодательство обязывает компанию предоставить определенные данные на определенных условиях, то у нее есть только два выхода: или выполнить предписание, или нарушить закон. Не секрет, что, за очень редкими исключениями, выбор падает на первый вариант. Apple в подобной ситуации вряд ли будет отличаться от Microsoft, Google и прочих и скорее будет играть по правилам, чем рисковать собственным бизнесом и портить отношения с властями.

В данном конкретном случае, впрочем, это не значит, что Apple соврала, говоря о технической невозможности передавать персональные данные соответствующим органам или о готовности посылать в лес всех, кто пришел покопаться в серверах компании. Просто есть некоторые нюансы.

Во-первых, изменения в политике хранения и защиты пользовательских данных рассчитаны скорее на усложнение процесса доступа к ним, чем на исключение возможности их легитимного получения. Дело в том, что описанный выше механизм защиты относится только к содержимому самих iOS-девайсов и не распространяется на облачное хранилище iCloud (в котором, к слову, теперь тоже есть двухфакторная аутентификация). Это значит, что, как только ваши данные синхронизируются с «облаком», оставив там свою копию, они тут же становятся доступны правоохранителям, хотя и исключительно после рассмотрения официального законного запроса.

Во-вторых, пламенные речи Кука о том, что они никогда и никого не пустят к серверам с персональными данными, не отменяют того факта, что эти данные могут быть предоставлены соответствующим органам, будь то суд, полиция или представители все того же АНБ, руками самой Apple на совершенно законных основаниях. Прецеденты есть.

В-третьих, заявление главы Apple может оказаться для нас с вами неактуальным, поскольку российское законодательство с недавних пор подразумевает необходимость хранить персональные данные в течение полугода и при необходимости предоставлять их ФСБ, что противоречит озвученным Куком принципам.

Выходит, самое интересное во всей этой истории не то, как Apple изменила политику защиты и хранения наших данных, а то, как эта политика впишется в наши российские законодательные реалии.