Д. Спінеллі: від "кафао" до "Predator" – еволюція "прослуховування"

До кінця 1980-х років в оголошеннях приватних детективів їхні послуги рекламувалися поряд з “розлученням, стеженням, дошлюбними відносинами”, також і «τηλεμαγνητοφωνήσεις».

Було загальновідомо, що цей розпливчастий термін включає (незаконний) перехоплення телефонних дзвінків. Зазвичай це робилося шляхом підключення магнітофона або радіопередавача до того місця, де закінчувався телефонний кабель жертви, так званому “кафао”. Ці сірі коробки, які можна побачити на тротуарах у кожному районі, збирають телефонні лінії з кількох вулиць, щоб з’єднати їх із будинком, в якому знаходиться телефонна станція всього району. Зазвичай їх називають головними розподільчими коробками – слово “кафао” походить від грецької вимови букв KV відповідного німецького терміну Kabelverzweiger. Будучи неохороненим і легко зламуються, вони були ідеальним місцем детективів і, як я підозрюю, урядових агентств для встановлення телефонного спостереження.

У середині 1990-х років спосіб моніторингу телефонних розмов почав змінюватися через дві протиборчі сили, викликані технологічним прогресом. З одного боку, цифровізація мережі (а пізніше і поява мобільних телефонів) ускладнила встановлення пристроїв моніторингу в центрах обробки дзвінків та на зовнішніх АТС. Це проблема, аналогічна до тієї, з якою ми зіткнулися, коли перехід на цифровий телесигнал змусив нас у 2015 році додати приставки до всіх старих телевізорів. З іншого боку, цифрові центри обробки дзвінків значно спростили моніторинг дзвінків із центрального пункту. Моніторинг – це функція центру обробки викликів, аналогічна конференц-зв’язку, яка дозволяє трьом людям розмовляти одночасно, за винятком того, що при моніторингу одна людина лише слухає або, як правило, записує. У зв’язку із цим уряди законодавчо зобов’язали телефонних провайдерів надавати державним службам можливість централізованого моніторингу дзвінків. У демократичних країнах перехоплення інформації здійснюється на основі спеціальних правил (наприклад, рішення судді чи прокурора) та процедур контролю (наприклад, Управлінням із забезпечення конфіденційності комунікацій – ΑΔΑΕ).

Як і будь-який бекдор, це централізоване перехоплення аж ніяк не нешкідливе. Ми бачили це у Греції 2004 року, коли агенти американських спецслужб, як з’ясувалося пізніше, незаконно активували систему перехоплення оператора мобільного зв’язку, щоб перехопити повідомлення десятків урядовців та політиків.

Ситуація знову змінилася, коли 2007 року технологічний візіонер і співзасновник компанії Apple Стів Джобс представив перший iPhone. На відміну від більшості мобільних телефонів того часу, на iPhone можна було легко запускати програми, створені іншими компаніями, як це робилося на персональних комп’ютерах. Це створило нову проблему для правоохоронних органів, оскільки спілкування через ці програми (наприклад, Gmail, Messenger, Snapchat, Viber, WhatsApp) зашифровано, і тому оператори зв’язку не можуть включити його до своїх систем законного перехоплення. Тому, щоб, наприклад, поліція могла читати повідомлення членів злочинної організації, їй доведеться окремо звертатися із судовим рішенням до кожного розробника додатків, які передають та обробляють ці повідомлення. Оскільки на сучасних мобільних телефонах можуть працювати мільйони різних програм, цей процес є надзвичайно складним та тривалим.

Деякі програми для мобільних телефонів розроблені таким чином, що навіть компанія, яка управляє ними, не має доступу до комунікацій своїх користувачів. Це створює додатковий біль голови для державних органів, які хочуть контролювати комунікації. Хоча існують законодавчі положення, які, за певних умов, зобов’язують компанії надавати відомствам дані, що запитуються ними, (поки що) немає законодавчої бази, яка зобов’язує компанії створювати свої додатки таким чином, щоб держава могла шпигувати за їх користувачами. Подібне спостерігалося в 2016 році в США, коли ФБР не змогло змусити Apple надати йому доступ до даних пристрою терориста (проте це не завадило іншим, також державним структурам, зламувати ці пристрої).

Вирішенням проблеми “слабкочуючих” державних органів стали приватні компанії, які створюють і продають високотехнологічні та, звичайно, дорогі системи спостереження для мобільних телефонів. Ці компанії виявляють уразливості у певних типах телефонів (еквівалент вікна у хмарочосі, яке погано закривається) і використовують їх для отримання повного контролю за пристроєм, тобто. можна, наприклад, почути, що кажуть, побачити екран, дізнатися, що пишуть, і дізнатися, де пристрій у будь-який момент часу. Однією з таких систем є Predator, яка, зважаючи на все, націлилася через підроблені веб-сайти на мобільні телефони грецьких користувачів.

Використання системи Predator у Греції висуває першому плані три серйозних питання:

По перше, необхідність створення нормативної бази таких систем. Необхідно законодавчо зобов’язати компанії, які мають такі системи, та державні органи, які вводять їх в експлуатацію, пропонувати та використовувати інфраструктуру моніторингу та звітності, еквівалентну існуючим системам перехоплення дзвінків. Ця інфраструктура дозволить здійснювати перехоплення лише в тому випадку, якщо введено дані юридичної ліцензії, та реєструвати всі дії з перехоплення, щоб їх могли перевірити компетентні органи, такі як ΑΔΑΕ.

По-друге, використання законодавчого скасування конфіденційності повідомлень державними органами. Відповідно до звіту про діяльність органу, у 2020 році до ΑΔΑΕ надійшло 3190 розпоряджень про зняття грифу секретності з повідомлень судових рад, порівняно з 13 751 розпорядженням, пов’язаним із міркуваннями національної безпеки. Хоча ΑΔΑΕ уникає коментування цих двох цифр, різниця здається непропорційною, а замовлення на перехоплення з міркувань національної безпеки значно вищі, ніж в інших демократичних країнах. Тому, можливо, слід посилити систему стримувань і противаг, що існує в Греції щодо скасування таємності з міркувань національної безпеки.

По-третє, те, як у Європейському Союзі ставляться до систем типу Predator. Я вже говорив про необхідність їхнього регулювання. Чи слід їх взагалі заборонити? Це значно підвищило б захист комунікацій для всіх громадян, але ускладнило роботу державних служб, які покладаються на них. Замість цих систем, які розробляються на “дикому Заході”, чи слід зобов’язати виробників мобільних пристроїв додавати можливість легального спостереження? Однак наше життя в такому інституціоналізованому Паноптиконі видається кошмарним, і водночас така можливість моніторингу напевно стане чудовою мішенню для кібератак та інструментом авторитарних режимів. На жаль, на останню проблему немає простої і очевидної відповіді.

*Діомідіс Спінелліс – професор кафедри науки та технології управління Афінського університету економіки та бізнесу, та кафедри програмної інженерії Делфтського технологічного університету.

Source link