Меню Затваряне

Proton: ЕС иска да отвори вратичка за подслушване в телефоните на всички европейци*

Обновена на 12.02.2024 от Questo

*Заглавието е на редакцията

Идеята за задължително сканиране на чатовете на европейците срещна отпор през 2023 г. от евродепутатите. Отхвърлянето й на европейско ниво обаче все още не се е случило и дискусиите продължават.

В края на януари 2024 технологични компании от цяла Европа изпратиха отворено писмо до министрите на държавите в Европейския съюз. В него те призовават политиците да продължават и занапред да пазят правото на поверителност на европейските граждани.

Причината за писмото са правилата за борба с онлайн сексуалното насилие над деца, които се подготвят в ЕС. Част от законодателството в тази сфера предвижда разработчиците на мобилни приложения като Messenger, WhatsApp или Viber да маркират като опасни съобщения, които съдържат детска порнография: например снимки на голи деца.

За да се случи това, разработчиците на тези приложения трябва да използват технология, при която сканирането на съобщенията става още преди изпращането им.

За авторите на писмото това е сериозен проблем.

Те твърдят, че имплементирането на подобен механизъм за сканиране би сложило край на криптирането от край до край. Последното е механизъм за шифриране на съобщенията, които двама потребители си изпращат: така, че никой освен тях двамата не може да ги прочете.

Технологичните компании предупреждават, че използването на подобен механизъм (client-side scanning или сканиране от страната на клиента –  бел. автор) може да се използва от правителствата, за да следят своите граждани.

Нещо повече: „въпреки че този механизъм за сканиране е създаден с цел борба с онлайн престъпленията, той може да бъде използван от самите престъпници, поставяйки гражданите и бизнеса пред по-голям риск и създавайки уязвимости за всички потребители“.

Как престъпниците биха могли да се възползват? Единият вариант е чрез създаването на „фалшиви положителни проби“ – изображения, които не са детска порнография, но са модифицирани така, че при сканиране задействат филтъра за порнографско съдържание.

Такова изображение може да се изпрати на жертвата през мобилно приложение като WhatsApp с идеята да се задейства филтъра и потребителят да бъде „натопен“. Подобен сценарий е описан в едно от популярните проучвания за опасностите от сканирането от страна на клиента.

Злонамерено лице би могло да манипулира базата данни с порнографско съдържание – дали пряко или като хакне компютъра на служител, който се грижи за базата данни.

Ако правителството на една държава реши да действа опресивно, то може да включи в базата данни например имената на политически опоненти – така, че всеки, който ги спомене в чат с приятел, да бъде маркиран като нарушител.

Може да ви звучи твърде оруелианско, но сканирането от страна на клиента предизвиква доста полемика в Европа. Редица политици, НПО-та, активисти, компании и учени се обявиха против него.

А къде е България в целия пъзел?

В тази статия на Center for Internet and Society се анализра – подплътено с документи от Европейския съвет – позицията на България. Тя е, че няма проблем да се запази криптирането от край до край, защото така или иначе имало технологии, с които то може да се заобиколи. Не става ясно какво за какви технологии става дума.

The Guardian публикува собствен анализ, в който определя България като една от десетте държави в ЕС, подкрепящи регулацията в предложения вид.

Прочетете повече как се стигна до сегашната ситуация и как Европа се превърна в новия господар на детската порнография.

Questona се свърза с швейцарската компания Proton, една от подписалите отвореното писмо до европейските политици. От пиар отдела на фирмата, която разработва криптирана имейл услуга и VPN, обясниха какво точно ги притеснява в новата регулация.

 

Бихте ли дали примери за това как престъпниците могат да злоупотребят със сканирането от страна на клиента?

Да започнем с малко контекст. Сканирането от страна на клиента засяга няколко метода за анализ на съобщенията, които потребителят изпраща чрез своето устройство. Това може да са изображения, видео или текстови съобщения. Обикновено съдържанието на съобщенията се проверява за съвпадения с база данни със забранено съдържание. Ако има съвпадение, съдържанието се маркира за модериране.

Има няколко начина за прилагане на сканиране от страна на клиента. Най-вероятното решение днес би било да се сравнят цифровите отпечатъци на съобщенията с цифровите отпечатъци на забранено съдържание, което се съхранява в база данни, намираща се в потребителското устройство. На теория базата данни би съдържала хешове за съдържание с детска порнография. На практика обаче може да съдържа всичко и потребителят няма как да разбере.

Сканирането от страна на клиента с цел наблюдение на комуникацията на хората е специално създадено за злоупотреба. По отношение на това как може да подпомогне престъпниците: то може да осигури повече възможности за хакерски атаки и да позволи на злонамерените лица да следят комуникацията на потребителите. Тъй като атаките вероятно ще се извършват на устройства на отделни потребители, разработчиците на приложения ще имат по-малко възможности да се намесват и да защитават потребителите.

В допълнение, авторитарни правителства или злонамерени лица могат да компрометират базата данни. Например могат да инжектират в нея съдържание, което само техните политически опоненти биха притежавали. Това би задействало алгоритъма и би послужило за идентифицирането на политическите опоненти на правителството в дадена страна. Някои хакери биха могли да вмъкнат напълно различни снимки в базата данни, претоварвайки я и правейки я неспособна да изпълни основната си мисия.

Какви уязвимости за потребителите създава сканирането от страна на клиента?

Сканирането от страна на клиента означава, че всеки път, когато потребител изтегли приложение – дори ако то е криптирано от край до край – той ще изтегли и набор от инструменти, предназначени да проверяват всички снимки и текстови съобщения и да ги докладват на разработчика на приложението или на правителството.

Сканирането от страна на клиента не се различава много от по-класическия начин на сканиране, наречен „сканиране от страна на сървъра“. Пример за този тип сканиране е това, което Facebook прави в момента. Ако качите снимка във Facebook, тя отива на техните сървъри, където се сканира и сравнява за съвпадения с база данни с незаконно съдържание.

При сканиране от страна на клиента процесът е идентичен, но вместо сканирането да се извършва на сървър, то се извършва на телефона на потребителя, където се съхранява много по-чувствителна информация.

Изискването към компаниите да въведат сканиране от страна на клиента се равнява на това да им се каже да създадат вратичка (backdoor) в устройствата на обикновените, спазващи закона граждани. За злонамерено лице би било лесно да се възползва от уязвимостите на телефона (защото телефоните често не се ъпдейтват), за да получи достъп до базата данни с порнографско съдържание и дори в някои екстремни случаи да извлече снимките, съхранени в четим формат. Лошо направеният софтуер за сканиране от страна на клиента също може сам по себе си да бъде уязвимост в сигурността и да предостави на хакерите входна точка към устройството за хакер и му позволява да осъществява достъп и да променя съдържанието, което се съхранява на телефона.

Сканирането от страна на клиента взема най-лошите характеристики на сканирането от страна на сървъра и прави процеса на сканиране още по-опасен за потребителите, без да предоставя допълнителна защита на поверителността.

Ако регулаторите изискват от световните технологични компании сканиране от страна на клиента, нищо не пречи това да се използва за наблюдение на всякакъв тип съдържание.

Как сканирането от страна на клиента би изложило гражданите и бизнеса на по-голям риск онлайн?

В най-добрия случай технологията не е достатъчно усъвършенствана, за да идентифицира само незаконно съдържание. Вече има случаи на фалшиви положителни резултати(например изпращате на някого снимка на детето си и системата го маркира като детска порнография – бел. автор), които са съсипали живота на хората.

Фалшиви положителни резултати вероятно биха задръстили с работа както разработчиците на приложения, така и правоприлагащите органи. Те (властите – бел. автор) трябва да използват доказани методи, за да хващат истински престъпници; без да унищожават сигурността и свободата за всички.

От техническа гледна точка сканирането от страна на клиента изисква много изчислителна мощност, която телефоните на много хора нямат. Това го прави по-трудно за прилагане на практика.

Правителствата могат да го използват и за да сканират по-широки категории съдържание, а не само детска порнография или съдържание, свързано с тероризъм. Технологията може да се използва, за да се следят политически опоненти, журналисти и всеки, когото държавата не харесва.

Веднага щом сканирането от страна на клиента бъде внедрено, потребителите, които разчитат на поверителност, няма да имат начин да са сигурни, че комуникацията им е защитена.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *