Дело о наблюдении Mitto AG - или почему мы никогда не должны использовать "черный ход" шифрования.
Один сотрудник передал секретные данные секретным службам, возможно, и России.
Слежка Mitto AG
Илья Горелик, соучредитель и главный операционный директор Mitto AG, предположительно помогал частным компаниям, занимающимся слежкой, и правительственным агентствам отслеживать людей через их мобильные телефоны.
Утечка, опубликованная Бюро журналистских расследований и Bloomberg News, обвиняет швейцарскую компанию Mitto AG в том, что она помогала определять местонахождение мобильных телефонов и получать информацию в ходе операций по слежке по всему миру.
Технологии для повышения безопасности
Парадокс в деле о слежке Mitto AG заключается в том, что на самом деле предоставленная технология должна была помочь защитить секретные данные, а не обеспечить слежку.
Mitto AG предлагает услуги обмена текстовыми сообщениями по всему миру, так что онлайновые сервисы смогли предложить проверку текстовых сообщений при входе в систему. Например, для входа в онлайн-аккаунт используется не только пароль, но и код, который отправляется через текстовое сообщение.
Mitto AG имеет контракты с провайдерами по всему миру на отправку текстовых сообщений в больших количествах. Крупные технологические компании, такие как Google, WhatsApp, Microsoft и Twitter, были клиентами Mitto AG. Последняя недавно прекратила сотрудничество с Mitto AG из-за продолжающегося расследования предполагаемой слежки со стороны Mitto AG.
Благодаря своему бизнесу Mitto AG работает с телекоммуникационными компаниями в более чем ста странах и имеет доступ к инфраструктуре мобильной связи во многих странах мира, а также в таких странах, как Афганистан и Иран.
Технологии, используемые для слежки
Но с конца прошлого года Mitto AG находится под серьезными подозрениями: вместо того чтобы повышать безопасность пользователей, соучредитель компании Горелик, как говорят, использовал доступ к инфраструктуре мобильной связи для того, чтобы третьи лица могли следить за пользователями мобильных телефонов.
Начиная с 2017 года, он продавал доступ к сети компании частным компаниям, которые должны были использовать его для шпионских операций по поручению государственных органов, сообщает Bloomberg.
Партнерство Mitto с операторами связи позволило ей использовать некоторые давно известные уязвимости в протоколе (Signaling System 7, или SS7), который лежит в основе большей части международной связи. С помощью SS7 можно определять местонахождение людей и считывать с их телефонов такую информацию, как история звонков.
В 2017 году в докладе Министерства внутренней безопасности США отмечалось, насколько серьезны уязвимости в безопасности SS7: Третьи лица могут определять физическое местоположение мобильных устройств, перехватывать или перенаправлять текстовые сообщения и разговоры благодаря уязвимостям в SS7.
Эти проблемы давно известны, но из-за возраста SS7 - она была создана в 1970-х годах - устранить их сложно, если не невозможно.
Это также одна из причин, почему Tutanota не поддерживает текстовые сообщения для двухфакторной аутентификации. Вместо этого мы настоятельно рекомендуем использовать U2F (аппаратный токен) в качестве лучшей практики для повышения безопасности входа в систему.
Шпионаж для многих стран
В одном конкретном случае в 2019 году системы Mitto якобы использовались для определения местонахождения телефона высокопоставленного сотрудника Госдепартамента США, сообщает Bloomberg. Неясно, кто стоял за этой операцией. Кроме того, в докладе упоминается случай с человеком в Юго-Восточной Азии, слежка за которым якобы заключалась в отправке системных команд для чтения текстовых сообщений.
Весь спектр компаний и секретных служб, с которыми сотрудничала Mitto AG, пока неясен. Однако появилась и взрывоопасная связь с Россией.
Швейцарская газета Tages-Anzeiger опубликовала информацию о деловых связях компании с Россией. Согласно отчету, Mitto является стопроцентным материнским предприятием подозреваемой подставной компании в Москве, которая была основана в том самом году, когда началась слежка: в 2017 году.
По данным Tages-Anzeiger, Mitto AG является полным владельцем московской компании под названием Tigokom. Цель компании указана в российском коммерческом реестре как “деятельность в области беспроводной связи”. Штаб-квартира Tigokom - это одна комната в небольшом офисном здании в центре Москвы.
У эксперта по разведке Эриха Шмидт-Эенбума это открытие вызвало подозрения: “Это вызывает подозрение, что российские службы могли получать информацию от Mitto”, - сказал Шмидт-Эенбум газете Tages-Anzeiger. “Теперь швейцарские власти должны принять меры, чтобы прояснить это подозрение”.
Mitto AG отрицает шпионаж
Компания Mitto AG отрицает, что она занимается шпионажем и слежкой. Mitto не имела и не будет иметь отдела, предоставляющего компаниям, занимающимся слежкой, доступ к телекоммуникационной инфраструктуре для наблюдения за людьми. Было начато внутреннее расследование, чтобы прояснить эти обвинения.
По данным Bloomberg Mitto AG заявила:
“Мы шокированы утверждениями в адрес Ильи Горелика и нашей компании. Для ясности, компания Mitto не занимается, не занималась и не будет заниматься организацией и управлением отдельным бизнесом, подразделением или организацией, которая предоставляет компаниям по наблюдению доступ к телекоммуникационной инфраструктуре для тайного определения местонахождения людей через их мобильные телефоны или других незаконных действий. Mitto также не потворствует, не поддерживает и не позволяет эксплуатировать телекоммуникационные сети, с которыми компания сотрудничает для предоставления услуг своим глобальным клиентам.”
Извлеченный урок
Дело о слежке за Mitto AG показывает, насколько опасно, если компании имеют доступ к конфиденциальным данным.
Потребовался всего один человек - правда, он был соучредителем компании, но все же всего один человек - чтобы слить данные о местонахождении граждан частным сыскным компаниям. Такая форма слежки могла бы быть взята из шпионского романа-бестселлера, но она якобы имела место в реальности.
Причиной, по которой утечка этих конфиденциальных данных стала возможной, являются недостатки - или уязвимости - протокола SS7.
Это ясно показывает, что мы должны защищать данные всегда, когда это возможно, также и особенно от компаний, которые работают с такими данными.
Шифруйте все
Случай с Mitto AG - это еще один пример того, почему мы никогда не должны использовать шифрование в качестве “черного хода”.
Сквозное шифрование - это лучший инструмент для защиты конфиденциальных данных. Не только от властей, но и от злоумышленников, которые могут попытаться получить доступ к нашим личным данным.
И снова Mitto AG является доказательством того, что “черный ход только для хороших парней” - как регулярно требуют власти - просто невозможен. Как только появится черный ход, появится злоумышленник и воспользуется им.
Конечное шифрование никогда не должно быть взломано.