Новости о приватности

Венгрия отказалась от контроля над чатом, так как голландские спецслужбы выступают против сканирования на стороне клиента!

Совет ЕС уже в десятый раз не может договориться о контроле над чатом - это большая победа для частной жизни.

Hungary can't let go: Why this attempt to vote for Chat Control must fail as well.

Еще один месяц, еще одна попытка: Несмотря на то что Венгрии пришлось отменить последнее голосование Совета ЕС по Положению о сексуальном насилии над детьми (CSA) в июне 2024 года из-за отсутствия большинства среди стран-членов, в эту среду она повторила попытку - безуспешно. Переломным моментом стало то, что голландская секретная служба четко высказала свое мнение об огромной угрозе безопасности всех людей в случае ослабления сквозного шифрования. Шифрование имеет первостепенное значение для обеспечения цифровой устойчивости в Европе.

Почему “Контроль чата” угрожает шифрованию

В основе Постановления CSA лежит внедрение “модерации загрузки”, или сканирования на стороне клиента. На самом деле модерация загрузки - это всего лишь эвфемизм, используемый политиками ЕС, чтобы остановить постоянное сопротивление общественности против этого опасного закона. Сканирование на стороне клиента - если оно требуется по закону - попросит технологические компании проверять коммуникации на наличие незаконного контента на клиенте до того, как будет произведено шифрование, и отправлять подозрительный контент властям. Президиум Венгрии утверждает, что это может сосуществовать со сквозным шифрованием, но это в корне неверно.

Сквозное шифрование гарантирует, что сообщение могут прочитать только отправитель и получатель. Однако при сканировании на стороне клиента сообщения сканируются до того, как они будут зашифрованы, что сводит на нет саму цель шифрования. Это фактически означает ослабление шифрования, что будет невероятно опасно для нашей цифровой устойчивости в Европе. На данный момент не существует технических решений, которые могли бы сохранить безопасность сквозного шифрования и одновременно удовлетворить требования CSA по обнаружению контента.

Почему это важно как никогда

Таким образом, текущее предложение CSA создает новые тревожные риски для цифровой безопасности и конфиденциальности. Вводя обязательное сканирование зашифрованных сообщений, предложение открывает пользователям множество новых уязвимостей.

  • Злоумышленники могут украсть ваши данные еще до того, как они будут зашифрованы: Сканирование на стороне клиента создает возможности для хакеров использовать уязвимости в системе и получить доступ к частным, конфиденциальным данным до того, как они будут зашифрованы.
  • Распределенные атаки типа “отказ в обслуживании” (DDoS): Чем сложнее становятся системы, тем больше точек отказа. Внедряя сканирование на стороне клиента, поставщики услуг могут стать уязвимыми для DDoS-атак, нарушающих доступность.
  • Манипулирование системой CSAM: Системами, используемыми для обнаружения нелегального контента, можно манипулировать, что приведет к ложным обвинениям или преступному использованию несовершенных механизмов обнаружения.
  • Обратный инжиниринг: Хакеры или государственные деятели могут перепрограммировать программное обеспечение для сканирования, чтобы обойти средства защиты, что может привести к несанкционированному доступу ко всем системам.
  • Эксплуатация национальными государствами: Мы уже видели, как сложные субъекты, такие как китайские государственные хакеры, например, при атаке на Microsoft, используют бэкдоры в системах, предназначенных для законного наблюдения. Ослабление шифрования или внедрение механизмов сканирования предоставит злоумышленникам новые возможности для компрометации национальной безопасности.

Эти риски возрастут, если сканирование на стороне клиента станет законодательным требованием к сервисам электронной почты и чатов. Фактически, предложенный ЕС регламент CSA не повышает, а снижает уровень безопасности в Интернете.

Китай взломал AT&T с помощью законной прослушки

Недавняя кибератака, связанная с китайскими государственными структурами, выявила уязвимости в американских широкополосных сетях, в частности в тех, которые используются для законного прослушивания телефонных разговоров, как сообщает Wall Street Journal. В ходе этой атаки китайские злоумышленники в течение нескольких месяцев имели доступ к сетевой инфраструктуре Verizon Communications, AT&T и Lumen Technologies. Злоумышленники использовали те же самые точки доступа, которые использовались этими компаниями для сотрудничества с американскими властями по их законным запросам.

Если системы, предназначенные для обеспечения общественной безопасности, могут быть взломаны, как это произошло в данном случае, то введение аналогичных слабых мест в шифрование для граждан ЕС будет иметь катастрофические последствия.

Эта атака наглядно демонстрирует, почему мы должны обеспечивать максимальную безопасность наших систем, чтобы они оставались устойчивыми, что подчеркивает голландская разведывательная служба.

По данным Wall Street Journal, высокопоставленные американские чиновники придерживаются того же мнения, предупреждая, что Китай представляет собой значительный риск для экономики и национальной безопасности, который не должен увеличиваться за счет ослабления шифрования в наших собственных системах - независимо от цели. Брэндон Уэйлс, бывший исполнительный директор Агентства по кибербезопасности и инфраструктурной безопасности, а ныне вице-президент компании SentinelOne, сказал Wall Street Journal:

“Потребуется время, чтобы понять, насколько все плохо, а пока это самый значительный случай в длинной череде тревожных звонков, которые показывают, как КНР (Китайская Народная Республика) активизировала свою кибер-игру”. Если компании и правительства не воспринимали это всерьез раньше, то теперь они должны это сделать”.

Мы просто не должны позволять властям открывать черные ходы в зашифрованных сообщениях. Бэкдор есть бэкдор, и его невозможно защитить от государственных злоумышленников. Шифрование должно быть надежным.

Оппозиция Нидерландов как переломный момент

Dutch intelligence service opposes client-side scanning Голландские спецслужбы выступают против сканирования на стороне клиента.

Об этом свидетельствует отложенное на прошлой неделе голосование по регламенту CSA, которое было отменено в кратчайшие сроки из-за противодействия Нидерландов, страны-члена ЕС, которая, как и Германия, теперь надежно стоит на позициях против сканирования на стороне клиента.

Нидерланды заявили совершенно ясно (голландский источник):

“Внедрение сканирующего приложения на каждый мобильный телефон с сопутствующей инфраструктурой систем управления создаст чрезвычайно большую и сложную систему. Эта сложная система, таким образом, получит доступ к большому количеству мобильных устройств и персональных данных на них. В конечном итоге это приведет к ситуации, в которой, по мнению AIVD, риски для цифровой устойчивости будут слишком велики”.

Вышеприведенный комментарий был сделан не кем-нибудь, а влиятельной голландской разведывательной службой. Короче говоря, они сказали: “Применение приказов об обнаружении к провайдерам сквозных зашифрованных коммуникаций влечет за собой слишком большой риск для нашей цифровой устойчивости”.

Венгрия должна быть остановлена

Опасности, связанные с нарушением шифрования, очевидны. Однако, несмотря на то, что Европейский суд признал сканирование на стороне клиента, предложенное в Chat Control, незаконным, Венгрия продолжает настаивать на этом глубоко ошибочном решении, игнорируя растущее количество доказательств, указывающих на его риски. Тревожно, что в то время как критика Chat Control продолжается, оппозиция против Chat Control ослабла. Такие ключевые страны-члены, как Нидерланды, Германия, Польша и другие, выразили решительное сопротивление, но Венгрия продолжает пользоваться поддержкой.

Страны, выступающие за это предложение, такие как Испания, Греция и Ирландия, возможно, недооценивают долгосрочные последствия ослабления шифрования.

Вот текущее распределение позиций стран-членов:

  • Против: Польша, Германия, Нидерланды, Люксембург, Австрия, Эстония и Словения.

  • Осторожно: Чехия, Италия, Швеция и Финляндия заявили о необходимости дальнейших технических доработок.

  • За: Испания, Греция, Ирландия, Дания, Хорватия, Кипр, Мальта, Литва, Латвия и Румыния.

Необходимо больше оппозиции

Сокращение оппозиции против контроля чата вызывает беспокойство. Но хотя поддержка предложения CSA, возможно, и растет, причины выступать против него еще никогда не были столь очевидны. Ослабление шифрования для достижения краткосрочной цели приведет к долгосрочным рискам безопасности для всех европейцев. На карту поставлены целостность наших коммуникаций, безопасность наших персональных данных и частная жизнь миллионов людей.

ЕС должен признать, что существуют более эффективные способы борьбы с вредом в Интернете без ущерба для шифрования. Правоохранительные органы могут и должны использовать альтернативные, более безопасные методы борьбы с материалами о сексуальном насилии над детьми (CSAM), а не возлагать на технологические компании бремя ослабления безопасности своих сервисов.

Борьба за надежное шифрование продолжается

Шифрование является основой цифровой безопасности. Оно защищает людей от преступной эксплуатации, обеспечивает конфиденциальность личных сообщений и национальную безопасность. Если шифрование ослаблено, оно становится уязвимым для эксплуатации любым человеком, у которого есть ресурсы, чтобы найти и использовать его недостатки - будь то киберпреступники или враждебные иностранные правительства.

Венгерская инициатива по введению контроля над чатом должна потерпеть неудачу. Ставки слишком высоки, чтобы позволить этому предложению пройти бесконтрольно.

Европейские граждане заслуживают надежного, бескомпромиссного шифрования для защиты их частной жизни, безопасности и охраны. А мы в Tuta будем продолжать бороться за ваше право на шифрование!

Изображение телефона с логотипом Tuta на экране, рядом с телефоном, увеличенный щит с галочкой, символизирующий высокий уровень защищенности благодаря шифрованию Tuta.