Как ФБР заставило Yahoo модифицировать фильтр входящей почты

Марисса Майер подверглась критике за неспособность обеспечить меры безопасности в условиях давления со стороны правительственных разведслужб. Фото: AP Photo/Michel Euler

Для отдела безопасности Yahoo нынешняя ситуация выглядит так, словно компанию взломали. Некий злоумышленник в середине 2015 года установил бэкдор, который сканировал почтовый трафик (в отчёте сказано о поиске конкретной "signature", что бы это не значило). Так могла поступать иностранная разведка, которая хочет найти конкретную информацию. Но в данном случае иностранная разведка оказалась ни при чём. Как стало известно ^[1] агентству Reuters, высшее руководство корпорации Yahoo помогло агентам правительственных служб США установить специальный бэкдор для сканирования почтового трафика Yahoo Mail.

Как выяснилось ^[2], это было сделано втайне от персонала и отдела безопасности Yahoo. Об операции знали только несколько её участников. Говорят, когда начальник отдела безопасности, известный специалист Алекс Стамос узнал об этом в июне 2015 года, он сразу подал заявление об увольнении. Искать новую работу Алексу пришлось недолго ^[3].

Yahoo получила судебное предписание предоставить доступ к своей почтовой системе из секретного Суда по негласному наблюдению в целях внешней разведки (FISC). По закону FISA ^[4] (Акт о негласном наблюдении в целях внешней разведки), получатель такого судебного предписания не имеет права разглашать информацию о получении ордера. В случае оспаривания решения оно рассматривается снова в секретном суде, и компания опять же не имеет права разглашать информацию о рассмотрении такого дела. В конце концов, никто из пользователей не должен получить прямого уведомления о том, что над его аккаунтом установлена слежка.

Некоторые компании, опасаясь получения секретных предписаний FISC, используют трюк, известный как «свидетельство канарейки» — они заранее размещают на сайте заявление ^[5] о том, что до сих пор не получали судебных предписаний FISC. В случае получения такого ордера они просто убирают с сайта ставшее ложным заявление ^[6], не нарушая формально требование о неразглашении информации. Фонд электронных рубежей специально отслеживает ^[7] свидетельства канарейки на разных сайтах, чтобы пользователи могли делать выводы о тайных действиях правительства США.

Сразу после появления сообщения о доступе правительственных спецслужб к почтовому трафику Yahoo практически все крупные компании выступили с официальными заявлениями о том, что у них не действует подобная система сканирования конфиденциальных сообщений пользователей. С такими заявлениями выступили Apple, Google, Twitter и Microsoft ^[8].

Компания Yahoo выпустила типичное «опровержение без отрицания». Алекс Стамос отказался комментировать ^[9] ситуацию.

Таким образом, Yahoo осталась в одиночестве. Марисса Майер подверглась критике коллег за то, что не сумела обеспечить меры безопасности и защитить пользователей.

Yahoo пытается оправдаться: «Статья в [Reuters] вводит в заблуждение. Мы узко интерпретировали каждый государственный запрос, чтобы минимизировать утечку данных, — заявила компания. — Сканирование писем, описанное в статье, не существует в нашей компании».

Что же происходило на самом деле?

За прошедшее время появилась новая информация о том, как могла быть организована система сканирования трафика на серверах Yahoo Mail. Естественно, компании Yahoo запрещено разглашать эти сведения, но в интервью NY Times двое государственных служащих и ещё одно лицо поделились информацией ^[10] на условиях анонимности. Они подтвердили, что Министерство юстиции США в прошлом году получило ордер от судьи FISC на получение разведданных в отношении иностранной террористической организации. Чтобы выполнить судебное требование, компания Yahoo модицифировала существующую систему сканирования входящего трафика, которая в штатной ситуации используется для фильтрации вредоносного программного обеспечения и спама.

После такой модификации система находила и сохраняла для ФБР копии всех сообщений, которые содержали указанную «цифровую подпись» ("digital signature"). В данный момент система уже не работает.

Адвокат EFF Эндрю Крокер (Andrew Crocker) говорит ^[9], что власти скорее всего использовали параграф 702 ^[11] Акта о негласном наблюдении в целях внешней разведки, который позволяет «массовый сбор информации с каналов связи для сбора данных об иностранном физическом лице».

Такой запрос не совсем обычен, потому что принуждает компанию систематически сканировать весь трафик, а не содержимое конкретных почтовых ящиков. Как говорилось выше, несколько крупных ИТ-компаний однозначно заявили, что не сталкивались с такими запросами FISC.

Сканировать трафик 500 миллионов пользователей частной компании, чтобы найти следы одного преступника — довольно необычная операция спецслужб. Но она проведена легально, судя по всему.

Эта история стала поводом для очередной дискуссии о балансе между национальной безопасностью, секретностью и защитой частной переписки пользователей. Нет, ФБР не читало чужие письма. Но оно внедрилось в систему и рылось в вашем почтовом ящике, в поисках нужной информации. Пусть это происходило автоматически. Пусть спам-фильтры и системы подбора контекстной рекламы по анализу содержания почтовых писем Google делают то же самое. Но всё равно неприятно.

Некоторые эксперты считают, что момент для скандала, который порочит репутацию Yahoo и Мариссы Майер, выбран очень удачно. «Я не могу отделаться от ощущения, что возможная покупка активов Yahoo и потенциальное вознаграждение для Мариссы Майер от этой сделки могли подтолкнуть некие плохо информированные спекуляции о том, что они делали с почтой пользователей, — говорит ^[12] профессор Алан Вудворд (Alan Woodward), специалист по безопасности из Университета Суррея (Великобритания). — Я подозреваю, что действия Yahoo не сильно отличаются от того, что делают другие американские сервис-провайдеры».

В то же время дьявол скрывается в деталях. Если ФБР имело доступ к системе сканирования почтового трафика по произвольным ключевым словам, то это действительно проблема. Законность такой системы сомнительна, эту тему нужно серьёзно обсуждать.

Сообщение Reuters о тесном сотрудничестве Yahoo с ФБР появилось через две недели после новости об утечке учётных данных 500 млн пользователей Yahoo ^[13].

Похоже, Мариссе Майер будет заключить трудно выгодную сделку по продаже активов Yahoo и получить достойный гонорар.

P.S. Срок действия параграфа 702 Акта о негласном наблюдении в целях внешней разведки истекает в конце 2017 года. Фонд свободных рубежей организовал общественную кампанию End 702 ^[14], призывая Конгресс США не продлевать срок действия этого параграфа, потому что она сильно упрощает массовую прослушку электронных коммуникаций государственными службами и нарушает права граждан США.

Автор: alizar

Источник ^[15]