( Май 2021, idb.kniganews )
В повседневной жизни все знают: чем сильнее защита – тем надёжнее безопасность. В делах государственных, однако, теперь нередко получается так, что залог безопасности – это защита слабая…
В мире профессионалов компьютерной безопасности весьма давно существует и имеет заслуженную популярность бюллетень The RISKS Digest – дайджест публикаций прессы и комментариев специалистов относительно рисков компьютеров и сетевых систем.
Один из последних выпусков дайджеста, RISKS Digest Volume 32 Issue 62 , начинается с любопытной статьи, написанной профессором Россом Андерсоном, широко известным кембриджским криптографом и специалистом по инфобезопасности. Оригинал статьи опубликован в апрельском номере журнала The Economist под таким примерно заголовком: «Внутренние программы слежки Китая дают преимущества иностранным шпионам».
Как прокомментировал тему этого текста редактор дайджеста Питер Нойман:
Неприязнь властей к сильному шифрованию делает уязвимыми собственные сети страны. Статья посвящена ситуации в Китае, но также актуальна и для любой другой страны!
Имеет смысл пересказать здесь содержание данной публикации по-русски в максимально близком к оригиналу виде.
#
В марте нынешнего года Илон Маск, третий из богатейших людей планеты, выступал по видеосвязи на конференции в Пекине. Те автомобили, которые Tesla продаёт в Китае, настаивал Маск, не делятся своими данными с американскими службами безопасности. Так он отреагировал на новости о том, что китайские вооруженные силы, озабоченные подобной угрозой, запретили машинам Tesla появляться на своих объектах.
Ещё месяц спустя компания Tesla через китайские СМИ и социальные сети заверила своих клиентов в том, что многочисленные камеры в их автомобилях «не активированы за пределами Северной Америки», а потому не могут быть использованы для шпионажа.
Озабоченность вопросами безопасности ныне является определяющим фактором в торговле технологиями между Америкой и Китаем. Наибольшее внимание США сфокусировано на тех масштабах, в которых китайские гиганты вроде TikTok и Huawei способны пронизывать Америку ради каких-нибудь гнусных целей. Однако и у Китая есть собственные поводы для беспокойства.
После того, как реальные контуры американской слежки были в 2013 году обрисованы Эдвардом Сноуденом, работавшим на Агентство Национальной Безопасности (АНБ) США, китайские власти начали кампанию по замене всех западных технологий в своих правительственных учреждениях, дабы не было возможности использовать их для шпионажа.
Упомянутая шумиха вокруг автомобилей Tesla демонстрирует, насколько заметно возрос уровень этой обеспокоенности за неполное десятилетие, прошедшее с момента разоблачений Эдварда Сноудена. По мере того, как сетевые коммуникации всё больше становятся частью потребительских продуктов, всё больше возрастает и паранойя по поводу шпионских применений этих технологий.
Но подозрительность Китая, однако, содержит в себе и долю иронии. Изъятие западного оборудования из китайских сетей вовсе не делает Китай более защищённым от проникновений неприятелей, потому что правительство Китая само настаивает на ослаблении безопасности тех же сетей и устройств – но только теперь в своих собственных целях. Так что хотя в США имеется тенденция раздувать масштабы китайского вторжения, в реальности именно Китай оказывается державой с менее сильной цифровой защитой.
Происходит это по той причине, что китайское правительство настаивает на наличии у него возможностей для мониторинга и управления той информацией, которая циркулирует в цифровых сетях страны.
Например, все сообщения, отправляемые пользователями WeChat, наиболее широко распространённого в Китае приложения-мессенджера, должны проходить через центральные серверы исключительно в виде незашифрованных открытых текстов, дабы компания могла их на лету фильтровать и цензурировать в соответствии с требованиями властей.
Уже одно это делает данные серверы весьма привлекательной целью для любой иностранной спецслужбы, имеющей интерес к шпионажу за гражданами Китая, которые имеют свыше миллиарда аккаунтов в WeChat.
Корпорация Tencent, являющаяся владельцем данного приложения, должна была выстроить весьма замысловатую систему цифровой безопасности, которая позволяла бы ей постоянно инспектировать сообщения пользователей и при этом одновременно лишать таких же возможностей хакеров атакующей стороны. Но соорудить такого рода защиту – это задача весьма и весьма непростая .
«Если бы я был западной разведслужбой, то эти серверы были бы невероятно ценным ресурсом», – говорит Мэтью Грин, известный эксперт-криптограф из Университета Джонса Хопкинса.
Слабая защита информации – это правило, а не исключение для цифровых сервисов, доступных китайской публике. Электронная почта и социальные сети, все они должны предоставлять государству доступ к данным, точно так же, как это должны делать компьютерные сети индустрии, обеспечивающие работы фабрик и офисов – даже если масштабы, в которых государство пользуется этим доступом, могут сильно различаться.
В августе прошлого года власти Китая запретили использовать в национальном сегменте интернета наиболее свежую версию протокола TLS, используемого для шифрования веб-трафика, поскольку усиленная новая версия делает более сложной онлайновую слежку за пользователями.
Для своих собственных нужд правительство Китая использует другие стандарты безопасности, но эти стандарты засекречены. При этом обычным делом являются слухи и домыслы о тех устройствах и системах, которые используют для коммуникаций высшие лица партии и государства.
В 2013 году, скажем, Пэн Лиюань, жена президента Си Цзиньпина, попала на фотографию со своим смартфоном iPhone – одним из тех немногих устройств, доступных в Китае, которое предлагает реальные меры защиты информации в своей программе iMessage. Этот фотоснимок стал горячей новостью СМИ чуть ли по по всему миру. Спустя год госпожу Пэн можно было видеть только с китайским смартфоном.
Интернет-пользователи в Китае уже давно возражают против слабых стандартов защиты данных. Онлайновый криминал и утечки баз данных с персональной информацией – дела процветающие. В прошлом году кто-то похитил базу данных о 538 миллионах пользователей Sina Weibo, популярнейшего в Китае микроблога, и выложил эти записи на продажу в Dark Web.
В качестве ответа на эту утечку, правительство рекомендовало компаниям использовать новые программы улучшения защиты данных пользователей, хотя одновременно продолжает настаивать на искусственном ослаблении безопасности всех компьютерных систем. Понятно, что пока власти требуют беспрепятственного доступа к данным китайского народа, эти данные никогда не удастся надёжно защитить.
Хотя власти США не предают огласке свои тайные кибер-операции, известные утечки подобной информации вполне демонстрируют их масштабы. Так, документы, полученные журналистами от Эдварда Сноудена, показывают, что АНБ отыскало пути для проникновения в сети корпорации Huawei и начиная с 2007 года активно искало там свидетельства того, что оборудование Huawei используется властями Китая в качестве «чёрного хода» (если там что-то и нашли, впрочем, то публично это никогда не предъявляли). Нет никаких сомнений, что шпионские спецслужбы Америки и других стран используют слабую защиту сетей Китая в своих собственных интересах.
Такого рода опасности для Китая – как в терминах экономики так и национальной безопасности – отчётливо нарастают по мере того, как растёт ценность данных, циркулирующих в плохо защищённых сетях. Планы правительства Китая, касающиеся экономического роста страны, лишь подтверждают этот прогноз. Ибо планы эти предусматривают расширение цифровой экономики страны, автоматизацию фабрик и массовое внедрение инфраструктуры умного транспорта.
Как и в случае с мессенджером WeChat, если правительство намерено тотально мониторить информацию в этих системах, то оно будет выстраивать их менее защищёнными, чем они могли бы быть. А потому власти сами сделают их уязвимыми для иностранного вмешательства в таких формах, которые просто не должны срабатывать в аналогичных сетях на Западе.
«Правительство Китая знает об этих вещах, конечно», – говорит Мэтт Перо, учёный исследователь из Университета Дюка в Сев. Каролине, – «И компромиссом таким они демонстрируют, что готовы с этим жить. Откуда можно предполагать, что они допускают значительные объёмы иностранной слежки за своими гражданами».
Калькуляции китайских властей на данный счёт вряд ли изменятся. Их сфокусированность на цензуре и слежке за собственным народом с годами лишь нарастает. Однако и напряжённость между защитой от врагов внутренних и защитой от врагов внешних также будет нарастать.
Будущие атаки с опорой на те слабости, которые были встроены по требованию правительства, могут оказаться воистину катастрофическими. Если, скажем, противостояние с Тайванем будет усиливаться, то слабая защита сетей Китая окажется очень серьёзным недостатком.
Но чем больше становится зависимость государства от слежки и цензуры, тем труднее будет удалить все те слабости, на основе которых выстроена система контроля. Если, конечно, там вообще наступит когда-нибудь такой день, когда власти перестанут верить, что компромисс того стоит.
[ конец статьи Росса Андерсона ]
#
Множество прямо сопряжённых с этой темой материалов можно найти по ссылкам, приведённым в следующем разделе.
# # #
Дополнительное чтение:
О научно-общественной деятельности Росса Андерсона и его примечательной книге: Искусство защиты по Андерсону ;
Криптография как универсальная модель для науки
О разнообразных крипто-инициативах властей в области бэкдоров и «новояза безопасности»: Шизо-криптография ; «Ответственное крипто» и другие формы обмана ; Сильные шифры, права человека и проблемы психиатрии
# #
Основные источники:
Ross Anderson. «Watching them watching you: China’s domestic surveillance programmes benefit foreign spies». The Economist, April 24th 2021
The RISKS Digest Volume 32 Issue 62, Sunday, 25th April 2021. Forum on Risks to the Public in Computers and Related Systems
#
kiwi arXiv 