СофтХабрахабр

Любая интернет-компания обязана тайно изменить программный код по требованию властей

6 декабря 2018 года парламент Австралии принял Assistance and Access Bill 2018 — поправки к Telecommunications Act 1997 о правилах оказания услуг электросвязи.

Говоря юридическим языком, эти поправки «устанавливают нормы для добровольной и обязательной помощи телекоммуникационных компаний правоохранительным органам и спецслужбам в отношении технологий шифрования после получения запросов на техническую помощь».

В отдельных моментах австралийский закон даже более суровый, чем российский. По сути это аналог российского «закона Яровой», который требует от интернет-компаний обязательной расшифровки трафика по запросу правоохранительных органов. Некоторые эксперты недоумевают, как такое законодательство вообще могло быть принято в демократической стране и называют его «опасным прецедентом».

Разработка нового закона продолжалась более года, он чрезвычайно сложный и объёмный. В начале декларируется «золотое правило», на что не имеют права правоохранительные органы: они не имеют права требовать от IT-компаний внедрения в свои продукты «системных уязвимостей». Однако в тексте нет определения, что считается системной уязвимостью.

Список обязательной «помощи» включает в себя такие пункты: Дальше утверждается, что IT-компании обязаны помогать в расшифровке сообщений пользователей, которые попали в разработку правоохранительными органами.

  • удаление одной или нескольких форм электронной защиты;
  • предоставление технической информации;
  • облегчение доступа к услугам и оборудованию;
  • установка программного обеспечения;
  • изменение технологий;
  • сокрытие факта, что сделано что-либо из перечисленного.

Последний пункт особенно примечателен. Речь идёт не только о сокрытии информации от пользователей, чтобы те не заблокировали установку свежего «обновления безопасности» на свои устройства. Всё гораздо интереснее.

Если посмотреть определение “designated communication provider“ в параграфе 317C (пункт 6), то даже отдельный разработчик, если он гражданин Австралии, должен выполнить требование правоохранительных органов, внедрить бэкдор в программу и обязан скрыть эту информацию от своего работодателя, иначе ему грозит тюремное заключение.

Designated communication provider

Остаётся открытым вопрос, насколько действие закона распространяется на австралийских программистов, которые работают на иностранные компании.

Согласно принятым поправкам, например, полиция имеет право отправить в адрес австралийского подразделения компании Facebook «запрос на техническую помощь» с требованием обновить Facebook Messenger или другое программное обеспечение, чтобы полиция получила доступ к сообщениям интересующего лица. Если буквально следовать определению из параграфа 317C, то эти запросы можно направлять не только компаниям, но также отдельным разработчикам и системным администраторам интернет-сервисов. Фактически, это узаконенный саботаж компьютерных систем.

Например, уязвимость аналогичного британского законодательства в том, что если компания технически не имеет возможности расшифровать сообщения пользователей (например, если там грамотно реализовано end-to-end шифрование), то власти ничего от неё не добьются. В этом ключевое отличие австралийского закона от похожих законов в других демократических странах, которые требуют от IT-компаний содействия правоохранительным органам.

Они могут потребовать даже полностью отключить шифрование в программе, если это необходимо. А вот по австралийскому закону власти могут потребовать «обновить программное обеспечение». Именно в этом опасный прецедент, считают специалисты.

Другие возможные варианты «содействия», которое обязаны обеспечить IT-компании:

  • модификация аппаратного устройства, такого как Apple Home или Amazon Alexa, для непрерывной записи звука;
  • требование к поставщику услуг по созданию фейкового веб-сайта;
  • требование к компании передать более точные данные геолокации телефона.

Под этот закон попадают все IT-компании, работающие в Австралии. «Теперь компании также обязаны по первому требованию правоохранительных органов вовсе отключать всякое шифрование и помогать во взломе собственного программного обеспечения. В том числе, различные сайты и интернет-сервисы.

Для неё последствия такого решения законодателей могут быть чудовищными, вполне вероятно, что компания может сменить юрисдикцию под таким давлением со стороны своего государства. Одной из крупнейших IT-компаний в Австралии является Atlassian — авторы BitBucket, JIRA, HipChat, Zephyr, Bamboo и других известных сервисов.

Террористы всегда найдут способ для коммуникаций, какие действия государства бы не предпринимали. Подобное „законотворчество”, маскируясь под благими намерениями вроде борьбы с терроризмом и т.д., никак такой борьбе не помогает. Единственной пострадавшей стороной в такой ситуации станут рядовые пользователи, чей уровень безопасности в киберпространстве существенно снизится из-за внедряемых по требованию силовиков бэкдоров.

Наличие уязвимостей в ПО, предназначенных для использования правоохранительными органами, даёт ровно такую же возможность злоумышленникам их использовать. Невозможно в 21 веке создать такую потайную дверцу, ключик от которой будет только у хороших парней. — пишет Александр Литреев, российский эксперт по IT-безопасности и автор популярного телеграм-канала «Сайберсекьюрити и Ко». А в борьбе с терроризмом и детской порнографией они производят лишь нулевой, если не отрицательный выхлоп.

Единственное смягчение, которого добились противники законопроекта — правительство Австралии пообещало использовать данное законодательство только при расследовании серьёзных преступлений, которые предусматривают тюремное заключение от трёх лет.

Недавно в Австралии был принят ещё один сомнительный закон Espionage and Foreign Interference Act 2018, который предусматривает для нынешних или бывших госслужащих уголовное наказание до пяти лет за разглашение «информации, которая может повредить национальным интересам». Впрочем, даже это ограничение включает в себя очень большой список нарушений, например, ложный вызов экстренной службы. Правозащитники считают, что этот закон направлен против информаторов и журналистов.

Кто-то раньше думал, что подобные законы против «иностранных агентов» и «шпионов» с требованием обязательной расшифровки трафика могут принимать только в странах, где не слишком уважают права человека. Но практика показывает, что власти Великобритании и Австралии тоже пытаются установить жёсткий контроль над электронными коммуникациями граждан. Ситуация ухудшается повсеместно, а не только в России.

Эти страны соглашаются обмениваться разведывательной информацией, а в сентябре 2018 года они выпустили совместное заявление, в котором объявили, что IT-компании облегчат им доступ к этой информации: «Если правительства будут продолжать сталкиваться с препятствиями на пути законного доступа к информации, необходимой для защиты граждан наших стран, — говорится в заявлении пяти стран, — мы можем принимать технологические, правоприменительные, законодательные или другие меры для достижения законных решений доступа». Австралия является членом альянса «Пять глаз» (Five Eyes) наряду с Канадой, США, Новой Зеландией и Великобританией.

В свете вышеизложенного есть вероятность, что такие законопроекты могут принять и другие страны альянса.

Многие эксперты сходятся во мнении, что подобные законы несут больше вреда, чем пользы и на самом деле ослабляют безопасность, а не укрепляют её: «У этого закона серьёзные недостатки и он, вероятно, приведёт к ослаблению общей кибербезопасности в Австралии, снижению доверия к электронной торговле, снижению стандартов безопасности для хранения данных и снижению защиты гражданских прав», — сказано в заявлении правозащитной организации Digital Rights Watch.

Его можно использовать не только в вопросах уголовного, но и корпоративного права». Скорее всего, закон начнут применять не только против террористов, но и против частных лиц, считает Марк Грегори, специализирующийся на сетевой инженерии и интернет-безопасности в Мельбурнском университете RMIT: «Он слишком поспешный, широко и нечётко сформулирован и в конечном итоге будет использовано неправильно.

«Существуют проблемы, связанные с прозрачностью, подотчётностью, надзором, а также потенциальными возможностями злоупотребления», — добавляет Моник Манн, исследователь в области технологий, права и регулирования в Квинслендском технологическом университете.

Представители IT-индустрии говорят, что закон угрожает экспорту IT-услуг из страны, поскольку в мире станут меньше доверять надёжности австралийских программ.

В честь дня рождения компании дарим скидку 60% на сертификаты.
image Удостоверяющему центру GlobalSign исполнилось 22 года!

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»