В конце ноября ФБР в ответ на запрос сенатора США Чака Шумера заявило, что любые российские мобильные приложения стоит рассматривать как «потенциальную контрразведывательную угрозу». The Bell узнал, так ли это.
Что случилось?
Поводом для интереса американских властей стала сверхпопулярность российского приложения FaceApp, позволяющего омолодить или состарить лицо человека на фотоснимке. При этом к самому FaceApp у сотрудников ФБР конкретных претензий нет. «Контрразведывательную угрозу», считают они, в целом создают практики и возможности российских спецслужб, а также законодательная система России.
The Bell разобрался в доводах ФБР, а также спросил участников рынка и специалистов по кибербезопасности, насколько обоснованы опасения властей США.
Эта статья была написана специально для еженедельной технорассылки The Bell. Подписаться на нее можно здесь.
В начале июля фотосервис FaceApp, основанный бывшим сотрудником «Яндекса» Ярославом Гончаровым, после двухлетнего перерыва снова ворвался на первые места в магазинах приложений по всему миру. Приложение FaceApp получило статус «Выбор редакции» в Google Play, собрав свыше миллиона оценок. «Взлетело» FaceApp и в App Store. Если 9 июля приложение занимало 475-е место в общем рейтинге приложений в России и 1381 в США, то к 15 июля сервис вырвался на первые места как в общем рейтинге бесплатных приложений, так и в рейтинге приложений фото и видео.
Новую волну популярности запустили знаменитости. Все началось со «звезд» из стран Ближнего Востока и Португалии, спустя несколько дней приложение добралось до российских актеров, певцов и телеведущих. Состарить себя можно в два клика: для этого надо найти в разделе Editor настройку «Возраст», а затем — нажать на фильтр «Пожилой».
Сейчас FaceApp не входит в топ-10 самых популярных приложений App Store ни в России, ни в США. Но всего у приложения больше 100 млн загрузок по всему миру. Его популярность и заставила Чака Шумера обратиться с запросом в ФБР. По мнению сенатора, приложение получает «полный и безоговорочный» доступ к данным пользователя и непонятно, что с ними происходит потом. Кроме того, крайне обеспокоил политика и тот факт, что команда разработчиков FaceApp — из России. Это, по его словам, вызывает вопросы, с кем и как компания делится собранными данными.
Социально-медийные приложения (например, FaceApp) действительно собирают о пользователях много данных — их перечень можно узнать из лицензионного соглашения, которое мало кто читает;
Угрозу, по мнению ФБР, может представлять хранение данных на российских серверах. Это не случай FaceApp, который хранит данные пользователей в США, Сингапуре, Ирландии и Австралии. Но так как отечественные приложения должны хранить персональные данные россиян в России, надо думать, что приложения, хранящие все собираемые данные в российских облаках, существуют. В теории это предоставляет разведке и спецслужбам легальный механизм для изъятия данных или ознакомления с ними.
Также ФБР может тревожить то, что Россия располагает серьезными возможностями досмотра трафика. Например, аппаратура СОРМ, установленная у провайдера, позволяет анализировать проходящий трафик без ведома провайдера.
Но главная причина для подобных заявлений — политика, считают опрошенные The Bell собеседники на IT-рынке. «Сейчас тема privacy стала скорее политическим пиаром и все такие заявления звучат довольно безумно. Но это безумие может привести к реальным запретам — и вот это уже действительно угроза», — говорит Алексей Моисеенков, сооснователь приложения Prisma, схожего по устройству с FaceApp. «Мы не можем со 100% гарантией утверждать, что ФСБ что-то читает или чего-то не читает. Но эта тема дает повод для громких заголовков, а реальная практика важна здесь меньше. Это политическая игра», — соглашается топ-менеджер одной из крупных российских IT-компаний.
Теоретически — может, благодаря «закону Яровой», объясняют The Bell опрошенные эксперты. По этому закону все операторы обязаны хранить весь свой трафик, а еще — установить специальное оборудование — СОРМ (средства оперативно-разыскных мероприятий). С его помощью спецслужбы могут без решения суда изымать нужные данные о пользователях. Именно этот закон — причина, по которой ФБР считает, что у ФСБ есть доступ к данным всех российских приложений, объясняет топ-менеджер крупной российской интернет-компании:
«Когда мы встречались с американскими и европейскими регуляторами, они нас тоже постоянно спрашивали о том, имеют ли службы доступ к нашим данным. Мы долго не могли понять в чем дело — оказалось, дело как раз в законе о СОРМ. И в Европе к этой теме относятся точно также, как в США: там есть четкая убежденность, что весь трафик, который идет через Россию — пишется, просматривается и читается».
С помощью СОРМ спецслужбы, в первую очередь, считывают данные, которые идут через каналы связи операторов: они «слышат» голос, читают СМС, потому что эти данные шифруются алгоритмами, к которым у них есть ключи, считает другой собеседник The Bell, разработавший несколько популярных приложений. «Однако ключей к алгоритмам приложений у них нет", — уверен он.
В ответе сенатору ФБР, конечно, сгущает краски — даже имея возможность перехвата трафика, не всегда есть возможность расшифровать информацию, идущую по защищенному соединению. Но преувеличения в некотором роде оправданы — бюро интересует не безопасность обычных американцев, а угроза политикам и участникам предвыборной гонки. На этом направлении кибербезопасности много не бывает, потому что точечный взлом или досмотр осуществить легче, чем массово просматривать весь проходящий трафик.
Не факт. Опрошенные The Bell эксперты расходятся в оценке самой такой возможности: одни считают, что это теоретически возможно, но технически сложно исполнимо, другие — что такого не происходит в принципе.
Разработчик нескольких популярных за рубежом приложений утверждает, что у спецслужб нет возможности видеть данные внутри приложений, потому что они зашифрованы. «СОРМ не анализирует данные внутри приложений — иначе не было бы всей этой истории с блокировкой Telegram. Точно также DPI (deep packet inspection, оборудование, которое должно быть установлено после вступления в силу закона о «суверенном рунете») не позволяет читать, что именно вы пишете внутри приложений, он может только показать, что приложение было использовано — и отрубить его. Но не более», — объясняет он.
При этом, возможность точечной расшифровки нужной информации у спецслужб все-таки может быть, считает сооснователь Prisma Алексей Моисеенков: «Действительно, все приложения шифруют данные. Но проблема в том, что если вы провайдер, то формально для вас это не очень зашифрованный трафик, потому что за исключением особых случаев ключ передается также через вашу сеть — и при большом желании эти данные можно расшифровывать». Однако, вряд ли такая расшифровка поставлена на поток и происходит массово, для всех пользователей, уверен Моисеенков. «До технической реализации таких решений еще очень далеко», — считает он.
У любой продвинутой спецслужбы мира есть техническая возможность считывать трафик, уверен другой собеседник The Bell. «Есть способы с этим бороться — шифрование, VPN — это затрудняет не съем трафика, а его расшифровку. Но абсолютное большинство людей этим не пользуется — правда, и спецслужбам такие люди чаще всего не интересны».
Информация может уходить не только по защищенным каналам. Этот процесс не всегда контролируется пользователем. The Bell уже писал о том, что многие приложения не только собирают лишнюю информацию о пользователях, но и передают ее по незащищенным соединениям. Но, хотя такая угроза существует, она быстро сходит на нет. Отказ от сбора лишних данных и небезопасной передачи становится общим трендом.
Вот только два примера:
- В начале декабря Google заявил, что уже 80% приложений для Android по умолчанию шифруют сетевой трафик. В последних версиях Android эта доля составляет около 90%. Еще год назад таких приложений было всего 20%.
- Из браузеров Mozilla Firefox и Opera также недавно убрали расширения антивирусных производителей AVG и Avast, собиравшие данные о пользователях.
Остается еще один вариант — целенаправленное сотрудничество российских корпораций со спецслужбами.
Этому нет никаких доказательств, более того, даже ФБР этого не утверждает. Для любой IT-компании и стартапа прямая работа со спецслужбами — это смерть, конец всему зарубежному бизнесу, объясняет собеседник The Bell из крупной интернет-компании. «Мы запускали несколько приложений, среди них были достаточно популярные — с миллионами пользователей — и никакого доступа никаким службам мы не давали и никогда у нас такого не просили. И, больше того, о таких кейсах я никогда не слышал — кроме истории с мессенджерами», — говорит другой собеседник The Bell.
«У Prisma в какой-то момент было за 100 млн скачиваний — и к нам ни разу не обращались с таким запросом, не было ни одной подобной попытки. Более того, очень маловероятно, что у ФСБ мог быть какой-то доступ ко всем нашим данным, Допускаю, что существуют хакерские методы их получения, но речь идет о единицах пользователей. Массовый забор данных работает вряд ли», — говорит Моисеенков. Можно представить, что трафик специально сначала прогоняется через российские сервера, а уже потом идет за рубеж, но скорее что-то из области теорий заговора, уверен предприниматель.
Представить, что FaceApp, как и любое другое популярное приложение, — это проект ФСБ, сложно. «Наверное, это их золотая мечта. Но жизнь показывает, что коммерческие компании гораздо более эффективны в плане производства продуктов. Более того, вирусные приложения пытаются сделать сотни тысяч программистов, но удается это единицам. В целом можно себе представить, что спецслужбы такое могут сделать, но в реальности я в такое не верю», — говорит топ-менеджер российской ИТ-компании.
У спецслужб есть другие, гораздо более умные способы использовать технологический бизнес, продолжает он. Например, в США есть фонд In-Q-Tel — это официальный венчурный фонд ЦРУ, который инвестирует в стартапы. Оттуда вышла компания Palantir. «Они не раскрывают условия, но можно предположить, что если фонд ЦРУ дает компании денег, то они что-то получают взамен. У нас до такого пока не дошли — но все возможно».
Когда речь идет о возможных направлениях кибератак, нельзя ограничиваться только юридическими возможностями потенциального противника. Спецслужбы США и других западных стран очень серьезно относятся к вероятности кибервойны и оценивают опасность российских хакеров как высокую. Это легко объясняет озабоченность ФБР.
Во-первых, хакеры и прогосударственные кибергруппировки наносят большой экономический ущерб. Например, фармгигант Merck в 2017 году потерял $1,3 млрд из-за атак вредоносной программы NotPetya. Затронуты оказались свыше 30 тысяч компьютеров и 7500 серверов. При этом NotPetya, разработанный, как пишет Bloomberg, не был направлен против Merck — его настоящей целью были украинские власти и бизнес.
Во-вторых, кибератаки портят международные отношения. Например, американский Минфин расширил антироссийский санкционный список. Поводом для этого стала российская хакерская группировка Evil Corp., члены которой обвиняются в краже $100 млн у крупных финансовых организаций.