действия, торговля людьми, организованная преступность и т. д., – чтобы показать, почему им необходим бэкдор для шифрования. Apple по-прежнему не сдается.
Если бы по делу Сан-Бернардино вынесли решение, сейчас позиция Apple или правоохранительных органов была бы подкреплена судебным прецедентом. В отчете генерального инспектора о показаниях ФБР в отношении телефона Фарука отмечается, что глава криптографического подразделения ФБР определенно недоволен прекращением судебного разбирательства. Здесь читается намек: некоторые сотрудники правоохранительных органов хотели не столько разблокировать конкретный телефон, сколько создать юридический прецедент [85].
Прокурор США Эйлин Декер, которая рассматривала это дело, выступила с заявлением. Объясняя, почему министерство юстиции отозвало иск, она сказала: «С помощью третьей стороны мы теперь можем разблокировать этот айфон, не ставя под угрозу какую-либо информацию в нем» [86]. ФБР не раскрыло, кто эта третья сторона. Но информированные источники указывали на израильскую фирму Cellebrite.
В марте 2018 года я посетил офис Cellebrite в Петах-Тикве, что к востоку от Тель-Авива. Мозговым центром этой компании является тихая чистенькая комната с кондиционером – она похожа на библиотеку, но вместо книг повсюду на полках стоят мобильные телефоны. Возможно, у Cellebrite есть не все телефоны, когда-либо выпущенные где-либо на земле, но наверняка почти все. Они и должны там быть: чтобы взломать телефон, сначала надо его изучить.
А что можно найти в телефоне, когда его взламывает полиция? Все. «Вы можете сколько угодно говорить мне, кто вы такой, – заявляет Лиор Бен-Перец, исполнительный директор Cellebrite. – Но дайте мне свой телефон на пятнадцать минут, и я скажу вам, кто вы на самом деле». Из кабинета Бен-Переца открывался прекрасный вид на низкий горизонт Петах-Тиквы и мягкие холмы неподалеку, но меня больше интересовало изображение на большом мониторе.
В кабинет вошел молодой инженер и подключил один из смартфонов к чему-то похожему на настольный компьютер с несколькими портами на передней панели. После быстрого входа в систему и нескольких кликов компьютер определяет тип подключенного устройства. Затем пользователь может обойти пароль заблокированного телефона и использовать один из нескольких методов извлечения данных. Логическое извлечение выявляет данные, которые находятся в непосредственном доступе – сохраненные текстовые сообщения, электронные письма и изображения. Если есть дополнительное время, машина Cellebrite выполнит и физическое извлечение – раскроет больше информации, в том числе той, которая была удалена. Затем эти данные, аккуратно организованные и размеченные, можно просматривать, сохранять, совместно использовать, фильтровать и искать.
Полицейские могут носить при себе устройство Cellebrite. Размером с планшет, оно выполняет базовый поиск по телефону – своего рода цифровую сортировку, которая позволяет быстро решить, необходимо ли более полное исследование и извлечение информации. «Раньше места преступлений были связаны с отпечатками пальцев и следами ног, – говорит Бен-Перец. – Сегодня все это цифровое: мобильные устройства, интегрированные автомобильные сети и планшеты. Наш цифровой след является самым сильным показателем того, что произошло в действительности».
Cellebrite с большой осторожностью раскрывает, как именно работают их устройства. Столь же сдержанны и компании, разрабатывающие шифрование для Cellebrite: рассказать о функционировании такой технологии все равно что дать искушенному противнику дорожную карту, с помощью которой он вас опередит. Поэтому то, что следует ниже, не стоит рассматривать как разъяснение деятельности Cellebrite. Это скорее обсуждение, основанное на моих беседах с несколькими источниками, хорошо разбирающимися в кибербезопасности. Тема обсуждения – как в целом работает шифрование на устройствах и как его перебороть.
Внутри большинства зашифрованных смартфонов находится сопроцессор. Кроме прочего, он должен обеспечить гарантию, чтобы только выбранный пользователем пароль мог расшифровать содержимое телефона. Один из способов это сделать – увеличить время для последовательного ввода версий пароля. Например, если вы ввели неправильный пароль пару раз, вам вообще не требуется дополнительного времени для следующей попытки: ведь люди постоянно ошибаются (вводят старый код или просто промахиваются мимо нужной цифры). Такую ошибку сопроцессор допускает.
Но после третьего или четвертого ошибочного ответа он может заблокировать ваш аккаунт на час или два. После пятой неудачной попытки количество времени, требуемое для следующей, может увеличиться в десять раз, потом – в сто и т. д. Это делает угадывание пароля методом перебора (когда по очереди пробуются все мыслимые комбинации букв и цифр) функционально невозможным или, по крайней мере, совершенно неэффективным с точки зрения затрат. В конце концов хорошо зашифрованный телефон уничтожит ключи шифрования и тем самым удалит свои данные или сделает их функционально недоступными.
Согласно анализу, проведенному Фондом электронных рубежей (EFF, Electronic Frontier Foundation), пользовательская операционная система, написания которой ФБР требовало от Apple, не имела бы функции автоматического удаления ключей шифрования и функции увеличения задержки, а также не требовала бы ввода кодов доступа в телефон. ФБР хотело подбирать пароли методом грубой силы, то есть быстро пробовать все математически возможные коды доступа, а пользовательский код устранил бы системные функции, которые обычно делают это невозможным.
Однако неясно, можно ли вообще быстро разработать такое программное обеспечение в стесненных условиях уголовного расследования. Как отмечается в анализе EFF, это все равно что просить General Motors к концу месяца выпустить новый грузовой тягач с пятым колесом. Конечно, теоретически это сделать можно, если приложить достаточно усилий – ведь General Motors производит автомобили. Но ушло бы много денег и времени [87].
По-видимому, устройства для взлома шифрования обманывают сопроцессор телефона, вынуждая его допускать неограниченное количество попыток. Для этого они либо каким-то образом лгут ему о том, сколько раз вводился ошибочный пароль (например, после девятого ввода счет не увеличивается, а обнуляется), либо просто обходят счетчик. На телефонах без сопроцессоров они могут клонировать память устройства, сгрузить ее на другое устройство или в облако, а затем угадывать столько раз, сколько потребуется (само собой, устройства-взломщики генерируют догадки быстро и параллельно, а не медленно и последовательно, как люди).
Как только устройство получает правильный код доступа, оно скачивает память телефона, систематизируя и маркируя каждый тип файла: фотографии, тексты, электронные письма и т. д. Оно может также выгружать файлы базы данных операционной системы, которые пользователь никогда не видит, но которые содержат информацию о каждом включении или выключении телефона, а также другие конфиденциальные данные.
Устройства – взломщики шифрования не повреждают телефоны, которые взламывают. Собственно говоря, они вообще не оставляют следов. Если нас с вами остановят на границе и офицер ненадолго унесет куда-то наши телефоны, мы можем, конечно, предположить, что их подключили к такому взломщику, но по состоянию телефона не сумеем определить, делали с ним что-либо или нет.
Телефоны различаются по степени уязвимости к взлому. Система шифрования дисков Apple такова, что память айфона невозможно физически извлечь и исследовать. Для расшифровки данных требуется пароль, выбранный владельцем. Даже Apple
