FBI dobio od Majkrosofta dozvolu za otključavanje šifrovanih podataka: Koliko je time ugrožena privatnost
Tehnološki gigant Majkrosoft saopštio je da godišnje primi oko 20 zahteva za BitLocker ključeve. Takođe i da ih, na osnovu sudskih naloga, dostavlja vladama.
Međutim, kompanije poput Epla (Apple) i Meta dizajnirale su svoje sisteme tako da ovakvo narušavanje privatnosti uopšte nije moguće.
Početkom prošle godine, FBI je uručio Majkrosoftu sudski nalog.
Zahtevao je da dostavi ključeve za oporavak kako bi se otključali šifrovani podaci sačuvani na tri laptopa.
Savezni istražitelji u Guamu verovali su da se na tim uređajima nalaze dokazi koji bi pomogli da se utvrdi da su osobe uključene u upravljanje ostrvskim programom pomoći za nezaposlene tokom pandemije kovida bile deo zavere za proneveru sredstava.
Podaci su bili zaštićeni BitLocker-om. Reč je o softveru koji je automatski uključen na mnogim modernim Windows računarima kako bi se zaštitili podaci na hard disku.
Šta Majkrosoft preporučuje
BitLocker šifruje podatke i mogu ih dešifrovati samo oni koji poseduju odgovarajući ključ.
Korisnici mogu da čuvaju te ključeve na sopstvenom uređaju. Microsoft takođe preporučuje da se BitLocker ključevi čuvaju na njegovim serverima radi praktičnosti.
To znači da korisnik može da pristupi svojim podacima ako zaboravi lozinku. Takođe i ako se uređaj zaključa nakon više neuspešnih pokušaja prijavljivanja.
Ipak, to ih istovremeno čini ranjivim na sudske pozive i naloge organa reda.
Majkrosoft dostavlja BitLocker ključeve po nalogu
U slučaju sa Guama, Microsoft je istražiteljima predao ključeve za šifrovanje.
Microsoft je za Forbes potvrdio da dostavlja BitLocker ključeve za oporavak ukoliko primi nalog da to učini.
„Iako oporavak ključeva nudi pogodnost, on takođe nosi rizik od neovlašćenog pristupa“, izjavio je portparol Microsofta Čarls Čemberlejn.
Zbog toga Microsoft smatra da su korisnici u najboljoj poziciji da odluče kako će upravljati time.
On je naveo da kompanija godišnje primi oko 20 zahteva za BitLocker ključeve.
Takođe i da u mnogim slučajevima korisnik nije sačuvao ključ u oblaku, što Microsoftu onemogućava da pomogne.
Prvi poznati primer
Slučaj sa Guama je prvi poznati primer u kojem je kompanija iz Redmonda u saveznoj državi Vašington predala ključ za šifrovanje organima reda.
Još 2013. godine, jedan Microsoftov inženjer tvrdio je da su mu se vladini zvaničnici obratili sa zahtevom da ugradi „zadnja vrata“ u BitLocker. Ipak, te zahteve je odbio.
Senator Ron Vajden izjavio je za Forbes da je „krajnje neodgovorno da tehnološke kompanije isporučuju proizvode na način koji im omogućava da potajno predaju korisničke ključeve za šifrovanje.“
Potencijalni rizik
„Dozvoliti ICE-u ili drugim Trampovim ljudima da tajno dođu do korisničkih ključeva za šifrovanje znači dati im pristup čitavom digitalnom životu te osobe i dovodi u rizik ličnu bezbednost i sigurnost korisnika i njihovih porodica“, dodao je on.
Ovo nije problem samo u SAD-u. Dženifer Granik, pravna savetnica za nadzor i sajber-bezbednost u Američkoj uniji za građanske slobode (ACLU-u) istakla je da i strane vlade sa upitnim dosijeima u oblasti ljudskih prava takođe zahtevaju podatke od tehnoloških giganata poput Microsofta.
„Daljinsko čuvanje ključeva za dešifrovanje može biti veoma opasno“, rekla je ona.
I i kompaniji Epl više puta tražen pristup šifrovanim podacima
Organi za sprovođenje zakona redovno traže od tehnoloških giganata da dostave ključeve za šifrovanje. Takođe i da omoguće pristup putem „zadnjih vrata“ ili na druge načine oslabe bezbednost svojih sistema.
Međutim, druge kompanije su takve zahteve odbijale. Apple je naročito više puta bio suočen sa zahtevima za pristup šifrovanim podacima u svom oblaku ili na svojim uređajima.
U široko medijski propraćenom sukobu sa vladom 2016. godine, Apple se suprotstavio nalogu FBI-ja da pomogne u otključavanju telefona koji su pripadali teroristima. Oni su u Kaliforniji, ubili 14 ljudi.
Na kraju je FBI angažovao spoljnog saradnika da hakovanjem pristupi iPhone uređajima.
Teret odgovornosti za Majkrosoft
Stručnjaci za privatnost i šifrovanje rekli su za Forbes da bi teret odgovornosti trebalo da bude na Majkrosoftu da obezbedi jaču zaštitu ličnih uređaja i podataka potrošača.
Apple, sa svojim uporedivim sistemima FileVault i Passwords, kao i Metina aplikacija za razmenu poruka WhatsApp, takođe omogućavaju korisnicima da prave rezervne kopije podataka i čuvaju ključ u oblaku.
Međutim, obe kompanije takođe omogućavaju korisnicima da ključ smeste u šifrovanu datoteku u oblaku.
Tako čine zahteve organa reda za tim ključem beskorisnim. Nije zabeleženo da je ijedna od njih u prošlosti predala bilo kakve ključeve za šifrovanje.
„Ovo su privatni podaci na privatnom računaru, a oni su napravili arhitektonsku odluku da zadrže pristup tim podacima“, rekao je Met Grin.
On je stručnjak za kriptografiju i vanredni profesor na Institutu za informacionu bezbednost Univerziteta Džons Hopkins.
„Apsolutno bi trebalo da se prema njima odnose kao prema nečemu što pripada korisniku“, naglasio je on.
Zabrnutost za informacije do kojih bi FBi mogao da dođe
„Ako Apple može to da uradi, ako Google može to da uradi, onda može i Microsoft. To je jedina kompanija koja to ne radi“, dodao je on.
„Pomalo je čudno… Pouka ovde je da, ako imate pristup ključevima, pre ili kasnije će se pojaviti organi reda.“
Granik je izrazila zabrinutost zbog obima informacija do kojih bi FBI mogao da dođe ako agenti dobiju pristup podacima zaštićenim BitLocker-om.
„Ključevi vladi daju pristup informacijama koje daleko prevazilaze vremenski okvir većine krivičnih dela – svemu što se nalazi na hard disku“, rekla je ona.
„Tada moramo da verujemo da će agenti tražiti samo informacije relevantne za odobrenu istragu i da neće iskoristiti taj neočekivani dobitak da ‘čačkaju’ unaokolo.“
U slučaju sa Guama, sudska dokumentacija pokazuje da je nalog uspešno sproveden.
Advokat okrivljene Čarise Tenorio, koja se izjasnila da nije kriva, izjavio je da su informacije koje su joj tužioci dostavili u okviru slučaja uključivale podatke sa računara njenog klijenta.
Takođe i reference na BitLocker ključeve koje je Microsoft predao FBI-ju. Slučaj je i dalje u toku.
I Grin i Granik su rekli da bi Microsoft mogao da omogući korisnicima da instaliraju ključ na neki hardverski uređaj, poput USB memorije, koja bi služila kao rezervni ili ključ za oporavak.
Bez ključeva za šifrovanje FBI teže do podataka
Microsoft tu opciju zaista dozvoljava. Ipak ona nije podrazumevano podešavanje za BitLocker na Windows računarima.
Bez ključeva za šifrovanje koje je obezbedio Microsoft, FBI bi imao ozbiljne poteškoće da izvuče bilo kakve korisne podatke sa tih računara.
Prema Forbesovom pregledu ranijih slučajeva, BitLocker-ovi algoritmi za šifrovanje pokazali su se neprobojnim za prethodne pokušaje organa reda da ih razbiju.
Početkom 2025. godine, forenzički stručnjak iz jedinice ICE-a za istrage u okviru Odeljenja za unutrašnju bezbednost naveo je u sudskom dokumentu da njegova agencija „ne poseduje forenzičke alate za probijanje uređaja šifrovanih Microsoft BitLocker-om“.
Takođe, niti bilo kojim drugim vidom šifrovanja“. U jednom ranijem slučaju, savezni istražitelji su do ključeva došli tako što su otkrili da ih je osumnjičeni čuvao na nešifrovanim diskovima.
Sada kada FBI i druge agencije znaju da će Microsoft postupati po nalozima sličnim onom u slučaju sa Guama, verovatno će upućivati još više zahteva za ključeve za šifrovanje, rekao je Grin.
„Moje iskustvo je da, kada se vlada SAD navikne na neku mogućnost, veoma je teško kasnije je se odreći.“
Tomas Bruster, novinar Forbes