Полицейский в каждом кармане: клиентское сканирование в Великобритании и Европе
Правительства продвигают клиентское сканирование как способ борьбы с материалами о жестоком обращении с детьми, но такие решения недальновидны и фактически…
Поделиться
Правительства продвигают клиентское сканирование как решение проблемы материалов о жестоком обращении с детьми, однако такие меры недальновидны и представляют реальную опасность.
У каждого из нас есть свой распорядок, но, как по часам, мышечная память обычно срабатывает, когда мы выходим из дома. Лёгкий хлопок по джинсам или шарканье в кармане куртки — и едва слышное бормотание: «ключи-телефон-кошелёк». Но к этим банальным, но необходимым вещам вскоре добавится нечто куда менее полезное — безликое и безымянное присутствие, живущее прямо у вас в кармане: ваш собственный «карманный полицейский» с полномочиями, которые легко могут быть использованы во зло.
Переводы: Français // Русский // 日本 // Türkçe
Вот что готовят ЕС и британское правительство. И, судя по всему, и ЕС, и Великобритания намерены продвигаться вперёд с внедрением «клиентского сканирования», ставя под угрозу основное право на частные коммуникации.
Законопроект Великобритании Online Safety Bill, подрывающий шифрование, продвигается вопреки рекомендациям академического сообщества, бизнеса и гражданских организаций. Не существует универсального технического решения, способного полностью предотвратить вред детям, однако, как показывает практика, клиентское сканирование крайне подвержено ошибкам и почти не помогает остановить распространение вредоносных материалов в интернете. А вот что эта технология действительно сделает — так это снизит уровень безопасности на всех устройствах.
В ответ на это Apple, Signal и WhatsApp пригрозили прекратить работу в Великобритании, что вызывает ассоциации с репрессивными режимами, где людям приходится использовать VPN, чтобы получить доступ к необходимым в повседневной жизни сервисам и информации.
Предлагаемые законы подчёркивают, насколько легко неправильно понимают безопасность в сфере глобальной цифровой инфраструктуры: открыть бэкдор для властей значит просто открыть бэкдор — уязвимость, которой могут и будут злоупотреблять. Напротив, более сильная приватность обеспечивает и более высокую общую безопасность, поскольку предотвращает профилирование, таргетинг, распространение дезинформации и манипуляций.
Интернет должен быть общественным и безопасным пространством, где государство способствует укреплению инфраструктуры, а не вынуждает делать её менее защищённой. К сожалению, Великобритания — не единственная: Евросоюз также выдвинул подобное предложение.
Nym отстаивает принцип приватности по умолчанию — и всегда будет ему следовать.
Читайте далее, чтобы узнать больше о клиентском сканировании, предлагаемых законах и о том, какую роль в этом играет Nym:
Закон о безопасности в сети: что такое клиентское сканирование?
В 2003 году всё было гораздо проще: аббревиатура CSS означала либо Cascading Style Sheets, либо Cansei de Ser Sexy. Спустя пару десятилетий появилось новое значение — «клиентское сканирование» — технология, которая автоматически анализирует сообщения на наличие незаконного контента (это часть про сканирование) прямо на устройстве пользователя (а это и есть клиентская сторона).
Долгая история закона о безопасности в сети со временем развивалась и разрасталась, начиная с белой книги «Online Harms», опубликованной в 2019 году. Часть масштабного законопроекта теперь предусматривает предоставление новых полномочий британскому телекоммуникационному регулятору Ofcom, которые позволят ему обязать технологические компании устанавливать клиентское сканирование (CSS) на ноутбуки, планшеты и смартфоны — фактически создавая бэкдор в каждом устройстве, если регулятор решит воспользоваться своими полномочиями.
Когда пользователь загружает изображение со своего смартфона, программное обеспечение для клиентского сканирования сравнивает его с базой данных запрещённого контента. Эта база данных на самом деле не содержит изображений, а включает так называемые нейронные хэши — что-то вроде цифровых отпечатков, как объясняет Open Rights Group. Если обнаруживается совпадение, система удаляет загрузку или сообщает о ней властям.
Хотя сама система шифрования формально не нарушается, Open Rights Group отмечает, что подобный подход разрушает основной принцип шифрования — недопустимость вмешательства в коммуникацию.
«Масштабы внедрения делают это инструментом массовой слежки», — заявила организация Open Rights Group. «Он будет установлен на каждом смартфоне в стране, работать круглосуточно и постоянно проверять совпадения со всем нашим контентом. «Это чрезвычайно несоразмерная мера, и, учитывая неопределённость вокруг этой технологии, к ней следует подходить с осторожностью при разработке политики».
С ростом изощрённости киберпреступных группировок, у многих из которых есть собственные HR-отделы и сложные технологические стеки, преступники, против которых якобы направлен этот законопроект, будут продолжать существовать и совершенствовать свои методы обхода, тогда как права обычных людей будут серьёзно подорваны.
Помимо пренебрежения правами граждан, существуют и операционные трудности при внедрении этой технологии. Достаточно очевидная проблема – создание технологии, которая могла бы точно сопоставлять хэши и отличать незаконный контент от повседневных коммуникаций.
Фактически исследователи уже продемонстрировали уязвимости в технологии сканирования NeuralHash от Apple, которая сверяет хэши с известными образцами материалов, содержащих сексуальное насилие над детьми (Child Sexual Abuse Material). Используя алгоритмы машинного обучения для добавления «адверсариального шума» к изображению, можно кардинально изменить распределение его хэша, при этом само изображение будет выглядеть, по сути, так же. Или при помощи «коллизии хэшей» можно создать совершенно новые изображения с этим «шумом», которые будут регистрировать те же хэши, что и оригинальное изображение, вводя технологию сканирования в заблуждение.
Закон о безопасности в сети, подрывающий шифрование: можно ли его остановить?
В верхней палате парламента члены Палаты лордов не смогли принять ни одной поправки, которая защищала бы принцип шифрования, а поправка, обязывающая Ofcom консультироваться с Управлением комиссара по информации перед использованием своих полномочий, также не прошла. Это был последний этап, на котором закон о безопасности в сети мог столкнуться с серьёзными трудностями или препятствиями в правительстве.
Лорд Паркинсон внес поправку, однако это было правительственное предложение. Эта поправка, в духе «лиса заявила, что куры в безопасности», гласит, что Ofcom должен будет консультироваться с внешним «квалифицированным специалистом» перед выдачей предписания, однако подробности скудны и не затрагивают основную проблему безопасности — наличие навязчивых бэкдоров на устройствах граждан.
Закон о безопасности в сети уже близок к тому, чтобы быть закреплённым в законодательстве. В сентябре законопроект пройдёт «третье чтение» в Палате лордов, после чего последует предпоследний этап в Палате общин, а затем документ будет передан новому королю Великобритании, подпись которого придаст ему силу закона (так называемое «Королевское одобрение» — Royal Assent).
Ofcom заявил, что будет выдавать предписания только в исключительных случаях, однако история показывает, что применение чрезвычайных полномочий довольно быстро становится нормой.
Гражданские организации продолжат выступать против законопроекта, однако вряд ли им удастся добиться успеха в противостоянии правительству, решившему ослабить шифрование, и оппозиции, проявляющей, по-видимому, мало интереса к сопротивлению этому. Можно с высокой вероятностью ожидать судебных исков от гражданских организаций, если Ofcom попытается воспользоваться своими новыми полномочиями.
И если всего этого было недостаточно, Великобритания представила новые предлагаемые поправки к Закону о разведывательных полномочиях (в просторечии известному как «Хартия шпионов»), которые позволят правительству тайно требовать отключения функций безопасности любых мессенджеров — без ведома пользователей.
WhatsApp, Apple и Signal пригрозили прекратить работу в Великобритании, если положения закона о безопасности в сети, подрывающие шифрование, будут закреплены в законодательстве. Это может за одну ночь подорвать социальную и экономическую структуру Великобритании, а также осложнить свободный обмен данными и деловыми коммуникациями.
Для страны, которая часто гордится своей приверженностью свободе слова и демократии, в этом есть немалая ирония: обычным пользователям WhatsApp в Великобритании, возможно, придётся подключаться к VPN, чтобы получить доступ к базовым мессенджерам — точно так же, как это делают граждане в авторитарных режимах, которые британское правительство само критикует.
Если вы находитесь в Великобритании и хотите получить доступ к основным сервисам, таким как WhatsApp, Signal и приложениям Apple, децентрализованный NymVPN будет доступен для безопасного использования в рамках модели с нулевым разглашением данных (zero-knowledge), без необходимости доверять платным VPN-компаниям защиту от утечек данных или мириться с тем, что бесплатные VPN продают ваши данные.
Евросоюз не приходит один
К сожалению, Великобритания — не единственная, кто ведёт борьбу против приватности.
Сотни экспертов, учёных и исследователей, включая главного научного сотрудника Nym Клаудию Диас (криптографа из KU Leuven), советников Nym Барта Пренеэла (KU Leuven) и Кармелу Тронкосо (EPFL), а также директора по стратегии Nym Джайю Брекке, предупредили о планах Европейского союза внедрить клиентское сканирование (CSS).
Грядущее законодательство Европейского союза — регламент о борьбе с сексуальным насилием над детьми (Child Sexual Abuse Regulation) — направлено на прекращение распространения материалов с сексуальным насилием над детьми и предотвращение вовлечения детей в сексуальные контакты в интернете. Благородная цель, но средства её достижения ошибочны: поставщикам приложений и онлайн-сервисов будет разрешено сканировать сообщения, изображения, электронную почту, голосовую почту или любые другие действия пользователей, а также внедрять клиентское сканирование для обхода шифрования на устройствах пользователей.
Эксперты отмечают, что существующие технологии сканирования, а также те, которые находятся в разработке, имеют серьёзные недостатки. Сканирование на стороне клиента будет не только неэффективным, но и откровенно опасным в глобальном контексте, создавая цепную реакцию последствий, которые нанесут больший вред пользователям сети и сделают интернет более опасным, а не более безопасным.
«Невозможно и неприемлемо требовать от частных компаний использовать технологии таким образом, который, как мы уже знаем, не может быть безопасным — или вообще осуществимым», — говорится в письме. «Учитывая ужасающий характер сексуального насилия над детьми, вполне понятно и даже естественно надеяться, что существует технологическое решение, способное искоренить это явление. Однако, рассматривая проблему в целом, мы вынуждены признать, что нынешнее предложение не является таким решением.»
В ответ на это международная правозащитная организация EDRi опубликовала набор принципов, которые помогут защищать детей в цифровую эпоху, не нарушая при этом права граждан Европейского союза.
В своём нынешнем виде регламент о борьбе с сексуальным насилием над детьми поставит Европейский союз в один ряд с Британией, установив глобальный прецедент фильтрации интернета и контроля доступа к нему, а также устранит немногие инструменты, которые позволяют людям защищать своё право на частную жизнь в цифровом пространстве, что в конечном итоге создаст сдерживающий, «охлаждающий» эффект в обществе.
Как ранее отметил Барт Пренел, у ЕС «два лица»: одно выступает за защиту приватности через такие меры, как GDPR, а другое — подрывает её, продвигая жёсткие требования по хранению данных и слежку со стороны правоохранительных органов и разведслужб. ООН признала, что доступ к интернету является неотъемлемым элементом свободы выражения мнений, а Всеобщая декларация прав человека ООН закрепляет право людей на тайну переписки. Такие инициативы, как законопроект Online Safety Bill и регламент о борьбе с материалами сексуального насилия над детьми, ставят под угрозу оба этих права.
Ад антиприватности и как с ним бороться
Исторически правительства спекулировали на неосведомлённости и страхе граждан, а в мире, всё более пропитанном слежкой после событий 11 сентября, повсюду повторялся лозунг: если человеку нечего скрывать, ему нечего бояться.
До недавнего времени интернет воспринимался как отдельное пространство, не связанное с нашей повседневной жизнью. Но это не верно сегодня. Точно так же, как мы не согласились бы, чтобы государственные агенты выпрыгивали из кустов и спускали с нас штаны ради «моментальной проверки безопасности», мы не хотим, чтобы они читали все наши личные сообщения или копались в наших смартфонах ради какой-то абстрактной, недоказуемой гарантии безопасности.
Nym не может предотвратить клиентское сканирование, поскольку сеть Nym защищает ваш трафик во время передачи, а не непосредственно на устройстве. Тем не менее, то, что Nym может предложить в будущем при распространении клиентского сканирования (CSS), — это мощный NymVPN, который обеспечит сохранение свободного доступа к сервисам и информации.
Приватность и открытость идут рука об руку. Как только вы идёте на компромисс с приватностью, вы вступаете на скользкий путь репрессий и контроля. Дайте знать о своей позиции и присоединяйтесь к кампаниям, призывающим политиков защищать демократические права, такие как право на приватность.
Поддержите друзей Nym, которые объединяются ради защиты приватности, безопасности и цифровой целостности каждого:
Приватности нужна компания
Discord // Telegram // Element // Twitter
Интернет — явление глобальное, и Nym тоже: присоединяйтесь к сообществу Nym, где бы вы ни находились, и помогайте создавать приватный интернет уже сегодня.
English // 中文 // Русский // Türkçe // Tiếng Việt // 日本 // Française // Español // Português // 한국인