У березні президент Джо Байден підписав указ про обмеження використання інструментів цифрового стеження. Ринок комерційного шпигунського програмного забезпечення (spyware) росте та процвітає. Перелік його клієнтів надзвичайно різноманітний: від бізнесу, зацікавленого в комерційних секретах конкурентів, до тоталітарних режимів, що стежать за своїми опонентами. Такі інструменти можуть використати для шпигунства за політиками, дисидентами, журналістами й правозахисниками. Після указу президента США державні структури не зможуть використовувати комерційне spyware. Попри це, уряд США продовжує купувати такий софт через підставні структури.
Що таке шпигунське ПЗ та як воно працює
Указ Байдена спрямований проти комерційних шпигунських програм, хоча загальне поняття небезпечної програми-шпигуна набагато ширше. Такі застосунки, які ще отримали назву spyware, без дозволу власника пристрою збирають дані з нього та передають третій стороні.
У певному розумінні багато мобільних застосунків є шпигунами, адже вони передають назовні дані з пристроїв. Проте користувач контролює через систему дозволів, що саме може передаватися. Наприклад, застосунок Instagram може вказувати в дописах у цій соцмережі геолокацію або передавати відомості компанії Meta — власнику сервісу Instagram. А та буде використовувати ці відомості, наприклад, для показу реклами.
Натомість класичні spyware передають третім сторонам дані без відома власника пристрою. Просунуті шпигунські застосунки можуть час від часу вмикати камеру та мікрофон, записувати їхній вміст, робити екранні копії смартфона й передавати це все замовникам.
Приклади комерційних шпигунських spyware
Найвідомішим прикладом комерційної програми для стеження став Pegasus — розробка ізраїльської компанії NSO Group. Його створили для стеження за злочинцями й терористами, хоча, як показало розслідування, використовували для різних видів шпигунства. Близько 50 тис. пристроїв стали жертвами Pegasus. Серед них — журналісти CNN, Financial Times, Reuters, Associated Press, The Wall Street Journal, політики, керівники урядів ряду країн, правозахисники. Найвідомішою жертвою стеження за допомогою Pegasus став журналіст Джамаль Хашоґджі.
Для зараження пристроїв використовували різні тактики, серед яких: соціальна інженерія, вразливості нульового дня (ті, для яких ще не створені оновлення), експлойти без кліку, zero-click exploits (ті, які здатні заражати пристрої без будь-яких дій з боку користувача).
Читайте також: Вийти з бульбашки. Як у світі пропонують регулювати BigTech та алгоритми
Використання Pegasus обходилося замовникам в десятки тисяч доларів для аналізу одного пристрою, тож очевидно, що масовість такого інструменту неможлива. Водночас його досконалість як цифрового шпигуна, здатність обходити традиційні методи захисту та потужні можливості зробили цей застосунок одним із найпопулярніших інструментів комерційного стеження.
Проте не лише Pegasus використовували для комерційного стеження. Наприклад, відома історія про злам смартфона Джефа Безоса з боку наслідного принца Саудівської Аравії сплила на кілька років раніше викриття Pegasus. Фігуранти історії — члени королівської родини Саудівської Аравії — не виключають ситуації, що в обох випадках використовували різний вид spyware.
Зовсім нову історію про комерційне spyware виявила нещодавно ще одна ізраїльська компанія QuaDream, яка створює аналогічні Pegasus інструменти та продає їх не лише урядам та спецслужбам, як робила NSO Group, а всім охочим, тим самим перетворюючи комерційне шпигунство на банальну справу.
Наскільки поширені шпигунські інструменти
Фахівці британського Центру національної комп’ютерної безпеки (GCHQ) повідомили, що понад 80 країн світу за останні 10 років купували шпигунське програмне забезпечення. А популярність цих інструментів знижує бар’єр для входу в кіберпростір урядовим та недержавним кіберзлочинцям. Окремі країни купують хакерські інструменти для законних цілей правоохоронних органів, тоді як інші використовують їх «для переслідування журналістів, правозахисників, політичних дисидентів та противників режиму, а також іноземних урядовців».
Інші дані, зібрані Digital Commons Data, свідчать про понад 70 угод між комерційними розробниками шпигунського ПЗ та урядами різних країн світу.
Коментуючи заборону шпигунського spyware, у Білому домі заявили, що принаймні 50 федеральних службовців США в 10 країнах на різних континентах були жертвами шпигунських застосунків.
Читайте також: Телеграма з Луб’янки. Чому зв’язок Telegram з російською владою – не конспірологічний міф
Нещодавно ФБР повідомило про знешкодження шкідливого програмного забезпечення Snake, яке використовується Федеральною службою безпеки Росії. Достеменно невідомо, чи в цьому випадку йдеться про spyware, чи про інші небезпечні застосунки, проте сам факт знешкодження одного з найбільш небезпечних інструментів кібершпигунства, який діяв тривалі роки, — черговий доказ популярності цифрового спостереження та зламу.
Окрема проблема — те, що часто шпигунський софт маскується під звичайні застосунки та легальний бізнес. Іще одна історія масового шпигунства стосується також ізраїльської компанії Rayzone, яка тривалий час непомітно збирала рекламні дані зі смартфонів користувачів, купуючи їх у дата-брокерів, а потім допомагала урядам стежити за людьми через їхні смартфони.
Що забороняє указ Байдена про комерційне spyware
Указ Джо Байдена про заборону комерційного програмного забезпечення намагається придушити використання урядом будь-яких комерційних шпигунських програм, які також можуть використовувати інші країни для шкоди його інтересам. Згідно з указом, федеральні агентства не можуть використовувати шпигунське програмне забезпечення, яке «створює значні ризики контррозвідки чи безпеки для уряду Сполучених Штатів або значні ризики неналежного використання іноземним урядом чи іноземною особою».
Указом заборонено використовувати spyware, яке викрадає інформацію та дані з пристрою без відома користувача у випадках, якщо такий інструмент:
- використовувала іноземна особа чи уряд для націлювання на уряд США;
- продає організація, яка зацікавлена в публікації «непублічної інформації» про діяльність уряду США без його дозволу;
- перебуває «під прямим контролем іноземного уряду чи іноземної особи», яка намагається шпигувати за США;
- використовували для стеження за громадянами США або порушення прав людини шляхом шпигунства за активістами, науковцями, журналістами, дисидентами, політичними діячами або членами неурядових організацій;
- продають також країнам, які «здійснюють політичні репресії або інші грубі порушення прав людини».
І ЄС проти шпигунського spyware. Але є нюанс
Депутати Європарламенту також хочуть зробити жорсткішим регулювання випадків використання шпигунських програм у країнах ЄС. Окрім запровадження відповідних законів, у ЄС хочуть створити лабораторію EU Tech Lab, яка шукатиме випадки використання шпигунського spyware.
Ця лабораторія працюватиме принаймні у двох напрямах. Її фахівці шукатимуть небезпечне ПЗ на пристроях потенційних жертв (наприклад, дипломатів чи високопосадовців) й одночасно із цим — вразливості популярних у ЄС технічних інструментів: мобільних застосунків, онлайн-сервісів. Причому йтиметься про вразливості, які уряди недружніх країн зможуть використати у своїх цілях.
Читайте також: Глобальне технологічне протистояння. Китай та США сперечаються за контроль над інноваціями
Ініціатори ідеї хочуть створити загальнодоступний орган, у якому можна буде викривати вразливості та надавати рекомендації щодо їхнього усунення.
Цікаво, що ініціатива ЄС не передбачає повної заборони шпигунського ПЗ. Нові правила щодо регулювання таких інструментів передбачають дозвіл використовувати шпигунське програмне забезпечення лише в тих країнах ЄС, які довели, що розслідують випадки його використання. Окрім того, саме застосування шпигунського spyware повинно враховувати дотримання прав і свобод звичайних людей.
Чи реально відмовитися від шпигунського spyware
Спроба президента США змусити федеральні структури повністю відмовитися від шпигунського софту може провалитися. Причина полягає в занадто категоричному підході. До того ж попри указ Байдена про заборону комерційного шпигунського ПЗ стало відомо, що американський уряд підписав контракт про постачання шпигунських інструментів з ізраїльською NSO Group, розробником Pegasus, уже після підписання указу та накладених на цю компанію санкцій. Угоду уклали через посередницькі структури.
Згідно з попередніми домовленостями між NSO Group та урядом США, ця компанія взялася забезпечити федеральні структури ще одним шпигунським інструментом — Landmark. Цей застосунок уміє відстежувати точне місце розташування смартфона. Його активно використовували для стеження за тисячами телефонів із Мексики.
Читайте також: Навіщо Байден кидає виклик BigTech
Тож існує два підходи до використання шпигунського spyware. Перший — більш виважений — продемонстрував Євросоюз. Розуміючи неможливість відмовитися від сучасних інструментів роботи спецслужб, поліції та силових структур, у ЄС вирішили хоча б забезпечити коректність використання цих інструментів та захистити пересічних людей від перетворення їх на жертв масового невиправданого стеження. Натомість американський занадто строгий підхід уже себе не виправдав, враховуючи виявлені випадки купівлі шпигунських інструментів після заборони.
Зазвичай Європа більш просунута в обмеженнях цифрових технологій та інструментів. Про це свідчить існування в ЄС Загального регламенту про захист даних (GDPR) — переліку законів, які захищають персональні дані користувачів. Натомість у США немає федеральних законів, які б регулювали роботу з даними. Нещодавно ухвалені в ЄС закони про цифрові послуги (Digital Services Act, DSA) та про цифрові ринки (Digital Markets Act, DMA) вводять жорсткі правила щодо роботи техногігантів, натомість у США Байден лише каже про необхідність приборкати діяльність техногігантів.
Найімовірніше, із часом США доведеться пом’якшити свою різку позицію стосовно шпигунського spyware та скористатися європейськими практиками. Бо нині ініціатива президента видається красивою, але навряд здійсненною в реальному житті.