Fox News Flash top headlines are here. Check out what's clicking on FoxNews.com.
Годами нам говорили, что шифрование — это золотой стандарт цифровой конфиденциальности. Если данные зашифрованы, они должны быть заблокированы от хакеров, компаний и правительств. Это представление только что пошатнулось.
В рамках федерального расследования, связанного с предполагаемым мошенничеством с пособиями по безработице из-за COVID-19 на Гуаме (территории США, где действует федеральное право), Microsoft подтвердила, что предоставила правоохранительным органам ключи восстановления BitLocker. Эти ключи позволили следователям разблокировать зашифрованные данные на нескольких ноутбуках.
Это один из самых наглядных публичных примеров на сегодняшний день, когда Microsoft предоставляет властям ключи восстановления BitLocker в рамках уголовного расследования. Хотя сам ордер мог быть законным, последствия выходят далеко за рамки одного расследования. Для обычных американцев это четкий сигнал, что «зашифровано» не всегда означает «недоступно».
Sign up for my FREE CyberGuy ReportGet my best tech tips, urgent security alerts and exclusive deals delivered straight to your inbox. Plus, youâll get instant access to my Ultimate Scam Survival Guide â free when you join my CYBERGUY.COM newsletter.
HACKERS ABUSE GOOGLE CLOUD TO SEND TRUSTED PHISHING EMAILS
В ходе расследования на Гуаме Microsoft предоставила ключи восстановления BitLocker, которые позволили правоохранительным органам разблокировать зашифрованные ноутбуки. (David Paul Morris/Bloomberg via Getty Images)
Что произошло в деле BitLocker на Гуаме?
Федеральные следователи полагали, что три ноутбука с Windows содержат доказательства, связанные с предполагаемой схемой с фондами пособий по безработице во время пандемии. Устройства были защищены с помощью BitLocker, встроенного в Microsoft инструмента шифрования дисков, включенного по умолчанию на многих современных ПК с Windows. BitLocker работает, шифруя все данные на жестком диске, так что их нельзя прочитать без ключа восстановления.
Пользователи могут хранить этот ключ самостоятельно, но Microsoft также рекомендует для удобства создавать его резервную копию в учетной записи Microsoft. В данном случае это удобство сыграло роль. Получив действительный ордер на обыск, Microsoft предоставила ключи восстановления следователям. Это позволило получить полный доступ к данным, хранящимся на устройствах. В Microsoft заявляют, что получают примерно 20 таких запросов в год и могут выполнить их только тогда, когда пользователи выбрали хранение своих ключей в облаке.
Мы обратились в Microsoft за комментарием, но не получили ответа до нашего дедлайна.
Как Microsoft удалось разблокировать зашифрованные данные
По словам Джона Акерли, генерального директора и соучредителя Virtru, бывшего технологического советника Белого дома, проблема не в самом шифровании. Реальная проблема — в том, кто контролирует ключи. Он начинает с объяснения того, как удобство может незаметно сместить контроль. «Microsoft обычно рекомендует пользователям для удобства создавать резервные копии ключей восстановления BitLocker в учетной записи Microsoft. Этот выбор означает, что Microsoft может сохранять техническую возможность разблокировать устройство клиента. Когда третья сторона хранит и зашифрованные данные, и ключи, необходимые для их расшифровки, контроль перестает быть исключительным».
Как только у провайдера появляется возможность разблокировать данные, эта сила редко остается теоретической. «Когда системы построены так, что провайдеров можно заставить разблокировать данные клиентов, законный доступ становится постоянной функцией. Важно помнить, что шифрование не различает авторизованный и неавторизованный доступ. Любая система, разработанная для разблокировки по запросу, в конечном итоге будет разблокирована непреднамеренными сторонами».
Затем Акерли указывает, что такой исход не является неизбежным. Другие компании сделали иной архитектурный выбор. «Другие крупные технологические компании продемонстрировали, что возможен иной подход. Apple разработала системы, которые ограничивают ее собственную возможность доступа к данным клиентов, даже когда это облегчило бы выполнение государственных требований. Google предлагает модели сквозного шифрования, которые позволяют пользователям сохранять исключительный контроль над ключами шифрования. Эти компании по-прежнему соблюдают закон, но когда у них нет ключей, они не могут разблокировать данные. Это не препятствование. Это выбор дизайна».
Наконец, он утверждает, что у Microsoft еще есть возможность изменить курс. «У Microsoft есть возможность решить эту проблему, сделав ключи, контролируемые клиентом, настройкой по умолчанию, и разработав механизмы восстановления, которые не передают право на расшифровку в руки Microsoft. Истинный суверенитет над личными данными требует систем, которые делают принудительный доступ технически невозможным, а не просто юридически нежелательным».
Короче говоря, Microsoft смогла выполнить требование, потому что у нее была техническая возможность это сделать. Именно это одно дизайнерское решение превратило зашифрованные данные в доступные.
«С BitLocker клиенты могут выбрать хранение своих ключей шифрования локально, в месте, недоступном для Microsoft, или в потребительских облачных сервисах Microsoft», — заявил представитель Microsoft CyberGuy. «Мы понимаем, что некоторые клиенты предпочитают облачное хранилище Microsoft, поэтому мы можем помочь восстановить их ключ шифрования при необходимости. Хотя восстановление ключа предлагает удобство, оно также несет риск нежелательного доступа, поэтому Microsoft считает, что клиенты находятся в лучшем положении, чтобы решить, использовать ли депонирование ключей и как управлять своими ключами».
WHY CLICKING THE WRONG COPILOT LINK COULD PUT YOUR DATA AT RISK
Когда компании хранят ключи шифрования, законные запросы могут разблокировать гораздо больше данных, чем ожидает большинство людей. (Kurt "CyberGuy" Knutsson)
Почему это важно для конфиденциальности данных
Это дело вновь разожгло давние дебаты о законном доступе и системном риске. Акерли предупреждает, что централизованный контроль имеет долгую и тревожную историю. «Мы наблюдаем последствия этой модели проектирования более двух десятилетий. От утечки данных Equifax, которая раскрыла финансовые данные почти половины населения США, до повторяющихся утечек конфиденциальных коммуникаций и медицинских данных в эпоху COVID — модель последовательна: централизованные системы, которые сохраняют контроль над данными клиентов, становятся системными точками отказа. Эти инциденты не являются аномалиями. Они отражают устойчивый архитектурный изъян».
Когда компании хранят ключи, они становятся мишенями. Это касается хакеров, иностранных правительств и законных требований от таких агентств, как ФБР. Как только возможность появляется, она редко остается неиспользованной.
Как другие технологические гиганты обращаются с шифрованием иначе
Apple разработала системы, такие как Advanced Data Protection, где она не может получить доступ к определенным зашифрованным пользовательским данным даже при получении государственных запросов. Google предлагает сквозное шифрование для некоторых сервисов, в основном в корпоративной среде, где ключи шифрования остаются под контролем клиента. Эти компании по-прежнему соблюдают закон, но в таких случаях у них нет технических средств для разблокировки данных. Это различие важно. Как часто отмечают эксперты по шифрованию, нельзя передать то, чего у тебя нет.
Что мы можем сделать для защиты нашей конфиденциальности
Хорошая новость в том, что личная конфиденциальность не исчезла. Плохая новость — теперь она требует осознанности. Небольшой выбор имеет большее значение, чем думает большинство людей. Акерли говорит, что отправная точка — понимание контроля. «Главный вывод для обычных пользователей прост: если вы не контролируете свои ключи шифрования, вы не полностью контролируете свои данные».
Этот контроль начинается с понимания того, где хранятся ваши ключи. «Первый шаг — понять, где находятся ваши ключи шифрования. Если они хранятся в облаке у вашего провайдера, ваши данные могут быть доступны без вашего ведома».
Как только ключи оказываются вне вашего контроля, доступ становится возможным без вашего согласия. Вот почему способ шифрования данных так же важен, как и сам факт шифрования. «Потребителям следует искать инструменты и сервисы, которые шифруют данные до того, как они попадут в облако — таким образом, вашему провайдеру невозможно передать ваши данные. У него просто нет ключей». Настройки по умолчанию — еще один скрытый риск. Многие люди никогда их не меняют. «Пользователям также следует избегать настроек по умолчанию, разработанных для удобства. Настройки по умолчанию имеют значение, и когда удобство является настройкой по умолчанию, большинство людей неосознанно обменяют контроль на простоту использования».
Когда шифрование разработано так, что даже провайдер не может получить доступ к данным, баланс смещается обратно к человеку. «Когда данные зашифрованы так, что даже провайдер не может получить к ним доступ, они остаются приватными — даже если третья сторона придет с запросом. Удерживая свои собственные ключи шифрования, вы устраняете возможность того, что провайдер поделится вашими данными». Акерли говорит, что урок прост, но часто игнорируется. «Урок прост: вы не можете переложить ответственность за свои конфиденциальные данные на третьих лиц и предполагать, что они всегда будут действовать в ваших интересах. Шифрование выполняет свою цель только тогда, когда владелец данных является единственной стороной, способной его разблокировать». Конфиденциальность все еще существует. Просто она больше не приходит по умолчанию.
700CREDIT DATA BREACH EXPOSES SSNS OF 5.8M CONSUMERS
Проверка настроек безопасности и резервного копирования по умолчанию может помочь вам сохранить контроль над своими личными данными. (Kurt "CyberGuy" Knutsson)
Практические шаги, которые вы можете предпринять сегодня
Вам не нужно быть экспертом по безопасности, чтобы защитить свои данные. Несколько практических проверок могут значительно помочь.
1) Начните с проверки того, где хранятся ваши ключи шифрования
Многие люди не осознают, что их устройства незаметно создают резервные копии ключей восстановления в облаке. На ПК с Windows войдите в свою учетную запись Microsoft и найдите раздел безопасности устройств или настроек ключа восстановления. Если вы видите ключ восстановления BitLocker в списке онлайн, значит, он хранится в Microsoft.
Для других зашифрованных сервисов, таких как резервные копии iCloud от Apple или Google Диск, откройте панель управления безопасностью учетной записи и проверьте параметры шифрования или восстановления. Обратите внимание на настройки, связанные с ключами восстановления, шифрованием резервных копий или доступом на основе учетной записи. Когда эти ключи привязаны к онлайн-аккаунту, ваш провайдер может получить к ним доступ. Цель проста. Знайте, находятся ли ваши ключи у вас или у компании.
2) Избегайте облачных резервных копий ключей, если они вам действительно не нужны
Облачные резервные копии созданы для удобства, а не для конфиденциальности. По возможности храните ключи восстановления в автономном режиме. Это может означать сохранение их на USB-накопитель, распечатку и хранение в безопасном месте или использование зашифрованного оборудования, которое вы контролируете. Конкретный метод менее важен, чем то, у кого есть доступ. Если у компании нет ваших ключей, ее нельзя заставить их выдать.
3) Выбирайте сервисы, которые шифруют данные до их попадания в облако
Не все шифрование работает одинаково, даже если компании используют похожие формулировки. Ищите сервисы, которые рекламируют сквозное или клиентское шифрование, такие как Signal для сообщений или опция Advanced Data Protection от Apple для резервных копий iCloud. Эти сервисы шифруют ваши данные на вашем устройстве перед загрузкой, что означает, что провайдер не может прочитать или разблокировать их позже. Вот простое правило: если сервис может сбросить ваш пароль и восстановить все ваши данные без вашего участия, скорее всего, он хранит ключи шифрования. Это также означает, что его могут заставить предоставить доступ. Когда шифрование сначала происходит на вашем устройстве, провайдеры не могут разблокировать ваши данные, потому что у них изначально никогда не было ключей. Такой дизайн по умолчанию блокирует доступ третьих сторон.
4) Проверяйте настройки безопасности по умолчанию на каждом новом устройстве
Настройки по умолчанию обычно благоприятствуют удобству. Это может означать более простое восстановление, быструю синхронизацию и более слабую конфиденциальность. Уделите пять минут после настройки и закройте основы.
iPhone: усильте защиту iCloud и восстановления аккаунта
Включите Advanced Data Protection для iCloud (самая сильная защита iCloud)
Проверьте резервную копию iCloud
Усильте безопасность вашего Apple ID
Android: заблокируйте свою учетную запись Google и резервные копии
Проверьте и настройте резервное копирование устройства
Настройки могут различаться в зависимости
