Apple vs FBI, ciąg dalszy. To jeszcze nie koniec groźnego precedensu w sprawie bezpieczeństwa danych

To groźny precedens, sprzeczny z oficjalną polityką dotyczącą bezpieczeństwa oprogramowania - tak eksperci oceniają fakt, że FBI nie chce podzielić się z firmą Apple wiedzą na temat luki w zabezpieczeniach, którą wykorzystano do włamania się do jednego z iPhone’ów.

Na początku lutego władze stanu Kalifornia nakazały Apple, by firma udostępniła (lub stworzyła) FBI narzędzia, które mogłyby pomóc w odblokowaniu iPhone’a, należącego do jednego ze sprawców ataku terrorystycznego w San Bernardino. Apple negatywnie ustosunkowało się do żądania służb. W sprawę zaangażowały się także inne firmy branży technologicznej, które w przeważającej mierze poparły stanowisko Apple'a, deklarując, że ochrona danych i prywatności użytkowników jest ich priorytetem. Spór wywołał ogólnonarodową dyskusję na temat praw do prywatności oraz bezpieczeństwa narodowego.

Nakaz egzekucji zdecydowano się wycofać - prokuratura kalifornijska poinformowała w oświadczeniu, że rządowi USA jednak udało się uzyskać dostęp do danych przechowywanych w iPhonie 5C jednego z zamachowców. Co więcej, FBI nie ma zamiaru udzielić informacji producentowi, w jaki sposób złamało zabezpieczenia. A to może oznaczać spore zagrożenie dla wszystkich użytkowników tego sprzętu. Jeśli producent nie ma pojęcia o tym, co mu "umknęło", nie ma także pojęcia o tym, co musi naprawić.

Komentatorzy już w ubiegłym miesiącu wskazywali, że niezwłoczne spełnienie przez Apple żądania FBI, a więc przyznanie się firmy do zapewnienia agencjom rządowym tzw. _ tylnych drzwi do oprogramowania _ (ang. backdoor), byłoby groźnym precedensem.

- Federalne Biuro Śledcze nie oczekuje wcale, że Apple włamie się do iPhone'a 5. terrorysty, ale wciąż chce, by firma stworzyła i udostępniła służbom wersję systemu iOS, która ułatwi agentom włamanie się do niego. Niezależnie od różnic pomiędzy jednym a drugim podejściem, jeśli do tego dojdzie, to stworzy to groźny precedens, dzięki któremu władze będą mogły wysuwać podobne żądania w przyszłości - wyjaśniał Wojciech Pietrusiewicz, redaktor iMagazine.

Szef Apple'a, Tim Cook, podkreślał w ostatnich tygodniach, iż wszelkie ustępstwa wobec żądań władz oznaczałyby dla wszystkich użytkowników osłabienie szyfrowania danych, stwarzając ryzyko dla bezpieczeństwa i prywatności. Cook postrzega szyfrowanie danych jako zabezpieczenie przed cyberprzestępczością szanujących prawo użytkowników, których jest większość.

Barack Obama wskazywał z kolei, że fetyszyzowanie silnego szyfrowania oraz prawo do prywatności danych znajdujących się w urządzeniach, nie może przesłaniać innych wartości. Teraz główny problem polega na tym, że FBI nie chce zdradzić, jakiej dokładnie metody użyli - nie wiemy, czy np. opierała się na resecie zegara systemowego i tzw. "middle man attack", z podszyciem się pod aktualizację systemową, czy na czymś innym.

Jak ocenia prof. Dariusz Jemielniak z Akademii Leona Koźmińskiego w Warszawie, zatajenie lokalizacji takiej dziury jest FBI na rękę (zna "słaby punkt" systemu, który może w razie czego wykorzystać - przyp. red.), ale jednocześnie naraża posiadaczy iPhone'ów na niebezpieczeństwo. Profesor uważa, że to skrajnie nieodpowiedzialne, aby uniemożliwić producentowi szybkie jej załatanie.

Informacje z anonimowych źródeł, cytowanych przez izraelską prasę, a następnie m.in. przez "Washington Post" i Bloomberga wskazują, że FBI miało uzyskać pomoc od prywatnej firmy Cellebrite, zajmującej się odzyskiwaniem danych z urządzeń mobilnych.

Warto zauważyć, że oficjalna doktryna USA jest taka, że dziury należy łatać i pomagać w ich unikaniu - tymczasem FBI używa kruczków prawnych i obstrukcji, z niewielkimi korzyściami dla siebie, a dużymi stratami zarówno dla obywateli, jak i w ogóle dla bezpieczeństwa narodowego USA. Dziury w systemach bezpieczeństwa są i będą, kluczowe jest ich regularne łatanie i upublicznianie.

Zapewne nigdy nie dowiemy się, czy FBI znalazło wśród tych danych jakieś informacje przydatne w całej sprawie. Nie dowiemy się również, jaką konkretną metodą uzyskano dostęp do iPhone'a. Może to stanowić pewne utrudnienie dla samego Apple'a, by naprawić wykorzystaną lukę bezpieczeństwa. Co prawda mówimy o precedensie, mającym miejsce jedynie w USA, ale pamiętajmy, że sprawa dotyczy także obywateli innych państw, w tym także oczywiście Polski. Mieszkańcy znad Wisły to również osoby, korzystające z urządzeń Apple'a. Czy powinniśmy w tej chwili obawiać się o naszą prywatność jeszcze bardziej?

FBI zasłania się "wyższym dobrem". To tak, jakby ktoś uważał, że może złamać zasady bezpieczeństwa i nie uszanować prawa do prywatności, bo wydaje nam się, że na tym smartfonie są dane, które nas doprowadzą do organizacji terrorystycznej, co mogłoby zostać zaakceptowane przez część społeczeństwa. Problem w tym, że FBI jest w posiadaniu cennej wiedzy o luce w zabezpieczeniu sprzętu, które może być wykorzystane przez cyberprzestępców. Ci, mając świadomość, że "jest czego szukać", mogliby ją także znaleźć i wykorzystać do własnych celów. Nieustępliwość FBI w tej sprawie raczej nie jest uzasadniona.

Uzasadnionym może jednak być sam fakt złamania zabezpieczeń telefonu zamachowcy, co mogłoby posunąć - mniej lub bardziej - sprawę ataku terrorystycznego w San Bernardino o kilka kroków naprzód. W tym momencie możemy już jedynie spekulować, czy odszyfrowany przez FBI iPhone 5. dostarczył jakichś cennych informacji służbom. Oczywiście, może się okazać, że dzięki temu FBI będzie bliżej dotarcia do komórki przestępczej, dane przechowywane na telefonie traktują np. o planowanych atakach lub zawierają personalia innych działaczy przestępczych, ale nie możemy wykluczać także tego, że w smartfonie nie będzie niczego, co pomoże służbom.

Czy wobec tego FBI miało prawo włamać się do zabezpieczonego telefonu? Konflikt, o podłożu czysto ideologicznym, w tym przypadku nie jest taki prosty do rozwiązania. Jedna strona uważa, że to bezprawne pogwałcenie podstawowych praw człowieka do bezpieczeństwa i prywatności - i będzie miała rację. Druga strona podnosi, że w takich przypadkach, jak ataki terrorystyczne, śmierć niewinnych ludzi i walka z terroryzmem to przesłanki, które wręcz nakładają na służby bezpieczeństwa obowiązek na pozyskanie informacji dotyczących sprawców każdym możliwym kanałem. Także ci będą, rzecz jasna, mieli rację.

O ile sporna kwestia zasadności złamania przez FBI zabezpieczeń jest sprawą światopoglądową, tak eksperci jednoznacznie uważają, że niepoinformowanie producenta o istniejących brakach w zabezpieczeniach nie jest już elementem dyskusyjnym. Bardzo upraszczając, to jakbyśmy zauważyli, że sąsiad po wyjściu nie zamknął mieszkania, ale zatrzymali tę informację dla siebie.

Prawda jest taka, że w tej chwili nie mamy zielonego pojęcia, kto, kiedy, jak i po co może skorzystać z podobnych rozwiązań. Skoro wiadomo, że tak poważne luki w zabezpieczeniach istnieją, a producent nie jest tego świadom, mamy prawo czuć się niespokojnie.

Oczywiście sprawa rozeszłaby się po kościach, gdyby Tim Cook milczał w tej sprawie. Naszej uwadze nie może umknąć fakt, że to właśnie prezes Apple'a poinformował świat o żądaniach, jakie stawia mu FBI. Gdyby rozmowy rozpoczęły i zakończyły się w czterech ścianach, w tej chwili nie trwałaby globalna debata na temat ochrony danych. Sprawa jednak wyszła poza USA i na dobrą sprawę nie wiadomo co z nią zrobić.

Jak już wspominały media, jest jedno szczęście w tym nieszczęściu. FBI samo znalazło sposób na to, aby dobrać się do iPhone'a terrorysty, więc Apple (połowicznie) jest wygranym - nie doszło do momentu, kiedy producent musiałby albo miałby się ugiąć i pokazać swoją słabość czy nielojalność wobec konsumentów. Brawa dla Tima Cooka. Ale także i te brawa powinny być połowiczne. Na głośny aplauz zasłuży wtedy, kiedy jego firma domknie zabezpieczenia tak, żebyśmy nigdy więcej nie musieli wracać do tego tematu.

Sebastian Kupski / PAP