Марисса Майер подверглась критике за неспособность обеспечить меры безопасности в условиях давления со стороны правительственных разведслужб. Фото: AP Photo/Michel Euler
Для отдела безопасности Yahoo нынешняя ситуация выглядит так, словно компанию взломали. Некий злоумышленник в середине 2015 года установил бэкдор, который сканировал почтовый трафик (в отчёте сказано о поиске конкретной "signature", что бы это не значило). Так могла поступать иностранная разведка, которая хочет найти конкретную информацию. Но в данном случае иностранная разведка оказалась ни при чём. Как стало известно агентству Reuters, высшее руководство корпорации Yahoo помогло агентам правительственных служб США установить специальный бэкдор для сканирования почтового трафика Yahoo Mail.
Как выяснилось, это было сделано втайне от персонала и отдела безопасности Yahoo. Об операции знали только несколько её участников. Говорят, когда начальник отдела безопасности, известный специалист Алекс Стамос узнал об этом в июне 2015 года, он сразу подал заявление об увольнении. Искать новую работу Алексу пришлось недолго.
Yahoo получила судебное предписание предоставить доступ к своей почтовой системе из секретного Суда по негласному наблюдению в целях внешней разведки (FISC). По закону FISA (Акт о негласном наблюдении в целях внешней разведки), получатель такого судебного предписания не имеет права разглашать информацию о получении ордера. В случае оспаривания решения оно рассматривается снова в секретном суде, и компания опять же не имеет права разглашать информацию о рассмотрении такого дела. В конце концов, никто из пользователей не должен получить прямого уведомления о том, что над его аккаунтом установлена слежка.
Некоторые компании, опасаясь получения секретных предписаний FISC, используют трюк, известный как «свидетельство канарейки» — они заранее размещают на сайте заявление о том, что до сих пор не получали судебных предписаний FISC. В случае получения такого ордера они просто убирают с сайта ставшее ложным заявление, не нарушая формально требование о неразглашении информации. Фонд электронных рубежей специально отслеживает свидетельства канарейки на разных сайтах, чтобы пользователи могли делать выводы о тайных действиях правительства США.
Сразу после появления сообщения о доступе правительственных спецслужб к почтовому трафику Yahoo практически все крупные компании выступили с официальными заявлениями о том, что у них не действует подобная система сканирования конфиденциальных сообщений пользователей. С такими заявлениями выступили Apple, Google, Twitter и Microsoft.
Компания Yahoo выпустила типичное «опровержение без отрицания». Алекс Стамос отказался комментировать ситуацию.
Таким образом, Yahoo осталась в одиночестве. Марисса Майер подверглась критике коллег за то, что не сумела обеспечить меры безопасности и защитить пользователей.
Yahoo пытается оправдаться: «Статья в [Reuters] вводит в заблуждение. Мы узко интерпретировали каждый государственный запрос, чтобы минимизировать утечку данных, — заявила компания. — Сканирование писем, описанное в статье, не существует в нашей компании».
Что же происходило на самом деле?
За прошедшее время появилась новая информация о том, как могла быть организована система сканирования трафика на серверах Yahoo Mail. Естественно, компании Yahoo запрещено разглашать эти сведения, но в интервью NY Times двое государственных служащих и ещё одно лицо поделились информацией на условиях анонимности. Они подтвердили, что Министерство юстиции США в прошлом году получило ордер от судьи FISC на получение разведданных в отношении иностранной террористической организации. Чтобы выполнить судебное требование, компания Yahoo модицифировала существующую систему сканирования входящего трафика, которая в штатной ситуации используется для фильтрации вредоносного программного обеспечения и спама.
После такой модификации система находила и сохраняла для ФБР копии всех сообщений, которые содержали указанную «цифровую подпись» ("digital signature"). В данный момент система уже не работает.
Адвокат EFF Эндрю Крокер (Andrew Crocker) говорит, что власти скорее всего использовали параграф 702 Акта о негласном наблюдении в целях внешней разведки, который позволяет «массовый сбор информации с каналов связи для сбора данных об иностранном физическом лице».
Такой запрос не совсем обычен, потому что принуждает компанию систематически сканировать весь трафик, а не содержимое конкретных почтовых ящиков. Как говорилось выше, несколько крупных ИТ-компаний однозначно заявили, что не сталкивались с такими запросами FISC.
Сканировать трафик 500 миллионов пользователей частной компании, чтобы найти следы одного преступника — довольно необычная операция спецслужб. Но она проведена легально, судя по всему.
Эта история стала поводом для очередной дискуссии о балансе между национальной безопасностью, секретностью и защитой частной переписки пользователей. Нет, ФБР не читало чужие письма. Но оно внедрилось в систему и рылось в вашем почтовом ящике, в поисках нужной информации. Пусть это происходило автоматически. Пусть спам-фильтры и системы подбора контекстной рекламы по анализу содержания почтовых писем Google делают то же самое. Но всё равно неприятно.
Некоторые эксперты считают, что момент для скандала, который порочит репутацию Yahoo и Мариссы Майер, выбран очень удачно. «Я не могу отделаться от ощущения, что возможная покупка активов Yahoo и потенциальное вознаграждение для Мариссы Майер от этой сделки могли подтолкнуть некие плохо информированные спекуляции о том, что они делали с почтой пользователей, — говорит профессор Алан Вудворд (Alan Woodward), специалист по безопасности из Университета Суррея (Великобритания). — Я подозреваю, что действия Yahoo не сильно отличаются от того, что делают другие американские сервис-провайдеры».
В то же время дьявол скрывается в деталях. Если ФБР имело доступ к системе сканирования почтового трафика по произвольным ключевым словам, то это действительно проблема. Законность такой системы сомнительна, эту тему нужно серьёзно обсуждать.
Сообщение Reuters о тесном сотрудничестве Yahoo с ФБР появилось через две недели после новости об утечке учётных данных 500 млн пользователей Yahoo.
Похоже, Мариссе Майер будет трудно заключить выгодную сделку по продаже активов Yahoo и получить достойный гонорар.
P.S. Срок действия параграфа 702 Акта о негласном наблюдении в целях внешней разведки истекает в конце 2017 года. Фонд свободных рубежей организовал общественную кампанию End 702, призывая Конгресс США не продлевать срок действия этого параграфа, потому что она сильно упрощает массовую прослушку электронных коммуникаций государственными службами и нарушает права граждан США.
Комментарии (36)
Arxitektor
06.10.2016 22:42Как будто всякие преступные организации используют почтовые серверы крупных компаний.
Я не сомневаюсь что в даркнете есть и дарк маил ))
Или обмен через спец проги например модифицированные вибер или прочее.
А палиться и писать через ящик Yahoo. и подобные…
я сомневаюсь что те кому есть что скрывать будут так делать
Fagot63
06.10.2016 23:34Вы не поняли. Это программа повышения квалификации среди преступных организаций. А совсем не успевающих за развитием, отсеят(дадут бесплатное койко-место с трех разовым питанием). Сарказм -off.
KOLANICH
07.10.2016 00:58Если фиса может предписать компании спроектировать и внедрить систему слежки, то можно ли полагать, что фиса может предписать компаниям сделать заявление «мы не следим» и не убирать свидетельство канарейки? В любом случае, даже если фиса и выдал предписание следить, в интересах компаний отрицать слежку, иначе они потеряют пользователей рано, а не когда всплывёт, если вообще всплывёт.
heathen
07.10.2016 07:21+2Всё тайное рано или поздно становится явным. И лучше признаться самому (по возможности, если это законно или если будет найден законный способ это сделать — то самое свидетельство канарейки) — ущерб репутации будет существенно меньше. А предписание целенаправленно солгать в законодательном акте я с трудом себе представляю даже в нашей стране.
Calvrack
07.10.2016 09:56+4Трюк свидетельства канарейки в том что это как бы выписка из открытого финансового отчета — «затраты на сотрудничество с ФБР — $0» он потом заменяется на «закрытые статьи — $100500». Таким образом содается вилка — когда чтобы соблюсти требования ФИСА приходится нарушить финансовое законодательство и у юристов появляется большое поле для маневра.
Deosis
07.10.2016 10:39Выдавать ложные данные в официальных документов — преступление. Сомневаюсь, что фиса может заставить совершить преступление, иначе любой обвиняемый сможет заявить, что выполнял их секретное предписание, и не может обвиняться по текущему делу.
fpir
07.10.2016 13:38Слежка не будет длится вечно, когда она закончится появится новое «свидетельство канарейки». И тот, кому это важно, скажет примерно следующее: «вот-же молодцы, предупреждают когда за нами следят, заведу-ка я себе почту на %mailname%, сейчас за ними не следят, а когда начнут, я узнаю». В противном случае, те кому это и не важно особо, подумают, что " вот, они для ФБР шпионили, а нам и не сообщили, х.з., что они ещё там скрывают".
И восстановить репутацию во втором случае будет крайне сложно.
geekmetwice
07.10.2016 10:38Не надо истерик и калозакидывания! Просто знайте, что вас давно и спокойно мониторят. Хотите приватности — шифруйте письма какой-нибудь кастомной прогой, причём её код может лежать открыто. Ваша задача — придумать для неё такой пароль, от которого у ФБР яйца вспотеют вычислявши.
OnelaW
07.10.2016 14:13Эмм, я может что-то упустил, но яху вроде была инвестором одного чудного стартапа, который проектировал почтовый шлюз с одной чудной мулечкой. Было это в году 2005что ли или чуть позднее не помню. За такой долгий срок допилили?
prioron
07.10.2016 15:16-1Терористы пользуються Yahoo… не смешите меня, это же каким глупым нужно быть, что по незащищенному почтовому ящику детали операций отправлять… явный бред. Без понятия что там искало ФБР, но это точно не следы терористов.
zahmTOD
09.10.2016 12:28Вы думаете что среднестатистический террорист умнее среднестатистического юзера? )
edd_k
07.10.2016 16:48>> Нет, ФБР не читало чужие письма. Но всё равно неприятно.
А не наоборот? Разве не «Хорошо, что все не так, как мы нафантазировали вчера!»?
Обвинили тётку во всех грехах, а теперь еще пытаемся эти обвинения удержать вопреки всему.
msatersam11
07.10.2016 18:02+1Хм, странно, слежка вроде бы была… Вроде бы достаточно масштабной( немного-нимало, все письма яху обшаривались на наличие каких-то фраз итд и тайком сливались «кому надо» ), но никакого воя и нытья о преступном_и_бессовестном_режиме, как и призывов валить( на сей раз из штатов)
Казалось бы, куды все хомячки подевались… Или они так только на происходящее в РФ реагируют, а если происходит в, скажем, США — то всё законно и справедливо и вообще, суперVodochnik
07.10.2016 19:26Всё очень просто и банально: там лучше кормят.
Я имею в виду сытнее (понятие «лучше» наверное плохо совместимо с ГМО и прочими прелестями).
Ну и западные министерства правды работают получше. Я имею возможность сравнить.
betrachtung
07.10.2016 22:23+1(понятие «лучше» наверное плохо совместимо с ГМО и прочими прелестями).
Скажите, вы ведь ничего не знаете о том, что такое ГМО?Vodochnik
11.10.2016 19:05Не так давно мне этот вопрос задал один хороший друг.
И сообщил мне, что модифицированный крахмал в Fruchte Traum — это ГМО, а я не шарю.
Я да, мало знаю о ГМО, я не биохимик и не генный инженер. Но прочитать в вики про этот самый крахмал осилил ;) «Знаток» ошибся.
ЗЫ. А к чему вопрос-то был? Если вы хотели развести спор о безобидности гмо, то я о религии не спорю, сорри)
betrachtung
07.10.2016 22:39Всё просто объясняется. США — они далеко. И происходящее там обычно нас не касается. Меня вот коснулось, я очень недоволен. Но в основном от такой подлости со стороны Yahoo пострадали граждане США, так что не ждите шквала негодования на русскоязычных сайтах.
Ну и плюс не та у нас ситуация, чтобы обращать внимание на проблемы индейцев. Со своими бы разобраться. Думаю, где-нибудь в Нигерии тоже мало кого беспокоит, что у нас в шаверме кошки попадаются.
beavis88
Старушка с возрастом превращается с клинтоншу, становится злее.
ximaera
Во-первых, это в 41-то старушка?
Во-вторых, Марисса, при всех своих особенностях, никого ещё не пыталась убить без суда, так что до Клинтон ей далеко.
NLO
НЛО прилетело и опубликовало эту надпись здесь
ximaera
Ну так я привёл ссылку на источник — WikiLeaks. Если вы считаете, что там написана клевета, вы можете подать в суд на них, и тогда основателя WikiLeaks, Джулиана Ассанжа, будут судить, и он окажется в заточе
WAIT
OH SHI~
NLO
НЛО прилетело и опубликовало эту надпись здесь
ximaera
Что-то я не помню, чтобы у нас с вами была возможность выпить на брудершафт. И не уверен, если честно, что я воспользовался бы этой возможностью, если бы даже она мне представилась.
Видите ли, я вам ответил, а вы на это пишете мне, что я молчу. Мне кажется, подобные несуразности свидетельствуют о серьёзных нарушениях, делающих невозможным конструктивный диалог; а в продолжении неконструктивного срача я не заинтересован.
beavis88
> это в 41-то старушка?
Увы, но женщины быстро портятся.
vaslobas
Как изюм?
ximaera
Вы не забыли, что мы про людей говорим, а не про сыр и ветчину? Не надо хамить, пожалуйста.
beavis88
Это не хамство, а медицинский факт.
hmmvot
Это не медицинский факт, а сексизм.
vics001
Думаю это agism или старикаризм, дискриминация по возрасту.