Majkrosoft dao FBI-ju ključeve za šifrovane podatke, razotkrivajući veliki propust u privatnosti
Tehnološki gigant Majkrosoft (Microsoft) saopštio je da godišnje primi oko 20 zahtjeva za BitLoker (BitLocker) ključeve, kao i da ih, na osnovu sudskih naloga, dostavlja vladama.
Međutim, kompanije poput Epla (Apple) i Mete dizajnirale su svoje sisteme tako da ovakvo narušavanje privatnosti uopšte nije moguće.
Početkom prošle godine, FBI je Majkrosoftu uručio sudski nalog kojim je zahtijevao da dostavi ključeve za oporavak kako bi se otključali šifrovani podaci sačuvani na tri laptopa.
Savezni istražitelji na Guamu vjerovali su da se na tim uređajima nalaze dokazi koji bi pomogli da se utvrdi da su osobe uključene u upravljanje ostrvskim programom pomoći za nezaposlene tokom pandemije kovida (covid) bile dio zavjere za pronevjeru sredstava.
Podaci su bili zaštićeni BitLokerom – softverom koji je automatski uključen na mnogim savremenim Windows računarima kako bi se zaštitili podaci na hard-disku.
Šta Majkrosoft preporučuje
BitLoker šifruje podatke i mogu ih dešifrovati samo oni koji posjeduju odgovarajući ključ.
Korisnici mogu da čuvaju te ključeve na sopstvenom uređaju. Majkrosoft, međutim, preporučuje i da se BitLoker ključevi čuvaju na njegovim serverima, radi praktičnosti.
To omogućava korisnicima da pristupe svojim podacima ako zaborave lozinku, kao i u slučajevima kada se uređaj zaključa nakon više neuspješnih pokušaja prijavljivanja.
Ipak, takva praksa ih istovremeno čini ranjivim na sudske pozive i naloge organa reda.
Majkrosoft dostavlja BitLoker ključeve po nalogu
U slučaju sa Guama, Majkrosoft je istražiteljima predao ključeve za šifrovanje.
Kompanija je za Forbes potvrdila da dostavlja BitLoker ključeve za oporavak ukoliko primi sudski nalog da to učini.
„Iako oporavak ključeva nudi pogodnost, on istovremeno nosi rizik od neovlašćenog pristupa“, izjavio je portparol Majkrosofta Čarls Čemberlejn (Charles Chamberlayne).
Zbog toga Majkrosoft smatra da su korisnici u najboljoj poziciji da sami odluče kako će upravljati tim rizikom.
On je dodao da kompanija godišnje primi oko 20 zahtjeva za BitLoker ključeve, kao i da u mnogim slučajevima korisnici nijesu sačuvali ključ u oblaku (cloud), što Majkrosoftu onemogućava da pomogne.
Prvi poznati slučaj
Slučaj sa Guama prvi je poznati primjer u kojem je kompanija iz Redmonda u saveznoj državi Vašington, predala ključ za šifrovanje organima reda.
Još 2013. godine, jedan Majkrosoftov inženjer tvrdio je da su mu se vladini zvaničnici obratili sa zahtjevom da ugradi „zadnja vrata“ u BitLoker, ali je, prema njegovim navodima, te zahtjeve odbio.
Senator Ron Vajden (Ron Wyden) izjavio je za Forbes da je „krajnje neodgovorno da tehnološke kompanije isporučuju proizvode na način koji im omogućava da potajno predaju korisničke ključeve za šifrovanje“.
Potencijalni rizik
„Dozvoliti ICE-u (Služba za imigraciju i carine SAD) ili drugim Trampovim ljudima da tajno dođu do korisničkih ključeva za šifrovanje znači omogućiti im pristup čitavom digitalnom životu te osobe i dovesti u rizik ličnu bezbjednost i sigurnost korisnika i njihovih porodica“, dodao je Vajden.
Ovo, međutim, nije problem samo u Sjedinjenim Američkim Državama.
Dženifer Granik (Jennifer Granick), pravna savjetnica za nadzor i sajber-bezbjednost u Američkoj uniji za građanske slobode – ACLU (American Civil Liberties Union), istakla je da i strane vlade sa upitnim dosijeima u oblasti ljudskih prava često zahtijevaju podatke od tehnoloških giganata poput Majkrosofta.
„Daljinsko čuvanje ključeva za dešifrovanje može biti izuzetno opasno“, rekla je ona.
Pristup šifrovanim podacima tražen i od Epla
Organi za sprovođenje zakona redovno traže od tehnoloških kompanija da dostave ključeve za šifrovanje, omoguće pristup putem „zadnjih vrata“ ili na druge načine oslabe bezbjednost svojih sistema.
Međutim, neke kompanije su takve zahtjeve odbijale. Epl (Apple) je naročito više puta bio suočen sa zahtjevima za pristup šifrovanim podacima u svom oblaku ili na svojim uređajima.
U široko medijski praćenom sukobu sa vladom 2016. godine, Epl se suprotstavio nalogu FBI-ja da pomogne u otključavanju telefona koji su pripadali teroristima koji su u Kaliforniji ubili 14 ljudi.
Na kraju je FBI angažovao spoljnog saradnika kako bi hakovanjem pristupio ajFon (iPhone) uređajima.
Teret odgovornosti na Majkrosoftu
Stručnjaci za privatnost i šifrovanje rekli su za Forbes da bi teret odgovornosti trebalo da bude na Majkrosoftu, kako bi obezbijedio snažniju zaštitu ličnih uređaja i podataka potrošača.
Epl, sa svojim uporedivim sistemima FajlVolt (FileVault) i Pasvords (Passwords), kao i Metina aplikacija za razmjenu poruka WhatsApp, takođe omogućavaju korisnicima da prave rezervne kopije podataka i čuvaju ključeve u oblaku.
Međutim, obje kompanije omogućavaju i da se ključ smjesti u šifrovanu datoteku u oblaku, čime zahtjeve organa reda za tim ključem čine beskorisnim. Nije zabilježeno da je ijedna od njih ikada predala ključeve za šifrovanje.
„Ovo su privatni podaci na privatnom računaru, a oni su donijeli arhitektonsku odluku da zadrže pristup tim podacima“, rekao je Met Grin (Matt Green), stručnjak za kriptografiju i vanredni profesor na Institutu za informacionu bezbjednost Univerziteta Džons Hopkins (Johns Hopkins University).
„Apsolutno bi trebalo da se prema njima odnose kao prema nečemu što pripada korisniku“, naglasio je on.
Zabrinutost zbog obima pristupa FBI-ja
„Ako Epl to može da uradi, ako Gugl (Google) to može da uradi, onda može i Majkrosoft. To je jedina velika kompanija koja to ne radi“, dodao je Grin.
„Pomalo je čudno… Pouka je da, ako imate pristup ključevima, prije ili kasnije će se pojaviti organi reda.“
Granik je izrazila zabrinutost zbog količine informacija do kojih bi FBI mogao da dođe ukoliko agenti dobiju pristup podacima zaštićenim BitLokerom.
„Ključevi daju vladi pristup informacijama koje daleko prevazilaze vremenski okvir većine krivičnih djela – svemu što se nalazi na hard-disku“, rekla je ona.
„Tada moramo vjerovati da će agenti tražiti samo informacije relevantne za odobrenu istragu i da neće iskoristiti taj neočekivani dobitak da ‘čačkaju’ unaokolo.“
U slučaju sa Guama, sudska dokumentacija pokazuje da je nalog uspješno sproveden.
Advokat okrivljene Čarise Tenorio (Charissa Tenorio), koja se izjasnila da nije kriva, naveo je da su informacije koje su tužioci dostavili u okviru slučaja uključivale podatke sa računara njegovog klijenta, kao i reference na BitLoker ključeve koje je Majkrosoft predao FBI-ju. Slučaj je i dalje u toku.
I Grin i Granik smatraju da bi Majkrosoft mogao da omogući korisnicima da instaliraju ključ na hardverski uređaj, poput USB memorije, koja bi služila kao rezervni ili ključ za oporavak.
Bez ključeva FBI teže dolazi do podataka
Majkrosoft tu opciju zaista omogućava, ali ona nije podrazumijevano podešavanje za BitLoker na Vindouz računarima.
Bez ključeva za šifrovanje koje obezbjeđuje Majkrosoft, FBI bi imao ozbiljne poteškoće da izvuče bilo kakve korisne podatke sa tih uređaja.
Prema Forbesovom pregledu ranijih slučajeva, BitLokerovi algoritmi za šifrovanje pokazali su se neprobojnim za prethodne pokušaje organa reda da ih razbiju.
Početkom 2025. godine, forenzički stručnjak iz jedinice ICE-a za istrage u okviru Odjeljenja za unutrašnju bezbjednost (Department of Homeland Security) naveo je u sudskom dokumentu da njegova agencija „ne posjeduje forenzičke alate za probijanje uređaja šifrovanih Majkrosoft BitLokerom, niti bilo kojim drugim vidom šifrovanja“.
U jednom ranijem slučaju, savezni istražitelji su do ključeva došli tako što su otkrili da ih je osumnjičeni čuvao na nešifrovanim diskovima.
Sada, kada FBI i druge agencije znaju da će Majkrosoft postupati po sudskim nalozima poput onog u slučaju sa Guama, vjerovatno će upućivati još više zahtjeva za ključeve za šifrovanje, upozorio je Grin.
„Moje iskustvo pokazuje da, kada se vlada SAD navikne na neku mogućnost, veoma je teško kasnije je se odreći.“
Thomas Brewster, Forbes
Microsoft Gave FBI Keys To Unlock Encrypted Data, Exposing Major Privacy Flaw