ФБР простит детских порнографов, чтобы не «засветить» свои хакерские инструменты

Безопасность Стратегия безопасности Бизнес Законодательство Интернет Веб-сервисы
мобильная версия
, Текст: Роман Георгиев
Министерство юстиции США предлагает закрыть дело о просмотре детской порнографии, чтобы не допустить разглашения сведений о хакерских инструментах, используемых ФБР.

Дело закрыть, инструмент спрятать

Представители Министерства юстиции США попросили суд закрыть дело о сайте с детской порнографией Playpen, скрытом в анонимной сети Tor. Контроль над Playpen два года назад был перехвачен ФБР, входящем в структуру Минюста США. С того времени и до сих пор спецслужба не готова раскрывать информацию об инструментах, которые использовались для деанонимизации его посетителей.

Это создало юридический казус, в результате которого могут развалиться все дела, возбужденные против пользователей Playpen, а их более тысячи.

Агенты ФБР использовали некие программные средства, которые официально именуются «методиками сетевых расследований» (Network Investigative Techniques). Что именно они из себя представляют, неизвестно, но скорее всего, это набор эксплойтов для уязвимостей браузера Tor, позволяющие выяснять реальные IP- и Mac-адреса пользователей защищенного браузера. Именно эту информацию Tor и должен по идее скрывать от посторонних.

С помощью NIT федералы получили ключевые улики для возбуждения дел против пользователей Playpen. Одним из них стал некий Джей Мишо (Jay Michaud), администратор школы города Ванкувер в штате Вашингтон. Именно его юристы потребовали от ФБР раскрыть технические детали расследования в отношении Playpen и его посетителей.

Операция Playpen

В 2014 г. агенты ФБР получили сведения о том, что настройки сайта позволяют увидеть его реальный IP-адрес. Оказалось, что сайт хостится на территории США. ФБР незамедлительно получило от суда санкцию на захват сервера. Однако вместо того, чтобы немедленно закрыть его, федералы в течение двух недель поддерживали его работоспособность, заодно используя NIT для того, чтобы «деанонимизировать» посетителей Playpen.

Минюст США предлагает закрыть дело о детской порнографии, чтобы не раскрыть информацию об уязвимостях Tor

По сути речь шла о «подсаживании» на ПК пользователей вредоносного ПО. Всего в результате операции ФБР получили данные с 8000 IP-адресов в 120 странах мира.

Как следует из протоколов судебных слушаний, были возбуждены 1152 дела, но только в 214 случаях имели место реальные аресты.

Колоссальный охват операции вызвал массу споров о том, насколько она была правомерна: судебный ордер был выписан в штате Вирджиния, а фактически ФБР использовало его для проведения операции по сбору сведений далеко за границами и самого штата, и всей страны в целом. Это создало для юристов, выступающих на стороне обвиняемых, повод требовать прекратить дела.

Парадоксы американского права

Суды в разных случаях по-разному реагировали на ходатайства защиты. Например, суд штата Мичиган признал и сам ордер, и действия ФБР нарушающими установленные нормы, однако посчитал, что собранные данные можно рассматривать в уголовном процессе как надлежащие улики.

Однако в случае с Джеем Мишо суд поступил иначе. После того, как в начале 2016 г. защита потребовала предоставить суду исходный код NIT, а представители ФБР отказались это сделать, суд постановил, что власти имеют право хранить в секрете свои инструменты, но собранные с их помощью улики нельзя рассматривать в ходе процесса.

И хотя само дело суд на тот момент закрывать не стал, спустя год государственное обвинение пришло к выводу, что лучше отпустить обвиняемого, нежели раскрывать технические детали NIT.

Учитывая принцип прецедентного права, действующий на территории США, есть основания полагать, что позиции обвинения во всех делах, возбужденных против посетителей Playpen, существенно пошатнутся.

Как минимум еще в одном случае использование NIT было приравнено судом к «обыску без ордера», хотя бы и по сугубо формальному признаку: ордер на проведение подобной операции был выписан мировым судьей, не имевшим на то достаточных полномочий.

Правомерность самого использования NIT, впрочем, не оспаривалось.

Благонамеренное ПО

Представители ФБР, выступая в судебных заседаниях, утверждали, что NIT не может рассматриваться как вредоносное ПО, поскольку оно применяется с «благими намерениями».

Эксперты с этим не согласны, указывая, что вредоносное ПО остается таковым, вне зависимости от целей, с которыми оно используется.

Стоит отметить, что Министерство юстиции США и ФБР попросили Верховный Суд страны снять территориальные ограничения в ордерах на проведение операций в киберпространстве, и ВС США дал на это добро. Таким образом, теперь ФБР сможет без всяких ограничений проводить свои «хакерские» операции.

Правозащитники опасаются, что это откроет путь для широкомасштабных злоупотреблений, и что в дальнейшем объектами «киберпреследований» со стороны ФБР могут стать любые пользователи Сети, не совершающие преступлений, но предпочитающие анонимность в Сети, - например, гражданские активисты и диссиденты.

Основа кода

Браузер Tor создан на основе кода Mozilla Firefox. Это может означать, что NIT содержит эксплойты нулевого дня именно для Firefox.

Представители Mozilla уже обращались к ФБР с просьбой предоставить им информацию об этой уязвимости. Было ли удовлетворено это прошение, точно неизвестно, но есть все основания полагать, что со стороны ФБР поступил отказ.

«Уязвимость представляет интерес только пока она малоизвестна, - поясняет Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Скорее всего, использованное решение задействовано в каких-то гораздо более значимых для ФБР операциях и публикация уязвимости разрушила бы какую-то более значимую операцию спецслужб. Честь мундира в данном случае оказывается важнее наказания преступника».