Кирилл Мартынов: Кто читает вашу почту

В августе произошло сразу несколько примечательных и грустных событий, касающихся нашей глобальной жизни в Сети. На всякий случай напомню: ключевую роль в этой жизни по-прежнему играет электронная почта, система передачи сообщений, придуманная еще в 60-х годах прошлого века, задолго до появления самого интернета. Сегодня она важна и как самостоятельный канал коммуникации, и как система первичной идентификации пользователей. Любой сервис, начиная от социальных сетей и заканчивая онлайновыми играми, требует регистрации через email. Так вот в нынешнем августе мы окончательно убедились, что любая электронная почта по определению ненадежна. Если вы используете электронную почту, значит ваши сообщения могут читать.

Вашу почту прямо сейчас читают все кому в буквальном смысле слова не лень этим заниматься: арабы, японцы, израильтяне и товарищ майор

В начале месяца закрылся почтовый сервис Lavabit, созданный в 2004 году Ладаром Левисоном. Изначально Lavabit позиционировался как защищенная альтернатива Gmail. Левисон хвалил детище Google за удобство интерфейса, однако, как и многие другие, критиковал корпорацию за то, что ее роботы «читают» сообщения пользователей и предлагают на основе полученных данных контекстную рекламу. В Lavabit не было рекламы, а все сообщения по умолчанию подвергались стойкому шифрованию. На момент закрытия у сервиса было более 400 тысяч пользователей. На месте сайта сейчас висит прощальное послание Левисона. По его словам, у него был выбор: отказаться от результатов десятилетнего труда над Lavabit или «стать соучастником преступления против американского народа». И соучастником он быть не захотел. О каком преступлении идет речь? Судя по всему, вся проблема Lavabit в том, что это была почтовая служба Эдварда Сноудена.

Лучшей рекомендации, пожалуй, трудно себе представить, ведь работа Сноудена в его бытность сотрудником американской разведки как раз и состояла в том, чтобы предоставлять правительству США бесперебойный доступ к любым сообщениям, переданным в мире. Ясно, что он постарался максимально позаботиться о безопасности собственной переписки, и тем самым невольно подставил Левисона. Про Сноудена вообще очень много говорят, но чаще всего не вникают в детали его разоблачений. Между тем Сноуден документально подтвердил самые смелые фантазии анархистов относительно природы современных западных государств. США не только собирали информацию об электронных системах коммуникаций по всему миру (PRISM, название системы, отвечающей за это сейчас, на слуху), но и разработали программно-аппаратный комплекс нового поколения – X-Keyscore. Он работает на более чем 700 серверов по всему миру (по меньшей мере один из них расположен в американском посольстве в Москве) и способен в режиме реального времени сканировать переговоры пользователей социальных сетей и почтовых сервисов, сортируя как источники информации, так и контент. Например, X-Keyscore способен мгновенно представить оператору список всех пользователей, использующих немецкий язык на территории Пакистана, или список всех резидентов России, зарегистрированных в Gmail. Ни о какой приватности, конечно же, речи при этом идти не может. Примечательно, что когда Сноуден говорил о том, что, сидя в офисе АНБ, он мог читать любые письма прямо у себя на экране монитора, будь то письма федеральных судей или президента США, ему никто не верил. До тех пор, пока австралийская и британская пресса не опубликовала документы Сноудена о X-Keyscore.

Еще одно событие в том же ряду. Были опубликованы заявления юристов Google, сделанные для калифорнийского суда в рамках ответа на иск ассоциации защиты прав потребителей Consumer Watchdog. Рассерженные потребители все никак не могут простить корпорации историю с теми самыми роботами, читающими письма Gmail для создания контекстной рекламы. И вот Google отвечает, что, цитирую: «Человек, отправивший письмо своему коллеге, вряд ли удивится, если письмо откроет помощник получателя. Точно так же людям, пользующимся веб-сервисами, не стоит удивляться тому, что их сообщения обрабатываются провайдером до того, как они попадают в ящик адресата. У пользователя вообще нет каких-либо разумных оснований полагать, что информация, которую он добровольно передает через третьи руки, остается конфиденциальной».

В досноуденовскую эпоху это был бы, конечно, страшный скандал. А теперь почти все поняли ситуацию правильно. Что вы хотите, говорит Google, если государство инвестирует миллиарды для того, чтобы фактически, а не метафорически, читать вашу почту? Какая приватность веб-сервисов вам нужна? Знайте и помните, что если уж вы отправляете письмо, то оно практически наверняка будет кем-то прочитано. И роботы здесь, пожалуй, совсем не худший вариант.

Прежняя аналогия с почтовым служащим, который аккуратно берет ваше бумажное письмо и доставляет его по адресу, не вскрывая содержимого, уже не работает. Жаль, конечно, ведь нам так хотелось верить в эту пасторальную картинку: почтальон в фуражке едет на велосипеде, надежно храня наш конверт в своей толстой сумке. Но фактически на государственном и даже планетарном уровне созданы такие правила игры, которые заставляют почтового служащего не просто вскрывать письма, но и делать самые тщательные копии всех посланий, которые проходят через его руки. Почтальон оказывается редким гадом – без велосипеда, но зато с копировальной техникой новейшего образца. В аналоговую эпоху такое было бы просто невозможно по экономическим причинам. Теперь, когда правят Big Data и пресловутые «облака», пожалуйста. Все что угодно за деньги налогоплательщиков.

Словом, я сначала возмутился демаршем юристов Пейджа и Брина вместе со всем прогрессивным человечеством, но потом комментаторы в моем блоге и трезвое размышление заставили меня пересмотреть взгляд на вещи. Google выступила в этой истории на стороне добра, сказав людям правду, хотя она довольно неприглядна. И не так важно, что говорить правду в данном случае для корпорации выгодно, ведь она зарабатывает на доступе своих роботов к нашим письмам. Гораздо хуже было бы, если бы официальные лица Google делали хорошую мину. Дескать, вы в полной безопасности, мы справимся со всеми ребятами из АНБ, ЦРУ, а также прочих разведок мира.

Кстати, о разведках. Национальные секретные службы за пределами США сейчас находятся в несколько глупой ситуации. С одной стороны, их не подставил свой собственный Сноуден. А с другой, выяснилось, что американцы развернули в последнее десятилетие такую бурную деятельность на фронте кибербезопасности и кибератак, что даже их европейским коллегам остается лишь довольствоваться ролью младших партнеров, за которыми хотя и следят, но при этом немного делятся информацией. Особенно бурно все это дискутируется сейчас в Германии, которую, как показали данные Сноудена, администрация Обамы считает «партнером третьего класса», но совсем не союзником. Об этом мы знаем благодаря союзу Сноудена и независимой прессы, которую сейчас, кстати, как газету Guardian в Великобритании, хотят насильно сделать более сговорчивой. А чем занимаются китайские, индийские, бразильские и русские разведчики? Об этом мы можем только догадываться.

Очевидно только, что интернетом хотят полакомиться все, и если какие-то из национальных спецслужб раньше отстали от темпов, заданных США, то теперь все силы будут брошены на то, чтобы любой ценой догнать и перегнать. Пресловутый российский СОРМ-2, например, на фоне X-Keyscore выглядит жуткой деревенской архаикой. А пару лет назад наши спецслужбы даже собирались запретить Skype и Gmail, т.к. у них возникали трудности с перехватом сообщений в этих системах (есть, впрочем, версия, что в этом была доля дезинформации). В любом случае наш веселый социальный мир, набитый роликами на Youtube и лайками, на самом деле переживает расцвет высококонкурентной слежки. И вы все еще хотите рассуждать о безопасной электронной почте? Это просто смешно.

При этом по какой-то причине люди считают электронную почту очень надежным способом передачи информации, часто предпочитают ее телефонному звонку именно из соображений безопасности. Все органы местной власти в России, как правило, сидят на бесплатных почтовых сервисах от Яндекса или Mail.ru, потому что государственные программисты традиционно отстают от стандартов в индустрии, удобную почту делать не умеют, да и денег нет.

Вспомним, сколько скандалов со взломом почты известных людей – от Потупчик до Навального – было за последнее время. Знаете, как обычно происходит «взлом» рядового пользователя? В качестве «Секретного вопроса» от почтового ящика по умолчанию много лет указывалась «Девичья фамилия матери». Потом появились «Одноклассники», где как раз указаны девичьи фамилии матерей. Любой разведчик справится. Первый уровень защиты связан с отказом от стандартных «Секретных вопросов». Это может сделать каждый. Ну а дальше начинается состязание атаки и обороны вплоть до использования криптоалгоритмов PGP, из которого государство пока выходит победителем, как видно на примере Lavabit и других сервисов шифрования почтовых сообщений. Против АНБ у пользователей пока нет приема.

Кажется, единственным, до кого не дошла шутка, оказался сенатор Руслан Гаттаров. Он заявил, что Google со своими несчастными роботами нарушает российскую Конституцию и что подобную деятельность Gmail нужно немедленно на территории страны пресечь. Логика Гаттарова, похоже, состоит в том, что нарушать Конституцию может только государство, а всяким там корпорациям такое не по чину. Хотелось бы узнать, какую альтернативу сенатор может предложить для Gmail. Ну и потом посмотреть, сколько пользователей почты Google в России предпочтет довериться Гаттарову, а не Брину и Пейджу. Пока признаков смерти Gmail, несмотря ни на что, не наблюдается.

И дело тут, как можно понять, в том, что виноват вовсе не Gmail. Виновата система безопасности электронной почты в целом и непомерные амбиции государств. Дискуссия о надежности тех или иных видов почтовых сервисов уходит в прошлое, поскольку все они очевидным образом ненадежны. Вашу почту прямо сейчас читают все кому в буквальном смысле слова не лень этим заниматься: арабы, японцы, израильтяне и товарищ майор. Если вы хотите безопасности, забудьте об электронной почте.