Прощайте, Google и Yahoo!, или Как американские ИТ-гиганты «защищаются» от прослушки

Вы можете нам довериться! Таким был лейтмотив выступления Стива Балмера на последней для него — в роли главы Microsoft — встрече с акционерами компании. Сохранность персональных данных на компьютерах, планшетках, смартфонах, в облаках и даже игровых приставках (сегодня стартуют продажи Xbox One с встроенным Kinect) теперь беспокоит софтверный гигант не меньше, чем собственно разработка софта и железа. И речь, конечно, о сохранности не только от бизнес-партнёров («мы не из тех, кто собирает каждый бит сведений о своих клиентах, чтобы показать больше рекламы!»), но и от ненасытных спецслужб. Microsoft однажды уже пообещала судиться с правительством, если то рискнёт домогаться доступа к Kinect'у для слежки за ничего не подозревающими пользователями. Теперь эта позиция — клиент важнее всего, важнее даже национальной безопасности! — возведена софтверным гигантом в ранг официальной. И это, знаете ли, показатель! Уходя в отставку, глава легендарной ИТ-корпорации говорит не о технике, по сути, а о чисто человеческих отношениях. Эдвард Сноуден может гордиться.

Тот самый Сноуден, который в известном смысле окончательно лишил нас надежды на справедливость. За шесть месяцев в унесённых им из АНБ материалах вскрылось немало интересного, но точка, жирная точка, была поставлена в конце октября (см. «Станет ли Сноуден гражданином Германии?»). Тогда, если помните, стало известно о проекте MUSCULAR — после чего вопрос, уважают ли американские и британские правительства хоть в какой-то степени гражданские права своих соотечественников, а тем более подданных других государств, был снят.

MUSCULAR — проект АНБ и его британского партнёра GCHQ, предполагающий врезку во внутренние каналы крупных интернет-компаний, связывающие между собой их дата-центры (Google и Yahoo! точно затронуты, но, вероятно, есть и другие жертвы). Вот тот памятный слайд из презентации для внутреннего пользования, разъясняющий ключевую идею: информацию трудно перехватить на пути от пользователя к корпоративному облаку (левая половинка), но внутри облака (справа) она лишена всякой защиты и перемещается с сервера на сервер, из одного дата-центра в другой, в виде чистого текста. 

Обыватель, пользующийся поисковой машиной Yahoo! или читающий почту в ящике Gmail, не видит напряжённой внутренней работы, совершающейся в это время в корпоративном облаке. А там идёт постоянный процесс миграции данных между центрами хранения, причём с места на место перебрасываются не только данные сиюминутного значения, но и архивы активности конкретного пользователя за месяцы, а может быть и годы. Точные характеристики этого процесса, естественно, посторонним не известны, но после октябрьского разоблачения стала очевидной как минимум его экстремальная интенсивность: оказывается, дата-центры связаны друг с другом купленными или эксклюзивно арендуемыми оптоволоконными магистралями.

Что отчасти объясняет беспечность компаний, их эксплуатирующих: до Сноудена передаваемые по этим магистралям данные не шифровали, ведь никто не думал, что спецслужбы обнаглеют настолько (в конце концов, это уже частная собственность). Увы, обнаглели и даже разрешения суда им не потребовалось. Через врезки в корпоративный бэкбон, АНБ и GCHQ оптом собирали самую разнообразную информацию о миллионах пользователей.

Вскрытие проекта MUSCULAR имело минимум одно важное следствие. Мы не знаем, сняли ли американские и британские спецслужбы «прослушку» с внутренних каналов Google и Yahoo!. Но мы точно знаем, что зашевелились сами компании. Сперва Google, а на днях и её старшая сестра объявили, что намерены шифровать (в том числе) свои внутренние коммуникации. Google, якобы, ведёт работу в этом направлении уже почти год, Yahoo! не была столь предусмотрительной и только начинает, но в обоих случаях уже к следующей весне все передачи между дата-центрами будут криптографически скрыты. Можно предположить, что и Microsoft занимается тем же, ведь веб-сервисов у неё не меньше (да и поисковик Yahoo! фактически не что иное как майкрософтовский Bing).

Такова картина на текущий момент. На первый взгляд — более чем обнадёживающая: ИТ-гиганты покаялись и приняли меры. Но ближайшее рассмотрение выдаёт неприглядную «мелочь». Связана она с вопросом: спасёт ли шифрование внутренних коммуникаций от новых посягательств спецслужб? Ведь не спасёт!

Если АНБ и GCHQ однажды уже сумели подключиться к приватным магистралям, связывающим дата-центры, почему им не суметь внедриться в сами дата-центры? Принудив компании, их эксплуатирующие, к сотрудничеству под предлогом заботы о нацбезопасности или сделав это втихую, взломом ключевых компьютерных систем, так что публика и сами компании узнают об этом только после следующего сноудена. Ведь — стыдно сказать! — выражая возмущение действиями АНБ после раскрытия MUSCULAR, официальное лицо той же Google обронило такую фразу: у нас, мол, жёсткая система безопасности, ограждающая дата-центры от посторонних! Вот она, ваша «жёсткая система»: чистый текст по проводам! И едва ли влезть за ограждение окажется труднее. А законы, суды, гражданские права? Ну, не мешали ведь они до сих пор, не помешают и дальше (да и вообще, многое можно сделать за пределами США, где американские законы не действуют).

Мариса Мейер: «Мы никогда не предоставляли АНБ или другому госагентству доступ в наши дата-центры!». Всё правильно, таких гостей не нужно звать, они приходят сами.

Ответив на первый вопрос, грех не задаться и не ответить на второй: могут ли не понимать своей уязвимости сами компании? Конечно же не могут, идея и факты очевидны для каждого, кто не ленится открыть глаза. Но в таком случае, выходит, они ведут двойную игру. Вся активность по защите пользователей — обещания Microsoft, шифрование подходов к веб-сервисам Yahoo!, стойкое крипто на внутренних магистралях, шум в прессе, открытые коллективные воззвания к законодателям — не больше чем пиар, игра на публику, успокоительная пилюля во времена, когда нужны антибиотики, если не скальпель!

Понимание необходимости радикальных мер по защите клиентских данных от чужаков у американского ИТ-бизнеса есть, свидетельством чему — Lavabit и Silent Circle, делающие новую электронную почту, защищённую от «сглаза» идеально, в любой промежуточной точке (см. «Действительно тайная переписка»). Но эти ребята уже записаны в противники режима. А гиганты пошиба Google конечно же противостоять режиму не могут: у них на кону не миллионы — миллиарды, их не поймут и не поддержат акционеры, да и самим им по-настоящему ругаться с правительством ни к чему. Достаточно сделать вид, пустить пыль в глаза акционерам, успокоить обывателя, и можно делать бизнес как и раньше.

Вывод из этих несложных рассуждений получается мрачный, совсем не пятничный. Не желаете, чтобы вас контролировали (не только в Сети, в офлайне тоже, вспомните о смартфонах)? Бегите не только от Google, Yahoo!, Microsoft, но и вообще от любых продуктов и сервисов крупных компаний, инкорпорированных на территории Соединённых Штатов Америки и её союзников. Они не заинтересованы в действительной защите своих клиентов от назойливого ока спецслужб. А куда податься — это уже тема для отдельного разговора. Думается, с «Яндексом» тоже не всё просто...