— Разведывательные агентства США и Британии воруют коммерческую информацию.
— Детали могут включать возраст человека, его местонахождение и сексуальную ориентацию.
— В документах также говорится о конкретных инструментах слежки за индивидуальными телефонами.
Агентство национальной безопасности и соответствующее ему британское ведомство Управление правительственной связи (УПС) разрабатывают средства для перехвата информации из «дающих утечку» приложений для смартфонов. Например, таких, как необычайно популярная игра Angry Birds, которые передают конфиденциальную информацию о пользователях через интернет. Об этом свидетельствуют совершенно секретные документы.
Данные, попадающие в сети связи из нового поколения приложений для Android и iPhone, могут быть самыми разными. Это модель телефона, размер экрана, а также личная информация о человеке - его возрасте, поле и местонахождении. Некоторые приложения, говорится в документах, могут передавать даже самую деликатную информацию о пользователе, такую, как его сексуальная ориентация. А одно упомянутое в материалах приложение даже передает данные о конкретных сексуальных предпочтениях человека — скажем, меняет ли он партнеров по сексу.
Многие владельцы смартфонов не знают о том, какой объем информации о них уходит через интернет, и даже самые продвинутые пользователи могут не осознавать, что все эти данные доступны шпионским ведомствам для сбора и анализа.
В десятках секретных документов, которые разоблачитель Эдвард Сноуден предоставил Guardian, и о которых эта газета сообщила совместно с New York Times и ProPublica, говорится об усилиях АНБ и УПС по сбору этих коммерческих данных в собственных целях.
Сбор рассылаемой с приложений информации о пользователях позволяет этим ведомствам получать огромное количество метаданных через имеющиеся у них инструменты массовой слежки, такие, как средства подключения к коммуникационным кабелям и к международным сетям сотовой связи, вместо того, чтобы осуществлять контроль за отдельными устройствами.
Использование данных с телефонов и информации о местонахождении - это важный приоритет для разведывательных ведомств, поскольку террористы и прочие объекты слежки активно пользуются телефонами при планировании и осуществлении своей деятельности. Например, при помощи телефонов они приводят в действие взрывные устройства в зонах конфликтов. АНБ в целом потратило более одного миллиарда долларов на получение такой информации с телефонов.
Эти разоблачения также показывают, насколько выгоден шпионским ведомствам переход на смартфоны с их браузерами.
Читайте также: Сноуден - Не все виды шпионажа плохи
В мае 2010 года АНБ подготовило презентацию о получении данных со смартфонов. На одном из слайдов с восторженным названием «Золотой самородок!» излагается «идеальный сценарий» этого ведомства: «Цель — загрузка на сайт социальных сетей фотографий, сделанных мобильным устройством. Что мы может получить от этого?»
Этот вопрос звучит в тексте слайда. А далее рассказывается о том, что только от этого действия агентство может получить «возможное изображение», селектор электронной почты, номер и тип телефона, список друзей и «целый ряд других данных, а также данные о местонахождении».
На практике большинство ведущих социальных сетей, таких, как Facebook и Twitter, убирают с фотографий идентификационные метаданные о местоположении (известные как стандарт EXIF) до их публикации. Но в зависимости от момента их удаления во время выкладывания в сети, эти данные на короткое время могут оказаться доступны для сбора разведывательными организациями, когда они перемещаются по сети.
В раскрытых документах далее сообщается, что на основании того, какую информацию предоставил пользователь, агентства могут получать почти все важные детали о его жизни, включая страну проживания, текущее местонахождение (через геопозиционирование), возраст, пол, почтовый индекс, семейное положение (холост, женат, разведен, меняет партнеров), и даже больше — доход, этническую принадлежность, сексуальную ориентацию, образование и количество детей.
Эти разведывательные ведомства могут также путем перехвата мобильной связи собирать в Google и прочих картографических приложениях большое количество информации о местонахождении. УПС и АНБ создали обширную базу данных, в которой имеются все вышки мобильной связи в мире. А это значит, что выбрав из списка идентификационные данные нужной вышки, они могут получить информацию о местонахождении объекта.
Но есть и более утонченный метод, основанный на перехвате запросов Google Maps, осуществляемых через смартфоны, благодаря которому можно собирать большие объемы информации о местонахождении.
Работа в данном направлении оказалась настолько успешной, что в одном документе за 2008 год отмечалось: «Это по сути означает, что любой, кто пользуется на смартфоне Google Maps, работает на систему УПС».
Генерируемую каждым приложением информацию выбирают его разработчики либо компания, которая рекламирует это приложение. В документах не говорится о том, собирают ли разведывательные ведомства ту способную оказаться деликатной информацию, которую могут хранить или передавать приложения. Но любая такая информация скорее всего считается контентом, а не метаданными.
На собранные с приложений смартфонов данные распространяются те же законы и минимальные правила контроля, которые регулируют всю прочую деятельность АНБ. Выступая 10 дней назад с речью, американский президент Барак Обама сказал, что эти правила могут подвергнуться изменениям. Но президент сосредоточился в основном на сборе АНБ метаданных о телефонных звонках в США, и не упомянул в своем выступлении о тех больших объемах информации, которую агентство собирает с приложений смартфонов.
Также по теме: Microsoft будет защищать данные иностранных пользователей
Новые разоблачения могут также усилить обеспокоенность общественности по поводу того, как сектор информационных технологий собирает и использует информацию, особенно ту, которую он получает за пределами США, где у людей меньше механизмов защиты частной жизни, чем у американцев. Проведенный в январе Washington Post опрос общественного мнения показал, что 69% взрослых американцев уже встревожены тем, как компании вроде Google хранят и используют их информацию.
В документах нет конкретных сведений о том, какой объем информации с приложений агентства постоянно собирают, хранят и ищут, или какое количество пользователей находится под наблюдением. АНБ заявляет, что не работает против американцев, и что свои силы и средства оно задействует только против «допустимых иностранных объектов разведки».
Но в документах весьма подробно рассказывается о том, какой объем информации можно собирать с популярных приложений. В одном из документов есть ссылка на инструкцию для сотрудников УПС, в которой излагаются подробности того, что можно собирать с разных приложений. Хотя в большинстве примеров фигурируют приложения Android, это свидетельствует о том, что такие же данные можно собирать и с аналогичных приложений на платформе iPhone и прочих устройств.
В документах УПС представлены примеры того, какую информацию можно извлекать из различных платформ, В качестве одного примера приведена, пожалуй, самая популярная игра на мобильном телефоне Angry Birds, которую пользователи закачали к себе на устройства 1,7 миллиарда раз.
С некоторых устройств с приложениями передается ограниченное количество информации, которая, тем не менее, является опознавательной. Это точная модель мобильного устройства, его уникальный идентификационный номер, версия программного обеспечения и прочие детали.
Другие приложения передают гораздо больше данных, а это значит, что разведывательные ведомства в состоянии собрать с них более богатый улов. Особенно большой урожай информации дает платформа мобильной рекламы под названием Millennial Media. На ее сайте указано, что она вступила в партнерство с Rovio для разработки специального издания Angry Birds, с изготовителем Farmville компанией Zynga, с разработчиком Call of Duty фирмой Activision, а также с многими другими.
Компания-разработчик Angry Birds Rovio заявляет, что не знает ни о каких программах АНБ и УПС, которые извлекают данные из приложений пользователей.
«Rovio не обладает никакой информацией по этому вопросу, и компания ничего не знает о такой деятельности в рекламных сетях третьих сторон, — заявила Саара Бергстрем (Saara Bergström), занимающая должность вице-президента Rovio по маркетингу и коммуникациям. — Мы также никак не сотрудничаем с упомянутыми вами организациями (АНБ и УПС)».
Millennial Media на просьбу прокомментировать появившиеся сообщения не отреагировала.
В декабре Washington Post сообщила о том, как АНБ может использовать рекламные файлы Google и других компаний, создаваемые в процессе обычного просмотра в интернете (так называемые cookie), чтобы получать информацию о потенциальных объектах.
Читайте также: Израиль, как и США, - сверхдержава по прослушиванию
Но более обширный набор персональных данных, доступный многим приложениям и передаваемый ими, вкупе с геопозиционированием в режиме реального времени и уникальной опознавательной информацией о мобильном устройстве дает разведывательным ведомствам более богатые источники информации, чем обычные cookie.
Почти каждый крупный вебсайт использует эти фрагменты данных для обслуживания целевой рекламы и контента, а также для оптимизации и облегчения работы пользователя. Например, он управляет учетными записями. В одном документе УПС от 2010 года отмечается, что данные cookie, которые обычно относят к метаданным, сегодня не менее важны для шпионов. На самом деле, разведывательные ведомства собирают их в таких больших объемах, что их с трудом удается хранить.
«Их собирают общей массой, и сейчас это самый крупный по объему тип данных», — говорится в документе.
То, что разведывательные агентства могут получать вполне определенные данные за счет слежения за отдельными устройствами, хорошо задокументировано. Это делалось на протяжении нескольких лет на конференциях хакеров. Об этом в своих разоблачительных материалах про АНБ писал Spiegel. У АНБ и УПС имеется наготове множество инструментов, которые они могут использовать против iPhone, Android и прочих платформ.
Инструменты УПС, используемые против индивидуальных смартфонов, названы именами персонажей из мультсериала «Смурфики». Средство, позволяющее включать микрофон устройства и прослушивать разговоры, называется «Ловкач». Инструмент высокоточного геопозиционирования получил название «Следопыт». Инструмент, позволяющий тайком активировать выключенный телефон, называется «Мечтатель». А средство сокрытия шпионских программ имеет кодовое название «Чистюля».
Эти названия изложены в более подробной презентации от 2010 года, которая проливает свет на стремление шпионских ведомств к перехвату мобильных телефонов и на менее известные инструменты массового сбора информации.
На первом слайде презентации излагаются устремления УПС:
— БОЛЬШЕ — больше технологий, сетей, сигналов и местоположений.
— БЫСТРЕЕ — разработки против новых интернет-приложений для мобильных устройств.
— ЛУЧШЕ — определение местонахождения мобильных устройств.
На другом слайде показаны слабые места в потоках данных, идущих из сетей операторов мобильной связи в интернет, где УПС пытается осуществлять перехват. Они находятся либо внутри какой-то сети, либо в международных сетях обмена роумингом GRX (для маршрутизации коммерческого роуминг-трафика между посещаемыми и домашними операторами).
Эти точки особенно полезны для разведывательных ведомств, так как в таких сетях данные шифруются очень слабо, и в них содержится дополнительная информация, такая как идентификационный номер устройства или номер мобильного телефона. Это гораздо более полезные и точные указатели цели, чем обычные IP-адреса и аналогичная информация, остающаяся после работы персональных компьютеров и ноутбуков в интернете.
Также по теме: АНБ проникает в центры данных Yahoo и Google
АНБ заявляет, что средства перехвата мобильных телефонов оно использует только против достоверных объектов, в полной мере соблюдая при этом жесткие нормы законодательства.
«Связь между людьми, не являющимися достоверными иностранными объектами разведывательной деятельности, не представляет интереса для Агентства национальной безопасности», — заявила пресс-секретарь этого ведомства.
«Все предположения о том, что АНБ в своей деятельности по сбору иностранных разведданных сосредоточилось на смартфонах и на общении в социальных сетях рядовых американцев, не соответствуют действительности. Более того, АНБ при выполнении задач по сбору разведывательной информации за рубежом не собирает данные о простых американцах. Мы собираем только те данные, которые нам разрешено собирать по закону в интересах разведывательной и контрразведывательной деятельности — вне зависимости от технических средств, используемых объектами».
«Поскольку в процессе законной деятельности по сбору иностранных разведданных АНБ может порой случайно получать некоторые данные о гражданах США, для них существуют меры защиты конфиденциальности во всем этом процессе, что касается сбора, хранения, использования и распространения данных. В дополнение к этому АНБ проводит активную работу по удалению как можно раньше лишних данных, включая данные о невинных иностранных гражданах».
«Постоянная и избирательная публикация информации о конкретных методах и средствах, используемых АНБ на законных основаниях для слежения за легитимными иностранными объектами разведки, наносит ущерб безопасности Соединенных Штатов и наших союзников, а также создает опасность для тех, кто по долгу службы обязан защищать».
АНБ отказалось ответить на целую серию вопросов о том, насколько часто и в каком объеме используются средства против мобильных приложений, а также о конкретных процедурах минимизации, призванных предотвратить хранение информации о гражданах США посредством таких инструментов.
УПС отказалось от комментариев по поводу своих конкретных программ, однако подчеркнуло, что вся его деятельность является соразмерной и соответствует британскому законодательству.
«Это наша неизменная политика — не давать комментариев по вопросам разведки», — заявил пресс-секретарь УПС.
«Далее, всю свою деятельность УПС осуществляет в соответствии со строгими правовыми и политическими механизмами, которые гарантируют, что наша работа является правомочной, необходимой и соразмерной, а также обеспечивают наличие надлежащего надзора, в том числе, со стороны министра, руководителей служб перехвата и разведки, а также парламентского комитета по разведке и безопасности. Мы всей своей деятельностью активно отстаиваем такую позицию».
В среду Гленн Гринуолд (Glenn Greenwald) и NBC News выступили с новыми разоблачениями, приведя примеры того, как Управление правительственной связи использует средства перехвата для отслеживания YouTube и социальных сетей в режиме реального времени.
В июне газета Guardian рассказала о системе УПС по подключению к кабелям связи и слежке в интернете под кодовым названием Tempora. В новых документах, опубликованных NBC, приводится информация о презентации УПС под заголовком «Психология: новые типы устройств связи». В презентации рассказывается о программе под кодовым названием Squeaky Dolphin, которая дает британским разведчикам широкие возможности для отслеживания в режиме реального времени видеопросмотров на YouTube, указателей ресурсов с пометкой «нравится» в Facebook, а также посещений блогов.
На другом слайде о пассивных методах перехвата (так называют крупномасштабную работу по перехвату в кабельных сетях) отмечается, что такие методы придают агентству больше «универсальности».
Наличие таких средств перехвата означает, что УПС и АНБ могут получать данные без ведома и согласия IT-компаний. Официальные представители АНБ и УПС заявили NBC, что все программы осуществляются в соответствии с американским и британским законодательством.