Apple vs FBI

Apple odbio nalog suda da napravi backdoor za iOS 9 i time pomogne u FBI istrazi, ali i otvori novi presedan

Apple ne želi da hakuje sopstveni iOS da bi za FBI delimično otključao telefon napadača, rekavši da je to veoma opasan presedan koji bi poništio velike korake postignute u podignutoj sigurnosti. S druge strane, FBI navodi da Apple zapravo samo brine o zaštiti imidža svoje robne marke. Da vidimo šta je zapravo u priči.

Decembra 2015. godine u San Bernandinu, u Kaliforniji, gradu sa 200 hiljada žitelja, desio se težak masakr, negde označen i kao teroristički napad: dvoje napadača, bračni par, pobili su četrnaestoro ljudi i ranili dvadeset dvoje. Jedan od ključnih elemenata istrage je telefon jednog od napadača, iPhone 5c sa iOS 9 na kojem je uključena enkripcija kao funkcija iOS-a. Za FBI je sadržaj telefona važan deo istrage (posebno jer su drugi korišćeni računari i uređaji namerno uništeni pre napada), ali to ne može da uradi na dosadašnji način, tako što bi sudski od Applea tražio da otključa telefon i preda podatke, jer Apple to više ne može – nema ključ. Sem toga, FBI ne može ni samostalno, brute force tehnikom razbijanja šifre, jer novi sistem zaštite, utkan u iOS, upravo to onemogućava, pa se putem suda obratio Appleu, u kojem se ne traži da otključa telefon (kako to mediji navode), već da Apple isporuči modifikovan iOS koji će omogućiti da FBI može samostalno da proba da brute force tehnikom otključa uređaj.

Brute force napad je nasumično pogađanje određene kombinacije znakova, započinje kao dictionary attack (napad rečnikom) jer pogađa obične reči iz svakodnevne upotrebe, a onda i sve složenije kombinacije koje mogu biti lozinka, i zahteva vreme.

Odmah da navedemo, Apple je uvek bio u dobrim odnosima sa vladom SAD i njenim službama, imao je reputaciju rutinske saradnje sa sudskim nalozima ove vrste; i ovaj put pomagao je u istrazi i davao sve što je traženo (za početak, sadržaj iClouda, provereno postoji li bekap na drugim računarima).

Tema je polarizovala svet, od kojih su mnogi zauzeli stranu: najveći igrači IT industrije mlako su podržali Apple, dok je republikanski predsednički kandidat Donald Tramp pozvao na bojkot Appleovih proizvoda kako bi se naterali da otključaju sporni telefon. Džon Mekafi (John McAfee), tvorac izvornog McAfree antivirusa, takođe i predsednički kandidat, ponudio se da besplatno otključa telefon za FBI tehnikom „socijalnog inženjeringa”, tako što bi analizom ličnosti saznao šifru, što je, realno, predizborni blef. Preživele žrtve ubilačkog napada planiraju da pokrenu zajedničku tužbu protiv Applea.

Zanimljiv je stav spomenutog, inače kontroverznog Džona Mekafija, dugo prisutnog na IT sceni po pitanju sigurnosti. On bi otključao ovaj Appleov telefon (da može), ali inače u potpunosti podržava Apple i navodi: „Konačno smo stigli do ovoga. Svaki stručnjak za bezbednost će se složiti da je namerno ostavljanje backdoora veća blagodet za hakere i neprijatelje bilo koje vrste nego javno davanje lansirnih šifara za nuklearno oružje i ključeva od svih američkih vojnih vozila Rusima i Kinezima.

Ovo je početak kraja SAD kao svetske sile, kada FBI, u svom smešnom i bizarnom logičkom obrtu objavljuje da će se ovaj backdoor iskoristiti samo jednom. A svi bi trebalo da veruju. Na reč.”

Kako radi iOS zaštita?

Ceo sistem baziran je na enkriptovanim ključevima kojima Apple nema pristup, odnosno koji se ne nalaze van uređaja. iOS od verzije 8 (2014. godine) koristi dva ključa da enkriptuje podatke – korisničku lozinku (password) od 6 znakova (bira je korisnik) i jedinstveni 256-bitni AES tajni ključ koji je ugrađen u telefon tokom proizvodnje (to je isti nivo zaštite koji američka vlada koristi za svoje sisteme protiv brute force napada). Korisnička lozinka „pomeša” se sa tajnim ključem čime se dobija passcode kojim se zaključavaju i otključavaju podaci na uređaju. Kada korisnik unese tačnu lozinku uređaj vrši kalkulacije koristeći oba ključa, i ako je uneta tačna lozinka, uređaj i podaci su otključani. Apple ne poseduje passcode i ne može da otključa uređaj ni da dekriptuje podatke.

Da bi se sprečilo otključavanje putem brute force metode dodate su dve prepreke. Prva, auto-erase, koja dopušta 10 pokušaja unošenja lozinke. Nakon toga, sistem nepovratno briše passcode. Podaci ostaju na uređaju, ali više se ne mogu se dešifrovati. Podrazumevano iOS podešavanje je da je auto-erase uključen.

Druga prepreka je vremenska zadrška: između dva unosa lozinke postavljena je obavezna pauza između novog pokušaja, kako bi se drastično usporilo brute force razbijanje šifre. Konkretno, ova pauza je „svega” 80 milisekundi nakon prve pogrešno unete lozinke. Prema Appleu, za razbijanje složene lozinke od 6 znakova potrebno je 5 i po godina. iOS 9 podrazumevano nudi lozinku od 6 znakova (moguće je podesiti da se koristi i kraća, od 4 znaka).

Noviji modeli od verzije 5c koriste drugi čip sa kojim se posle svake pogrešno unete lozinke povećava vremenska pauza, tako da je posle devete pogrešne potrebno sačekati jedan čas kako bi se probao poslednji, deseti unos.

iCloud bekap

Na iOS-u se vrlo lako uključuje da sistem pravi bekap izabranih podataka na korisnikov iCloud nalog. Pitanje koje se nameće je – ako već postoji mogućnost bekapa na iCloud, zašto FBI ne uzme sve što im treba odatle umesto komplikovanog otključavanja telefona? Činjenica je da je Apple već predao FBI-u kompletan sadržaj traženog iClould naloga. Međutim, u ovom slučaju je poslednji iCloud bekap bio mesec i po dana pre napada, kada je opcija bekapa isključena. Istražiteljima je, logično, veoma bitno da vide listu poziva i poruke u danima koji su prethodili masakru. Sem toga, telefon u sebi sadrži više informacija, što može biti korisno u istrazi.

Ne pogađa starije modele

Ovaj slučaj ne menja ništa vezano za ranije modele (koji ne mogu da pređu na iOS 8 ili viši) jer je njih Apple mogao da otključa i pored korisničke lozinke.

Verzije iOS-a pre 8 imaju ugrađenu mogućnost da se premosti korisnička šifra, tj. da Apple otključa uređaj i pristupi podacima na uređaju iako je on bio zaključan. Apple je to puno puta i radio, odgovarajući na sudske zahteve. Počevši od verzije 8, Apple u potpunosti menja sigurnosni sistem, time što se korisnički podaci na telefonu enkriptuju, što do tada nije bio slučaj. Podrazumevano, ovo se odnosi na fotografije, poruke (SMS i iMessages), imenik, istoriju poziva, video i audio-zapise. Kao što je već objašnjeno, korisnik sam bira lozinku (uz pomoć koje se generiše passcode) i Apple više ne može da premosti unos lozinke i da pristupi podacima.

Šta vlada tačno želi?

Brojni (pogrešni) novinski napisi doveli su do toga da nije sasvim jasno šta FBI želi od Applea, tako da su se i kod nas pojavili tekstovi u kojima sud traži od Applea da otključa napadačev telefon, kao što je tražio puno puta ranije, ali da Apple ne želi to da uradi – što nije tačno. Objasnili smo da od verzije iOS 8, Apple više ne može da premosti korisničku šifru i otključa telefon i pristupi podacima; uređaj je zaključan i podaci su šifrovani, a Apple nema krajnju lozinku (passcode).

FBI, zapravo, traži nešto što Apple ovaj put ne poseduje. Vlada želi da proba brute force tehnikom da razbije lozinku, ali da Apple isključi obe dodatne sigurnosne opcije: da nema auto-erase (već beskonačno pokušaja) i da nema vremenske zadrške. Međutim, da bi se to dobilo, od Applea se traži da:

• Napravi i isporuči posebnu, „obogaljenu” verziju svog operativnog sistema, koju bi u vidu sistemskog firmware ažuriranja instalirao na sporni telefon (verziju koja dozvoljava brute force napad).

• Da napravi softver koji bi omogućio da se brute force napad vrši elektronski, umesto da se lozinka unosi ručno, na ekranu osetljivom na dodir (FBI bi kroz njega pustio svoj script za brute force razbijanje lozinke).

• Da se nova, obogaljena verzija OS-a učita samo u operativnu memoriju (RAM disk) ali ne i u NAND memoriju, kako bi svi podaci koji se nalaze na telefonu (NAND čipu) ostali „forenzički čisti”.

Vrlo je bitno napomenuti da bi i kada bi Apple uradio sve od navedenog telefon i dalje ostao zaključan, passcode ne bi bio razbijen i svi podaci u memoriji bi ostali šifrovani. Tek ako bi brute force napad bio uspešan, FBI bi dobio passcode i pristupio podacima. Stručnjaci za kriptografiju navode da postoji realna bojazan da FBI ne bi uspeo da pristupi podacima ako je korišćena složena lozinka od 6 znakova (vremenski zahtevno i sa super-kompjuterom).

U čemu je caka?

Apple je zadržao mogućnost da ažurira svoj iOS bez korisničkog odobrenja. Realno, Apple bi mogao da objavi novi „obogaljeni” firmware update koji isključuje sigurnosne opcije. Ako bi korisnik imao opciju da isključi auto-update, Apple ne bi mogao da uradi ovo što vlada zahteva.

Koliko je to ostvarivo? U potpunosti i realno je. Nova verzija bi se učitala u RAM disk, najveći deo koda bio bi obrisan. Novi kernel drajver bi omogućio da se lozinke ne unose preko ekrana, već drugog porta (recimo, Lightning). Ništa od navedenog nije trivijalno, ali jeste ostvarivo.

Direktor Applea, Tim Kuk kaže da nije poenta u tome da li je moguće, već što je nerealno očekivati da Apple posle svega napravi obogaljeni iOS koji bi mogao da premosti ova dva nivoa zaštite i da se to iskoristi jedino i samo na ovom telefonu i da se očekuje da svi drugi telefoni ostanu sigurni. „Jednom napravljena, ova tehnika mogla bi da se koristi ponovo, na bilo kojem broju uređaja”, obraća se prvi čovek Applea u otvorenom pismu korisnicima i dodaje: „Ovo što se od nas traži u fizičkom svetu bio bi ključ koji može da otključa svaku bravu – od restorana i banaka, do prodavnica i kuća. To ne bi bilo prihvatljivo nijednoj razumnoj osobi.”

Apple je protiv toga da uopšte postoji „jedan ključ za sve brave” (master key), i takođe protiv toga da samo Apple i FBI imaju takav master key. Vrlo je bitno naglasiti da master key ne postoji.

Zaštita i novi modeli

Ovo je bitno pitanje jer je reč o modelima koji su u upotrebi ili će biti u narednih godinu ili dve. Noviji modeli imaju još jedan nivo zaštite, tzv. sigurnosno jezgro (Secure Enclave). Stručnjaci navode da bi Apple mogao da napiše „obogaljeni” firmware koji bi radio slično kao i kod modela 5c. Rešenje koje radi na 5c ne bi direktno moglo da se primeni na modelu 5s, ali bi moglo da se modifikuje za modele 5s, 6 i 6s. Čitač otiska prsta ne bi zaštitio telefon.

Još jednom, ovako modifikovani iOS ne bi bio otključan, već lakše pogodan za brute force razbijanje zaštite.

Postoji li drugi način?

Apple navodi da je postojao. Kada se iPhone nađe pored Wi-Fi mreže na koju je već bio povezan, napravilo bi se novo automatsko ažuriranje na iCloud (sa novim podacima); Apple bi pomogao tako što bi ovo podešavanje uključio (napadač je isključio). Predlog se nije razmatrao jer je FBI resetovao iCloud lozinku napadača 24 časa posle napada.

Čemu zaštita?

Zanimljivo je pitanje zašto se Apple uopšte odlučio da da promeni sistem zaštite, odnosno drastično je poveća.

Najpre, Tim Kuk lično smatra da je dužnost kompanije da radi „pravu stvar” kad je u pitanju privatnost njihovih korisnika. U to i ne moramo da verujemo. Dalje, iPhone je sa svakom verzijom morao da ponudi nešto novo. Sem toga, Apple je zatrpan zahtevima službi za hakovanjem sopstvenih uređaja, što je uredno radio. Uvođenjem zaštite lopta je prebačena u ruke korisnika.

Novac je svakako razlog: od kako je 2013. godine Edvard Snouden otkrio koliko duboko sežu vladini prsti, IT kompanije su pod pritiskom da pokažu korisnicima kako nisu odavale informacije. Apple je na dobroj poziciji da to uradi, jer je osnovna stvar koju prodaje – hardver (sa brojnim drugim uslugama), ali ne i informacije (od čega žive Google, Facebook ili Twitter).

Konačno, Apple nema veće poslove sa vladom SAD, za razliku od Amazona ili Microsofta.

Pravni spor

Pravna strana novonastalog spora veoma je komplikovana i zbog toga bi slučaj mogao da završi pred Vrhovnim sudom.

Naredni bitan datum je 22. mart, kada je zakazano javno saslušanje (public hearing) u vezi da odlukom Applea, koje će biti vrlo zanimljivo i medijski ispraćeno.

Zanimljivo je da postoji zakon star čak 227 godina koji bi zaista mogao da se primeni u ovom slučaju: All Writs Act koji je 1789. godine potpisao predsednik Džordž Vašington i koji omogućava sudu da u „neobičnim pravnim situacijama” izda bilo kakvo naređenje. Ovaj zakon koristio se više puta, spomenimo septembar 2014. kada je njime naloženo neimenovanom proizvođaču pametnih telefona da premosti lock screen korisnika, zbog sumnje da je umešan u krađu kreditnih kartica. Svega nekoliko dana kasnije, sud je pozivajući se na isti zakon naložio Appleu da preda podatke iz zaključanog iPhonea 5s, koji je bio istražni materijal kriminalnog slučaja.

Ako se pitate kako i zašto se tada Apple povinovao zahtevu, na sličnom modelu zaključanog telefona, a sada to ne čini, odgovor je prost. Ovaj model 5s imao je iOS7 koji dozvoljava premošćavanje korisničke šifre za pristup telefonu, a podaci na njemu ionako nisu šifrovani. Zašto sud (naizgled sličan, a zapravo sasvim drugačiji) nalog ne bi izdao i sada?

Tim Kuk je spomenuo mogućnost primene ovog pravnog leka nazivajući ga „bez presedana” i predložio da o tome raspravlja američki Kongres, a ne da se odlučuje putem suda.

Šta je sada drugačije?

Kada se pogleda istorija dosadašnje saradnje Apple-a sa američkom državom i službama bezbednosti i okolnosti pod kojima se ovaj zahtev postavlja (masakr), ovaj zahtev ne čini se posebno velikim, imajući u vidu da se zahtev odnosi samo na traženi telefon. Uostalom, Apple je i do sada u velikom broju slučajeva omogućavao da se otključaju njihovi uređaji. Zašto Apple sada misli da je ovo linija preko koje ne sme da se pređe?

Ovoga put nije reč o otključavanju jednog uređaja, već pisanju posebnog softvera koji bi isključio bitne sigurnosne mehanizme koji u samom uređaju štite korisničke podatke. Gledajući na taj način, ovakav zahtev države ne razlikuje se suštinski od prethodnog, u kojem je NSA tražila od Apple-a i drugih velikih kompanija da im omogući backdoor u njihove servise, kako bi samostalno mogli da im pristupaju i prate, bez potrebe da za svaki pojedinačni slučaj traže sudski nalog. Ovo je čuvena afera koji je otkrio i obelodanio Edvard Snouden, koji živi u azilu, a u Americi je na „crvenoj listi” najtraženijih.

Cela priča ima veliki ulog jer je Apple sada postao meta debate o eknripciji/backdooru koja se poslednje dve godine odigrava između Silicijumske doline i Kapitol Hila. Ukratko, država želi da osigura način da pristupi podacima na brojim uređajima, čak i onda kada uređaji koriste ugrađenu enkripciju namenjenu tome da privatne stvari zaista i ostanu privatne.

Ukoliko FBI „ubedi” Apple da postupe po njihovom nalogu, to će biti presedan za sve buduće slučajeve, ali i primer koji će druge zemlje vrlo verovatno da slede, tražeći da njihove vlade dobiju isti softver.

Američke vlasti tvrde isto što su tvrdile u vreme uvođenja ovog vida zaštite – da nove tehnologije šifrovanja ometaju njihove napore da se obračunavaju sa prestupnicima i istražuju zločine.

Septembra 2014. godine direktor FBI Džejms Komi rekao je da ga poslednji potezi kompanija Apple i Google veoma brinu i da mogu da ograniče neophodan pristup podacima korisnika od strane države. On je istakao da je lična privatnost veoma bitna, ali da je pristup osetljivim informacijama takođe značajan za nacionalnu bezbednost. „Čvrsto verujem u zakon, ali takođe verujem da niko ne može biti iznad zakona,” rekao je Komi. Ova izjava došla je ubrzo nakon što je Apple predstavio iOS 8 koji je omogućio da bude tehnički nemoguće za kompaniju da čita podatke sa uređaja korisnika, čak i kada za to dobije sudski nalog. Apple tada nije bio primoran da oslabi svoje sigurnosne protokole, a Komi je tvrdio da će ovakvo rešenje loše da se pokaže. Godinu i po dana kasnije dešava se spor o kojem pišemo.

Podsetimo da je američka vlada i ranije želela da ima kompletan nadzor nad telekomunikacijama. NSA je još 1993. godine razvila projekat Clipper Chip koji je trebalo da bude backdoor kod telekom operatera. Posle „9/11” napada usledio je Patriot Act, koji je znatno povećao ovlašćenja državnim službama bez dodatnih naloga, a 2007. PRISM, tajni projekat prikupljanja podataka preko velikih IT kompanija.

Cena

Jednom napravljen presedan kasnije bi bio bolan. Američki pravni sistem zasnovan je upravo na mehanizmu presedana, na koji se uvek može pozvati. Slični zahtevi bi nedvosmisleno stizali i od drugih američkih službi bezbednosti, za slučajeve na kojima rade (sasvim drugačiji od pretpostavke počinjenog terorizma). I ne samo u SAD, već u svim zemljama gde se iPhone koristi, uključujući i tzv. nedemokratske režime.

Takva aktivnost bi loptu opet vratila na deo terena gde bi se Apple bavio tehničkim stvarima kojih je želeo da se reši, a sasvim sigurno bi dobio negativni publicitet.

Ako bi Apple krenuo da se bori sa važećim pravnim zahtevima drugih zemalja, komercijalni efekat bio bi težak. Ne treba biti mnogo pametan već se setiti šta se desilo Guglu u Kini: 2010. godine. Google je rekao „ne” državnoj cenzuri i potpuno se povukao sa unosnog kineskog tržišta koje je tada bilo u zaletu. Potencijalna neostvarena dobit meri se verovatno milijardama dolara. Danas su svi Guglovi servisi nedostupni sa teritorije Kine, dok Microsoft i Apple uspešno posluju u Kini.

Da je tema osetljiva pokazuje i relativno mlaka podrška „divova Silicijumske doline”. Pročitali smo pažljiva saopštenja Googlea, Facebooka i Twittera.

Konačno, ovakav „obogaljeni” iOS bio bi tražen i na crnom tržištu. Apple realno ne može da garantuje da takav iOS nikome neće pasti u ruke. S obzirom na to da bi vrednost modifikovanog iOS-a bila toliko velika, to bi bio svojevrsni magnet za hakere-kriminalce i strane obaveštajne službe – učinili bi sve da ga se dokopaju. Jedan od načina je i ubacivanje „insajdera” u Apple koji bi izneo kod.

Očigledno je da upravo takvog balasta Apple želi da se reši.

Ivan OBROVAČKI