EncroChat: пример того, почему "особо безопасный" иногда означает противоположное

В мире электроники и программного обеспечения много продуктов, позиционирующих себя как "особо безопасные", "невзламываемые", "противодействующие слежке" и тому подобное.

Ясное дело, что почти любой продукт просто обязан быть безопасным и гарантирующим приватность пользователю. Поэтому значительная часть таких "особо безопасных" слоганов указывает на ещё более высокий уровень безопасности и приватности / анонимности, чем требуется среднему пользователю.

Например, мессенджер Wickr иногда фигурирует в новостях как использующийся политиками в качестве особенно защищённого от стороннего вмешательства способа связи. Существуют якобы защищённые от такого вмешательства сотовые телефоны и смартфоны. Есть даже альтернативные компьютерные процессоры, якобы гарантирующие отсутствие известных уязвимостей и потенциальных бэкдоров от спецслужб.

Однако значительной частью пользователей таких "специальных" продуктов являются те, кто опасается внимания со стороны правоохранителей. Да, подавляющее большинство пользователей Tor Browser – законопослушные люди. Но если бы правоохранители могли, они бы с удовольствием "взломали" Tor, так как это привело бы к арестам невообразимых масштабов. Это желание правоохранителей, конечно же, распространяется и на остальные "особо безопасные" продукты, так как значительная часть их пользователей наверняка использует их для обеспечения незаконной деятельности.

Например, Wickr очень часто используется наркоторговцами, потому что он обещает оконечное шифрование (якобы даже Wickr не может читать чаты пользователей), позволяет чистить чаты, ставить на приложение пароль – и всё это подаётся разработчиками как отличительная черта приложения. Однако нарушать закон с аккаунта Wickr, известного публике (например, указанного в профиле продавца на даркмаркете) – очень плохая идея, так как компания-владелец приложения знает IP-адрес, с которого осуществлена авторизация в аккаунте. Само собой, правоохранители западных стран часто и успешно получают эту информацию у компании, предъявляя постановление суда. Таким образом, обещание "особой безопасности" при использовании Wickr для неосведомлённых преступников оборачивается, наоборот, серьёзным риском.

EncroChat

Другой, куда более показательный пример – "защищённые смартфоны" нидерландской компании EncroChat. Похожие проекты в 2015-2017 годах были скомпрометированы: у телефонов BlackBerry оказались бэкдоры спецслужб США, проект PGP Safe был закрыт, а компания-разработчик мессенджера Ennetcom была закрыта после ареста её создателя. На этом фоне EncroChat из мессенджера с оконечным шифрованием решил стать полноценной мобильной ОС.

Основанные на уже существующих моделях смартфонов (BQ Aquaris X2, Samsung или Blackberry), устройства могли быть запущены кнопкой запуска в режиме "для отвода глаз", выглядящем как обычная Android-система. При нажатии кнопки запуска вместе с кнопкой громкости запускалась настоящая система (защищённая паролем). Если при её запуске ввести определённый "чрезвычайный" пароль, ввести пароль неверно несколько раз или нажать специальную комбинацию клавиш, все данные на устройстве уничтожались.

Девайс имел SIM-карту, но не позволял писать обычные SMS или созваниваться по GSM-связи. В него были предустановлены мессенджер с основанным на OTR шифровании, такой же безопасный сервис обмена голосовыми сообщениями и сервис одноразовых записок. Все коммуникации были централизованы, так как в обязательном порядке проходили через сервер компании EncroChat во Франции.

На июль 2020 года такой девайс продавался за €1000, плюс полугодовая абонентская плата €1500.

Конечно, компания упоминала, что девайс будет полезен знаменитостям, которые ценят приватность и безопасность, но основными покупателями девайсов были вовсе не знаменитости.

Достоверно неизвестно, был ли EncroChat безопасен до 2020 года, но попытки взломать его правоохранители предпринимали с 2016 года. В конце концов французская Национальная жандармерия попросту тайно установила шпионские устройства непосредственно на серверы EncroChat. Это оборудование установило вредоносное ПО на серверы EncroChat и смартфоны их пользователей, позволяя читать переписки между абонентами и записывать вводимые ими пароли.

Информации в руках у правоохранителей оказалось много, и для её обработки 15 марта 2020 года с помощью Европола была создана международная спецгруппа. Британские расследователи упоминали «миллионы сообщений и сотни тысяч изображений», а начальница полиции Нидерландов Жаннин ван ден Берг (Jannine van den Berg) сказала, что это будто «сидеть за одним столом с преступниками, пока они обсуждают свои дела».

По оценкам французских жандармов, из 60 тысяч пользователей EncroChat 90% совершенно точно были преступниками, а британская полиция не нашла свидетельств в пользу того, что EncroChat вообще хоть кто-то использовал не для криминальной активности.

В мае 2020 года правоохранители решили, что пора отключить всем пользователям функцию экстренной очистки постоянной памяти, что позволило, в частности, использовать против устройств брутфорс, так как информация не терялась при многократном вводе неверного пароля для разблокировки.

Компания посчитала это багом и выпустила обновление, которое, однако, пользователи не могли установить из-за полицейского вируса. Только 12-13 июня компания поняла, что на самом деле происходит и начала сообщать пользователям о том, что им стоит физически уничтожать свои устройства, если на них содержится сенситивная информация.

Последствия

Доверие своих коммуникаций третьей стороне обошлось преступному миру дорого. Ниже перечислено только самое крупное, только по официальным данным и, вероятно, не всё из самых свежих событий.

Полиция Нидерландов арестовала более 100 человек, изъяла 8 тонн кокаина, 1.2 тонны метамфетамина, захватила 19 подпольных лабораторий и €20 млн наличными. Также благодаря взлому был обнаружен пыточный подвал на 7 камер.

Глава мощнейшей преступной группировки Ирландии Дэниел Кинахан (Daniel Kinahan) после новости о взломе EncroChat пустился в бега, фактически покинув свою организацию.

В Великобритании в рамках операции Operation Venetic задержано почти 1000 человек, изъято 2.5 тонны неназванных наркотиков плюс полтонны кокаина, £68.5 млн наличными, 28 млн таблеток успокоительного этизолам, четверо осуждены за покушение на жизнь человека, а также попались два коррумпированных служащих полиции.

Наверняка очень многие дела неучтены, но примерный масштаб понятен. И это далеко не единственное "безопасное" решение для преступников, которое на деле оказалось для них катастрофой. Навскидку, Phantom Secure использовался в том числе членами картеля Синалоа (владелец компании отбывает срок), компания MPC была создана парой шотландских гангстеров, а Sky ECC была скрытно заражена властями.

Очевидно, что преступникам не стоило доверять свою безопасность третьей стороне, и также очевидно, что правоохранители рады будут сами подсунуть всему миру "особо безопасное" средство связи, которое на самом деле будет под их контролем.