30 апреля 2019

Google предоставляет активистам бесплатные ключи безопасности, но не во всех странах

Источники издания Motherboard сообщают, что Google препятствует распространению информации о своих security-решениях среди активистов в некоторых странах и регионах.

Зайдите на собрание активистов, технологов или журналистов, и вы можете найти бесплатную кучу ключей безопасности Google под названием Titan. Это небольшие устройства, которые пользователь Gmail может подключить к своему компьютеру через USB, чтобы его учетную запись было намного сложнее взломать. Ключи работают не только с учетными записями Google. Twitter и другие крупные сайты теперь также поддерживают аппаратные ключи безопасности. 

Но если вы активист в Иране, Судане, Сирии, Кубе, Крыму или Северной Корее, Google, вероятно, не предоставит вам ключ безопасности. Согласно двум независимым источникам, знакомым с подходом Google, а также документу, имеющемуся в нашем распоряжении, Google запрещает некоммерческим организациям и другим заинтересованным группам предоставлять такие инструменты или продвигать какой-либо из продуктов Google активистам в этих странах. 

Возможно, Google просто пытается придерживаться экспортного законодательства, однако не совсем ясно, нарушит ли предоставление устройств безопасности людям в этих странах какие-либо американские и международные эмбарго или законы об экспорте. Тем не менее, эта новость дает представление о потенциальных правовых барьерах, с которыми можно столкнуться при попытке работать в определенных частях света. Стоит отметить, что активисты в некоторых из этих стран могут дополнительно подвергаться высокому риску нападок со стороны своих правительств, которые уже давно подавляют гражданскую активность и свободу слова.

“Мы знаем, что группы высокого риска в некоторых из этих стран страдают от мошенников и вредоносных программ. Обидно, что компаниям не так просто им помочь и повысить их безопасность”, — сказал в интервью Motherboard Джон Скотт-Рейлтон, исследователь из Citizen Lab, организации, которая тщательно расследовала хакерские кампании против журналистов, активистов и правозащитников.

Ключи Titan работают как форма двухфакторной аутентификации в учетной записи Google. Часто двухфакторная аутентификация осуществляется в форме смс, отправляемого на телефон пользователя, или кода, сгенерированного в приложении. Несмотря на высокую эффективность защиты от хакеров для подавляющего большинства пользователей, обе эти формы кодов безопасности могут быть взломаны хакерами. Это означает, что пользователи, подвергающиеся высокому риску взлома, могут вместо этого выбрать аппаратный ключ безопасности, такой как Titan, который хакеру обойти намного сложнее, отчасти потому, что ему потребуется физический доступ к ключу.

Оба наших источника, знакомых с практикой Google, описали, как компания отправляет связанным с ней активистам различные документы, и призывает их не сообщать людям в этих странах о наличии каких-либо продуктов Google. Мы просмотрели соответствующий раздел одного из таких документов.

Конечно, Google может и не несет ответственность за предоставление отдельным сообществам большего количества инструментов безопасности. По-видимому, причина ограничения распространения продуктов компании заключается в эмбарго, наложенного на эти страны, а также в легализации экспорта, которая регулирует продажу или распространение определенных технологий, в том числе связанных с криптографией.

Однако точные контуры того, как это законодательство будет применяться к чему-то вроде ключа безопасности, не совсем ясны. Google отказался отвечать на наш вопрос о том, какие конкретно разделы законодательства касались распределения ключей безопасности.

Эдин Оманович, возглавляющий программу государственного надзора в Privacy International, написал в своем письме нашему сайту: “В США существует головокружительный лабиринт санкций и экспортных правил, которые затрагивают не только компании, но и отдельных людей, иногда даже если они находятся за границей. В прошлом мы видели, как правила экспорта криптографии наносили долгосрочный ущерб информационной безопасности, делая всех более уязвимыми”

Эксперты в области цифровых прав говорят, что технологические компании иногда слишком осторожны, когда речь идет о том, чтобы оставаться в рамках закона об экспорте и санкциях. Например, в прошлом году приложение Slack запретило доступ иранскому ученому, проживающему в Канаде, а Google не подключил некоторые инструменты для обхода цензуры в Интернете в Иране, хотя Amazon и Microsoft включили аналогичные инструменты в этой стране.

Питер Мицек, генеральный советник в предвыборной кампании Access Now, поделился с нами своими соображениями: “С тех пор, как я себя помню, чрезмерное соблюдение санкций и экспортного контроля в США, когда компании придерживаются наиболее консервативного толкования зачастую расплывчатых правил, препятствовало усилиям по распространению безопасного и открытого доступа в Интернет”.

И это может привести к конкретным проблемам безопасности у пользователей, уже подверженных риску.

“Когда компании чрезмерно соблюдают санкции и экспортный контроль, люди в странах, к которым применяются санкции, вынуждены прибегать к более рискованным альтернативам, включая нелицензионное программное обеспечение без последних обновлений безопасности”, — добавил Мицек.

Скотт-Рейлтон также отметил, что во время «арабской весны» сирийские активисты продолжали заражаться вредоносными программами, потому что они не могли получить доступ к Google Play Store для загрузки лицензионных приложений. Вместо этого они использовали приложения, скачанные из неизвестных или неофициальных источников. В течение многих лет группы хакеров, связанные с сирийским режимом и организацией «Хэзболла», распространяли вредоносные приложения для Android  среди сирийских активистов», — добавил он.

Ни министерство финансов США, ни министерство торговли не ответили на наш запрос о комментариях.

Представитель Google заявил Motherboard: “Мы всегда стремились обеспечить максимальную безопасность для всех наших пользователей, включая защиту, предназначенную для людей с повышенным риском. В течение многих лет мы вкладывали средства в продукты и инициативы для этих пользователей, в том числе: предупреждения Gmail о нападениях со стороны правительства, поддержку таких мероприятий, как RightsCon, защиту от DDoS-атак при помощи Project Shield, программы Advanced Protection и поддержку функционирования телефонов, работающих на Android. 7.0+ с ключами безопасности. Мы соблюдаем закон и будем продолжать работу по защите наших пользователей во всем мире”.

Оригинал: Motherboard

Перевод: РосКомСвобода

.

Читайте также: 

Регулируя интернет, не стоит стричь всех под одну гребенку

Тим Бернерс-Ли: «Давайте остановим погружение веба в мрачное будущее»

Битва за свободный интернет: «Разделяй и властвуй!»

Работает ли Google на китайскую цензуру?

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.