4 июня 2014

Беседка №21: об инициативе «kill switch» и её перспективах

Илья Субботин

Объемный анализ рассматриваемого в США законопроекта, который может коснуться подавляющего большинства смартфонов. Что «kill switch» грядущий нам готовит?

За прошедшие месяцы политики и представители правоохранительных органов [США] запросили создание функциональности «kill switch», позволяющей удаленно заблокировать украденные устройства. В Калифорнии и Миннесоте законопроекты, касающиеся этой функции, близки к принятию в виде закона, по мере того, как Конгресс рассматривает законопроект на уровне внутреннего законодательства. В то же время, последовал симметричный и схожий ответ от игроков индустрии мобильных телефонов, но эксперты по безопасности задались вопросом о работоспособности такого решения

К сожалению, никто до конца не уверен, какой должная быть «kill switch» (удаленная блокировка, удаленный сброс) и как она должна работать. Вот что нам нужно знать.

Что такое «kill switch»?

В большинстве видов техники «kill switch» представляет собой команду или кнопку, которая немедленно отключает сложную систему. В смартфоне, это команда «выключить». Однако, ведущие публичные фигуры в кампании по внедрению вышеуказанной функциональности, генеральные прокуроры штатов Нью-Йорк и Сан-Франциско, Эрик Шнайдерман и Джордж Гаскон соответственно, изначально требовали что-то большее, чем простое выключение устройства. Но даже их определение отлично от запроса большинства политиков, полученного годом позже.

Чего хотят политики?

На деле есть два вида функции удаленной блокировки смартфонов – «hard» (необратимое превращение смартфона в «кирпичик») и «soft» (телефон становится непригодным к использованию кем-либо кроме законного владельца). В июле 2013 года, когда Гаскон и Шнайдерман запустили инициативу Secure Our Smartphones (буквально, «защитите наши смартфоны»), требование к производителям смартфонов включало в себя лишь «hard»-версию, раз и навсегда блокировавшую устройство.

В соответствии с заявлением, изложенным в рамках инициативы, «активация удаленной блокировки сделает украденное устройство нерабочим в любой сети и любой точке земного шара. Такая функция заблокирует устройство, даже если оно выключено или сим-карта была удалена».

Текущие законопроекты Сенатов Калифорнии и Миннесоты, а так же федеральный акт по защите смартфонов после кражи предлагают ввести обратимую блокировку, «soft»-версию. Другими словами, новые предложения не содержат требований необратимой блокировки телефона. Калифорнийский законопроект, например, гласит, что функция удаленной блокировки должна «делать устройство нерабочим» для постороннего пользователя и работать, даже если придется «пережить hard reset» с целью «предупредить повторную активацию устройства посредством беспроводных сетей всеми, кроме законного владельца или его / её уполномоченного представителя».

«Soft»-законопроекты несколько отличаются друг от друга. Калифорнийский билль устанавливает активацию функции удаленной блокировки смартфонов по умолчанию, но добавляет возможность отказа от неё. Представитель Гаскона заявил, что его коллега из Сан-Франциско поддержал такое применение функции. В федеральном проекте говорится лишь о доступности функциональности, билль Миннесоты оговаривает «оснащенность» смартфонов таким решением. Все законопроекты определяют бесплатный характер удаленной блокировки.

Зачем нам «kill switch»?

Сторонники внедрения функциональности считают, что она станет волшебным средством борьбы со стремительно растущим уровнем краж смартфонов. Теоретически, удаленная блокировка сведет к нулю стимул для кражи смартфона, гарантируя невозможность отката украденных смартфонов к заводским настройкам или перепродажи в любой точке земного шара. Согласно данных исследования Consumer Reports, в 2013 году от кражи смартфонов пострадали 3.1 миллионов американцев, что почти в два раза больше, чем в 2012 году. Основываясь на данных 2012 года, FCC даёт такое соотношение: 1 из 3 краж касается мобильного гаджета (включая кражи iPad).

Отдельное исследование, проведенное IDG Research от имени Lookout Mobile security, выявило установившийся уровень потери на уровне 68% в США, Великобритании, Франции и Германии. Также, было выявлено практически одинаковое соотношение украденных устройств от Apple и Android-гаджетов. 44% краж стали результатом рассеянных владельцев, оставивших устройства без присмотра в общественных местах. Смартфон легко украсть со столика в кафе или вырвать из руки владельца и перепродать за сумму до 600 долларов в пределах внутреннего рынка или до 1000 долларов за границей. Большинство таких аппаратов подвергаются быстрому откату к заводским настройкам и впоследствии перепродаются. В практически каждом смартфоне хранится много личной информации, однако, ворам она не настолько интересна.

Просьбы о внедрении «kill switch» активизировались в середине 2013 года, когда стало ясно, что предпринятые меры против краж не дали должного результата. Годом ранее, четыре основных оператора мобильной связи США (AT&T, Sprint, T-Mobile и Verizon Wireless) начали использовать подробный черный список украденных телефонов. Этот черный список должен был гарантировать невозможность использования любого украденного телефона в мобильных сетях США. Но злоумышленники могли менять ID аппарата, дабы последний не распознавался как краденый или отправляли его за границу, где черный список был недействителен.

Имел место и прецедент, показательный для противников внедрения удаленной блокировки: по данным ФБР, по сравнению с началом 90х, объем краж аудиосистем из автомобилей снизился вдвое. Причиной этому частично стал активационный код, необходимый для работы заводских аудиосистем при отсоединении последних от аккумулятора автомобиля. Также, этому послужило возросшее качество заводских аудиосистем, благодаря чему меньше производителей стали заменять их неоригинальными моделями, которые было легче украсть и перепродать.

Как будет работать «kill switch» на смартфоне?

Вопрос пока остается без ответа. Ни один из законопроектов не уточняет, должна ли удаленная блокировка включаться в аппаратное или программное обеспечение, или повсеместно, и каким образом должна теоретическая команда по блокировке аппарата передаваться на украденный гаджет.

Что не так с удаленной блокировкой смартфона?

Ответ на вопрос зависит от вида блокировки. У предложенной Гасконом и Шнайдерманом «hard»-версии есть некоторые существенные проблемы. Неясно, будет ли она вообще работать. Смартфон сможет привести в непригодность к использованию лишь физическое воздействие, в другом случае, возможно, получится установить другую ОС или другую версию прошивки. Даже если и найдется способ удаленно «поджарить» микросхемы телефона, удаленная блокировка должна активироваться посредством беспроводного сигнала. Это отсылает нас к проблеме текущего черного списка похищенных аппаратов: если телефон был выключен или переведен в режим «самолета» сразу после кражи, то он может и не получить сигнал блокировки.

Далее, хакеры или озорники могут найти способ взломать сигнал «hard»-блокировки или даже сгенерировать свой собственный сигнал, получая возможность натворить дел. Чет Висниевски, аналитик по вопросам безопасности британского антивируса Sophos: “Всё может пойти не тем путем. Не успеете оглянуться, как полиция обяжет производителей автомобилей устанавливали удаленную блокировку во все машины. Абсолютно не обязательная вещь.”

Законопроекты о «soft»-блокировке на сегодняшний день сталкиваются с меньшими техническими сложностями. Но, т.к. все из них определяют обратимый характер блокировки, чтобы законный владелец смог вернуть телефон в рабочее состояние, то значит, что телефон не полностью заблокирован, и воры смогут найти способ самостоятельно обратить «kill switch».

Ассоциация CTIA (ассоциация производителей средств сотовой связи), орган, защищающий интересы индустрии мобильных телефонов возражает по поводу нарушения функциональностью удаленной блокировки правила FCC, по которому посредством каждого мобильного телефона должна быть возможность позвонить в экстренную службу 911, вне зависимости от того, кто использует аппарат. (Мы связались с FCC с целью уточнить эту информацию, по мере поступления новых данных статья дополнится.)

Что будет отличать единую удаленную блокировку от имеющихся решений?

Широко распространенные решения по безопасности, такие как Find My iPhone от Apple, Android Manager от Google, Find My Phone от Microsoft, а также многие сторонние приложения на Android, отлично справляются с задачами обнаружения, блокировки и удаления данных с украденных смартфонов, которые остаются подключенными к сотовым или сетям Wi-Fi. Но, по большей части они бесполезны, если телефон выключается или переводится в авиа-режим сразу после осуществления факта кражи.

Вполне возможно, что личная информация в телефоне – с возможностью автоматической авторизации в учетных записях электронной почты и социальных и медиасетей владельца – ценится больше, чем сам аппарат. Для огорченного бывшего владельца удаленная блокировка телефона с последующим списанием последнего как украденного и покупкой нового аппарата может стать лучшим выходом. Но это на руку и ворам, и оператору связи, обслуживавшем аппарат, владельцу лишь остаётся оплачивать счета.

Что насчет Activation Lock (Apple) и Reactivation Lock (Samsung)?

Вышеуказанные решения по большей части представляют собой то, о чем говорится в законопроекте федерального уровня и билле штата Калифорния.

Activation Lock, представленная с выходом iOS7 в сентябре 2013 года, добавляет дополнительную опцию к Find My iPhone, которая связывает устройство с учетной записью владельца. При активации опции, украденный смартфон невозможно будет повторно активировать после сброса к заводским настройкам без Apple ID и пароля владельца аппарата. У Apple есть преимущество перед другими производителями смартфонов, оно состоит в том, что каждое устройство для активации должно связаться с серверами компании посредством сотовых или Wi-Fi сетей. Это не случай с большинством устройств Android, у которых нет общей «базы».

В Samsung обошли эту проблему, создав свою «базу». Для использования Reactivation Lock, изначально доступной для Galaxy Note 3 в сентябре 2013 года, а теперь доступная и на Galaxy S5, пользователь создается учетную запись напрямую через Samsung, а не через оператора связи. Аппараты Samsung потребуют пароль пользователя для повторной активации аппарата после отката к заводским настройкам, и, в зависимости от применения, для начала самого отката. Samsung пришлось выпустить патч для Galaxy Note 3 с целью изменить значения для Reactivation Lock по умолчанию с «вкл» на «выкл» – многие пользователи, не знавшие о такой опции, не смогли получить доступ к устройствам. Reactivation Lock работает благодаря специальной «защищенной [от хард-ресета] области памяти», где хранится активационная информация. Другим Android-смартфонам придется иметь схожие встроенные аппаратные «фишки».

Почему такие опции есть не во всех смартфонах?

Некоторые видные публичные деятели говорят, что решения, подобные вышеупомянутым опциям от Apple и Samsung, недоступны на всех смартфонах в связи с обструкционизмом на уровне сотовых операторов, и в меньшей степени — на уровне производителей телефонов. Генеральный прокурор штата Нью-Йорк генерал Эрик Шнайдерман в своих официальных обращениях к Apple, Google, Microsoft и Samsungписал: «Я пытаюсь понять, почему компании, разрабатывающие высокотехнологичные устройства… не могут создать технологию, способную делать похищенные устройства нерабочими».

Контролер и руководитель пенсионного фонда того же штата, Томас ДиНаполи также письменно обращался к этим же компаниям в июне 2013 года и намекал, что государство может продать акции компаний на сумму до 3 миллиардов долларов, в случае отсутствия с их стороны значимого сотрудничества. Шнайдерман и ДиНаполи могли не знать, что на момент написания писем, Apple и Samsungуже разрабатывали Activation Lock и Reactivation Lock соответственно.

В ноябре 2013 года генеральный прокурор штата Сан-Франциско Джордж Гаскон заявил, что видел «утекшие» электронные письма, в которых представитель руководящего аппарата Samsung в частном порядке сетовал на отказ операторов большой американской «четверки» применять ранее разработанные Samsung решения, направленные против воровства, что уменьшило бы прибыль операторов от страховых выплат за смартфоны.

В своем интервью New York Times Гаскон пояснил: «Исходя из положений о корпоративной прибыли, не разрешается использование решений, которые могут иметь роковые [для устройств] последствия. Эти письма намекают на факт отказа операторов от решений Samsungс целью продолжения получения легкой и быстрой прибыли от страховых выплат». Как бы то ни было, никаких свидетельств этих писем приведено не было.

Что предлагает индустрия?

В апреле 2014 года ассоциация CTIAофициально представила встречную инициативу под названием «Smartphone Anti-Theft Voluntary Commitment», [можно передать как «добровольное обязательство по защите смартфона от кражи»]. Инициатива предлагает производителям смартфонов и ОС для них договориться о «бесплатном предоставлении пользователям базового инструмента защиты от кражи в качестве предустановленного или скачиваемого продукта».

Многие СМИ приняли это предложение как знак того, что производители смартфонов и операторы связи переложили свою поддержку в функциональность удаленной блокировки. (Пресс-релиз CTIA, в котором вводилась инициатива, использует термин «kill-switch» только в цитировании политиков, а в самом тексте релиза фраза не встречается.)

Участниками добровольного обязательства являются сливки мобильной индустрии США: Apple, страховщик Asurion, AT&T, Google, HTC, Huawei, LG, Motorola Mobility, Microsoft, Nokia, Samsung, Sprint, T-Mobile, U.S. Cellular и Verizon Wireles. Как бы то ни было, пристальное чтение предложения CTIAпоказало, что оно просто приводит к статусу «кво». Опции, которые будут «предлагать» предполагаемые участники – удаленная блокировка и удаление данных – уже заложены в Find My iPhone, Android Device Manager и Find My Phone, установленные в устройствах с iOS, Android и WP8.

Предложение CTIA гласит, что согласно его требованиям блокировка должна «делать смартфон нерабочим для незаконного пользователя» и «предотвращать повторную активацию без ведома законного владельца», но затем разъясняет, что это должно осуществляться «в технологически разумных пределах» и приводит в качестве примера «блокировку смартфона без возможности использовать его без пароля или пин-кода». Другими словами, обычного пользовательского пин-кода или пасс-кода достаточно для защиты телефона от попыток отката к заводским настройкам. Ясно, что это не работает — почти каждую модель смартфона можно откатить без пин-кода путем перевода в «recovery mode».

Что дальше?

Калифорнийский законопроект направляется на рассмотрение в законодательное собрание штата. Если он пройдет без каких-либо значительных изменений, а губернатор затем его подпишет, то он предпишет наличие soft-блокировки на всех смартфонах, продаваемых в штате после 1 июля 2015 года. Т.к. около 1/8 всех американцев живет в Калифорнии и Apple с Google базируются в этом штате, то закон может выйти с уровня штата на национальный уровень. Закон в Миннесоте вступит в силу одновременном с калифорнийским, но законопроекты палаты представителей и Сената касаемо удаленной блокировки отличаются друг от друга и перед отправкой на подписание губернатору нуждаются в согласовании.

Политические споры над калифорнийским законопроектом могли создать разрыв в рядах CTIA. Apple и Microsoft, являясь членами ассоциации и сторонами, подписавшими Smartphone Anti-Theft Voluntary Commitment, отказались от своего протеста против калифорнийского законопроекта после того, как были внесены поправки, исключающие планшеты из участия в инициативе и увеличившие сроки выполнения условий на 6 месяцев.

Сама CTIA продолжает противиться вышеуказанному проекту, заявляя после его прохождения в Сенат штата, что если «технологические обязательства вводятся в штат за штатом, целостность решений против воровства ставится под угрозу».

На федеральном уровне, ни Сенату, ни Палате Представителей наблюдающие органы пока не рекомендовали вынести свои законопроекты на полноценное голосование. Другой проект Сената, который сделает смену ID телефона федеральным преступлением, также «застрял». Но несмотря на то, будут ли успешны законодательные решения, или же канут в лету, технология может их обойти. Ко времени теоретического начала действия закона – осталось чуть больше года – все продаваемые в США смартфоны Apple и большинство смартфонов Samsung будут иметь встроенную опциональную функцию удаленной soft-блокировки.

Если эти добровольные усилия по внедрению удаленной блокировки поспособствуют резкому снижению уровня краж смартфонов, пользователи запросят её включение во все смартфоны. Противники удаленной блокировки смартфонов будут продолжать отговаривать от нее, но они могут быть подавлены неизбежной силой общего спроса.

Elir: статья была опубликована 14 мая текущего года, в день принятия в Миннесоте соответствующего законопроекта. Тем не менее, перспективы принятия закона об удаленной блокировке можно оценить уже сейчас. 

Оригинальная статья