Microsoft FBI-ju omogućio pristup šifriranim podacima i doveo u pitanje sigurnost korisnika
Tehnološki div navodi da godišnje prima oko 20 zahtjeva za BitLocker ključeve te da ih državnim tijelima dostavlja na temelju valjanih sudskih naloga. No tvrtke poput Applea i Mete svoje su sustave postavile tako da takvo narušavanje privatnosti nije moguće.
Početkom prošle godine FBI je Microsoftu uručio sudski nalog za pretragu, zatraživši da dostavi ključeve za oporavak kako bi se otključali šifrirani podaci pohranjeni na tri prijenosna računala. Savezni istražitelji na Guamu, američkom teritoriju u Tihom oceanu, vjerovali su da se na tim uređajima nalaze dokazi koji bi pomogli potvrditi da su osobe uključene u upravljanje otočnim programom pomoći za nezaposlene tijekom pandemije covida, bile dio zavjere za pronevjeru sredstava.
Podaci su bili zaštićeni BitLockerom, softverom koji je automatski uključen na mnogim modernim Windows računalima kako bi zaštitio sve podatke na tvrdom disku računala. BitLocker šifrira podatke tako da ih mogu dešifrirati samo oni koji imaju ključ.
Korisnici mogu pohraniti te ključeve na uređaj koji posjeduju, no Microsoft također preporučuje korisnicima BitLockera da radi praktičnosti ključeve pohrane na njegove poslužitelje. Iako to znači da netko može pristupiti svojim podacima ako zaboravi lozinku ili ako se uređaj zaključa nakon više neuspješnih pokušaja prijave, takva praksa korisnike također čini ranjivima na sudske pozive i naloge tijela za provođenje zakona.
U slučaju s Guama, Microsoft je istražiteljima predao ključeve za šifriranje.
Dosad primili 20 zahtjeva
Microsoft je potvrdio za Forbes da doista dostavlja BitLocker ključeve za oporavak ako zaprimi valjani pravni nalog. “Iako oporavak ključeva nudi praktičnost, on nosi i rizik neovlaštenog pristupa, pa Microsoft smatra da su korisnici u najboljoj poziciji da sami odluče… kako će upravljati svojim ključevima”, rekao je glasnogovornik Microsofta Charles Chamberlayne.
Naveo je da tvrtka godišnje primi oko 20 zahtjeva za BitLocker ključeve te da u mnogim slučajevima korisnik nije pohranio ključ u oblaku, zbog čega Microsoft ne može pomoći. Slučaj s Guama prvi je poznati primjer u kojem je tvrtka iz Redmonda u saveznoj državi Washington ikada predala bilo kakav ključ za šifriranje tijelima za provođenje zakona. Još 2013. jedan je Microsoftov inženjer tvrdio da su mu se vladini dužnosnici obratili s zahtjevom da ugradi “stražnja vrata” u BitLocker, no da je takve zahtjeve odbio. Senator Ron Wyden izjavio je za Forbes da je “jednostavno neodgovorno da tehnološke kompanije isporučuju proizvode na način koji im omogućuje da potajno predaju ključeve za šifriranje korisnika”.
“Dopuštanje ICE-u ili drugim Trumpovim poslušnicima da potajno dođu do ključeva za šifriranje korisnika daje im pristup cjelokupnom digitalnom životu te osobe i ugrožava osobnu sigurnost korisnika i njihovih obitelji”, dodao je.
Ovo nije problem samo u SAD-u. Jennifer Granick, savjetnica za nadzor i kibernetičku sigurnost u Američkoj uniji za građanske slobode (ACLU), istaknula je da i strane vlade s upitnim stanjem ljudskih prava od tehnoloških divova poput Microsofta traže podatke. “Udaljena pohrana ključeva za dešifriranje može biti vrlo opasna”, rekla je. Policijske i istražne službe redovito traže od tehnoloških kompanija da im dostave ključeve za šifriranje, uvedu pristup putem stražnjih vrata ili na druge načine oslabe sigurnost. No druge su tvrtke to odbile. Apple je osobito više puta bio suočen sa zahtjevima za pristup šifriranim podacima u svom oblaku ili na svojim uređajima. U vrlo medijski popraćenom sukobu s vladom 2016. godine, Apple se suprotstavio nalogu FBI-ja da pomogne u otključavanju telefona terorista koji su u San Bernardinu u Kaliforniji ubili 14 ljudi. Na kraju je FBI angažirao vanjskog izvođača koji je hakirao iPhone uređaje.
Moguća zloupotreba podataka
Stručnjaci za privatnost i enkripciju rekli su za Forbes da bi teret trebao biti na Microsoftu da korisnicima osigura snažniju zaštitu osobnih uređaja i podataka. Apple, sa svojim usporedivim sustavima FileVault i Passwords, kao i Metina aplikacija za razmjenu poruka WhatsApp, također omogućuju korisnicima sigurnosne kopije podataka i pohranu ključa u oblaku. No obje tvrtke dopuštaju i da korisnik ključ pohrani u šifriranoj datoteci u oblaku, čime zahtjevi tijela za provođenje zakona postaju beskorisni. Za nijednu od njih nije zabilježeno da su ikada predale ključeve za šifriranje. “Riječ je o privatnim podacima na privatnom računalu, a oni su donijeli arhitektonsku odluku da zadrže pristup tim podacima. Apsolutno bi ih trebali tretirati kao nešto što pripada korisniku”, rekao je Matt Green, stručnjak za kriptografiju i izvanredni profesor na Institutu za informacijsku sigurnost Sveučilišta Johns Hopkins.”Ako to može Apple, ako to može Google, onda to može i Microsoft. Microsoft je jedina tvrtka koja to ne radi”, dodao je. “Pomalo je čudno… Pouka je da, ako imate pristup ključevima, tijela za provođenje zakona će prije ili kasnije doći po njih.”
Granick je izrazila zabrinutost zbog širine informacija do kojih bi FBI mogao doći ako agenti dobiju pristup podacima zaštićenima BitLockerom. “Ključevi vladi daju pristup informacijama daleko izvan vremenskog okvira većine kaznenih djela, svemu što se nalazi na tvrdom disku”, rekla je. “Tada moramo vjerovati da će agenti tražiti samo informacije relevantne za ovlaštenu istragu i da neće iskoristiti tu priliku kako bi ‘čeprkali’ po ostalim podacima.”
U slučaju s Guama, sudska dokumentacija pokazuje da je nalog uspješno izvršen. Odvjetnik optužene Charisse Tenorio, koja se izjasnila da nije kriva, rekao je da su informacije koje su mu dostavili tužitelji uključivale podatke s računala njegove klijentice te reference na BitLocker ključeve koje je Microsoft predao FBI-ju. Slučaj je i dalje u tijeku.
Otvorena Pandorina kutija
I Green i Granick rekli su da bi Microsoft mogao omogućiti korisnicima instaliranje ključa na hardverski uređaj poput USB memorije, koja bi služila kao sigurnosna kopija ili ključ za oporavak. Microsoft tu opciju dopušta, ali ona nije zadana postavka za BitLocker na Windows računalima.
Bez ključeva za šifriranje koje je dostavio Microsoft, FBI bi imao velikih poteškoća u izvlačenju bilo kakvih korisnih podataka s računala. Prema Forbesovoj analizi ranijih slučajeva, BitLockerovi algoritmi za šifriranje pokazali su se neprobojnima za ranije pokušaje tijela za provođenje zakona. Početkom 2025. forenzički stručnjak iz jedinice Homeland Security Investigations američke imigracijske službe ICE naveo je u sudskom dokumentu da njegova agencija “ne posjeduje forenzičke alate za probijanje uređaja šifriranih Microsoft BitLockerom ili bilo kojim drugim oblikom enkripcije”. U jednom ranijem slučaju savezni su istražitelji došli do ključeva otkrivši da ih je osumnjičenik pohranio na nešifriranim diskovima. Sada kada FBI i druge agencije znaju da će Microsoft postupiti po nalozima poput onoga u slučaju s Guama, vjerojatno će upućivati sve više zahtjeva za ključeve za šifriranje, rekao je Green. “Moje je iskustvo da se, jednom kada se američka vlada navikne na neku mogućnost, nje vrlo teško odriče.”
Thomas Brewster, novinar Forbesa
