Δισεκατομμύρια άνθρωποι παγκοσμίως χρησιμοποιούν πλατφόρμες ιδιωτικών μηνυμάτων όπως το Signal, το WhatsApp και το iMessage για να επικοινωνούν με ασφάλεια. Αυτό είναι εφικτό χάρη στην end-to-end κρυπτογράφηση (E2EE), η οποία διασφαλίζει ότι μόνο ο αποστολέας και ο σκοπούμενος παραλήπτης μπορούν να δουν το περιεχόμενο ενός μηνύματος, χωρίς καμία πρόσβαση από τρίτους, ούτε καν από τον ίδιο τον πάροχο της υπηρεσίας.
Παρά την ευρεία υιοθέτηση των εφαρμογών E2EE, συμπεριλαμβανομένης της χρήσης τους από κυβερνητικούς αξιωματούχους, και τον ρόλο της κρυπτογράφησης στη διασφάλιση των ανθρωπίνων δικαιωμάτων, η κρυπτογράφηση, που μπορεί να είναι σωτήρια, δέχεται επιθέσεις σε όλο τον κόσμο.
Τι Είναι το Client-Side Scanning;
Οι επιθέσεις αυτές συχνότερα έρχονται με τη μορφή του client-side scanning (CSS), το οποίο ήδη προωθείται στην ΕΕ, το Ηνωμένο Βασίλειο, τις ΗΠΑ και την Αυστραλία.
Το CSS περιλαμβάνει τη σάρωση φωτογραφιών, βίντεο και μηνυμάτων στη συσκευή ενός ατόμου σε σύγκριση με μια βάση δεδομένων γνωστού αμφισβητούμενου υλικού, πριν το περιεχόμενο σταλεί μέσω κρυπτογραφημένης πλατφόρμας μηνυμάτων. Πριν ένα άτομο ανεβάσει ένα αρχείο σε ένα κρυπτογραφημένο παράθυρο μηνυμάτων, αυτό θα μετατρέπεται σε ψηφιακό αποτύπωμα ή “hash” και θα συγκρίνεται με μια βάση δεδομένων ψηφιακών αποτυπωμάτων απαγορευμένου υλικού. Μια τέτοια βάση δεδομένων θα μπορούσε να φιλοξενείται στη συσκευή ενός ατόμου ή σε επίπεδο διακομιστή.
Η Υπόσχεση της Ιδιωτικότητας και η Πραγματικότητα
Οι υποστηρικτές του CSS υποστηρίζουν ότι είναι μια μέθοδος ελέγχου περιεχομένου που σέβεται την ιδιωτικότητα προς το συμφέρον της διαδικτυακής ασφάλειας. Ωστόσο, το CSS υπονομεύει την ιδιωτικότητα και την ασφάλεια που παρέχουν οι πλατφόρμες E2EE. Είναι σε αντίθεση με τις αρχές της αναγκαιότητας και αναλογικότητας, και η εφαρμογή του θα διέβρωνε την αξιοπιστία των καναλιών E2EE – το πιο κρίσιμο εργαλείο που έχουμε για ασφαλή και ιδιωτική επικοινωνία σε ένα ψηφιακό οικοσύστημα που κυριαρχείται από υπερβολική παρακολούθηση.
Προστατεύει το CSS την Ιδιωτικότητα και τα Ανθρώπινα Δικαιώματα;
Απλά ειπωμένα, όχι. Η προληπτική ανίχνευση περιεχομένου και η προστασία της ιδιωτικότητας δεν μπορούν να συνυπάρξουν σε μια πλατφόρμα E2EE. Ενώ το CSS μπορεί τεχνικά να διατηρήσει κάποιες ιδιότητες E2EE, καθώς συμβαίνει πριν κρυπτογραφηθεί ένα μήνυμα, ακυρώνει ολόκληρο τον σκοπό και την υπόσχεση του E2EE για διατήρηση της εμπιστευτικότητας.
Όσον αφορά την ιδιωτικότητα και την ασφάλεια των ανθρώπων, η ικανότητα του CSS να παρακάμπτει το E2EE είναι ουσιαστικά η ίδια με την εγκατάσταση μιας κερκόπορτας που επιτρέπει την πρόσβαση σε κρυπτογραφημένα δεδομένα που διαφορετικά δεν θα ήταν δυνατή. Το δικαίωμα στην ιδιωτικότητα είναι τόσο καλό όσο η ικανότητά μας να το ασκήσουμε, αλλά το CSS θα ανάγκαζε τις πλατφόρμες να αλλάξουν την αρχιτεκτονική τους και να προδώσουν τις αρχές “privacy-by-design” που επιτρέπουν στους ανθρώπους να ασκήσουν αυτό και άλλα δικαιώματα.
Κάνει το CSS το Διαδίκτυο Πιο Ασφαλές;
Όχι, δεν το κάνει. Ενώ το να κάνουμε το διαδίκτυο πιο ασφαλές για ευάλωτους και περιθωριοποιημένους ανθρώπους είναι ένας νόμιμος στόχος, το CSS ως μέσο δεν μπορεί να δικαιολογήσει αυτόν τον σκοπό. Είτε η σάρωση γίνεται στη συσκευή είτε σε διακομιστή, το CSS επιτρέπει την ανακάλυψη περιεχομένου που μοιράζεται μέσω E2EE με κάποια μορφή. Αυτή η επέκταση της επιφάνειας επίθεσης κάνει το διαδίκτυο λιγότερο ασφαλές, όχι περισσότερο.
Ερευνητές έχουν αποδείξει ότι τα hashes μπορούν να χειραγωγηθούν για να εξαναγκάσουν ή να αποφύγουν αντιστοιχίσεις, πράγμα που σημαίνει ότι κακόβουλοι δράστες θα μπορούσαν να εκμεταλλευτούν τον μηχανισμό ανίχνευσης για να κρύψουν υλικό, να συλλέξουν ευαίσθητα δεδομένα ή να ενοχοποιήσουν αθώους ανθρώπους. Αυτό απειλεί την εθνική ασφάλεια και την οικονομική σταθερότητα όσο απειλεί και τα ανθρώπινα δικαιώματα.
Οι Κίνδυνοι της Επέκτασης Αποστολής
Υπάρχει επίσης ένας μεγάλος κίνδυνος επέκτασης της αποστολής και δημιουργίας επικίνδυνων προηγούμενων. Ακόμη και αν το CSS εισαχθεί μόνο για να εντοπίσει έναν συγκεκριμένο τύπο περιεχομένου, θα ήταν απλώς θέμα χρόνου πριν η τεχνολογία χρησιμοποιηθεί από αυταρχικές κυβερνήσεις για να καταστείλουν πολιτικό και καλλιτεχνικό υλικό ή για να στοχεύσουν αντιφρονούντες, δημοσιογράφους και υπερασπιστές ανθρωπίνων δικαιωμάτων. Η σάρωση ιδιωτικών μηνυμάτων είναι ένας σίγουρος τρόπος να παγώσει η ελευθερία του λόγου, και ένας που επηρεάζει δυσανάλογα τις ευάλωτες κοινότητες.
Ένα φιλικό προς την ιδιωτικότητα εργαλείο παρακολούθησης δεν υπήρξε ποτέ, και το CSS δεν αποτελεί εξαίρεση. Θα σάρωνε αδιακρίτως όλα τα μηνύματα που επιδιώκεται να ανεβούν, χωρίς καμία υποψία ή ένταλμα, πράγμα που σημαίνει ότι οποιοσδήποτε χρησιμοποιεί ένα κρυπτογραφημένο κανάλι αντιμετωπίζεται ως πιθανός εγκληματίας. Η Νομική Υπηρεσία του Συμβουλίου της ΕΕ έχει τονίσει ότι θα μπορούσε να οδηγήσει σε μαζική παρακολούθηση, να υπονομεύσει την κρυπτογράφηση και να παραβιάσει το δικαίωμα στην ιδιωτικότητα και την προστασία δεδομένων.
Είναι το CSS Τεχνικά Εφικτό;
Σε πολλές χώρες, όπως το Ηνωμένο Βασίλειο και η Αυστραλία, οι νομοθετικές προτάσεις για τη διαδικτυακή ασφάλεια απαιτούν από τις πλατφόρμες να εφαρμόσουν μια σειρά μέτρων, αλλά με εξαιρέσεις για την εφαρμογή ορισμένων συστημάτων εάν αυτό δεν είναι “τεχνικά εφικτό”.
Δεν υπάρχει επί του παρόντος καμία γνωστή, τεχνικά εφικτή μέθοδος για την εφαρμογή CSS. Οι πλατφόρμες E2EE είναι σχεδιασμένες να είναι ανίκανες να ανιχνεύσουν περιεχόμενο, και καμία τέτοια λειτουργία δεν μπορεί να ενεργοποιηθεί χωρίς να αλλάξει η αρχιτεκτονική της πλατφόρμας προκειμένου να εισαχθεί μια “ευπάθεια” ή “συστημική αδυναμία” που υπονομεύει την ιδιωτικότητα.
Τα Προβλήματα με την Ακρίβεια
Οι τεχνικές αξιολογήσεις εφικτότητας του CSS έχουν διαπιστώσει ότι έχει υψηλό ποσοστό σφάλματος, επιστρέφοντας συχνά ψευδή αποτελέσματα. Τέτοια ψευδώς θετικά μπορεί να είναι καταστροφικά, όπως φάνηκε όταν ένας πατέρας σημάνθηκε ως πιθανός παιδόφιλος αφού μοιράστηκε φωτογραφίες του παιδιού του με έναν γιατρό ενώ ζητούσε ιατρική συμβουλή.
Το CSS αποτυγχάνει στη δοκιμή αναγκαιότητας και αναλογικότητας· μια τεχνολογία που δεν λειτουργεί δεν μπορεί να θεωρηθεί αναγκαία, ενώ η αδιάκριτη στόχευση που θα επέτρεπε είναι εγγενώς δυσανάλογη.
Μια μελέτη αξιολόγησης επιπτώσεων του Ευρωπαϊκού Κοινοβουλίου επιβεβαίωσε ότι δεν υπάρχουν επί του παρόντος λύσεις CSS που δεν οδηγούν σε υψηλά ποσοστά σφάλματος, καταλήγοντας στο συμπέρασμα ότι το CSS θα υπονόμευε το E2EE και τη γενική ασφάλεια των επικοινωνιών. Εν τω μεταξύ, η επιτροπή Πολιτικών Ελευθεριών του ίδιου κοινοβουλίου ψήφισε κατά μιας πρότασης CSS που θα είχε αναπτύξει μαζική σάρωση σε όλη την Ευρώπη.
Υπάρχουν Εναλλακτικές για την Επιβολή του Νόμου;
Η καταπολέμηση της παιδικής σεξουαλικής κακοποίησης και άλλων εγκλημάτων κατά ευάλωτων ατόμων είναι ένα πολύπλοκο πρόβλημα που απαιτεί πολύπλοκες λύσεις. Ενώ τα ψηφιακά στοιχεία μπορεί να είναι χρήσιμα στις αρχές επιβολής του νόμου που ερευνούν τέτοιες καταχρήσεις, η υπονόμευση των υπηρεσιών E2EE για όλους προκειμένου να αποκτηθούν αποδεικτικά στοιχεία είναι ένα δυσανάλογο μέτρο που συνδέεται με αυξημένους κινδύνους ιδιωτικότητας και ασφάλειας.
Μια Πολύπλευρη Προσέγγιση
Το να βασιζόμαστε αποκλειστικά στην τεχνολογία κινδυνεύει να τοποθετήσει ακόμη περισσότερη εξουσία στα χέρια των ιδιοκτητών πλατφορμών, συμπεριλαμβανομένων των εταιρειών Big Tech, δίνοντάς τους τη δυνατότητα να εισβάλλουν περαιτέρω στην ιδιωτικότητα των ανθρώπων και να συλλέγουν περισσότερα ευαίσθητα δεδομένα, χωρίς διαφάνεια ή λογοδοσία. Είναι ζωτικής σημασίας να αποφύγουμε τον τεχνο-λυτρωτισμό ως αυτόματη μέθοδο για την αντιμετώπιση πολύπλοκων κοινωνικών προβλημάτων που έχουν μια σειρά αιτιών. Η διατήρηση της ασφάλειας ευάλωτων ατόμων, συμπεριλαμβανομένων των παιδιών, στο διαδίκτυο απαιτεί μια πολύπλευρη προσέγγιση.
Είναι απαραίτητο να βελτιώσουμε την ικανότητα των ανθρώπων να αναφέρουν παράνομο περιεχόμενο και να λαμβάνουν αποζημίωση, τόσο μέσω της εκπαίδευσης και της ευαισθητοποίησης, όσο και μέσω αλλαγών στον σχεδιασμό της πλατφόρμας και της δημιουργίας ισχυρών μηχανισμών εμπιστοσύνης και ασφάλειας. Επίσης, πρέπει να χρηματοδοτήσουμε την ανάπτυξη ικανοτήτων και δεξιοτήτων για τους κοινωνικούς λειτουργούς, για να τους βοηθήσουμε να κατανοήσουν και να εκπαιδεύσουν άλλους σχετικά με τα διάφορα οφέλη και τους κινδύνους της τεχνολογίας.
Οι ειδικοί έχουν δείξει ότι οι φόβοι για την κρυπτογράφηση που εμποδίζει την αστυνομία να παρακολουθεί επικοινωνίες είναι υπερβολικοί. Αντίθετα, ζούμε σε μια “χρυσή εποχή” παρακολούθησης, με τις αρχές επιβολής του νόμου να μπορούν ήδη να έχουν νόμιμη πρόσβαση σε πληθώρα μη κρυπτογραφημένων δεδομένων.
Γιατί Πρέπει να Απορρίψουμε τη Ψευδή Διχοτομία Μεταξύ Ιδιωτικότητας και Ασφάλειας;
Παρά τις προσπάθειες των ρυθμιστικών αρχών να υποστηρίξουν το αντίθετο, η προσπάθεια να τοποθετηθούν η ιδιωτικότητα και η ασφάλεια σε αντίθεση μεταξύ τους μόνο υπονομεύει περαιτέρω τη διαδικτυακή ασφάλεια. Μέτρα λογοδοσίας πλατφόρμας είναι, φυσικά, απαραίτητα για να διασφαλιστεί η ασφάλεια και η προστασία των δικαιωμάτων. Αλλά η στόχευση της κρυπτογράφησης είναι σαν να χάνουμε το δάσος για το δέντρο.
Ανεξάρτητα από το πόσο καλοπροαίρετη είναι, οποιαδήποτε ρύθμιση διαδικτυακής ασφάλειας που υπονομεύει την κρυπτογράφηση είναι νομοθετική ευσεβής πόθος. Η κρυπτογράφηση, η ιδιωτικότητα και η ασφάλεια πάνε χέρι-χέρι, και είναι καιρός να παραμερίσουμε προτάσεις που απειλούν αυτή τη σχέση.
Συμπέρασμα
Το client-side scanning αντιπροσωπεύει μια θεμελιώδη απειλή για την ψηφιακή ιδιωτικότητα και ασφάλεια που έχουμε κατορθώσει μέσω της end-to-end κρυπτογράφησης. Ενώ οι στόχοι της προστασίας των ευάλωτων ατόμων και της καταπολέμησης του εγκλήματος είναι ευγενείς, το CSS δεν είναι η λύση. Δημιουργεί περισσότερα προβλήματα από όσα επιλύει, διευρύνοντας τις επιφάνειες επίθεσης, δημιουργώντας ευκαιρίες για κατάχρηση και υπονομεύοντας τα θεμέλια της ασφαλούς επικοινωνίας.
Η πραγματική ασφάλεια και η πραγματική ιδιωτικότητα δεν είναι αντίθετες δυνάμεις – είναι συμπληρωματικές. Καθώς προχωράμε στην ψηφιακή εποχή, πρέπει να αντισταθούμε στις προσπάθειες που θα θυσίαζαν την ιδιωτικότητα εκατομμυρίων για την ψευδαίσθηση της ασφάλειας. Η προστασία των ευάλωτων απαιτεί σκεπτόμενες, στοχευμένες προσεγγίσεις που σέβονται τα ανθρώπινα δικαιώματα, όχι τεχνολογικές λύσεις που μετατρέπουν κάθε συσκευή σε εργαλείο παρακολούθησης.
Το μέλλον της ψηφιακής επικοινωνίας εξαρτάται από τη διατήρηση ισχυρής κρυπτογράφησης. Το client-side scanning δεν είναι ένας συμβιβασμός – είναι μια καταστροφή που περιμένει να συμβεί. Πρέπει να το απορρίψουμε αποφασιστικά και να επικεντρωθούμε σε λύσεις που πραγματικά ενισχύουν την ασφάλεια χωρίς να υπονομεύουν τα θεμελιώδη δικαιώματά μας στην ιδιωτικότητα.
Πηγή άρθρου: https://www.accessnow.org/