Центр обработки данных АНБ стоимостью $2 млрд в Блаффдейле, Юта (источник: businessweek.com)
Исследователи безопасности, изучающие опровержения по PRISM, сделанные компаниями, предположительно предоставляющими данные АНБ, говорят, что используемый язык подозрительно схож. Акцент наш:
Google: Во-первых, мы не присоединялись ни к какой программе, которая предоставила бы правительству США — или любому другому правительству — прямой доступ к нашим серверам.
Apple: «Мы не предоставляем никакому государственному агентству прямой доступ к нашим серверам, и любое государственное агентство, запрашивающее данные клиентов, должно получить постановление суда».
Facebook: Facebook не является и никогда не был частью какой-либо программы, предоставляющей США или любому другому правительству прямой доступ к нашим серверам.
Тот факт, что была использована одна и та же фраза, вряд ли является совпадением. Один исследователь безопасности, с которым я общался, сказал, что формулировка лишь исключает получение данных АНБ с серверов; это не означает, что компании не передавали данные АНБ. Если АНБ получило секретное постановление суда, требующее от компаний передать данные, то, конечно, заявления о том, что они предоставляют данные только тогда, когда это требуется по закону, также будут правдой…
Последующее заявление Google, конечно, пошло дальше:
Сообщения прессы, предполагающие, что Google предоставляет неограниченный доступ к данным наших пользователей, являются ложными, точка.
Хотя это заявление кажется категоричным, исследователь безопасности, с которым я разговаривал на условиях анонимности, сказал, что в области безопасности под «пользовательскими данными» обычно понимаются «данные, которые могут быть конкретно связаны с названным лицом». Метаданные, не связанные с именем учетной записи, не считаются пользовательскими данными. Вот как, по его мнению, могли бы работать эти вещи.
АНБ сообщает Google о интересующем его содержимом, например, имя, место или дата. Google помечает взаимодействия — электронные письма, чаты и т. д. — содержащие это содержимое.
Google присваивает 32-битный хеш каждой учетной записи. Только Google знает, какой хеш соответствует какой учетной записи. Google передает метаданные АНБ, которые показывают, что учетная запись X отправляла электронные письма учетным записям Y и Z с этим содержимым, и все трое также общались в Google Hangouts в эти даты. Google не предоставлял содержимое сообщений, и поскольку Google не предоставляет имена учетных записей, ничто из этого не считается «пользовательскими данными».
Как только АНБ решает, что хочет узнать, кто такие X, Y и Z, оно получает конкретные постановления суда, требующие от Google передать данные учетных записей. Все соблюдали закон, опровержения Google правдивы, и АНБ получило то, что хотело.
В интересном повороте событий, источник слайдов PRISM — теперь раскрытый The Guardian как 29-летний «специалист по технологиям» Эдвард Сноуден — сделал довольно причудливое заявление.
Не все аналитики имеют возможность отслеживать все. Но я, сидя за своим столом, безусловно, имел полномочия прослушивать кого угодно — от вас или вашего бухгалтера до федерального судьи и даже президента, если у меня была личная электронная почта.
Полное интервью вы можете посмотреть в видео ниже.
http://youtu.be/kaRvzQ887HM