Πώς οι ευρωπαϊκές κυβερνήσεις συζητούν (μυστικά) για το χακάρισμα του WhatsApp και του Signal

Λογοκριμένα έγγραφα τα οποία ήρθαν στο φως μετά από αιτήματα Πρόσβασης στην Πληροφορία αποκαλύπτουν την εν κρυπτώ συζήτηση μεταξύ κυβερνήσεων και ευρωπαϊκών αρχών με σκοπό την άλωση των κρυπτογραφημένων εφαρμογών. Το Reporters United συμμετέχει στη διασυνοριακή έρευνα του Lighthouse Reports μαζί με την ολλανδική εφημερίδα NRC και το IRPI από την Ιταλία.

Εικονογράφηση: Spoovio.
14 Ιουνίου 2022
Πώς οι ευρωπαϊκές κυβερνήσεις συζητούν (μυστικά) για το χακάρισμα του WhatsApp και του Signal
Εικονογράφηση: Spoovio.
14 Ιουνίου 2022



Η έρευνα έγινε από το Lighthouse Reports, τη Monde (Γαλλία), το Spiegel (Γερμανία), το ARD (δημόσια ραδιοτηλεόραση / Γερμανία) και τον Guardian (Βρετανία). Το Reporters United απέκτησε πρόσβαση και μελέτησε τα τεκμήρια και το υλικό της έρευνας και τη δημοσιεύει αποκλειστικά στα ελληνικά. Παράλληλες δημοσιεύσεις ως τώρα: Le Monde, Der Spiegel, Guardian.

Τα τελευταία δύο χρόνια οι ευρωπαϊκές κυβερνήσεις διεξάγουν μυστικές συζητήσεις για το πώς θα μπορούσαν να χακάρουν επικοινωνίες που γίνονται μέσω κρυπτογραφημένων λογισμικών, όπως του WhatsApp και του Signal.

Αυτό αποκαλύπτει ένας θησαυρός από βαριά λογοκριμένα έγγραφα που ήρθε στο φως μετά από αίτημα για πρόσβαση σε έγγραφα σύμφωνα με το δικαίωμα πρόσβασης στην πληροφορία (Freedom of Information) στην Ολλανδία. Τα έγγραφα δίνουν για πρώτη φορά μια σπάνια εικόνα για τις μυστικές διαβουλεύσεις των κυβερνήσεων εν αγνοία της ευρωπαϊκής κοινής γνώμης παρότι αυτό θα έχει τεράστιες συνέπειες για την ιδιωτική ζωή εκατοντάδων εκατομμυρίων πολιτών.

Τα έγγραφα περιλαμβάνουν κυρίως συζητήσεις μεταξύ κυβερνητικών αξιωματούχων από την Ολλανδία, το Ηνωμένο Βασίλειο, τη Γερμανία και την ΕΕ από τις οποίες προκύπτουν οι κίνδυνοι που θα δημιουργούσε η απρόσκοπτη πρόσβαση των αρχών σε εφαρμογές κινητών τηλεφώνων.

«Βρισκόμαστε σε συζητήσεις με τους μεγάλους παίκτες του Ίντερνετ: Τους ζητάμε να μας δώσουν πρόσβαση μέσω των κενών ασφαλείας τους. Αναμφίβολα χρειαζόμαστε έναν νόμο που θα υποχρεώνει τους ξένους παρόχους υπηρεσιών»

Ζεράλντ Νταρμανέν, υπουργός Εσωτερικών της Γαλλίας

Συχνά πολιτικοί υπόσχονται τεχνικές λύσεις που θα επιτρέψουν την πρόσβαση σε κρυπτογραφημένες επικοινωνίες με σκοπό την καταπολέμηση της τρομοκρατίας και  της διανομής εικόνων που σχετίζονται με κακοποίηση παιδιών, χωρίς παράλληλα  να διακυβεύεται η ασφάλεια των εφαρμογών, όπως το WhatsApp και το Signal.

Όμως, τα σημεία των εγγράφων που δεν έχουν λογοκριθεί από τις αρχές αρκούν για να υποδηλώσουν ότι προς το παρόν δεν υφίσταται τέτοια λύση.

«Δεν υπάρχει επί του παρόντος καμία προοπτική για την προσαρμογή των εφαρμογών κρυπτογράφησης ώστε να είναι δυνατή η στοχευμένη εξαιρετική πρόσβαση σε ατομικό επίπεδο, χωρίς να καθίσταται πολύ ευάλωτη η ασφάλεια των ψηφιακών συστημάτων που χρησιμοποιούν κρυπτογράφηση», παραδέχονται στελέχη του ολλανδικού υπουργείου Δικαιοσύνης.

Ενώ υποστηρικτές της ιδιωτικότητας και στελέχη μεγάλων εταιρειών λένε δημόσια ότι οι πολιτικοί θέτουν έναν ανέφικτο στόχο, τα έγγραφα αποκαλύπτουν ότι  και οι εμπειρογνώμονες παραδέχονται την ίδια δυσκολία και καταλήγουν στο συμπέρασμα ότι το πιθανότερο είναι οι λύσεις που αναζητούν να προέλθουν μέσω της εκμετάλλευσης «αδυναμιών» στο λογισμικό κρυπτογραφημένων υπηρεσιών. Εννοώντας πιο απλά την εκμετάλλευση λαθών στον κώδικα τους που διεθνώς αναφέρονται ως «zero days exploits» («ευπάθειες μηδέν ημερών», δηλαδή αδυναμίες στον κώδικα πριν καν τις αντιληφθεί ο δημιουργός του).

Αξιωματούχοι της ολλανδικής κυβέρνησης θίγουν το ζήτημα της κρυπτογράφησης, η οποία αποτελεί ένα από τα βασικά χαρακτηριστικά εφαρμογών όπως το WhatsApp και το Signal. Οι ίδιοι υπογραμμίζουν την τάση διεθνών εγκληματικών οργανώσεων να κάνουν χρήση τεχνολογιών που παρέχουν προωθημένες τεχνολογίες κρυπτογράφησης.

Η Κομισιόν έχει προτείνει τη δημιουργία ενός ειδικού κέντρου για την καταπολέμηση της κακοποίησης παιδιών, το οποίο προβλέπει νέες εξουσίες ηλεκτρονικής παρείσφρησης (χακαρίσματος) και υποκλοπών.

Η πρόταση της Επιτροπής δέχτηκε σφοδρή κριτική από οργανώσεις υπεράσπισης της ιδιωτικότητας στο διαδίκτυο, επειδή περιέχει μέτρα που φαίνεται ότι θα οδηγήσουν σε ευρεία σάρωση στις επικοινωνίες των ευρωπαίων πολιτών. Η οργάνωση Ευρωπαϊκά Ψηφιακά Δικαιώματα (EDRi) που εδρεύει στις Βρυξέλλες προειδοποίησε ότι μπορεί να συνιστά παράνομη γενικευμένη παρακολούθηση.

Οι αποκαλύψεις για τις μυστικές συζητήσεις των ευρωπαϊκών κυβερνήσεων έρχονται μετά τις πρόσφατες αναφορές για τη χρήση παράνομου λογισμικού κατασκοπείας από ευρωπαϊκές κυβερνήσεις, από την Πολωνία και την Ουγγαρία έως την Ελλάδα και την Ισπανία.

Προσπάθειες για πρόσβαση της αστυνομίας στα μηνύματα

Στα έγγραφα οι κυβερνητικοί αξιωματούχοι περιγράφουν την επιδίωξή τους οι πάροχοι επικοινωνίας να είναι νομικά υποχρεωμένοι να αλλάξουν την τεχνολογία τους, προκειμένου να επιτρέψουν στις αστυνομικές υπηρεσίες πρόσβαση στα μηνύματα των χρηστών.

«Μεταξύ των κυβερνήσεων και των διεθνών θεσμών διευρύνεται η συναίνεση ότι πρέπει να ληφθούν μέτρα», είχε δηλώσει το 2020 η υπουργός Εσωτερικών του Ηνωμένου Βασιλείου Πρίτι Πατέλ σε κοινή δήλωση των Five Eyes, της συμμαχίας των αγγλοσαξονικών υπηρεσιών πληροφοριών που περιλαμβάνει την Αυστραλία, τον Καναδά, τη Νέα Ζηλανδία, το Ηνωμένο Βασίλειο και φυσικά τις ΗΠΑ.

«Ενώ η κρυπτογράφηση είναι ζωτικής σημασίας και το απόρρητο και η ασφάλεια στον κυβερνοχώρο πρέπει να προστατεύονται, αυτό δεν πρέπει να γίνεται αποκλείοντας πλήρως τις δυνάμεις  επιβολής του νόμου, αλλά και την ίδια την βιομηχανία, από το τη δυνατότητα να καταπολεμήσουν ιδιαιτέρως παράνομο περιεχόμενο και δραστηριότητες στο διαδίκτυο».

Ο γάλλος υπουργός Εσωτερικών Ζεράλντ Νταρμανέν δήλωσε τον Απρίλιο του 2021 μέσα από τη συχνότητα του France Inter (γαλλική δημόσια ραδιοφωνία): «Βρισκόμαστε σε συζητήσεις με τους μεγάλους παίκτες του Ίντερνετ: Τους ζητάμε να μας δώσουν πρόσβαση μέσω των κενών ασφαλείας τους. Άλλοι το δέχονται, άλλοι όχι. Αναμφίβολα χρειαζόμαστε έναν νόμο που θα υποχρεώνει τους ξένους παρόχους υπηρεσιών» – πριν προβλέψει κάπως δυσοίωνα: «Έρχεται!»

Ο ολλανδός υπουργός Ασφαλείας Φερντ Γκράπερχαους είχε πει στο Politico το 2019 ότι κατανοούσε τη σημασία της κρυπτογράφησης. «Ωστόσο, πιστεύω ότι θα πρέπει να καταλήξουμε σε συμφωνία με τις εταιρείες τεχνολογίας σχετικά με τα κλειδιά πρόσβασης, εάν υπάρχουν υποψίες για σοβαρά εγκλήματα».

Στις αρχές Ιουνίου η ολλανδική εφημερίδα Volkskrant αποκάλυψε ότι οι υπηρεσίες ασφαλείας της χώρας κατέχουν και έχουν χρησιμοποιήσει το λογισμικό κατασκοπείας Pegasus σε τουλάχιστον μια έρευνα για το οργανωμένο έγκλημα, που σχετίζεται με την δολοφονία του δικηγόρου Ντερκ Βίρσουμ.

Παρά τις κυβερνητικές προσπάθειες τα έγγραφα αποκαλύπτουν ότι οι αξιωματούχοι δυσκολεύονται να θεσπίσουν για υπηρεσίες επικοινωνιών όπως το WhatsApp τις υποχρεώσεις που ισχύουν για τις παραδοσιακές τηλεφωνικές εταιρείες – με άλλα λόγια, τις «νόμιμες υποκλοπές».

«Αυτή η κύρωση είναι απαραίτητη για να σημειωθεί πρόοδος», επέμεινε το ολλανδικό υπουργείο Δικαιοσύνης σε ένα βαριά λογοκριμένο έγγραφο, αναφερόμενο στο νομικό εξαναγκασμό των παρόχων υπηρεσιών να συμμορφωθούν.

Η ιδέα της επιβολής υποχρέωσης σε βάρος των εφαρμογών να επιτρέψουν την πρόσβαση στις επικοινωνίες χρηστών προκαλλεί ανησυχία σε κάποιους κυβερνητικούς αξιωματούχους της Ολλανδίας, καθώς θέλουν να αποφύγουν ένα σενάριο κατά το οποίο το WhatsApp θα αποφασίσει να μην είναι διαθέσιμο στη χώρα. Για αυτό τον λόγο προτείνται να υπάρξει μια εκτίμηση των συνεπειών μιας τέτοιας υποχρέωσης πριν υλοποιηθεί.

Ωστόσο η συζήτηση για την εισαγωγή μιας τέτοιας νομοθεσίας στην Ολλανδία οδηγήθηκε σε αδιέξοδο όταν κρατικοί υπάλληλοι διατύπωσαν ενστάσεις σχετικά με τις πιθανές συνέπειές της με το επιχείρημα ότι τέτοιες καινοτομίες θα μπορούσαν να γίνουν τα αυριανά εργαλεία αυταρχικών ηγετών.

«Από τη στιγμή που οι δυτικές χώρες, όπως κι αυτές με δυτικό προσανατολισμό, θα μπορούν να παρακολουθούν τις [κρυπτογραφημένες] υπηρεσίες επικοινωνίας, χώρες-παρίες θα μπορούσαν να κάνουν το ίδιο. Έτσι οι υπερασπιστές των ανθρωπίνων δικαιωμάτων, οι δημοσιογράφοι, οι διαφωνούντες σε αυτά τα καθεστώτα […] μπορεί να γίνουν ιδιαίτερα ευάλωτοι», θα επισημάνει αξιωματούχος του υπουργείου Δικαιοσύνης σε συνάδελφό του στις εξωτερικές υποθέσεις, ρωτώντας εάν υπάρχουν τρόποι με τους οποίους η χρήση των εργαλείων αποκρυπτογράφησης θα μπορούσε να περιοριστεί μόνο στα «δημοκρατικά κράτη».

«Μου φαίνεται ότι είναι πολύ δύσκολο -από την άποψη του ελέγχου των εξαγωγών- να αποκλειστεί εκ των προτέρων ότι οι τεχνικές λύσεις θα περιοριστούν στη Δύση», ήταν η απάντηση. Αν τα εργαλεία αναπτυχθούν μαζί με ιδιώτες, αυτοί θα μπορούσαν να δεσμευτούν από ρήτρες, χωρίς όμως αυτό να είναι μια απολύτως ασφαλής λύση. «Στο τέλος, ο ιδιώτης θα θέλει να κερδίσει χρήματα και ως εκ τούτου θα το βγάλει το προϊόν σε όλη την αγορά».

Οι κίνδυνοι περιλαμβάνουν όχι μόνο τη χρήση «backdoors» (κερκόπορτων) από αυταρχικά καθεστώτα, αλλά επίσης την κατασκοπεία από εχθρικά κράτη και τη δραστηριότητα άλλων κακόβουλων συμφερόντων.

Το ολλανδικό υπουργείο Δικαιοσύνης ζητάει την άποψη του υπουργείου Εξωτερικών σχετικά με το σπάσιμο της κρυπτογράφησης. Αν ήταν δυνατόν να βρεθεί μια τεχνολογική λύση που θα επιτρέπει την πρόσβαση σε κρυπτογραφημένες συνομιλίες και οι εταιρείες των εφαρμογών θα μπορούσαν να απαντούν θετικά σε ανάλογα αιτήματα των αρχών, πώς θα αποφευχθεί η διάρρηξη της κρυπτογράφησης και από μη δημοκρατικά κράτη;

Το ολλανδικό υπουργείο Δικαιοσύνης κατέληξε στο συμπέρασμα ότι οι δικοί του εμπειρογνώμονες στο Εθνικό Κέντρο Κυβερνοασφάλειας και ο Εθνικός Συντονιστής για την Αντιτρομοκρατία και την Ασφάλεια «δεν βλέπουν καμία πιθανότητα τεχνικών λύσεων όπως αυτές που διερευνώνται επί του παρόντος οι οποίες δεν θα καθιστούσαν εγγενώς λιγότερο ασφαλή την επικοινωνία σε όλους τους τομείς».

Ολλανδοί αξιωματούχοι ανησυχούσαν επίσης για το ενδεχόμενο οι πάροχοι υπηρεσιών επικοινωνίας να αποχωρήσουν από την αγορά αν ορισμένες χώρες επέτρεπαν ασθενέστερα πρότυπα κρυπτογράφησης.

«Πρέπει να αποφύγουμε μια κατάσταση όπου το WhatsApp δεν θα είναι πλέον διαθέσιμο στην Ολλανδία», προειδοποιεί ένας δημόσιος υπάλληλος στο υπουργείο Οικονομικών.

Κυβερνητικοί εμπειρογνώμονες εκτιμούν, όπως προκύπτει από τα έγγραφα, ότι θα χρειάζονταν 10 χρόνια για τη δημιουργία ενός αποτελεσματικού διεθνούς μηχανισμού για την ανάγνωση των κρυπτογραφημένων μηνυμάτων. Όμως η δημιουργία ενός κοινού πρότυπου όχι μόνο δεν θα έλυνε όλα τα τρέχοντα προβλήματα αλλά θα δημιούργουσε νέα.

«Ας υποθέσουμε ότι από τεχνικής άποψης όλα λειτουργούν. Τότε μπορούμε να φτιάξουμε μια παγκόσμια υποδομή υποκλοπών. Είναι η ανθρωπότητα έτοιμη για αυτό;», ρωτά ο συντάκτης ενημερωτικού υπομνήματος. «Μπορεί να επιτευχθεί συμφωνία σχετικά με το ποιές χώρες θα μπορούν να χρησιμοποιούν αυτή την υποδομή υποκλοπής και για ποια αδικήματα; Ποιός το διαχειρίζεται; Μπορεί αποδείξεις που θα προκύψουν από αυτή να οδηγήσουν σε θανατικές ποινές; Τι γίνεται αν υποκλαπέντα μηνύματα χρησιμοποιηθούν για σχετικά μη αμφισβητούμενες υποθέσεις όπως ανθρωποκτονίες και παιδική πορνογραφία αλλά και για πιο ευαίσθητες πολιτικά κατηγορίες για τρομοκρατία ή ανατρεπτικές δραστηριότητες;».

Αξιωματούχοι της ολλανδικής κυβέρνησης υπογραμμίζουν μερικά σημεία-κλειδιά του ζητήματος της κρυπτογράφησης: Αν τελικά βρεθεί τεχνολογικός τρόπος για την πρόσβαση σε κρυπτογραφημένα δεδομένα, θα επρόκειτο για μια παγκόσμια υποδομή παρακολουθήσεων. Είναι όμως η ανθρωπότητα έτοιμη για κάτι τέτοιο; Οι ολλανδοί αξιωματούχοι ταυτόχρονα αναγνωρίζουν ότι η αντιμετώπιση της παιδικής πορνογραφίας, συχνά βάση του αιτήματος για άρση της κρυπτογράφησης, δεν φαίνεται να είναι ένα κίνητρο επαρκές, γιατί τότε οι εγκληματίες θα άφηναν το WhatsApp και θα χρησιμοποιούσαν το dark web, όπως ήδη εκτεταμένα κάνουν.

Σύμφωνα με την Έλα Γιακουμπόφσκα, υπεύθυνη συνηγορίας για ευρωπαϊκές πολιτικές πάνω σε ψηφιακά και βιομετρικά δεδομένα, ο πειραματισμός γύρω από την κρυπτογράφηση ενέχει σοβαρούς κινδύνους για ένα μεγάλο σύνολο ευάλωτων ανθρώπων.

«[Για να αποκτήσει κάποιος πρόσβαση σε κρυπτογραφημένες επικοινωνίες], πρέπει να υπονομεύσει ή να σπάσει αποτελεσματικά την κρυπτογράφηση, στην οποία καθημερινά βασίζονται άνθρωποι σε όλο τον κόσμο. Ας σκεφτούμε ποιος είναι αυτός που βασίζεται σε ασφαλή ψηφιακά μηνύματα. Είναι οι κυβερνήσεις που μοιράζονται κρατικά μυστικά. Είναι οι δημοσιογράφοι, οι whistleblowers, οι υπερασπιστές των ανθρωπίνων δικαιωμάτων και οι πολιτικοί. Είναι οι τηλεφωνικές γραμμές των κοινωνικών υπηρεσιών που προστατεύουν τα παιδιά, αλλά και οι νέοι όταν στις επικοινωνίες τους πράγματα εμπιστευτικά».

Κυβερνήσεις-χάκερς

Καθώς οι δυσκολίες της αποκρυπτογράφησης γίνονται πιο εμφανείς, οι αξιωματούχοι άρχισαν να συζητούν για το πώς θα μπορούσαν να χρησιμοποιήσουν την εξουσία τους για να μπουν στον κόσμο του χάκινγκ, όπως να αποκτήσουν πρόσβαση σε zero days exploits.

Αυτά τα εργαλεία χρησιμοποιούν ευπάθειες στο λειτουργικό σύστημα μιας τηλεφωνικής συσκευής για να βρουν τρόπους άμεσης πρόσβασης στα δεδομένα του, πριν ή μετά την πραγματοποίηση οποιασδήποτε κρυπτογράφησης μηνυμάτων. Η ευρωπαϊκή κοινή γνώμη εξοικειώθηκε απότομα με τις συνέπειες που φέρει η εκμετάλλευση τους με την εμφάνιση του Pegasus, λογισμικού κατασκοπείας που μεταξύ άλλων χρησιμοποιήθηκε στο τηλέφωνο του γάλλου προέδρου Εμανουέλ Μακρόν, στελεχών της ισπανικής κυβέρνησης και καταλανών αυτονομιστών, αλλά και πολωνών βουλευτών της αντιπολίτευσης. Στην Ελλάδα το θέμα έγινε γνωστό από την παραβίαση του κινητού του δημοσιογράφου Θανάση Κουκάκη από το Predator, το οποίο η ελληνική κυβέρνηση αρνείται ότι χρησιμοποιεί.

Τον Ιούνιο του 2021 υπόμνημα του ολλανδικού υπουργείου Δικαιοσύνης προσβλέπει σε μεγαλύτερη χρήση τέτοιων ευπαθειών. «Μια υποκλοπή απαιτεί χρόνο και προσπάθεια και ο χρόνος για τον οποίο είναι δυνατή η πρόσβαση είναι αβέβαιος. Χρειάζεται να βελτιωθούν οι πιθανές εναλλακτικές λύσεις και να διευρυνθεί το πεδίο εφαρμογής τους, για παράδειγμα με την προοπτική της εκμετάλλευσης των τρωτών σημείων σε λογισμικό. Οι δυνατότητες της αστυνομίας να παραβιάζει λογισμικό επί του παρόντος αξιολογούνται».

Οι αξιωματούχοι ανέφεραν επίσης και τη δυνατότητα δημιουργίας μιας μονάδας εντός της Europol, η οποία θα μπορεί να προβεί σε χάκινγκ κατόπιν αιτήματος των κρατών μελών». Το αστυνομικό σώμα της ΕΕ κατηγορήθηκε πρόσφατα ότι κατέχει παράτυπα τα στοιχεια χιλιάδων πολιτών και ότι φιλοδοξεί να μετατραπεί σε υπηρεσία μαζικής επιτήρησης τύπου NSA.

Η ιδέα προέκυψε από τις απαντήσεις Ολλανδών αξιωματούχων σε ένα ερωτηματολόγιο της Κομισιόν, με το οποιο ρωτούσε τα κράτη της ΕΕ πώς διαχειρίζονται τα συστήματα παραβίασης λογισμικού – και πώς η Επιτροπή θα μπορούσε να συνδράμει τα κράτη-μέλη.

«Πρέπει να αποφύγουμε μια κατάσταση όπου το WhatsApp δεν θα είναι πλέον διαθέσιμο στην Ολλανδία»

Υπάλληλος του ολλανδικού υπουργείου Οικονομικών

Το ερωτηματολόγιο, το οποίο περιλαμβάνεται ολόκληρο στα έγγραφα που δημοσίευσαν οι ολλανδικές αρχές, δείχνει ότι οι ευρωπαίοι αξιωματούχοι ήθελαν να πληροφορηθούν λεπτομερώς για τον τρόπο με τον οποίο οι αστυνομικές δυνάμεις διαχειρίζονταν τις «ευπάθειες». Οι κυβερνήσεις ερωτώνται για το εάν πληροφορούσαν τους άμεσα ενδιαφερόμενους παρόχους επικοινωνιών και εάν, όταν εκμεταλλεύονταν τέτοιες ευπάθειες, χρησιμοποιούσαν δική τους τεχνογνωσία ή εξωτερικούς εργολάβους από τον ιδιωτικό τομέα. Οι ολλανδικές απαντήσεις δεν εμφανίζονται πλήρεις στα έγγραφα.

Τα ερωτηματολόγια συζητήθηκαν σε μια μεγάλη συνάντηση αξιωματούχων από τα 27 κράτη μέλη τον Μάιο του 2021, όπου διαβουλευτήκαν σχετικά με τα ζητήματα της «κρυπτογράφησης και νόμιμης πρόσβασης».

Το τελευταίο ερώτημα στο ερωτηματολόγιο είναι: «Σε περίπτωση που η Επιτροπή λάβει αίτημα για πρόσβαση σε έγγραφα σχετικά με αυτά τα ερωτηματολόγια, συμφωνείτε να μην αποκαλυφθούν οι απαντήσεις στις ερωτήσεις που επισημαίνονται ως ευαίσθητες;»

Αφήστε μια απάντηση