| 6 нояб. 2014 г. — 7:04 PT
[Прим. редактора: Джейсон Стерн — адвокат по уголовным делам, занимающийся частной практикой в Нью-Йорке]
8:34 утра. Профессор колледжа получает SMS-сообщение с угрозой взорвать здание истории. Профессор немедленно связывается с правоохранительными органами, которые отслеживают источник звонка до студента, живущего за пределами кампуса.
Когда агенты ФБР прибывают по месту жительства студента, они арестовывают студента и изымают его смартфон. В попытке обыскать устройство для получения доказательств преступления (и, возможно, предотвращения других связанных преступлений), они обнаруживают, что смартфон защищен средствами безопасности с помощью отпечатков пальцев.
Пока подозреваемый в наручниках, агент проводит пальцем студента по телефону, чтобы получить доступ к его истории звонков и сообщениям. После того, как ФБР проводит пальцем подозреваемого и обходит биометрическую защиту, телефон запрашивает код доступа. Агент ФБР просит пароль, но студент отказывается говорить. Как агент ФБР может получить доступ к телефону? В то время как вымышленный федеральный агент, такой как Джек Бауэр, просто вынул бы пистолет, сунул бы его в рот подозреваемому и закричал: «ГДЕ БОМБА?!», в нашем примере агент ФБР уперся бы в «проклятую стену».
Да, телефон можно было бы вернуть в лабораторию для анализа и взлома криминалистами, но подозреваемый в данном случае не мог быть принужден раскрыть пароль на телефоне…
В приведенном выше примере, согласно недавнему решению окружного суда Вирджинии, правоохранительные органы не могли законно принуждать к самооговору (и тем самым нарушать Пятую поправку), заставляя студента раскрывать свой код доступа; однако им *законно* разрешено брать отпечаток пальца подозреваемого после ареста. Некоторые могут возразить, что этот пример доказывает, что пароль обеспечивает лучшую безопасность и конфиденциальность, чем отпечаток пальца. Но давайте продолжим пример, чтобы увидеть, почему выбор кода доступа вместо технологии Touch ID.
9:41 утра. Во время обыска квартиры подозреваемого они находят второй телефон под диваном. Этот телефон также имеет биометрическую защиту и защиту паролем. Но когда агент ФБР неоднократно проводит пальцем подозреваемого без успеха, становится ясно, что телефон принадлежит кому-то другому. Есть ли у подозреваемого сообщник? Если да, то как ФБР может разблокировать устройство, не имея доступа к владельцу отпечатка пальца?
Ответ заключается в том, что без знания личности владельца телефона и без фактического присутствия владельца (или, по крайней мере, его пальца) правоохранительные органы могут никогда не получить доступ к содержимому телефона в этом примере, демонстрируя тем самым, что в некоторых случаях биометрическая технология обеспечивает лучшую защиту от посторонних глаз, особенно для потерянного или украденного телефона. Конечно, это при условии, что тот же самый телефон, заблокированный Touch ID, не имеет отпечатка пальца владельца на стекле, задней панели iPhone или чехле.
Когда технология сканирования отпечатков пальцев впервые стала доступна для смартфонов, большинство писателей приветствовали эту технологию как прорыв в области конфиденциальности и безопасности (Марсия Хоффман из Wired была единственным исключением). В то время как четырехзначный числовой пароль имел конечное число взламываемых комбинаций (10 000, если быть точным), отпечаток пальца был «уникальным», как утверждали эксперты по безопасности. Реальность спора между паролями и отпечатками пальцев заключается в том, что обе меры безопасности могут быть несовершенными: треть всех паролей легко взламываются, потому что это распространенные числовые комбинации; и нет никаких доказательств того, что отпечаток одного пальца полностью уникален для доступных в настоящее время приложений биометрической безопасности в наших смартфонах. Даже телепрограмма Mythbusters успешно опровергла «безотказную» биометрическую технологию.
Touch ID и другие технологии сканирования отпечатков пальцев далеки от совершенства. ФБР и другие правоохранительные органы сравнивают, сопоставляют и классифицируют отпечатки пальцев на основе типа узора (петли, завитки и дуги), направления узора отпечатка (радиальное или локтевое) и, наконец, положения эпицентра отпечатка относительно дельты отпечатка.
Многие люди имеют одинаковые узоры и направления на одном пальце, и вероятность того, что устройство (или эксперт) ошибочно сопоставит похожие отпечатки, довольно высока. Хотя отдаленно возможно, что два или более человека имеют одинаковый отпечаток одного пальца, крайне маловероятно, что два человека имеют идентичный набор из десяти отпечатков пальцев (у близнецов этого НЕТ), и еще менее вероятно, что эти два человека окажутся за одним смартфоном (или оставят отпечатки на одном орудии убийства). Это логическое применение математических вероятностей является основой эффективного использования анализа отпечатков пальцев, а не какое-либо материальное доказательство того, что никакие два человека не могут иметь одинаковый отпечаток одного пальца.
Например, около 60-65% всех индивидуальных отпечатков пальцев имеют узор петли. Наиболее распространенным типом отпечатка пальца является локтевая петля (петля, которая, кажется, исходит со стороны мизинца). Предполагая, что два человека используют палец с локтевой петлей для своей защиты отпечатков пальцев и имеют схожие черты гребня, возможно, что эти же люди смогут получить доступ к смартфонам друг друга. В конце концов, даже эксперты по отпечаткам пальцев правоохранительных органов, выступая в суде, часто расходятся во мнениях относительно идентификации по отпечаткам пальцев.
Даже если бы каждый отпечаток пальца был уникальным, а технология отпечатков пальцев в смартфонах была безупречной, все равно был бы веский повод избегать использования отпечатков пальцев в качестве основной меры безопасности: отпечатки пальцев не имеют права хранить молчание.
Когда полиция производит арест, существуют конституционные гарантии, предотвращающие принуждение полиции к признанию. Согласно Пятой поправке, гарантирующей защиту от самооговора, арестованный человек может законно отказаться говорить с полицией. Право на свободу от самооговора конкретно применяется к информации, которую арестованный человек может сообщить. Этот тип информации называется *свидетельским* содержанием. Согласно Верховному суду США, человека нельзя принуждать предоставлять свидетельское содержание правоохранительным органам.
10:29. Мужчина на синем Prius остановлен и снят с дороги за проезд на красный свет. Описание автомобиля совпадает с описанием автомобиля, использованного ранее в тот же день при совершении ограбления банка, и полиция приказывает мужчине выйти из машины. Они замечают черную лыжную маску на заднем сиденье и сумку Trader Joe’s, набитую наличными, на полу. Полиция его арестовывает. Они расспрашивают его о том, где остальные деньги и кто его сообщники.
Основываясь на вышеизложенном юридическом анализе, он может отказаться отвечать на эти вопросы и выбрать молчание. Без возможности заставить подозреваемого отвечать на какие-либо вопросы, правоохранительные органы будут вынуждены полагаться на сбор косвенных доказательств, таких как получение отпечатков пальцев подозреваемого для их сопоставления с отпечатками, найденными в банке, чтобы доказать, что подозреваемый был там, в попытке построить свое дело.
Здесь вопросы полиции о деньгах и сообщниках аналогичны вопросам о кодах доступа. Однако отпечатки пальцев, в силу их доступности и того факта, что они не являются свидетельским содержанием, не затрагивают право Пятой поправки на свободу от самооговора.
С другой стороны, четырехзначные коды доступа, которые мы обычно видим на смартфонах, хотя и не являются изначально несовершенными, обычно легко взламываются. Исследования показывают, что 40 самых популярных комбинаций кодов доступа составляют треть всех паролей смартфонов (и банкоматов). Например, 1-2-3-4 составляет около 8% всех паролей, за ним следуют 0-0-0-0, 1-1-1-1 и другие легко запоминающиеся (и взламываемые) коды доступа. Даже если выбранный код доступа не очевиден, факт остается фактом, что существует только 10 000 возможных комбинаций. Любое правоохранительное агентство или эксперт по компьютерной безопасности сможет легко взломать код доступа с помощью брутфорса менее чем за час.
Для большинства владельцев смартфонов решение о том, какие меры безопасности и конфиденциальности применять, в значительной степени зависит от действий, которые они совершают на своем телефоне. Примерный законопослушный человек, использующий свой смартфон как интернет-устройство для оплаты счетов, может очень заботиться о безопасности и конфиденциальности, но может не беспокоиться о риске того, что правоохранительные органы будут использовать его отпечатки пальцев. Наркоторговец, инсайдерский трейдер или член банды, действующий вне закона, может иметь повышенное чувство паранойи, которое требует от него внедрения высочайших настроек безопасности и конфиденциальности. С другой стороны, невинный старшеклассник, который отправляет и получает непристойные селфи от других несовершеннолетних, может быть привлечен к федеральной и штатной уголовной ответственности, если эти изображения будут обнаружены на этом устройстве, и по правовым причинам и соображениям конфиденциальности захочет внедрить аналогичные меры высокой безопасности.
Для большинства законопослушных пользователей смартфонов юридическая разница между двумя мерами безопасности сводится к семантике, но для тех, кто стремится к высочайшей степени безопасности и конфиденциальности, должно быть ясно, что коды доступа и биометрия имеют свои сильные и слабые стороны. Комбинация обоих рекомендуется для людей с юридическими проблемами и для родителей подростков, которые могут неосознанно нарушать закон.
1:48 дня. Пятилетняя девочка, доедая свою последнюю рождественскую шоколадку, берет iPad папы и объявляет, что создает НОВЫЙ пароль. Через мгновение она возвращает слегка перепачканный шоколадом iPad отцу, который успешно взламывает новый пароль (1-2-3-4) и думает про себя: «Я просто рад, что это был не ее отпечаток пальца».
—
Автор Джейсон Стерн — адвокат по уголовным делам, занимающийся частной практикой в Нью-Йорке. Его интервью появлялись в The New York Times, Wall Street Journal, Good Morning America, ABC News, The Financial Times, US News & World Report, BBC, Bottom Line, и он является часто цитируемым экспертом для Fox News в области права и технологий, включая конфиденциальность и безопасность в Интернете. Он получил степень бакалавра криминологии в Университете Мэриленда.