Учебник по наблюдению: 5 глаз, 9 глаз, 14 Глаза

По мере роста осведомленности о глобальной слежке все больше людей ищут информацию об альянсах слежки Five Eyes (FVEY), Nine Eyes и 14 Eyes. Эти термины часто появляются в сообществе по вопросам конфиденциальности, особенно при обсуждении инструментов обеспечения конфиденциальности. Так что же это за организации?

Примечание редактора:Приглашенный автор Свен Тейлор является редактором Restore Privacy, блога, посвященного информированию о передовых методах обеспечения конфиденциальности в Интернете, защите ваших электронных устройств, разблокировать запрещенный контент и обойти цензуру.

Короче говоря, это международные альянсы по наблюдению, представляющие различные страны мира. Эти альянсы работают вместе, чтобы собирать и обмениваться данными массового наблюдения друг с другом. Начиная с соглашения UKUSA и обмена разведывательными данными Five Eyes, эти сети десятилетиями шпионили за людьми, а установленная политика восходит к Второй мировой войне.

Правительственные агентства, стоящие за этими усилиями, часто работают с интернет-провайдерами и другими крупными технологическими компаниями, чтобы использовать ключевую инфраструктуру для сбора частных данных (наблюдение за данными). Это превращает вашего интернет-провайдера, например, в местного противника, который шпионит за вами в интересах государственных органов. И нет, это не теория.

Ваш интернет-провайдер записывает все

В 2021 году Федеральная торговая комиссия США опубликовала 74-страничный отчет, в котором задокументировано, как интернет-провайдеры собирают огромные объемы личных данных своих клиентов, а затем продают эти данные третьим лицам. Мы рассмотрели этот отчет, последствия и некоторые решения в нашей статье о провайдерах интернет-услуг, регистрирующих активность в Интернете.

Эти методы хорошо задокументированы в документах наблюдения PRISM, а также в печально известном примере комнаты 641a с AT&T и АНБ. К счастью, есть несколько простых решений для обеспечения безопасности ваших данных, о которых мы расскажем ниже. В этом руководстве мы объясним все различные альянсы по наблюдению за глазами «X» и почему эта тема важна при выборе инструментов конфиденциальности.

Пять глаз

Альянс по наблюдению Five Eyes (FVEY) включает следующие страны:

1. Австралия
2. Канада
3. Новая Зеландия
4. Великобритания
5. США

История этого союза восходит к Второй мировой войне и Соглашению UKUSA, которое было официально принято после войны в 1946 году. Это соглашение формализовало партнерство между Соединенным Королевством и Соединенными Штатами для сбора и обмена разведывательными данными.

Партнерство продолжалось на протяжении всей холодной войны и только укрепилось после начала «Глобальной войны с террором» в начале 2000-х годов. В 2013 году Эдвард Сноуден вновь привлек внимание к альянсу по слежке Five Eyes, разоблачив слежку правительства США и его союзников.

Ниже приведены различные службы наблюдения «5 глаз», которые работают вместе, чтобы собирать и записывать ваши действия:

Агентства «Таблица пяти глаз», работающие вместе для наблюдения за врагами и своими гражданами.

В дополнение к этим национальным организациям существует Совет по надзору и проверке разведки пяти глаз (FIORC). Согласно веб-странице FIORC на веб-сайте директора национальной разведки США:

FIORC был создан в духе существующего партнерства Five Eyes, разведывательного альянса, в который входят Австралия, Канада, Новая Зеландия, Великобритания и США.

Далее говорится, что

Члены Совета обмениваются мнениями по вопросам, представляющим взаимный интерес и озабоченность; сравнить передовой опыт в методологии обзора и надзора; исследовать области, в которых разрешено сотрудничество по обзорам и обмену результатами, где это уместно; поощрять прозрачность в максимально возможной степени для повышения общественного доверия; и поддерживать связь с политическими офисами, надзорными и контрольными комитетами, а также со странами, не входящими в Five Eyes, по мере необходимости.

В состав FIORC входят следующие неполитические разведывательные надзорные, контрольные и охранные органы стран Five Eyes:

• Управление Генерального инспектора разведки и безопасности Австралии
• Агентство национальной безопасности и разведки Канады
• Управление Комиссара по разведке Канады
• Уполномоченный по разведывательным ордерам и Управление Генерального инспектора разведки и безопасности Новой Зеландии
• Уполномоченный по следственным полномочиям Соединенного Королевства
• Управление Генерального инспектора разведывательного сообщества США

Вы можете получить больше информации о FIORC, включая копию устава организации, здесь.

Неудивительно, что некоторые из перечисленных выше стран «Пяти глаз» также являются самыми злостными нарушителями конфиденциальности в Интернете:

• Великобритания. С момента принятия в 2016 году Закона о полномочиях на проведение расследований интернет-провайдеры и телекоммуникационные компании записывают историю посещенных страниц, время подключения и текстовые сообщения. Данные хранятся в течение двух лет и доступны правительственным учреждениям Великобритании и их партнерам без каких-либо гарантий.
• Соединенные Штаты - Правительство США внедряет оруэлловские методы массового наблюдения с помощью крупных телекоммуникационных и интернет-провайдеров (см. программу PRISM). В марте 2017 года интернет-провайдеры получили законное право записывать действия пользователей и продавать их третьим лицам. Конечно, интернет-провайдеры собирали данные о своих клиентах много лет, задолго до принятия этого закона в 2017 году.

Один из слайдов PRISM, опубликованный Washington Post, 6 июня 2013 г.

Австралия - Австралия также ввела радикальные законы о хранении данных, аналогичные Великобритании

Широкий авторитет среди стран 5 Eyes

Будь то АНБ в Соединенных Штатах или GCHQ в Соединенном Королевстве, «5 глаз» является домом для самых мощных агентств по наблюдению в мире. Компания по обеспечению конфиденциальности, делящая юрисдикцию с такими организациями, просто напрашивается на неприятности.

В частности, спецслужбы в странах «Пяти глаз» обладают огромными полномочиями, чтобы заставить компании записывать и передавать данные. В Соединенных Штатах Закон о патриотизме открыл новый уровень полномочий для сбора федеральных данных, особенно за счет использования писем национальной безопасности. Мы видим, что эти же тенденции развиваются в Великобритании, Австралии и других странах.

Шесть глаз?

В интервью Nikkei в августе 2020 года министр обороны Японии Таро Коно обсудил более тесное сотрудничество с Five Eyes, сказав интервьюеру, что «эти страны разделяют одни и те же ценности. его называют "Шесть глаз".

Сообщается, что и Соединенные Штаты, и Великобритания проявили к этому определенный интерес, возможно, в ответ на растущие риски вооруженного конфликта с Китаем. Пока это кажется просто разговором, но мы будем следить за ситуацией и обновлять наши статьи по мере необходимости.

Девять глаз

К странам Девяти глаз относятся:

• 5 Глаза страны +
• Дания
• Франция
• Нидерланды
• Норвегия

Существование альянса «Девять глаз» упоминается в различных источниках в Интернете и стало широко известно после разоблачений Сноудена в 2013 году. Это просто расширение альянса «Пять глаз» с аналогичным сотрудничеством для сбора и обмена данными массового наблюдения..

14 глаз

Страны наблюдения «14 глаз» включают:

• 9 Глаза страны +
• Германия
• Бельгия
• Италия
• Швеция
• Испания

Как и прежде, первоначальное соглашение о наблюдении было распространено на эти другие страны. Официальное название этой группы стран - SIGINT Seniors Europe (SSEUR).

Сотрудничество АНБ и GCHQ в рамках 5 Eyes

Различные публикации правительственных документов, опубликованные по официальным каналам Закона о свободе информации, раскрывают тесную связь между АНБ и GCHQ. Неудивительно, что, будучи двумя самыми могущественными организациями наблюдения в мире, имеющими исторические связи, они тесно сотрудничают друг с другом.

Сверхсекретный документ АНБ от 1985 года, который был опубликован в 2018 году по запросу Закона о свободе информации, показывает, что это тесное сотрудничество продолжается и сегодня на основе широко сформулированного Соглашения UKUSA:

Соглашение UKUSA от 5 марта 1946 года состоит из двенадцати коротких абзацев и написано в таком общем виде, что, за исключением нескольких имен собственных, в него не было внесено никаких изменений. Он был подписан представителем Великобритании в Лондонском совете по разведке сигналов и старшим членом Совета разведки связи между государством, армией и флотом США (организация-предшественник, которая превратилась в нынешний Национальный совет по внешней разведке). Принципы остаются неизменными, обеспечивая полное и взаимозависимое партнерство. По сути, базовое соглашение позволяет обмениваться всеми результатами COMINT, включая конечный продукт и соответствующие сопутствующие данные из каждого шаблона для целей по всему миру, если только это специально не исключено из соглашения по запросу любой из сторон.

Еще один сверхсекретный документ АНБ от 1997 года (официально опубликованный в 2018 году) подробно описывает тесное сотрудничество между АНБ и GCHQ:

Некоторые GCHQ [отредактировано] существуют исключительно для выполнения задач АНБ. АНБ и GCHQ совместно разрабатывают планы по сбору данных, чтобы уменьшить дублирование и максимально увеличить охват за счет совместных сайтов и перекрестных задач, несмотря на закрытие сайтов.

Ссылаясь на "совместные сайты" выше, важно обсудить ECHELON.

Система наблюдения ЭШЕЛОН

Обтекатели ECHELON в Менвит-Хилл, Йоркшир. Фотография сделана в ноябре 2005 года. Matt Crypto через Wikimedia Commons

ЭШЕЛОН - это сеть шпионских станций, используемых странами Five Eyes для крупномасштабного шпионажа и сбора данных.

The Guardian описал ECHELON как глобальную сеть электронных шпионских станций, которые могут прослушивать телефоны, факсы и компьютеры. Он может даже отслеживать банковские счета. Эта информация хранится в компьютерах Echelon, которые могут хранить миллионы записей о людях.

Однако официально Echelon не существует. Хотя с середины 1990-х свидетельств существования Echelon становится все больше, Америка категорически отрицает его существование, а ответы правительства Великобритании на вопросы о системе остаются уклончивыми.

Несмотря на эти опровержения, нашлись осведомители, которые подтвердили, что происходит за кулисами. И Перри Феллвок, и Маргарет Ньюшем выступили с документами, чтобы задокументировать различные аспекты ECHELON для общественности.

Избегайте 5 глаз

Несмотря на то, что у других стран, входящих в более крупные альянсы 14 Eyes, есть проблемы с конфиденциальностью, больше всего следует избегать Five Eyes. Поэтому, когда безопасность данных имеет решающее значение, просто избегайте пяти глаз: США, Великобритания, Канада, Австралия и Новая Зеландия

Некоторые люди говорят, что опасения по поводу этих юрисдикций наблюдения преувеличены или ошибочны, и что это действительно не имеет значения. Вы часто слышите этот аргумент от VPN-компаний (и их маркетологов), например, базирующихся в США или Канаде. Этот ход мыслей ошибочен и игнорирует реальность.

Есть много примеров, доказывающих реальные риски, связанные с компаниями, ориентированными на конфиденциальность, работающими в юрисдикциях Five Eyes. Вот лишь некоторые из тех, которые мы уже обсуждали на RestorePrivacy за эти годы:

1. Riseup, служба VPN и электронной почты из Сиэтла, была вынуждена собирать пользовательские данные для правительственных агентов, а также получила «приказ о неразглашении», чтобы предотвратить какое-либо раскрытие информации своим пользователям. (Они также не могли обновить свой ордер canary.)
2. Lavabit, другой почтовый сервис в США, был вынужден предоставить ключи шифрования и полный доступ к электронной почте пользователей. Вместо того, чтобы подчиниться, владелец решил закрыть электронную почту Lavabit.
3. IPVanish, американский VPN-сервис, был вынужден собирать пользовательские данные для уголовного расследования ФБР. Все это произошло в то время, когда IPVanish утверждал, что является «VPN без журналов», и они не могли предупредить своих пользователей о том, что происходит. (См. случай с логами IPVanish.)
4. HideMyAss, британскому VPN-сервису, суд также приказал собрать данные пользователей и передать их властям для уголовного расследования. Новости об этом появились постфактум.

VPN, работающие в США, и, следовательно, все их пользователи, также могут стать объектами судебных исков, связанных с нарушением авторских прав. Недавний судебный процесс касался TorGuard VPN, которая была вынуждена заблокировать торрент на всех серверах в США в рамках мирового соглашения. Вот почему мы рекомендуем избегать VPN в США при использовании VPN для торрентов.

Это всего лишь несколько случаев, о которых стало известно публично, но вы можете быть уверены, что есть и другие примеры, о которых мы даже не знаем.

Секретные требования пользовательских данных + приказы о кляпе=кошмар конфиденциальности

Как видно из этих примеров, когда власти вынуждают бизнес собирать и передавать данные, они также обычно вручают им запрет на раскрытие информации. Это делается с помощью писем о национальной безопасности, и это не позволяет бизнесу раскрывать какую-либо информацию своим клиентам.

Эти законы в основном дают правительству право заставить законную компанию, ориентированную на конфиденциальность, стать инструментом сбора данных для государственных органов без какого-либо предупреждения или уведомления. Даже канарейки с ордерами неэффективны в таких местах, как США.

Игнорировать юрисдикцию бизнеса, ориентированного на конфиденциальность, глупо и игнорировать эти хорошо задокументированные риски.

Рекомендуемые службы конфиденциальности (в хороших юрисдикциях)

Одной из основных целей RestorePrivacy является тестирование, исследование и рекомендация инструментов обеспечения конфиденциальности и безопасности, отвечающих определенным критериям. Учитывая наше внимание к безопасности и доверию данных, юрисдикция является ключевым фактором, который мы учитываем.

Что касается юрисдикции, наша главная задача - избегать стран Five Eyes. В конце концов, в некоторых странах 9 и 14 глаз действительно действуют строгие законы о конфиденциальности, особенно по сравнению с США и Великобританией.

Защищенная электронная почта за пределами Five Eyes

Использование безопасной и частной службы электронной почты в безопасной юрисдикции не составляет труда. Рассмотрим это:

• Было обнаружено, что Yahoo сканирует электронные письма в режиме реального времени для американских агентств по наблюдению.
• Обнаружено, что Gmail предоставляет третьим лицам полный доступ к электронной почте пользователей, а также отслеживает все покупки с помощью квитанций в вашем почтовом ящике.
• Рекламодателям было разрешено сканировать учетные записи Yahoo и AOL, чтобы «выявлять и сегментировать потенциальных клиентов, улавливая контекстные сигналы о покупках и прошлые покупки».

Альтернативы. Вот некоторые из наших любимых безопасных почтовых сервисов, которые мы протестировали:

1. Mailfence (Бельгия)
2. Тутанота (Германия)
3. ProtonMail (Швейцария)
4. Mailbox.org (Германия)
5. Почта (Германия)
6. Runbox (Норвегия)
7. Встречная почта (Швеция)
8. KolabNow (Швейцария)
9. Startmail (Нидерланды)

Лучшие VPN за пределами Five Eyes

Интернет-провайдеры активно собирают данные для государственных учреждений по всему миру. Они делают это либо активно отслеживая соединения, либо просто записывая все ваши DNS-запросы. Кроме того, рекламодатели и другие третьи лица будут отслеживать и записывать ваши действия в Интернете, связанные с вашим уникальным IP-адресом.

Хороший VPN-сервис необходим для базовой онлайн-конфиденциальности, особенно когда интернет-провайдеры все регистрируют. VPN шифрует весь ваш трафик между вашим компьютером/устройством и VPN-сервером, к которому вы подключены. Это не только делает ваш трафик и онлайн-активность нечитаемыми для вашего интернет-провайдера и других третьих лиц, но также скрывает ваш IP-адрес и местоположение.

Вот лучшие VPN-сервисы, расположенные за пределами стран Five Eyes:

1. NordVPN (Панама)
2. Surfshark (Нидерланды)
3. ExpressVPN (Британские Виргинские острова)
4. VPN.ac (Румыния)
5. VyprVPN (Швейцария)
6. Perfect Privacy (Швейцария)
7. OVPN (Швеция)
8. TrustZone VPN (Сейшельские острова)
9. ProtonVPN (Швейцария)

Некоторые люди беспокоятся о журналах и сборе данных с помощью VPN. К счастью, есть несколько проверенных VPN без журналов, которые прошли независимый аудит, чтобы подтвердить свою политику отсутствия журналов:

1. NordVPN прошел аудит PwC AG в Цюрихе, Швейцария, для подтверждения основных мер защиты конфиденциальности и политики отсутствия журналов. NordVPN обязался ежегодно проводить сторонние аудиты, а также проходить независимые аудиты безопасности и тесты на проникновение, проводимые Versprite.
2. ExpressVPN дважды подвергался аудиту PwC для проверки политики отсутствия логов. Кроме того, ExpressVPN прошел аудит безопасности, проведенный Cure53.
3. VyprVPN прошел аудит без ведения журналов, проведенный Leviathan Security несколько лет назад.

Частные поисковые системы за пределами Five Eyes

Большинство крупных поисковых систем, таких как Google, записывают все ваши поисковые запросы, а затем связывают их с вашей личностью и профилем данных, чтобы вы могли получать таргетированную рекламу. Если вы не хотите предоставлять Google и его партнерам все свои поисковые действия, рассмотрите возможность использования альтернатив.

Вот некоторые частные поисковые системы, которые вы можете рассмотреть:

1. Searx (с открытым исходным кодом, без юрисдикции)
2. MetaGer (Германия)
3. Swisscows (Швейцария)
4. Квант (Франция)

Есть несколько поисковых систем, базирующихся в странах Five Eyes, которые мы по-прежнему рекомендуем. К ним относятся:

• DuckDuckGo (США)
• Моджик (Великобритания)
• Brave Search (США)

Доверие и юрисдикция

В конце концов, юрисдикция - это лишь один из многих факторов, которые следует учитывать при выборе надежных инструментов конфиденциальности для ваших уникальных потребностей. Насколько это важно, зависит от ваших личных обстоятельств, особенно от вашей модели угроз и типов противников, от которых вы хотите защитить себя.

Для тех, кто ищет более высокий уровень конфиденциальности и безопасности, юрисдикция действительно важна, особенно если учесть растущую власть правительств заставлять компании передавать данные и регистрировать пользователей. Доверие также является важным фактором, который вы должны учитывать. В конце концов, VPN может работать в «хорошей» зарубежной юрисдикции, но при этом лгать клиентам и предоставлять данные государственным органам. Возьмем, к примеру, PureVPN, службу «без журналов», базирующуюся в Гонконге, которая предоставила властям США журналы подключений для уголовного дела.

Вот здесь доверие играет ключевую роль. К счастью, чтобы укрепить доверие, все больше компаний, ориентированных на конфиденциальность, проходят независимый аудит и сторонние проверки. Помимо аудитов, мы также наблюдаем эту тенденцию в менеджерах паролей и иногда в службах защищенной электронной почты.

Это единственные международные разведывательные союзы?

Определенно нет. Помимо Five Eyes (FVEY), Nine Eyes и 14 Eyes (SIGINT Seniors Europe), существуют и другие известные нам организации. Примеры включают SIGINT Seniors Pacific, Quadrilateral Security Dialog (Quad) и Club de Berne. Могут быть и другие подобные организации, о которых мы пока не знаем.

Станет ли Япония "Шестым глазом"?

Япония публично предположила, что они хотели бы более тесно сотрудничать с Пятью глазами и, возможно, когда-нибудь стать Шестым глазом. На данный момент это, кажется, только разговоры, но растущее напряжение между Японией и Китаем, похоже, подталкивает Японию к еще более тесным связям со странами «Пяти глаз». Только время покажет, скоро ли мы будем говорить о Six Eyes вместо Five Eyes.

Вывод: Используйте сервисы, работающие в безопасных юрисдикциях

The Five Eyes - самый мощный в мире альянс по наблюдению. Хотя он, возможно, хорошо защищает свои страны-члены (США, Великобританию, Канаду, Австралию и Новую Зеландию), он делает эти страны далеко не идеальными юрисдикциями для компаний и продуктов, защищающих конфиденциальность.

В конечном счете, мы также должны признать, что у всех разные потребности, варианты использования и модели угроз. Это означает, что выбор продуктов и услуг является очень субъективным вопросом, и только вы можете найти то, что наилучшим образом соответствует вашим потребностям. Удачи и берегите себя!