Взлом умных часов, отпечатки пальцев через Facebook и запах лжи: чем занимается самый секретный подрядчик спецслужб США
Когда Джеймсу Бонду нужно что-то высокотехнологичное ― будь то невидимый Aston Martin или взрывающаяся ручка, ― он выходит на связь с Q и секретной лабораторией МИ-6. В реальном мире американские агенты часто полагаются на менее скрытую, но куда лучше финансируемую организацию. Mitre, специальная экспериментальная госструктура со штатом порядка 8000 сотрудников и годовым бюджетом $1-2 млрд из средств налогоплательщиков, уже 60 лет создает для правительства новейшие технологии. Штаб-квартира организации располагается в четырех башнях на холме в городе Маклейн, штат Виргиния. В исследовательских центрах Mitre компьютерные специалисты и инженеры высочайшего класса разрабатывают цифровые инструменты для важнейших военных, оборонных и разведывательных служб Америки.
Искусство быть незаметным
Mitre получает от правительства заказы на разработку весьма необычных решений. Среди них прототип инструмента для взлома умных часов, фитнес-трекеров и домашних термометров в целях обеспечения национальной безопасности, программа для ФБР по сбору отпечатков пальцев в социальных сетях, таких как Facebook, Instagram и Twitter, содействие в составлении крупнейшей в мире, по словам ФБР, базы данных человеческой анатомии и истории преступлений, а также исследование того, может ли запах тела четко указывать на то, что человек лжет.
Информация об этих многомиллионных проектах содержится на сотнях страниц контрактных документов (они получены в соответствии с законом о свободе информации), о них рассказали бывшие сотрудники организации и правительственные чиновники. Однако все это — лишь небольшая часть работы Mitre. Ее влияние распространяется далеко за пределы технологических разработок. Для многих госагентств это консультант по внедрению и применению технологий и связанных с ними политических стратегий. Недавний пример — помощь Центрам по контролю и профилактике заболеваний и Управлению по противодействию оружию массового поражения. Им Mitre помогает разрабатывать всеобъемлющий план подавления пандемии COVID-19.
«Если существует какая-либо угроза национальной безопасности или общественным интересам, то Mitre вряд ли остается в стороне от решения проблемы», ― говорит Мэтт Эдман, бывший инженер Mitre по информационной безопасности. Эдман мог бы легко работать в любой известной технологической компании Кремниевой долины, но вместо этого решил бросить свои таланты на решение проблем, связанных с национальной безопасностью. Работая в Mitre, Эдман сотрудничал с ФБР и применял свои хакерские навыки для разоблачения Silk Road, незаконной торговой интернет-площадки, где продавались наркотики. Вскоре после того, как Эдман ушел из Mitre, ему позволили закончить эту работу — вместе с агентом ФБР Ильхваном Ямом он отправился в Рейкьявик, чтобы закрыть веб-сайт, которым управлял Dread Pirate Roberts, он же Росс Ульбрихт. Сегодня создатель подпольного рынка отбывает пожизненное наказание. Пока Эдман работал в Mitre, организация помогла ФБР в отслеживании пользователей многочисленных сайтов с детской порнографией в рамках операции «Торпедо». Тогда генеральный прокурор Лоретта Линч назвала дело поворотным моментом в истории даркнета.
Послужной список Mitre полон достижений, не признанных широкой общественностью. Как говорится в промоматериалах корпорации: «Вы об этом не знаете, но Mitre касается вашей жизни каждый день». Forbes провел расследование, чтобы пролить свет на работу организации. В итоге мы увидели элитный институт, который делает полезную для правительства работу и создает инструменты для отслеживания преступников, болезней или нелегальных мигрантов. Но некоторые из этих проектов вызывают большие опасения у правозащитников и сторонников неприкосновенности частной жизни.
Дитя холодной войны
Даже те, кто живет совсем рядом с большим офисным комплексом Mitre, зачастую не представляют, что предприятие является надежной опорой для национальной безопасности и обороны на протяжении уже 60 лет. «Это было в нескольких милях от моего дома, ― офис находится там с середины 1950-х, ― говорит Шон Вэлл, впервые пришедший в Mitre на собеседование в 2008 году. ― Никогда раньше о них я не слышал». Вэлл работал в Mitre пять лет — занимался информационной безопасностью для ВВС США и искал уязвимости в операционной системе Android.
Mitre стала детищем холодной войны. Организация выделилась из Массачусетского технологического института (MIT). Ему Mitre обязана первым слогом в своем названии. Столкнувшись в конце 1950-х с угрозой советского ядерного удара, ВВС США попросили MIT помочь создать эффективную систему ПВО. Институт разработал систему SAGE, первую в своем роде систему ПВО в Америке. В 1958 году руководство MIT учредило Mitre для управления системой SAGE и ее последующим развитием.
На протяжении следующих 40 лет предприятие оставалось за кулисами разработок таких известных сегодня систем воздушного наблюдения, как AWACS и STARS. Организация сыграла важную роль в развитии повсеместно используемой сейчас системы GPS и применяемой коммерческими авиалиниями системы предупреждения столкновения самолетов в воздухе (TCAS). Сегодня круг задач у Mitre расширился, и предприятие руководит инициативами в сферах информационной безопасности и здравоохранения, хотя не забывает о своей основной роли в обслуживании интересов национальной безопасности.
«Когда я говорю, что Mitre занимается информационными науками, я имею в виду гораздо больше, чем обычно понимают под словом IT», ― отмечает Мартин Фага, глава Mitre с 2000 по 2006 год. Компания, например, разрабатывала специальную антенну для военных самолетов, чтобы отправлять и получать данные со спутника связи, объясняет Фага.
Теперь богатый опыт корпорации используется для того, чтобы вытянуть Америку из кризиса COVID-19. В рамках контракта на $16,3 млн с Центрами по контролю и профилактике заболеваний, заключенного в июне, предприятию поручили помочь в организации «продолжительного противодействия в целях сдерживания COVID-19». 17 марта, через четыре дня после объявления чрезвычайного положения в США, Управление по противодействию оружию массового поражения при Министерстве внутренней безопасности поручило Mitre стать координационным пунктом по борьбе с последствиями пандемии и «привлекать, информировать и направлять» мэров, губернаторов и руководителей экстренных служб. Mitre также должна была создать модели распространения вируса для отслеживания заболеваемости и определить, какие разновидности «нефармацевтического вмешательства» (сюда относится закрытие школ, магазинов и введение мер социального дистанцирования) могут помочь «выйти на плато.
Доля бюджетного финансирования Mitre в последние несколько лет растет и скоро достигнет $2 млрд. В компании заявляют, что выручка за 2019 год составила $1,8 млрд.
Согласно контракту на $200 000, Mitre должна собрать и проанализировать данные о COVID-19, чтобы проконсультировать власти штатов и округов. Те, в свою очередь, на основе этих консультаций должны будут принять решение об «адекватном ослаблении нефармацевтического вмешательства». Иными словами, Mitre помогает властям всех уровней решать, когда и как снимать ограничительные меры.
К слову, ни в Mitre, ни в Министерстве внутренней безопасности не объясняют, почему подобным контрактом занимается Управление по противодействию оружию массового поражения. Кроме того, на безвозмездной основе предприятие создало систему по отслеживанию контактов под названием Sara Alert, которое помогает властям ряда штатов (Арканзас, Пенсильвания, Вермонт и т.д.) отслеживать очаги заболеваемости. Система позволяет людям, находящимся в группе риска заражения COVID-19, загружать данные о своих симптомах и температуре в базы данных штатов или местных органов здравоохранения. Так, в Арканзасе с начала апреля в системе зарегистрировался 12 861 человек. Пользователи информируют медицинские учреждения о своем состоянии через SMS-сообщения, звонки, электронные письма или форму на веб-сайте. «С такой системой мы в состоянии более оперативно выявлять случаи заражения, и благодаря этому проще обрабатывать данные различных социальных групп», ― говорит Майк Сима, главный эпидемиолог Департамента здравоохранения Арканзаса. Идея оказалась настолько успешной, что после ухода COVID-19 Сима планирует использовать Sara Alert для других инфекционных заболеваний.
Зарабатывать не обязательно
Mitre отличается от других подрядчиков тем, что зарабатывать деньги ей не обязательно. В отличие от коммерческих подрядных организаций, компания контролирует семь своих лабораторий, известных как Федеральные бюджетные научно-исследовательские центры ― весьма непримечательное название столь важных для государства учреждений. Фага подчеркивает, что в Mitre берут дополнительную плату только за время сотрудников, обычно около 3% от общей стоимости работы, чтобы поддерживать независимые исследования: «Люди приходят с блестящими идеями и говорят, что будь у них $100 000, они могли бы сделать что-то действительно стоящее. И компания может дать им такую возможность».
Из-за этого бывший глава Mitre попал в необычное положение перед другими подрядчиками властей. «На ежегодном собрании совета директоров достаю отчет и говорю: «В этом году мы усердно работали. И вышли в ноль». Все радуются. Любому другому генеральному директору сказали бы: «Уволен», — говорит он.
Корпорация не коммерциализирует те технологии, которые создает. Как только создан прототип, лицензию на него получает либо правительство, либо частное предприятие, либо образовательные учреждения. С 2014 года Mitre передала свыше 670 лицензий игрокам индустрии или партнерам в университетах.
Отпечатки через Facebook
Поскольку Mitre не нужно думать об извлечении прибыли, она может заниматься задачами любой сложности. Можно вспомнить хотя бы проект по сбору отпечатков пальцев с пользователей Facebook, Twitter и прочих соцсетей. Судя по электронным письмам и деталям контракта Mitre, полученным Forbes, с 2015 года совместно с ФБР реализуется «проект по получению отпечатков пальцев в социальных сетях» стоимостью $500 000. Проект был запущен по инициативе хакерского подразделения ФБР, Отдела операционных технологий. Финансирование на этот проект предоставлено некой структурой под названием Triad, о которой ранее ничего не было известно. Экс-руководитель программы ФБР по науке и технологиям Крис Пьехота рассказывает Forbes, что «получение отпечатков пальцев» следует понимать абсолютно буквально: как считывание биометрической информации с изображений в соцсетях. Пьехота отмечает, что в этой связи можно упомянуть членов банд, которые загружают туда фотографии и показывают различные жесты. «Так они дают доступ к своим отпечаткам пальцев», — говорит он.
Подобную технологию смогут применять правоохранительные органы и другие агентства, с которыми сотрудничает Mitre. В то же время это может оказаться угрозой для приватности личных данных. Нейт Уэсслер, юрист Американского союза защиты гражданских свобод, утверждает, что проект касается «серьезных вопросов приватности», особенно актуальных во время всеобщих волнений по стране из-за пандемии COVID-19 и расового неравенства. «Никто не думает, что опубликовав фотографию в сети, можно выдать персональные биометрические данные, включая отпечатки пальцев, прямо в руки органам правопорядка. Сейчас мы не только наблюдаем протесты против расизма и полицейского произвола, но становимся свидетелями невиданных в истории масштабов копирования фотографий протестующих в СМИ. Перспектива того, что органы правопорядка смогут беспрепятственно получать отпечатки пальцев с таких снимков, потрясает до глубины души», — объясняет он.
Пьехота отмечает, что в качестве меры предосторожности ФБР будет собирать отпечатки с изображений в социальных сетях только в случаях, когда лицо является подозреваемым, и не собирается в поисках возможных изображений прочесывать весь Facebook.
Mitre не первый год помогает властям получать биометрические данные. В еще одном контракте 2014 года указано, что корпорация помогает ФБР в разработке инструментов по распознаванию лиц вплоть до «создания списков под наблюдением с возможностью отмечать подозрительных граждан». Кроме того, Mitre помогает ФБР в создании системы идентификации нового поколения (NGI), одной из крупнейших в мире баз данных с лицами преступников, отпечатками и другими характерными признаками. По данным ФБР, NGI ― «крупнейшее и самое эффективное в мире хранилище биометрической информации и данных о преступлениях». Проект реализуется с 2007 года и уже стоил ФБР не менее $500 млн. Большую часть этих денег получил ранний разработчик, компания Lockheed Martin.
Еще одна сфера работы Mitre — интернет вещей. В рамках контракта на $500 000 от 2017 года Министерство внутренней безопасности поручило предприятию разработать систему, которая сможет определить местоположение и взломать умные часы, фитнес-трекеры, устройства умного дома и прочие подобные гаджеты. Согласно контракту, технологию могут использовать правоохранители или пограничники. Она могла бы пригодиться в случае с людьми, пересекающими границу США с Мексикой: инструменты отслеживания сканируют все проходящие устройства. Когда устройство находится на подозреваемом или преступнике, то с него можно быстро загрузить данные и получить комплексные сведения, от текстовых сообщений до геолокации.
Еще один проект, которым Mitre занималась для американской пограничной службы, — исследование эффективности технологии быстрых тестов ДНК. Этот инструмент возмутил правозащитные организации. По их мнению, технология вторгается в приватную жизнь иммигрантов. Быстрые тесты ДНК позволяют определять родство тех, кто пересекает границу США вместе, и выявлять обманщиков.
Запах лжи
Возможность взлома умных устройств может быть крайне полезна федеральным агентствам. «Умные устройства фиксируют много телеметрической информации, и это может принести пользу во многих областях», ― признает Джейк Уильямс, бывший аналитик Агентства национальной безопасности. Он добавляет, что был шокирован, когда узнал, что подобный инструмент будет взят на вооружение в пунктах пограничного контроля. Такая перспектива устрашает и юристов. «Человеку, использующему устройство, будет достаточно просто находиться в диапазоне сигнала перехватывающей системы, причем нет необходимости даже в физическом доступе к гаджету. К тому, как правоохранительные органы станут распоряжаться полученной информацией, будет множество вопросов, и трудно будет также привлечь их в этой связи к какой бы то ни было ответственности», — говорит Джером Греко из Общества юридической помощи.
Mitre помогает властям не только с технологическими аспектами дознания, но и занимается исследованиями в сфере допросов. В 2009 году была основана лаборатория Mitre под названием Институт проектирования и разработки систем внутренней безопасности. Она работала над исследованием под рабочим названием «Человеческий запах как биометрический показатель обмана». В ходе необычного испытания, вроде тех, что традиционно приписывают ЦРУ, Министерство внутренней безопасности решило выяснить, есть ли научное подтверждение выражению «учуять крысу». В ходе исследования планировалось изучить возможность использования «уникального человеческого запаха» как «показателя обмана». У добровольцев были взяты образцы перед тем, как они солгут и после этого. Аналогичные образцы были взяты, когда они говорили правду. Исследователи также хотели получить доказательство «в пользу гипотезы о том, что индивидуальный запах человека можно использовать в качестве биометрического идентификатора». Суть сводилась к простому: есть ли у нас уникальных запах, когда мы лжем? По данным Министерства внутренней безопасности, ответ был положительным, однако на другие вопросы Forbes министерство не ответило. В аналитической записке финального отчета за 2011 год авторы заявляли: «Результаты показывают, что, исходя из измеримых вариаций в запахе человеческого тела, можно допустить существование отличий между лицами, говорящими правду и ложь».
Это может послужить примером более необычных исследований Mitre, информация о бóльшей части которых по-прежнему хранится в архивах офисных зданий в Маклейне или засекречена на серверах Белого дома. Но таково положение организации — даже когда ценность работы под сомнением, названия Mitre оказывается достаточно, чтобы работу принимали всерьез в правительстве. Фага, бывший глава Mitre, остающийся членом консультативного совета предприятия, вспоминает недавний визит в Пентагон, где прошло совещание, на котором обсуждались уязвимости GPS. Один делегат, желавший узнать, оправдано ли беспокойство по поводу брешей в безопасности, спросил, откуда Пентагон получил информацию. Когда в ответ прозвучало название корпорации, атмосфера в кабинете поменялась. По словам Фага, все поняли: «Ладно, тогда это правда».
Перевод Антона Бундина