Тотальная слежка в сети. Цифровая паранойя
Во время каждого входа в интернет вы оставляете «цифровые следы»: пароли от аккаунтов, сообщения, информацию о своих предпочтениях. Иногда эти данные посторонним хранить совершенно незачем. 42.TUT.BY составил «инструкцию для параноиков» и собрал способы защиты от онлайн-слежки рекламных сетей, крупных сервисов и злоумышленников.
Многие онлайн-сервисы для входа используют аккаунты в соцсетях как быструю замену регистрации. Иногда они просто подтверждают вашу личность, а иногда получают права на доступ к перепискам и даже публикации записей вместо вас.
Порой даже если вы больше не пользуетесь сервисом, разрешения для него продолжают храниться. В таких случаях лучше отключить ненужные сторонние приложения, привязанные к вашим соцсетям.
Как отключить сторонние сервисы:
Google следит за каждым шагом
Google — крупнейшая в мире ИТ-компания, многие ее сервисы — самые популярные на планете. И скорее всего, эти сервисы знают о вас больше, чем вы сами.
Вся эта информация хранится для того, чтобы сервисы компании лучше работали. Google серьезно заботится о политике конфиденциальности. Правда, такой объем ваших данных в одном месте может вызвать внутренний дискомфорт.
Как отключить:
Слежка хакеров или спецслужб
Если вам кажется, что кто-то намеренно следит за вами, стоит соблюдать «цифровую гигиену». Никто наверняка не знает, какими инструментами владеют люди, которые хотят украсть вашу информацию. Вот несколько советов от некоммерческого проекта Electronic Frontier Foundation («Фонд Электронных Рубежей»), который отстаивает гражданские свободы в интернете.
Использовать HTTPS. С помощью надежного шифрования каждое отправленное письмо преобразуется так, что его не прочтет никто, кроме адресата. HTTPS шифрует коммуникации так, что их не могут увидеть другие люди в вашей сети — например, пользователи того же подключения по Wi-Fi, коллеги по работе или злоумышленники. Если связь происходит не по HTTPS, а по HTTP, перехват и чтение всего, для чего применяется браузер, становятся простой задачей.
Пользоваться VPN. VPN (Virtual Private Network) — это виртуальная частная сеть. Она защищает ваш интернет-трафик от слежки в публичных сетях. В сети есть множество платных и бесплатных вариантов. Бесплатный VPN-клиент с безлимитным потреблением данных с недавних пор есть в браузере Opera .
Как зашифровать вообще все
Шифровать переписки. Если вы обсуждаете что-то через «ВКонтакте» или WhatsApp, ваши сообщения уже зашифрованы от злоумышленников и любых третьих лиц, пока информация в пути. Но чат не защищен от компании — поставщика услуги. Она имеет шифровальные ключи для вашего чата и может передать их властям или использовать их для маркетинговых целей.
Чтобы защитить переписку, можно применить дополнительное шифрование мгновенных сообщений и электронной почты — к примеру, технологию OTR или PGP-шифрование . Другой вариант — использовать «защищенные» мессенджеры, которые не позволяют серверу вести запись вашей беседы. Например Signal (
В 1993 году журнал «Нью-Йоркер» напечатал знаменитую карикатуру про пса за компьютером. «В интернете никто не знает, что ты собака», - сообщала подпись. Спустя двадцать с лишним лет дела обстоят с точностью до наоборот. В сегодняшнем интернете любая собака знает, кто ты такой, - и порой даже лучше, чем ты сам.
Интернет плохо совместим с тайнами, и тайна частной жизни - не исключение. О каждом клике, сделанном в браузере, по определению должны знать две стороны: клиент и сервер. Это в лучшем случае. На самом деле где двое, там и трое, а то и, если взять в качестве примера сайт «Хакера», все двадцать восемь.
На примере
Чтобы убедиться в этом, достаточно включить встроенные в Chrome или Firefox инструменты разработчика.. Больше половины этих запросов не имеют ни малейшего отношения к документам, которые расположены на серверах «Хакера». Вместо этого они ведут к 27 различным доменам, принадлежащим нескольким иностранным компаниям. Именно эти запросы съедают 90% времени при загрузке сайта.
Что это за домены? Рекламные сети, несколько систем веб-аналитики, социальные сети, платежный сервис, облако Amazon и пара маркетинговых виджетов. Похожий набор, и зачастую даже более обширный, имеется на любом коммерческом сайте.. О них знаем не только мы (это само собой), но и обладатели этих 27 доменов.
Многие из них не просто знают. Они наблюдают за тобой с самым пристальным интересом. Видишь баннер? Он загружен с сервера Doubleclick, крупной рекламной сети, которая принадлежит Google.. Если бы баннера не было, он нашел бы другой способ. Те же данные можно извлечь с помощью трекера Google Analytics или через AdSense, по обращению к шрифтам с Google Fonts или к jQuery на CDN Google. Хоть какая-то зацепка найдется на значительной доле страниц в интернете.
Анализ истории перемещений пользователя по интернету помогает Google с неплохой точностью определить его интересы, пол, возраст, достаток, семейное положение и даже состояние здоровья. Это нужно для того, чтобы точнее подбирать рекламу. Даже незначительное увеличение точности таргетинга в масштабах Google - это миллиарды долларов, но возможны и другие применения. Согласно документам, которые опубликовал Эдвард Сноуден, американские и британские спецслужбы перехватывали трекеры Google для идентификации подозреваемых.
За тобой следят - это факт, с которым нужно смириться. Лучше сосредоточиться на других вопросах. Как они это делают? Можно ли скрыться от слежки? И стоит ли?
Найти и перепрятать
Для того чтобы следить за человеком, нужно уметь его идентифицировать. Самый простой и хорошо изученный способ идентификации - это cookie. Проблема заключается в том, что он уязвимее всего для атак со стороны поборников privacy. О них знают и пользователи, и даже политики. В Евросоюзе, к примеру, действует закон, вынуждающий сайты предупреждать пользователей о вреде кук. Толку ноль, но сам факт настораживает.
Другая проблема связана с тем, что некоторые браузеры по умолчанию блокируют cookie, установленные третьей стороной - например, сервисом веб-аналитики или рекламной сетью. Такое ограничение можно обойти, прогнав пользователя через цепочку редиректов на сервер третьей стороны и обратно, но это, во-первых, не очень удобно, а во-вторых, вряд ли кого-то спасет в долгосрочной перспективе. Рано или поздно потребуется более надежный метод идентификации.
В браузере куда больше мест, где можно спрятать идентификационную информацию, чем планировали разработчики. Нужна лишь некоторая изобретательность. Например, через свойство DOM window.name другим страницам можно передать до двух мегабайт данных, причем в отличие от кук, доступных лишь скриптам с того же домена, данные в window.name доступны и из других доменов. Заменить куки на window.name мешает лишь эфемерность этого свойства. Оно не сохраняет значение после завершения сессии.
Несколько лет назад в моду вошло хранение идентификационной информации при помощи так называемых Local Shared Objects (LSO), которые предоставляет Flash. В пользу LSO играли два фактора. Во-первых, в отличие от кук, пользователь не мог их удалить средствами браузера. Во-вторых, если куки в каждом браузере свои, то LSO, как и сам Flash, один для всех браузеров на компьютере. За счет этого можно идентифицировать пользователя, попеременно работающего в разных браузерах.
Продолжение доступно только подписчикам
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
Как за пользователями следят их гаджеты и что о них знает мобильный оператор и интернет-провайдер
В закладки
В начале февраля сайт The Daily Beast сообщил, что телевизоры Samsung, оборудованные функцией голосового управления, отсылают данные неким третьим лицам. Запись об этом находилась в разделе предупреждений в инструкции к аппарату. Корейский гигант быстро взял ситуацию под контроль, заявив что управление голосом включается только при нажатии специальной кнопки на пульте, данные тщательно шифруются, а люди, обсуждающие в гостиной перед телевизором, например, свой наркобизнес или планы по свержению власти, могут вообще отключить сетевые функции устройства, отсоединив кабель или отключившись от точки доступа Wi-Fi.
Однако новейшие модели телевизоров давно не только слушают, но и видят своих пользователей через встроенные видеокамеры. Это окончательно превращает современные гостиные в «1984» Оруэлла с его телеэкранами - устройствами для наблюдения и прослушивания, которые в романе также используются для телетрансляций.
Обозреватель TJ Иван Талачёв решил выяснить что знают о своих владельцах и кому об этом рассказывают их гаджеты, для чего они это делают и как жить в мире, где уже даже телевизору нельзя доверять.
Шпион в кармане
Самым близким к современному человеку средством слежения является его телефон. Смартфоны собирают данные о местоположении владельцев через встроенный практически во все актуальные модели GPS-приёмник, а установленные приложения могут «наводить справки» о хозяине аппарата, запрашивая у системы номер телефона, идентификатор устройства, список контактов, пол и возраст.
В 2011 году огромный резонанс имела история о подслушивании за пользователями шоппингового приложения Shopkick, включавшего микрофон прямо в кармане у владельца без его ведома. Разработчики утверждали что Shopkick просто следит за тем, не звучит ли в данный момент специальный звуковой сигнал, который транслировался в избранных магазинах и позволял телефону информировать владельца о новых товарах, акциях и скидках.
Доступ к собранным смартфоном данным, как правило, имеет изготовитель устройства. Apple и Google на заре эры iOS и Android неоднократно становились жертвами скандалов, связанных с их средствами географического мониторинга. К счастью для параноиков, все эти сервисы можно легко отключить в настройках аппаратов. Изготовители убеждают, что всё серьёзнее и серьёзнее относятся к личным и географическим данным, обезличивая и шифруя их при получении и передаче. Но, увидев в первый раз все свои маршруты с момента покупки устройства в программе, хочется убедиться в этом дважды.
Помимо производителя устройства, за ним «присматривает» и мобильный оператор. Он имеет доступ к списку телефонных станций, к которым подключался телефон и тем самым может получить координаты аппарата в текущий момент и историю его недавних передвижений, пусть и с более серьёзной, чем у GPS, погрешностью. Оператор также хранит список звонков, сведения об отправленных и полученных СМС-сообщениях, а также об IP-адресах интернет-соединений.
Сведения о том, архивируются ли таким же образом записи телефонных переговоров, разнятся. Известный своей в сетевом общении генеральный директор «Билайна» Михаил Слободин, например, не согласился прямо ответить на вопрос о том, что и в каком виде хранит подконтрольная ему компания. Открытым остаётся вопрос и о продолжительности хранения личных данных абонентов. Эти сроки за рубежом разнятся от недели (СМС-сообщения) до нескольких лет (американский AT&T хранит сведения о звонках абонентов 5-7 лет). Подобной статистики по российским операторам найти, к сожалению, не удалось.
Данные со смартфонов, как правило, собираются изготовителями аппаратов и разработчиками приложений для двух целей. Первая состоит в сборе информации о пользователях для получения статистики. Разработчикам необходимо знать кто, где и как пользуется их программами чтобы совершенствовать и дополнять свои сервисы. Ориентироваться лишь по количеству установок или покупок и оценкам в App Store и Play Market для них недостаточно.
Вторая цель - реклама. Данные об истории поисков в Google и «Яндекса» уже давно служат для создания таргетированной рекламы, призванной знакомить пользователей на определенных страницах именно с теми товарами и категориями продуктов, которые они сами недавно искали. Имея доступ к географическим данным, реклама может стать ещё более персональной, например, рекомендуя магазины и заведения, мимо которых каждый день лежит маршрут владельца устройства с работы.
В последнее время всё большую популярность находят приложения, ставящие безопасность общения во главу угла и затрудняющие несанкционированный доступ к переписке пользователя. Следить или просматривать сообщения, идущие через Telegram, с его шифрованием и самоуничтожающимися сообщениями, или, например, независимый от интернета чат FireChat, на данный момент практически невозможно.
COPM и PRISM
Интернет-провайдер - вторая по важности компания в жизни современного человека, имеющая отношение к его тайнам и секретам. Вот уж кто, казалось бы, действительно знает сколько времени абоненты проводят в игре Dota 2 и какие сайты посещают на пять-десять минут ближе к ночи. Но на самом деле, у провайдеров не хватает ни вычислительных мощностей, ни дискового пространства для хранения подобных данных, и всё что у них есть, как правило, это список интернет-сессий с проведённым в них временем и количеством переданного и полученного трафика.
Однако ни один интернет-провайдер в России не ведёт свою деятельность без установленного комплекта СОРМ-2 («Система технических средств для обеспечения функций Оперативно-Рoзыскных Мероприятий»). Он представляет собой средних размеров чёрный ящик, который имеет собственный выделенный двусторонний интернет-канал и служит для работы ФСБ с трафиком абонентов провайдера. ФСБ не стоит путать с полицией или отделом «К»: что и в каких количествах скачивается кем-либо с торрентов их интересует мало, а переписка в соцсетях и того меньше.
Интерес к пользователям и их трафику ФСБ проявляет лишь при подозрении на подготовку терактов или других противозаконных действий.
Правоохранительные органы, которые реагируют на распространение материалов из знаменитого Единого реестра запрещённых сайтов, детскую порнографию и защищённый авторским правом контент, как правило, ограничивают своё взаимодействие с провайдером запросом на личные данные абонента. Поставщики услуг предоставляют подобные данные по первому требованию, так как обязаны условиями лицензии.
Но провайдер не может перехватывать трафик, читать почту, не знает пароли своих пользователей и не имеет доступ к пересылаемым файлам. Это всё прерогатива знаменитой системы PRISM, которая с 2007 года работала в США и следила за иностранцами и гражданами США. PRISM работала на высочайшем уровне, взаимодействуя напрямую с корпорациями, предоставляющими интернет-услуги.
Агентство Национальной Безопасности в своё время вынудило к сотрудничеству в рамках PRISM Microsoft, Apple, Google, Yahoo!, Facebook, YouTube, Skype и AOL - всё для того, чтобы иметь полную картину сетевых действий любого человека на планете. После скандального разоблачения работы PRISM Эдвардом Сноуденом, было задано множество неловких вопросов. Например, если до действий Сноудена работа программы находилась в строжайшем секрете, не работает ли сейчас под таким же грифом продвинутая версия подобной системы?
Следи за собой
Тем из нас, чья жизнь никак не связана с криминалом, кто не планирует теракты и не призывает на каждом углу к свержению действующей власти, бояться, если вдуматься, и нечего. Массив голосового и интернет-трафика даже в сравнительно маленьком городе настолько огромен, что без острой необходимости никто не будет подслушивать разговоры по телефону с мамой или читать «подкаты» в соцсетях к знакомым свободным барышням. А в масштабах страны или целого мира, самые страшные секреты многих людей, скорее всего, мало кому интересны.
Даже если вы тщательно заботитесь о защите своих данных, это не даст вам желаемой приватности. И чем дальше, тем больше у компаний и правительств возможностей собирать и использовать самую разную информацию, а уж идентифицировать по ней человека - вообще не проблема. На нескольких занятных примерах мы разберем, как это происходит и к чему потенциально может привести.
Тот самый паноптикон
Начнем мы не с современности, а с восемнадцатого века, из которого к нам пришло слово «паноптикон». Изначально его придумал изобретатель довольно странной вещи - тюрьмы, в которой надзиратель мог постоянно видеть каждого заключенного, а заключенные не могли бы видеть ни друг друга, ни надзирателя.
Звучит как какой-то мысленный эксперимент или философская концепция, правда? Отчасти так и есть, но автор этого понятия британец Джереми Бентам был настроен предельно решительно в своем стремлении построить паноптикон в реальности.
Слежка в интернете | Бентамовские чертежи паноптикона
Бентам был буквально одержим своей идеей и долго упрашивал британское и другие правительства дать ему денег на строительство тюрьмы нового типа. Он считал, что непрерывное и незаметное наблюдение положительно скажется на исправлении заключенных. К тому же такие тюрьмы было бы намного дешевле содержать. Под конец он уже и сам был готов стать главным надзирателем, но денег на строительство собрать так и не удалось.
Слежка в интернете | Вдохновленная паноптиконом тюрьма на Кубе. Заброшена с 1967 года С тех пор в разных странах было построено несколько тюрем и других заведений, вдохновленных чертежами Бентама. Но нас в этой истории, конечно, интересует другое. Паноптикон почти сразу стал синонимом для общества тотальной слежки и контроля. Которое, кажется, строится прямо у нас на глазах.
33 бита энтропии
Исследователь Арвинд Нараянан предложил полезный метод, который помогает измерить степень анонимности. Он назвал его «33 бита энтропии» - именно столько информации нужно знать о человеке, чтобы выделить его уникальным образом среди всего населения Земли. Если взять за каждый бит какой-то двоичный признак, то 33 бита как раз дадут нам уникальное совпадение среди 6,6 миллиарда.
Однако следует помнить о том, что признаки обычно не двоичны и иногда достаточно всего нескольких параметров. Возьмем для примера базу данных, где хранится почтовый индекс, пол, возраст и модель машины. Почтовый индекс ограничивает выборку в среднем до 20 тысяч человек - и это цифра для очень плотно населенного города: в Москве на одно почтовое отделение приходится 10 тысяч человек, а в среднем по России - 3,5 тысячи.
Пол ограничит выборку вдвое. Возраст - уже до нескольких сотен, если не десятков. А модель машины - всего до пары человек, а зачастую и до одного. Более редкая машина или мелкий населенный пункт могут сделать половину параметров ненужными.
Скрипты, куки и веселые трюки
Вместо почтового индекса и модели машины можно использовать версию браузера, операционную систему, разрешение экрана и прочие параметры, которые мы оставляем каждому посещенному сайту, а рекламные сети усердно все это собирают и с легкостью отслеживают путь, привычки и предпочтения отдельных пользователей.
Или вот другой занятный пример, уже из мира мобильных приложений. Каждая программа для iOS, которая получает доступ к фотографиям (например, чтобы наложить на них красивый эффект), имеет возможность за секунды просканировать всю базу и засосать . Если фотографий много, то из данных о геолокации и времени съемки легко сложить маршрут твоих перемещений за последние пять лет. Proof of concept можете в репозитории Феликса Краузе.
Слежка в интернете | detect.location Существуют и более известные, но при этом не менее неприятные вещи. Например, многие счетчики посещаемости позволяют владельцам сайта, помимо прочего, записывать сессию пользователя - то есть писать каждое движение мыши и нажатие на кнопку. С одной стороны, ничего нелегального тут нет, с другой - стоит посмотреть такую запись своими глазами, и понимаешь, что тут что-то не так и такого механизма существовать не должно. И это не считая того, что через него в определенных случаях могут утечь пароли или платежные данные.
И таких примеров масса - если вы интересуетесь темой, то сами без труда припомните что-нибудь в этом духе. Но гораздо сложнее понять, что происходит с собранными данными дальше. А ведь жизнь их насыщенна и интересна.
Торговцы привычками
Многие собираемые данные на первый взгляд кажутся безобидными и зачастую обезличены, но связать их с человеком не так сложно, как представляется, а безобидность зависит от обстоятельств. Как думаете, насколько безопасно делиться с кем-то ну, например, данными шагомера? По ним, в частности, легко понять, во сколько вас нет дома и по каким дням вы возвращаетесь поздно.
Однако грабители пока что до столь высоких технологий не дошли, а вот рекламщиков любая информация о ваших привычках может заинтересовать. Как часто вы куда-то ходите? По будням или по выходным? Утром или после обеда? В какие заведения? И так далее и тому подобное.
Не очень отдаленное будущее
Еще десять-пятнадцать лет назад все, о чем мы тут говорили, либо не существовало, либо не волновало большинство людей. Сейчас реакция публики потихоньку меняется, но, скорее всего, недостаточно быстро, и следующие десять-пятнадцать лет в плане приватности обещают стать крайне неприятными (или неприватными?).
Если сейчас следить проще всего в интернете, то с миниатюризацией и удешевлением электроники те же проблемы постепенно доберутся и до окружающего нас мира. Собственно, они уже потихоньку добираются, но это только начало.
Слежка в интернете | Недавно все охали и ахали от фотографии сглючившего рекламного стенда в пиццерии, который детектил лица. Волноваться надо было, когда эту штуку возили по выставкам В статье « » писатель Чарли Стросс отталкивается от закона Куми (вариации закона Мура, которая говорит, что энергоэффективность компьютеров удваивается каждые 18 месяцев) и рассчитывает минимально потребляемую мощность компьютеров 2032 года.
По грубым прикидкам Стросса выходит, что аналог нынешних маломощных мобильных систем на чипе с набором сенсоров через пятнадцать лет сможет питаться от солнечной батареи со стороной два-три миллиметра либо от энергии радиосигнала. И это без учета того, что могут появиться более эффективные батареи или другие способы доставки энергии.
Стросс рассуждает дальше: «Будем считать, что наш гипотетический компьютер с низким энергопотреблением при массовом производстве будет стоить 10 центов за штуку. Тогда покрыть Лондон процессорами по одному на квадратный метр к 2040 году будет стоить 150 миллионов евро, или 20 евро на человека». Столько же власти Лондона за 2007 год потратили на отдирание жвачки от дорог, так что вряд ли такой проект окажется городу не по карману.
Слежка в интернете | Michigan Micro Mote - прототип крошечного компьютера с солнечной батареей. И это технологии 2015 года, а не 2034-го Дальше Стросс обсуждает выгоды, которые может дать компьютеризация городских поверхностей, - от суперточных прогнозов погоды до предотвращения эпидемий. Рекомендую почитать со всеми подробностями, но в рамках этой статьи нас, конечно, интересует другое: тот уровень тотального наблюдения, который может дать эта почти что «умная пыль» из научной фантастики.
«Носить худи уже не поможет», - с сарказмом отмечает Стросс. И действительно: даже если у вездесущих сенсоров не будет камер, они все равно смогут считывать каждую метку RFID или идентифицировать мобильные устройства с модулями связи. Да и собственно, почему не будет камер? Крошечные объективы, которые можно производить сразу вместе с матрицей, уже сейчас создаются в лабораторных условиях.
Память толпы
То, к чему может потенциально привести распыление компьютеров ровным слоем по окружающей местности, Стросс называет словами panopticon singularity - по аналогии с технологической сингулярностью, которая подразумевает бесконтрольное распространение технологий. Это иная техногенная страшилка, которая означает повсеместное наблюдение и, как следствие, несвободу.
Можно вообразить, до каких крайностей дойдет, если технологии массовой слежки попадут в руки диктаторскому режиму или религиозным фундаменталистам. Однако даже если представлять, что такую систему будет контролировать обычное, не особенно коррумпированное и не слишком зацикленное на традиционных ценностях правительство, все равно как-то не по себе.
Другой потенциальный источник тотальной слежки - это сами люди. Вот краткая история этой технологии:
- версия 1.0 - старушки у подъезда, которые всё про всех знают;
- версия 2.0 - прохожие, которые чуть что выхватывают из карманов телефоны, фотографируют и постят в соцсети;
- версия 3.0 - постоянно включенные камеры на голове у каждого.
Автомобильные видеорегистраторы, кстати, - это уже где-то 2.5. Как говорится, «вы находитесь здесь».
Поводы нацепить на голову камеру могут быть разные - например, стримить в Periscope или Twitch, пользоваться приложениями с дополненной реальностью или просто записывать все происходящее, чтобы иметь цифровую копию, к которой можно в любой момент обратиться за воспоминанием. Последнее применение называется «лайфлоггинг».
Один из главных теоретиков лайфлоггинга - старший исследователь Microsoft Research Гордон Белл. В своей последней книге Your Life Uploaded Белл рассуждает о разных аспектах жизни общества, где все имеют документальные свидетельства всего произошедшего. Белл считает, что это хорошо: не будет преступлений, не будет невинно наказанных, а люди смогут пользоваться сверхнадежной памятью машин.
А как же приватность? Можно ли в мире будущего сделать что-то втайне от других? Белл считает, что система должна быть построена таким образом, чтобы в любой момент можно было исключить себя из общественной памяти. Нажимаешь волшебную кнопочку, и право смотреть запись с вами останется, к примеру, только у полиции. Удобно, правда?
Вот тут-то и понимаешь по-настоящему, где заканчивается та дорога, на которую встал Facebook со своими теневыми профилями. Если все будет как сейчас и люди продолжат радостно загружать свои данные, то волшебная кнопка выпадения из общей памяти просто ни на что не повлияет. Ну исключили вы себя, а интеллектуальный алгоритм тут же связал все обратно из косвенных признаков.
Что делать
…чтобы не наступило мрачное будущее, от которого вздрогнул бы даже Джордж Оруэлл?
Все мы думаем, что, наверное, кто-то там как-то, возможно, об этом позаботится. Активисты должны сказать «нет», правительства должны ввести законы, исполнительная власть - проследить, ну и так далее. Увы, истории известна масса случаев, когда эта схема неслабо сбоила.
Правительственные инициативы действительно есть - смотрите, например, европейский GDPR - общий регламент по защите данных. Это постановление регулирует сбор и хранение личной информации, и с ним Facebook уже не отделается щадящим (с учетом гигантских оборотов) штрафом в 122 миллиона евро. Отваливать придется уже 4% от выручки, то есть как минимум миллиард.
Первый этап GDPR стартует 25 мая 2018 года. Тогда-то мы и узнаем, какие у него побочные эффекты, какие обходные маневры последуют и удастся ли в реальности чего-то добиться от транснациональных корпораций. В России уже имеется не самый успешный опыт с законом «О персональных данных». Характерно, что его скромные успехи мало кого печалят («пусть лучше следят Цукерберг и Пейдж с Брином, чем товарищ полковник»).
Да и в целом есть серьезные подозрения, что правительства хотят не столько пресечь слежку, сколько приложиться к ней, а в идеале - вернуть себе монополию. Так что гораздо лучше было бы, начни корпорации сами себя одергивать и регулировать. Увы, как мы видим на примере «Фейсбука», некоторые из них работают в ровно противоположном направлении.
Можем ли мы сделать что-то сами, кроме как судорожно пытаться скрыться, зашифровать, обфусцировать и поотключать все на свете? Я предлагаю начать с главного - стараться никогда не махать рукой и не говорить: «Ай, все равно все следят!» Не все равно, не все и не с одинаковыми последствиями. Это важно.
Безопасность компьютерных данных и наша, пользовательская, измеряется отсутствием вирусов - троянов, червей и других гадких вредоносных программок, рассчитанных на то, чтобы слегка или серьезно подпортить жизнь нам с вами. Однако последние пару лет показывают, что вирусы прошлого, да и настоящего, - детский 8-битный писк на лужайке Super Mario по сравнению с тем, что действительно грозит каждому из нас.
Ну что, действительно, может сделать вирус? Заставить обладателя компьютера скачать, расставшись с кровно заработанными пятьюдесятью долларами, лицензионный антивирус? Переустановить операционную систему? Поменять пароли в Facebook? Залатать дыру в Wi-Fi? Побегать по конторам, занимающимся восстановлением данных? Напугали! Все это решаемо и не страшно.
Гораздо страшнее, что вся та, казалось бы, безобидная информация, которой мы ежедневно делимся с любопытными друзьями, хвастливыми коллегами и надоевшими родственниками, в любой момент может оказаться у злоумышленников. Кто, как и зачем следит за нами беспрерывно и как предотвратить сей мерзкий факт
- вот о чем сегодня пойдет речь.
Не желаете печенья?
Смартфоны могут заносить в системные поля фотофайла координаты точки, в которой сделан снимок. При публикации снимка в социальных сетях онлайн-ресурсы могут автоматически сопоставить координаты и выдать точный адрес места съемки.
Facebook и электронная почта стали для многих неотъемлемой частью каждого утра. Но задумайтесь на минутку! Ведь мы с вами постоянно отправляем во Всемирную сеть столько интимных деталей собственной жизни, что никакой шпион и не нужен. Достаточно 24 часа в сутки записывать действия, которые мы выполняем за нашими девайсами: в каком клубе и с кем Света пятый раз за ночь побывала в Facebook, туфли какого размера и почем купил Алексей, когда Ирина собирается на конференцию в Польшу, в какой детский клуб Сергей отвел своего сына, на какой станции метро вышла Катя, каким координатам GPS Андрей присвоил тег home sweet home.
И кто же будет записывать всю эту вроде бы никому не нужную ерунду, спросите вы? Есть такой Джеймс Бонд, и на вашем компьютере он тоже установлен. Это - наша собственная беспечность, скрывающаяся под милым названием «печенька» или cookies.
«C is for cookie and it’s good enough for me», - пел милый синий плюшевый Монстр Пряник в обучающей программе «Улица Сезам», даже не подозревая, что послужит идейным вдохновителем создателям первых «печенек», компании Netscape Communications. Старые гики, возможно, помнят, что до Google Chrome, до Internet Explorer, до Opera и, конечно, Safari был такой браузер, как Netscape Navigator, «дедушка» современного Mozilla Firefox, и был он самым распространенным вплоть до середины 90-х годов. Именно в Netscape впервые и появилась поддержка cookies. Их придумали для того, чтобы собирать информацию о посетителях и хранить ее не на переполненных серверах компании, а на жестких дисках самих посетителей. Для начала «печеньки» регистрировали базовую информацию: проверялось, был уже посетитель на сайте Netscape или зашел впервые. Позже программисты поняли, что cookies можно обучить записывать практически любые сведения о пользователе, которые он сам захочет оставить в Интернете. Собирались они, разумеется, без ведома мирных посетителей.
Незаметно внедренные в Netscape Navigator в 1994-м, а в Internet Explorer в 1995-м, «печеньки» оставались безвестными тружениками вплоть до 1996 года, когда о них, благодаря журналистскому расследованию, узнала вся почтенная интернет-публика, - и разразился международный скандал. Общественность была в шоке: брат, пока не очень большой, но все же брат, оказывается, следил за всеми действиями ежеминутно и, более того, все записывал. Утверждения создателей о том, что все данные хранятся в безопасности (а именно - на собственном компьютере каждого пользователя) и не могут быть использованы злоумышленниками, успокаивали слабо. А вскоре стало ясно, что эти утверждения не являются достоверными.
Как выяснилось, при большом желании злоумышленник может перехватить файл-«печеньку», отправленный на сайт, который создал это произведение компьютерно-кулинарного искусства, и, прикинувшись пользователем, действовать на сайте по своему усмотрению. Так взламывают почты, аккаунты в интернет-магазинах, банках и т.п. Но, признаемся, сделать это не так-то просто.
Более того, несмотря на заявленную анонимность cookies, даже сами маркетологи признают, что классификация пользователей, то есть нас с вами, дошла до совершенства. Нужны все обладатели Safari 25-35 летнего возраста, мужского пола, с карточкой в Citibank, закончившие МАИ, неженатые, страдающие близорукостью, носящие длинные волосы, фанаты сериала Star Wars и группы Nickelback, с годовым доходом $50-100 тысяч, частые посетители клуба Rolling Stone, проживающие у метро Новогиреево? Пожалуйста, вот эти три человека.
Кто покупает эту информацию? Как он захочет ею воспользоваться? Наша паранойя налила себе стакан чего-то с апельсиновым соком и отказывается отвечать на этот вопрос. Массовость же явления давно вышла за любые приемлемые пределы.
Эксперимент, проведенный Wall Street Journal в 2010 году, показал, что 50 самых популярных сайтов Америки установили от своего имени на тестовый компьютер 3180 файлов-шпионов (уже упомянутые нами «печеньки» и их младшие продвинутые братья «биконы», или «маячки»), записывающих за безмятежными пользователями в буквальном смысле все. Лишь менее трети файлов имели отношение к работе самих сайтов - фиксировали пароли, запоминали предпочитаемый раздел, чтобы с него начать в следующий раз, и так далее. Остальные существовали лишь для того, чтобы побольше узнать о конкретном посетителе и подороже продать собранные о нем сведения. Единственным сайтом, который не установил ни одной неприятной программки, оказалась «Википедия».
Помимо cookies, как мы уже сказали, есть еще и «маячки». Они не высылают сами себя пользователям, а размещаются прямо на сайте в качестве небольшой картинки или пиксела. «Биконы» способны запоминать введенные с клавиатуры данные, распознавать место нахождения курсора мыши и еще много чего. Сопоставив их вместе с «печеньками», получаем картину, достойную гнезда параноика.
Воспользовавшись сервисом Privacychoice.com, можно узнать, кто именно следит за вашими действиями, фиксируется ли только общая или также и личная информация, как долго она хранится и гарантируется ли ее анонимность. К сожалению, неприятная статистика собрана лишь по основным американским сайтам.
Для чего можно использовать такую информацию
Рис 1. Утвержденный список слов, фраз и выражений, употребление которых может повлечь за собой повышенное внимание к вашим действиям в Глобальной сети
Разведчик Марк Цукерберг
Американская общественность, в отличие от нашей, не дремлет и, пронюхав, что МВБ ведет яростную слежку за простыми людьми, создала противоборствующую этому организацию со скромным названием EPIC. В одном из своих контрраследований сотрудникам EPIC удалось выяснить, что МВБ разработало некий список слов-активаторов слежки. Забиваете вы, скажем, в Google невинное словосочетание «Гвадалахара, Мексика». А МВБ тут же включает вас в список потенциальных бин Ладенов и начинает фиксировать на всякий случай все ваши действия в Интернете. Вдруг решите чего-нибудь взорвать, мало ли…
Полный список крайне странных слов, многие из которых мы с вами употребляем в интернет-общении каждый день, можно посмотреть на страницах 20-23 этого документа.
К тому же, как выяснили в EPIC, абсолютное большинство хоть сколько-то значимых доменов, как-то: Facebook, Twitter, новостные почтовые сайты, сотрудничает со всеми известными службами безопасности, предоставляя им доступ к переписке, личным данным, месту нахождения и даже внешнему виду пользователей, не имея на то постановления суда. По заявлению одного из сотрудников МВБ, на одного реального подозреваемого приходится десяток подозреваемых на совершенно необоснованной почве. Непонятно, как происходит в такой ситуации передача данных, насколько она безопасна и как утилизируется полученная информация в случае ненадобности.
Еще один вопиющий факт внедрения в компьютеры Джонсонов, Петерсонов и Сидорсонов под эгидой борьбы с пиратством был обнародован в США в июле нынешнего года. Дело в том, что Ассоциация звукозаписи и кинематографии США разработала проект, по которому провайдеры будут автоматически сообщать о случаях медиапиратства. Мы, конечно же, против пиратства, однако подобная инициатива означает ведение слежки за пользователями. Особенно странными кажутся меры наказания: от душеспасительных бесед и ограничения скорости интернет-канала до запрета доступа к двумстам основным сайтам мира.
Даже если у вас есть отдельный компьютер для работы, с которого вы, как приличный параноик, никогда не выходите во Всемирную паутину, спешим вас огорчить. Есть способы следить за ним даже в обход «печенек», «маячков», слов из террористического списка и т.п. Ведь вы же все равно регулярно обновляете антивирус? А что за сигнатуры присылают на ваш компьютер? Заинтересованный (уж правительством ли, или третьими лицами) создатель антивируса может благодаря своей программе искать на вашем жестком диске все, что угодно. Достаточно лишь объявить это новым вирусом.
Да что там антивирус, ваш GPS, ваш смартфон, который вот-вот обзаведется датчиком отпечатков пальцев, Google Street View, программы по распознаванию лиц на фотографиях - предела внедрению не имеющих на то право незнакомцев в нашу повседневную жизнь просто нет. Ваш куратор в ФБР или МИ-6 в курсе, ему уже передали.
Танцы со свиньями
Но кто передал-то? Передали мы с вами. Посмотрите, как мы относимся к собственной информации! Посмотрите настройки Facebook: скольким приложениям сторонних разработчиков вы разрешили пользоваться своими данными? Попробуйте установить новую программку из Google Play Store в Android и для разнообразия прочтите, какие полномочия вы ей обещаете (доступ к телефонной книге? пользование Интернетом по необходимости? совершение звонков вашей бабушке?). Посмотрите на пользовательское соглашение Instagram - подписавшись, вы передали все свои фотографии в полную собственность Facebook! Заведите аккаунт в облаке Amazon и поинтересуйтесь, на что вы согласились: Amazon имеет право изменять, удалять загруженную вами информацию по своему усмотрению, а также прекращать ваш доступ на сайт.
Гуру информатики, профессор Принстонского университета Эдвард Фелтен метко окрестил происходящее «синдромом танцующей свиньи». Если друг прислал вам ссылку на программку с танцующими свиньями, вы наверняка установите ее, даже если в лицензионном соглашении будет написано о возможности потери всех данных, чувства юмора, вины, совести, разума и среднего достатка.
Что же делать?
1. Убедитесь, что ваш домашний Wi-Fi хорошо запаролен и никогда не пользуйтесь подозрительным интернет-соединением.
2. Меняйте пароли чаще, делайте их длиннее и сильнее. Мы по-прежнему скептически относимся к программам управления паролями и разрываемся между страхом забыть свой двадцатитрехзначный цифро-буквенный пароль, страхом взлома почты, Facebook, Twitter и других миленьких сайтов и страхом того, что кто-то запишет наши пароли, если вести их учет в специализированной программе. Как говорится, вот вам яд на выбор. Если вы выбираете последнюю опцию, наша паранойя рекомендует вам RoboForm и Last Pass.
3. Установите программку CCleaner и не забывайте ею пользоваться (в идеале - каждый день). Если не знаете, где ее взять, - зайдите к нам на сайт www.computerbild.ru и посмотрите в разделе «Скачать».
4. Установите антитрекинговые плагины в ваш браузер. В Google Chrome, например, нам нравится Keep my opt-outs Plugin. Он убирает данные о вас более чем с 230 сайтов. После этого, установите Do not track plus - этот плагин не дает «печенькам» отсылать информацию о вас снова. В Chrome, кстати, рекомендуем пользоваться функцией Incognito. В таком режиме за вами можно подсматривать только из-за спины, так что не забывайте оглядываться или повесьте зеркало позади компьютера. Шутка.
5. Используйте анонимную VPN. Хорошая и быстрая может стоить небольших денег, но сервис обычно того стоит. Из бесплатных нам нравится HotSpot Shield.
6. Отключите историю в Google. Для этого наберите google.com/history и, используя свой аккаунт на gmail.com, удалите все, что Google записал о вас. После этой операции Google записывать перестанет (наверное), если вы сами не попросите об обратном.
7. Также можно переключиться и на популярный ныне браузер TOR, который использует волонтерскую сеть компьютеров для достижения максимальной анонимности передаваемых зашифрованных данных.
8. Если же ваша фамилия - Навальный или Немцов и вам необходимо общаться с друзьями и коллегами по непросматриваемому каналу, установите программу анонимного файл-шеринга типа GNUnet, Freenet или I2P. В этом же случае рекомендуем регулярно делать резервные копии данных и хранить их на разных облаках, обращаясь к ним через анонимную VPN.
9. И, самое главное, читайте пользовательские соглашения устанавливаемых программ. Перед тем как устанавливать очередных котиков, хорошо подумайте, нужна ли вам эта программка, если она обязуется в любое время, как теща, пользоваться от вашего имени Интернетом, телефоном, проверять, кто вам звонил, узнавать, где вы находитесь, оплачивать покупки вашей кредитной картой и менять вашу мелодию звонка.
Другие новости
