Вы все еще старательно выдумываете сложные пароли, применяете двухфакторную аутентификацию и боитесь сболтнуть лишнего в Facebook, чтобы вас не взломали? Выдыхайте, это уже произошло и довольно давно. Правда в том, что что бы вы не делали, вам не удастся защитить свои персональные данные. Но кое-что еще можно спасти. На конференции Kaspersky Security Weekend старший специалист и аналитик компании по кибербезопасности Штефан Тенеси рассказал о том, что делать, чтобы окончательно не проиграть битву человечества за приватность. AIN.UA приводит репортаж с его выступления.
Я начинал свою карьеру в кибербезопасности почти десять лет назад, и мне было интересно наблюдать за тем, как меняется эта ниша. Тогда все сводилось к борьбе против кибермошенников, которые хотели завладеть нашей информацией. Сегодня на нее пытаются наложить лапу не только преступники, но также правительства, корпорации. Очень много глаз и ушей прикованы к персональным данным интернет-пользователей. Поэтому сегодня я бы хотел поговорить о приватности. Я думаю, что ее больше нет. Это битва, которую мы почти проиграли.
У всех нас (или почти у всех) есть Facebook и Twitter. Большинство из вас, скорее всего опубликовали чекин из отеля, в котором проходит эта конференция. Я не буду читать вам нотации относительно распространения вашего местоположения в социальных сетях, потому что осознаю, что это обыкновенная человеческая потребность, которой мало кто может сопротивляться. Каждый хочет быть звездой, и социальные сети отлично справляются с удовлетворением этой потребности. В Facebook каждый «сам себе селебрити» для своих фоловеров и друзей.
Но есть еще одна очень древняя и очень сильная потребность человека — это приватность. Посмотрите хотя бы на старинные изображения Адама и Евы: самое сокровенное у них прикрыто фиговыми листочками.
В книге Джорджа Оруэлла «1984» автор рисует нам картину будущего мира, в котором у каждого человека дома установлена камера и микрофон, и единственное место, где можно спрятаться от наблюдения — это угол, в котором установлена камера. Но даже когда вы там, наблюдатель знает, где вы находитесь.
Мир, в котором мы живем сегодня, не очень-то отличается от антиутопии, обрисованной Оруэллом.
В наших гостиных стоят smart-телевизоры с веб-камерой и микрофоном, подключенные к интернету. Потому что это же так удобно — общаться с кем-то в видеочате на большом экране.
Но ведь нас никто не заставлял устанавливать в своих домах эти телевизоры. Мы сделали это добровольно, своими руками. Мы купили эти телевизоры и поставили в своих гостиных. Потому что нам нравится пользоваться возможностями, которые они предлагают.
Мы больше не контролируем свои данные
Раньше, когда письма были бумажными, а покупки совершались в физических магазинах за наличные, вы могли контролировать свою приватную информацию. Но сегодня все происходит онлайн, и даже у себя дома с появлением интернета вещей вы теряете этот контроль. Ваши данные мгновенно улетают в сеть и вы больше не отвечаете за то, куда они попадают потом и как используются.
Мало кто осознает, что когда он или она открывает веб-страницу, то коммуницирует не только напрямую с веб-сервером. Когда вы открываете веб-страницу, ваш браузер отправляет десятки, сотни и тысячи запросов на самые разные серверы — для снятия статистики, для показа рекламы и т.д. То есть каждый из нас сегодня находится под наблюдением со стороны различных организаций, которые хотят получать данные о пользователях, выделять какие-то тренды, а потом монетизировать их.
Но вот что меня пугает. Вы читали новости о том, что «умной» хотят сделать даже одежду? Она будет подключена к интернету и сможет делиться тем, где мы и что делаем.
Сейчас отслеживается все, что мы делаем в интернете, но в будущем будет отслеживаться и то, что мы делаем в физическом пространстве.
Уже сегодня я вижу несколько трендов, которые заставляют меня нервничать. Например, ценовая дискриминация. Некоторые компании уже практикуют это в нескольких странах мира, в том числе в моей родной Румынии. Эти компании предлагают клиентам разные цены на один и тот же продукт, отталкиваясь от того, что они знают про этого клиента. Например, если вы покупаете билеты на самолет с компьютера Mac, вам покажут более высокую цену, чем пользователю, который делает запрос с ПК. Потому что если вы можете позволить себе Mac, значит и на путешествие можете потратить больше.
Представьте себе, как этот тренд может отразиться на таких сферах, как, например, медицинское страхование. Как думаете, что было бы, если бы ваша страховая компания заранее знала, что вы искали в интернете какое-то редкое заболевание и как его лечить? Меня нервирует, что этот тренд может стать новой общепринятой моделью ценообразования в будущем.
Кто за нами следит
Сегодня разные организации отслеживают наше поведение в интернете, чтобы таргетировать на нас рекламу. Они также отслеживают наши IP-адреса, чтобы знать, где мы находимся, ваши привычки — не сомневайтесь, если они могут получить от вас какую-либо информацию, они попытаются это сделать. При этом все, что они делают, на 100% легально.
Мы знаем, что у бизнесов есть доступ к нашим данным. Но он есть у кое-кого еще. Например, у этого парня:
Он выглядит как Иисус с той лишь разницей, что не приносит Спасения. Это экс-гуглер, более известный как GCreep. Довольно грустная история о 27-летнем сотруднике, который, используя служебное положение, шпионил за несовершеннолетними. У него был доступ к внутренним системам Google — всем чатам, письмам и любой интернет-активности его жертв.
Важно понимать, что когда вы даете какой-то компании доступ к вашим данным, вы также даете этот доступ всем ее сотрудникам. Но вы не можете знать, кто эти люди и насколько их помыслы чисты. И к сожалению, вы мало что можете с этим поделать. Но есть еще более опасные личности, которые также имеют доступ к нашим данным — это киберпреступники.
В 1994 году за час в киберпространстве появлялся только один новый вирус. В 2006 году новый вирус появлялся каждую минуту. В 2011-м — в секунду. Сегодня в 2016 году Kaspersky Security Lab обнаруживает 310 000 новых уникальных вирусов каждый день. Отрасль быстро растет, и если раньше атаки в основном были направлены на ПК, то сегодня под прицелом и мобильные устройства.
Все «умные» устройства, которые входят в нашу жизнь — умные телефоны, умные дома, умные автомобили, умные вещи — это части нашего будущего, в котором все аспекты жизни человека подключены к интернету и просто напросто отслеживаются. Микс из умных операционных систем, бесплатных приложений, которые мы устанавливаем на эти операционные системы, и перманентное интернет-подключение — золотая жила для киберпреступников.
Не полагайтесь на облака
Как только вы загружаете их в интернет, они уходят куда-то в облако. Облака, конечно, безопасны. По крайней мере людям нравится так думать. Но реальность такова, что облака создают люди, и люди же ими управляют. А люди склонные делать ошибки.
Эти люди могут быть сколько угодно умными и квалифицированными, но они тоже рано или поздно устают. И однажды уставший сисадмин сделает ошибку, которая приведет к масштабной утечке данных. Вопрос нужно формулировать не «если это произойдет», а «когда это произойдет». Потому что рано или поздно утечка случится.
Есть много примеров масштабных утечек из прошлого, когда фигурантом скандалов становились крупнейшие IT-компании, казалось бы, защищенные до зубов. Тогда в интернет утекли миллионы паролей от учетных записей пользователей в Last.fm, Dropbox, LinkedIn, Yahoo…
С Yahoo, кстати, это один из масштабнейших инцидентов в истории. Два года назад учетные данные практически каждого первого пользователя были скомпрометированы. Причем, известно об этом стало недавно. То есть два года ваши персональные данные (если у вас есть аккаунт на Yahoo) свободно дрейфовали по интернету на радость хакерам.
Меня взломали?
Есть очень хороший пример того, что ваши данные и ваша личная информация больше вам не принадлежат. Это сайт Haveibeenpwned, на котором можно проверить свой аккаунт на предмет утечек. Его создал интернет-активист, который собрал воедино 155 баз данных когда-либо скомпрометированных аккаунтов. Сегодня в этой единой базе содержится почти два миллиарда взломанных аккаунтов.
Чтобы проверить, есть ли в этой базе что-то про вас, достаточно ввести в поиск email или имя пользователя. Это я и сделал. И в базе нашлось сразу пять моих аккаунтов с разных сайтов, которые были скомпрометированы: Dropbox, Last.fm, LinkedIn, а еще аккаунт на аналитической платформе Stratfor. Мне нравится изучать аналитику с геополитическими инсайтами, и я исправно платил за этот сервис, пока в 2011 году в результате его взлома в интернет не утекли мои платежные данные. Так что взломали заодно и мою кредитную карту.
Даже эксперт по кибербезопасности с огромным опытом вроде меня не застрахован от уязвимостей. Меня взломали пять раз. И это не моя вина — я все делал идеально.
Я сделал все, что мог. У меня сложные двухэтажные пароли, разные для всех сервисов. Я не кликаю ни на какие фишинговые ссылки и все равно я стал жертвой утечки данных.
Как только вы впервые заходите в интернет, вы должны понимать, что рано или поздно вас взломают, а ваши данные, ваша личная информация станет общедоступна. И вы ничего не можете с этим сделать. Разве только подать в суд на компании, которые допустили утечку. Но кто знает, что там написано в их соглашениях и политике использования, которые мы принимаем не читая? Может, они заранее предусмотрели такую возможность и сняли с себя ответственность.
Но помимо компаний, их сотрудников и хакеров доступ к вашим данным также есть у правительства. Они используют их преимущественно для того, чтобы защищать свою страну от внутренних и внешних опасностей. Правительства обеспокоены распространением шифрования, которое защищает данные пользователей от перехвата. Потому что его могут использовать не только хорошие парни, но и плохие.
В идеале если вы не хотите, чтобы какая-то секретная информация попала в интернет, просто не храните ее в онлайне.
Шифрование — наше всё
Все это — обыкновенное нарушение нашей приватности, и поделать ничего мы не можем. Но можем предвидеть. Я очень рад, что такая штука, как шифрование end-to-end, становится все более популярна по всему миру. Все больше интернет-сервисов устанавливают этот режим шифрования данных пользователей по умолчанию.
Проблема шифрования в том, что еще до недавнего времени это была прерогатива гиков. Большинство шифровального ПО невозможно было использовать, если только вы не один из этих полусумасшедших доморощенных хакеров, которые сидят дома и сутками копаются в компьютерах. Все изменилось после инцидента с Эдвардом Сноуденом и массивной утечки секретной информации. Стало понятно, что в идеале любая информация должна быть зашифрована. И тогда, даже если случится взлом, ничего страшного не произойдет, потому что ваши данные никто не сможет прочитать.
Я не хочу развить в вас паранойю, потому что если вы начнете сильно из-за этого париться, вы просто не сможете нормально работать.
Давайте представим себе самый безопасный в мире компьютер — каким он должен быть? Это компьютер, запертый в подвале, отсоединенный ото всех сетей и даже от розетки. Едва ли он может быть сильно полезным.
И все-таки битва пока не проиграна. Есть шифрование, и шифрование — ваш друг. Оно не обманет, не подставит, потому что это чистая математика. Если мы используем шифрование, и используете правильно, получить доступ к вашим данным становится математически невозможно.
Заходите в интернет через VPN или с помощью Tor, чтобы браузить интернет анонимно, не оставляя за собой никаких следов. Технология Fulldisk encryption пригодится, если вы много путешествуете и не хотите, чтобы власти разных стран копались в ваших данных. Используйте GPG/PGP для шифрования электронной переписки или Pidgin для чата на компьютерах Mac. Еще очень полезная штука — криптовалюты.
Объединить усилия в неравной борьбе
Инструментов много, вам лишь нужно их использовать и убедиться, что их также используют ваши друзья и родные. Потому что если они не будут этого делать, доступ к вашей информации можно получить через них. Но, к сожалению, я пока не наблюдаю массового распространения этих инструментов среди пользователей.
Давайте представим себе, что каждый облачный сервис, который вы используете, каждый веб-сайт, на который вы заходите, на 100% безопасен. Давайте представим себе утопический Facebook, который на 100% понятный и прозрачный в плане настроек безопасности, и все его пользователи сделали настроили все очень правильно. При этом каждый сотрудник Facebook — идеал человека, который ни за что не станет заглядывать в ваши персональные данные, а уж тем более использовать их в своих целях.
И вот один из ваших друзей инфицирован. Что это означает? А то, что вся ваша с ним переписка, все действия на его странице и даже на своей собственной теперь известны кому-то третьему. Взломав одного пользователя, хакер получает доступ ко всей информации, которая доступна этому пользователю.
В будущем, когда вся информация в мире будет зашифрована методом end-to-end, хакер сможет получить доступ только в одном месте, где она все еще уязвима. И это место — ваш собственный компьютер, на экран которого она попадает в расшифрованном виде. Поэтому защитить ее можно, только защитив компьютер. И смартфон. Каждое ваше устройство.
Мы не можем изменить желание компаний, правительства и преступников получить доступ к нашим данным. Но мы можем изменить наше поведение в интернете. Это единственная надежда не проиграть битву за приватность.
