Сегодня поговорим на очень интересную тему. Как за нами следят в сети и в жизни? Ответим на вопросы: кто следит, зачем следит, и что с этим делать?
Это тектовая версия ролика на youtube:
Так уж сложилось, что у меня в этом есть экспертиза, я когда-то имел определённое отношение к одной небольшой компании, которая как раз занималась кибербезопасностью.
Это первая статья будет посвящена тому, как за нами следят. Потому что, если не знаешь, как что-то делают, то и противодействовать сложнее. Возможно, будет ещё несколько статей, посвящённых методам анонимизации, но это не точно.
Вообще всё, что связано со слежкой - это секрет Полишинеля. У корпораций и государств об этом не принято говорить вслух, но ни для кого не секрет, что в нашу цифровую эпоху методы слежки и цифровой разведки развиты очень существенно. И в жизни, и тем более в сети.
Ну следят и следят, скажете вы. Я - неуловимый Джо. Знаете такой анекдот, сидят два ковбоя:
— Это проскакал неуловимый Джо.
— И почему он неуловимый?
— А потому что он никому нафиг не нужен.
Вот и информация о вас, возможно, никому не нужна. Но всё равно эта статья вам может быть очень полезена.
Ладно. Я бы разделил следящих на четыре лагеря:
1. Корпорации
2. Государство
3. Хакеры и мошенники
4. Ваш работодатель
Корпорации и компании
Первые, корпорации, следят за вами по понятным причинам - деньги и обязательства перед государствами.
Вот вбили вы в гугл - купить мультиварку. И потом неделю у вас везде, на каждом сайте реклама этих чертовых мультиварок. Вообще, ваш браузер легко отследить. Может, технически грамотные люди знают, что такое куки или локальная база данных вашего веб-браузера. Через них вас можно пометить и отследить. Но даже без них, ваш браузер скорее всего имеет так называемый уникальный отпечаток. Вот можете в гугл вбить browser fingerprint, или сразу перейти на сайт https://amiunique.org/, ссылку могу скинуть, то вы сможете проверить свой браузер на уникальность. И скорее всего параметры вашего браузера как раз будут уникальными. То есть вас можно отследить и без всяких легальных технологий, вроде куки и так далее. Даже если вы открыли приватное окно браузера.
Гугл ясно, а вот соцсети. Все ваши сообщения, переходы, лайки в любых соцсетях сохраняются и журналируются. Даже если вы сообщение удалили или лайк убрали, велика вероятность что всё осталось в базе данных или журнале.
Пользуетесь операционными системами вроде Windows, MacOS, Android, iOS? Поздравляю, и они отправляют на серверы своих владельцев информацию о вас.
Пользуетесь мессенджерами, которые принадлежат компаниям, корпорациям там? Ну, для примера - телеграммом, ватсапом, вайбером, или якобы защищенным мессенджером сигнал? Велика вероятность, что они сохраняют все ваши сообщения, даже удалённые. Некоторые из них сливают вашу переписку спецслужбам без зазрения совести. Пару лет назад утекла методичка ФБР по этому поводу. Я сначала подумал, что это утка, но потому изучил и понял, что нет – к сожалению не утка. А если одни сливают переписку ФБР, то другие могут сливать их вашим локальным спецслужбам.
Общий вывод - если вы чем-то пользуетесь, какой-то техникой, пользуетесь приложениями и сервисами, которые принадлежат какой-то компании и ходят в сеть, в этом случае компания может хранить о вас кучу данных. Почитайте соглашение об использовании какого-то софта, сервиса или операционной системы(все ведь читают эти соглашения? или галочку ставите и всё?) - в общем там вы наверняка увидите разрешение на сбор каких-то метаданных, или персональных данных в случае сервисов. Это оно и есть. То есть вы сами предоставляете доступ к этим своим данным, всё как говорится легально, что довольно иронично как по мне.
Я повторюсь, от календаря месячных до социальной сети - все эти товарищи СТРЕМЯТСЯ хранить максимум данных о вас. Ещё раз, не все прямо хранят, но все СТРЕМЯТСЯ хранить максимум данных – это точно.
Всё это прикрывается конечно же удобством использования. И, что интересно, на самом деле так оно и есть, так сильно удобнее! Вот давайте на интересном примере, чтобы лучше запомнилось - календарь месячных. Потеряли вы телефон, или сменили на новый. Вам не нужно беспокоиться о переносе данных каком-то, вы просто устанавливаете на новый телефон приложение, входите в свой аккаунт и все старые данные подтягиваются. В этом в общем-то нет ничего плохого, это действительно круто-удобно. А если у вас задержка или вы поставили галочку, что беременны, приложение-календарь скорее всего отошлёт информацию в рекламную сеть и вам везде будет выскакивать реклама товаров для беременных. А беременная женщина – это очень лакомый кусочек для рекламодателей.
Если вы при переустановке приложения не видите своих старых данных, то это совсем не значит, что они не хранятся на сервере. Какой-то мессенджер, ватсап вроде или вайбер, при переустановке не подтягивает старые сообщения. Значит ли это, что они не сохраняются? Ну в общем-то не знаю, может быть это значит, что владельцы мессенджера не хотят палиться просто? Повод задуматься.
В общем, здесь всё понятно. Ничего страшного в показе рекламы лично я не вижу. И всё было бы не так плохо, если бы корпорации не сотрудничали с государствами. Да, про календарь был пример утрированный. Но вот переписки ваши могут быть интересны.
Государства
Ладно, перейдём к государствам. Как и зачем они следят за вами? Ну, зачем - это понятно. Для них поговорка "меньше знаешь - лучше спишь" не работает. Здесь скорее что-то вроде "больше знаешь о человеке - его проще контролировать". Государства в наше время полностью окутаны информационными системами. Я думаю, никому не нужно объяснять, что информация о вашем паспорте, недвижимости, автомобилях, штрафах, платежах, налогах - всё это есть у государства. Это логично и понятно, вы сами предоставляете эти данные.
Но, кроме этого, государство стремится протянуть свои руки и до тех данных, которые вы ему не даёте самостоятельно. Пример, это информация о ваших перемещениях. Тоже наверное все знают, что города и трассы утыканы камерами. То есть ваши перемещения на автомобиле отслеживаются с определённой точностью. А во многих городах, в метро, на улицах и даже в зданиях стоят камеры, которые передают информацию в дата-центр, там идёт распознование по лицу. Если вы думаете, что это какая-то сложность, то вы ошибаетесь. Сейчас уже в некоторых вузах есть лабораторные работы по распознованию лица при помощи нейронок, ресурсов там нужно не прямо много. То есть берём и при помощи нейронки определяем сначала лицо, потом расположение глаз, носа, рта. И уже этих параметров вполне хватает для определения вас как уникального человека. Да, эти данные не прямо какие-то точные, но коммерческие системы распознают точнее и по большему количеству параметров. Вот, если не смотрели, можете глянуть на ютубе ролики про белорусскую разработку - систему kipod. И как она помогала силовикам в расследовании событий двухлетней давности.
Спросите: тогда почему, если у меня украдут сумку там или машину, государство по щелчку пальцев не распутывает эти преступления? Ну, потому что вы обыкновенный человек. У какого-нибудь оперативника конечно нет прямого доступа ко всем этим системам. Да и изначальная и реальная цель создания таких систем - это не помощь вам как гражданину. Как там оно проходило на закупках и в тендерах - я не знаю. Скорее всего как какая-нибудь "система обеспечения безопасности". Но никто не говорит, что безопасности вашей.
В так называемых цивилизованных странах существуют аналогичные системы, и они даже не скрывают особо существование таких вот систем. В США к примеру есть компания Палантир. Да-да название как у одной штуковины из властелина колец. Это система для спецслужб, банков, которая позволяет собирать и систематизировать информацию о человеке, его связях там. Уверен, что у них есть и системы видеонаблюдения, как у нас. Пример – это штурм Капитолия, когда Трамп не выиграл президентские выборы. Там было сделано много фото, и потом были реальные суды над штурмующими.
Есть системы распознавания речи. Вот я знаю компанию, которая как раз занимается чем-то подобным для колл-центров. И если уж в корпоративных колл-центрах стоит распознавание переговоров и перевод их в текст, то я подозреваю, что у государства тоже что-то такое есть.
Кроме того, государство анализирует ваш трафик. Есть так называемые Deep Packet Inspection системы, DPI сокращённо. Как они работают и для чего? Давайте на примере. Вот вы вбиваете в браузер адрес google.com. И что происходит дальше? Можно разбить на два этапа:
1. Ваш компьютер формирует пакеты информации, и по определённому протоколу эти пакеты идут сначала на DNS сервер. Этот специальный сервер говорит, что адресу google.com соответствует такой-то IP-адрес. Все пакеты в сети для коммуникации и прокладки маршрута используют IP-адреса, не имена вроде гугл.ком, яндекс.ру и так далее.
2. Если упрощённо, то потом ваш компьютер формирует другие пакеты информации, обращается уже напрямую на сервер гугл и он уже возвращает в ваш браузер ту самую страничку с поиском в виде кода.
Давайте разберём немного эти этапы в плане безопасности. На первом мы обращаемся к ДНС-серверу для перевода имени google.com в IP адрес. Во-первых, вы скорее всего не в курсе, какой ДНС-сервер вы используете. Скорее всего тот, который выдан вашим интернет-провайдером. Соответственно, провайдер уже знает, куда вы обратились. Но даже если вы немного технически подкованы и вбили в настройки вашей системы или роутера какой-то сторонний DNS-сервер, который находится в США например, то это ничегошеньки не меняет. Потому что ваш запрос на этот удалённый сервер попадает в ту самую DPI систему, этот запрос никак не шифруется, поэтому владелец DPI системы знает, куда и на какой сайт вы хотите зайти.
Дальше немного сложнее для DPI. Потому что с сайтом вы скорее всего будете общаться по протоколу https, буковка s в конце значит secure, то есть безопасный. Вот если вы в адресе сайта видите, что он начинается с https://, то всё нормально. Кстати, обращаю ваше внимание, если вы видите при переходе на сайт какое-то предупреждение, что сертификат истёк или недостоверный, то возможно на вас выполняется атака man in the middle. Многие не обращают на это внимание. Зашли посмотреть фоточки, увидели это сообщение, и скорее всего подумаете – «аааа, пофиг, давайте мне мои фоточки скорее». Так делать нельзя. Может быть, администратор сайта действительно провтыкал и забыл обновить сертификат, а может быть вас атакуют.
А если там http, без s в конце, s напоминаю означает secure, то коммуникация между вами и сайтом ведётся совершенно в открытую и любой желающий может данные перехватить. Уже лет десять как сайты и сервисы активно внедряют шифрование, но и это не значит, что всё хорошо и от DPI вы скрыты. Да, эта система анализирует и другие показатели, вроде таймингов запросов, протоколов и так далее, так называемую метаинформацию. Исходя из этого, если у вас есть такая мысль - я технически подкован, поэтому буду использовать ТОР-браузер или сеть i2p, то у меня для вас тоже плохая новость - это всё прекрасно отслеживается на DPI. То есть никто не просмотрит, что вы там пересылали через тор, всё шифруется. Но сам факт использования этих инструментов уже может заинтересовать определённых людей. Вроде - использует тор, значит ему есть что скрывать.
Ладно, мы здесь разобрали пример с браузером, но те же мессенджеры тоже обращаются к своим серверам по DNS-именам, и от них трафик также идёт на DPI.
Ну и последнее про государства - компании, корпорации сотрудничают с ними. Те же DPI-серверы расположены у провайдеров связи, а это чаще всего частные компании. Доподлинно известно, что сервисы вроде ВК с охотой сливают данные местным спецслужбам и так далее.
Кстати, отступление. Вот давайте про деньги. Я видел очень много статей и видео, которые высказывали обеспокоенность по поводу цифрового рубля в России. Да, это тоже метод контроля и слежения. И у меня вопрос. Ну а раньше он у вас каким был преимущественно? Деревянным? Да, есть наличка, её тоже мечтают отменить все государства и всё давно к этому идёт, но большинство ведь следует удобству в ущерб безопасности, хранит свои деньги в банках. А там ваши рубли самые что ни на есть цифровые, в сейфах они не лежат - они на серверах в виде значения в базе данных. Я не говорю, что цифровой рубль ничего не изменит. Государству будет проще контролировать все ваши траты. Повторюсь, ПРОЩЕ. Это не значит, что не контролирует сейчас. В РФ несколько лет назад приняли закон об онлайн кассах, и операторы кассового оборудования обязаны передавать все данные о ваших покупках в единую цифровую систему. В этих данных есть и номер вашей карты в скрытом виде, и то, что вы покупали. Да и без этого следят, я думаю, что никто не питает иллюзий, что если он безработный и купит новый лексус, то через время придёт интересное письмо от налоговой?
Вопрос. С приходом цифрового рубля станет ли проще изъять ваши деньги, или заблокировать? Да, конечно. Но и сейчас я думаю нет никаких проблем заблокировать вам все счета.
Моё мнение по поводу цифрового рубля – да, это дополнительный и упрощённый контроль над всем. Но почему-то мне кажется, что основная цель внедрения – это прижать банки, а если точнее – совсем убить их на продолжительном периоде времени.
Где-то очень давно от своего знакомого слышал прекрасную мысль - вы контролируете только то, до чего можете дотянуться. И до блокчейна, банковского сервера, до DPI системы провайдера, до сервера гугла или одноклассников вы дотянуться не можете. И это нужно понимать.
Хакеры и мошенники
Данные ещё могут собирать хакеры. Но, как ни странно, их я бы боялся меньше всего. Просто потому, что они не имеют таких возможностей, которые имеют корпорации и государство. Эти самые корпорации-государства собирают информацию прямо массово, объёмно. Хакеры, да, могут взломать какой-то сервис. Все же слышали об утечках данных? Яндекс Еда, банки и так далее. И это только то, о чём вы слышали и что известно. А представьте, сколько всего неизвестного? Раньше помню на рынках торговали дисками с базами данных различных гос структур, или операторов связи, или еще кого. Сейчас тем же самым торгуют в даркнете. Могут кстати даже пробить ваше примерное местоположение по номеру телефона. Эта услуга почему-то называется вспышка, стоит вроде даже не дорого.
Да, все эти взломы и утечки конечно же могут быть опасны. Во первых, это может показаться новостью для вас, но до сих пор не все сервисы шифруют пароли. То есть ваш пароль может лежать в открытом виде в какой-нибудь базе. И если у вас одинаковый пароль от всех сайтов, то, взломав один сайт, можно легко получить доступ и к остальным. А если уж получат доступ к вашей почте - то пиши пропало. Ведь к ней обычно привязаны все аккаунты и почта используется для восстановления паролей от этих аккаунтов. Но здесь рецепт простой - разные пароли для разных сайтов. При этом пароли должны быть длинные, с разными спецсимволами. Для этого можете использовать менеджер паролей. Лучший в мире, могу посоветовать, - это keepass. Только ради бога не используйте все эти разрекламированные облачные менеджеры паролей вроде lastpass. Да, это удобно, но помните что я выше говорил про корпорации и хранение данных на чужих серверах? Они честно-честно не сольют никому ваши пароли, да-да.
Ладно, про во-первых и пароли ясно. А вот во-вторых. Всю информацию из слитых баз данных могут использовать против вас. Вот пример относительно недавний - слили базу яндекс еды. По номеру телефона можно было пробить, кто и куда заказывал доставку. Казалось бы, ничего страшного, да? Но может ваша жена услышала об этом сливе и решила посмотреть по вашему номеру телефона, что вы там заказывали. И внезапно обнаружила, что по четвергам, когда вы постоянно задерживаетесь на работе, вы заказываете еду в какую-нибудь гостиницу. Появятся вопросы, точно ли вы на работе задерживаетесь? Может с любовницей в гостинице отдыхаете?
Конечно, пример с женой - он такой, утрированный. Мало я знаю жен, которые интересуются слитыми базами данных или читают новости по этой теме. Но... допустим, вы сладенький пирожочек - у вас есть деньги, много денег, и кому-то сильно хочется их отнять. Тогда уже по вам могут работать точечно, следить за вами пристально. Собирать ваш социальный профиль, смотреть, где вас можно объегорить. Может быть, будут использовать ту же информацию из слитых баз для того, чтобы шантажировать вас? Или вам некуда деньги вложить, финансовая грамотность при этом на нуле, и можно завлечь вас в очередную пирамиду? Да, тоже повод для размышлений.
Вообще, хакер может перехватить какие-то ваши незащищённые коммуникации, внедрившись в сеть. Слямзить ваш пароль, сессию и т.д. Проще всего это сделать, когда вы используете публичный wifi. Но, если для доступа к сайту используется https, и вы при заходе на сайт не видели никаких сообщений от браузера о проблеме с сертификатом, то да, соединение защищено и вряд ли кто-то что-то перехватит. Вся эта инфраструктура по шифрованию основывается на так называемых публичных ключах, или сертификатах. В операционной системе и в браузере есть хранилище сертификатов, при помощи них и идёт проверка сайтов на строгое шифрование. Общий вывод в том, что если вам кто-то там что-то пересылает, какой-то сертификат, и пишет – а установи-ка ты друг этот сертификат, то возможно вас тоже пытаются взломать. Потому что после установки этого сертификата хакер сможет подделывать и перехватывать даже защищённое соединение, которое https.
Ваш работодатель
Исходя из этого ещё один нюанс. Если вы работаете в компании какой-то, то администратор сети может установить на ваш рабочий комп корпоративный сертификат и анализировать трафик с вашего рабочего компа. Я за всю свою жизнь видел только одну компанию, которая так делала, но в этом плане мой кругозор довольно узок. Я только знаю, что в многих крупных компаниях стоят специальные шлюзы, которые сохраняют все сайты, на которые вы ходили, и сколько вы провели времени на этом сайте. Да, перехватить трафик они не могут, это уже может быть квалифицировано как преступление. Но тем не менее за вами следят.
Цифровая гигиена
Ладно, здесь вы заметили, что я стал говорить уже о совершенно другой слежке? Да, это всё можно разделить на две составляющие:
1. Слежка за всеми в целом
2. Наблюдение за вами конкретно
То есть, если вы неуловимый Джо, то следить за вами конечно будут. От этого уже никуда не денешься, мир наш такой. Но в принципе, вам всего лишь нужно соблюдать правила цифровой гигиены, и всё будет норм.
А вот если вы кого-то заинтересовали, чаще всего это государство или мошенники, тогда да, всё сложнее.
И совсем всё сложно, если вы ведёте какую-то определённую деятельность, которая невыгодна государству или там спецслужбам.
Ладно. Я хотел бы поговорить об очень важной вещи - цифровой гигиене. Это нужно вообще всем. Если вы кого-то заинтересовали или там насолили государству - это отдельная тема. Тема долгая и сложная. А вот цифровая гигиена - это нужно и взрослым, и детям. Я бы сказал, особенно детям. Неплохо бы уроки такие вводить. Но, к сожалению, вряд ли такое будет в школе. Поэтому неплохо бы по поводу цифровой гигиены вам самим поговорить с вашим ребёнком. Только если ваш ребёнок не понимает в этом сильно больше вас. Вспомнился анекдот:
- Сынок, подойди, нам нужно поговорить о сексе.
Подходит сын и говорит:
- Хорошо папа. И что тебе о нём рассказать?
Хотя ладно, и здесь может быть полезно всё же поговорить о цифровой безопасности. Но, понятно, только если вы правильно воспитываете своего ребёнка, у вас доверительные отношения и так далее. Иначе можете сделать только хуже и ребёнок будет думать: "а что этот старый себе возомнил? я лучше знаю".
Ладно, правил цифровой гигиены на самом деле мало и все они простые:
1. Создавай для каждого сайта и сервиса разные и обязательно сложные пароли.
2. Не говори и не делай в сети ничего, что не сделал бы на людной площади, когда на тебя смотрит куча людей.
Всё.
По поводу первого, про пароли - мы уже говорили. Пользуйтесь keepass, тем более можно базу паролей закинуть куда-нибудь на облако и пользоваться этим менеджером и на компьютере, и на телефоне. Это безопасно, файл базы паролей зашифрован и никто его без пароля или ключа не расшифрует.
По поводу второго - всё очень просто. Анонимность в сети - это миф. Когда пишете что-то, выкладываете видео, представьте, что на вас смотрит куча людей. Вы стоите с табличкой "Я - Вася Иванов", и вокруг вас люди различных профессий и политических взглядов.
Даже если вы пишите что-то в личных сообщениях своему другу. Даже если вы не в сети, а говорите по телефону. На ютубе куча роликов со слитыми записями разговоров. Вот простой пример, недавно был ролик со слитым разговором продюсера Пригожина с бизнесменом-сенатором Ахмедовым. Так выкрутились, что это якобы подставной разговор и голоса подделаны нейросетью, но слабо верится. Ну и разные расследователи показывают в своих роликах слитые телефонные разговоры силовиков.
Исходя из этого вот что скажу.
Девушки, не шлите никому ваши голые фотки, если не готовы к тому, что ваш сосед их посмотрит. То же касается и мужчин. Я помню, когда-то ещё не было никаких телеграмов-вайберов. Была аська, ICQ. И там нельзя было передавать файлы.
Вот общается девушка с парнем, ей парень говорит - а скинь нюдсы. А, тогда не было этого понятия. Допустим, говорит: "не соблаговолите ли вы скинуть своё фото ниглиже". Девушка фотографирует себя, заливает на файлообменник и даёт молодому человеку ссылку. Все довольны.
И вот как-то мой знакомый сидел и заливал что-то на такой файлообменник, по учёбе или работе конечно же. Залил, смотрит - вверху в адресной строке что-то вроде файлообменник.ком/id123. Он меняет 123 на 124 к примеру. И видит чужую фотку, которую он не загружал. Стало быть загрузил кто-то другой. Меняет на 125 и видит фото вот такой вот голой девушки, которая наверняка делала эту фотку допустим для своего парня. И явно думала, что никто больше эту фотографию не увидит. В общем, в этот вечер он перебрал много цифр. Видел очень много всего, и фото, и видео ещё в формате 3gp. Наверняка ему было весело и забавно этим вечером.
Понимайте, не только государство может следить за вами. Представьте, что голые фото вашей дочки увидят не те люди. Её коллеги, или сокурсники. Может начаться травля. Вообще, вопрос детей и их поведения в нашу цифровую эпоху – это очень важно. Почему-то мне вспомнился один крутой ролик от ребят из студии ТО420, который называется «Что делать, если вы обосрались» - https://www.youtube.com/watch?v=MeQNfv7dUbk. Посмотрите обязательно.
Даже если вы думаете, что что-то там делаете анонимно, то вы всегда можете прогореть на чем-то. Ну, к примеру, вы выложили фотографию и не стёрли мета-информацию. А там может быть дата, время снимка, параметры камеры или устройства, ваши GPS-координаты. Или вы ведёте анонимную интернет-деятельность, скрываете своё имя, выкладываете какой-то документ excel. А там в мета-информации – пользователь, создавший документ, «Иван Иванов», ваше настоящее имя.
Слушайте, ну даже чертов робот-пылесос может следить за вами. По крайней мере некоторые модели iRobot – точно делают ваши снимки. Не для криминала, для благих целей конечно. Чтобы обучать нейронку. Но эти фото бывают попадают к какому-нибудь студенту, которого наняли обучать эту самую нейронку. Был прецедент, да.
В общем, я думаю, всё вполне понятно. Возможно, по этой теме будут ещё статьи, всё зависит от вашей заинтересованности. Пока.