Если ты законопослушный гражданин, которому совершенно нечего скрывать, поздравляем: тебе не нужна эта статья. Но если вдруг по каким-то романтическим причинам ты решил быть не как все и что-то скрыть, стоит ознакомиться с принципами личной кибербезопасности.
Информационный мир меняется стремительно, и люди за ним не успевают. Они продолжают бояться одних вещей, но совершенно не боятся других. Особенно это относится к личным данным. Старушка может скрывать свое имя даже от батюшки в церкви, но запросто сообщит ПИН-код пенсионной карты любому, кто дозвонится ей и назовет ее по имени. В прошлом веке в каждой телефонной будке лежал толстенный бумажный справочник жителей города, и любой мог найти номер Сары Коннор и позвонить. Сегодня личный телефонный номер принято хранить в лютой тайне от посторонних. При этом человека можно запросто найти в соцсети и позвонить через мессенджер, дозвонившись в тот же самый мобильник тем же самым рингтоном. Люди боятся, что злоумышленники вставят им следящий чип, но при этом носят в кармане смартфон, который ежеминутно год за годом записывает и отсылает вдаль любые их перемещения.
Наш век — век информационной уязвимости и тотальной слежки. Только самый замшелый рецидивист с низким IQ станет грабить почтовый дилижанс, квартиру или банк. Только самый отсталый следователь станет ползать по лужам с лупой, вместо того чтобы запросить информацию с камер и сотовых вышек. Основные преступления совершаются в информационном пространстве и в нем же наиболее эффективно расследуются.
Но если бы доступом к личным данным обладали только следователи, это было бы еще полбеды для половины страны. Настоящая беда в том, что утечка личных данных во всем мире стала обыденным делом и следить можно не только за преступником, но и за тобой — честным, добропорядочным гражданином. Мы условно обозначим этих людей злоумышленниками. Они могут следить не только в рамках промышленного шпионажа и корпоративных войн, но и чтобы найти на тебя компромат, а потом шантажировать, угрожая передать дело в суд. Попытаемся разобраться в мифах и фактах о нашей приватности и безопасности в XXI веке.
МИФ ПЕРВЫЙ: ДА КТО СТАНЕТ МЕНЯ ПРОСЛУШИВАТЬ?
Правильный ответ: никто. Осталась в прошлом веке та казенная комната, где сидят злоумышленники в наушниках с каменными лицами и внимательно слушают эфир, установив в твоей люстре жучок. Если ты не шпион и не олигарх, никто не слушает твои разговоры и не читает чат, пока ты набираешь буквы. Однако это не значит, что их не прочтут потом, если понадобится. И уж тем более это не значит, что невозможны автоматы, которые распознают ключевые слова и темы, чтобы диагностировать компромат и привлечь к тебе внимание живого злоумышленника. Причем это может случиться через год, два, десять — архивы хранятся долго.
Если ты пишешь другу в личке в «Контакте» «Привезу хороших шишек, подымим» или «Завтра дома у отца Иннокентия будет собрание иеговистов (запрещенная в России организация) для молитвы Христу о вразумлении человечества», то не надо надеяться, что в пять утра злоумышленники спали и твои сообщения не успели прочесть. Буквы не исчезли, когда ты удалил письмо. Вполне возможно, вас с собеседником робот уже взял на заметку. Или сделает это через три года, задав поиск по старым перепискам, если злоумышленникам понадобится найти компромат на незаконно верующих или любителей сосновых шишек для растопки самовара.
Сегодня слово — воробей: вылетит и начнет жить своей жизнью, а однажды нагадит сверху.
Что надо знать?
1. Хранятся все SMS-сообщения. Полная база SMS всех граждан хранится с девяностых годов прошлого века. Ваши внуки смогут прочесть, что спьяну писал дед девочке Маше в 2001-м.
2. Голосовые разговоры рядовых граждан в большинстве стран, скорее всего, не пишутся: слишком высоки расходы. Но, вероятно, автоматически распознаются ключевые слова и темы, записываются подозрительные куски. Даже если это пока не так, в будущем все разговоры будут сохраняться полностью.
3. Все публикации и личные переписки в любых соцсетях, отечественных и зарубежных, могут попасть к злоумышленникам.
4. WhatsApp — это Facebook (запрещенная в России экстремистская организация). В плане безопасности нет никакой разницы между ним и личкой «Фейсбука» (запрещенная в России экстремистская организация).
5. Telegram — не панацея.
Как быть?
Следует помнить, что в XXI веке любые твои слова и перемещения в Интернете и по земле фиксируются и записываются. Даже если не все из сказанного выше и ниже реально работает сегодня, это будет работать завтра. И, возможно, с материалами, накопленными сегодня. Собираясь написать любое слово в соцсеть или личку, сохранить любую фотку, сделать любую вещь на улице, помни: это, скорее всего, увижу я, увидят друг, враг, начальник, мама, следователь по особо сфабрикованным делам, твой сын, когда вырастет, твои избиратели, когда через двадцать лет ты захочешь стать депутатом района, а еще радикальные активисты в прессе и Сети устроят тебе мировую травлю с хештегом #вотакмразь.
МИФ ВТОРОЙ: Я НЕВИДИМКА
Мы живем в городах, где камеры наблюдения стоят на каждом столбе и под козырьком каждого подъезда. Все, кто ходят по улицам, ездят в транспорте, входят в дома, записываются на относительно долгое время, чтобы поднять записи, когда потребуется.
Что надо знать?
1. Современные уличные камеры оборудованы системой распознавания лиц. Если ты прошел по улице Ленина, в базах зафиксировано, что в такую-то минуту ты шел по улице Ленина.
2. Главный шпионский чип — твой смартфон. Пока ты носишь его в кармане, все прогулки с точностью до нескольких метров фиксирует Google или Apple, а отдельно — местный сотовый оператор по информации сот, с которыми сим-карта молча общается.
3. Весь маршрут твоего автомобиля по улицам и трассам записывает система «Стрелка». Или ты думал, что она высматривает только превышение скорости, а номера всех «медленных» машин тут же забывает?
Как быть?
1. Отключаем слежку за местоположением
Первым делом отключаем в телефоне постоянную запись местоположения. Для Android четкой пошаговой инструкции сегодня нет, они все разные. Просто ищем в Интернете для своей модели: «андроид отключить геолокацию Somesunk xz12». Общий принцип: в настройках глубоко спрятаны разделы типа «Безопасность», «Конфиденциальность», «Местоположение».
Во-первых, надо выяснить, какие из приложений имеют доступ к местоположению. Если эту информацию собирает приложение такси или мессенджер, оборудованный функцией «транслировать собеседнику мою точку», то это нормально, хотя при возможности лучше выставить опцию «по запросу» вместо «всегда». Если же перемещения отслеживает игра «Проведи шарик по лабиринту» или «Календарь менструального цикла», есть смысл прищемить любопытный нос.
Во-вторых, информацию по умолчанию собирает сам Google. И не только посещенные места в городе, но и историю веб-поиска, список просмотренного на «Ютьюбе» и так далее. И все это с потрясающей точностью может открыться твоей жене или злоумышленнику, угрожающему переслать ей. Отключать это лучше прямо в своем аккаунте Google в Интернете. На момент написания статьи эта постоянно меняющаяся ссылка выглядит .
В айфонах разных моделей тот же принцип: «Настройки» — «Конфиденциальность» — «Службы геолокации».
При этом мы с тобой понимаем, что нет никакой гарантии (ни сегодня, ни тем более завтра), что после снятия галочки слежка выключится, а не просто перестанет отображаться в истории.
К слову, большинство телефонов сохраняют в файле фотографии координат точки, где сделан снимок. С осторожностью пересылайте жене чашку кофе, объясняя, что переговоры в офисе затягиваются до утра.
2. Избавляемся от телефона
Чтобы сим-карта не сообщала всем сотам, куда ты движешься, собираясь к любовнице, забудь телефон дома на зарядке, не выключая его. Тогда для внешнего наблюдателя ты все это время работал дома. Не пытайся завести для этих целей «левую» сим-карту: этот трюк не удается даже профессиональным разведчикам.
Например, любая сим-карта, оформленная на бомжа, уже считается твоей с того момента, как ты ее разок вставил в свой аппарат и она пошла регистрироваться в сети, сообщив его (аппарата) уникальный номер IMEI, ассоциированный ранее с тобой. Кроме того, телефон бомжа логично признаётся твоей собственностью, если он некоторое время живет в твоей квартире или путешествует в соседнем кармане по тем же местам, что и личный номер. Даже если телефон бомжа включается только в те часы, когда родной телефон как раз выключается, есть способы выяснить и это.
Поэтому с чужими сим-картами не морочься: хоть разок, но ошибешься. Просто забывай телефон дома либо выключай его, выходя из дома (объяснишь потом, что разрядился).
3. Путаем уличные камеры
Нейросети по распознаванию лиц мощные и с каждым годом становятся все мощнее. В отдельных случаях точность распознавания прохожих по лицу может доходить до 98%. Не существует надежного способа обмануть современную камеру, нарисовав на лице черные полосы, йодную сетку или вторые глаза на щеках (это не работает, мы проверяли). Только если бегать с черным мешком на голове, но это дурная идея.
Зато масочный режим стал нормой, и, даже когда коронавирус победят, человек в маске больше никогда не будет выглядеть подозрительным. Всегда можно сказать, что у вас насморк и вы приняли меры. В Японии и Корее часть граждан носит маски уже лет тридцать.
Маска тоже не дает гарантии, что камера вас не вычислит. Самые разные лаборатории сейчас спешно пытаются продать полициям мира новейшие алгоритмы по вычислению людей в масках, но возможность опознать человека в маске не может быть прежней. Для работы у нейросети теперь есть только глаза, лоб и примерное расстояние от макушки до подбородка. Поэтому просто носи темные очки: у тебя же болят глаза от солнца. И будь как все, одевайся в самую неприметную одежду.
В любом случае надо понимать, что путь загадочного человека в маске и черных очках, если потребуется, можно отследить обратно до его выхода из подъезда.
МИФ ТРЕТИЙ: У МЕНЯ ХОРОШИЙ ПАРОЛЬ
Даже если ты использовал в пароле все известные тебе буквы, цифры и знаки валют, никто не станет его отгадывать. Аккаунт вскроют мимо пароля, либо пароль отсканируют по пути, либо украдут устройство, которое уже залогинено, либо найдут ответ на контрольный вопрос «имя моей собаки». Но, скорее всего, взломают даже не тебя, а сам сервис.
Что надо знать?
В самом крайнем случае злоумышленники всегда могут выяснить пароль терморектальным криптоанализом при помощи обычного паяльника. Угрозы, шантаж, взятие близких в заложники — и нет твоего пароля.
Как быть?
Если тебя волнует, что твой телефон или ноутбук будет украден, злоумышленник найдет интимные фото твоей жены и станет вас с ней шантажировать, то на телефон следует поставить максимально длинный цифровой пароль. Линии графических ключей отгадываются по царапинам и полосам на экране, короткие пароли подбираются специальным оборудованием, а вот с длинными возиться сложнее. На ноутбуке есть смысл включить шифрование диска, оно сегодня имеется в любой системе и практически не жрет ресурсов.
Однако более мудрая стратегия — не изображать гордого хоббита с надежно спрятанным Кольцом Всевластия, а делать вид, что устройство не защищено, потому что ничего интересного в нем не было.
Например, последняя версия «Галереи» в «Андроиде» позволяет перенести нужные снимки в созданную папку, назвав ее, например, «Секрет фирмы», а затем скрыть — подержать на ней палец и найти кнопку «скрыть» внизу или в настройках (три точки). Теперь эта папка словно исчезнет из телефона. Только если ты возьмешься создавать папку с тем же именем, телефон предложит ее показать.
МИФ ЧЕТВЕРТЫЙ: В ИНТЕРНЕТЕ Я АНОНИМ
В мире, пожалуй, больше не существует возможности выйти в Интернет анонимно. Даже бесплатный вай-фай, скорее всего, захочет регистрироваться через твой телефонный номер или запомнит MAC-адрес твоего телефона, либо камера в «Макдоналдсе» зафиксирует, кто получил доступ в 19.31, тыкая кнопки за столиком номер 8.
Что надо знать?
По новому закону твой домашний и сотовый провайдеры месяцами хранят абсолютно все твои похождения и действия в Интернете. Иногда они не могут расшифровать, какими именно данными твой браузер обменивался с сайтом по шифрованному протоколу https, зато вечно помнят, что это был https://teensexxxminet.porn.
Ну а услугу по сливу личных телефонов всех посетителей своего сайта сегодня продают провайдеры и прочие злоумышленники совершенно легально. Случайно попав на сайт элитных печей для коттеджа, ты вскоре получишь телефонный звонок от менеджера уже на свой родной номер: печь недешевая, а ты единственный, кто сегодня был на сайте, — почему бы не позвонить? Ты тоже можешь создать свой сайт и покупать информацию о личных телефонных номерах и даже именах большинства посетителей.
Как быть?
Иногда помогают системы VPN, когда весь твой трафик идет шифрованно от тебя к далекому серверу, а уже по Интернету ходит как бы он со своего адреса IP. Ты можешь купить в далекой стране или даже найти бесплатно доступ VPN и прописать его в настройках своего браузера на компьютере и в настройках мобильника. Связь станет более медленной и проблемной, но, скорее всего, далекий африканский VPN тебя так просто не сдаст по первой просьбе.
Браузер TOR предназначен не только для блуждания по темному Интернету (Даркнету), но и для шифрования своих действий. TOR был создан военными специалистами США для разведчиков, но быстро вышел из лаборатории и зажил собственной жизнью. Трафик здесь проходит через долгую и путаную цепочку TOR-серверов по всему миру, включая любительские, заново шифруясь на каждом. Поэтому отследить удастся лишь то, какой последний TOR-сервер вынес данные в Интернет и на какой именно сайт они уехали (если этот последний TOR-сервер принадлежит тебе), а вот кто находится на другом конце цепочки — уже не отследить. Для тебя TOR выглядит просто как отдельный браузер, дико тормозной, но годный.
Если ты сочиняешь детективный сериал и тебе надо найти для сюжета преступный рецепт наркотиков, конструкцию бамбукового пулемета или устав членов запрещенной в России организации, гугли это через TOR, иначе будет трудно объяснить злоумышленникам, что ты просто писатель. Особенно если они подкинут тебе в рюкзак обрезки бамбука и озвучат сумму, шантажируя судом.
МИФ ПЯТЫЙ: TELEGRAM НЕ СДАЛ КЛЮЧИ
Да, мессенджер Telegram хорош, зарекомендовал себя борцом за личные свободы, а его код и протоколы открыты всем желающим для проверки, что единых ключей там не существует. Но есть нюансы. Код ты не видел, а если видел, то не понял, а если понял, нет гарантий, что завтра не прилетит обновление приложения с другим кодом. У Павла Дурова возникли проблемы с долгами перед инвесторами, когда он хотел сделать мировую криптовалюту, а капиталисты США испугались и наложили запрет. После чего многие начали подозревать, что, шантажируя долгами, его вынудили немного «договориться» со спецслужбами разных стран. По крайней мере, ни Apple, ни Google не удалили приложение Telegram из своих магазинов, а за счет какой монетизационной схемы оно существует, до сих пор неясно.
Что надо знать?
Пока ты не создал с собеседником специальный «секретный чат», мессенджер Telegram ничем не лучше лички в «Контакте». Есть все основания думать, что переписка в секретном чате не будет видна никому, кроме вас двоих, но никуда не скрыть сам факт, что вы двое о чем-то сегодня общались секретно.
В WhatsApp тоже есть шифрованный чат, но почему-то мало дураков, которые в это верят.
Как быть?
Когда надо, включай шифрованный чат Telegram. Но лучше используй для секретного общения распределенный протокол Matrix — куда более защищенный протокол от сообщества настоящих гиков. Его поддерживает, например, приложение Element в телефонах.
ИТОГ
Мир технологий — постоянная гонка хитрого винта за хитрой гайкой. Здесь опасность подстерегает с самых неожиданных сторон. Сегодня тебе кажется, что ты придумал самый защищенный пароль, сеть уверена, что ее системы шифрования паролей неприступны на каждом из этапов. А завтра вдруг выяснится, что подленькое приложение калькулятора, включаясь фоном и не видя экрана, при помощи сложной математики безошибочно считывает по датчикам вибрации, в каком месте корпуса и какие символы тыкает палец владельца…
Шок, крах, паника на биржах. Разработчики смартфонов бросаются переделывать датчики вибрации. Кто мог такое предвидеть? Никто.
Что надо знать?
1. Все возможно. Что невозможно сегодня — возможно завтра.
2. Точных решений нет. Все пошаговые инструкции устарели час назад.
3. Угрозы, которыми пугали наших родителей, — вирусы, хакеры, кража данных — давно устарели. Данные воруют не у тебя, а из облака. Хакером может быть робот. Вирусы не нужны в мире, где каждый сам нажимает кнопку «скачать и установить бесплатно».
Как быть?
1. Не подставляйся, считая себя неуловимым Джо.
2. Ищи в Интернете актуальную информацию по безопасности своей модели смартфона и ноутбука, постоянно интересуйся новыми технологиями.
3. Будь хитрее. Никому не выгодно, да никто и не умеет разгадывать нетипичные ребусы, если полно типичных людей со стандартными системами, дефолтными настройками и типичным пользовательским поведением. Помни, в Китае запрещен мировой Интернет, но кто умный, у того есть. Не потому, что правительство не может его отрубить совсем, а потому, что даже в Китае нет сил гоняться за 5% особо сообразительных граждан, пока есть 95% граждан обычных, которых можно обрабатывать и стричь как хочется.
