Кто мной следит в интернете. Все под контролем — кто и зачем может следить за нами через компьютеры и телефоны

В 1993 году журнал «Нью-Йоркер» напечатал знаменитую карикатуру про пса за компьютером. «В интернете никто не знает, что ты собака», - сообщала подпись. Спустя двадцать с лишним лет дела обстоят с точностью до наоборот. В сегодняшнем интернете любая собака знает, кто ты такой, - и порой даже лучше, чем ты сам.

Интернет плохо совместим с тайнами, и тайна частной жизни - не исключение. О каждом клике, сделанном в браузере, по определению должны знать две стороны: клиент и сервер. Это в лучшем случае. На самом деле где двое, там и трое, а то и, если взять в качестве примера сайт «Хакера», все двадцать восемь.

На примере

Чтобы убедиться в этом, достаточно включить встроенные в Chrome или Firefox инструменты разработчика.. Больше половины этих запросов не имеют ни малейшего отношения к документам, которые расположены на серверах «Хакера». Вместо этого они ведут к 27 различным доменам, принадлежащим нескольким иностранным компаниям. Именно эти запросы съедают 90% времени при загрузке сайта.

Что это за домены? Рекламные сети, несколько систем веб-аналитики, социальные сети, платежный сервис, облако Amazon и пара маркетинговых виджетов. Похожий набор, и зачастую даже более обширный, имеется на любом коммерческом сайте.. О них знаем не только мы (это само собой), но и обладатели этих 27 доменов.

Многие из них не просто знают. Они наблюдают за тобой с самым пристальным интересом. Видишь баннер? Он загружен с сервера Doubleclick, крупной рекламной сети, которая принадлежит Google.. Если бы баннера не было, он нашел бы другой способ. Те же данные можно извлечь с помощью трекера Google Analytics или через AdSense, по обращению к шрифтам с Google Fonts или к jQuery на CDN Google. Хоть какая-то зацепка найдется на значительной доле страниц в интернете.

Анализ истории перемещений пользователя по интернету помогает Google с неплохой точностью определить его интересы, пол, возраст, достаток, семейное положение и даже состояние здоровья. Это нужно для того, чтобы точнее подбирать рекламу. Даже незначительное увеличение точности таргетинга в масштабах Google - это миллиарды долларов, но возможны и другие применения. Согласно документам, которые опубликовал Эдвард Сноуден, американские и британские спецслужбы перехватывали трекеры Google для идентификации подозреваемых.

За тобой следят - это факт, с которым нужно смириться. Лучше сосредоточиться на других вопросах. Как они это делают? Можно ли скрыться от слежки? И стоит ли?

Найти и перепрятать

Для того чтобы следить за человеком, нужно уметь его идентифицировать. Самый простой и хорошо изученный способ идентификации - это cookie. Проблема заключается в том, что он уязвимее всего для атак со стороны поборников privacy. О них знают и пользователи, и даже политики. В Евросоюзе, к примеру, действует закон, вынуждающий сайты предупреждать пользователей о вреде кук. Толку ноль, но сам факт настораживает.

Другая проблема связана с тем, что некоторые браузеры по умолчанию блокируют cookie, установленные третьей стороной - например, сервисом веб-аналитики или рекламной сетью. Такое ограничение можно обойти, прогнав пользователя через цепочку редиректов на сервер третьей стороны и обратно, но это, во-первых, не очень удобно, а во-вторых, вряд ли кого-то спасет в долгосрочной перспективе. Рано или поздно потребуется более надежный метод идентификации.

В браузере куда больше мест, где можно спрятать идентификационную информацию, чем планировали разработчики. Нужна лишь некоторая изобретательность. Например, через свойство DOM window.name другим страницам можно передать до двух мегабайт данных, причем в отличие от кук, доступных лишь скриптам с того же домена, данные в window.name доступны и из других доменов. Заменить куки на window.name мешает лишь эфемерность этого свойства. Оно не сохраняет значение после завершения сессии.

Несколько лет назад в моду вошло хранение идентификационной информации при помощи так называемых Local Shared Objects (LSO), которые предоставляет Flash. В пользу LSO играли два фактора. Во-первых, в отличие от кук, пользователь не мог их удалить средствами браузера. Во-вторых, если куки в каждом браузере свои, то LSO, как и сам Flash, один для всех браузеров на компьютере. За счет этого можно идентифицировать пользователя, попеременно работающего в разных браузерах.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Все правительства так или иначе следят за своими гражданами, применяя различные технологии. Для этого они создают спецслужбы, наделяют необходимыми полномочиями полицию и пытаются наладить взаимодействие с коммерческими компаниями. Это и операторы связи, и поставщики оборудования, и разработчики софта. Вопрос лишь в том, во имя чего они это делают и каким образом при этом обеспечены права людей на уважение частной жизни. Иными словами, кто будет контролировать контролеров, следить за стражами.

В демократических странах спецслужбы ограничены сильной свободной прессой и развитым гражданским обществом, а также реально независимыми судами, которые в необходимых случаях дают санкцию на вторжение в частную жизнь. В эти суды также можно обратиться с жалобой на спецслужбы, и, скорее всего, человек, чьи права были ограничены незаконно, сможет рассчитывать на восстановление прав и компенсацию от государства.

В России все не так.

Прежде всего деятельность спецслужб, в том числе в сфере слежки, никак не ограничена. Например, суды, которые по закону должны давать разрешение на прослушку, удовлетворяют более 98% таких ходатайств и при этом не имеют абсолютно никакой возможности проконтролировать, насколько добросовестно исполняется такое разрешение. У вас также практически нет шансов доказать в российском суде, что слежка за вами велась незаконно. Возможно, такой иск даже не примут к производству.

Независимых СМИ практически не осталось, а те, что есть, испытывают постоянное давление. Гражданские активисты и НКО сами являются одним из основных объектов слежки. Когда мы писали прошлогодний доклад, концентрировались на политически мотивированной слежке за активистами и оппозицией. По мере работы стало ясно, что этой группой дело не ограничивается.

Похоже, российские власти собирают максимально возможный объем информации обо всех, кто находится в зоне досягаемости. Отпечатки пальцев должны сдавать не менее 25 миллионов человек, и речь не только о преступниках. Моряки, призывники, спасатели, иностранцы, претендующие на получение вида на жительство, российские граждане, получающие загранпаспорт, и т.д.

Только в одной Москве по всему городу установлено почти 130 000 камер видеонаблюдения. Когда вы идете на стадион, ваше лицо наверняка сканирует камера с функцией распознавания лиц. Если вы покупаете билет на межобластной автобус, поезд или самолет, вы должны предъявить удостоверение личности, а властям будут известны не только ваш маршрут и номер рейса, но даже госномер и марка автобуса, а также ваше место в салоне.

Администраторы кемпингов и мотелей должны немедленно уведомить «куратора» из спецслужб об «обнаружении в поле зрения сотрудников неправительственных организаций или иностранных журналистов».

С принятием «пакета Яровой» операторы связи и интернет-сервисы должны хранить гигантские объемы информации о пользователях, включая IP-адреса, сведения о родственниках, языках, которыми владеет пользователь, связанных аккаунтах, а также голосовые, текстовые и иные изображения, и даже неотправленные черновики.

Например, решили вы запостить «ВКонтакте» какой-то экстремистский призыв, набрали текст, но потом одумались и публиковать не стали. Но черновик уже отправился куда следует.

А оплачивать расходы по строительству дата-центров, закупке оборудования и программного обеспечения предложено самим сервисам, а следовательно — пользователям. При этом власти, стремясь собирать огромные объемы различной информации о гражданах, абсолютно неспособны обеспечить их безопасность. Отсюда постоянные утечки персональных данных — то автовладельцев, то клиентов пенсионного фонда, то баз данных МВД.

И ведь нет никаких данных, что существующие системы контроля и слежки хоть как-то помогают раскрывать, а тем более предотвращать преступления, бороться с терроризмом.

Например, после убийства Бориса Немцова выяснилось, что видеокамеры на кремлевской стене не работали. Таким образом, власти, предлагая гражданам из своего кармана оплачивать слежку за самими собой, при этом не могут обеспечить ни безопасности личных данных, ни эффективного использования ресурсов для достижения декларируемых целей.

Проникновение электроники во все сферы нашей жизни не дает покоя все большему числу людей: они выбирают «безопасные» мессенджеры, заклеивают камеры на ноутбуках, а встречаясь с партнерами по бизнесу, достают из телефонов аккумулятор - мало ли, вдруг прослушка идет. Кто за нами следит, каким образом и с какой целью, рассказал ресурсу гендиректор интернет-провайдера ИНСИС Артем Черанев.

На днях мессенджер WhatsApp своим пользователям: «Сообщения, которые вы отправляете в данный чат, и звонки теперь защищены шифрованием». «Ух ты, как здорово! Теперь спецслужбы ничего обо мне не узнают», - видимо, такой должна была быть ответная реакция. Артем Черанев почти 20 лет работает в связи. Он рассказал о том, как спецслужбы сотрудничают с операторами, кто может стать объектом тотального контроля и почему рядовому гражданину можно использовать любые гаджеты и любое ПО.

Чуть ли не от каждого второго знакомого периодически слышу: «Я не использую этот мессенджер (это устройство, эту почту), потому что его легко взломать». Я всегда в ответ говорю: «Дорогой, ты можешь пользоваться вообще всем! Потому что ну кому ты нужен?»

На самом деле технические возможности позволяют взламывать, прослушивать и отслеживать все устройства, на которых установлен софт. По поводу смартфонов, ноутбуков и других гаджетов я ничего сказать не могу - достоверно не знаю. Но, к примеру, я слышал историю: когда для одной силовой структуры заказали три UPS (системы бесперебойного питания) и перед установкой их проверили, то оказалось, что во все три «упээски» были впаяны микрофоны. Причем есть подозрение, что они были впаяны туда еще на сборочном конвейере в Китае, хотя, казалось бы, что за бред…

В общем, любой принтер (при условии, что в нем установлен микрофон, а в код драйвера вписан нужный кусочек) может весь голосовой трафик из вашего офиса собирать и куда-то пересылать. Технически это всё реализуемо.

Кроме того, есть такая штука, которая называется «система оперативно-разыскных мероприятий» (СОРМ). В рамках СОРМа каждый оператор связи, чтобы ему не лишиться лицензии, обязан устанавливать у себя на узле соответствующее оборудование, которое сертифицировано Федеральной службой безопасности и ею же используется. Это, условно говоря, существующая параллельно центральным маршрутизаторам оператора железка, через которую проходит весь трафик. Подчеркиваю - весь: интернет-трафик, голосовой, всё что угодно.

То есть на самом деле спецслужбам не обязательно подключаться к каждому микрофону или сидеть в наушниках и слушать весь наш флуд. Для того чтобы что-то отследить, им часто достаточно обратиться к своему же «трафикосъемнику» и абсолютно свободно, в удаленном доступе, со своих терминалов в условных подвалах Лубянки по нужному признаку трафик выделять и его анализировать. Это совершенно не сложно. Причем в рамках того же СОРМа ставятся накопители, которые зеркалят весь трафик за определенный период, то есть то, что потребуется, можно вытаскивать не просто в режиме онлайн, но и из архивов. Соответственно, чтобы за кем-то следить, усилий нужно приложить гораздо меньше, чем это себе представляет обыватель. Никакие спутники и секретные дроны для этого не нужны.

Но, с другой стороны, все переговоры, переписка, какие-то фотографии начинают быть интересными только в двух случаях: если человек становится крупной медийной или политической фигурой и широкой публике хочется посмотреть, чем он живет, что ест, с кем спит. Второй момент - это когда человек начинает представлять какую-то реальную угрозу государству: тут мы уже говорим о терроризме, распространении детской порнографии, об экстремизме или вещах, связанных с распространением наркотиков или призывами к суициду. Это основные параметры, которые достаточно активно мониторятся соответствующими структурами: отделом «К» в МВД и ИТ-подразделениями в ФСБ. До того момента, пока человек не попадает ни в первую категорию, ни во вторую, он не интересен ни ФСБ, ни КГБ, ни ЦРУ, ни МВД, ни Путину лично. Это надо понимать.

Однако как только вы приближаетесь к категориям, которые интересны спецслужбам (я привел исчерпывающий список), - вот тогда хоть дисковым телефоном пользуйтесь: вас отследят, прослушают, просмотрят. Приведу простой пример: на оперативных съемках операций по раскрытию банд наркоторговцев наглядно видно, что эти ребята пользуются совершенно древними кнопочными телефонами без выхода в интернет, типа «Нокии-3310», постоянно меняют трубки и симки, общаются условными сигналами. Но накрывают же их.

«Если человек попадает в поле зрения ФСБ и Управления «К» МВД, он может пользоваться хоть iPhone, хоть дисковым телефоном - его отследят, прослушают и просмотрят».

Есть еще, например, специальные программы, которые нацелены на распознавание конкретных слов. Как они используются и с какой регулярностью, конечно, мне никто не скажет. Но я точно знаю, что такие технологии есть и более того - они распознают не только слова, но и интонации и определяют эмоциональное состояние человека.

И, конечно, спецслужбы всегда работают в тесном контакте с операторами связи. В нашей практике было несколько обращений от правоохранительных органов: однажды они «разрабатывали» хакера, который взламывал банковские счета. Был еще случай, когда ловили распространителя детской порнографии. Недавно накрывали террористическую ячейку, которая призывала здесь, у нас, к джихаду. Такое сотрудничество может быть в самых разных формах - начиная от получения доступа к IP-адресам и заканчивая тем, что под видом сотрудников компании-оператора, имитируя какие-то профилактические работы на узле, спецслужбы устанавливают свое оборудование.

Но все это делается только по официальному запросу, на это должны быть постановления компетентных органов. Это происходит не по звонку: «Слышь, привет, открой-ка мне доступ». Если такое вдруг случится и всплывет, то оператор рискует так огрести по башке, что закроется и больше не откроется.

Я в этом бизнесе 17 лет: на моей памяти во всех подобных инцидентах, когда к нам обращались, речь шла о реально плохих парнях. Чтобы кто-то сказал: «А вот там у тебя живет депутат (или, допустим, простой смертный Иван Иванов) - мы хотим посмотреть на него и понюхать», - такого, клянусь, ни разу не было. Так что вся эта паранойя, что за нами постоянно следят, - это полная фигня.

КИШИНЕВ, 4 дек — Sputnik. Смартфон один из самых эффективных средств слежения и предоставления персональных данных.

На справедливость этого вывода указывает очередной скандал, разразившийся после того, как компания Kryptowire обнаружила в прошивках нескольких смартфонов BLU Products компонент, который собирает всю текстовую переписку пользователя, данные адресной книги, историю звонков и местоположение пользователя и раз в 72 часа отправляет все на китайские сервера.

Этот случай не уникальный. О том, насколько масштабной может быть слежка и как проникают в наши гаджеты, можно ли защитить себя от проникновения в персональные данные и есть ли безопасные мессенджеры, рассказал в интервью радиостудии Sputnik Молдова эксперт в области информационных технологий и компьютерной безопасности Вадим Мельник.

- Вадим, как Вы думаете, с какой целью осуществляется сбор этой информации?

— Мне кажется, что эта информация собирается для анализа и получения из нее какого-то рода информации, которая бы способствовала слежению за пользователями. Китайцы, соответственно, следят за американцами и европейцами.

- Каким образом это происходит?

— Есть много приложений, в том числе американских, которые запрашивают доступ к личным данным. Это может осуществляться в целях улучшения качества работы приложения или речь идет о кибербезопасности. То есть, эта информация запрашивается приложением для самого приложения. Например, потому что без доступа к этой информации приложения не могут работать. Но бывают фэйковые приложения — они могут использовать другую информацию, которая нужна для сторонних целей. Например, игра Pokemon. Люди пострадали из-за этого приложения, потому что попали не на официальное, а на фэйковое приложение, которое запрашивало конфиденциальную информацию, и люди на эту уловку попались. Правда, надо отметить, что в большинстве случаев приложения проходят проверку перед тем, как попадают в магазин, и запрашиваемая ими информация ни к чему плохому не приводит.

- Как Вы считаете, у спецслужб есть механизм получения личных данных посредством таких фэйковых приложений?

Сложно сказать, есть ли у них такая возможность. Но если есть приложения, разработанные спецслужбами, которые пользуются популярностью, то, да, они, в принципе, могут получать через эти приложения любую информацию. Это не проблема, если приложение запрашивает доступ к адресной книге.
- Можно ли получить доступ к личной переписке в социальных сетях?

Технически это возможно, если на этих сервисах не включено шифрование для переписки. Если шифрование включено, и оно работает так, как должно работать, то тогда такой возможности нет. Потому что, допустим, в сервисах, которые используют шифрование, без ключа невозможно прочитать сообщение, и переписка становится нечитабельной. Это такие мессенджеры, как Telegram, WhatsApp, недавно включил шифрование Facebook. Такие мессенджеры можно считать безопасными. Но вот в Skype шифрования нет.

Многие опасаются, что слежка происходит посредством с помощью встроенной камеры. Стоит ли опасаться владельцам смартфонов, что за ними следят?

— В принципе, опасаться можно всегда, но обычно производители устройств не вставляют такой бэкдор (прим.ред. backdoor — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить тайный доступ к данным или удалённому управлению компьютером), который бы следил за пользователями через камеру. Если такое случается, и специалисты это находят, то это серьезно бьет по репутации этой компании. Бывает, что и сам пользователь устанавливает фэйковые приложения, которые получают доступ к камере. Бывает и сам пользователь натыкается на вирус, который будет иметь доступ к камере смартфона.

- А что касается камеры персональных компьютеров?

Здесь, в принципе, та же ситуация.

Давеча показал своей знакомой возможности Яндекс Метрики (Дженета, привет 😉). Удивлению ее не было предела. Как, можно узнать мою модель телефона? Мой возраст? Пол? Действия на сайте? Ну, вообщем, кто работал с Метрикой, понимает, о чем я. А для нее это все было не то что в новинку, а настоящим шоком. В итоге, наш с ней разговор о конфиденциальности информации в интернете вдохновил меня на написание этого поста. И, поэтому, сегодня хочу поговорить о том, насколько наши данные защищены в мировой интернет сети, о том, кто и как следит за нами в интернете, а также, насколько это опасно.

Наверное, первоначально нужно запомнить одну печальную вещь, любая информация, попавшая в сеть потенциально становится общедоступной. Это происходит из-за несовершенства интернет сервисов, из-за хакерских атак, из-за недобросовестности людей, кому была доверена ваша информация. Одним словом, все, что попало в интернет, или даже на ваш компьютер, рано или поздно может стать общедоступным. И это надо четко понимать.

Единственный способ избежать огласки ваших личных данных – это не выкладывать их в сеть. Но такое не всегда возможно, да и сами люди частенько любят играть из себя жертв обмана.

Но, все же,

Насколько защищены наши данные в интернете?

Для начала нужно разделить данные на две категории: публичная информация и личная информация.

Что такое публичная информация в интернете

Вообще формально, публичная информация – это информация, доступ к которой не ограничен законами той или иной страны. Но, вся фишка в том, что в интернете нет стран, максимум доменные зоны, принадлежащие странам. И этот факт делает понятие публичной информации, крайне расплывчатым. Поэтому, для простоты понимая, за публичную информацию в интернете принимают данные, что мы с такой радостью самостоятельно выкладываем в сеть и не ограничиваем доступ к ней (это может быть имя, возраст, интересы, статьи и пр.). Ясен пень, такая информация общедоступна, и незачем кричать и некрасиво ругаться, когда к вам будут звонить незнакомые люди и предлагать купить губозакатывательную машинку (или еще чего).

Что такое личная информация в интернете

В определении личной информации, те же грабли. Все расплывчато и непонятно. Поэтому, опять принимаем условное определение: Личная информация в интернете – это данные, о которых мы не хотим информировать незнакомых людей (серия паспорта, адреса, номер ОСАГО или e-mail бабушки Элвиса Пресли).

А вот теперь, самое интересное, как бы назойливо мы бы не пытались зашифровать или спрятать нашу информацию, она все равно может попасть в чужие руки. Каким образом? Давайте разбираться.

Никакие наши данные особенно и не защищены в интернете. Давайте рассмотрим социальные сети. К примеру, вы выложили фотографии и хотите запретить к ним доступ всем кроме себя (такие функции есть, правда меня всегда они вводят в удивление – нафига это надо). Не буду сейчас говорить о специфики строения соц. сетей, скажу другое – если вы видите эти фотографии, значит, они где-то хранятся и как факт, если знать пароль или получить доступ к вашему аккаунту, то их можно просмотреть. Но, есть и еще одна фишка, владелец портала имеет доступ ко всем данным своих клиентов. Они могут быть зашифрованы или нет, но доступ у владельца есть всегда. И это надо четко понимать!

Раз уж мы заговорили о владельцах порталов, то можно рассмотреть еще одну интересную штуку. Каждый вебмастер знает о пользователях своего сайта такую информацию, о которой пользователь даже и не догадывается. Так, к примеру, пока вы читаете этот пост, специальный код на сайте собирает информацию о вашем компьютере, операционной системе, браузере, разрешении экрана, даже движения мышкой по экрану записываются на специальный сервер в интернете. Причем все действия, по сбору сведений, абсолютно легальны. Получить их можно, к примеру, в Яндекс Метрике (о которой я упомянул в начале). И каждый владелец абсолютно любого сайта имеет аналогичный доступ к своему ресурсу. Поэтому, как только вы зашли в интернет, знайте, что все ваши действия записываются и обрабатываются машиной.

Но, все же, интересно, наверное, другое – как это все работает.

Как за нами следят в интернете?

Еще один зверь, который помогает за нами следить – это DPI или Deep Packet Inspection. Это очень интересная штука, которая может накапливать статистику, проверять и фильтровать сетевые пакеты, контролировать трафик (блокировать, ограничивать или увеличивать). Как на мой взгляд, так это самая неприятная из всех описанных сейчас способов слежки. Потому как все это используется на уровне провайдера, и здесь из безликого пользователя, я превращаюсь в конкретного человека.

То, что мы под колпаком, более чем очевидно. Но, все же, кто этот большой брат, кто так бесцеремонно следит за нами.

Кто следит за нами в интернете? И на сколько опасно раскрывать наши данные

Как правило, есть всего три основных группы лиц, которым мы с вами интересны.

• Владельцы сайтов
• Рекламщики и треккинговые компании
• Спецслужбы

Владельцам сайтов данные нужны исключительно для построения правильной стратегии продвижения своего сайта. Владелец сайта не знает имен и персональных данных своих посетителей, лишь общую информацию.

Страшно ли передавать подобные данные? Нет. Ну, что вам от того, что владелец ресурса узнает расширение вашего экрана, или модификацию браузера?

Рекламщики и треккинговые компании собирают о вас в более конкретную информацию. На основе которой, вам будет показываться потенциально интересующая вас реклама. Страшно ли это? Скорее неприятно. Потому как, информация не просто собирается, а еще и свободно продается. Поэтому, во время прогулок по сети, используйте VPN, это потенциально обезопасит вас от сбора конфиденциальной информации.

Спецслужбы . К сожалению, у вас не достает кармы для просматривания этого абзаца. Даже у владельца ресурса, написавшего это статью, кармы недостаточно.