Контроль и слежка в Сети, проблемы шифрования и безопасности “юзера”

Из каждого утюга за нами следят самые разные соглядатаи, вооруженные цифровой техникой.

Кто следит за вами в Сети?

Из каждого угла за вами следят самые разные соглядатаи, вооруженные цифровой техникой. Это и маркетологи, и агенты АНБ, и простые воры. Но битва еще не закончена, и для победы в ней мы предлагаем пять видов личного оружия, которое поможет вам противостоять натиску извне. Пришло время сразиться за неприкосновенность личной жизни.

Даже бирки E-ZPass, которые используют в США для дистанционной оплаты проезда по платным дорогам, являются объектом кибершпионажа. Негласно установленные устройства считывания снабжают заинтересованные инстанции информацией о перемещении автомобиля.

Зоны компьютерной безопасности Так в каком месте мы оказываемся на шкале защиты нашего частного пространства? Выберите ту сторону, где царит онлайновая свобода, и вам не нужно будет захламлять свою память разными паролями. Но зато в ваше хозяйство будут совать нос все кому не лень — от спам-ботов до шпионов АНБ. А если выбрать сторону противоположную, защищенную от цифрового вмешательства, вы почувствуете себя в безопасности, но зато и в изоляции. Большинство из нас хотело бы комфортно устроиться где-то посередке. Живя в цифровом мире, не совершай опрометчивых шагов.

Ади Камдар, основатель Electronic Frontier (правозащитный «Фонд электронных рубежей») «Рассуждая о защите своего частного пространства, мы часто забываем о проблеме власти и ее полномочий. У людей должно быть право знать, что происходит, право сказать «нет» или хотя бы ограничить возможности манипуляций с их личными данными».

Эдвард Сноуден, организовавший утечку информации из АНБ, еще раз доказал: то, что нам везде мерещится слежка, это совсем не паранойя. Правительство США и в самом деле шпионит за каждым гражданином. Допустим, агентства, отвечающие за нашу безопасность, должны иметь какие-то полномочия для слежки за террористами, но ради этого нельзя загонять под колпак все население страны. У темы «с тайной личной жизни покончено» есть и другая сторона. Мы можем бороться с размыванием «прайвеси» с помощью тех же технологий, которые применяются для вторжения в нашу жизнь.

Да, при нынешнем техническом уровне, позволяющем красть у нас наши личные тайны, мы можем и защищаться от воров, взяв на вооружение те же достижения цифровых технологий. Оберегая свои данные от постороннего вторжения (для этого можно использовать и шифровку, и многие другие средства), вы вставляете свое веское слово в дискуссию о том, нужно ли и можно ли бороться за свою информационную безопасность. Конечно, нужно и можно. Ибо страдает она прежде всего от нашего же пренебрежения к мерам ее защиты.

hacker 2

Интернет-браузеры

Что делать? Пресечь работу программ, отслеживающих ваши странствия по интернету.

Браузеры работают в двух направлениях: вы используете их для того, чтобы больше узнать об окружающем мире, а кто-то из этого окружающего мира использует их для того, чтобы узнать кое-что о вас. Знали бы вы, сколько идентификационных файлов (куки-файлов) сгружается в ваш компьютер! От таких чисел волосы встанут дыбом даже у завсегдатаев сетевой среды.

Бесспорно, многие куки-файлы оказываются весьма полезными. К примеру, они помогают поддерживать постоянную связь с тем или иным сервисом. Однако многие из них существуют всего лишь для того, чтобы помогать маркетологам более целенаправленно организовывать свои рекламные кампании. Существует онлайновое средство — его работу поддерживает организация Network Advertising Initiative, — которое позволяет выявить тех, кто собирает о вас какую-либо информацию. На браузере, который мы испытали, слежкой занимались 82 фирмы с такими, например, названиями, как AppNexus, Criteo или Datalogix.

Допустим, куки-файлы можно просто вычистить, но есть и более современные методы слежки за вашим онлайновым поведением, и их обойти будет труднее. К примеру, некоторые компании используют «браузерную дактилоскопию». С ее помощью выискивают комплекты или паттерны компьютерных установок, таких как используемые шрифты или часовой пояс. Такой набор данных позволяет привязаться к личности пользователя. Google и Microsoft тоже не отстают в этом деле.

Они работают над способами идентификации, при которой можно обойтись без куки-файлов, формулируют индивидуальные идентификаторы, в которых учитываются не только параметры персонального домашнего компьютера, но и ваши данные о пользовании браузерами на смартфонах и планшетах. В принципе, система Google поможет связать воедино данные, используемые во всех продуктах этой компании: это и почтовый сервер Gmail, и браузер Chrome, и операционная система Android для мобильных устройств.

В этой области работают не только частные фирмы. Правительство США тоже может отслеживать информационный шлейф, остающийся за вами в вашем браузере. Вот одна из новостей прошлого года: АНБ подключилось к оптоволоконным кабелям, представляющим собой становой хребет интернета, так что теперь с помощью службы по сбору метаданных под названием Marina агентство получило возможность восстанавливать историю выхода в сеть любого пользователя, выяснять его социальные связи, а в некоторых случаях даже местоположение.

Повседневная защита

Не забывайте о регулярных гигиенических процедурах для своего браузера. Очищайте его от лишних куки-файлов, опустошайте кэш. Имеется некоторое количество браузерных примочек, которые могут сократить поток информационного сора, обрушивающегося на ваш компьютер. Например, программа AdBlock Edge блокирует рекламный спам и поступающие со стороны трекеры или «филеры». Программа Disconnect позволяет вам увидеть и пресечь чьи-то попытки отследить историю вашего хождения в сеть. (Оба эти дополнения работают с браузерами Firefox и Chrome. Рекомендуем использовать Firefox, поскольку это браузер с открытым кодом.)

Экстренные меры

Допустим, вы живете в тоталитарном государстве, состоите в рядах сопротивления его власти и нуждаетесь в настоящей анонимности. Тогда загрузите пакет программ Tor Browser Bundle. Этой услугой пользуются при выходе в сеть многие политические активисты, журналисты и — ничего не поделаешь! — кое-кто из криминального мира. Tor объединяет ваши данные в зашифрованный пакет и пересылает его через некую всемирную добровольческую сеть, состоящую из 3000 серверов. Таким образом он скрывает ваше местонахождение и затрудняет прочтение ваших зашифрованных данных.

Правда, Tor имеет и свои недостатки. Во-первых, он сильно тормозит, поскольку ваши данные проходят по крайней мере через три ретранслятора, и полоса пропускания сигнала на любом из них может быть недостаточно широкой. Во-вторых, всего лишь загрузив на свой компьютер эту систему, вы уже одним этим фактом привлекаете к себе внимание соответствующих государственных органов. Как нам известно, АНБ разработало систему под названием FoxAcid, которая отыскивает машины, где используется приложение Tor, и засылает в них свои приложения для перехвата сообщений.

Впрочем, в одном из документов, которые огласил Сноуден, агентство признает: «У нас нет никакой возможности непрерывно раскрывать анонимность всех пользователей системы Tor». Есть также «виртуальная частная сеть» (VPN) — это еще один уровень защиты, в котором шифруется информация, передаваемая на внешние компьютеры. Объединив услуги системы Tor и VPN, вы почувствуете себя более-менее защищенным.

Социальные сети

Что делать? Подтвердить все предложенные вам установки, защищающие частную информацию.

В 2011 году Макс Шремс, австрийский студент юридического факультета, запросил социальную сеть «Фейсбук» с требованием предоставить ему все сохраненные сетью данные, касающиеся его личности. При этом запросе Шремс опирался на один малоизвестный пункт принятого в 1995 году закона ЕС о защите данных. Сначала студент получил лишь небольшую часть этих данных. Он заявил протест и в результате получил по почте CD, содержащий PDF-файл на 1222 страницы.

В этом файле содержалась информация о трудоустройстве, о характере отношений с окружающими, подсмотренные детали личной жизни, старая переписка и фотографии, помеченные координатами мест, где они были сняты. По большей части это была информация, которую Шремс предусмотрительно удалил своими собственными руками. Теперь многие компании, работающие в сфере хайтека, все более активно вторгаются в нашу жизнь, чтобы потом выставить на продажу подобную информацию.

К примеру, Google предлагает функцию Shared Endorsements, которая позволяет компаниям включать имя и фотографию пользователя Google Plus рядом с рекламными сообщениями, вывешиваемыми в его социальных контактах. Для этого будет достаточно лишь того факта, что данный человек проявил хоть какой-то интерес к рекламируемому продукту. В дальнейшем вся эта информация может оказаться в базах рекрутерских фирм или попасть в руки киберпреступников и сталкеров (охотников за информацией).

Повседневная защита

В каждой из социальных сетей, которыми вы пользуетесь, заявите самые жесткие установки по защите личной информации, поставьте строгие ограничения для посторонних, запретив им доступ на ваши страницы. Чтобы заблокировать программы-трекеры, которые привязаны к опции «Поделиться», установите расширение Disconnect. Закончив сеанс посещения социальной сети, выходите из аккаунта и возьмите за привычку регулярно чистить куки-файлы. Экстренные меры — да ну их к черту, эти социальные сети — лучше позовите друзей в лес на шашлык.

hacker 7

Электронная почта

Что делать? Включить дополнительные средства безопасности.

Само содержание ваших писем может быть менее интересным для стороннего наблюдателя, чем ваши метаданные — запись того, с кем вы контактируете и сколь часто это происходит. В течение десяти лет с помощью программы Stellar Wind АНБ накапливает метаданные по электронной почте. С 2007 и по 2011 год в эту базу включались и данные по гражданам США. В рамках отдельной программы формировалась база списков контактов из почтовых аккаунтов сотен миллионов человек. Скорость наращивания этой базы составляла 250 млн пользователей e-mail в год.

Побочным результатом этой деятельности стало разрушение двух служб, которые до самого недавнего времени обеспечивали довольно высокий уровень защиты, — и не только от правительства США, но и от многих репрессивных режимов и криминальных организаций.

Владелец техасской службы защиты электронной почты Lavabit Ладар Левинсон в августе минувшего года свернул работу своего сервиса. Причиной стало требование со стороны ФБР выдать все ключи шифров, защищающих его сайт. Федеральная полиция мотивировала свой запрос желанием получить сведения о самом знаменитом пользователе службы Lavabit — Эдварде Сноудене, однако, когда Левинсон предложил обеспечить доступ только к аккаунту знаменитого разоблачителя, сыщиков такой вариант не устроил.

Прошло всего несколько часов после этого инцидента, и о прекращении обслуживания объявила компания Silent Circle, занимающаяся шифровкой связи через электронную почту. Мотивируя это решение, она сообщила, что, хотя сами сообщения, пересылаемые через ее службу, остаются недоступными для чтения третьими лицами, протоколы электронной почты — SMTP, POP3 и IMAP — устроены так, что пользовательские данные остаются открытыми для шпионажа. «Мы решили, что наша служба электронной почты может теперь поставить под удар и нас, и нашу клиентуру, — говорит Джон Каллас из компании Silent Circle.

— Еще полгода назад все выглядело нормально, но сейчас, после откровений Сноудена, мы смотрим на ситуацию другими глазами». Теперь эти компании объединили свои усилия в разработке новой службы, которая будет называться Dark Mail и защитит как содержимое электронных писем, так и метаданные. Новый уровень секретности будет обеспечен за счет того, что шифры будут циркулировать только среди пользователей службы Dark Mail.

Повседневная защита

Стандартные протоколы, используемые в электронной почте, не позволяют прятать ту информацию, которая входит в метаданные. Можно лишь предложить способы защиты содержания писем. Когда вы входите в почтовый ящик, расположенный на почтовом веб-сервере, убедитесь, что вы используете стандартные сетевые протоколы безопасности SSL и TSL (адресная строка браузера будет начинаться с https и появится небольшой логотипчик с висячим замком).

Если у вас «почтовый клиент» под стационарный компьютер, убедитесь, что к SSL\TLS вы подключены через IMAP или POP. В противном случае ваши электронные письма будут отсылаться открытым текстом, доступным для чтения любому желающему. Кроме того, рекомендуем включить двухфакторную аутентификацию, добавочную защиту, которую предлагают три ведущие почтовые службы — Gmail, Yahoo и Outlook.

Экстренные меры

Те, кому всерьез необходимо защитить свою переписку от посторонних глаз, используют PGP (Pretty Good Privacy). Каждый пользователь получает пару ключей к шифровке — публичный ключ для кодирования и частный ключ для раскодирования. Публичный ключ доступен каждому, в то время как частный ключ пользователь хранит при себе. Посылающая сторона шифрует свое письмо с помощью публичного ключа принимающей стороны. В результате вместо письма получается какая-то абракадабра.

Поскольку ключи имеются только у посылающей и принимающей стороны, это сообщение не может расшифровать никто из оказавшихся на пути этого письма, включая и провайдера, обеспечивающего работу электронной почты. Правда, PGP не может скрыть метаданные, а кроме того, каждый из ваших корреспондентов тоже должен пользоваться службой PGP.

Мобильные устройства

Что делать? Удаляйте старые приложения.

Сейчас нет нужды разрабатывать какое-то новейшее устройство для слежки за гражданами. Оно уже есть и называется смартфон. Полицейские службы не жалеют денег на установку ловушек IMSI (то есть устройств, распознающих личность владельца мобильного телефона). Эти устройства встревают между мобильником и сотовой антенной. Благодаря такой технике можно, скажем, вычислить участников демонстрации или даже получить доступ к их переговорам. Такие же устройства могут купить себе и хакеры.

Кроме того, службы правопорядка могут с легкостью принудить к сотрудничеству сторонние компании, истребовав с них пользовательские данные. В 2011 году фирмы, обслуживающие мобильную связь, удовлетворили 1,3 млн запросов касательно информации об их клиентуре. Передавались текстовые сообщения, местоположение абонентов и другие сведения. В большинстве случаев клиенты, то есть владельцы мобильных телефонов, оставались не в курсе.

Солидные ретейлеры тоже не брезгуют данными о местоположении владельцев «трубок». Некоторые торговые сети пробуют сейчас, следя за телефонами, воспроизводить маршруты, которыми отдельные покупатели движутся по большому магазину. А ведь многие из приложений на мобильных телефонах могут передавать своим разработчикам данные о его местоположении, списки контактов и календарную информацию.

Повседневная защита

Первым делом удалите те приложения, которыми вы не пользуетесь: чем меньше приложений, тем меньше роботов-трекеров.

Экстренные меры

Служба Silent Phone может шифровать телефонные звонки ($10 в месяц, действует на платформах iOS и Android, правда, подписчиками должны быть обе стороны переговоров). Есть приложения, защищающие чаты IM и браузинг в сети. Предоплаченные телефоны меньше подвержены риску шпионажа, поскольку они не привязаны к какому-либо аккаунту. А если вы боитесь, что вас засечет IMSI во время какой-либо политической акции, лучше оставьте телефон дома.

Wi-Fi

Что делать? Шифроваться.

Всем известно, что, выходя в интернет через незащищенный роутер, вы автоматически становитесь жертвой любого охотника, вооруженного дешевеньким программным обеспечением. Настроившись на ваш канал, он сможет легко засасывать пакеты данных 802.11, летающие между вашим компьютером и устройством Wi-Fi. Это может произойти и в кафе, и прямо у вас дома.

В сентябре прошлого года суд постановил, что Google может понести ответственность за ущерб, связанный с перехватом частных домашних сетей Wi-Fi при использовании принадлежащих компании автомобилей системы Street View. Google в ответ заявляет, что все это лишь недоразумение, — чужие сведения по Wi-Fi использовались лишь для определения точек, где нестабильно принимался сигнал GPS.

Повседневная защита

Беспроводные точки доступа к интернету реализуются обычно с системами WEP (Wired Equivalent Privacy) либо WPA (Wi-Fi Protected Access). Они кодируют сообщения, проходящие между вашим компьютером и точкой доступа. Система WPA — более современное и более эффективное техническое решение.

Экстренные меры

Объедините частную виртуальную сеть с пакетом Tor, и вы почувствуете себя как за каменной стеной (конечно, не на 100%). А что вам даст большую защищенность? Полный отказ от использования Wi-Fi.

Источник

hacker 6

Лучший пароль — это ваш собственный череп

С появлением очков виртуальной реальности и новых интерфейсов возникает проблема надежных паролей в сети, не зависящих от клавиатурного ввода. Да и вообще люди забывают пароли, а человеческая память слаба. Теперь ученые изобрели новый способ для создания уникального пароля: с помощью звука от черепа пользователя.

Конечно, череп не издает некий неощутимый гул. Ничего подобного. Вместо этого устройства, наподобие Google Glass или очков виртуальной реальности, будут использовать так называемый репродуктор костной проводимости и запускать ультразвуковой сигнал прямо в череп пользователю. Затем микрофон на девайсе будет записывать, как этот сигнал станет отражаться внутри головы, и полученные уникальные результаты будут использоваться для идентификации пользователя в сети.

Столь необычный подход к биометрической идентификации был создан командой исследователей из Штутгартского университета и Института информатики Общества Макса Планка. В контролируемом эксперименте, в ходе которого 10 разных участников могли надевать и снимать устройство, когда им вздумается, новая система смогла узнать хозяев в 97% случаев.

Это, конечно, не 100%, которые нужны для официального внедрения технологии, но весь проект пока находится на стадии разработки и уже демонстрирует немалую степень надежности. Так что однажды вы сможете просто приложить смартфон к уху и таким образом разблокировать его, не тратя времени на введение пароля.

Источник

hacker 5

Как взломать платежную карту с чипом?

Хотя платежная карта со встроенным микрочипом является более защищенной, нежели аналоги на магнитной ленте, злоумышленникам удалось взломать ее защиту.

Пятеро французов были признаны виновными в манипулировании уязвимостями платежных карт с чипами еще в 2011 году, однако только к этому моменту экспертам удалось выяснить, каким образом преступникам удалось обойти PIN-коды на краденных картах.

Французские ученые из Высшей нормальной школы опубликовали исследовательскую работу, раскрывая дело пяти воров, которые были арестованы в период с 2011 по 2012 гг. за обналичивание ?600 000 с краденных кредитных карт. Использование рентгеноструктурного анализа и микроскопическое сканирование позволило выяснить, что преступники на самом деле вставляли второй чип в карты с микропроцессором.

Фальшивый чип, известный как FunCard позволял пропустить процедуру ввода PIN-кода в POS-терминалах многих фирм и посылал в систему аутентификации ложный сигнал, подтверждающий личность владельца карты.

До 2011 года понятие подмены PIN-кода на чипе было скорее теоретическим. Группа исследователей Кембриджского университета подозревала подобную уязвимость. Но французские хакеры впервые воспользовались ею на практике.

Европейские страны уже широко используют карты с микропроцессором, а США находятся в процессе перехода на этот способ оплаты.

Источник

hacker 4

Атака на TOR поставила под угрозу анонимность пользователей системы: создатели сети TOR предупреждают о возможной деанонимизации.

Известная многим «луковичная» сеть TOR была создана для обеспечения абсолютной анонимности пользователей. Теоретически, при соблюдении определенных мер предосторожности, найти пользователя TOR невозможно, именно поэтому сеть часто используется для не совсем законных операций вроде торговли наркотиками и оружием.

Создатели TOR признали, что сеть подверглась хакерской атаке, и анонимность пользователей, подключавшихся к ней с февраля по июль, не может быть гарантирована. Предполагается, что инициатором атаки был координационный центр CERT в Университете Карнеги-Меллон — одна из центральных организаций, занимающихся вопросами безопасности в Интернете, однако представители CERT утверждают, что не имеют к этому никакого отношения. По крайней мере, такое заявление было сделано на конференции Black Hat, посвященной вопросам информационной безопасности.

В то же время причастность CERT к атаке на TOR была бы хорошей новостью для его пользователей, поскольку в этом случае взломщики преследовали бы исключительно научные интересы, в то время, как цели других хакеров никому не известны. В любом случае, руководство сети утверждает, что уязвимость была ликвидирована и пользователи, установившие последние обновления, могут быть спокойны. Пока.

Источник

hacker 3

Топ 5

Комментарии

Читайте также: