«Жучок» у вас в кармане

   Правительство не прочь воспользоваться механизмами сбора данных в основе общепринятой в среде провайдеров практики предоставления бесплатных товаров и услуг в обмен на сведения маркетингового плана.

   В ходе завершившейся недавно бостонской конференции SOURCE эксперт по вопросам безопасности Брюс Шнаер (Bruce Schneier) заявил, что с ростом популярности смартфонов Интернет-пользователи практически становятся невольными носителями шпионских устройств, превращаясь в объект слежки со стороны правительства: «Сбор данных – это бизнес-модель в Интернете. Мы создаём системы, которые шпионят за пользователем в обмен на сервисы. Это называется маркетинг». Однако бо́льшую озабоченность вызывает то, как такая практика коммерческих структур облегчает задачу госорганам в слежке за гражданами: «В АНБ проснулись и подумали: “Компании шпионят в Интернете – надо этим воспользоваться”».

   Господин Шнаер объясняет устройство базовой модели существования Интернета с фундаментальной ролью экономики данных, где корпорации процветают за счёт бесплатных сервисов в обмен на возможность узнать всё больше и больше о жизни покупателя. Получая «бесплатные услуги» и «сервисы для вашего удобства», вы становитесь золотой жилой для компаний, вроде Google и Facebook, стремящихся получить в своё распоряжение ещё больше данных о пользователе с целью повышения эффективности рекламы: «Такая модель представляется мне пережитком феодального строя. В сухом остатке имеем базовую модель, предполагающую нашу роль как арендатора земельного надела у компаний, вроде Google. Обрабатывая их землю, мы создаём информацию». «Мы – это метаданные», – говорит Брюс Шнаер, имея в виду лакомые куски информации, сопровождающие контент, которым мы обмениваемся в Интернете напрямую или посредством других сетей с выходом в Интернет. Это значит, что важен не только сам контент, но и данные о соединениях в процессе обмена информацией: время отправки сообщения, местонахождение отправителя и получателя, а также регулярность обмена сообщениями.

   


Следить стало проще

   Бешеная популярность соцсетей и мобильных устройств упрощает деятельность по сбору сведений, которая, по словам господина Шнаера, вышла за рамки фразы «Держись вон той машины», имея в виду традиционный способ контроля за объектом путём следования за ним с учётом географии пребывания объекта. Сегодня актуальна фраза «Расскажите мне всё о передвижении вашей машины за последний месяц». В конце концов, метаданные оставляют след, и все мы являемся невольными участниками обширной деятельности по сбору информации.

   Масло в огонь подливает недавняя история с обнаружением в OpenSSL бага Heartbleed, позволяющего хакеру «выуживать» из памяти сервера блоки данных, включая пароли, ключи к шифрам и иную информацию. Как сообщается, влиянию бага подвержено около полумиллиона сайтов – т.е. примерно 66% сетевого пространства уязвимо к атакам. Особенно отмечается уязвимость таких порталов, как Yahoo, при этом другие сервисы – Gmail, Dropbox и аналогичные – приняли меры к защите или обновлению серверного оборудования в попытке противостоять угрозе Heartbleed.

   Более уязвимым элементом системы «клиент-сервер» традиционно считается сторона клиента. «Главная угроза исходит от пространства в окружении трещин, появление которых порой вызвано плохим управлением безопасностью на стороне клиента; конкретно, речь идёт о ключах и паролях, – сказал в интервью сайту VR-Zone Амит Коэн (Amit Cohen), соучредитель и главный исполнительный директор компании FortyCloud, специализирующейся в вопросах безопасности облачных систем. – Пользователям стоит внимательно относиться к паролям». Однако в случае с Heartbleed не поможет даже самый хитрый пароль и супернадёжный протокол шифрования, ведь объектом обмана становится сам сервер, который можно «убедить» предоставить данные третьим лицам.

   Помимо атак на сервер, уязвимость клиента могут спровоцировать атаки типа «человек посередине», когда в руках хакера уже находятся криптоключи от данных на сервере. По словам разработчиков компании Meldium, «всё, что говорит на языке протокола TLS с использованием OpenSSL, потенциально уязвимо к атакам». По сути, это «Hearbleed наоборот», способный составить угрозу клиентам, вроде браузеров, приложений и роутеров, а также открытым агентам, работающим с URL-ссылками (сайты популярных соцсетей, файлообменники и т.п.).


АНБ не в курсе?

   Смущает то, что АНБ (Агентство национальной безопасности США), как сообщает Bloomberg со ссылкой на «информированные» источники, было в курсе проблемы в течение двух лет, а сайт Falkvinge.net даже говорит о «щедром финансировании деятельности, связанной с тщательным анализом OpenSSL» и об $1,6 млрд в год, выделяемых АНБ на изучение вопросов в сфере обработки данных и эксплойтов.

   Однако АНБ отрицает это, а также то, что занималась использованием уязвимостей в своих целях: «Сведения о том, что АНБ либо иная правительственная структура были в курсе ситуации вокруг так называемого Heartbleed до апреля 2014 года, не соответствуют действительности, – заявила представитель Совета национальной безопасности США Кейтлин Хейден (Caitlin Hayden) в ходе пятничного брифинга. – Когда федеральные органы выявляют новую уязвимость в открытом или коммерческом программном обеспечении, своевременное раскрытие соответствующей информации в большей степени соответствует национальным интересам в противоположность сокрытию данных в интересах следственных органов или службы разведки».

   Слова АНБ звучат убедительно, если бы не одно «но»: в условиях экономики данных пользователи слишком сильно зависят от сервисов, способствующих сбору информации. В действительности те самые гаджеты, которые всегда с нами, – смартфоны, а в будущем и носимые гаджеты, вроде умных часов (smartwatch) – превратились в импровизированных «жучков» для агентов АНБ, которым особо даже не нужно озадачиваться – мы сами всё охотно купим.