По-хорошему, статья должна была быть посвящена скандалу в США, где внезапно обнаружилась система слежки, а также неожиданно было озвучено, что крупнейшие компании сотрудничают в этом деле с государством. Но, по сути, все уже было сказано в статьях про наш СОРМ и их «Эшелон» – за нами следили, следят и будут следить. Точнее не так. Спецслужбы и компании анализируют проходящий через них трафик в поисках нужной информации, и, если таковая найдена – предпринимают соответствующие меры: органы ставят на контроль подозрительного гражданина, компании предлагают пользователю своего сервиса некие подходящие под его интересы услуги и данные.
Вопрос даже не в факте слежки, а в чистоте рук и полноте собираемой информации. Если российской компании внезапно отказывают на Западе в получении кредита или заключении сделки, только наивный будет думать, что негативные данные о компании получены исключительно из открытых источников. Если есть доступ к информации, то всегда возникает соблазн им воспользоваться. Естественно, в благих целях. Как может быть иначе? Нужно же защитить свой рынок от наглых пришельцев!
Формально все спецслужбы, анализируя трафик, не собирают персональные данные без ордера. Трафик анализируется на ключевые слова, определенные словосочетания и т. д. Но на практике всегда есть место и ошибкам, и расширенному толкованию законов.
На протяжении целого ряда лет было принято считать, что приметные автомобили Google, оснащенные фотокамерами на штативе, просто делают в разных городах и странах фотографии местности для развития сервисов Google Earth и Google Maps. Затем вдруг стало известно, что те же самые автомобили помимо фотографирования ландшафтов еще и по-тихому собирали информацию обо всех открытых Wi-Fi-сетях на пути своего следования. А в мае 2010, разразился большой международный скандал, поскольку компетентные органы Германии поинтересовались лог-файлами «гугломобилей», снующих по их стране, и установили, что собирались не только имена Wi-Fi-сетей (SSID) и MAC-адреса подключенных к ним устройств, но также попутно перехватывалась и записывалась передаваемая в этих сетях информация. Перехваченные данные легко могут включать в себя письма или фрагменты электронной переписки, логины и пароли доступа пользователей и прочую важную информацию.
Летом того же 2010 года Washington Post опубликовала результаты расследования своих журналистов, посвященного гигантски разросшемуся за последнее десятилетие разведсообществу США. Среди массы собранных репортерами фактов, в частности, прошли сообщения и о том, что Google занимается поставками специализированных программных средств картографирования и поиска информации для военных и разведслужб США. Причем целому ряду сотрудников Google для работы с правительством предоставлены серьезные допуски к гостайнам уровня Top Secret.
Опять же в теории для доступа к данным нужно судебное решение по каждому подозреваемому. На практике все выглядит куда прозаичнее.
Ну и есть разница в технологическом подходе. Если откровенно богатая Америка строит гигантские датацентры и там анализирует и хранит поступающие данные, то в не столь богатой России затраты переложены на провайдеров, которые за свой счет должны покупать и устанавливать спецаппаратуру. Естественно, в этом случае и качество анализа соответствующее – можно контролировать небольшую часть данных, да и совместный анализ данных, поступающих через нескольких провайдеров в течении длительного срока, мягко говоря, затруднен.
Но жить как-то в этом мире излишне любопытных Варвар надо, и далеко не всем хочется выставлять себя напоказ. Традиционный вопрос: что делать?
Почему-то в виртуальном мире мы доверяем незнакомцам. В мире реальном мы не отдаем свои документы первым попавшимся людям (посылки через проводников не в счет), в мире виртуальном мы передаем и храним конфиденциальную информацию с помощью компаний, которые не давали нам никакой гарантии конфиденциальности этих данных и недоступности их для кого бы то ни было. При этом мы априори доверяем зарубежным фирмам и сервисам, будучи уверенными, что «в демократических странах наши данные, как в швейцарском сейфе». Но в современном мире счет в Швейцарии – давно уже не гарантия анонимности…
Предположим, мы поумнели и поняли, что все наши действия просвечиваются заинтересованными службами (как правило, конечно, следят не непосредственно за нами, но контролируют некие действия, и только в случае их совершения мы попадаем под плотный контроль), данные анализируются в рекламных целях, а результаты анализа (а иногда и сами данные) передаются третьим лицам.
Предположим, мы переселились из нашей уютной квартиры, в которой всегда можем задернуть и купить шторы в Москве, в прозрачный стеклянный дом, где все на виду. Как сохранить приватность? Как общаться так, чтобы об этом не стало известно всем и каждому?
Прежде всего определим степень «прозрачности». Есть два основных варианта:
- Правительство и спецслужбы страны заинтересованы в тотальном контроле за своими гражданами.
- В информации граждан в первую очередь заинтересованы коммерческие компании. Госслужбы занимаются, как правило, своими делами и только время от времени проводят некие акции по ловле пиратов / оппозиционеров / агентов влияния – по политическим запросам или с целью отстрела особо обнаглевших/отмороженных.
В первом случае несчастным жертвам тоталитарного/демократического контроля не светит ничего. Что бы ни применялось для сокрытия своей деятельности гражданами, в любом случае трафик проходит через провайдеров, на уровне которых можно запретить использование любых нежеланных приложений и протоколов – даже если эти приложения и протоколы вкладываются в иные, легальные (так, например, поступает Skype – его шифрованный трафик идет внутри канала, используемого, скажем, браузерами, или, говоря правильно, инкапсулируется в HTTP-трафик). Наиболее защищены системы, не имеющие централизованно управляемого пула серверов (те же «торренты»), но и они поддаются запрету. Остается сокрытие информации путем «размазывания» ее среди легальных данных (стеганография), но, во–первых, для этого нужны специальные приложения (и, кстати, не забываем, что при тоталитарном контроле все операционные системы и основные используемые приложения никак не гарантированы от внедрения контролирующих систем, а использование для выхода в Интернет неодобренных государством программ может быть ограничено), а во–вторых, большие объемы данных так не передашь – это, скорее, действительно больше подходит для шпионов.
Максимальную степень защищенности дало бы создание собственного Интернета (такие проекты существуют и сейчас - например, проект Hyperboria). Но эффективно это было бы в случае с завозом/созданием аппаратуры (вспоминаем деятельность радиолюбителей в Советском Союзе). И будет пресекаться путем анализа эфира (все помнят фильмы о войне и машины радиопеленгации, ищущие источники передачи? Судьбу «новых радистов» каждый может представить себе сам – вплоть до перевербовки для раскрытия участников «нового сопротивления»).
Гораздо интереснее второй вариант степени «прозрачности». По сути это текущее состояние сети Интернет и нынешняя реализация систем контроля.
Если вы хотите, чтобы важная информация не попала в не те руки – не храните ее. Учитесь правильно удалять данные. Ознакомились с документом – сотрите его. Нельзя стереть – зашифруйте жесткий диск или создайте на нем скрытую зашифрованную область. Не храните информацию в Сети (в блогах, социальных сетях, сетевых хранилищах – все они индексируются поисковыми системами «в целях вашего удобства и для того, чтобы вы могли сами найти нужную информацию»), а также в электронной почте, Используйте надежные пароли и постоянно их меняйте. Не используйте один и тот же пароль для доступа к различным сервисам. При заполнении информации о себе на различных сервисах не описывайте себя – придумайте виртуальную личность. Не храните информацию в компьютере, подсоединенном к Сети или тем более имеющем возможность удаленного управления. Помните о том, что мобильные устройства могут быть заблокированы, информация на них удаляется с трудом – и всегда существует риск, что производитель ОС вашего мобильного может использовать информацию о вас без спроса. Для доступа к носителю с данными используйте брелоки или ключи e- или ru-token.
Закрылись? А теперь подумайте – чем вы закрылись? Вы использовали программы с закрытым кодом, скачанные из Интернета, и предустановленную операционную систему (и все ставили на компьютер, функции прошивки компонентов которого вам в общем-то неизвестны)? И вы уверены, что во всем этом нет неведомых вам функций?
Отлично. Все установлено из проектов с открытым кодом. Надо все это добро настроить. А большинство из нас – не специалисты по настройке и анализу защищенности. Ну да ладно – люди свободного мира должны уметь защищаться, но вот проблема: все установленное должно обновляться, ибо «дыры» и ошибки реализации есть везде и всегда, и их нужно оперативно закрывать. Люди свободного мира должны анализировать каждый патч. Грустно, но это так: мы не можем доверять никому – знакомый по переписке может давать советы согласно «рекомендациям свыше», ранее независимые разработчики могут пойти на сотрудничество с властями или банально захотеть получать деньги для пропитания семьи, серверы обновлений могут быть взломаны хакерами – прецеденты бывали (засада с обновлениями может быть еще и в том, что введение вредоносного кода может проходить в несколько приемов. Желающие могут прикинуть объем кода, который нужно постоянно держать в памяти).
Вырисовывается грустная картина – люди свободного мира должны быть параноиками, не доверяющими никому и ничему, но при этом уникальными специалистами по анализу кода, настройке безопасности и многому другому. Правда, и тут есть одно «но». Чтобы стать специалистом, нужно получить нужную информацию, а ее распространение не то чтобы может блокироваться, но размываться в потоке иных данных. Скажем, сколько процентов пользователей Интернета знают о настоящей задаче антивируса на данный момент? О том, что количество неизвестных любому антивирусу вредоносных программ на момент их проникновения составляет уже десятки процентов от их общего числа, и задача антивируса – не только ловить проникающее «на лету», но и уметь обезвреживать уже попавшие в систему вредоносные объекты? А ведь это - никем не скрываемая информация, и таких примеров много.
Вывод. Свободные люди-одиночки невозможны по определению. Нельзя знать все – это опция доступна только богу. Но есть иной путь – гражданского сознания и контроля. Да, в США спецслужбы следили (кто из спецслужб без греха?), но все тайное рано или поздно станет явным и тут важно не хаять власть, а формировать общественный запрос на изменение ситуации и уметь добиваться своего. Сила демократии в свободном объединении свободных людей. Заглянем в Конституцию?
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Президент – гарант Конституции. Если Конституция не исполняется – кто в этом виноват? Тот, кто нарушает, или те, кто с этим смирился?
