Самый известный хакер поделился опытом защиты личных данных

Россия+7 (910) 990-43-11
Обновлено: 2019-07-10

Если вы хоть немного похожи на меня, то утром, когда поднимаетесь из постели, Вы проверяете свою электронную почту. И, быть может, как и я, задаетесь вопросом, мог ли кто-то ещё прочитать мою переписку. Поверь мне, это не имеет ничего общего с паранойей. Если вы используете бесплатные учетные записи электронной почты, такие как Gmail или Outlook 365, – ответ очевиден и вызывает тревогу.

Девушки закрывают лицо от фотоаппарата

Даже если Вы удалите сообщение после его прочтения, Вы не избавитесь от него навсегда, его копия все равно где-то сохранится. Так как электронная почта работает на основе облака, доступ к ней в любое время и с любого устройства обеспечивают резервное копирование. Если вы используете, скажем, Gmail, копия каждого отправленного или полученного сообщения сохраняется на серверах Google, разбросанных по всему миру. По такому же принципу работают другие провайдеры электронной почты: Yahoo, Apple, AT&T, Comcast и Microsoft.

Каждый отправленный вами e-mail может быть исследован хостинговой компанией. Официально мониторинг электронной почты служит для защиты от вирусов, но в реальности всё по-другому: третьи лица могут и, на самом деле, имеют доступ к вашей переписке из совершенно других, неальтруистических побуждений.

Убедился в этом на собственной шкуре житель Северной Каролины, Стюарт Даймонд. Используя электронную почту Yahoo, он в какой-то момент понял, что реклама в правом верхнем углу не является случайной, она имеет связь с содержанием отправляемых и получаемых сообщений.

Предположим, что Вы в одном из своих писем сообщите другу об ожидающей Вас поездке в Дубай, тогда в почтовом ящике очень быстро появятся объявления авиакомпаний, отелей и достопримечательностей ОАЭ. Такого рода практика, как правило, описаны в правилах использования сервиса, но большинство из нас принимает условия, не утруждая себя чтением.

Кроме того, зачем смотреть рекламу, которая не соответствует нашим индивидуальным предпочтениям, не так ли? Однако, Стюарт и, независимо от него, другой житель этого же штата Дэвид Саттон, заметили что-то другое – в почте Yahoo реклама может быть связана с информацией, полученной от пользователей других сервисов. Это стало доказательство того, что эта компания захватывает и проверяет содержание всех писем, а не только тех, которые отправлены через собственные серверы.

На основе своих наблюдений оба мужчины в 2012 г., от имени 275 миллионов пользователей почты Yahoo, выступили с иском против компании, обвинив её в нарушении конфиденциальности, столь же предосудительном, как незаконное прослушивание телефонных разговоров. Тяжба всё ещё продолжается.

Если Вы понимаете, что выхода нет, то хотя бы постарайтесь затруднить наблюдение за вашей электронной почтой правительственными учреждениями и корпорациями.

Используйте ключи для защиты электронной почты

Большинство поставщиков услуг электронной почты шифрует сообщения, циркулирующие между почтовыми серверами. Тем не менее, это не стандарт. Может случиться так, что ваш адрес электронной почты, передаваемый в незашифрованном виде, станет доступен каждому.

Что-то подобное происходит, в частности, в отношении деловой почты, чтобы в неё мог заглянуть начальник. Поэтому, если вы не хотите, чтобы кто-то другой, кроме получателя, видел вашу переписку, вы должны шифровать свои сообщения.

В чём заключается шифрование? После этой операции публичное сообщение становится непонятным для третьих лиц. Один из самых простых методов шифрования – шифр Цезаря: каждая буква исходного текста заменяется на другую, отдаленную от неё на фиксированное число позиций в алфавите. Конечно, сегодня используются гораздо более сложные и более безопасные системы, чем шифр Цезаря. 

Шифрование сообщений электронной почты основано на, так называемой, асимметричной криптографии. Она предусматривает создание двух ключей: закрытого, хранящегося на вашем устройстве, известного только владельцу, и публичного, опубликованного и широко доступного в сети. Эти ключи отличаются друг от друга, но связаны общей математической конструкцией.

Чтобы лучше объяснить механизм этого типа шифрования, давайте рассмотрим пример. Предположим, что Боб хочет послать Алисе зашифрованный e-mail. С этой целью он ищет в сети её открытый ключ (он также может получить его непосредственно от неё) и с его помощью шифрует, предназначенное для неё сообщение. Оно будет зашифровано до момента, когда Алиса (и никто кроме неё) использует секретный ключ, благодаря которому она сможет прочитать сообщение.

Каким образом шифровать содержимое сообщений электронной почты? Наиболее популярным инструментом для шифрования является протокол PGP (Pretty Good Privacy). Это коммерческий продукт компании Symantec Corporation, но его создатель Фил Циммерман разработал также версию с открытым исходным кодом под названием OpenPGP.

Также доступен третий вариант – бесплатная утилита GPG (GNU Privacy Guard) авторства Вернера Любита. Радует, что они совместимы – независимо от того, какую версию PGP вы используете, основные функции такие же.

Используйте полное шифрование

Как я уже говорил, целью шифрования является защита тела сообщения, чтобы оно было доступно только для лиц с действительным ключом для чтения. Его эффективности, то есть о том, как легко без него взломать данный шифр – зависит от его вычислительной сложности и размера.

Используемые в настоящее время алгоритмы шифрования являются общедоступными и открытыми, какие я и рекомендую использовать. Я не рекомендую пользоваться ограниченными и закрытыми алгоритмами.

Преимущество открытых алгоритмов заключается в том, что они были подвергнуты тщательной проверке на наличие слабых мест. Проще говоря, очень многие профессионалы пытались из взломать. Каждый раз, когда кто-то находил слабое место, его устраняли и алгоритм становился надежнее.

В отличие от алгоритмов, ключи шифрования находятся, в большей или меньшей степени, под нашим контролем. Потому, нетрудно предугадать, что с ними следует обращаться очень внимательно. Если Вы создаёте ключ самостоятельно, записываете и храните на своём устройстве, то только вы должны иметь к нему доступ.

В случае шифрования сообщений, реализованным поставщиком услуг электронной почты, например, в облаке, он имеет доступ к созданному для вас ключу шифрования. Проблема в том, что он может быть – по решению суда – предоставлен правоохранительным органам или правительственным службам, даже без ордера. Поэтому всегда следует ознакомиться с политикой конфиденциальности службы, которую вы используете для шифрования электронной почты, и узнать, кто является владельцем ключей.

Шифруя свои сообщения – электронные письма, SMS-сообщения или телефонные звонки – вы должны использовать, так называемое, полное шифрование (end-to-end). Это позволяет зашифрованному сообщению во время передачи оставаться нечитаемым, дешифрованным только после достижения получателя на его устройстве.

В этом режиме только вы и получатель владеете ключами расшифровки – не оператор, не провайдер или владелец приложения, то есть третьи лица, от которых правоохранительные органы или органы власти могут требовать предоставления ключей.

Как узнать, что сервис шифрования работает в режиме end-to-end? Эту информацию можно найти в Google. Если окажется, что она не работает в таком режиме, следует искать что-то другое. Я признаю, что это может показаться сложным.

Но, к счастью, существуют плагины для браузеров Chrome и Firefox, которые упрощают процесс шифрования. Один из них – это Mail velope. Достаточно ввести свой собственный пароль, для создания публичных и частных ключей PGP. Затем он выбирает конкретного получателя и, если его открытый ключ широко доступен, вы можете отправить ему зашифрованное сообщение.

Скрывайте метаданные

Даже если сообщение электронной почты зашифровать с помощью PGP, его элементы, содержащие важную информацию, остаются читаемыми практически для каждого. Это метаданные.

Американское правительство, защищая себя от обвинений после скандала Сноудена, неоднократно подчеркивало, что не имело доступа к содержимому зашифрованных сообщений, а только собирало метаданные.

То есть, что? Адреса отправителя и получателя, IP-адреса серверов, через которые проходит сообщение, прежде чем дойдет до получателя, а также тему, иногда содержащую важные сведения, относящиеся к зашифрованному содержимому.

Метаданные – это наследие тех времен, когда интернет делал «первые шаги», но они всё ещё присутствуют в большинстве писем.

Сервис PGP, независимо от того, какую версию использовать, не шифрует метаданных e-mail, то есть поля: Кому, От, Тема и Дата. Они остаются в явном виде (даже если их невидно) и могут быть доступны для других.

На первый взгляд сбор метаданных может показаться безобидным – в конечном счете, текст сообщения остаётся недоступным. Вас, наверное, мало интересуют даты и техническая информация о пути, который совершают в сети ваши e-mail (IP-адреса серверов). Поверьте, вы будете неприятно удивлены, когда узнаете, как много можно получить из этих данных и частоты использования путей.

Среди метаданных можно обнаружить IP-адреса серверов с разных уголков мира, через которые письма должны пройти, прежде чем достигнут получателя. Каждый из них, как и любое лицо, подключающееся к интернету, имеет свой уникальный IP-адрес, т.е. номер определяется на основе вашего местоположения и поставщика услуг интернета. Состоит из последовательности цифр, определяющих отдельные страны, поставщиков и виды услуг: подключение модема, доступ проводной или беспроводной. Постоянный IP-адрес также связан с абонентским счетом и домашним адресом.

Например, если отправитель письма имеет IP-адрес 27.126.148.104, Вы будете знать, что он пишет из штата Виктория в Австралии. Но предположим, что вы получили сообщение от пользователя с IP-адресом 175.45.176 – связанным с Северной Кореи. В этом случае ваш аккаунт может быть выбран для проверки службой безопасности. Кого-нибудь наверху может заинтересоваться, с какой целью Вы получаете письма из этой страны, даже если в теме письма написано: «С Днём рождения!».

Информация об адресах серверов, на самом деле, может оказаться обманчивой, но частота контактов выдаёт гораздо больше. Она позволяет идентифицировать отправителя и получателя, а также определить их расположение и сделать выводы о соединяющих их отношениях.

Возьмем, к примеру, телефонные метаданные: длительность звонков, время суток, когда они выполняются, и другие подобные сведения. Нетрудно будет определить психическое состояние человека, который звонит в десять вечера на «синюю линию» (телефон для жертв насилия в семье) и приводит десятиминутный разговор или в полночь звонит по телефону доверия для самоубийц, стоя на Мосту Бруклина.

Команда из Dartmouth College создала даже специальное приложение, которое на основе данных, зарегистрированных датчиками, позволяет выявить у студентов стресс, депрессию, чувство одиночества и может связать их с результатами в учебе.

Не сообщайте свой IP-адрес

Как вы уже знаете, каждый раз, когда вы подключаетесь к интернету, вы используете IP-адрес, присвоенный этому подключению. Это большая проблема для тех, кто пытается быть невидимым в сети.

Даже если вы указываете вымышленные имя и другие данные, благодаря IP-адресу можно легко определить ваше местоположение и провайдера интернет, а, следовательно, идентифицировать человека, который платит за подключение к интернету (вы или кто-то с Вами связанный).

Конечно же, IP-адреса в сообщениях электронной почты можно подделать. Один из способов – это использование прокси-серверов, то есть посредников. Он позволяет использовать чужой IP-адрес, так что создается впечатление отправки e-mail из другого места. Таким образом, отправитель из Северной Кореи, может скрыть личность, используясь прокси-сервер из Китая или Германии.

Другой способ скрыть IP-адрес – это использование анонимного ремайлера. Это название скрывает в себе сервер, на который вы отправляете сообщение с инструкцией, куда оно должно быть отправлено. Таким образом, получатель не видит вашего настоящего адреса, но может ответить – также с помощью анонимного ремайлера.

Используйте сети TOR

Ещё один способ скрыть свой собственный IP-адрес – использование виртуальной компьютерной сети Tor.

Как работает Tor? Его отличительной особенностью является необычное соединение с интернетом. Обычно, после входа в сеть, Вы открываете браузер и набираете в ней адрес сайта, который хотите посетить. Браузер отправляет запрос к оператору этого сайта, а долями секунды позже вы получаете ответ в виде его кода.

На основе вашего IP-адреса программное обеспечение сайта получает также иную информацию о вашем провайдере и физическом местонахождении.

При использовании Tor, прежде чем попасть на целевую страницу, ваш запрос проходит через множество распределенных узлов (веб-прокси). В дополнение, каждые десять секунд выбирается новая случайная траектория узлов. Узлы эти накладываются друг на друга, как слои луковицы (название TOR происходит от английского термина «The Onion Router» – луковый маршрутизатор).

Другими словами, пользователя Tor невозможно отследить и идентифицировать, потому что путь подключения постоянно меняется. При условии, что выходной узел и узел ввода не будут связаны друг с другом, он может перемещаться по сети совершенно анонимно.

Tor можно настроить так, чтобы он использовал выходные узлы в определенной стране, и даже городе. Использование Tor требует наличия модифицированной версии браузера Firefox. Её можно скачать с сайта torproject.org. Используйте только оригинальный браузер, предназначенный для данной операционной системы, размещенных на веб-сайте Tor Project.

Подводя итог, необходимо отметить, что использование Tor имеет следующие недостатки: его пользователи не имеют влияния на выбор выходных узлов, есть риск, что они попадут в находящийся под контролем правительственных учреждений или правоохранительных органов; существует риск, что кто-то узнает ваш профиль и установит вашу личность; Tor работает очень медленно.

Если, несмотря на эти неудобства, Вы все равно собираетесь использовать Tor, не запускайте его на оборудовании, которым пользуетесь каждый день. Другими словами, кроме обычного ноутбука, заведите себе отдельное устройство, исключительно для анонимного использования.

Будьте всегда осторожны

Конечно, существуют сервисы анонимной электронной почты без авторизации. Кроме того, если у вас нет ничего на совести, и Вы не боитесь правоохранительных органов, вы можете создать учетную запись в Google или другом популярном сайте, и использовать для звонков номер Skype.

Предположим, однако, что вы применили все доступные меры предосторожности: вы использовали Tor, чтобы скрыть свой IP-адрес, открыли аккаунт в Gmail, никоим образом не связанный с номером телефона, используемым вами каждый день.

Но, анонимность можно будет сохранить, если адрес электронной почты никаким образом не будет связан с вашей личностью. В общем, анонимный почтовый аккаунт используйте только с помощью Tor, который скрывает IP-адрес. Никогда не посещайте веб-сайты, когда вы вошли в анонимную почту, потому что бессознательно вы можете оставлять следы, позволяющие Вас легко идентифицировать.

Обеспечение и поддержание анонимности в сети требует от нас огромной дисциплины и постоянного внимания, но стоит постараться, если мы хотим оставаться «невидимыми».

Постарайтесь запомнить: выполнив описанные выше меры безопасности выборочно, вы рискуете быть разоблачены. Но даже когда вы применяете их абсолютно все, вы должны быть начеку.

Советами поделился Кевин Митник – один из самых известных хакеров в мире. Арестован ФБР, провел пять лет в заключении. В настоящее время управляет своей собственной компанией, занимающейся безопасностью в сети. Утверждает, что может украсть личность каждого пользователя в течение трёх минут.


5.0/1