Советник по кибербезопасности о защите данных, слежке и использовании анонимайзеров

Не так давно на Reddit в разделе IAmA появился тред, в котором Эрка Койвунен, советник по кибербезопасности в компании F-Secure, десять лет проработавший в финском правительстве, отвечает на вопросы пользователей о кибербезопасности и защите данных. Мы перевели самые интересные моменты из треда.

Перед тем как занять пост советника по кибербезопасности в компании F-Secure, я десять лет проработал на финское правительство. После этого я понял три вещи:

Правительства хотят, чтобы их граждане и предприниматели могли безопасно участвовать в жизни цифрового общества и никто не мог получить доступ к их частным данным.

Те же самые правительства хотят, чтобы у них был доступ к массивам данных, а также чтобы для них были созданы бэкдоры в системах шифрования.

Они в упор не видят иронии в сложившемся положении дел.

Что может сделать обычный гражданин?

Множество вещей.

Начнём с того, что для хорошего уровня защиты личной информации не требуется крупных денежных вложений. Достаточно убедиться в том, что устройство, через которое вы выходите в онлайн, достаточно оборудовано и пропатчено.

Время — вот что придётся вкладывать: хорошая защита подразумевает хорошую стратегию. Сёрфите интернет в режиме «инкогнито» и избегайте активного контента, cookies и всего, что отслеживает ваши перемещения в сети. Заметайте следы. Ограничивайте ущерб, который можно вам нанести, через использование индивидуализированных паролей. Распыляйте своё присутствие в сети, используя множество несвязанных аккаунтов.

Никто не может избежать утечек данных, но каждый способен повлиять на то, какой объём его информации становится доступен другим. Чем бы вы ни занимались, реалистично смотрите на то, какой цифровой след вы оставляете. Помимо прочего, это подразумевает то, кому вам придётся довериться вне зависимости от вашего желания.

Добавлю ещё пару ссылок.

Prism-Break — исключительный ресурс, который поможет вам сохранить конфиденциальность в интернете. 

Большинство сайтов отслеживают вашу онлайн-активность разными способами, в большинстве случаев для того, чтобы создавать таргетированную рекламу. Или продавать информацию о вас другим компаниям. Эти расширения помогут избежать этого. 

Чем еще стоит пользоваться: 

Для персональных компьютеров:

HTTPS Everywhere — автоматически включает шифрование SSL. По сути, это расширение форсирует защищённое соединение HTTPS на всех сайтах, где это возможно (ведь многие сайты работают по HTTP по умолчанию, даже если есть HTTPS-версия). Даже если пользователь пытается зайти на незащищённую версию, расширение всё равно перенаправляет его на HTTPS-версию, если такая доступна.

EditThisCookie — позволяет вам удалять, редактировать, создавать и блокировать cookies, которые хранятся в вашем компьютере.

Tab Cookies (Chrome), Self-Destructing Cookies (Firefox) — автоматически удаляют cookies сайта, как только вы закрываете его вкладку. 

uBlock Origin — эффективный блокировщик с кучей настраиваемых фильтров банящих рекламу и вредоносные домены, к тому же использующий меньше оперативной памяти, чем другие блокировщики. 

Disconnect — устраняет следящие cookies, скрипты и кнопки социальных сетей на веб-страницах. Расширение визуально очищает страницы, уменьшает нагрузку на ЦПУ и блокирует слежку со стороны Facebook, Google, Twitter, рекламных сетей, систем аналитики. 

Для мобильных устройств:

Android Browser Addons, iOS Privacy options

Экстремальные варианты:

TOR Browser, Tails

В заголовке вашего треда сказано: «Я знаю, почему правительства хотят получить больший доступ к вашим данным». Поясните это.

Правительства обязаны предоставлять нам безопасную и спокойную среду для жизни. Но многие из нас ужаснулись бы, если бы узнали, какие психопаты и экстремисты живут среди людей. Логично, что ребята из правительства и антитеррористических организаций хотят не только отслеживать опасных людей, группы и иные образования, но и обнаруживать их, а также предупреждать их действия.

Сам я работал в группе по реагированию на чрезвычайные и кризисные ситуации (CERT). Так что в каком-то смысле я могу понять мышление в духе «нужно получить всю информацию». Ведь отслеживание аномалий, восстановление линий событий и раннее их предотвращение — это твоя работа, так что вполне естественно, что ты хочешь быть там, где больше всего данных, и иметь доступ к их источнику. Однако есть множество случаев (и я не буду сейчас их подробно описывать), когда люди изрядно отвлекаются от цели миссии, фокусируясь скорее на стоге сена, чем на игле.

На мой взгляд, правительства прекрасно знают, какова цена (и в финансовом, и в социальном смысле) преобразований, в результате которых можно заставить каждого собирать, удерживать и выдавать властям все цифровые улики. Легко требовать неразумных вещей, когда по счёту платит кто-то другой. Вряд ли это можно назвать ментальностью в духе «права на забвение», правда?

Вот тут особенно заметна разница между философиями CERT и SIGINT. CERT оперирует данными пользователей с их согласия. А власти, руководствующиеся моделью SIGINT, собирают всё, легитимизируя это в лучшем случае приказами парламента страны или (как бывает во многих странах) приказами президента, премьер-министра, короля, королевы. Мне больше нравятся системы, в которых наблюдаемый субъект может отозвать своё согласие в любой момент.  

Какие из европейских стран наиболее агрессивно собирают наши данные?

Великобритания, как оказалось. Франция в этом плане редко появляется в публичном поле, но — увы — они также собирают изрядное количество информации.

У Германии сложилась репутация страны, заботящейся о безопасности данных своих граждан. И в то же время их разведывательные службы несколько раз находились в центре неприятных скандалов, связанных со сбором частной информации. Швейцария ведёт себя вполне открыто. 

Видели ли вы, как кто-то пользовался брешами в защите частной информации?

Конечно. Но на всякий случай: я таким не занимался. На моей прошлой работе в CERT-FI мы постоянно сталкивались с вбросами персональной информации, собранной хакерами и им подобными. В F-Secure мы изучаем компьютеры жертв и находим сайты, где выкладывается украденная информация. Так что да, таких случаев я видел изрядно. Сам я — и так было всегда — работал в «бизнесе извещения жертв». 

Как думаете, криптозащита всех наших жёстких дисков, смартфонов, ноутбуков и использование TOR и VPN должны быть стандартной практикой?

Использовать TOR для обычного интернет-сёрфинга глупо, если вы просто заходите в Facebook, Instagram, электронную почту и так далее. TOR сделан для анонимности, а если вы, желая держаться в тени, логинитесь в свой аккаунт в Facebook, весь смысл его использования теряется. Или если вы, анонимно просматривая сайт онлайн-магазина, вводите свой почтовый адрес и данные карты.

Плюс даже через TOR можно легко деанонимизироваться, если неправильно себя вести, например качать большие объёмы файлов.

Быть анонимным сложно, все эти сервисы надо использовать только тогда, когда это необходимо, но определить такие случаи само по себе непросто. В ходе майнинга данных сложно определить, какие из них полезны, а какие нет, и мы никогда не узнаем, кто и зачем их использует. И чем меньше данных идёт по определённому маршруту в TOR, тем ниже её важность. При этом уникальный User Agent позволяет легко выделить конкретного пользователя, но UA — это точно не единственный способ такой деанонимизации.

Если я хочу скрыть свой IP от сайта, который посещаю, TOR или VPN — это подходящий инструмент. Если я хочу скрыть свои данные от тех, кто сканирует трафик, TOR — это правильный выбор, если им правильно пользоваться, что отнюдь не просто (TBB значительно упрощает процесс). Также вам не стоит запускать javascript на этих сайтах.

Безопасность — это сложно; анонимность — не легче. Чем больше ты знаешь, тем лучше будешь заметать свои следы. Проблема в том, что для большинства людей тратить время на всё это попросту непрактично, так что стоит хотя бы следовать моим простым советам. Если ты знаешь, когда и где использовать TOR, он будет приносить пользу. И помните: достаточно один раз оступиться (например, залогиниться в Facebook), и всё, анонимность коту под хвост. Ошибки допускать нельзя.

И не используйте VPN в связке с TOR, если в этом нет определённой необходимости. Если у вас есть купленный аккаунт VPN и вы используете TOR, чтобы в него залогиниться, то всё, вы привязали свою активность в TOR к конкретному аккаунту. Я видел, как люди совершают такие ошибки. VPN и TOR могут быть очень полезными, если вы хотите скрыть тот факт, что вообще пользуетесь TOR. В VPN могут об этом знать, но до интернет-провайдера эта информация не дойдёт.

Как правительства собираются ограничивать неизбежные злоупотребления властью, которой они так стремятся обладать?

Власти не спешат признавать то, что система сама по себе стремится к злоупотреблению властью. Механизм контроля этого, скорее, напоминает уловку, когда правительство просто заявляет, что у них всё под контролем.

Самый эффективный механизм контроля злоупотреблений властью — это снижение власти до минимума. Например, в контексте Великобритании это означает, что вместо обсуждения условий, на которых власти могут получать доступ к массивам данных, они бы вообще эти данные не собирали. 

Как думаете, какая из двух упомянутых линий поведения больших правительств всё же победит?

У меня есть два варианта, один позитивный и воодушевляющий, а второй — более прагматичный.

Позитивный вариант: доступ обычного человека к средствам киберзащиты и криптографии никогда не был так широк. Правительства не могут запретить математику и инновации. В политических кругах есть серьёзные группировки, ратующие за защиту персональных данных и свободу использования шифрования.

Прагматичный вариант: для разведывательных и правоохранительных органов цифровые коммуникации уже давно являются ценнейшим источником информации. Текущую ситуацию, когда у людей есть доступ к защищённым каналам связи, они рассматривают как аномалию. Аномалию, с которой скоро разберутся.