Останнім часом, зважаючи на неприємні новини з-за океану про відміну Конгресом США вимог щодо приватності метаданих відвідування інтернету, досить часто постає питання “а що ж робити?” Відклавши політичні та суспільні компоненти проблеми, якими най опікуються резиденти та громадяни Штатів, перейду до суто технічного розв’язання. Коли мова йде про вашого інтернет-сервіс провайдера (ISP), є два популярні та дієві способи приховати від нього практично всю вашу активність в мережі. Це Tor та VPN.
Tor здійснює трошки більше ніж просто приховування вашого трафіку. По суті це величезна розподілена мережа, яка шифрує трафік від вашого пристрою до точки виходу з неї (але не за її межами), та при цьому додає вашим діям відносної анонімності. Відносної, тому що абсолютної анонімності в інтернеті немає, проте Tor це непоганий варіант, якщо вашим опонентом є “вичіслітєль по ІР”, а не FBI чи ФСБ. Хоча щодо ФСБ в мене сумніви, але я б не радив ризикувати.
Віртуальна приватна мережа (VPN) анонімності не гарантує, але від прослуховування на обладнанні інтернет-провайдера захистить. Під’єднуючись до VPN, ви встановлюєте зашифрований тунель від вашого пристрою до серверу VPN-провайдера (або вашого власного VPN-серверу, якщо аж настільки припекло). Звісно ж, VPN-провайдери теж не янголи, але більшість з них отримує за послуги ваші гроші, а не гроші рекламодавців, жадібних до журналів ваших відвідувань. Отже, є VPN-провайдери з гарною репутацією, яких не соромно й друзям порадить.
Важливе зауваження. Ані Tor, ані VPN не гарантують вам приватності за межами мережі/тунелю. Отже, використовуючи ці технології, переконайтеся, що “завертаєте” в них лише комунікації, які самі по собі захищені шифруванням. Тобто, що відвідуєте веб-сайти по протоколу HTTPS та спілкуєтеся з друзями в програмах, які здійснюють шифрування даних. В противному випадку, особливо коли мова йде про Tor, ваші дані можуть опинитися навіть в більшій небезпеці, ніж зазвичай.
Очевидно, тепер до переліку суб’єктів, від нам яких слід приховувати метадані, треба додати й постачальників послуг, якими ми користуємось. Таких як, наприклад, Slack, що заблокував цілу купу користувачів, які нещодавно побували на підсанкціних територіях.
Originally published at blog.styran.com on April 8, 2017.
Напевно, всім знайомі оці прикольні “тести”, які видають вам правду жізні лишень отримавши “доступ до вашого профілю у Facebook та списку друзів”. Дехто навіть підозрює, що вони становлять загрозу приватності. Але більшість вважає, що їхнє ім’я та email не є великою таємницею, а список друзів можна подивитися в профілі, отже… в мене нема чого красти.
Розбазарювати чи ні список друзів, це окрема цікава тема, але сьогодні давайте поговоримо про ваш профіль. Якщо ви вважаєте, що творців подібних “тестів” цікавить хто ви є і як з вами зв’язатися — ви наївно помиляєтесь. Насправді їх цікавить, які сайти ви відвідуєте, які посилання на них клікаєте, та які дані в них вводите. “Але ж Фейсбук про це не знає!” — скажете ви. І це буде помилкою.
Кожен раз, коли ви заходите на веб-сайт, який має на ньому видиму (або не дуже) порцію коду з Facebook, ви ділитися з ним даними про це відвідування. Цей код може виглядати як кнопка поширення сторінки в ФБ, але для того, щоб ваш візит був зареєстрований в ФБ, вам не потрібно поширювати сторінку. Вам досить просто її відвідати. Щоб картинка була повною, додам, що для збирання цих даних ФБ зовсім не обов’язково, щоб ви були в ньому залогінені або навіть зареєстровані.
Дані про наші відвідування збираються та систематизуються у великих-превеликих базах даних, користуватись якими потім можуть клієнти Facebook — тобто ті, хто платить за це гроші. (Якщо ви вважали, що є клієнтами ФБ, мушу вас розчарувати: ви в цій схемі — товар. У вас навіть артикул є — це ваш рекламний ідентифікатор.) Отримавши доступ до цих даних, клієнти можуть тонко настроювати параметри реклами, яку вони поширюють через ФБ. Наприклад, націлюючи її на чоловіків у віці 18–35 років, які неодружені та полюбляють мотоцикли. Тобто відвідують веб-сайти мотоклубів та ділерів і не дай боже колись клікали посилання на весільні агентства або лайкали весільні фотки із своїм обличчям десь по центрі. Якщо ви колись опинялися в ситуації, коли шукали певний товар в інтернеті, а потім заходили в ФБ та одразу ж натикалися на рекламу цього товару — ось вона, магія таргетованої реклами.
Але це ще пів біди: вся ця кухня відбувається в межах ФБ та більш-менш контрольована. “Соціальна мережа” (а насправді — величезний оператор персональних даних про наші дії в інтернеті та не тільки) виступає ніби посередником між нами (товаром) та рекламодавцями (клієнтами). А тепер уявіть собі, що хтось крім ФБ “сидить” на тих самих вебсайтах та збирає ту саму інформацію, але не в змозі її співставити з вашою персоною. Аж раптом він отримує ваші персональні дані та рекламний ідентифікатор, причому майже безкоштовно. На цьому в мене все.
Прилетіло “в приват”” чергове “в мене нічого красти”, цього разу на тему геолокаціі. Але не пасивно-агресивне, як зазвичай, а вже інтригуюче та зацікавлене. Це дуже радує! Значить ми тут не дарма і народ потроху починає прозрівати в плані загроз кібербезпеки.
Отже, чому не можна користуватися Яндекс-пробками та іншими російськими сервісами з геолокацією?
Зазвичай у користувачів Яндекс-пробок два аргументи: по-перше, цей сервіс кращий за, скажімо, Google Maps, а по-друге, “кому потрібні мої координати?”
Щодо першого в мене немає аргументів, тому що я в своєму житті жодного разу не користувався Яндекс-пробками і просто не можу порівнювати. Я можу сказати що Apple Maps в Україні просто безпорадні, тому що в них немає майже жодних даних про наше пересування. Так, в Україні порівняно мало айфонів, а ті, що є, “рідними” картами не користуються. В мене є враження від Google Maps та Waze, лише позитивні. А на кожну історію з третіх рук про те що Google Maps завів вас в бур’яни, в мене є аналогічна історія про Яндекс навігатор.
Щодо другого в мене теж немає аргументів: як і в випадку з електронною поштою, я повністю погоджуюся, що особисто ваша геолокація нікому нафіг не впала. Але є така штука, як “великі дані”: агрегована інформація про пересування мільйонів громадян дуже допомагає під час, скажімо, планування диверсійних операцій, масових заворушень та терористичних атак. Тепер, з цим новим знанням, перегляньте своє ставлення до власних геоданих та дайте відповідь на питання: кому ви радше довірите свої маршрути та координати? Країні, в якій зараз своїх проблем вистачає, або країні, яка має тут цілком очевидні геополітичні інтереси?
Отже, мені по цій темі взагалі немає чого вам порадити, але я впевнений, що ви зможете самостійно зважити аргументи та дійти власних висновків.
Коли я “проповідую” використання простих та доступних інструментів досягнення приватності в інтернеті, нерідко доводиться чути голоси поодиноких скептиків, які впевнені в тому, що ця приватність ілюзорна. Наприклад, що замінюючи Yandex або Mail.ru на GMail або іншу службу, що розташована в більш цивілізованій юрисдикції, ми не дуже й підвищуємо рівень приватності.
Поясню свою позицію.
По-перше, тримати будь-які дані, тим більше електронну пошту, в Росії — це ідіотизм. В тому числі якщо мова йде про її власних громадян.
По-друге, якщо чесно, в плані моніторингу даних та поводження з ними, я американському уряду довіряю більше, ніж українському. Тому для мене розташування електронної пошти в Штатах є більш прийнятним.
По-третє, якщо ви використовуєте електронну пошту в цілях, які вимагають підвищеної конфіденційності, тоді з вами щось дуже системно не так. Електронна пошта — це не засіб для приватного листування. Приватні розмови повинні відбуватися або ефемерно (без збереження будь-яких слідів, в ідеалі — tête-à-tête), або за допомогою більш прогресивних інструментів, ніж “мило” (якому цього року виповнюється сорок), або ж в зашифрованому вигляді. При цьому в останньому випадку ви: а) все одно залишите спецслужбам метадані повідомлень, яких зазвичай достатньо для з’ясування більшості обставин листування (кому, коли, і як часто ви пишете); та б) привернете до себе увагу тих самих спецслужб, тому що всі захищені криптою листи неодмінно потрапляють до їхнього фокусу.
До того ж багатьом, напевно, відомо, що ані США, ані більшість європейських країн не відрізняються повагою до приватності іноземців. Тому моя персональна порада — це, звичайно ж, protonmail.com. По-перше, він розташований у Швейцарії, якщо ви розумієте про що я. По-друге, всі листи в ньому шифруються додатково. Саме так, щоб отримати доступ до скриньки, треба ввести логін, пароль, та ще один ключ, який ви зберігаєте окремо на ваших пристроях. Додайте до цього шифрування засобами PGP, та ви отримаєте надійний захист від абсолютної більшості загроз приватності електронного листування.
Нещодавно в інтернеті знову набули популярності історії про шкідливі програми, які поширюються у SVG файлах, відправлених у Facebook. Ви можете дізнатися більше про цей вектор атаки та методи зловмисників в цьому пості, але мою увагу привернуло інше.
Як ви, напевно, знаєте, SVG це векторний графічний формат, який, по суті, є файлом XML, що містить інструкції з малювання різних зображень та, що декому може здатися дивним, може містити програмний код JavaScript. Ось приклад SVG, відкривши який в більшості сучасних браузерів, ви побачите синє коло та запустите зовнішній сценарій, на який вказує відредаговане посилання:
На щастя, це спрацює лише тоді, коли в адресному рядку браузера явно вказати URL SVG-файлу, або ж якщо файл буде відкрито з диска; <IMG SRC = більш не працює з очевидних причин.
Отже, коли тема поширення шкідливих програм у SVG піднялася знову, цього разу в контексті недостатньої фільтрації вмісту в Facebook Messenger, я подумав про наслідки для приватності, які несе цей (не дуже ефективний) захід безпеки. Я гадав, що було б гарною ідеєю використати JavaScript-код в зображенні SVG, щоб перевірити, як сучасні месенджери обробляють цей формат файлів.
Після низки повідомлень, відправлених моїй дружині та колегам, я сподіваюся, що мені не заборонять використовувати месенджери, які я використав під час тестування. І, звичайно ж, у мене є чим з вами поділитися.
Гарна новина полягає в тому, що Signal, Viber, WhatsApp, та Facebook Messenger і Telegram у своїх «секретних» режимах, не брешуть, стверджуючи, що шифрують повідомлення з кінця в кінець. Хоча, в разі WhatsApp і Telegram, вставлені в повідомлення URL викликали деяку активність з боку клієнта, крім цього ніхто більше не “з’явився” в журналах вебсервера.
Погана новина в тому, що на цьому хороші новини закінчуються.
Розпочнемо з очевидного: Slack здійснює активний перегляд вмісту за посиланням для того, щоб показати його в графічному інтерфейсі. Це круто, ми всі знаємо що так і потрібно, в цьому пості я просто використаю це як приклад того, як ця діяльність виглядає. Отже, коли ви відправляєте посилання, вебсервер, що його містить, реєструє в журналі ось такий запит:
Пояснюю. Спершу якийсь хост Facebook підтягує SVG-файл, а після цього відбувається низка запитів, які генеруються “вбудованим” у SVG скриптом, а це наочно демонструє, що сценарій насправді виконуються в якомусь “браузері”. Цілком можливо, що це і є елемент фільтрації вмісту, тому що це відбувається не кожного разу та виглядає як начебто поведінка “живого” користувача. Все одно, це якось дивно 🙂
Як не дивно, Google Hangouts не показав жодних ознак інтересу до мого посилання.
Це залишає багато запитань відкритими, проте, очевидно одне: політики конфіденційності нам не брешуть і ми насправді не є власниками даних, які ми пересилаємо за допомогою месенджерів, якщо наше спілкування не зашифроване з кінця в кінець.
Під час цих тестів я використовував дивовижний JavaScript-кейлоггер by John Leitch.