Лучше забыть о конфиденциальности в Интернете

В рамках развития так называемого В соответствии с системой социального кредита китайские граждане вскоре должны будут пройти сканирование лица, прежде чем выходить в Интернет дома или на своих смартфонах. По сообщениям СМИ, в декабре должны вступить в силу новые правила Министерства промышленности и информационных технологий Китая под официальным лозунгом повышения безопасности в Интернете и предотвращения терроризма.

Вряд ли кто-то сомневается, что речь идет о еще более высоком уровне слежки. И – как мы пишем в другой статье этого номера «МТ» – многие политики и лица, принимающие решения, не только в недемократических странах с интересом смотрят на Поднебесную. Китайцы экспортируют свой особый подход к конфиденциальности везде, где появляется их оборудование. Три года назад всплыл случай отправки смс и контактов в штаб-квартиру в Китае китайскими смартфонами. Выяснилось потом, что в телефонах таких производителей, как ZTE и Huawei (и еще четыреста других поставщиков), появившиеся на рынке США, были программным обеспечением от Adups, которое предлагает шпионское ПО для устройств Android.

Потом было много подобных случаев. Пользователи смартфонов Vivo NEX обнаружили, например, что после открытия некоторых приложений, в том числе браузера китайского интернет-гиганта Tencent — QQ, камера автоматически выдвигается из корпуса сотового (1).

В отличие от большинства моделей телефонов, Vivo NEX оснащен небольшой камерой в верхней части устройства, которая выдвигается при включении и убирается, когда не используется. Таким образом, непреднамеренно китайские пользователи этого смартфона смогли увидеть, когда и как за ними наблюдают.

В Китае власти шпионят, в свободном мире — корпорации

Мы критически смотрим на китайскую систему наблюдения, компании и продукты, поступающие оттуда, но будь то в так называемом в свободном мире конфиденциальность интернет-пользователей обычно ценится больше? Это сомнительно, особенно когда вы слышите о таких историях, как та, что была опубликована год назад TechCrunch, о том, как Facebook незаметно платил подросткам за установку. приложение VPN и возможность полностью отслеживать их активность. Это вызвало большое раздражение в США. Сенатор Джош Хоули прокомментировал это в Twitter:

«Момент. Facebook ПЛАТИТ подросткам, чтобы они установили приложение для наблюдения на свои смартфоны, не сообщая им, что Facebook сможет это сделать? Некоторым из этих детей было по тринадцать. Ты серьезно? «.

Вместо того, чтобы делать выводы после того, как их поймали на слежке за пользователями с помощью якобы частного VPN-приложения, Facebook переработал шпионское приложение, чтобы обойти защиту пользователей iPhone от Apple.

Некоторые объясняют постоянное возвращение Facebook к шпионажу, несмотря на последующие скандалы, самой природой социальных медиа-платформ, которые не могут функционировать иначе, чем слежкой за пользователями.

В Китае именно правительство использует данные не только из сети для наблюдения за населением страны. Он построил брандмауэр, чтобы отделить Китай от остального Интернета, заменив заблокированные глобальные службы локальными версиями, которые он строго контролирует. Он создает целостный цифровой профиль деятельности, связей, самовыражения, движений и правонарушений каждого гражданина. На этом основании китайцы получают «баллы» в системе параметризации граждан и т.н. социальный кредит. За это предусмотрены определенные награды или штрафы. Система уже может запретить гражданину, например, выезжать за границу. По сообщениям, там уже внесено в «черный список» двадцать и более миллионов человек.

Однако разоблачения, связанные с деятельностью Cambridge Analytica и Facebook, показывают, что независимо от их мотивации западные корпорации и магнаты цифровой эпохи питают к нашим данным почти не меньший аппетит, чем китайские власти.

Сообщения СМИ и слушания Марка Цукерберга в Сенате США доказали, насколько велик уровень манипулирования данными интернет-гигантами и как мало об этом знаем мы — мы и наши демократически избранные представители.

Дети растут в мире, где все взаимосвязано, видно и доступно всем. Это первое поколение, чья почти вся жизнь становится цифровой записью, профилем, который можно искать и подозревать. Почти все, что делают молодые люди, записывается (2).

Записываются не только то, что они знают, но и масса другой деятельности — от записей до школьных результатов, фотографий с дискотеки, кадров из магазина, когда они покупают алкоголь нелегально, до, конечно же, всей истории интернет-обысков , исследовательские синтезы их предпочтений или целые диаграммы социальных отношений.

Хотя не вся эта информация в настоящее время доступна для поиска, поэтому пока она остается конфиденциальной, она существует в базах данных и цифровых записях и, вероятно, будет храниться там вечно.

Надо полагать, что компьютеры будущего смогут искать всю нашу «цифровую жизнь», и что гипотетические квантовые компьютеры смогут взломать любой шифр. Вдруг все двери в архивы могут открыться…

Конечно, с этим видением можно поспорить и поверить, что этого не произойдет, ведь большая часть собираемых данных является приватной, т.е. защищенной. Демократические системы обеспечивают контроль и баланс, защищая нас от кошмаров в стиле Большого Брата. Но это так сейчас, а что будет через несколько десятилетий?

Как видно из многочисленных примеров, не только Китай пытается следить и контролировать своих граждан. Много тревожного в этом отношении происходит и в старых и стабильных демократиях Запада, граждане которых, например, в Швеции, даже позволяют себе скинуться для удобства (3), мало задумываясь о конфиденциальности.

В будущем также будет больше кибератакич, больше деятельности по информационной войне. Вся «цифровая биография» описанного выше человека, его история, номер телефона или адрес электронной почты могут быть взломаны или предоставлены службам других стран или преступникам.

И вдруг у кого-то — у какого-то правительства, банды, армии — все ваше прошлое и настоящее, все секреты на их тарелке. Они способны найти в нем события, о которых даже вы забыли. Затем следуют шантаж, принуждение к сотрудничеству или даже похищение и тюремное заключение…

Выследить в пузыре

Интернет-шпионаж имеет богатую и бурную историю. Несколько лет назад мы описывали в «МТ» программу под названием Бунткто смотрит. В этом не было бы ничего экстраординарного, ведь таких программ очень много, но эта создана известной в основном из военной промышленности компанией Raytheon. Riot не просто отслеживает и анализирует сообщества. Также предполагается прогнозировать будущее поведение пользователей Facebook, Twitter и подобных сайтов.

Если кто-то думает, что контролирует данные, которыми они делятся в социальных сетях и шире в Интернете, то может быть неприятно удивлен информацией о том, что, например, при публикации фотографий многие смартфоны автоматически предоставляют свое местоположение без ведома пользователя. Riot или аналогичные инструменты собирают эту информацию и море других, которые при анализе могут предоставить чрезвычайно подробные и перекрестные сообщения об активных людях.

Власти, ссылаясь на необходимость преследования реальных и потенциальных террористов в Интернете, похоже, в восторге от программы Riot и подобных решений. Организации, которые защищают права человека и неприкосновенность частной жизни граждан интернет-пользователей, проявляют гораздо меньший энтузиазм.

Подробный профиль человека с его особенностями, предпочтениями, взглядами, привычками и даже прогнозами поведения в будущем можно построить, проанализировав историю посещенных им сайтов, его учетные записи в интернет-сообществах, контент, который он читает, слушает. и часы.

Феномен фильтрации Интернета — так называемый «фильтрованный пузырь» (4) — является результатом развития и совершенствования таких платформ, как Google, а также сайтов социальных сетей. Он основан на том, что Интернет, которым мы пользуемся ежедневно, во всех его аспектах становится все более персонализированным, обслуживаемым специально для нас, в соответствии с данными, которые мы вводим в сеть, вещами, которые мы ищем и посещаем. часто.

В результате нас «нацеливают» (читай — преследуют) все точнее и точнее. Таким образом, Интернет, который мы видим на своих экранах, не является каким-либо, во-первых, номен-предзнаменованием, свободным Интернетом. Именно Интернет мы хотим смотреть по механизмам фильтрации.

Отфильтрованный мир, этот «пузырь», в котором мы движемся в Интернете, имеет у интернет-маркетологов остроумный термин — поведенческий таргетинг. По сути, это ничем не отличается от давно известного шпионажа, слежения и показа людей, но материал, собранный «шпионами» в цифровом мире, на этот раз представляет собой реальную запись поведения человека-пользователя. И в этом у него есть преимущество перед, например, ответами на вопросы в анкете.

Еще более точный цифровой профиль создается, когда онлайн-история объединяется с другими данными, такими как маршруты, по которым путешествует человек, магазины, в которых он покупает, и то, что он покупает. Большая часть этих данных широко доступна: их собирают компании — как крупные, так и мелкие, а также правительства, интернет-провайдеры, мошенники, спамеры и многие другие организации и люди.

Сервисы все видят, слышат и читают

Тема шпионажа в Интернете в массовом масштабе стала бешено популярной несколько лет назад, благодаря разоблачениям бывшего сотрудника американских спецслужб, Эдвард Сноуден (5).

Во-первых, СМИ сообщили, что Агентство национальной безопасности США (АНБ) и ФБР провели обыски на серверах технологических и интернет-гигантов, таких как Google, Facebook, YouTube, Microsoft и Apple. Копался в их ресурсах с 2007 года сверхсекретной и высокоразвитой программой. Заинтересованные компании сначала заявляли, что ничего об этом не знают, затем появилась другая информация.

При поиске убежища в России Сноуден сообщил, что помимо PRISM у американцев есть еще одна система под названием, позволяющая контролировать адреса электронной почты, загрузки, номера телефонов и файлы, которыми обмениваются в чатах.

Это означает возможность отслеживать практически все действия пользователя Интернета в сети, а не только на сайтах социальных сетей, которые многие люди, заботящиеся о безопасности, просто избегают. Американские службы описывают его как часть «правовой системы, используемой АНБ для сбора данных в рамках электронной разведки».

После раскрытия информации о компаниях из сектора т.н. Big Tech во главе с Google, Facebook и Microsoft. Они категорически отрицали, что федеральные агенты имеют прямой доступ к их серверам, но также указывали, что по закону, как лица, зарегистрированные и ведущие бизнес в США, они не могут отказаться от сотрудничества с местными службами. Они призвали к раскрытию всех выводов АНБ.

Если кто-то думает, что что-то изменилось после разоблачения Сноудена, то… продолжайте думать. Совсем свежий, потому что с этого года появляется информация о том, что власти Канады планируют внедрить два алгоритма, отслеживающих пользователей сети. Местный законодатель ищет компанию, которая напишет программу, которая будет сканировать социальные сети на предмет употребления гражданами марихуаны (когда, где и в каком количестве) и последующего вождения под ее воздействием.

Вещи, которые отслеживают вас в Интернете

В течение многих лет указывалось, что шпионаж в Интернете на самом деле является невинным упражнением против того, что может принести повсеместное распространение Интернета вещей (IoT). Дело не только в угрозе слежения буквально на каждом шагу, которую жители городов с системами мониторинга ощущают на своей шкуре. Дело в том, что сеть подключенных умных гаджетов, датчиков и других устройств создает новые опасности и новое поле деятельности для хакеры i киберпреступники.

Интернет вещей, часто приравниваемый к устройствам, имеющим доступ к Интернету, может стать огромной угрозой. Время, вид и место деятельности человека будут определены со XNUMX% точностью. На основе данных с устройств, подключенных к сети, можно определить не только человека, но и его симпатии, поведение и деятельность.

Именно на основе данных, поступающих с устройств, алгоритм, используемый одной из компаний, занимающихся доставкой по почте, определил, например, что одна из клиенток беременна — и это до того, как она сама об этом узнала! Сеть «умных» вещей пробуждает, конечно, интерес сервисов. Джеймс Клэппер, глава американской разведки, заявил в феврале 2016 года, что в будущем спецслужбы могут использовать данные, собираемые IoT-устройствами.

Facebook по крайней мере попросил разрешения у несовершеннолетних. Интернет вещей не спросит. В начале 2017 года немецкий регулятор Bundesnetzagentur отозвал интерактивную куклу с рынка. Мой друг Кайла (6), что указывает на то, что «без ведома родителей он может записывать и передавать звонки ребенка». Он предупредил, что при недостаточно защищенном Bluetooth-соединении посторонние могут подслушать голос ребенка. Кроме того, было указано, что куклу также можно использовать для доставки рекламы.

Опасны не только игрушки. Есть информация об атаках с использованием различных IoT-устройств, таких как лампочки или кофемашины. В результате они блокируют доступ к службам в сети или берут под контроль атакуемые устройства и используют встроенные камеры и микрофоны для слежки за ними.

По оценкам, в течение 5-10 лет к сети будет добавлено от 20 до 60 миллиардов новых устройств. По данным Gartner, уже в 2020 году к интернету будет подключено аж 26 миллиардов объектов, что в тридцать раз больше, чем в 2009 году. В то же время в последние годы выяснилось, что сеть IoT действительно может быть легко атакована, захвачена и использована в различных злонамеренных целях, включая, конечно же, слежку.

В январе 2014 года произошла первая подтвержденная массовая атака через устройства IoT. Обнаружен ботнет, контролирующий более 100 750 человек устройств, которые помогли распространить более 25 тыс. сообщения электронной почты со ссылками на программы заражения. Интересно, что целых XNUMX% этих устройств были не компьютером или смартфоном, а такой техникой, как холодильник или телевизор.

В свою очередь, в выявленной в 2016 году уязвимости, известной как Интернет вещей, должен был быть не только инструмент, но и фактическая цель атаки. Речь шла об устройствах контроля и управления на промышленных предприятиях, близких к мониторингу в наших «умных городах».

Со временем, благодаря поисковику Shodan, появилась возможность отслеживать незащищенные камеры, подключенные к Интернету, — как раз те, что использовались в 2016 году во время глобальной и широко описанной DDoS-атаки под названием Dyn-серверы, поддерживающие Интернет вещей. В этом году появилась новая версия, которая атакует не только обычные объекты, т.е. «умные» роутеры, IP-камеры и т. д., но и корпоративные устройства интернета вещей.

Пятое поколение шпионов

Мир Интернета вещей в ближайшем будущем будет развиваться все быстрее благодаря внедрению сетей пятого поколения. По замыслу 5G обеспечивает более быструю загрузку и передачу данных, меньшую задержку и более высокую плотность соединения.

Когда дело доходит до безопасности, в основном спецификации 5G повысили стандарты защиты связи между устройствами и антеннами с некоторыми улучшениями, однако имейте в виду, что протоколы связи 5G должны будут сосуществовать со старыми протоколами, такими как 4G, 3G или даже 2G. В конечном итоге уровень защищенности связи будет равен уровню ее самого слабого звена.

Однако есть еще одна серьезная проблема с пятым поколением. Стив Белловин, профессор компьютерных наук Колумбийского университета, недавно сказал Wall Street Journal, что 5G приносит серьезные опасения по поводу конфиденциальности данных о местоположении.

В случае сетей 5G радиус действия большинства антенн будет намного меньше, а это означает, что географическое положение конкретных пользователей в сотовой сети станет гораздо более точным, что повысит риски для конфиденциальности и безопасности. Любой, кто получит доступ к данным с антенны интернет-провайдера, сможет определить наше местоположение гораздо точнее, чем сегодня в сети 4G.

Если операторы мобильной связи начнут продавать данные о клиентах в сети 5G, брокеры данных и рекламодатели получат более быструю и точную информацию о местоположении пользователей, а затем смогут нацеливать на них рекламу с местным контекстом. Эти данные также могут позволить им узнать точные маршруты, по которым мы путешествуем каждый день, и даже здания, в которые мы заходим. Для маркетологов человек, описываемый его типичными путешествиями и локациями, — настоящее сокровище.

Если наложить данные из сети 5G вещей, датчиков, регистраторов и терминалов, то окажется, что геоданные наполнены массой дополнительного контента. Мы уже знаем не только, куда идем и останавливаемся, но и что делаем. Кроме того, существует огромная проблема с безопасностью в пространстве, заполненном миллионами не очень хорошо защищенных устройств.

Также стоит помнить, что агрессоры типа т.е.

Кошмарный сценарий, вытекающий из всего этого, — это вредоносное ПО, которое благодаря IoT похищает нас, связывает, приостанавливает прием препарата или не пускает в собственный дом без уплаты выкупа.

Конечно, опасений по поводу перманентной слежки не уменьшает тот факт, что оборудование, установленное в сетевой инфраструктуре 5G, в основном происходит из Китая, в основном от Huawei (7).

Каждый твой шаг

Приложения для мобильных телефонов уже собирают подробные данные о местоположении пользователей буквально на каждом шагу. Они следят за движением автомобилей на шоссе, пешеходов на улицах и двухколесных транспортных средств на велосипедных дорожках. Они видят каждый шаг владельца смартфона, который чаще всего считает себя полностью анонимным, даже если он делится своим местоположением. Приложения не только собирают информацию о геолокации, но и продают эти данные без нашего ведома.

The New York Times провела эксперимент, который мы описали несколько месяцев назад на страницах MT. Речь шла о том, чтобы следить за передвижениями миссис Лизы Магрин, обычной учительницы со всего Нью-Йорка. Журналисты доказали, что, зная ее номер телефона, можно выявить все поездки по району, которые она совершает изо дня в день.

И хотя личность Магрин не была указана в данных о местоположении, с помощью дополнительного поиска было относительно легко связать ее с сеткой смещения. Местонахождение героини репортажа было зафиксировано в сети более 8600 раз — в среднем раз в 21 минуту. Приложение отслеживало ее, когда она шла на прием (группы родословных) и к дерматологу для небольшой операции.

Ход ее прогулки с собакой и визит в дом ее бывшего партнера были хорошо видны. Ее ежедневные поездки из дома в школу легко указывали на ее профессию. Только на основе данных о местоположении был создан довольно подробный профиль незамужней женщины средних лет с избыточным весом и некоторыми проблемами со здоровьем. Это наверное много, если только для планировщиков рекламы, но не только.

Компании, собирающие этот тип данных, продают, используют или анализируют их для удовлетворения потребностей рекламодателей, торговых точек и даже финансовых учреждений, желающих получить представление о поведении потребителей. Рынок географически ориентированной рекламы уже стоит более 20 миллиардов долларов в год.

Многие компании, занимающиеся локализацией, говорят, что если владельцы телефонов разрешают вам делиться своим местоположением при настройке устройства, игра честная. Однако известно, что когда пользователей просят дать разрешение, это часто сопровождается неполной или вводящей в заблуждение информацией.

Например, приложение может сообщить вам, что предоставление доступа к вашему местоположению поможет вам получать новости о дорожном движении, но не упоминает, что ваши собственные пользовательские данные будут проданы. Такая информация часто скрыта в неясной политике конфиденциальности, которую мало кто читает.

Банк, фондовые инвесторы или другие финансовые учреждения могут использовать эти методы в своих целях. экономический шпионажнапример, принятие кредитных или инвестиционных решений на их основе до того, как их корпоративный клиент представит официальные отчеты о доходах.

О многом можно сказать по такой банальной информации, как рост или уменьшение числа сотрудников, находящихся в заводском цеху, или людей, посещающих магазины конкретной сети. Данные о местоположении медицинских учреждений особенно привлекательны с точки зрения рекламы.

Например, Tell All Digital, рекламная компания Лонг-Айленда, которая является клиентом геолокации, сообщает, что она проводит рекламные кампании для адвокатов по травмам, анонимно ориентируясь на отделения неотложной помощи.

Доминируя на рынке мобильной рекламы, Google и Facebook также преуспели в рекламе на основе местоположения. Они собирают данные из собственных приложений. Однако они гарантируют, что не продадут их третьим лицам. Google также заявил, что модифицировал их, чтобы они были менее точными.

Однако в последнее время в индустрии данных о местоположении появился гораздо более точный и незаметный инструмент — маяки, о которых мы также писали в «МТ». Это небольшие передатчики, которые расположены во многих местах магазина и взаимодействуют с приложениями на телефонах покупателей.

Они предоставляют информацию не только о том, что данный человек заходит в магазин, но и о том, сколько времени он проводит рядом с такими, а не другими товарами. Bluetooth-устройства отслеживают своих «жертв» с точностью до сантиметра на расстоянии до 50 метров, потребляют мало энергии и не доставляют хлопот в помещении. Поэтому они становятся все более популярными среди компаний, которые хотят точно отслеживать местонахождение покупателей в торговых точках.

Сигнальными устройствами являются так называемые излучающий сигнал для поиска ближайших устройств. Его могут обнаружить приложения на телефоне, которые используют операционную систему телефона для поиска ближайших передатчиков.

Информация об отслеживании сигнала поступает в приложение, даже если оно не запущено. Когда приложение распознает сигнал, оно отправляет сообщения на сервер компании, например, о продуктах, возле которых проходит покупатель, или отделах, в которых он находится. Там они связаны с сохраненными данными пользователя, например, о его доходах или привычках.

В сочетании с другой информацией компании могут создать подробный профиль, описывающий человека — кто он, где находится и что покупает, и все это без его ведома. На основании этого приложение отправляет на телефон рекламу или информацию об акциях (8).

В США будильники используют крупные сети супермаркетов, такие как Target и Walmart — у нас в последнее время так делает Lidl. Конечно, вам все еще нужно убедить клиента установить приложение, но его можно эффективно мотивировать привлекательными скидками.

Отслеживание с помощью Bluetooth-маяков может быть только началом наблюдения в магазинах. Недавно Американский союз гражданских свобод (ACLU) начал кампанию по предупреждению о коммерческих учреждениях, где, как известно, камеры наблюдения являются обычным явлением. Судя по всему, эти методики были опробованы в Великобритании и ими заинтересовался Walmart. Можно предположить, что в мире уже есть магазины, где они используются.