Мир, в котором все следят друг за другом. Тотальная слежка
Привет.
Одна из самых поразительных вещей, которые постоянно ставят меня в тупик, — это отношение людей к собственной информационной безопасности. Назвать его наплевательским не поворачивается язык, ведь вокруг этого выстроена целая система объяснений, которые должны доказывать и показывать, отчего не стоит заботиться о своих данных. Когда-то давно государствам была выгодна концепция «вы все равно не сможете ничего скрыть, мы сильнее, чем вы». Ее активно продвигали в массы, пестовали и лелеяли. В итоге многие люди впитали эту идею, прониклись ей и считают, что в мире нет средств для защиты от того или иного государства, а значит, и не нужно ничего предпринимать. Удобная позиция для всех, кто хочет следить за кем-то, но плохая позиция для человека, который пытается сохранить свои данные приватными.
Другая, не менее ущербная позиция — «мне нечего скрывать, я не делаю ничего плохого». Большинство живущих на планете людей не делают ничего этакого, но это не означает, что они должны делать свою жизнь достоянием других людей, выставлять все напоказ. Если есть такое желание, то пожалуйста, добро пожаловать в мир социальных сетей, где можно рассказать о себе все без остатка — от вашего завтрака до каждой минуты в течение дня. Но это ваш выбор, в котором вы сами управляете тем, чем делитесь с другими людьми. Когда без вашего ведома влезают в ваш компьютер или телефон, это совсем другая история, не так ли?
Каждое государство в том или ином виде гарантирует тайну частной жизни, исключений мне не встречалось. С другой стороны, большинство государств в лице правящей верхушки всегда хотели знать максимум возможного про свой народ. Гуляя по Стокгольму, вы можете увидеть множество жилых домов, где окна вровень с улицей. Вечером за столом может собраться семья и совершенно не обращать внимания на тех, кто проходит за стеклом. Этакие аквариумы, в которых идет своя жизнь, видная любому прохожему. В Швеции еще в XVII веке запретили занавешивать окна, выходящие на улицу, во время экскурсии слышал объяснение, что это было сделано во время одной из оккупаций, чтобы нельзя было плести заговоры против захватчиков. Красивое объяснение, но, увы, нереальное, закон был принят с подачи короля Швеции Карла XII. Это один из примеров слежки за населением страны, что была поставлена на поток. Окружающие могли видеть любое отклонение от нормы, рост благосостояния или что-то необычное. И это произошло задолго до Оруэлла и появления технических средств для слежки.
Сегодня слежка поставлена на поток, техника позволяет отслеживать любого человека на планете, и это не преувеличение. Еще несколько десятков лет назад можно было сменить паспорт, изменить внешность, получить новую жизнь в другой стране. Сегодня все это не работает против государств, которые контролируют те же телефоны. Вы можете сменить все что угодно, но ваша походка останется ровно той же, ваш телефон записывает ее и делится этой информацией. По словам технического директора ЦРУ, поиск человека в любой точке мира занимает максимум тридцать минут, скрыться невозможно и никакие камеры наблюдения тут не нужны. Слова эти были сказаны более десяти лет назад, сегодня системы контроля и поиска стали еще лучше и точнее. Все, что нам показывают в блокбастерах, устарело на несколько поколений, а то и больше. Реальность намного прозаичнее, но результаты при этом фактически гарантированные, скрыться нельзя.
Тут, конечно же, возникает следующий момент — оценка рисков. Одно дело — техническая возможность следить за всеми, совсем другое — это слежка конкретно за вами. Чтобы понять, как вы оцениваете этот момент, провели опрос в Telegram-канале, его можно найти вот тут.
Самые популярные ответы — государство (ваша страна), корпорации, компания, в которой вы работаете, и близко располагается чужое государство. Знакомые, бывшие, мужья и жены плетутся в конце этого списка. Внешняя слежка — это риски, которые неизбежны в современной жизни, и тут возникает вопрос, насколько хорошо мы оцениваем их, насколько мы к ним готовы.
Пожалуй, что мы по умолчанию оцениваем риски слежки со стороны своих как намного большие, чем со стороны внешних сил. И это нормально, примерно той же парадигмы придерживаются в других странах мира. Люди считают, что их жизнь интересна там, где она проходит, где они могут оказать то или иное влияние на окружающих. Логика в этом определенно присутствует.
Наибольшими ресурсами для слежки сегодня обладает США на своей территории, это полный контроль над операторами, производителями железа, создателями операционных систем. Но даже в США слежка ограничивается различными законами, что вынуждает чиновников придумывать обходные пути. Например, не считать походку человека персональными данными, равно как и маркировать людей номерами, чтобы собирать все данные о них. До момента, пока номер такой-то остается номером, нет нарушения его конституционных прав на невмешательство в личную жизнь и можно читать все что угодно. А уже собрав компромат, придумывать, как именно его реализовать в правовой плоскости, за какие ниточки потянуть. В чем-то наивный, но действенный подход.
Все государства без исключения грешат тем, что хотят следить за своими гражданами, а тем более за политиками других государств, в том числе союзников. Учитывая, как США десятилетиями слушали телефон канцлера Германии Ангелы Меркель (даже до вступления ее в эту должность), прослушивали президента Франции и других первых лиц, не должно оставаться сомнений, что они могут и делают это. Если США не остановил потенциальный дипломатический скандал в этом случае, то слежка за любым иным человеком в мире тем более не вызовет сложностей. В других странах подход плюс-минус сходный, отличается только наличие ресурсов.
Одна из недавних историй — операция «Триангуляция», когда слежку за российскими чиновниками и политиками вскрыли в ФСБ России при участии лаборатории Касперского, мы рассказывали об этом в отдельном тексте.
В России удалось найти всего несколько тысяч iPhone, за которыми следили. Объяснение не только в том, что инструментов для слежки существует несколько десятков и они доступны разных странам и корпорациям, но и в том, что слежка за любым человеком требует выделения ресурсов. С экономической точки зрения каждый наблюдаемый объект предполагает отнюдь не нулевые затраты. Хотите следить за ним качественно — вам нужно посадить за наблюдение нескольких аналитиков, каждый из которых знает контекст работы человека, свободно говорит на другом языке и так далее. Сегодня не существует автоматизированных систем, которые способны вычленять важный контекст из чужих разговоров и переписок, понимать намеки и полунамеки, это работа, с которой может справиться только человек. И столь малый круг наблюдаемых говорит об отсутствии у наблюдающих достаточных ресурсов. Эта проблема существует не первый день, многие десятилетия разные страны пытаются улучшить соотношение в пользу эффективности тех, кто следит, и увеличить число тех, за кем можно следить. Но качество при этом всегда страдает, ничего толкового не выходит.
В лаборатории Касперского выпустили инструмент для проверки заражения iPhone, но им воспользовались единицы. Причина? Риск слежки со стороны США многие оценивают как призрачный, не считают себя интересной целью. И думаю, что это плюс-минус справедливая оценка. Другое дело, что массовая слежка со стороны корпораций, которые превратили нас в цифровой продукт, стала нормой, и защититься от нее намного сложнее.
Мы живем в мире тотальной слежки, но от нее нас спасает то, что у государств не хватает средств, чтобы следить за каждым. Слежка назначается за теми, кто выделяется из общей массы, заслуживает внимания. Можно считать это неформальным знаком отличия. И тут, конечно же, на первый план выходит родное государство, для него такая слежка интереснее, чем для кого-либо еще, человека со своей страной всегда связывает многое, вольно или невольно.
Оценка рисков, есть ли возможность защитить себя?
От качественной слежки, организованной на уровне таких стран, как США, Россия, Китай, практически невозможно защититься с технической точки зрения, ваша жизнь будет видна во всех мелочах, вы не сможете что-то скрыть. Хорошая новость заключается в том, что вы должны быть достаточно интересны, чтобы на вас тратили такие ресурсы. Скорее всего, ваша значимость на уровне своей страны также возрастет, что автоматически приведет к тому, что вас будут защищать от слежки. Как мы знаем из новейшей истории, те же европейцы слабы в защите собственных лидеров, не могут и не умеют этого делать. Но пытаются.
Один из частых вопросов, которые мне задают, — как определить, что за вами следят, а вы под колпаком? Слежку со стороны государств практически невозможно найти, догадаться об этом можно только по косвенным признакам, и то не всегда. Но понять это, посмотрев на свой компьютер или телефон, нельзя. Что снова нас приводит к тому, что, возможно, и не стоит защищаться?
Когда-то давно устанавливал дверь в квартиру. Хорошая компания, надежные двери и разнообразные замки. Менеджер рассказывал в деталях о конструкции, казалось, что это не дверь, а нечто большее. Разговорились, и дальше он описал концепцию, которая вполне применима к защите наших данных на устройствах.
Ни одна дверь не сможет выстоять перед профессиональным, хорошо подготовленным взломщиком. Качественная дверь и хорошие замки не дают никакой гарантии от взлома, они могут только дать время, которое потребуется на их взлом. И зачастую профессиональные взломщики избегают таких дверей, так как вокруг множество менее защищенных объектов, тут действует простой расчет — выгоднее вломиться туда, где защита меньше. У воров тоже ограниченные ресурсы.
На моей лестничной клетке четыре квартиры (правда, в том доме уже не живу, так что это история из прошлого). Лет семь назад в один из летних месяцев вломились в три квартиры, воры искали деньги, драгоценности. Тронули еще одну квартиру этажом выше. С моей дверью даже не стали возиться, просто проигнорировали. Как сказал тогда участковый, “ясное дело, они четыре квартиры вскрыли за то же время, что потратили бы на эту дверь”. Чувствовал определенную удовлетворенность от этого факта.
С точки зрения технологий концепция безопасности выглядит ровно так же. Посмотрите вокруг, почитайте, продукты каких компаний постоянно фигурируют в тех или иных утечках данных, историях о слежке за пользователями. Неожиданно окажется, что iPhone — главный фигурант таких историй, а в Apple прикладывают недюжинные усилия, чтобы продвигать его как безопасное устройство, каковым он не является. Причина тут простая — как софт, так и железо создает одна компания, она полностью подотчетна США и так или иначе работает со спецслужбами, отсюда такое количество дыр в безопасности и утечек данных.
Производители Android-смартфонов берут софт от Google, но при этом создают собственные решения в области безопасности. Конечно, тут все зависит от размера компании, ее возможностей, но в целом это примерно так. И сообщений о взломе того же KNOX от Samsung не было ни разу за десять лет. Какие-то истории про теоретическую возможность мелькали, создавали шумиху, но показать на практике взлом так никто и не смог. Вполне допускаю, что правительство Южной Кореи так или иначе получает эти данные, но факт в том, что США и другие страны не имеют к ним прямого доступа. И это дополнительный уровень защиты. Управление рисками сегодня и заключается в правильной оценке того, кому вы можете быть интересны и как избежать этого внимания, какие устройства выбрать.
Думаю, что страх того, что за вами следит какое-то государство, для большинства надуман, мы не боимся этого. Совсем другое дело — слежка бытового толка, когда за нами может следить работодатель, наши близкие или какие-то недруги, которые с удовольствием покопаются в нашем грязном белье. Большая часть систем защиты создана как раз против такой бытовой слежки, и она хорошо справляется со своей задачей.
Но давайте представим, что в один прекрасный день кто-то выложит уязвимость и описание того, как удаленно войти в любой iPhone, прочитать все, что на нем есть. Достаточно будет только знать номер человека. Мир моментально охватит эпидемия тотальной слежки за знакомыми, друзьями или просто известными людьми. Это будет даже не замочная скважина, в которую начнут подглядывать, а огромное окно.
Помните несколько историй, когда можно было отправить на iPhone несколько знаков в сообщении, чтобы чужой аппарат превратился в кирпич? В России, также как и в мире, этим развлекались достаточно широко — людям отправляли «по ошибке» такие сообщения, радовались тому, что их телефоны умирали. И это были не единичные случаи, хотя тут людей останавливало то, что их можно было в теории найти по отправленному сообщению. В массовом подглядывании таких следов не будет, отсюда большая распространенность этого явления при наличии соответствующего инструмента.
Не нужно быть параноиком и бояться всего, но минимальные требования к цифровой безопасности нужно соблюдать. Выбирать устройства и производителей, которые не были скомпрометированы в прошлом, не имеют печальной статистики утечек данных и взломов. Использовать простые, но действенные способы защиты своих данных. Мы постоянно об этом пишем, но к советам прислушиваются единицы. Пока гром не грянет, мужик не перекрестится. Увы, мы ленимся защищать свои данные и свою жизнь, пусть и ее цифровую составляющую.
Нам необходимо четко понимать, что мы защищаем и как. Что важно, а что второстепенно. Но главное — это правильно оценивать риски. И в такой оценке слежка со стороны любого государства маловероятна, а вот то, что вы натолкнетесь на любопытство знакомых, бывших или ваших половин, намного выше в реальной жизни. И тогда нужно думать, что делать с этими рисками и как с ними работать.