Кевин Митник - Искусство быть невидимым

Когда информатора переселяли в новое безопасное место, я узнавал его городской номер телефона, поскольку агенты звонили туда, если им не удавалось связаться с информатором по пейджеру. Получив номер телефона информатора, я посредством социальной инженерии легко определял адрес дома – я притворялся сотрудником телекоммуникационной компании Pacific Bell, обслуживавшей этот район.

Социальная инженерия – это метод несанкционированного доступа к информации путем психологического воздействия, манипулирования и управления действиями человека с целью заставить его выполнить желаемое. Часто из человека обманным путем выуживают конфиденциальную информацию. В данном случае мне были известны служебные номера телефонной компании, и я, представившись техническим специалистом на выезде, оперировал соответствующей ситуации терминологией и профессиональной лексикой, чтобы получить от компании конфиденциальные сведения.

Поэтому хотя отслеживание и хранение метаданных электронной почты – это не то же самое, что перехват фактического содержимого писем, но это все равно можно рассматривать как вторжение в частную жизнь.

Если вы посмотрите на метаданные одного из недавно полученных писем, вы увидите IP-адреса тех серверов, которые служили передаточными пунктами для вашего письма по всему миру, пока оно шло к адресату. У каждого сервера – как и у каждого человека, пользующегося Интернетом – есть уникальный IP-адрес, числовая величина, которая зависит от страны вашего пребывания и от интернет-провайдера. За каждой страной закреплен свой блок IP-адресов. Разным частям мира присвоены целые блоки IP-адресов, и за каждым провайдером зарезервирован собственный подблок, который в свою очередь делится на подблоки в зависимости от типа предоставляемых услуг: коммутируемый доступ, выделенная линия или мобильный Интернет. Если вы приобрели статический IP-адрес, он будет привязан к вашей учетной записи и к домашнему адресу, в противном случае ваш внешний IP-адрес будет генерироваться из пула адресов, принадлежащих вашему интернет-провайдеру. Так, например, обладатель IP-адреса 27.126.148.104 находится в Виктории, Австралия.

Или, например, IP-адрес 175.45.176.0 принадлежит Северной Корее. Письмо от отправителя с таким IP-адресом, вероятно, будет помечено для дальнейшего изучения. Кто-нибудь из правительства США, возможно, пожелает узнать, почему вы переписываетесь с человеком из Северной Кореи, даже если в теме письма будет написано «С днем рождения».

Возможно, сам по себе адрес сервера не так уж интересен. Но частота взаимодействия с ним может многое рассказать. Кроме того, если вы определите каждый элемент, отправителя, получателя и их местонахождение, вы начнете понимать, что происходит на самом деле. Например, метаданные телефонных соединений, текстовых сообщений и электронных писем – их частота, время суток и пр. – могут многое рассказать о душевном здоровье человека.

Звонок в 22 часа на горячую линию для жертв домашнего насилия длительностью 10 минут или вызов в полночь с Бруклинского моста на горячую линию по предотвращению самоубийств длительностью 20 минут говорят о многом. В Дартмутском колледже разработали приложение, которое распознает в пользовательских данных шаблоны поведения, характерные для людей, испытывающих стресс, депрессию и одиночество. Также изучается взаимосвязь между подобным поведением и академической успеваемостью студента. {31} 31 bbc.com/future/story/20150206-biggest-myth-about-phone-privacy

Все еще не видите ничего страшного в том, чтобы метаданные ваших электронных писем находились в открытом доступе? В Массачусетском технологическом институте был разработан проект под названием Immersion (Погружение). Это программа, которая позволяет на основе одних лишь метаданных создать наглядную схему взаимоотношений между отправителями и получателями всех писем, хранящихся в вашем аккаунте Gmail. Инструмент наглядно демонстрирует, кто из адресатов для вас наиболее важен. Программа даже выводит шкалу времени, чтобы было видно, как знакомые вам люди с течением времени обретали или теряли значимость в вашей жизни. Хотя, вероятно, вам кажется, что тут все и так понятно, но визуальное отображение этих взаимосвязей может на многое открыть вам глаза. Вполне возможно, что вы и не представляли себе, как часто отправляете электронные письма практически незнакомому человеку и как редко человеку, которого очень хорошо знаете. Как бы то ни было, инструмент Immersion дает вам возможность самостоятельно решать, загружать ли в него данные, а также удалить информацию после составления графика. {32} 32 immersion.media.mit.edu

Если верить Сноудену, АНБ и другие агентства хранят метаданные наших электронных писем, текстовых сообщений и телефонных соединений. Но не может же правительство хранить метаданные абсолютно каждого человека. Или может? Технически – нет. Однако, начиная с 2001 года, в «законном» сборе информации произошли существенные изменения.

В соответствии с принятым в США в 1978 году Актом о негласном наблюдении в целях внешней разведки (англ. Foreign Intelligence Surveillance Act, FISA), все запросы на выдачу разрешения на наблюдение за иностранными гражданами на территории США рассматривает Суд по наблюдению в целях разведки (англ. Foreign Intelligence Surveillance Court). Казалось бы, вполне логично, что между человеком и правоохранительными органами должен стоять судебный ордер. В действительности все происходит несколько иначе. Только в 2012 году из поступивших в суд 1856 запросов на слежку было одобрено 1856, из чего напрашивается вывод, что выдача ордеров для правительства США превратилась по большому счету в простую формальность. {33} 33 npr.org/2013/06/13/191226106/fisa-court-appears-to-be-rubberstamp-for-government-requests После того как Суд по наблюдению в целях разведки одобряет запрос, правоохранительные органы могут потребовать от частных корпораций выдать все имеющиеся у них данные о вас – если они, конечно, не сделали этого ранее.

Чтобы стать по-настоящему невидимым в цифровом мире, недостаточно просто шифровать сообщения. Также нужно:

Скрывать свой настоящий IP-адрес – то есть точку выхода в Интернет, ваш след. Он может выдать ваше местоположение (вплоть до конкретного адреса) и вашего интернет-провайдера.

Стирать данные о своем программном и аппаратном обеспечении – когда вы выходите в Интернет, на сайт отправляется отчет об используемом вами программном обеспечении и аппаратных средствах. Определить, какое именно программное обеспечение установлено, можно с помощью различных технологий, таких как Adobe Flash. Браузер передает сайту сведения о том, какая версия операционной системы у вас установлена, а иногда также о том, каким еще программным обеспечением вы пользуетесь на своем компьютере.