(Не)безопасность онлайн: как мы рассекречиваем данные, сами того не замечая

Слежка корпораций, вездесущие хакеры и фактическое отсутствие анонимности в интернете — реалии, в которых нам приходится жить каждый день. Новости на подобные темы появляются с завидной регулярностью. Последней «бомбой» стало известие о том, что Google шпионит за Android-устройствами и отслеживает их местоположение, даже если пользователь отключил геолокационные сервисы.

После подобных публикаций в СМИ начинаются жаркие обсуждения, в ходе которых оказывается, что огромное количество пользователей почти ничего не знают о безопасности собственных данных в интернете. Разумеется, эта тема слишком сложна, чтобы в рамках одной статьи обсудить все уязвимости. Но самые распространенные «лазейки» для утечки данных рассмотреть можно.

В браузере: кто отслеживает ваши cookies

Изображение: James Garcia, Toyphotographers.com

Практически каждый раз, когда мы пользуемся браузером, серверы присылают cookies — небольшие фрагменты текстовых данных, которые помогают идентифицировать пользователя. Позже браузер отправляет эти данные обратно на сервер. Если cookies временные, данные удалятся, как только вы закроете браузер, если постоянные — будут храниться до определенной даты. Так, например, интернет-магазины сохраняют содержимое корзины для неавторизованного пользователя.

Некоторые сайты (например, Facebook) следят и за тем, какие еще страницы вы посещаете. Стоит открыть социальную сеть в одной вкладке — и все соседние тоже оказываются в поле действия этого «радара».

Масштаб проблемы и способы защиты

В мае 2012 года вступила в силу директива ЕС, согласно которой сайты обязаны информировать пользователей и получать их согласие на отправку cookies, пишет Cookie Law. Де-юре украинские сайты, у которых есть пользователи из стран Евросоюза, должны придерживаться этого распоряжения. Впрочем, де-факто вероятность получить какие-либо штрафные санкции крайне мала. Если у компании нет собственности на территории ЕС, она и вовсе стремится к нулю.

Тем не менее, некоторые украинские сайты все же предупреждают пользователей о том, что используют cookies. Но это даже не десятая часть тех, кто на самом деле это делает. Еще в 2015 году The Guardian писал о журналисте, который обнаружил, что за 36 часов за ним следили 105 компаний. Повторить его эксперимент и узнать реальное положение дел помогут специальные трекеры — расширения для браузера. Например, Disconnect или Ghostery. А Lightbeam для Mozilla Firefox покажет еще и карту соединений.

Тех, кто не афиширует использование cookies, можно понять: слишком много пользователей плохо представляют себе, что это такое, и относятся к подобным сообщениям с опаской. Никто не хочет потерять часть аудитории из-за вполне безобидного инструмента. Да, гипотетически cookies можно перехватить, чтобы получить контроль над учетной записью. Но если вы используете зашифрованное соединение, этого можно не опасаться.

Если вы хотите вовсе запретить браузеру отслеживать cookies, найдите в настройках опцию Do Not Track / «Не отслеживать». Затем проверьте, есть ли у браузера функции вроде «Отправлять статистику и отчеты об ошибках» и «Предсказывать содержимое, чтобы страницы загружались быстрее». Если они есть, их тоже нужно отключить, чтобы остановить слежку.

Что касается законодательного регулирования, стоит следить за обновлениями. В начале года Европейская Комиссия предложила доработать принципы конфиденциальности в интернете. В пресс-релизе, опубликованном на официальном сайте Еврокомиссии, значится, что новая редакция директивы позволит распространить правила не только на телекоммуникационные компании, но и на мессенджеры: WhatsApp, Facebook Messenger, Skype, Viber и другие. Поправки призваны обеспечить конфиденциальность контента и метаданных, а также усилить борьбу со спамом. В то же время, новые правила упростят работу с cookies для бизнеса. Эксперты предполагают, что согласие на обработку куки-файлов (всех или выборочных) будет запрашивать браузер — при первом использовании.

На телефоне: автоматическая синхронизация

Одна из самых распространенных уязвимостей, связанных со смартфонами и планшетами, кроется в автоматической синхронизации с облачными хранилищами. Некоторые гаджеты сохраняют данные даже не в одно облако, а в два. Например, телефоны на Android синхронизируются с аккаунтом Google и с облаком от производителя телефона.

В облачные хранилища сохраняются, например, фотографии. Отсюда — громкие скандалы, связанные со «сливом» откровенных фото знаменитостей. Точно так же в руки посторонних могут попасть конфиденциальные документы.

Многие пользователи даже не знают, какие приложения передают их данные в Сеть. Они не проверяют, какие доступ открывают приложениям. Чтобы отслеживать передачу данных, стоит мониторить трафик: например, с помощью My Data Manager. Из отчетов будет понятно, для каких приложений стоит почистить список доступов.

И, разумеется, мобильные гаджеты чаще всего крадут и теряют, что можно рассматривать как отдельную угрозу. Чтобы защитить информацию, рекомендую хранить приватную информацию в запароленных папках, выходить из всех важных приложений, когда вы их не используете, и защитить телефон в целом — паролем или отпечатком пальца.

Конечно, нужно позаботиться о том, чтобы в случае утери нашедший мог вернуть телефон. Для этого установите на экран блокировки изображение с контактными данными — созданное самостоятельно или предоставленное mySafety. На электронном стикере, помимо номера горячей линии 24/7, указана информация о вознаграждении, которое выплачивает компания. Всю коммуникацию ведут сотрудники: диспетчеры линии поддержки и курьеры.

Еще один способ защитить данные — установить приложение, которое позволяет отслеживать телефон и удаленно им управлять: например, Find My iPhone, Find My Device для гаджетов на Android или один из аналогов — платный или бесплатный. Украинские мобильные операторы предоставляют собственные услуги по отслеживанию телефона. Главное преимущество — возможность воспользоваться приложением даже тогда, когда отсутствует интернет-соединение.

Опасные связи: Wi-Fi и bluetooth

Еще одна распространенная угроза кроется в незащищенных Wi-Fi-сетях. Когда мы пользуемся общественным Wi-Fi в кафе, на вокзалах, в парках, сохранность передаваемой информации никто не гарантирует. Даже если речь идет об обычном интернет-серфинге, это опасно, а передавать через общественный Wi-Fi конфиденциальные документы или платежи тем более не стоит, поскольку их могут легко перехватить. Так, например, в ноябре The Associated Press сообщали, что у австрийца украли биткоинов на $117 тысяч, пока тот проверял стоимость криптовалюты через Wi-Fi ресторана.

В числе возможных угроз, связанных с публичным Wi-Fi, эксперты называют MITM-атаки (man-in-the-middle) и перехват пакетов данных. Еще один вид вторжения — так называемый сайджекинг, «угон сессии». От перехвата пакетов он отличается тем, что хакер использует данные сразу, а не сохраняет, чтобы обработать постфактум. Не забывайте также о фальшивых точках доступа: подключаясь к Wi-Fi в кафе или отеле, нельзя быть уверенным, что роутер контролирует именно администрация, а не третьи лица.

Как и в случае с cookies, стоит позаботиться о шифровании данных, чтобы даже в случае утечки их невозможно было прочесть. Помимо протокола https, защитить данные помогает I2P, решения вроде NordVPN и Private Tunnel, а также прокси (например, сервис SSL Private Proxy). Бесплатные VPN-сервисы могут хранить журналы посещений, а потому их нельзя назвать стопроцентной защитой. The Next Web и вовсе называет публичный Wi-Fi «выгребной ямой» и рекомендует для важных сообщений использовать мобильный интернет, даже если это дорого.

И еще одно: всегда нужно помнить о том, что уровень защиты гаджетов и интернет-сервисов постоянно повышается, а вот человеческой психики — нет. В последнее время многие взломщики делают ставку вовсе не на технологические уязвимости, а на человеческий фактор. Поэтому не раскрывайте в соцсетях слишком много информации о себе, не постите фото с геотегами из отпуска, не открывайте файлы от незнакомых отправителей — и будете в (относительной) безопасности.

Автор: Сергей Власко, СЕО «mySafety Украина»