Kevin Mitnick with Robert Vamosi
THE ART OF INVISIBILITY
Copyright © 2017 by Kevin Mitnick Foreword copyright © by Mikko Hypponen This edition published by arrangement with Little, Brown and Company,
New York, New York, USA. All rights reserved.
© Райтман М.А., перевод на русский язык, 2018
© Оформление. ООО «Издательство «Эксмо», 2019
Посвящается моей любимой маме, Шелли Джаффе, и моей бабушке, Ребе Вартанян
Несколько месяцев назад я встретил старого друга, которого не видел со старших классов школы. Мы зашли выпить кофе и поговорить о том, чем каждый из нас занимался последние пару десятилетий. Он рассказал мне, что занимается продажей и техническим обслуживанием различной современной медицинской техники, а я поведал, что последние двадцать пять лет моя работа связана с интернет-безопасностью и защитой персональных данных. Друг даже прищелкнул языком, когда услышал про защиту персональных данных. «Звучит очень интересно и здорово, – сказал он, – но меня эта тема не слишком волнует. Ведь я не преступник и не делаю ничего плохого. Ну и что, если кто-нибудь узнает, чем я занимаюсь в Интернете».
Когда я слушал своего старого друга и его рассуждения о том, почему конфиденциальность для него не важна, мне стало грустно. Грустно оттого, что я слышу подобные слова очень часто. Я слышал их от людей, которые считают, что им нечего скрывать. От людей, которые уверены, что только преступникам нужно беспокоиться о своей защите. От людей, которые думают, что только террористы используют шифрование. От людей, которые убеждены, что нам не нужно отстаивать свои права. Но нам нужно отстаивать свои права. А безопасность персональных данных – это не просто наше законное право, это общечеловеческое право. По сути, право на неприкосновенность личной жизни считается одним из фундаментальных человеческих прав с 1948 года, когда Организация Объединенных Наций приняла Всеобщую декларацию прав человека.
Если наше право на безопасность персональных данных нуждалось в защите уже в 1948 году, в наше время такая необходимость еще сильнее. В конце концов, мы – первое поколение в человеческой истории, за которым можно следить на столь высоком уровне. За нашей жизнью можно наблюдать с помощью цифровых технологий. Тем или иным образом можно выяснить содержание практически каждого нашего разговора. Более того, мы постоянно носим с собой маленькие устройства слежения – просто мы их таковыми не считаем, а называем смартфонами.
Благодаря интернет-слежке за пользователями в Интернете можно узнать, какие книги мы покупаем и какие статьи читаем, – даже какие части прочитанных статей вызвали у нас наибольший интерес. Можно посмотреть, где и с кем путешествуем. Благодаря интернет-слежке можно понять, больны мы или здоровы, грустно нам или весело, аскетичны мы или сексуально озабочены. Почти вся слежка в Интернете направлена на то, чтобы заработать деньги на полученных данных. Компании, которые предлагают людям бесплатные услуги, каким-то образом умудряются заработать на этих бесплатных услугах миллиарды долларов – прекрасная иллюстрация того, насколько выгодно собирать большие объемы данных о пользователях Интернета. Однако существует и более прицельная слежка: со стороны спецслужб, иностранных и внутренних.
Благодаря цифровым технологиям правительство может собирать данные массово. Но и мы тоже можем защищать себя гораздо эффективнее, чем раньше. К нашим услугам такие средства и способы защиты, как шифрование, надежные методы хранения данных и соблюдение основных принципов безопасности операций (OPSEC). Нам просто нужно узнать, как правильно это делать.
Что же, ключ к этим знаниям здесь, в ваших руках. Я безмерно рад, что Кевин нашел время и поделился своим опытом в том, что касается искусства быть невидимым. В конце концов, он кое-что в этом понимает. Это великолепное пособие. Читайте, и пусть полученные знания пойдут вам во благо. Защищайте себя, защищайте свои права.
Возвращаясь к кофейне, когда я выпил кофе с другом, наши пути разошлись. Я пожелал ему всего наилучшего, но иногда до сих пор вспоминаю его слова: «Ну и что, если кто-нибудь узнает, чем я занимаюсь в Интернете». Может быть, тебе и нечего скрывать, мой друг. Но тебе есть что защищать.
Микко Хиппонен – главный специалист по безопасности в компании F-Secure. Он единственный человек на Земле, который выступал сразу на двух конференциях – DEF CON[1] и TED[2].
Спустя почти два года после того, как Эдвард Джозеф Сноуден, сотрудник консалтинговой компании Booz Allen Hamilton, обнародовал первую порцию секретных материалов Агентства национальной безопасности США (АНБ), Джон Оливер, комик с телеканала HBO, в одном из выпусков своей передачи, посвященном неприкосновенности частной жизни и тотальному контролю, опрашивал случайных прохожих на Таймс-сквер в Нью-Йорке. Его вопросы были простыми и четкими. Кто такой Эдвард Сноуден? Что он сделал?{1}
В вышедших в эфир фрагментах интервью никто не знал ответы на эти вопросы. Даже если кому-то имя казалось знакомым, человек не мог ответить, что именно (и зачем) Сноуден сделал. Поступив на работу в Агентство национальной безопасности, Эдвард Сноуден скачал миллионы секретных документов, которые он впоследствии передал репортерам, чтобы те сделали их достоянием мировой общественности. Оливер мог бы завершить этот выпуск программы на пессимистичной ноте – несмотря на то что эта история уже несколько лет мелькает в новостях, никому, казалось бы, нет никакого дела до внутреннего шпионажа со стороны государства, – но комик решил поступить иначе. Вместо этого он полетел в Россию, куда перебрался опальный Сноуден, и взял интервью у него лично.{2}
Почему мы с видимым безразличием относимся к тому, что правительственное агентство записывает наши телефонные переговоры, просматривает наши электронные письма и даже текстовые сообщения? Вероятно, причина в том, что АНБ в большинстве случаев не влияет на жизнь практически никого из нас, по крайней мере так, чтобы это было заметно, т. е. не делает ничего, что мы бы ощутили.
Первый вопрос, который Оливер задал в Москве Сноудену, звучал следующим образом: «Чего вы пытались добиться?» Сноуден ответил, что хотел продемонстрировать миру, чего может добиться АНБ, собирая данные практически о каждом. Когда Оливер показал ему интервью, снятые на Таймс-сквер, в которых прохожие один за другим говорили, что не знают, кто такой Сноуден, тот ответил: «Что ж, нельзя донести информацию до каждого».
Почему мы так несведущи во всем, что касается неприкосновенности частной жизни, о которой говорят и Сноуден, и многие другие? Почему мы с видимым безразличием относимся к тому, что правительственное агентство записывает наши телефонные переговоры, просматривает наши электронные письма и даже текстовые сообщения? Вероятно, причина в том, что АНБ в большинстве случаев не влияет на жизнь практически никого из нас, по крайней мере так, чтобы это было заметно, т. е. не делает ничего, что мы бы ощутили.
Но как Оливер также выяснил на Таймс-сквер в тот день, американцам все же важна неприкосновенность частной жизни, когда дело касается их дома. Помимо вопросов о Сноудене, Оливер задавал общие вопросы, касающиеся частной жизни. Например, когда он спросил, как они относятся к секретной (но выдуманной) правительственной программе, которая сохраняет пересылаемые через Интернет изображения обнаженных людей, жители Нью-Йорка также были единодушны в своих ответах – с той лишь разницей, что на этот раз они были категорически против. Один из опрошенных даже признался, что недавно отправил кому-то подобное фото.
Все, кто отвечал на вопросы тогда на Таймс-сквер, сошлись во мнении, что жители Соединенных Штатов должны иметь возможность конфиденциально обмениваться любыми материалами через Интернет – даже фотографиями пениса. Именно в этом и заключалась главная мысль Сноудена.
Оказалось, что выдуманная правительственная программа, сохраняющая фотографии обнаженных людей, гораздо ближе к реальности, чем вы можете себе представить. Как Сноуден объяснил Оливеру во время интервью, поскольку у таких компаний, как Google, серверы физически расположены по всему миру, даже простое сообщение (возможно, с элементами наготы) от мужа жене, находящейся в том же американском городе, может сначала оказаться на сервере за границей. Коль скоро эти данные покидают территорию США, пусть и всего на наносекунду, АНБ может, благодаря принятому в США «Патриотическому акту[3]», перехватить и занести в архив это сообщение или электронное письмо (включая непристойную фотографию), поскольку технически оно попало на территорию США из заграничного источника. Мнение Сноудена: рядовые американцы попались в сети, раскинутые после событий 11 сентября, которые изначально были средством борьбы с терроризмом, а сейчас превратились в средство слежения практически за каждым гражданином.
Можно предположить, что, регулярно узнавая об утечке данных и тотальной правительственной слежке, мы были бы в невероятной ярости. Можно предположить, что, зная, как быстро это произошло – всего за каких-то пару лет, – мы бы испытали шок и вышли бы на улицы с транспарантами. В действительности же происходит абсолютно противоположное. Многие из нас – даже многие из тех, кто читает эту книгу – в какой-то степени смирились с тем, что все наши действия – телефонные разговоры, текстовые сообщения, электронные письма и страницы в социальных сетях – могут просматриваться и прослушиваться третьими лицами.
И это обескураживает.
Многие из нас – даже многие из тех, кто читает эту книгу – в какой-то степени смирились с тем, что все наши действия – телефонные разговоры, текстовые сообщения, электронные письма и страницы в социальных сетях – могут просматриваться и прослушиваться третьими лицами.
И это обескураживает.
Допустим, вы не нарушаете законов, ведете, по вашему мнению, спокойную и размеренную жизнь и вам кажется, что вы не выделяетесь из толпы других людей в Интернете. Поверьте мне, даже вы не невидимка. По крайней мере, пока.
Я люблю фокусы, а некоторые утверждают, что «ловкость рук» – это необходимое условие для хакерства. Один из известных фокусов заключается в том, чтобы сделать объект невидимым. Однако секрет тут в том, что объект в действительности не исчезает и не становится на самом деле невидимым. Объект всегда остается на месте: на заднем плане, за занавесом, в рукаве, в кармане, там, где мы можем его увидеть… Или не можем.
Это же касается и того множества персональной информации о каждом из нас, которое фиксируется и хранится, часто даже без нашего ведома. Большинство из нас просто не догадывается, насколько легко другой человек может просмотреть эту информацию, и даже не знает, где искать. А раз мы не видим эти данные, то, вероятно, верим, что являемся невидимыми для наших бывших, родителей, учителей, начальников и даже правительства.
Проблема заключается в том, что, если знать, где искать, эта информация доступна абсолютно каждому.
Когда я выступаю перед большим количеством слушателей – размер помещения при этом не имеет значения, – обычно находится кто-то, кто ставит этот факт под сомнение. После одного из таких событий на меня насела очень скептически настроенная журналистка.
Я хорошо помню, как мы сидели за отдельным столиком в баре отеля в одном из американских мегаполисов и журналистка сказала, что она бы никогда не стала жертвой утечки данных. По ее словам, в силу своего юного возраста она была зарегистрирована лишь на очень ограниченном количестве ресурсов и поэтому мало где оставляла свои данные. Она никогда не указывала личную информацию ни в своих статьях, ни в социальных сетях – она старалась не выходить за границы профессионального общения. Она считала себя невидимой. Поэтому я попросил ее разрешения найти в Интернете ее номер социального обеспечения[4] и другие персональные данные. Она согласилась, хоть и неохотно.
Сидя рядом с ней, я вошел в свою учетную запись на сайте, предназначенном для частных детективов. Я, пускай с некоторой натяжкой, подхожу под последнее определение благодаря своей работе, связанной с расследованием хакерских атак по всему миру. Мне уже было известно ее имя, поэтому я спросил, где она живет. Я также мог бы найти эти сведения в Интернете, на другом сайте, если бы она не сказала мне сама.
Через пару минут я уже знал ее номер социального страхования, город рождения и даже девичью фамилию ее матери. Также я знал все места, где она когда-либо проживала, и все номера телефонов, которые она когда-либо использовала. Уставившись в экран с удивленным выражением лица, она подтвердила, что вся эта информация в той или иной степени верна.
Доступ к этому сайту открыт ограниченному кругу проверенных компаний и специалистов. С пользователей взимают небольшую ежемесячную плату, плюс дополнительно оплачивается каждый информационный запрос, а также время от времени проводят проверки, цель которых – выяснить, по-прежнему ли у меня есть законные основания пользоваться подобным ресурсом.
Но подобного рода информацию об абсолютно любом человеке можно найти за небольшую, однократную плату. И это совершенно законно.
Вы когда-нибудь заполняли форму в Интернете, предоставляли свои данные учебному заведению или организации, которая выкладывает информацию в Интернет, или участвовали в судебном процессе, информация о котором была опубликована в Интернете? Если да, то вы добровольно передали персональную информацию третьему лицу, которое может поступать с ней, как ему заблагорассудится. Существует вероятность, что часть этой информации – если не вся – теперь в Интернете и любая компания, зарабатывающая на сборе персональных данных людей, может ее получить. Некоммерческая организация «Центр обмена информацией о праве на приватность» (Privacy Rights Clearinghouse) опубликовала сведения более чем о 130 компаниях, которые собирают персональные данные (достоверные и недостоверные) о вас.{3}
А также существуют данные, которые вы не выкладывали в Интернет, но они все равно стали достоянием крупных компаний и правительства, – информация о том, кому мы отправляем электронные письма, текстовые сообщения, кому звоним, что мы ищем в Интернете, что мы покупаем в реальных или интернет-магазинах, ходим ли мы пешком или ездим на машине. Объем данных о каждом из нас с каждым днем растет в геометрической прогрессии.
Возможно, вам кажется, что об этом не стоит беспокоиться. Поверьте мне, стоит. Надеюсь, что, прочитав эту книгу до конца, вы будете достаточно обеспокоены, готовы что-то предпринять и вооружены знанием, что именно нужно делать.
Факты таковы: мы живем с иллюзией, что наша частная жизнь конфиденциальна, и, вероятно, эта ситуации длится уже несколько десятилетий.
Факты таковы: мы живем с иллюзией, что наша частная жизнь конфиденциальна, и, вероятно, эта ситуации длится уже несколько десятилетий.
В определенный момент нас может начать беспокоить то, что правительство, работодатели, начальники, учителя и родители имеют слишком большой доступ к нашей личной жизни. Но поскольку границы этого доступа расширялись постепенно, поскольку мы принимали каждую цифровую технологию, которая делала нашу жизнь чуточку удобнее, не задумываясь о том, как это отразится на нашей приватности, теперь повернуть все вспять становится все труднее и труднее. Кроме того, кто из нас готов отказаться от своих игрушек?
Жить в условиях тотального цифрового контроля со стороны государства опасно не столько тем, что кто-то занимается сбором наших данных (с этим ничего не поделаешь), сколько тем, как используются собранные данные.
Представьте себе, что дотошный полицейский или прокурор может сделать с собранным на вас обширным досье непроверенных данных, возможно, за последние несколько лет. Та информация, которая попала в ваше досье сейчас, часто вырванная из контекста, будет храниться вечно. Даже судья Верховного суда Стивен Брайер согласен с тем, что «любому человеку сложно заранее определить, в какой момент имеющиеся документы или факты его биографии могут показаться (обвинителю) важными в том или ином расследовании».{4} Другими словами, выложенная кем-то в социальной сети Facebook ваша фотография в пьяном виде может оказаться наименьшей из ваших проблем.
Возможно, вам кажется, что вам нечего скрывать, но как вы можете быть в этом уверены? Интернет-издание Wired опубликовало хорошо аргументированную статью уважаемого эксперта по безопасности Мокси Марлинспайка, который говорит о том, что в США федеральным преступлением может оказаться нечто, казалось бы, столь незначительное, как, например, держать дома маленького омара.{5} «Не важно, купили ли вы его в продуктовом магазине или кто-то его вам подарил, жив он или мертв, нашли ли вы его уже после того, как он умер собственной смертью, или же убили его в результате самозащиты. Вас могут посадить в тюрьму только за то, что это омар».{6} Суть в том, что в США существует множество незначительных законов, за соблюдением которых никто никогда не следил, а вы, возможно, нарушаете их и даже не подозреваете об этом. Но теперь при этом существует след из данных, служащих уликой против вас, и всего в нескольких кликах от любого, кому они могут понадобиться.
Неприкосновенность личной жизни – это сложный вопрос. Тут нет универсальных советов. У каждого свои причины свободно делиться с незнакомцами определенной информацией о себе и хранить в секрете остальные стороны своей жизни. Возможно, вы просто не хотите, чтобы ваша вторая половина прочитала что-то сугубо личное о вас. Возможно, вы не хотите, чтобы ваш работодатель был в курсе вашей частной жизни. Или возможно, вы всерьез опасаетесь, что за вами следят спецслужбы.
У всех все по-разному, поэтому ни один из советов в этой книге не будет универсальным. Поскольку у всех из нас очень сложное и поэтому очень индивидуальное отношение к вопросу неприкосновенности личной жизни, я расскажу вам о самом важном – о том, что происходит сегодня в сфере тайного сбора данных, – и вы сможете сами решить, что из этого может относиться лично к вам.
В любом случае эта книга поможет вам понять, как обезопасить свою личную информацию в цифровом мире, и предложит варианты решения этой проблемы, которые вы можете взять на вооружение или проигнорировать. Поскольку конфиденциальность – это личное дело каждого, степень «невидимости» также сугубо индивидуальна.
В этой книге я буду говорить о том, что абсолютно за каждым из нас ведется наблюдение – и дома, и вне его стен, когда вы идете по улице, сидите в кафе или едете по шоссе. Компьютер, телефон, машина, домашняя сигнализация и даже холодильник – все это потенциальные точки доступа к вашей частной жизни.
Хорошая новость заключается в том, что я не только буду пугать вас, но и покажу, что делать в условиях отсутствия конфиденциальности – в ситуации, которая стала нормой жизни.
Из этой книги вы узнаете, как:
– Шифровать и отправлять защищенные электронные письма;
– Надежно защищать свои данные с помощью паролей;
– Скрывать свой реальный IP-адрес от сайтов и сервисов, которые посещаете;
– Оберегать компьютер от слежки;
– Сохранять свою анонимность;
– …и многое другое.
Теперь приготовьтесь освоить искусство быть невидимым.