Предлагаем вашему вниманию перевод фрагмента из новой книги Брюса Шнайера Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World.
Наблюдение — это одновременно и технологическая, и юридическая проблема. Многие технологические решения доступны почти всем: каждый из нас может использовать различные технологии обеспечения конфиденциальности и анонимности для защиты своих данных и идентичности. Эти меры эффективны, но они могут быть заблокированы секретными правительственными указами. Таким образом, нам нужно бороться и на политическом поле.
Политические решения требуют групповых усилий, но обычно ограничены конкретными странами, тогда как технологические решения потенциально могут быть глобальными. Если Microsoft реализует в ОС Windows тотальное шифрование файлов или Инженерный совет Интернета решит, что весь интернет-трафик будет шифроваться по умолчанию, эти изменения затронут всех, кто использует эти продукты и протоколы.
Суть в том, что политика может противодействовать технологиям, а технологии — политическим мерам, но ни одна из этих сфер не главенствует над другой. Если мы хотим решить проблему, нам нужно действовать в двух направлениях, и это касается не только государства и корпораций — нам, людям, тоже есть, над чем поработать.
Профессор права Эбен Моглен (Eben Moglen) написал как-то следующее: «Если мы не совершаем ничего предосудительного, то у нас есть право делать все возможное для поддержания традиционного баланса между нами и властью, которая нас подслушивает. У нас есть право быть скрытными. У нас есть право бормотать себе под нос. У нас есть право говорить на языках, которые они не понимают. У нас есть право собираться там, где мы хотим и когда мы этого хотим». Если полицейский находится в пределах слышимости, вы имеете право отойти для разговора в другое место. Если ФБР припарковало возле вашего дома микроавтобус с торчащими из него объективами, вы имеете полное право закрыть жалюзи.
Есть много приемов, помогающих нам защитить персональные данные и защититься от наблюдения самим. Я разделяю их на несколько категорий.
Ускользание от наблюдения. Вы можете изменить свое поведение так, чтобы избегать наблюдения. Например, вы можете расплачиваться наличными, а не кредиткой, или намеренно изменять свой маршрут, чтобы не попадать в области, обозреваемые дорожными камерами. Вы можете отказаться создавать страницы Facebook для своих детей и не помечать для них фотографии тегами. Вы можете не использовать календарь Google, веб-почту или облачные хранилища. Вы можете использовать для поиска в Интернете систему DuckDuckGo. Вы можете оставлять телефон дома: это легкий, хотя и неудобный способ защиты от слежки. Отправляясь в страны вроде Китая, вы можете оставлять компьютер и сотовый телефон на родине и использовать вместо них временное оборудование, взятое напрокат.
Вы можете не активировать алгоритмы автоматических систем наблюдения. Например, вы можете ограничить финансовые сделки суммами, которые не достигают уровня, начиная с которого финансовые учреждения обязаны докладывать о них федералам. Вы можете не обсуждать некоторые темы по электронной почте. В Китае, где распространено автоматическое наблюдение, люди начали писать сообщения на бумаге, а затем пересылать их фотографии через Интернет — это не защитит от нацеленной атаки, но значительно затрудняет мониторинг таких сообщений автоматизированными системами. Другой похожей методикой является стеганография — сокрытие сообщений в безобидных изображениях.
Блокировка наблюдения. Это наиболее важное, что мы можем сделать для самозащиты. Да, агентства национальной безопасности крупных могущественных стран смогут обойти все ваши усилия, если нацелятся на вас лично, но массовое наблюдение основано на легком доступе к нашим данным. Корпоративное наблюдение в большинстве случаев не является настолько нацеленным или интенсивным.
Технологии улучшения конфиденциальности (privacy enhancing technologies, или PET) могут помочь вам заблокировать массовое наблюдение. Таких технологий много. Например, существуют простые и удобные в использовании плагины для браузеров, которые отслеживают и блокируют сайты, следящие за вами при интернет-серфинге: это Lightbeam, Privacy Badger, Disconnect, Ghostery, Flashblock и многие другие. Помните, что если в браузере задан параметр конфиденциального серфинга, браузер лишь удаляет данные с локального компьютера. Это полезно для сокрытия похождений по порносайтам от партнера или партнерши, но не блокирует слежку в Интернете.
Наиболее важной PET-технологией является шифрование. Шифрование жесткого диска с помощью BitLocker от Microsoft или FileVault от Apple совершенно прозрачно и по силам любому пользователю. (В прошлом году я рекомендовал использовать программу TrueCrypt, но в 2014 году разработчики прекратили обслуживать ее при загадочных обстоятельствах, и никто не знает, как к этому относиться). Используйте программу шифрования чата по технологии Off the Record, которая надежна и удобна. Программа Cryptocat также заслуживает внимания. Если вы храните данные в облаке, поищите хранилище с шифрованием. Мне нравится SpiderOak, но доступны и другие варианты. Существуют также программы для шифрования голосового трафика: Silent Circle, TORFone, RedPhone, Blackphone.
Попробуйте использовать плагин для шифрования электронной почты с помощью PGP. Google теперь также предлагает пользователям шифрованную электронную почту. Используя ее, вы утратите некоторые возможности, основанные на поиске и организации вашей почты системами Google, но защита конфиденциальности может того стоить.
TLS (ранее SSL) — это протокол, который шифрует веб-трафик. Он задействуется автоматически в фоновом режиме, когда вы видите в начале URL-адреса префикс https, а не http. Многие веб-сайты предлагают использовать его, но не включают по умолчанию. Чтобы гарантировать, что он всегда будет включен, если это возможно, используйте плагин для браузера, который называется HTTPS Everywhere.
Я не пытаюсь предоставить вам исчерпывающий список таких программ, иначе мне потребовалось бы написать отдельную книгу, тем более, что он все равно устареет за несколько месяцев. Технологии постоянно изменяются.
Не буду вас обманывать — многие способы защиты не по силам среднему читателю (особенно неудобно шифровать почту с помощью PGP). Наиболее эффективны те средства шифрования, которые работают в фоновом режиме, даже когда вы об этом не знаете, такие как HTTPS Everywhere и программы для шифрования жесткого диска. Некоторые компании защищают данные своих пользователей, не афишируя это. Комитеты по стандартизации, которые заправляют Интернетом, также возмущены правительственным наблюдением и уже работают над тем, как сделать шифрование в Интернете более распространенным.
Помните также, что шифрование способно защитить далеко не все. Например, Google по умолчанию шифрует ваше подключение к Gmail и вашу почту на своих серверах и при ее передаче по их сети, однако Google обрабатывает вашу почту, так что у них есть копия ключей. Это верно и для данных, которые вы отправляете в социальные сети.
Большинство метаданных зашифровать невозможно. Когда вы шифруете свое электронное письмо, строки отправителя и получателя должны быть представлены открытым текстом, чтобы почтовая система могла доставить сообщение. Аналогичным образом вы можете шифровать свои разговоры по сотовому телефону, но номера, которые вы набираете, расположение телефона и его идентификационный номер шифроваться не должны. И хотя вы можете зашифровать данные своей кредитной карты, когда отправляете их веб-магазину, его сотрудникам нужно знать ваши имя и адрес, чтобы они могли отправить вам ваш заказ.
Наконец, шифрование не защищает ваш компьютер, когда вы его используете — его все же могут взломать или преступники, или правительственные агенты, но, опять же, это будет нацеленной атакой, а не массовой. Все это означает, что шифрование является важной частью решения, а не полным решением.
В настоящее время наилучшим средством для защиты анонимности в Интернете является браузер Tor. Его довольно легко использовать, и, насколько нам известно, он безопасен. Также для уклонения от наблюдения и цензуры можно использовать различные прокси. Программа OnionShare позволяет анонимно отправлять файлы через Интернет с помощью Tor. Веб-прокси обеспечивают адекватный уровень анонимности для защиты от некоторых противников.
Есть и другие несложные приемы блокировки наблюдения. Вы можете отключать службы геолокации на смартфоне, когда они вам не нужны, и более ответственно подходить к вопросу о том, каким приложениям можно разрешить доступ к сведениям о вашем расположении и другим данным. Вы можете более осторожно относиться к публикации идентификационных данных на общедоступных сайтах. Когда Эдвард Сноуден впервые встречался с журналистами в Гонконге, он приказал всем поместить телефоны в холодильник для блокировки передачи сигналов, чтобы их не могли удаленно подслушать.
Иногда заблокировать наблюдение довольно легко. Простой наклейки, закрывающей камеру компьютера, может хватить, чтобы предотвратить удаленное получение ваших фотографий кем-то, кто захватил контроль над вашим компьютером. Вы можете не указывать обратный адрес на конверте, чтобы ограничить сбор данных почтовым отделением. Вы можете попросить кого-нибудь пройти вслед за вашим автомобилем, чтобы скрыть его номерной знак от автоматических сканеров, как делают люди в Тегеране. Иногда достаточно просто сказать «нет»: вы можете отказаться вводить личную информацию в формы, не сообщать номер телефона продавцам в магазине и т.д.
Некоторые способы блокировки наблюдения нелегальны: так, скрывать номерной знак автомобиля запрещено. Другие способы не поощряются обществом — например, разгуливание по улице в маске. Наконец, некоторые способы просто выставляют вас в глупом свете — например, использование грима для обмана камер, распознающих лица, или ношение специальной одежды для запутывания дронов.
Обман систем наблюдения. Мой браузер удаляет файлы cookie при каждом закрытии, и я закрываю его несколько раз в день. За мной все же наблюдают, но теперь связать все небольшие факты со мной гораздо сложнее, к тому же, меня не преследует реклама. Когда я делаю покупки в Safeway, я использую номер лояльного покупателя, принадлежащий моей знакомой. Это искажает историю наблюдения, которую хранит магазин.
Приемы из этой категории иногда называют запутыванием (обфускацией), и, если подумать об этом, можно изобрести много разных хитростей. Вы можете обмениваться магазинными картами лояльности с друзьями и соседями. Вы можете надевать необычную одежду. В книге Кори Доктороу Младший брат главный герой помещает камешки в обувь, чтобы изменить походку для обмана системы распознавания походки.
Массовое применение способов защиты конфиденциальности также делает нашу жизнь более безопасной. Пока в мире есть места, где от PET-технологий зависит жизнь людей, нам следует использовать их как можно чаще. В каком-то смысле они похожи на конверты. Если бы почти все использовали открытки, те немногие, кто отправлял бы письма в конвертах, вызывали бы подозрение. Но поскольку почти каждый использует конверты, люди, которые на самом деле нуждаются в конфиденциальности конверта, не выделяются на общем фоне. Это особенно верно для сервисов анонимизации вроде Tor, работа которых основана на том, что много людей использует их для сокрытия идентичности каждого.
Вы можете — и я знаю людей, которые действительно это делают — искать случайные имена в Facebook, чтобы вводить систему в заблуждение относительно ваших социальных связей. Конечно, это лишь частичное решение, но анализ данных — это проблема отношения сигнала к шуму, и добавление шума неизбежно затрудняет анализ.
Вы можете указывать в веб-формах и ответах на запросы ложную информацию (не волнуйтесь, ваши дети делают это каждый день). Задолго до того как слежение за покупателями стало нормой, магазины RadioShack спрашивали у покупателей адрес и номер телефона. Какое-то время я отказывался сообщать эти данные, но это казалось странным. Тогда вместо этого я стал указывать адрес АНБ — 9800 Savage Road, Columbia, MD, 20755. Когда несколько лет назад я рассказал об этом коллеге, он ответил, что всегда сообщает адрес Белого дома — 1600 Pennsylvania Ave., Washington, DC. По его наблюдениям, никто не узнает этот адрес.
Вы также можете получить кредитную карту на другое имя. В этом нет ничего незаконного — просто попросите у карточной компании вторую карту на другое имя, привязанную к вашему счету. Если продавец не спрашивает документы, вы сможете использовать ее.
Обман может быть очень мощным средством, если использовать его дозированно. Мне известна одна любопытная история о группе марокканских активистов. Тех, кто не носил с собой сотовые телефоны, тайная полиция успешно выслеживала и время от времени избивала. За теми, кто носил телефоны, не следили, поэтому они могли оставлять телефоны дома, когда им на самом деле нужно было скрыть свои передвижения. Говоря более общим языком, если вы перекрываете врагу все разведывательные каналы, вы лишаетесь возможности обманывать его.
Повреждение систем наблюдения. Некоторые системы наблюдения можно уничтожать или повреждать. Вы можете перерезать провода, питающие системы автоматического определения скорости на дорогах. Вы можете закрашивать линзы камер безопасности из баллончика. Если вы владеете хакерскими навыками, вы можете отключать системы наблюдения, подключенные к Интернету, удалять или искажать базы данных с наблюдениями или иным образом вредить этим системам. Почти все способы из этой категории нелегальны, так что будьте осторожны.
Некоторые из этих способов сложнее, другие проще. Некоторые из нас могут сделать больше остальных. Так, многие люди вводят случайные данные в веб-формы, но мало кто — я знаю только одного такого человека — ищет случайные вещи в Google, чтобы запутать свои профили. Многие такие формы поведения имеют социальные, временные или денежные следствия, не говоря уж о психологической тяжести постоянной паранойи. Например, я редко подписываюсь на дисконтные карты в магазинах, из-за чего почти не пользуюсь скидками. Я не использую Gmail и никогда не получаю доступ к почте через Интернет. У меня нет личной учетной записи на Facebook, а это означает, что я слабее связан с друзьями, чем хотелось бы. Однако я практически везде ношу с собой сотовый телефон и собираю мили частого авиапассажира, а это означает, что соответствующие компании могут следить за мной. Уверен, что вы найдете свою нишу.
Всем нам следует делать для решения проблемы наблюдения все возможное, потому что конфиденциальность по-настоящему важна, и нам нужно использовать наши права, чтобы не потерять их. И, ради всего святого, не участвуйте в онлайн-опросах, если не знаете, где в итоге окажутся ваши данные.
Брюс Шнайер (Bruce Schneier)
: slate.com
Источник: bitnovosti.com