Почему о приватности можно забыть навсегда

​Еще совсем недавно информационная безопасность была уделом больших корпораций и государственных органов. Сейчас заботиться о защите данных имеет смысл каждому.

Начнем с мобильности. С современным смартфоном и высокоскоростной 4G-связью для повседневных нужд постепенно отмирает необходимость в ноутбуке: почта, данные в облаках — легко и удобно. Однако, если задуматься, вся личная информация теперь находится у нескольких американских вендоров: Apple (IPhone, ICloud), Microsoft (Windows, Skype), Google (Android, Gmail), которым мы вынужденно доверяем наши данные. А именно — переписку, звонки, файлы, контакты, фотографии, календарь, т.е. существенную составляющую личной жизни. К этому все давно привыкли и смирились, хотя еще каких-то пять, а тем более десять лет назад все было по-другому.

Какие еще личные данные в ближайшем будущем мы будем доверять сторонним компаниям? Все!

Интернет вещей и уязвимостей

Умные вещи, подключенные к интернету, скоро изменят до неузнаваемости нашу повседневную жизнь. Микроволновка, кофеварка или стиральная машина, которым нужно обновлять прошивку через Сеть, скоро вытеснят все остальные привычные бытовые предметы. Автомобили, подключенные к интернету, — это тоже уже сегодняшний день, не говоря уже о том, что и все авиабилеты приобретаются через глобальные интернет-системы. Что умные вещи могут знать про нас? Все: наши привычки, предпочтения в еде, напитках, телепрограммах, интимные нюансы.

Далее — телемедицина. Если задуматься, сегодня 90% обращений к врачам — это банальные случаи простуды. И во многих случаях человеку можно помочь удаленно: поставить диагноз и даже спасти жизнь, если он имеет на себе диагностическую аппаратуру, например подключенные к Сети медицинские браслеты. Эти технологии эволюционируют, а серьезный прогресс будет заметен в ближайшие 5–10 лет. И наверняка станет привычным сбор полной медицинской информации о каждом из нас.

Добавим ко всему сказанному выше данные о покупках, которые мы совершаем, нашу активность в интернете, и станет совершенно ясно, что в ближайшем будущем о нас будут знать буквально все: от наших предпочтений в еде до болезней, от поездок до покупок. Понятие приватности в принципе исчезнет уже в XXI веке, и больше всего нас должно волновать, насколько надежно защищены наши данные и каким рискам мы подвергаемся в случае их раскрытия.

Большой брат

Что касается классических данных (файлов, почты и т.п.), которые хранятся у вендоров «первого звена» (Google, Microsoft, Apple), то от обычного взломщика они защищены в целом очень неплохо. Однако не стоит забывать о спецслужбах. В 2013 году Эдвард Сноуден опубликовал секретные данные о программе PRISM, согласно которым Агентство национальной безопасности США (АНБ — самая мощная и засекреченная американская спецслужба, занимающаяся с 1952 года технической разведкой) давно имеет соглашение с такими вендорами, позволяющее осуществлять негласный контроль над всей обрабатываемой ими пользовательской информацией. Явных доказательств этому нет, но давайте рассмотрим косвенные факты.

Первое. Если АНБ США и правда массово собирает данные о пользователях, их необходимо где-то хранить. Факт — несколько лет назад АНБ открыло новый огромный дата-центр в Юте, который является третьим в мире по размерам, достигая по площади примерно 30 футбольных полей.

Второе. Собранные данные необходимо обрабатывать. Учитывая колоссальные массивы информации, можно представить масштаб этой пр​облемы. И тут приходит на ум интересный и загадочный американский стартап Palantir, созданный в 2003 году. Главным его инвестором является инвестиционный фонд ЦРУ, вложивший в соответствии с открытой информацией более $300 млн. Этот стартап делает «поисковик для спецслужб» — мощнейшую систему поиска, анализа и корреляции больших данных. А недавно они стали предлагать свои услуги и крупным корпорациям, что вывело капитализацию этой компании на цифру $20 млрд — ЦРУ сделало прекрасное вложение.

Зачем АНБ дата-центр такого размера и подобные мощнейшие технологии поиска и анализа больших данных? Чтобы следить за интересующими их объектами (чиновниками, разведчиками, террористами и т.д.)  — это тысячи, пусть десятки или даже сотни тысяч объектов, представляющих прямой интерес. Но это явно не тот масштаб. Все это оборудование и программное обеспечение явно построены для анализа сотен миллионов, если не миллиардов объектов и с большим прицелом на будущее. Причем заметим, что новый дата-центр АНБ появился гораздо позже, чем, по данным Сноудена, была запущена программа тотальной слежки PRISM, т.е. и до него все прекрасно работало. И тут на ум приходит «интернет вещей», который даст огромный пласт новой крайне ценной для анализа информации.

Не разговаривайте около телевизора

Теперь поговорим о безопасности «интернета вещей». А здесь все очень плохо. Ее просто нет. Вендоры не видят рисков и банально не заботятся о безопасности умных устройств. Сообщения об уязвимостях в телевизорах, видеонянях и умных туалетах пока вызывают улыбки. Но когда мы слышим, как компания Samsung (одновременно с производителем ОС Тizen, предназначенной для умных вещей и мобильных устройств) официально рекомендует пользователям не вести конфиденциальные переговоры при включенном ТВ из-за «возможности отправки данных третьим лицам», становится совсем не смешно.

Стоит задуматься и о безопасности привычных повседневных устройств — домашних роутеров. В них присутствует огромное число уязвимостей и других проблем. Федеральная торговая комиссия США даже недавно оштрафовала компанию ASUS за уязвимости в домашних роутерах, обязав ее к тому же проводить в течение 20 лет сторонний аудит своих продуктов. И пользующийся вашим интернетом сосед — далеко не единственное возможное последствие этой проблемы.

Еще менее забавными представляются уязвимости медицинского оборудования, возможности удаленного вмешательства в управление автомобилем и прочие проблемы, которые могут привести к потере здоровья и даже жизни.

Таким образом, печальный вывод для нас всех состоит в том, что чем ближе устройство к конечным пользователям, тем больше проблем с безопасностью. Что уж говорить о безопасности «интернета вещей»? Ее нет и в ближайшее время не будет. А это означает, что умные вещи можно взломать и получить к ним доступ.

Риски для обывателя

На первый взгляд, кажется, что мы с вами не представляем интереса для спецслужб. Но ведь ничто не мешает собирать определенные данные «про запас». Мало ли когда они понадобятся. Обычный гражданин может стать крупным чиновником, бизнесменом, — и тогда его досье может оказаться очень кстати. И если он выражает неуместный протест, несогласие, полная информация о нем будет весьма полезной. Не нужны осведомители, не нужна система доносов — все данные можно быстро выгрузить из базы. Palantir, судя по открытой информации, уже предоставляет чудовищные возможности для поиска и визуализации различных связей на основе собранных разнородных данных, позволяющие, например, выявлять преступные или иные сообщества. Да и получать много другой информации.

Кроме того, открываются широкие возможности для корпораций, которые хотят контролировать своих сотрудников, развивать бизнес через предоставление клиентам умной целевой рекламы. Болит голова — получи на сайте баннер с рекламой обезболивающего и адресом ближайшей аптеки.

Подробная информация о нас нужна и киберпреступникам, которые обязательно придумают, как использовать ее в своих интересах. И это не фантазия, это ближайшее будущее, где удобные и полезные вещи соседствуют с теми, что представляют опасность.

В последнее время нас буквально приучают к тому, что опасная уязвимость или даже намеренно оставленная закладка — это нормально. Налицо «инфляция репутации» даже авторитетных ИТ- и ИБ-вендоров, что уж говорить о производителях «интернета вещей», новичках в этой области. Добавим сюда усталость от постоянных сообщений об обнаруженных дырах, закладках и успешных взломах. Весь наш мир сегодня живет по простому принципу: «Безопасность через неведение», что безусловно радует корпорации, хакеров и спецслужбы.

Apple vs ФБР

Яркая иллюстрация этих трендов — противостояние ФБР и Apple. Дело достаточно интересное и не такое очевидное, как кажется. И оно может создать опасный прецедент, тем более iPhone ничем принципиально не отличается от любых других умных устройств. Как уже известно, федералы попросили Apple установить универсальный бекдор (дефект алгоритма, который позволяет получить тайный доступ к данным) на модель, которой пользовались террористы. Такое ПО позволило бы службе в любой момент самим вскрывать любой iPhone.

Реакция Apple на подобный запрос была ожидаема. Людям, далеким от специфики отрасли ИБ, могло показаться, что производитель радеет за безопасность пользователей, на права которых посягнуло федеральное правительство США. На самом деле вендор беспокоится только об ущербе для своего бизнеса. И Apple в данной истории волнует только то, как информация об обнаружении уязвимости или бекдора может повлиять на продажи. Здесь важно, что речь идет не о «случайных» уязвимостях, о которых могут знать спецслужбы США, а об официальном бекдоре с практически государственным статусом. В США впервые подобный прецедент предается огласке. Доселе такие открытые запросы от властей были только в Китае. Поэтому компания Apple и была вынуждена отреагировать подобным образом.

Самое интересное, почему запрос был придан широкой огласке? Все эти данные спецслужбы могли получить неофициально. Вполне возможно, что пользователей таким образом готовят к новой эре официальных «государственных» бекдоров. Спецслужбы хотят знать все.

Существуют и иные опасности, связанные с данным прецедентом. Во-первых, если бы такое ПО было создано, то злоумышленники в дальнейшем могли бы его использовать. Во-вторых, правительства других стран, менее демократических с точки зрения США, могли бы потребовать предоставить им аналогичный бекдор. В-третьих, если бы Apple пошла на уступки, в дальнейшем ее участь наверняка постигла бы других вендоров, включая производителей устройств «интернета вещей». В итоге фэбээровцы сами взломали телефон, а Apple удалось сохранить лицо.

Все это не означает, что нужно отказаться от прогресса. Нам всем просто необходимо отдавать себе отчет, чем все это грозит, а вендорам — срочно предпринять все необходимые меры, чтобы техническая революция не превратилась в сплошной кошмар.