Системы массовой слежки
Системы массовой слежки − не новое явление для мира, и если в прошлом главной задачей был перехват звонков и телеграмм, то в цифровую эпоху основной собираемой информацией стал сбор данных об активности и коммуникациях в сети Интернет и сотовых сетях. В большинстве случаев системы массовой слежки осуществляют легальный сбор данных по различным каналам связи.
Почти в
каждой стране есть своя система массового сбора информации: в России это
СОРМ, в Канаде, Австралии, Новой Зеландии, США и Великобритании −
ECHELON, Frenchelon во Франции, Золотой щит в Китае. Мы будем подробнее
говорить о них в главе, посвященной системам массовой слежки и методам
защиты от них. Прогресс не стоит на месте, и эти системы периодически
совершенствуются, появляются новые решения, позволяющие хранить больше
информации в меньшем пространстве, тратить на это меньше денег или
эффективнее осуществлять поиск нужной информации в собранных данных.
Например, относительно новое явление − поиск по отпечатку голоса. Если у
правительства есть запись вашего голоса, они всегда смогут найти ваши
звонки, с какого бы номера вы их ни совершали. Подобные решения стоят
немалых денег и имеются в арсенале спецслужб далеко не каждой страны.
Вы
наверняка уже слышали о методах защиты от массовой слежки, подобные
инструкции активно распространяют в сети правозащитные организации и
активисты. Согласно им для защиты от массовой слежки достаточно
шифровать свои коммуникации, а еще лучше использовать VPN для
комплексного шифрования всего интернет-трафика. И ведь разумно пишут: ну
как следить, когда трафик зашифрован? VPN действительно шифрует весь
интернет-трафик до VPN-сервера, и система перехвата данных на уровне
вашего интернет-провайдера получит только зашифрованный трафик. Но вот
на VPN-сервере трафик будет расшифрован и в лучшем случае останется
зашифрованное соединение до сайта (HTTPS), которое не является
непреодолимой преградой для спецслужб.
Если в стране, где
размещен ваш VPN-сервер, нет системы массового сбора данных (хотя мне не
известны такие страны), то она может стоять где-нибудь на протяжении
дальнейшего пути до сайта. Но если и VPN-сервер, и сервер сайта, к
которому вы подключаетесь, находятся в одном датацентре и между ними нет
системы массового сбора данных, то остаются только зашифрованные
данные, собранные вашим интернет-провайдером или иной стороной в любом
другом месте на пути к серверу VPN. Хотя нет, есть еще одно условие: VPN
должен быть настроен правильно, иначе возможны утечки данных вплоть до
передачи незащищенной информации в обход зашифрованного туннеля. Мы
научим вас правильно настраивать VPN.
Многие эксперты утверждают, что шифрование решает проблему тотальной слежки. К сожалению, это не совсем так. Действительно, если используется надежный алгоритм шифрования, а программное обеспечение не содержит закладок, зашифрованные данные в настоящий момент с высокой долей вероятности не расшифруют. Но прогресс не стоит на месте, и многие алгоритмы шифрования, 10 лет назад считавшиеся надежными, сегодня уже таковыми не являются. За примерами далеко ходить не надо: RSA с длиной ключа 768 бит активно использовался государственными органами, крупными компаниями и даже в оборонной сфере, пока в 2009 группа ученых не взломала его и всем было предложено прейти на 1024-битные ключи.
Прошло еще время, и в 2018 году пользователям рекомендуется использовать уже ключи от 2048 бит. А на горизонте маячит квантовый компьютер, который сможет расшифровывать все зашифрованные сегодня данные. Вам придется смириться с мыслью, что шифрование − это лишь временная защита, но не панацея. Все ваши переписки, звонки, интернет-трафик со временем можно будет расшифровать, а пока их можно просто собрать и сохранить. Есть немало случаев, когда правоохранительные органы изымали зашифрованные носители информации, но не могли их расшифровать.
Например, Даниель Данташ
− арестованный в Рио-де-Жанейро бразильский банкир, которого
бразильские власти подозревали в мошенничестве. Его диски больше года
пытались взломать Национальный институт криминалистики Бразилии и ФБР,
но не смогли. Возможно, придет время и они все-таки посмотрят их
содержимое…
А может, используемое шифрование уже ненадежно… Вы же
не рассчитываете, что спецслужбы, найдя способ расшифровывать
зашифрованные коммуникации, выступят с официальным заявлением и скажут:
«Многоуважаемые пользователи, мы нашли способ расшифровывать данные,
зашифрованные алгоритмом N, пожалуйста, перейдите на более безопасные
решения»? Современные алгоритмы хорошо изучены, и вероятность этого
невелика, но она не нулевая и совсем исключать ее мы не можем, тем
более, подобные примеры еще свежи в памяти. Например, компания RSA
Security с 2004 предлагала клиентам заведомо ненадежный алгоритм
генерации псевдослучайных чисел Dual EC DRBG, позволяющий АНБ в любой
момент получить доступ к зашифрованным данным. Работали эти парни не за
идею, а за 10 млн долларов, заплаченные им АНБ.
А что специалисты? Подозрения о наличии уязвимостей в Dual EC DRBG возникли еще в 2007, но они не вышли за пределы узкого круга экспертов до тех пор, пока в 2013 Эдвард Сноуден не раскрыл миру правду. И только тогда сообщество забило тревогу, призывая отказываться от ненадежного алгоритма. Уязвимым решением многие годы пользовались тысячи клиентов, включая таких гигантов, как Adobe, Oracle, Sony и Nintendo. Но я слишком увлекся, это вводная статья, ее задача познакомить вас с угрозой и обрисовать решения. Как вы поняли, о вас собирают довольно много данных и, вероятнее всего, с развитием технологий делать это будут еще активнее, а хранить данные еще дольше. Кто и как воспользуется затем этими данными?
Хочется ли вам, чтобы кто-то мог узнать, что вы писали в восемнадцать лет? Какие видео вы смотрели? Какие сайты посещали? Не станут ли заблуждения молодости компроматом, который сломает вам жизнь через много лет? Кто даст гарантию, что данные не утекут в третьи руки или государство не использует их для давления на вас? Все эти вопросы делают массовый сбор данных серьезной угрозой нашего века. Вы думаете, это утопия? К сожалению, нет. В Китае уже используется система социального рейтинга, при которой каждый гражданин имеет рейтинг, и в соответствии с ним определенные привилегии и ограничения. Получить баллы, повышающие социальный рейтинг, можно за общественную работу, помощь родителям, полезную деятельность на благо партии и другие положительные действия, например своевременную выплату кредита.
В данный момент система только внедряется, и этот список, насколько мне известно, еще в процессе проработки. Понижается социальный рейтинг за критику в интернете власти и сложившихся порядков, в том числе социальных сетях, личных переписках, переписках по электронной почте (в Китае переписки в мессенджерах и электронной почте анализируются системами массового контроля интернет-трафика и в случае наличия подозрительных слов передаются на изучение живым людям), в случае доносов соседей, нарушения ПДД, законов и других действий, большинство из которых, справедливости ради, наносит вред обществу.
Граждане с низким социальным рейтингом не могут совершать поездки на транспорте дальнего следования и авиаперелеты. По данным Global Times, только к апрелю 2018 года низкий социальный рейтинг стал причиной отмены более 11 млн авиаперелетов. Они будут лишены или частично ограничены в возможности работать в госучреждениях, получать социальное обеспечение, брать кредиты в банках, открывать коммерческие организации, обучать детей в дорогих частных школах, останавливаться в премиальных отелях, выезжать за границу – и все это только начало, гайки будут закручивать. Если ты против власти – ты изгой, если ты говоришь, что думаешь, и это не считается правильным – ты изгой, и искать таких смелых вольнодумцев будут системы массовой слежки. В то же время законопослушные и лояльные к власти граждане КНР получают от государства различные бонусы - преимущество при устройстве на хорошую работу, обслуживание в государственных учреждениях, возможность использовать гражданские права свободного человека.