14:45 19.05.2016  (обновлено: 08:32 06.06.2016)   |   1758 |  Леонид Черняк |



Издревле любая новая технология наряду с благом привносила в жизнь специфические, неизвестные прежде связанные с ней опасности. Требуются годы, а иногда десятилетия совершенствования, чтобы та или иная технология стала безопасной. Компьютерные технологии не исключение — игромания, бесконтрольное распространения вредоносного контента, интернет-зависимость и многое, многое иное. По уровню безопасности на сегодняшний день эти технологии можно сравнить с автомобилями или самолетами 1940-1950 годов, которые уже неплохо перемещались, но еще не были снабжены специальными средствами обеспечения безопасности. Начнем с такой опасности, как утрата конфиденциальности и технологий, способствующих этому.

По ходу пьесы Джоан Роулинг «Гарри Поттер и проклятое дитя» ее персонажи делают вывод о том, что «иногда тьма приходит с неожиданной стороны». И вот, наблюдая за происходящим в области информационно-коммуникационных технологий, по их примеру хочется сказать: «В некоторых случаях темная сторона будущего тоже приходит совсем не оттуда, откуда можно было ожидать». Разумеется, речь идет лишь о некоторых случаях, основной поток новаций вполне предсказуем и закономерен. О том, чего ждать, можно судить, например, по широкомасштабной акции Change is happening («Изменения происходят»), которую проводит популярный портал Gigaom. В ней планируется затронуть семь тем: искусственный интеллект, виртуальная реальность, роботы, нанотехнология, 3D-печать, человеко-машинный интерфейс и кибербезопасность.

Темная сторона обнаруживается не в высоких технологиях, а на стыке обыденной жизни и ИКТ. Достаточно посмотреть на то, куда устремлены взгляды доброй половины пассажиров метро, а если поднять голову на улице, то непременно увидишь смотрящие на тебя камеры, ну а о воздействии на жизнь социальных сетей и игромании говорить излишне. Буквально каждый день приходят сообщения об утечках данных, о новых системах слежки, последний пример — скандальная инициатива компании Infowatch по прослушиванию личных мобильных телефонов. В итоге приходится признать, что наряду с классическими, скажем так — «благородными» ИКТ огромное место занимают технологии, нарушающие конфиденциальность (privacy-shattering technology).

Сложившаяся ситуация весьма неутешительна. Волей-неволей приходится согласиться с тем, что более 15 лет назад сказал Скотт Макнили: «Личная тайна сведена до нуля, забудьте о ней». Крылатую фразу одного из основателей Sun Microsystems часто повторяют многие пишущие на тему охраны личных данных. Например, авторы книги «Личная тайна в XX веке» (Privacy in the 21st Century) согласились с Макнили: «Это шокирующее утверждение, но в нем есть доля истины». Некоторые считают, что личную тайну вообще следует отменить: порядочному человеку, мол, скрывать нечего. Но, согласитесь, даже самому наипорядочнейшему человеку не возбраняется сохранять в секрете свои личные, финансовые или медицинские сведения. Однако в эпоху Сети с каждым годом делать это становится все сложнее, и надежду на то, что законодательными мерами можно исправить положение, могут питать только наивные люди. Эрозию тайны персональных данных не приостановить усилием воли: это системное явление. Мы живем во все более и более опасной среде, мы вынуждены разглашать свои персональные данные повсеместно, начиная от оформления заказа в химчистке и вызова такси. Если вы пользуетесь услугами одной избранной службы такси, то сделать определенные выводы о вашем образе жизни несложно. А на сайт вуза, где учится ваш ребенок, выкладываются все данные о его академических успехах и условиях обучения.

Перечень нарушений права на конфиденциальность безграничен, поэтому против них нет лекарства, и каким-то нормативным актом изменить существующее положение нельзя. Тем не менее гражданские активисты сопротивляются, дело дошло до того, что 28 января в США, Канаде и 27 европейских странах отмечается День конфиденциальности данных (Data Privacy Day).

Примеры разглашения личных данных регулярно публикуются в СМИ, вот некоторые из них.

Шедевр 2016 года — публикация «Панамских документов», которая произвела особо сильное впечатление на мировую общественность: оказалось, что наивная надежда самых богатых и сильных мира сего скрыть свои сверхдоходы не оправдалась. Показательна в этом отношении опубликованная в авторитетном политическом издании Politico статья «Грядет эра мегаутечек», ее перевод дается на сайте «ИноСМИ». Автор публикации, Джейкоб Силвермэн, известный журналист-фрилансер, утверждает, что слив «Панамского досье» — это лишь первый звонок, а дальше будет больше. Силвермэн показывает динамику утечек начиная с 1971 года, когда Даниэль Эллсберг предал гласности документы Пентагона, относящиеся к Вьетнамской войне, их содержание стало причиной первого в ряду политических скандалов-разоблачений. Свою основную мысль автор выразил следующим образом: «Появляется какой-то хакер-одиночка, сливает мировым СМИ огромный массив секретных данных о сверхбогатых и влиятельных людях планеты, а потом из страха за свою безопасность и свободу исчезает из вида — вероятно, навсегда. Добро пожаловать в эру мегаутечек информации».

Взлом панамских серверов был произведен посредством DROWN-атаки (Decrypting RSA with Obsolete and Weakened eNcryption, или в переводе: расшифровка RSA с устаревшим и ослабленным шифрованием). DROWN относится к так называемым кросс-протокольным атакам, которые используют уязвимости в реализации SSLv2 в случае применения этого протокола для соединений, установленных по другому протоколу, например TLS. Создатели DROWN воспользовались отсутствием должной защиты RSA-шифрования в SSLv2. Ослабленные версии шифров 20-летней давности предполагают использование 40-битных ключей RSA. В современных условиях на вскрытие такого ключа потребуется не более восьми часов работы арендованного сервера на облачном сервисе Amazon EC2 и сумма в 440 долл Полное описание сущности DROWN и возможных методов защиты от этой атаки можно найти на сайте drownattack.com. На 1 марта, когда были опубликованы первые сведения о DROWN, треть общего числа серверов в мире не были защищены от этой атаки. Незначительность затрат позволяет допустить справедливость гипотезы о хакере-одиночке, но по здравом размышлении сложно поверить в существование одного злоумышленника, умудрившегося скачать 2,6 Тбайт данных. Также трудно предположить, что разработка DROWN проведена силами одиночки, сомнения связаны с тем, что авторами статьи о «контроружии» — «DROWN: Breaking TLS using SSLv2» являются 15 экспертов восьми уважаемых университетов и компаний.

Еще более уязвимы файлы и переписка обычных законопослушных граждан. Свои личные данные мы пытаемся защитить паролями, но еще несколько лет назад в культовом журнале The Wired была опубликована статья «Уничтожьте пароли, строка символов вас не защитит» (http://www.wired.com/2012/11/ff-mat-honan-password-hacker/all/). Как оказывается, анализ цифровых следов, оставленных человеком, позволяет раскрыть его самые сложные пароли. И хотя надежда на квантовую криптографию сохраняется, проекты типа Secure Communication based on Quantum Cryptography (SECOQC) затягиваются на долгие годы и о доступных средствах говорить пока не приходится.

Особое место занимают системы слежения. Слежка со стороны государства за гражданами так же стара, как сам институт государства, факт ее существования известен со времен Древнего Египта, но слежка стала воистину массовой (mass surveillance) в наше время, прежде всего с появлением в США в 1970-е годы системы Echelon и ее последователей. Сейчас посредством аналогов Echelon той или иной мощности поддерживается работа спецслужб в большинстве стран, а обществами с повальной слежкой (endemic surveillance societies) признаны, в частности, США, Великобритания, Россия и пять азиатских стран, включая Китай.

Однако в XXI веке, возможно, самую серьезную угрозу для конфиденциальности представляют камеры слежения (surveillance cameras), расположенные на транспорте, на улицах и в местах общего пользования, особенно в сочетании с современными системами идентификации по лицу (facial recognition). Объемы данных, собираемых такими негосударственными видеорегистраторами, явно превосходят потенциал традиционных систем слежения, принадлежащих спецслужбам, хотя сложно делать какие-либо суждения по поводу последних из-за скрытности их методов. К тому же граждане и сами делают заметный вклад в дело слежения, для этой деятельности существует специальный термин sousveillance — парафраз от surveillance. Оба термина имеют французские корни, отличие в том, что sur означает «сверху», а sous — «снизу», эти префиксы можно понимать в прямом и переносном смысле. Sousveillance может быть слежкой за окружающей средой (видеорегистраторы) и за самим собой (селфи).

Потенциал sousveillance заметно усилили социальные сети. Не секрет, что группа Bellingcat смогла раскрыть тайну сбитого Boeing MH17, используя данные из соцсетей, прежде всего фотографии, выложенные военнослужащими. Возможность sousveillance многократно усиливают такие сервисы, как Findface, включенный в сеть «ВКонтакте». Он разработан компанией «НТех Лаб» (http://ntechlab.ru/), специализирующейся в области искусственных нейронных сетей и машинного обучения. Эффективность Findface подтвердил студент Московской школы фотографии и мультимедиа им. А. Родченко Егор Цветков, он сделал 100 фотографий пассажиров метро и с помощью этого приложения нашел 70 персонажей в соцсети «ВКонтакте». Публикация об этой работе справедливо названа «Конец анонимности». Результаты «НТех Лаб» заметно взволновали мировую общественность, о них написала, например, лондонская Observer. Нетрудно представить себе, к чему приведет эта технология, будучи примененной к уличным камерам слежения.

Каждый отдельно взятый из приведенных эпизодов можно как-то объяснить: в одном случае — ошибками сисадминов, в другом — жаждой славы, в третьем — разгильдяйством и попросту глупостью. Можно искать и назначать виновных, но мощность потока событий заставляет искать какие-то иные, более общие причины и закономерности. Большинство разумных экспертов сходятся во мнении — нарушение конфиденциальности вне зависимости от того, чем оно вызвано (антикоррупционная, антитеррористическая, репрессивная и противозаконная деятельность), базируется на privacy-shattering technology, но этого мало. Технологии — это всего лишь инструменты, которые могут быть использованы в определенных условиях для тех или иных объектов или информационных сред.

Очевидно, что для всего происходящего есть более фундаментальные основания, о них в следующих материалах.


Теги: Авторские колонки