Безопасность в глобальной сети: правила кибер-гигиены

Безопасность в Интернете не может быть отвлеченным понятием, это не конкретное состояние и не финальная точка приложения усилий. Это процесс, это непрерывное движение в постоянно меняющихся обстоятельствах. Более того, представления о безопасности в Интернете отличаются у разных сторон: у государственных органов, маркетологов, разработчиков и владельцев браузеров, веб-сайтов, сервисов, приложений, антивирусов, поисковиков и социальных сетей.

Все эти игроки рынка имеют часто совпадающие, а нередко и противоположные ценности, которые они стараются воплотить в своей продукции, в правилах и нормах, навязываемых остальным. В итоге безопасность пользователей — главной и самой многочисленной группы участников — становится результатом борьбы и компромиссов множества сторон — тех, в чьих руках находится Интернет.

Пассивная роль, которая отводится пользователям, — это одна из причин того, что они стали товаром — перетекающей от одного соперника к другому субстанцией. Эта ситуация парадоксальна: внимание рядовых потребителей — это награда, желанный плод усилий для многих, но сами пользователи не имеют в этом процессе самостоятельности и почти никакого влияния.

Между тем сам факт противоборства групп, определяющих законы, по которым работает Интернет, и его содержимое, дает в руки пользователей достаточное количество инструментов для обеспечения своей безопасности. Инструменты и технологии могут меняться, но это не проблема для тех, кто вооружен базовыми принципами, — они сформулированы ниже.

Анонимность — это миф

Любые предлагаемые в популярных обзорах средства сокрытия собственной личности могут быть преодолены теми, кто заинтересован в этом. Вероятность раскрытия зависит лишь от степени интереса и возможностей этих лиц, а также от важности тайн, которые могут быть открыты.

Уязвимые места — точки подключения к Интернету, записи в логах серверов, оставляемые сетевыми устройствами, идентификаторы и заводские номера, политика государств и регулирующих органов, направленная на борьбу с терроризмом, отмыванием денег и движением преступных капиталов.

Есть и другие факторы, облегчающие задачу для тех, кто хочет выследить «анонимного» пользователя, и они не связаны напрямую с контролем соединения в сети: общественные места, оборудованные системами слежения и распознавания лиц; система слежения за физическим перемещением мобильных телефонов; комплексный контроль цифровых следов — все эти системы в комплексе делают задачу сокрытия личности практически невыполнимой.

Однако вышесказанное совсем не значит, что можно махнуть рукой на осторожность и сохранность личных сведений. Существует огромное количество людей и организаций, которые с удовольствием собирают открытые данные и используют их для своей выгоды. Сбор персональной информации пользователей, которые позаботились хотя бы о базовой безопасности, требует значительных ресурсов, часто дополнительных полномочий и усилий. Это значит, что их доступность в общих случаях почти нулевая — слишком дорого.

Не уверен — не делай

Этот принцип можно отнести к самым разным действиям в глобальной сети: к посещению интернет-страниц, к скачиванию файлов, к регистрации на сервисах, к установке приложений. Если есть сомнения в чем-то из перечисленного — лучше избежать этого действия. А если возможности обойтись без этого нет — необходимо всё предварительно проверить по доступным каналам.

Поисковики в данном случае — отличный инструмент: можно узнать, правильная ли ссылка указана в описании; существует ли организация, которая предоставляет услугу, какие отзывы о ней оставляют пользователи.

Приложения и сервисы тоже могут быть проверены по множеству разных признаков: по количеству и содержанию негативных отзывов, по рейтингу в магазинах приложений, по наличию адекватной поддержки пользователей.

Цифровые сервисы вам не принадлежат

Это утверждение кажется очевидным, но многие не до конца понимают его смысл. Практически всё, что вы делаете с помощью электронных устройств, любые данные, которые вы с помощью них создаете, обрабатываете, просматриваете, принимаете, неподконтрольны вам — ими распоряжаются владельцы сервисов, которые вы используете.

Аккаунт в социальной сети, в веб-сервисе, в приложении носит ваше имя, содержит загруженные вами фотографии, ваши мысли, эмоции, слова, но всё это по факту есть собственность сервиса, и сделать с ними он может почти всё, что угодно: использовать для своих аналитических приложений, в маркетинговых кампаниях, для создания вашего скрытого цифрового профиля, в качестве товара при сделках с партнерами.

В любой момент автоматическая система или администратор (модератор) сервиса может счесть ваши действия, размещаемый контент, активность нарушающими условия использования и заблокировать аккаунт или просто удалить его. Доступность службы поддержки для восстановления справедливости в случае ошибки — это другой вопрос (как правило, решить его очень сложно, почти невозможно), но тоже наглядно иллюстрирующий этот тезис.

Другой пример: пользователи Windows 10 могут до поры до времени считать, что они распоряжаются своими компьютерами, их внутренними устройствами и данными, которые там хранятся. Однако операционная система опровергнет их убеждения в момент, когда понадобится, например, провести презентацию перед клиентами или коллегами, а сервис обновления в это время запустит никак не управляемую, не отключаемую и нерегулируемую установку скачанных системных файлов.

Еще один пример того, что устройство, на котором установлена десятая операционная система от Microsoft, не принадлежит его хозяину: общеизвестно, что Windows собирает и отправляет на серверы своей компании множество разных данных, среди которых есть и телеметрия, то есть записи звука и видео (с камеры и микрофона устройства). Однако у пользователя нет никакой возможности управлять процессом (разрешить, запретить, выбрать тип и содержание) — у операционной системы просто отсутствуют настройки для этого.

Взлом компьютерных систем — это бизнес

Давно прошли времена, когда романтический образ хакера — борца за цифровую независимость имел отношение к реальности. Сегодня знание устройства и технологий работы компьютерных систем — это достаточно легко монетизируемый багаж. Группировки и объединения специалистов по взлому часто работают не на свою славу и не ради каких-то идеалов, а в тесном сотрудничестве с криминальными структурами. Нередко и государства используют хакеров для решения своих экономических и политических задач.

Надо заметить, что частные лица, не связанные с какими-либо важными государственными или корпоративными тайнами, не обладающие внушительными капиталами, чаще всего не интересны таким серьезным взломщикам и становятся жертвами хакеров лишь в ходе массовых компьютерных эпидемий — когда по сети «гуляет» вирус, эксплуатирующий уязвимость программного обеспечения или оборудования. В результате устройство пользователя становится членом ботнет-сети и ждет команды от создателя вируса, чтобы присоединиться к атаке на заданную цель.

Что может сделать обычный пользователь для обеспечения своей безопасности, при условии что у него нет специальных знаний, доступа к особым сервисам и технологиям, будет описано в следующей статье.