Главная страница
Навигация по странице:

  • Panopticlick.com

  • Wired.com

  • piriform.com/ccleaner

  • Искусство быть невидимым. Исскуство быть невидимым. Кевин Митникискусство быть невидимым


    Скачать 1.89 Mb.
    НазваниеКевин Митникискусство быть невидимым
    АнкорИскусство быть невидимым
    Дата05.02.2022
    Размер1.89 Mb.
    Формат файлаpdf
    Имя файлаИсскуство быть невидимым.pdf
    ТипРассказ
    #352277
    страница7 из 18
    1   2   3   4   5   6   7   8   9   10   ...   18
    Глава 6
    Я БУДУ СЛЕДИТЬ ЗА КАЖДЫМ ЩЕЛЧКОМ ТВОЕЙ МЫШИ
    Будьте очень внимательны, когда ищете что-то в Интернете. Вашу активность в Интернете отслеживают не только поисковые системы, но и каждый веб-сайт, который вы посещаете. Причем некоторые из них, казалось бы, не должны разглашать конфиденциальную информацию. Например,
    согласно выпущенному в 2015 году отчету, 70 процентов медицинских сайтов отображают личную медицинскую информацию, включая конкретные болезни и методы лечения, прямо в URL
    страницы.
    Другими словами, если я на портале WebMD ищу информацию об эпидермофитии стоп,
    зашифрованная фраза «эпидермофития стоп» отобразится в URL в адресной строке моего браузера.
    Это означает, что кто угодно — браузер, интернет-провайдер, оператор сотовой связи — может увидеть, что я ищу информацию об эпидермофитии стоп. Если в браузере установлено расширение
    HTTPS Everywhere и просматриваемый сайт поддерживает HTTPS, читаемый вами контент будет зашифрован, но URL — нет. Как уточнили в Фонде электронных рубежей, в задачи HTTPS никогда не входило сокрытие данных о том, какие сайты вы посещаете.
    Будьте очень внимательны, когда ищете что-то в Интернете. Вашу активность в Интернете отслеживают не только поисковые системы, но и каждый веб-сайт, который вы посещаете. Причем некоторые из них, казалось бы, не должны разглашать конфиденциальную информацию.
    Кроме того, проведенное исследование выявило, что 91 % сайтов с медицинской тематикой сами отправляют запросы сторонним ресурсам. Эти запросы встроены в страницы, они обращаются к крошечным изображениям (которые могут быть видны, а могут быть и нет), которые сообщают сторонним ресурсам, что вы посетили определенную страницу. Введите в поиск фразу
    «эпидермофития стоп», и целых двадцать различных сайтов — от фармацевтических ресурсов до сайтов типа Facebook, Pinterest, Twitter и Google — будут в курсе того, какие результаты поиска были загружены в вашем браузере. Теперь все эти сайты знают, что вы искали информацию об эпидермофитии стоп.
    Сторонним сайтам нужна эта информация, чтобы настроить показ контекстной рекламы. Помимо этого, если вы авторизовались на сайте медицинской тематики, они также могут получить ваш электронный адрес. К счастью, я могу подсказать вам, как помешать этим организациям получить дополнительные данные.
    По данным исследования, проведенного в 2015 году, был составлен список десяти сторонних организаций: Google, comScore, Facebook, appNexus, AddThis, Twitter, Quantcast, Amazon, Adobe и
    Yahoo!. Часть из них — comScore, appNexus и Quantcast — занимаются учетом интернет-трафика,
    как и Google. Из перечисленных выше сторонних организаций Google, Facebook, Twitter, Amazon,
    Adobe и Yahoo! шпионят за вами из коммерческих соображений, например, чтобы в будущем показывать вам рекламу на тему лечения эпидермофитии стоп.
    Также в исследовании упоминаются ресурсы Experian и Axiom, которые представляют собой просто хранилища данных: они собирают столько данных о человеке, сколько могут. А затем продают их.
    Помните, мы говорили о секретных вопросах и о том, что лучше выдумывать ответы на них? Часто компании, такие как Experian и Axiom, собирают, передают и обрабатывают эти секретные вопросы,
    создавая на их основе профили интернет-пользователей. Эти профили представляют большой интерес для маркетологов, которым необходимо рекламировать продаваемые товары определенным социальным группам.
    Как это работает?
    Независимо от того, набираете ли вы URL вручную или переходите на ресурс через поисковую систему, у каждого сайта в Интернете есть и доменное имя, и числовой IP-адрес (у некоторых сайтов есть только числовой адрес). Однако числовой адрес практически никогда не отображается.
    Браузер его скрывает, обращаясь к службе доменных имен (англ. Domain Name System, DNS),
    которая преобразует буквенный адрес, например Google, в числовой, в данном случае .
    DNS — это всемирная телефонная книга, с помощью которой можно связать числовой адрес сервера, на котором размещен запрашиваемый сайт, с его доменным именем. Например, если набрать в адресной строке браузера Google.com, DNS свяжется с сервером по адресу , и вы увидите белый экран с логотипом Google и пустой поисковой строкой. Теоретически именно так работают все веб-браузеры. На практике все происходит несколько иначе.
    После того как сайт был идентифицирован по своему числовому адресу, он отправляет веб-браузеру данные, чтобы запустить процесс отображения веб-страницы. Браузер в ответ на свой вопрос получает страницу, содержащую элементы, которые вы ожидаете увидеть — информацию, которая вас интересует, изображения по теме и элементы для перехода на другие страницы сайта. Однако
    часто на полученной браузером странице присутствуют элементы, которые инициируют переход на другие сайты с дополнительными изображениями или сценариями. Некоторые из этих сценариев
    (если не все) выполняют функцию отслеживания ваших действий, и в большинстве случаев вам они совершенно не нужны.
    Почти у всех цифровых технологий есть метаданные, и, как вы, безусловно, уже догадались,
    браузеры не исключение.
    Ваш браузер может дать просматриваемому веб-сайту множество сведений о вашем компьютере.
    Например, какой версией какого браузера вы пользуетесь, какая у вас операционная система, какие расширения браузера вы установили, а также какие еще программы запущены на вашем компьютере в данный момент (например, продукты Adobe). По этим метаданным можно даже установить технические характеристики компьютера, например, разрешение экрана и объем встроенной памяти.
    Возможно, прочитав книгу до этой страницы, вы уже считаете, что предприняли все необходимые меры для того, чтобы стать невидимым в Интернете. И это так. Но необходимо сделать кое-что еще.
    Уделите немного времени и зайдите на сайт Panopticlick.com. Этот ресурс, созданный Фондом электронных рубежей, определит, насколько типична или уникальна конфигурация вашего браузера по сравнению с другими, в зависимости от программного обеспечения вашего компьютера или мобильного устройства, а также от того, какие плагины вы могли установить. Т. е. установлены ли у вас какие-либо плагины, с помощью которых можно как-то ограничить круг данных, которые сайт Panopticlick.com сумеет получить от браузера.
    Если среди результатов тестирования Panopticlick вы увидите много зеленых галочек, ваш браузер довольно уникален, поскольку сильно защищен. Поздравляю! Но если вы видите больше красных крестиков, настройки вашего браузера достаточно типичны. Это значит, что, если я захочу настроить для вас показ рекламы или рассылку вредоносного ПО, мне не придется сильно напрягаться, потому что у вас довольно обычный браузер с очень распространенными настройками.
    Вероятно, вы считаете, что типичные настройки играют вам на руку, делая вас невидимым — вы сливаетесь с толпой, вы ее часть. Но с технической точки зрения такие настройки делают вас легкой мишенью для злоумышленников. Хакеру не хочется тратить слишком много усилий. Если в одном доме дверь открыта, а в соседнем — закрыта, какой из них, как вы думаете, выберет грабитель? Если хакер выяснит, что у вас обычные настройки, то, скорее всего, вы также не предприняли никаких защитных мер, которые могли бы вас обезопасить.
    Мы довольно резко перепрыгнули от рекламодателей, которые пытаются выяснить, что вас интересует в Интернете, к хакерам, которые могут воспользоваться вашими персональными данными в целях кражи вашей личности. Это совершенно разные вещи. Рекламодателям нужна информация для создания рекламы, благодаря которой сайт будет приносить доход. Без рекламы некоторые сайты просто не смогут оставаться на плаву. Однако рекламодатели, хакеры и даже спецслужбы стараются узнать о вас то, что, возможно, вы не хотите разглашать. Поэтому с точки зрения информационной безопасности все они представляют для вас одинаковую угрозу.
    Один из способов слиться с толпой, но при этом избежать интернет-прослушки — виртуальная машина, отдельная программная система, например Linux, на базе основной операционной системы вашего компьютера, например Windows. На компьютер можно установить какой-нибудь из продуктов VMWare, чтобы при необходимости запускать другую операционную систему.
    По завершении работы просто закройте программу. Операционная система исчезнет вместе со всем, что вы в ней делали (кроме сохраненных вами файлов, которые останутся там, где вы их сохранили).
    Еще один распространенный прием, который одинаково часто применяют как хакеры, так и рекламодатели, заключается в сборе информации о посетителях сайта с помощью однопиксельных изображений или веб-маячков (веб-жучков, web bug). Как и всплывающее пустое окно браузера,
    однопиксельное изображение размещается на странице и, будучи невидимым, обращается к стороннему сайту, поместившему его в это место. Сервер, на котором хранится «маячок»,
    фиксирует, с какого IP-адреса он был запрошен. «Маячок» на медицинском сайте поделится с ним информацией о том, что я интересовался лекарствами от эпидермофитии стоп.
    Упомянутое выше исследование 2015 года показало, что почти половина обращений к сторонним сайтам приводит к созданию всплывающего окна без какого-либо контента. Эти «пустые» окна скрытно отправляют HTTP-запросы сторонним серверам исключительно с целью отслеживания трафика. Чтобы этого избежать, запретите браузеру открывать любые всплывающие окна (так вы заодно избавитесь от надоедливой рекламы).
    Примерно треть оставшихся сторонних запросов, согласно исследованию, представляют собой
    короткие строки кода, файлы JavaScript, которые обычно просто запускают на странице анимацию.
    Веб-сайт может идентифицировать компьютер, получивший к нему доступ, с помощью IP-адреса, с которого запрашивается JavaScript-файл.
    Даже без однопискельных изображений и пустых всплывающих окон каждый посещенный сайт может отследить ваш путь в Интернете. Например, Amazon может узнать, что вы только что были на медицинском сайте, и предложить вам медицинские товары. Информация о ресурсе, который вы только что посетили, содержится в запросе, отправляемом вашим браузером сайту Amazon.
    Amazon выполняет это, используя сторонние рефереры — данные в текстовом виде в запросе,
    отправляемом веб-странице. Они сообщают новой странице, откуда исходит запрос. Например, если я читаю статью на сайте Wired и в этой статье содержится ссылка, когда я щелкну по этой ссылке,
    новый сайт будет знать, что до этого я посетил страницу на ресурсе Wired.com. Можно догадаться,
    как подобное отслеживание переходов сказывается на конфиденциальности.
    Чтобы это предотвратить, можно всегда заходить на Google.com и уже оттуда открывать другой сайт, чтобы ни один из ресурсов не знал, где вы были до этого. Лично я не считаю, что следует слишком переживать из-за реферальных данных, за исключением тех случаев, когда вы хотите скрыть свою личность. Опять же ради невидимости придется терпеть некоторое неудобство: вместо того чтобы просто перейти на следующий сайт, вам придется всегда стартовать с Google.com.
    У браузера Mozilla Firefox есть одно из лучших средств защиты против отслеживания трафика третьими сторонами — расширение под названием NoScript. Этот плагин эффективно блокирует практически все, что потенциально способно навредить компьютеру и браузеру, в частности Flash и
    JavaScript. Расширения для дополнительной защиты меняют сценарий работы с браузером, хотя можно выбирать только те настройки, которые вам подходят, или же указать сайты, которым вы доверяете.
    Установив расширение NoScript, вы обратите внимание, что на просматриваемых страницах не будет рекламных объявлений, и уже точно сайты не будут получать реферальные данные.
    Результатом блокировки нежелательных элементов станет также то, что внешне страница станет немного менее пестрой, чем раньше. Если вам вдруг захочется посмотреть видео в формате Flash в верхнем левом углу страницы, можно разрешить загрузиться этому элементу без разблокировки остальных. Или же, если вам кажется, что сайт заслуживает доверия, можно временно или навсегда разрешить загружаться всем элементам страницы — например, если это сайт банка.
    В браузере Chrome можно установить расширение ScriptBlock, которое в целях защиты блокирует выполнение любых скриптов на странице. Это удобно, когда у вас есть дети, которые могут зайти на сайт с всплывающими окнами, содержащими контент для взрослых.
    Блокировка потенциально опасных (и уж точно нарушающих конфиденциальность) элементов на этих страницах оградит компьютер от нежелательного рекламного программного обеспечения.
    Например, возможно, вы заметили, что на домашней странице Google появилась реклама. На самом деле на вашей домашней странице Google не должно быть всплывающей рекламы. Если вы видите такую рекламу, значит, ваш компьютер и браузер были скомпрометированы (возможно, когда-то давно), а то, что вы видите теперь, — это объявления сторонних рекламодателей, которые могут заразить ваш компьютер троянами, клавиатурными шпионами и прочими вредоносными программами, если вы по ним щелкнете. Даже если в объявлении нет вредоносных программ, доход размещающих их сайтов зависит от количества щелчков по ним. Чем больше людей кликнут по объявлению, тем больше денег оно принесет владельцу.
    Какими бы эффективными они ни были, NoScript и ScriptBlock не могут заблокировать абсолютно все. Для обеспечения полной защиты от других угроз можно установить дополнение AdBlock Plus.
    Единственная проблема заключается в том, что AdBlock все фиксирует, а значит, еще одна компания будет отслеживать историю вашей активности в Интернете, несмотря на все ваши попытки сохранить анонимность. И все же в этом случае плюсы (блокировка потенциально опасных рекламных объявлений) перевешивают минусы (кто-то узнает, что вы делали в Интернете).
    Еще одно полезное расширение называется Ghostery, его можно установить как на Chrome, так и на
    Firefox. Ghostery выявляет все программы, собирающие информацию о трафике (например,
    Doubleclick и Google AdSense), которые применяются сайтами для отслеживания ваших действий.
    Как и NoScript, плагин Ghostery позволяет для каждой страницы выбрать программы, которым вы разрешаете собирать информацию о трафике. На сайте написано: «Блокировка трекеров предотвратит их запуск в браузере, позволив вам контролировать сбор информации о ваших действиях в Интернете. Помните, что некоторые трекеры могут быть полезны, например, виджеты социальных сетей или браузерные игры. Блокировка трекеров может непредсказуемым образом отразиться на работе сайтов, которые вы посещаете». Это означает, что некоторые сайты не будут отображаться при установленном расширении Ghostery. К счастью, Ghostery можно отключать для каждого сайта в отдельности.

    Чтобы помешать потенциальным хакерам идентифицировать вас и окончательно сбить их с толку,
    помимо установки расширений можно также создать несколько отдельных электронных ящиков под разные цели. Например, в главе 2 мы говорили о том, как зарегистрировать анонимный электронный ящик для конфиденциальной переписки. Завести несколько электронных ящиков я рекомендую, даже если вы просто выходите в Интернет: не столько для того, чтобы скрывать свою личность, сколько для того, чтобы стать менее интересной мишенью для третьих лиц. Если у вас будет несколько поведенческих профилей, сведения о вас будут более размытыми, нежели при наличии всего одного ящика, по которому можно установить вашу личность. Составить на вас профиль станет гораздо сложнее.
    Представим, что вы захотели купить что-то в Интернете. Возможно, вы решите зарегистрировать отдельный электронный ящик только для интернет-шоппинга. И предположим, все ваши покупки будут доставляться не к вам на дом, а на специальный абонентский ящик до востребования. И
    допустим, вы оплачиваете покупки подарочными сертификатами (или одним и тем же сертификатом с восполняемым балансом).
    В таком случае у компании-продавца будут только ваш второстепенный электронный адрес,
    второстепенный адрес доставки и данные подарочного сертификата (одноразового или практически одноразового). Если у этой компании произойдет утечка данных, злоумышленники не получат ни вашего настоящего электронного адреса, ни вашего фактического адреса, ни данных банковской карты. Такого рода дистанцирование от процесса совершения покупки в Интернете — это прекрасный способ сохранить конфиденциальность.
    Также можно завести отдельный электронный ящик для социальных сетей. Он может выполнять функцию «публичной электронной почты» для общения с незнакомыми и малознакомыми людьми.
    Преимущество в том, что опять же посторонним людям не удастся узнать о вас много информации.
    По крайней мере, напрямую.
    Чтобы еще сильнее себя защитить, придумайте для каждого «второстепенного» аккаунта уникальное название, например, пусть это будет вариация вашего настоящего имени или что-то совершенно иное.
    Не забывайте, что наша задача заключается в том, чтобы слиться с фоном, а не привлечь внимание к собственной персоне.
    Выбрав первый вариант, нельзя забывать об осторожности. Полагаем, не следует указывать свое отчество. Даже на первый взгляд безобидный адрес электронной почты, скажем, , выдает, что ваше отчество начинается с буквы В. Это пример того,
    как человек сам раскрывает конфиденциальную информацию о себе, когда в этом нет необходимости. Не забывайте, что наша задача заключается в том, чтобы слиться с фоном, а не привлечь внимание к собственной персоне.
    Если вы возьмете слово или словосочетание, никак не связанное со своим настоящим именем, пусть оно будет как можно более нейтральным. Если новый ящик имеет адрес , мы не будем знать вашего имени, но узнаем, чем вы увлекаетесь. Лучше выбрать что-то шаблонное, типа .
    Конечно же, вам захочется завести электронный ящик для личной переписки. Этот адрес нельзя давать никому, кроме близких друзей и родственников. Все эти меры предосторожности сопровождаются дополнительным преимуществом: вы обнаружите, что, перестав указывать свой личный электронный ящик на сайтах интернет-магазинов, избавитесь от львиной доли спама.
    Сотовые телефоны также не застрахованы от шпионажа со стороны крупных корпораций. Летом
    2015 года наблюдательный специалист обнаружил, что операторы AT&T и Verizon добавляют дополнительный код к каждому запросу веб-страницы, исходящему от мобильного браузера. Это не идентификатор IMSI (международный идентификатор мобильного абонента), о котором мы говорили в главе 3, а уникальный идентификатор, который отправляется при каждом запросе веб- страницы. Этот код называется UIDH (от англ. Unique Identifier Header — заголовок уникального идентификатора) и представляет собой временный серийный номер, с помощью которого рекламодатели могут пометить вас в Интернете.
    Специалист обнаружил этот идентификатор благодаря тому, что настроил анализатор трафика таким образом, чтобы тот сохранял все заголовки (что делают немногие). Затем он обратил внимание на то, что об абонентах Verizon собирается больше данных, чем о других посетителях. А
    позже понял, что это относится и к абонентам AT&T.
    Проблема в том, что пользователи не знали об этом коде. Например, даже если человек скачал на устройство мобильную версию браузера Firefox и установил специальные расширения для информационной безопасности, но при этом он является абонентом AT&T или Verizon, его действия в Интернете все равно будут отслеживаться посредством UIDH.

    С помощью идентификаторов UIDH операторам Verizon и AT&T удавалось отслеживать трафик,
    связанный с запросами пользователей, и либо создавать их поведенческие профили (чтобы впоследствии правильно настроить рекламу), либо просто перепродавать полученные данные.
    Оператор AT&T отказался от этой практики — пока. Verizon предоставил своим пользователям право управлять UIDH в настройках. Обратите внимание: если вы не отключили эту настройку,
    считается, что вы дали Verizon свое согласие на применение UIDH.
    Даже если вы отключите JavaScript, просматриваемый сайт может отправить вашему браузеру текстовый файл под названием «куки» (cookie). Этот куки будет храниться долго. Название «куки»
    — это сокращенный вариант от magic cookie (англ. волшебное печенье), небольшой фрагмент данных, передаваемый браузеру и хранимый на компьютере пользователя для отслеживания таких вещей, как содержимое корзины покупок или даже авторизация пользователя. Изначально куки применялись браузером Netscape и служили для создания электронных корзин и других инструментов интернет-магазинов. Куки обычно сохраняются в браузере компьютера и удаляются через определенное время, хотя этот срок может измеряться десятилетиями.
    Опасны ли куки? Сами по себе нет. Тем не менее они передают третьим лицам информацию о вашей учетной записи и настройках для определенного сайта, например, избранные города на сайте с прогнозом погоды или предпочтительные авиакомпании на туристическом сайте. В
    следующий раз, когда браузер установит соединение с сайтом, для которого у вас уже сохранен куки, тот вспомнит вас и, вероятно, скажет: «Привет, друг». Если же это интернет-магазин, он также вспомнит несколько ваших последних покупок.
    Куки на самом деле не хранят эту информацию на компьютере или мобильном устройстве. Как и мобильные телефоны, для которых идентификаторы IMSI выступают в качестве ссылки, в куки содержится лишь ссылка на данные, находящиеся на сервере. Когда браузер загружает страницу,
    для которой у него сохранен куки, сайт отправляет в ответ дополнительную информацию,
    связанную с настройками и предпочтениями пользователя.
    В куки хранятся не только персональные настройки, но и ценные для сайта статистические данные.
    Например, если вы потенциальный клиент компании и, чтобы получить доступ к информационным буклетам, уже оставляли на сайте свой адрес электронной почты или другие сведения о себе,
    велика вероятность, что в вашем браузере присутствует куки, с помощью которого компания может связать ваш профиль с данными из своей CRM-системы (CRM), скажем, SalesForce или HubSpot.
    Теперь при каждом посещении сайта компании вы будете идентифицированы с помощью куки,
    хранящегося в вашем браузере, и это посещение также будет отмечено в CRM-системе.
    Куки сегментированы, т. е. сайт А обычно не видит содержимое куки сайта Б. Встречаются исключения, но, как правило, данные разделены из соображений безопасности. И все же, если посмотреть на куки с точки зрения интересующей нас темы, они мешают вам стать невидимыми.
    Можно получить доступ только к куки с одного домена, группы ресурсов, приписанных определенному кругу людей. Рекламные сети обходят это ограничение, устанавливая один общий куки, который будет соотноситься с вашей деятельностью на всех сайтах сети. Однако в большинстве случаев куки не могут получать доступ к куки других сайтов. Современные браузеры позволяют пользователям соглашаться или отказываться от приема куки, Например, если вы выходите в Интернет в режиме инкогнито или через приватное окно браузера, браузер не сохранит историю ваших действий в эту сессию, а также у вас не появится новых куки (но если у вас уже есть подходящий куки, установленный ранее, он будет использоваться даже в режиме инкогнито). С
    другой стороны, если вы пользуетесь браузером в обычном режиме, можно время от времени вручную удалять все или некоторые куки, накопившиеся за несколько лет.
    Необходимо отметить, что не следует удалять все куки. Выборочно удалив куки, установленные теми сайтами, которые вы посещали лишь однажды и которые вам более не интересны, вы устраните следы своего интернет-серфинга. Например, повторно посещаемые вами сайты не смогут вас идентифицировать. Но что касается других сайтов, например с прогнозом погоды, будет довольно утомительно каждый раз указывать свой город или индекс, в то время как простой cookie- файл сможет избавить вас от этой необходимости.
    Чтобы удалить куки, нужно использовать расширение или открыть настройки браузера и найти там команду, предлагающую удалить один или более (даже все) куки. Вы также можете решать, что делать с каждым cookie-файлом по отдельности.
    Некоторые рекламодатели с помощью куки также определяют, сколько времени вы провели на сайте, где размещена их реклама. Некоторые даже отслеживают, с какого сайта вы перешли или на каких сайтах вы были ранее. Такие куки нужно удалять сразу же. Вы узнаете их благодаря тому,
    что их имя не будет совпадать с именем посещенного сайта. Например, вместо CNN такой файл будет значиться как Ad321. Возможно, вам будет удобнее прибегнуть к специальной программе для очистки куки, например piriform.com/ccleaner, чтобы быстро и без труда избавиться от ненужных
    куки-данных.
    Однако существуют куки, на которые не действуют ваши настройки в браузере, которые называются «супер-куки», поскольку они хранятся на компьютере вне браузера. Суперкуки видят ваши персональные настройки (и статистику) для данного сайта вне зависимости от того, каким браузером вы пользуетесь (сегодня Chrome, завтра Firefox). И если вы вдруг удалите такой куки из своего браузера, компьютер попытается его восстановить, когда вы в следующий раз откроете соответствующий сайт.
    Два вида таких суперкуки можно удалить в первую очередь — Flash компании Adobe и Silverlight корпорации Microsoft. Эти суперкуки не имеют срока действия и сами никогда не удалятся. Как правило, можно без последствий удалить их все.
    Если вы пытаетесь прикинуть, сколько куки уже установлено в вашем браузере, умножьте свое число на потенциальное количество хранилищ данных на вашем компьютере. Увидите, что работы вам хватит на целый день до вечера.
    Несколько слов о самом сложном для удаления куки: Сэми Камкар, получивший известность за создание быстро распространяющегося червя MySpace под названием «Сэми», разработал так называемый «evercookie» — очень, очень устойчивый куки. Камкар достиг этой устойчивости благодаря тому, что данные куки стали записываться в максимально большое количество систем хранения браузеров в операционной системе Windows. Если хотя бы в одном из хранилищ файл сохранился, evercookie предпримет попытку восстановить эти куки-данные везде. Таким образом,
    просто удалить evercookie из кэш-памяти одного браузера недостаточно. По принципу детской игры
    «Ударь крота», файлы evercookie продолжат появляться то тут, то там. Чтобы выиграть, нужно удалить их абсолютно отовсюду.
    Если вы пытаетесь прикинуть, сколько куки уже установлено в вашем браузере, умножьте свое число на потенциальное количество хранилищ данных на вашем компьютере. Увидите, что работы вам хватит на целый день до вечера.
    За вашими действиями в Интернете следят не только сайты и операторы сотовой связи. Например,
    ресурс Facebook давно перестал быть просто социальной сетью и стал универсальной платформой.
    Можно зарегистрироваться на сайте Facebook, а затем регистрироваться во множестве различных приложений с помощью данных своей учетной записи Facebook.
    Насколько часто так поступают? Как минимум один маркетинговый отчет показал, что 88
    процентов американских пользователей зашли на сайт или в мобильное приложение с помощью ранее созданного аккаунта в социальной сети, например, Facebook, Twitter и Google+.
    Это удобно, но здесь есть как преимущества, так и недостатки. Уязвимость в протоколе авторизации
    OAuth позволяет получить доступ к другому сайту, не передавая этому сайту логин и пароль от своего аккаунта. С одной стороны, можно быстро зарегистрироваться на новом сайте с помощью существующей учетной записи в социальной сети. С другой стороны, это позволяет социальным сетям получить информацию о вас, которую могут применять в маркетинговых целях. В то же время теперь ресурс будет знать не только то, что вы заходили на этот сайт, но и все остальные сайты,
    которые вы посетили с помощью тех же регистрационных данных. При использовании протокола
    OAuth мы жертвуем слишком большим количеством персональной информации ради удобства.
    Facebook, вероятно, можно назвать самой «навязчивой» социальной платформой. Выход из аккаунта
    Facebook может привести к автоматическому выходу из всех остальных приложений. Кроме того,
    Facebook подключает трекеры для отслеживания действий пользователя, которые функционируют даже после того, как вы вышли из учетной записи, запрашивая такие данные, как ваше географическое местонахождение, посещенные вами сайты, элементы, по которым вы щелкнули на этих сайтах, и ваше имя на сайте Facebook. Специалисты по информационной безопасности выразили беспокойство относительно того, что сайт Facebook намеревается собирать статистику некоторых из посещаемых его пользователями ресурсов и приложений, чтобы повысить релевантность рекламы.
    Суть в том, что Facebook, как и Google, хочет получить сведения о вас. Они не могут просто прийти и задать вопрос, им приходится искать другие пути. Если вы привяжете аккаунт Facebook к другим сервисам, у Facebook будет информация о вас и о всех тех сервисах или приложениях. Возможно, с помощью регистрационных данных Facebook вы получаете доступ к своему банковскому счету, в этом случае у социальной сети есть сведения о том, какую финансовую организацию вы выбрали.
    Авторизация через Facebook может привести к тому, что, если кто-то проникнет в ваш аккаунт в этой социальной сети, он получит доступ ко всем связанным с ним сайтам, даже к банковскому счету. С точки зрения безопасности, наличие так называемой единой точки отказа никогда не доводит до добра. Пусть на это уйдет на пару секунд дольше, лучше авторизоваться на сайте
    Facebook только тогда, когда вам нужен именно он, а в каждом приложении регистрироваться по
    отдельности.
    Кроме того, Facebook открыто признает, что не поддерживает функцию Do Not Track (англ. «Не отслеживать») браузера Internet Explorer на том основании, что на ее счет «в отрасли нет единого мнения». В качестве инструмента сбора статистики Facebook применяет классические средства:
    куки, JavaScript, однопиксельные изображения и плавающие фреймы. Благодаря всему этому рекламодатели могут просматривать и анализировать куки и трекеры конкретного браузера, чтобы предлагать свои товары и услуги на сайте Facebook и за его пределами.
    К счастью, для браузеров существуют расширения, которые блокируют службы Facebook на сторонних сайтах, например, Facebook Disconnect для браузера Chrome или список Facebook Privacy
    List расширения Adblock Plus (как для браузера Firefox, так и для Chrome). Конечная цель всех этих средств одна — позволить вам самостоятельно контролировать, какие данные будет получать
    Facebook и любая другая социальная сеть, вместо того чтобы отойти в сторону и оставить решение этого вопроса в руках самого сервиса.
    Учитывая то, какими сведениями Facebook располагает о 2,13 млрд своих подписчиков, компания до сих пор проявляла исключительное великодушие. В ее распоряжении тонны данных, но она,
    подобно компании Google, предпочитает ничего с ними не делать. Но это не значит, что не станет в будущем.
    Не менее беспардонно, но более открыто (по сравнению с куки) действуют панели инструментов.
    Дополнительные панели инструментов, которые вы видите в верхней части браузера на своем компьютере, могут называться Yahoo! McAfee, Яндекс или Ask.com. Или как угодно еще. Вполне вероятно, что вы даже не вспомните, как эта панель инструментов сюда попала. Вам она не нужна,
    но как ее убрать, вы не знаете.
    Такие панели инструментов отвлекают внимание от панели инструментов самого браузера, с помощью которой можно выбрать поисковую систему по умолчанию. «Паразитическая» панель станет навязывать вам свою систему, и результаты поиска могут быть переполнены проплаченным контентом. В такой ситуации оказался житель Западного Голливуда Гэри Мур, который обнаружил у себя панель инструментов Ask.com и не мог понять, как от нее избавиться. «Это как незваный гость, — сказал Мур. — Он не уйдет».
    Если у вас появилась вторая или третья панель инструментов, возможно, дело в том, что вы скачали новое программное обеспечение или обновили ранее установленное. Например, если на компьютере установлена среда разработки или исполнения языка Java, компания Oracle,
    разработчик Java, автоматически встраивает в браузер панель инструментов, если вы не сбросили соответствующий флажок при загрузке. Щелкая по кнопкам загрузки или обновления, вы,
    вероятно, не заметили крошечный флажок, по умолчанию подтверждающий ваше согласие на установку панели типа Ask.com. Тут нет ничего противозаконного, вы разрешили это действие,
    даже если разрешением считается то, что вы не отказались от автоматической установки данного элемента. Однако такая панель позволяет некой компании отслеживать ваши действия в
    Интернете, и, вероятно, по умолчанию у вас теперь выбрана соответствующая поисковая система.
    Лучший способ удалить панель инструментов — деинсталлировать ее так же, как деинсталлируется любая другая программа на компьютере. Однако для удаления некоторых наиболее устойчивых и настырных панелей, может понадобиться специальная программа, и нередко после деинсталляции остается достаточно данных для того, чтобы рекламодатели могли установить свою панель заново.
    Устанавливая новое программное обеспечение или обновляя старое, обращайте внимание на каждый флажок. Можно избежать большого объема лишней работы, отказавшись от установки панелей инструментов с самого начала.
    Если вы пользуетесь анонимным режимом браузера, расширениями NoScript и HTTPS Everywhere,
    время от времени удаляете куки и лишние панели инструментов, у вас все должно быть в порядке,
    верно? Отнюдь. Ваши действия в Интернете все равно будут отслеживаться.
    Если вы пользуетесь анонимным режимом браузера, расширениями NoScript и HTTPS Everywhere,
    время от времени удаляете куки и лишние панели инструментов, у вас все должно быть в порядке,
    верно? Отнюдь. Ваши действия в Интернете все равно будут отслеживаться.
    Веб-сайты создаются с помощью так называемого языка разметки гипертекста, или HTML. Его актуальная версия, HTML5, предоставляет множество новых возможностей. Некоторые возможности способствовали вытеснению технологий Silverlight и Flash — что хорошо. Однако,
    вероятно, случайно язык HTML5 привел к появлению новых технологий сбора статистики.
    Например, Canvas fingerprinting — инструмент сбора данных в Интернете, гениальный, но гениальность такого рода внушает страх. Canvas fingerprinting использует элемент canvas HTML5
    для того, чтобы нарисовать простое изображение. И все. Изображение создается внутри самого
    браузера, а вы этого не видите. Процесс занимает всего долю секунды, но его результат доступен запрашивающему сайту.
    Смысл в том, что программное обеспечение и аппаратные средства, выступая в качестве ресурсов для работы браузера, создадут совершенно уникальное изображение. Затем получившееся изображение (это может быть последовательность различных разноцветных фигур) преобразуется в уникальное число, примерно как в случае с паролями. Далее проводится анализ, какие еще сайты получили то же самое число, используя эту технологию. И на основании полученных данных можно понять, какие сайты вы посещаете. Благодаря полученному числу или «отпечатку» запросивший его сайт может узнавать браузер пользователя, который уже бывал на нем ранее, даже если пользователь удалил все куки или запретил установку новых cookie-файлов, поскольку он использует элемент самого HTML5.
    Canvas fingerprinting работает в фоновом режиме, вам не надо ни на что нажимать, достаточно просто открыть страницу. К счастью, существуют расширения для браузера, которые могут заблокировать это действие. Для браузера Firefox расширение называется CanvasBlocker. Для
    Google Chrome — CanvasFingerprintBlock. Даже в Tor Browser разработчики добавили технологию блокировки Canvas.
    Так что же, благодаря этим расширениям и предыдущим рекомендациям, вы наконец можете считать, что в Интернете за вами никто не следит? Как бы не так!
    Такие компании, как Drawbridge, Tapad и Oracle Crosswise, поднялись на новую ступень в интернет- слежке. Они заявляют, что обладают технологиями, способными отслеживать ваши действия на нескольких устройствах, включая данные, какие сайты вы посещаете исключительно со смартфонов и планшетов.
    Частично такая слежка — результат машинного обучения и нечеткой логики. Например, если мобильное устройство и обычный компьютер обращаются к сайту с одного IP-адреса, очень вероятно, что они принадлежат одному человеку. Например, вы произвели поиск какого-то предмета одежды на своем смартфоне, а позже, оказавшись дома и добравшись до обычного компьютера, видите, что этот же предмет одежды отображается на сайте магазина в разделе
    «недавно просмотренного». Или того лучше, вы покупаете этот предмет одежды, используя компьютер. Чем больше будет совпадений между двумя отдельными устройствами, тем больше вероятность, что ими обоими пользуется один и тот же человек. По заявлению компании
    Drawbridge, только ей одной удалось связать 1,2 млрд пользователей с 3,6 млрд устройств в 2015
    году.
    Разумеется, тем же самым занимаются Google, Apple и Microsoft. Смартфоны под управлением операционной системы Android требуют наличия аккаунта Google. Для работы на устройствах Apple необходима учетная запись Apple ID. Не играет роли, смартфон у вас или ноутбук — исходящий трафик каждого будет привязан к конкретному пользователю. А Microsoft в своих последних операционных системах требует создания учетной записи Microsoft, позволяющей скачивать приложения или хранить фотографии и текстовые документы в «облаке» компании.
    Огромное различие заключается в том, что в учетных записях Google, Apple и Microsoft можно отключить сбор некоторых или всех данных либо же впоследствии удалить все ранее собранные данные. Компании Drawbridge, Crosswise и Tapad усложняют процесс отключения и удаления.
    Иногда сделать это просто невозможно.
    Хотя с помощью прокси или Tor Browser можно вполне успешно скрывать свое реальное местонахождение при выходе в Интернет, эти манипуляции могут привести к необычным проблемам и трудностям для вас, поскольку иногда сбор интернет-статистики оправдан —
    например, когда компания, принимающая к оплате банковские карты, пытается выявить подлог.
    Например, всего за несколько дней до того, как Эдвард Сноуден прославился, он задумал создать сайт по защите прав интернет-пользователей. Но он не сумел расплатиться с хостинговой компанией за регистрацию домена своей банковской картой.
    Всего за несколько дней до того, как Эдвард Сноуден прославился, он задумал создать сайт по защите прав интернет-пользователей. Но он не сумел расплатиться с хостинговой компанией за регистрацию домена своей банковской картой.
    В то время он еще пользовался своим настоящим именем, настоящим адресом электронной почты и личной банковской картой — дело происходило незадолго до того, как Сноуден превратился в разоблачителя. Также у него был Tor Browser, что иногда заставляет компанию-получателя платежа насторожиться и заподозрить мошенническую операцию. Это происходит, когда компания пытается проверить личность человека, но находит противоречия между предоставленными им сведениями и данными, уже имеющимися у них. Например, если карта была выпущена в Нью-Йорке, почему выходной узел Tor указывает, что вы в Германии? Подобные географические несоответствия часто становятся сигналом о вероятной мошеннической операции, что приводит к дополнительным
    проверкам.
    Компании, проводящие транзакции по картам, безусловно, следят за нами в Cети. Им известны наши покупки. Они знают, на каких сайтах мы подписаны на платный контент. Они знают, когда мы выезжаем за пределы страны. И они знают, что мы совершаем покупку в Интернете с нового устройства.
    Это происходит, когда компания пытается проверить личность человека, но находит противоречия между предоставленными им сведениями и данными, уже имеющимися у них. Например, если карта была выпущена в Нью-Йорке, почему выходной узел Tor указывает, что вы в Германии?
    Подобные географические несоответствия часто становятся сигналом о вероятной мошеннической операции, что приводит к дополнительным проверкам.
    Как утверждает Мика Ли из Фонда электронных рубежей, в какой-то момент Сноуден,
    находившийся в своем гостиничном номере в Гонконге и обсуждавший государственные тайны с
    Лорой Пойтрас и Гленном Гринвальдом, репортером издания Guardian, связался со службой поддержки компании DreamHost, хостинг-провайдера из Лос-Анджелеса. Очевидно, Сноуден объяснил компании DreamHost, что находится за границей и не доверяет местным провайдерам
    Интернета, поэтому выходит в Интернет через Tor. В результате компания DreamHost приняла платеж по банковской карте через Tor.
    Один из способов избежать всех этих трудностей с Tor — отредактировать файл geoip/geoip6 так,
    чтобы этот браузер использовал выходные узлы, расположенные в вашей родной стране. Это должно успокоить компании, принимающие платежи по картам. С другой стороны, один и тот же выходной узел может в итоге способствовать раскрытию вашей личности. Есть основания полагать,
    что спецслужбы, возможно, контролируют некоторые выходные узлы, поэтому лучше пользоваться разными.
    Еще один способ заплатить, не оставляя следов, — оплата биткойнами, виртуальной валютой. Как и большинство валют, она подвержена колебаниям курса, в зависимости от степени доверия к ней.
    Еще один способ заплатить, не оставляя следов, — оплата биткойнами, виртуальной валютой.
    Биткойн — это алгоритм, с помощью которого пользователь может создавать — или, выражаясь принятыми в этой среде терминами, «майнить» — собственную валюту под названием «биткойн».
    Однако если бы это было просто, этим бы занимался каждый. Но это не так. Процесс требует высокой вычислительной мощности, на майнинг одного биткойна уходит огромное количество времени. Количество биткойнов ограничено, и это наряду с доверием потребителей влияет на цену одного биткойна.
    У каждого биткойна есть криптографическая подпись, удостоверяющая его подлинность и уникальность. Можно отследить все звенья транзакции, осуществляемой с помощью этой криптографической подписи, вплоть до биткойна, однако метод получения этого биткойна можно скрыть — например, создав анонимный электронный ящик, на который вы можете зарегистрировать электронный кошелек для биткойнов, используя сеть Tor.
    Вы можете купить биткойны лично или анонимно, оплатив их в Интернете с помощью карты предоплаты. Можно найти банкомат с биткойнами, рядом с которым не установлена камера. В
    зависимости от того, какие детали могут впоследствии выдать вашу личность, нужно оценить все риски и лишь потом выбирать способ покупки. Далее можно отправить свои биткойны в так называемый миксер. Биткойн-миксер берет несколько биткойнов от меня, несколько биткойнов от вас, несколько — от различных случайных людей и перемешивает их. Вы получаете обратно столько же биткойнов за вычетом платы за услугу, но с другими криптографическими подписями.
    Благодаря этому достигается некоторая анонимность.
    Получив биткойны, как их хранить? Поскольку для биткойнов нет специальных банков, а также поскольку они существуют лишь в виртуальной реальности, вам потребуется анонимно зарегистрированный биткойн-кошелек (подробные инструкции о том, как это сделать, вы найдете далее в этой книге).
    Теперь, когда у вас есть биткойны и есть где их хранить, как ими распорядиться? На специальных сайтах-обменниках можно покупать биткойны и менять их на другие валюты, например доллары
    США, или приобретать на них товары с сайтов типа Amazon. Предположим, что у вас есть один биткойн, стоимость которого на данный момент равна примерно 9 тысячам долларов США. Если вы собираетесь купить что-то, что стоит всего 80 долларов, то после транзакции у вас останется определенная доля от первоначального биткойна (ее величина зависит от текущего курса).
    Транзакции верифицируются с помощью открытой базы данных, известной как блокчейн, и идентифицируются посредством IP-адреса. Однако как мы уже видели, IP-адрес можно изменить или подделать. И хотя продавцы начали принимать к оплате биткойны, сервисные сборы, обычно
    оплачиваемые продавцами, были возложены на плечи покупателей. Кроме того, в отличие от операций по банковским картам, при оплате биткойнами не бывает возвратов или возмещения средств.
    Можно купить столько биткойнов, сколько вы бы купили устойчивой валюты. Но несмотря на свою успешность (братья Уинклвосс, известные судебными тяжбами с Марком Цукербергом из-за социальной сети Facebook, стали главными инвесторами в валюту биткойн), система пережила несколько крупных спадов. В 2004 году токийская биржа криптовалют Mt. Gox объявила себя банкротом, заявив о пропаже всех биткойнов в результате хищения. Были и другие случаи хищения валюты у биткойн-обменников, которые, в отличие от большинства американских банковских счетов, не застрахованы.
    Хотя раньше уже предпринимались попытки создать виртуальную валюту, именно биткойн занял место анонимного платежного средства в Интернете. Да, валюта еще развивается, но если вы стремитесь сохранить анонимность, следует рассмотреть этот вариант оплаты.
    Возможно, сейчас вы кажетесь себе невидимыми: вы скрыли IP-адрес с помощью Tor, зашифровали электронные письма и текстовые сообщения с помощью программ PGP и Signal. Однако я уделил очень мало внимания аппаратным средствам, с помощью которых можно как найти, так и спрятать вас в Интернете.

    1   2   3   4   5   6   7   8   9   10   ...   18


    написать администратору сайта