Спойлер к проблеме из сегодняшнего заголовка: «Никак». Об этом мы и поговорим.
Кевин Митник — специалист по компьютерной безопасности. Тот самый человек, который способен научить сохранять конфиденциальность в интернете настолько, насколько это возможно. В свое время как хакер совершил ряд преступлений в сети, отсидел и вышел на свободу, поэтому почитать его будет особенно интересно.
В своей книге про искусство быть невидимым бэдбой Кевин рассказывает о том, как можно защищать свои данные, препятствовать слежке, сохранять анонимность, скрывать свой IP, грамотно пользоваться сервисами для отправки электронных писем и так далее. На страницах есть и дежурные советы про пароли, и база про социальную инженерию — «метод несанкционированного доступа к информации путем психологического воздействия, манипулирования и управления действиями человека с целью заставить его выполнять желаемое». Такой способ, по сути, подходит для выуживания информации. Польза книги Митника как раз в том, чтобы научиться этому манипулированию не поддаваться, знать о том, как вас могут вычислить, и соблюдать меры предосторожности. Тогда все ваши данные всегда будут в безопасности.
Конечно, автор приводит много примеров из мира IT-компаний. Зачастую — скандальных. «Один из наиболее известных подобных случаев связан с корпорацией Microsoft, на которую обрушилась волна общественного гнева, когда выяснилось, что она просматривала содержимое входящих писем одного из пользователей сервиса Hotmail, который, как подозревалось, был обладателем пиратской копии программного обеспечения Мicrosoft. В результате этого открытия корпорация заявила, что в дальнейшем подобными расследованиями будут заниматься органы правопорядка», — вспоминает он.
С производителем термостатов Nest тоже вышло интересно. Однажды компания решила добавить возможность управления устройством через веб-приложение и понеслось. «В одном язвительном обзоре “умного” термостата Honeywell Wi-Fi Smart Touchscreen Thermostat на сайте магазина Amazon пользователь под ником “General” написал, что его бывшая жена забрала у него дом, собаку и значительную часть пенсионных накоплений, но у него остался пароль от термостата Honeywell. Этот пользователь утверждает, что поднимает температуру в доме, пока бывшая жена и ее новый любовник за городом, а затем опускает ее до нормы перед их возвращением. “Могу себе представить, какие счета за электричество они получают», — рассказывает Митник. Смешная история. И также дает свой экспертный комментарий: «Следует отметить, что многие из этих способов требуют наличия физического доступа к устройству, то есть кто-то должен войти в ваш дом и подключиться к USB-интерфейсу термостата. Дэниел Буентелло, независимый исследователь в области безопасности, один из четырех докладчиков, чье выступление было посвящено вопросам взлома этого устройства, сказал: “Это компьютер, на который пользователь не может установить антивирус. Хуже того, существует тайная лазейка, которую мог бы использовать злоумышленник. Фактически этот прибор может использоваться в качестве устройства слежения”».
Такие дела. Вспоминается серия из того самого сериала, на который мы уже не раз ссылались, когда Гилфойл взломал умный холодильник с голосовым управлением, а потом проверил прошивку и логи и обнаружил, что данные нелегально улетают в облако.
И, наоборот, некоторые продукты Кевин Митник подсвечивает в положительном ключе: «Компания Open Whisper Systems разработала приложение Signal, которое представляет собой бесплатную открытую систему IP-телефонии для мобильных телефонов. С его помощью пользователи Android и iOS получают возможность по-настоящему эффективно защитить телефонные переговоры с помощь сквозного шифрования. Главное преимущество приложения Signal — то, что ключами распоряжается тот, кто совершает вызов, и тот, кто его принимает, без участия каких-либо посредников. Иными словами, как и в ситуации с SDES, новые ключи генерируются для каждого вызова, но ключи существуют в единственном экземпляре и хранятся только на устройствах пользователей». Про шифрование и ключи Кевин Митник заблаговременно тоже пишет подробно, так что рядовому читателю, который беспокоится о своих данных, будет вполне понятно, как это все работает.
Своими личными лайфхаками мистер Митник тоже делится. Порой кажется забавным факт, что читателю тоже придется их применять. «Я включил на своем iPhone функцию TouchID, чтобы смартфон распознавал отпечаток моего пальца. Перед прохождением иммиграционного контроля в любой стране я перезагружаю свой iPhone. И когда смартфон включается, я намеренно не ввожу свой код доступа. Несмотря на то что я включил функцию TouchID, она по умолчанию остается отключенной до ввода кода доступа. Судебные инстанции США ясно понимают, что правоохранительные органы не могут потребовать от вас выдать свой пароль. По традиции в Соединенных Штатах вас не могут заставить давать свидетельские показания; однако вас могут вынудить повернуть ключ в замке сейфа. Таким образом, суд может заставить вас предоставить отпечатки пальцев для разблокировки устройства. Простым решением является перезагрузка смартфона. Таким образом, функция распознавания отпечатка не будет включена и вам не придется выдавать свой код доступа», — пишет хакер о своих правилах в путешествии. Или, например, по следам получения разрешения въезда в Канаду еще предусмотрительно советует: «Проходя через любой контрольный пункт, убедитесь в том, чтобы ваш ноутбук и электронные устройства лежат на конвейерной ленте последними. Вам не нужно, чтобы ваш ноутбук находился на другом конце, в то время как кто-то впереди вас задерживает очередь. Кроме того, если вам нужно выйти из очереди, не забудьте забрать свой ноутбук и электронное устройство». Наверное, если слушать книгу в аудиоформате, то это будет выглядеть прямо как инструктаж для Джеймса Бонда перед новым заданием с поправкой на XXI век и его вызовы.
На протяжении всего чтения автор буквально инструктирует читателя как пользоваться гаджетами безопасно и объясняет, почему иногда стоит завести отдельное устройство и заходить в него только в режиме гостя, а не администратора. Также раскрывает секреты кражи паролей, вычуд программного обеспечения фитнес-трекеров и других приколов с девайсами.
Нюансов много, наверное, поэтому Кевин Митник называет это именно искусством. Впрочем, проколоться и залогиниться в личной почте не с того устройства по запаре может даже профессионал.
Полезное от Онлайн Патент:
Какие выгоды можно получит от регистрации программы для ЭВМ?
Не только айтишники: какие компании могут внести свои программы в Реестр отечественного ПО?
Больше контента о сфере интеллектуальной собственности в нашем Telegram-канале