https://www.eff.org/cases/impression-products-inc-v-lexmark-international-inc). Их инструменты конфиденциальности включают HTTPS Everywhere (https://www.eff.org/https-everywhere), который является расширением браузеров Firefox, Chrome и Opera для максимального использования HTTPS и Privacy Badger, блокирующим рекламу и другие инструменты отслеживания.
Электронный информационный центр конфиденциальности (The Electronic Privacy Information Center (EPIC)) – это общественный исследовательский центр, основанный в 1994 году, который специализируется на защите конфиденциальности, свободы слова, гражданских свобод и других демократических ценностей, в основном используя судебные разбирательства, публикации и другие средства защиты. Они используют судебную систему даже больше, чем EFF, и оба выступают за лучшую кибербезопасность, а также не позволяют кибербезопасности попирать другие цели. Список вопросов конфиденциальности, который они составили, огромен (https://epic.org/privacy/).
Информация о политических разбирательствах EFF или EPIC обычно шокирует большинство людей, ранее не разбиравшихся в этой теме. Удивительно, как много нашей личной жизни уже пропало. Почти ничего не осталось. Обе организации некоммерческие и зависят от пожертвований. Если вы заботитесь о конфиденциальности и свободе слова, рассмотрите возможность поддержать подобную организацию.
Отдельное спасибо следует сказать Брюсу Шнайеру (https://www.schneier.com/) за его неустанные усилия по просвещению и защите нашей личной жизни. Шнайер публично выступал против эрозии конфиденциальности, и его книги, особенно David and Goliath (https://www.amazon.com/Data-Goliath-Battles-Collect-Control/dp/039335217X/), обязательны к прочтению всем, кто интересуется, что происходит сейчас с частной жизнью. Вы можете прочитать больше о Брюсе Шнайере в главе 3.
Приложения с обеспечением конфиденциальности
Ни одно из предыдущих страшных предупреждений о подрыве конфиденциальности не значит, что мы ничего не можем сделать для улучшения ситуации. Многие отличные, свободно доступные приложения предоставляют как можно больше индивидуальной конфиденциальности с минимальным дискомфортом. Почти каждый специалист по ИБ предложит использовать программное обеспечение с поддержкой Tor (https://www.torproject.org/), которое сделает вторжение в частную жизнь сложнее для всех, кроме тех, кто очень хорошо обеспечен ресурсами. Конфиденциальность, обеспечиваемая Tor, имеет свои недостатки, но это лучшее, что мы можем получить в ПО общего назначения. Многие специалисты любят использовать поисковую систему DuckDuckGo (https://duckduckgo.com/) вместо более известных аналогов, которые финансируются за счет вторжения в частную жизнь. Есть много вендоров программного обеспечения, конкурирующих за защиту конфиденциальности. Пожалуйста, прочитайте статью по ссылке http://www.infoworld.com/article/3135324/security/17-essential-tools-to-protect-youronline-identity-and-privacy.html для понимания лучшей безопасности системы.
Мы не можем иметь безопасность и свободу без личной жизни. Следующая глава посвящена Еве Гальперин, которая работает в Фонде электронных границ.
44. Профиль: Ева Гальперин
Вам наверняка понравится человек, который любит компьютеры и кибербезопасность и при этом проводит свободное время, занимаясь воздушной акробатикой. Будучи директором по кибербезопасности Фонда электронных границ (https://www.eff.org), Ева Гальперин именно такой человек. Работая в Фонде с 2007 года, она достигла своей должности в 2017 году. До этого Ева получила степень в области политологии и международных отношений в Государственном университете Сан-Франциско. Ее работа в первую очередь направлена на обеспечение конфиденциальности, свободы слова и безопасности для всех по всему миру. Гальперин теперь известна во всем мире благодаря работе в этой области, трудам о вредоносных программах и выступлениям на конференциях по безопасности, таких как BlackHat (https://www.blackhat.com/us-16/speakers/Eva-Galperin.html).
Я спросил Еву, как она попала в сферу ИБ. Она ответила: «В компьютерной сфере я очутилась довольно рано. Мой отец работал в этой области, и я расспрашивала его о Prodigy [предшественнике AOL и других онлайн-сервисов]. А он взял и создал мне рабочий стол на своем компьютере Unix/Solaris. В 12 лет… на машине Unix, представляешь? Я участвовала в дискуссиях Usenet о научно-фантастических книгах, играла в интерактивные текстовые игры, а когда появился Интернет, начала создавать веб-страницы. Я училась в колледже на системного администратора Unix, а в то время быть им означало разбираться в информационной безопасности».
Я узнал, как она попала в EFF и занялась анализом вредоносных программ. «Я пришла в EFF в 2007 году. В итоге занималась исследованиями кибербезопасности, потому что никто другой в EFF этого не делал. Анализировать вредоносные программы я начала в 2011–2012 годах в Сирии. Тогда [президент Сирии Башар Хафез аль-]Асад был любимцем Запада. Он позиционировал себя как отца сирийского Интернета и открыл доступ к Facebook[9], который прежде был заблокирован. Все считали его великим. Западный народ думал, что разблокировка Facebook[10] стала признаком растущей открытости Асада к свободе слова. Как же сильно они заблуждались… Я работала над исследованием Интернета в Сирии, изучала вопросы свободы слова и цензуры, когда кто-то обнаружил вредоносное ПО, созданное проасадовскими хакерами, которое было нацелено на сторонников оппозиции. Это был Rat [Remote Access Trojan], установленный на их машинах для эксфильтрации данных, включая пароли и скриншоты, на сирийский IP-адрес. Вместе мы проанализировали его. В течение следующих двух лет я помогла написать около дюжины отчетов о двух проасадовских группах, пишущих такого рода вредоносные программы».
Я спросил Гальперин, что она считает самой большой проблемой в сфере ИБ. Она ответила: «Самая большая проблема в сфере ИБ – это не безопасность, а личное пространство. Многие компании отдают приоритет информационной безопасности, но не защищают конфиденциальность своих пользователей. Они монетизируют пользовательские данные, что стимулирует собирать как можно больше таких данных. Немало компаний имеют большое количество детализированных данных пользователей, а раз они есть, данные подлежат публикации. Даже если компания защищает свои данные от хакеров, им сложнее защитить их от правоохранительных органов и правительства. Часто они даже не думают о правительствах и правоохранительных органах как об атакующих. Я хочу прояснить, что не выступаю за то, чтобы компании не собирали информацию, но пользователи должны иметь власть над своими данными. Пользователь должен знать, когда они собираются, используются, как долго хранятся, как защищены и т. д. Выбор пользователя чрезвычайно важен».
Я поинтересовался, на сколько по десятибалльной шкале Соединенные Штаты по сравнению с другими странами защищают частную информацию своих граждан. Она сказала: «США, возможно, получит 4 или 5 баллов по защите конфиденциальности. Самые сильные цифровые защиты находятся в Европейском союзе. С другой стороны, США имеют гораздо более сильную защиту свободы слова, в то время как в ЕС она намного слабее».
Я спросил Еву, что она думает по поводу приватности и свободы слова в будущем: станет ли она лучше или хуже. Она ответила: «Было бы легко сказать, что все станет хуже. Многие так и делают, тем самым выставляя себя гениями, когда оказываются правы. Но я собираюсь использовать другую тактику. Я думаю, есть шанс, что со временем ситуация улучшится, но до тех пор, пока информация пользователя считается продуктом, а свободное ПО или услуга – это то, на что они его меняют, это будет очень трудно. Мы знаем, что пользователи ценят конфиденциальность и часто готовы платить за нее, если вы дадите им выбор. Но нужно предоставить им эту возможность, и я не уверена, что получится, поскольку крупные игроки становятся более мощными, и это несовместимо с текущей бизнес-моделью».
Наконец, я попросил Еву поделиться историей о том, как она увлеклась воздушной акробатикой: «Я занималась гимнастикой в средней школе. При школе был цирковой кружок, так что я занималась акробатикой, а не привычным спортом. После выпуска я занялась воздушной акробатикой. Это отличный вид спорта! К тому же когда вы на высоте 30 футов качаетесь в воздухе, то не думаете об Интернете».
Не знаю, как вы, но мне нравится, что одна из крупнейших защитниц конфиденциальности не боится рисковать ни на работе, ни в свободное время.
Информация о Еве Гальперин
Более подробную информацию о Еве Гальперин смотрите на следующих ресурсах:
• Ева Гальперин в Twitter: https://twitter.com/evacide;
• профиль Евы Гальперин на Electronic Frontier Foundation (EFF): https://www.eff.org/about/staff/eva-galperi.
45. Установка патчей
Каждый день миллионы веб-сайтов и электронных писем содержат ссылки на вредоносные программы, известные как «наборы эксплойтов». Злонамеренные программисты (или команды программистов) создают их, а затем используют или продают. Набор эксплойтов обычно содержит все, что может понадобиться хакеру в цикле эксплойтов, включая круглосуточную техническую поддержку и автоматическое обновление, чтобы не быть пойманным антивирусным сканером. Хороший набор эксплойтов даже найдет и злонамеренно изменит совершенно сторонний веб-сайт, чтобы убедиться, что он выполняется всякий раз, когда посетители просматривают зараженный сайт. Все, что злоумышленник должен сделать, это купить комплект, запустить его и отправить на поиск жертв.
Наборы эксплойтов почти всегда содержат клиентскую часть (программы, функционирующие на рабочих столах конечных пользователей, и код, предназначенный для использования серверов), которая ищет отсутствующие патчи. Они могут проверить от нескольких единиц до десятков уязвимостей. Любой подверженный атаке компьютер сразу же взламывается (то, что также известно как атака drive-by download), в то время как полностью пропатченные веб-серферы обычно получают письмо социальной инженерии, чтобы установить программу троянского коня. Люди, использующие наборы эксплойтов, предпочли бы использовать непропатченные устройства, чем социальную инженерию, потому что не все конечные пользователи автоматически согласятся установить любую программу. Соответствующие уязвимости регулярно обновляются, чтобы набор эксплойтов был как можно более успешным. Большинство наборов эксплойтов даже содержат консоли централизованного управления, чтобы злоумышленники могли проверить, какие уязвимости работают и как заражены устройства.