В магазинах дополнений и на сторонних сайтах встречаются расширения (например, для пользования социальными сетями), требующие ввода учетных данных, а затем похищающие эти данные. Это могут быть дополнения для социальных сетей, позволяющие скачивать контент из профилей пользователей и т. п. (о них мы говорили в главе 7). Не следует безрассудно устанавливать любые расширения, показавшиеся привлекательными. И дело тут не только в безопасности: установка большого количества дополнений замедляет работу браузера.
Кроме того, расширение может при обновлении или спустя некоторое время (см. кейс) после установки изменить свою функциональность, запустив механизмы сбора персональных данных и прочие инструменты[686].
КЕЙС В 2019 г. разработанный компанией Nacho Analytics аналитический сервис, действующий через различные расширения для браузеров Chrome и Firefox, позволял собирать данные более чем 4 млн сотрудников и клиентов (пользователей ПО) различных компаний, в том числе Apple, Facebook, Microsoft, Amazon, Skype, Zoom, Tesla Motors и Symantec. Клиенты компании Nacho Analytics могли вести в общем трафике поиск по разным параметрам. Например, они могли искать: GPS-координаты пользователей, налоговые декларации, деловые документы, слайды корпоративных презентаций, изображения с видеокамер Nest, VIN-номера недавно купленных автомобилей, имена и адреса их владельцев, вложения в сообщениях Facebook Messenger и фотографии Facebook (в том числе и в личной переписке); данные банковских карт и сведения о маршрутах путешествий. Некоторые расширения оповещали пользователя о сборе данных и собирали их только с его согласия, а другие делали это скрытно. Кроме того, для дополнительной маскировки некоторые расширения начинали пересылать собранные данные не сразу, а спустя 24 дня после установки. За $49 в месяц сервис позволял следить за действиями сотрудников или пользователей конкретной компании или сайта, например Apple, Facebook, Microsoft, Amazon, Tesla Motors или Symantec[687].
Анализ трафика
Ранее мы уже обсуждали аппаратуру, используемую государственными организациями для анализа сообщений и разговоров в сетях телефонной связи. Подобное оборудование применяется и для анализа интернет-трафика. В России для этих целей еще в 2000 г. был разработан комплекс СОРМ-2 и его более поздняя версия СОРМ-3[688]. В совокупности система СОРМ, состоящая из многих компонентов, часть из которых устанавливается в компаниях провайдеров интернета и интернет-сервисах[689], позволяет анализировать весь трафик, курсирующий между пользователями и посещаемыми ими сайтами[690].
Как уже упоминалось, во исполнение так называемого закона Яровой провайдеры интернета обязаны хранить весь абонентский трафик (пересылаемые файлы, электронные письма, мгновенные сообщения и прочее) полгода, а информацию о фактах передачи информации (метаданные) – 3 года.
При хранении таких объемов данных, в том числе и персональных, так или иначе присутствующих в копиях трафика, обязательно будут возникать угрозы несанкционированного доступа и утечек.
КЕЙС В августе 2019 г. российский программист Леонид Евдокимов на IT-конференции Chaos Constructions сообщил, что в открытом доступе в интернете оказались адреса электронной почты, мобильные телефоны, логины и в некоторых случаях GPS-координаты жителей России. В процессе дальнейшего анализа было обнаружено, что эти данные в числе прочих собирались оборудованием, предназначенным для анализа трафика, и размещались на FTP-серверах[691]. Впоследствии эти уязвимости были закрыты.
Surface Web, Deep Web и DarkNet
Стоит сразу объяснить, чем различаются Глубокая (теневая) паутина (Deep Web) и даркнет – теневой интернет (DarkNet), так как многие пользователи интернета их путают[692]. Глубокая паутина (Глубокий интернет) – это веб-страницы, которые не индексируются поисковыми системами и которые невозможно найти с помощью таких поисковиков, как Google или «Яндекс». Это могут быть закрытые форумы или сообщества в социальных сетях; контент, для доступа к которому требуется индивидуальная регистрация и/или оплата; страницы, сгенерированные из баз данных и т. п. Страницы Глубокой паутины могут быть найдены по прямому URL– или IP-адресу, но для просмотра требуется CAPTCHA, пароль или иной способ защищенного доступа.
Ресурсы даркнета также подключены к интернету, но для доступа к ним требуется использовать специальное программное обеспечение, нестандартные протоколы и порты. В некоторых исследованиях даркнет относят к Глубокой паутине; по мнению автора, правильнее считать его частью теневого сегмента интернета.
Согласно некоторым исследованиям, в 2018 г., когда было проиндексировано 4,5 млрд сайтов «поверхностного» интернета (Surface Web), в «глубинном» сегменте, куда их авторы включили даркнет, существовало в 400–500 раз больше ресурсов, т. е., по их мнению, те страницы, к которым мы имеем доступ через обычный браузер, переходя по поисковым запросам и по гиперссылкам, составляют примерно 4 % от всех ресурсов в интернете; в тени находятся 96 % остальных сайтов[693].
Три слоя интернета (включая общедоступный, или видимый, или поверхностный интернет (Surface Web)), можно наглядно представить в виде айсберга, показанного на рис. 8.3.
На рисунке показаны примеры сайтов и служб, доступных в каждом слое интернета.
Рис. 8.3. Айсберг современного интернета
Наиболее известное программное обеспечение для доступа к части сайтов даркнета, а именно к ресурсам, расположенным в доменной зоне. onion[694], – модифицированная версия веб-браузера Firefox под названием Tor Browser. Поскольку сайты в доменной зоне. onion скрыты и не индексируются привычными поисковыми машинами, путешествовать по даркнету весьма трудно. Существуют, правда, каталогизаторы ссылок, такие как Hidden Wiki, и сайты типа DuckDuckGo[695] и Grams, очень похожие на поисковые системы, но ссылки на этих сайтах часто оказываются недействительными или устаревшими, а самим поисковым машинам доступны не все ресурсы даркнета.
КЕЙС В марте 2020 г. была взломана и опубликована в открытом доступе база данных даркнет-хостинга Daniel's Hosting, в связи с чем около 30 % onion-сайтов перестали быть доступны. Взломщики удалили данные с серверов хостинга, причем резервных копий предусмотрено не было. Среди похищенных данных 3671 адрес электронной почты, 7205 паролей от учетных записей и 8580 приватных ключей для доменов. onion[696].
В даркнете представлена самая разная аудитория: это могут быть как журналисты и прочие люди, которым требуется анонимность и конфиденциальность при общении со СМИ и другими организациями, так и преступники, например мошенники. Компания BatBlue The Cloud Security Company[697] наглядно представила структуру и аудиторию даркнета в виде переведенной автором на русский язык диаграммы, показанной на рис. 8.4.
Источник: BatBlue The Cloud Security Company, https://batblue.com.
Рис. 8.4. Аудитория и секторы даркнета
Основа даркнета – анонимная сеть Tor[698]. Она была создана для безопасного общения и обмена конфиденциальной информацией. Ее разработали сотрудники Исследовательской лаборатории ВМС США (United States Naval Research Laboratory, NRL) и Управления перспективных исследовательских проектов Министерства обороны США (Defense Advanced Research Projects Agency, DARPA).
Политические оппозиционеры, инакомыслящие, борцы за свободу слову и конфиденциальность распространяют в даркнете информацию, скрываемую правительствами. К примеру, сайт WikiLeaks, созданный Джулианом Ассанжем в 2006 г., изначально размещался в даркнете и только потом появился в общедоступном сегменте Сети. Onion-сайт WikiLeaks до сих пор присутствует в даркнете, и диссиденты и разоблачители могут анонимно загружать на него информацию. Группы хактивистов, например Anonymous и Lulzsec, в сети Tor обсуждают и планируют свои операции. СМИ с помощью Tor общаются со своими информаторами, которые хотят остаться анонимными.
Примечание. В 2021 г. веб-сайт сервиса Tor был запрещен в России за размещение на сайте информации, обеспечивающей работу средств, предоставляющих доступ к противоправному контенту. На работе приложения ограничения в доступе не отразились[699].
Но также сеть Tor активно используется разного рода преступниками для взаимодействия друг с другом и предоставления незаконных услуг. Даркнет пользуется дурной славой из-за своих торговых площадок, на которых продаются нелегальные товары и услуги. Злоумышленники торгуют наркотиками, оружием, детской порнографией, фальшивыми удостоверениями личности, пиратской видео– и аудиопродукцией и даже людьми.
В даркнете не действуют какие-либо нормативные акты (на некоторых сайтах определенную регулирующую роль играют рейтинги покупателей и продавцов). Там нет контролирующих органов или руководящих инстанций. Торговые площадки даркнета очень непостоянны, они часто меняют свои адреса, названия и администраторов. Администраторы сайтов – это единственные регулирующие органы в даркнете. Они часто стремятся построить доверительные отношения между пользователями с помощью рейтингов покупателей и продавцов. Однако, когда сайты становятся популярнее, а на эскроу-счетах