Как утверждает компания Apple, собранная ею информация объединяется с данными других пользователей, поэтому на ее основе невозможно установить личность конкретного пользователя. Кроме того, Apple заявляет, что не хранит и не предоставляет рекламодателям информацию о сексуальной ориентации, религиозных убеждениях и политических пристрастиях пользователя, а также о его транзакциях с помощью Apple Pay и данных приложения «Здоровье»[817].
Собираемые данные можно просмотреть, выбрав команду Системные настройкиЗащита и безопасность ( System Preferences Security & Privacy), перейдя на вкладку Конфиденциальность (Privacy), выбрав пункт Реклама (Advertising) и нажав кнопку Смотреть информацию о рекламе (View Ad Information).
Отключить передачу данных о геопозиции для таргетирования рекламных объявлений можно с помощью параметра Геолокационная реклама Apple (Location-Based Apple Ads) (выберите команду Системные настройкиЗащита и безопасность ( System Preferences Security & Privacy), перейдите на вкладку Конфиденциальность (Privacy) и выберите пункт Службы геолокации (Location Services)).
Если же перейти на экран Системные настройкиЗащита и безопасность ( System Preferences Security & Privacy), открыть вкладку Конфиденциальность (Privacy), а затем установить флажок Ограничить трекинг рекламы (Limit Ad Tracking), то можно вовсе отказаться от сбора данных для таргетирования рекламы.
Внедрение опасного софта в операционную систему пользователя и кража его данных могут осуществляться не только с помощью вредоносных ссылок и вложений в электронной почте, но и через программное обеспечение, зачастую доверенное. К примеру, скачивая взломанные версии программ или инструменты для их взлома, вы рискуете получить в довесок троянское приложение, способное проанализировать все содержимое жесткого диска и памяти и отправить собранные пароли и прочие персональные данные хакерам.
КЕЙС В 2010 г. семейная пара из США приобрела в рассрочку в магазине Aaron's ноутбук Dell Inspiron 14. Из-за бухгалтерской ошибки эта компания не провела последний платеж, после чего занесла семейную пару в список должников и удаленно запустила на купленном ноутбуке специальную программу PC Rental Agent. С помощью этой программы оператор получает удаленный доступ к компьютеру, может следить за выполняемыми на нем операциями, подключаться к встроенной камере, перехватывать сетевой трафик и данные, вводимые с клавиатуры. Все эти средства разрабатывались с целью удаленно заблокировать краденую аппаратуру. Спустя месяц, на протяжении которого посторонние наблюдатели подключались к ноутбуку почти 350 раз, менеджер магазина Aaron's явился к семейной паре домой, чтобы забрать компьютер. В качестве подтверждения того, что компьютер продолжает использоваться, менеджер предъявил сделанную веб-камерой ноутбука фотографию семейной пары, сидящей в гостиной на диване. Супруги немедленно подали в суд иск о вторжении в частную жизнь, но практика компании Aaron's была признана законной[818],[819],[820].
Метаданные
Если вы много фотографируете или ведете видеосъемку, то первое, что вам приходит на ум при слове «метаданные», – дополнительные сведения о фотографиях/видеозаписях с камеры, хранящиеся в форматах EXIF и IPTC внутри мультимедийных файлов, а также в разделе меню «Свойства»[821] (об этом сказано в предыдущих главах). Эти цифровые файлы содержат сведения о камере, а также дате и месте съемки, если устройство оборудовано GPS-модулем (например, большинство современных смартфонов и планшетов). Мы уже говорили о рисках, с которыми сталкивается пользователь, когда публикует такие файлы в интернете, предварительно не удалив метаданные.
Примечание. Также метаданные в фото и видеозаписях помогают распознавать фейки. Если, к примеру, новость сопровождается якобы свежими кадрами, но в метаданных фотографий указана давно прошедшая дата, вероятно, новость не соответствует действительности. Также недостоверными могут считаться снимки, в метаданных которых упоминается графический редактор, например Adobe Photoshop, или встроенная миниатюра не соответствует полноразмерному изображению.
Некоторую информацию, идентифицирующую пользователя, могут содержать аудио– и видеофайлы: например, в аудиофайлах MP3, AIFF и некоторых других используются теги ID3 (рис. 9.1).
Рис. 9.1. Аудиофайлы некоторых форматов содержат ID3-теги
Из файла на рис. 9.1 можно выяснить ник нарушителя авторских прав, рипнувшего дорожку с CD-диска данного исполнителя (т. е. создавшего ее цифровую копию), а также адрес электронной почты пользователя, создавшего копию композиции в формате FLAC. Данный адрес электронной почты может быть использован для идентификации пользователя, создавшего копию музыкального трека в нарушение авторских прав. Теги можно редактировать, открыв аудиофайл в такой программе, как Windows Media Player.
Примечание. Метаданные некоторых файлов, в частности графических, могут содержать вредоносные сценарии и файлы, способные привести к заражению компьютера, хотя попутно файлы выполняют свое предназначение в соответствии с их форматом[822]. К примеру, графические файлы в формате PNG способны отображать изображение, скрытно устанавливая троянскую программу[823].
Но мультимедийные файлы не единственный источник данных, позволяющих идентифицировать создателя (пользователя). Создавая документы в какой-либо программе, например Microsoft Office (в том числе лицензионной), а затем публикуя их в общедоступной сети, вы можете, не задумываясь об этом, раскрыть свою персональную информацию. Например, упомянутый пакет программ Microsoft Office добавляет в каждый сохраняемый файл метаданные, зачастую позволяющие достаточно точно идентифицировать его создателя (рис. 9.2).
Рис. 9.2. Метаданные документа Microsoft Word
Как видно из рисунка, по метаданным, помимо прочего, можно определить, кто создал документ, кто его сохранил в последний раз; узнать название организации (эта информация извлекается из свойств операционной системы или свойств офисного пакета, и некоторые пользователи указывают в этом поле даже домашний адрес) и даже маршруты пересылки документа и расположение сервера управления документами[824].
Примечание. Функции программного пакета Microsoft Office содержат инструмент под названием «Инспектор документов», предназначенный для удаления такой метаинформации, но мало кто из пользователей запускает его при сохранении каждого документа на диске.
Помимо этого, программы из пакета Microsoft Office позволяют встраивать данные из документов одного формата в документы другого. Например, после добавления в документ Word диаграммы из файла Microsoft Excel можно просмотреть внедренный файл Excel, который может содержать намного больше информации, в том числе конфиденциальной, чем отражено на диаграмме[825]. Например, к таким данным могут относиться другие страницы книги Excel, находящиеся в импортированном файле и не отображаемые на диаграмме, а также метаданные, которые добавлены непосредственно приложением Excel и которые вы не можете отредактировать или удалить средствами Word.
Кроме того, если вставить в Word, Excel или другое офисное приложение фотографию или снимок экрана и кадрировать (обрезать) его инструментами этой программы, то в теле документа останется исходное целое изображение. Любой пользователь, получивший доступ к документу, сможет просмотреть исходное необрезанное изображение, выбрав функцию кадрирования и восстановив первоначальные параметры рисунка (а отрезанные области рисунка могут содержать некую конфиденциальную информацию). Чтобы необратимо удалить отрезанные области кадрированных рисунков в документах, в программе Microsoft Office Picture Manager из пакета Microsoft Office нужно выделить любой вставленный рисунок и на вкладке Формат нажать кнопку Сжать рисунки. В открывшемся диалоговом окне следует выбрать: применять операцию ко всем рисункам или только к выделенному (флажок Применить только к этому рисунку) и установить флажок Удалить обрезанные области рисунков, а затем нажать кнопку OK.
Чтобы избежать утечки таких данных, в документы следует вставлять изображения, предварительно обработанные в графическом редакторе с удалением метаданных и сведением слоев в единое изображение.
КЕЙС В 2010 г. греческая полиция арестовала одного из участников хакерской группы Anonymous – Алекса Тапанариса, который подготовил PDF-документ с манифестом группы. Арест стал возможен потому, что среди метаданных в опубликованном PDF-файле оказалось имя Алекса[826].
Метаданные автоматически добавляются во все пользовательские документы не только в офисном пакете Microsoft Office. Примерно так же, но не настолько навязчиво действуют приложения для просмотра PDF-файлов Adobe Acrobat Reader и редактор Adobe Acrobat Pro, имеющий более широкие функции.
К числу данных, по которым можно идентифицировать пользователя, относятся «забытые» в документах примечания (комментарии) и ссылки (в частности, ведущие на локальные ресурсы). Из таких сведений можно узнать имя пользователя и в некоторых случаях имя компьютера, которое в корпоративных сетях может быть достаточно уникальным, чтобы способствовать определению источника файла.