Подвержены «прослушке» не только камеры телефонов, но и веб-камеры ноутбуков и компьютеров, а также их микрофоны. Их также можно использовать для сбора информации о конкретном пользователе, а в особо экзотических случаях при помощи микрофонов, например, можно вычислять пароли любого уровня – злоумышленнику требуется лишь специальный скрипт, который по звуку нажатия клавиш сможет выдать несколько возможных комбинаций символов. Но чтобы реализовать все это, взломщику нужно каким-то образом загрузить на устройство жертвы свою программу – и здесь мы возвращаемся к нашей излюбленной социальной инженерии. Именно с ее помощью можно заставить свою жертву установить на смартфон то или иное приложение, которое будет «отстукивать» нужную злоумышленнику информацию.
Кстати, не так давно в Канаде был знаковый случай. Одна семья купила новомодный робот-пылесос. Дескать, удобно, да и времени на уборку нет, пусть сам катается и за домом следит. Ну и фактически они не поскупились – выбрали одну из самых дорогих моделей, камера которого позволяла не только выстраивать оптимальную траекторию движения, но и передавать изображение на смартфон. Подключили новую игрушку к смартфону жены, что было огромной ошибкой для ее мужа. Ведь буквально через две недели пылесос «заблудился в трех соснах» (так иронично в Сети называют момент, когда пылесос не может сдвинуться с места) и, соответственно, прислал хозяйке на смартфон просьбу помочь. Хозяйка открыла интерфейс приложения, запросила фотографию окружающей обстановки и увидела на фото своего мужа с некоей девицей в самом разгаре интересных занятий. Что было дальше – история умалчивает, но нас интересует не она, а то, как избежать подобных ситуаций (и не ждите, я не буду рассказывать, как спрятаться от робота-пылесоса в ходе супружеских измен), то есть не попасть под контроль и слежку.
Можно ли всего этого избежать? Да. И буквально в следующей главе я расскажу, каким образом. А пока проверьте телефон: нет ли у вас лишних незнакомых приложений?
Физическое обеспечение приватности переговоров и пресечение доступа к фото-, видео- и аудиоустройствам компьютеров и телефонов
В современном мире обеспечить полную безопасность переговоров довольно сложно – доходит до того, что службы безопасности сторон за несколько недель начинают подготовку. Меры предосторожности, которые принимают службы безопасности, направлены не только на физическую безопасность представителей договаривающихся сторон, но и на системы информационной защиты – проверяют помещение на наличие «жучков», различных технических закладок и так далее.
В подтверждение этих теорий можно привести WikiLeaks (сайт небезызвестного Джулиана Ассанжа), на котором некогда была выложена статья про Turmoil (системы пассивного наблюдения) и Turbine (системы активного слежения), которые используются западными спецслужбами, в первую очередь АНБ США. Эти две системы позволяют в пассивном или активном режиме сканировать, отфильтровывать и перехватывать интернет-трафик любого пользователя в Сети, а также подсаживать в систему множество всяких вредных программ, которые приносят пользу разведывательным управлениям. При этом под техническим устройством пользователя следует понимать не только компьютер, ноутбук или сервер связи, туда же можно добавить смартфоны, планшеты, смарт-часы, GPS-трекеры, словом все-все, что только может иметь доступ к Сети.
Необходимость этих действий обусловлена прежде всего желанием сохранить коммерческую тайну – ведь эта информация есть основа коммерческой деятельности предприятия. Именно поэтому созданию безопасной среды уделяется немало внимания – под контроль берутся не только помещения, но и устройства тех, кто участвует в конкретной встрече (чаще всего ограничивается связь для запрета передачи данных), а в некоторых случаях все электронные устройства изымаются до завершения встречи. Хотя говорить о «взрослой» ликвидации всех возможностей утечки можно, лишь проведя целый комплекс работ – нужно грамотно настроить оборудование и устроить действительно защищенное пространство. Начнем с грамотно настроенного оборудования.
Под грамотной настройкой оборудования подразумевается первичная настройка и пусконаладка программно-сетевой инфраструктуры: ограничение лишних каналов связи, установка соответствующего антивирусного обеспечения и файрвола, поддержка операционных систем в чистоте (недопущение появления хоть какой-то вирусной активности), а также своевременное перекрытие выявленных системных уязвимостей.
Список действий выглядит следующим образом.
– Используйте дополнительные способы авторизации во время сеанса видеосвязи – так вы избавитесь от большинства «нештатных» ситуаций.
– Настройте ограничения по демонстрации экрана во время видеоконференций – этим достигается ваша персональная конфиденциальность.
– Осторожно относитесь к ссылкам, которые вам пересылают, обращайте внимание на их «правильность» (проверка ссылки на фишинговость), а также аккуратно работайте с вложениями.
– Уберите из кадра все лишнее, что может раскрыть вашу личность более, чем необходимо для конкретной ситуации – например, фотографии семьи и детей, – скройте фон (многие программы это позволяют).
– Следите за актуальностью версий приложения – каждое обновление несет множество улучшений политик безопасности.
Но есть и другие факторы, которые влияют на безопасность онлайн-переговоров.
Сквозное шифрование. Наличие данного параметра обеспечивает невозможность перехвата видеозвонка извне, ибо как сам канал связи, так и его содержимое подвергаются криптографическому шифрованию для защиты. Такой способ позволяет надежно скрыть трансляцию от посторонних глаз, но только если у злоумышленников нет доступа к устройствам, между которыми происходит сеанс связи – ключи расшифровки находятся на них. Ключи уникальны для каждого сеанса, поэтому подобрать их невозможно, равно как и скопировать, поэтому владельцы компьютеров, которые действительно заботятся о безопасности своих устройств, находятся в большей безопасности. Выбирая приложение для видеосвязи, обращайте внимание на наличие параметра шифрования!
Возможность перехвата сеанса связи – это прямая угроза конфиденциальности переговоров. Дело в том, что многие программы для видеосвязи имеют ссылочную модель подключения – для подключения к трансляции, например, в Zoom пользователю необходимо перейти по сгенерированной интернет-ссылке. А вот передача этой ссылки частенько происходит небезопасными методами – обычным сообщением по электронной почте или в другом мессенджере без сквозного шифрования. Да и в целом канал связи, используемый в ходе проведения видеоконференции, небезопасен и даже легко вскрывается.
В самом ядре программы некогда был баг (не знаю, пофиксили его или нет) – во время пандемии и соответствующих ограничений в 2020 году злоумышленники нашли способ подключаться к трансляциям; дело в том, что ссылка, ведущая на подключение к трансляции, довольно предсказуема, а значит, может быть скомпрометирована, если знать конкретные идентификаторы клиента и трансляции. Правда, работал этот метод, только если трансляция не была защищена дополнительно при помощи специальных паролей. Хотя, зная пользователей, я бы не удивился, если бы пароль у большинства трансляций был стандартным, типа 1234 (год канонизации святого Доминика римским папой Григорием IX, конечно же. Такой пароль, как вы понимаете, ломается на раз-два, даже без помощи каких-то программ по взлому.
Думаю, здесь не нужно объяснять, что открытый таким образом вход к трансляции ведет к утечке всей информации, которая обсуждается во время сеанса связи?
Условия доступа к пользовательским данным – этот пункт косвенно относится к функциям защиты видеоконференции. В современном цифровом мире использовать дипфейк-личность может и школьник, равно как и найти в интернете реальные данные существующего человека. Поэтому необходимо не только ограничивать объем предоставляемых пользовательских данных, которые пользователь оставляет на своей страничке, но и контролировать, насколько они доступны третьим лицам. То же касается и смены паролей к учетным записям, а также многофакторной авторизации или биометрического доступа. Пренебрегать этими способами защиты учетных записей не рекомендуется!
Физическое обеспечение приватности в контексте переговоров и защиты от несанкционированного доступа к фото-, видео-, аудиоустройствам компьютеров и телефонов является важным аспектом в сфере кибербезопасности и личной безопасности. Вот некоторые методы и советы.
– Использование шифрования: при осуществлении важных телефонных звонков или видеоконференций убедитесь, что используется надежное шифрование, чтобы предотвратить перехват данных.
– Избегайте общественных мест: избегайте разговоров по телефону или проведения важных переговоров в общественных местах, где может быть больше вероятность прослушивания.
– Шумозащита: помещение, где вы ведете конфиденциальные разговоры, должно быть оборудовано средствами для минимизации внешних шумов и предотвращения их прослушивания.
– Использование безопасных средств связи: предпочтительно использовать защищенные и проверенные средства связи, такие как шифрованные мессенджеры или телефонные приложения с поддержкой шифрования.
– Физическая защита устройств: используйте физические заглушки для камер и микрофонов на устройствах, когда ими не пользуетесь, чтобы предотвратить возможность их взлома.
– Обновление программного обеспечения: регулярно обновляйте операционные системы и программное обеспечение, чтобы закрыть уязвимости, которые могут использоваться для удаленного доступа.
– Блокировка физического доступа: настройте пароль или биометрическую защиту для разблокировки устройства и предотвращения несанкционированного доступа.
– Управление правами доступа: отслеживайте и управляйте правами доступа к приложениям и сервисам, чтобы предотвратить несанкционированный доступ к камерам, микрофонам и фотографиям.