Информационная безопасность: хроника 5-11 мая

В топе новостей, связанных с инфобезом, на минувшей неделе опять, после определенного перерыва, преобладали вопросы защиты/кражи персональных данных и сотрудничества IT-телеком-компаний со спецслужбами.

Один из самых громких скандалов последнего времени: корпорация Apple признала, что может передавать властям США файлы пользователей iPhone, iPad и Mac. Речь идет о передаче по запросу властей идентификационных данных пользователей, личных фотографий, списков контактов, переписки, документов и прочих пользовательских данных. Эти правила официально прописаны в новой политике Apple по работе с правоохранительными органами и властями США. В документе прямо сказано, что Apple хранит и может передать по запросу американских властей имя владельца продукта Apple, его физический и электронный адреса, номер телефона, данные об устройстве и дате его покупки.

Кажется, не зря я всегда с предубеждением относился к продукции с логотипом в виде надкушенного яблока – хотя вряд ли представляю какой-то интерес для всяких там ЦРУ.

Дальше – больше. Если обладатель устройства Apple пользуется медиа-плеером iTunes и интернет-магазином Apple Store, «яблочная компания» может передавать данные о покупках и загрузках контента, а также номер кредитной карты, с которой осуществлялась транзакция. Серьезное подспорье, когда нужно засудить человека, а не за что. Выяснится, что он слушает пиратские музыкальные треки, – и добро пожаловать в суд! А если жертва еще и пользуется сервисом удаленного хранения данных iCloud, то Apple может передавать властям США все данные оттуда: фото, документы, контакты, календари, закладки, а также переписку в почтовом сервисе iCloud (домены @icloud.com, @me.com и @mac.com) и любые сообщения электронной почты, пересылаемые с устройств Apple. Вот разве что в случае использования сервиса видеосвязи FaceTime и мессенджера iMessage это невозможно – там данные передаются в зашифрованном виде.

Что касается правомочности всех перечисленных выше действий, то с ней вообще беда. Формально Apple передает информацию о пользователях на основании решений суда. Но это в идеальном мире. А в мире реальном корпорация предусмотрительно оставила за собой право предоставлять информацию в срочном режиме без решения суда. При этом Apple будет уведомлять своих пользователей о запросах на предоставлении информации со стороны госструктур, но: «в случаях, если это не запрещено судом и не несет риска здоровью и жизни человека, информацию о котором запросили власти США». В переводе на человеческий язык это означает: «Как захотим, так и поступим».

Заявленная Apple политика по работе со спецслужбами и властями США странным образом сочетается с совместным заявлением Google, Microsoft и Apple о том, что они начнут извещать пользователей о том, какая информация о них запрашивается правительством, чтобы защитить их право на частную жизнь. При этом, к примеру, Apple обещает извещать своих пользователей о любом запросе от спецслужб, а Google – только при запросе от правоохранительных органов США.

По мнению издания The Wall Street Journal (WSJ), это заявление указывает на рост разногласий между американскими IT-компаниями и официальным Вашингтоном. Прежде правительственные чиновники просили интернет-компании держать в секрете запросы правоохранителей, чтобы не спугнуть подозреваемых.

Впрочем, как известно, на каждый хитрый болт найдется своя хитрая гайка. В Штатах все еще действует принятый после терактов 11 сентября 2001 года «Патриотический акт», и предложенные интернет-гигантами изменения политики конфиденциальности могут привести к тому, что правительство просто через суд запретит информировать пользователей о его запросах.

Между тем, корпорация Yahoo! действует самостоятельно, и с июля 2013-го уже извещает своих пользователей о запросах правительства. Как оказалось, такой подход быстро изменил поведение службистов. «Мы заметили, что правоохранительные органы часто отзывают свои запросы, когда мы информируем их о своей политике извещения пользователей», – говорит представитель Yahoo!. В марте уже нынешнего года Департамент юстиции США потребовал судебного запрета на разглашение информации о правительственных запросах для Yahoo! и Twitter, но федеральный судья отказался такой запрет оформить. Впрочем, позднее суд вышестоящей инстанции отменил это решение и предоставил такой запрет.

Но остановить волну протестов, инициированную, как ни странно, бизнес-сообществом, оказалось уже невозможно. 7 мая коалиция более чем из 30 интернет-компаний и общественных организаций объявила глобальное противостояние интернет-слежке. В состав коалиции вошли такие известные структуры, как Freedom of the Press Foundation, Demand Progress, Open Technology Institute, Libertarian Party, а также крупные площадки Reddit, Boing Boing, DuckDuckGo и другие.

Свою протестную кампанию они назвали «Reset the Net», ее цель – обратить внимание администраторов web-сайтов, онлайн-услуг, разработчиков мобильных приложений и обычных пользователей на существующую проблему. «АНБ использует бреши в безопасности Интернета для слежки за пользователями во всем мире, превращая Интернет, который мы любим, в нечто, что никогда не должно было существовать – в паноктикум, – говорится в обращении коалиции. – Мы не можем остановить целенаправленные атаки, но мы можем остановить слежку путем создания безопасного интернет-пространства».

Коалиция просит разработчиков приложений использовать SSL для передачи любых данных по Сети, включая рекламные объявления. Владельцев и администраторов web-сайтов призывают использовать SSL, HSTS и PFS, а также двунаправленное шифрование. Массовая акция сторонников «Reset the Net» назначена на 5 июля: именно в этот день все должны начать защиту передаваемых в Сети данных.

И вот еще что интересно. Против электронной слежки выступили американские парламентарии, которые, в отличие от администрации Барака Обамы, в большинстве своем придерживаются правоконсервативных взглядов. Так, юридический комитет палаты представителей конгресса США одобрил законопроект, предусматривающий прекращение практики тотального сбора американскими спецслужбами данных электронных коммуникаций. При голосовании за проект закона было подано 32 голоса, против – ни одного.

Если этот законопроект получит силу закона, Агентству национальной безопасности (АНБ) США, которое занимается радиоэлектронной разведкой, придется пересмотреть свои методы сбора информации. Как сообщила пресс-служба Юридического комитета Палаты представителей, одно из ключевых положений законопроекта «запрещает массовый сбор данных». То есть, по сути, документ автоматически лишает АНБ полномочий по широкомасштабному перехвату телефонных разговоров и хранению сведений о них.

Совсем иначе обстоит дело в соседней России. Там теперь действует приказ Минкомсвязи, регламентирующий установку к 1 июля 2014 года операторами связи специального оборудования для перехвата и хранения интернет-трафика в течение не менее 12 часов. Согласно документу спецслужбы получают прямой доступ ко всей этой информации. При этом в приложении к приказу перечислены интернет-сервисы, «для которых поддерживается отбор и передача на пульт управления информации» (цитата из приказа). В список вошли не только российские сервисы Mail, Yandex, Rambler, Aport, Rupochta, Hotbox, ICQ, но и зарубежные – Gmail и Yahoo!. То есть порядка 99% электронных коммуникаций россиян окажутся под тотальным контролем.

Но это еще цветочки. Пакет «антитеррористических» поправок в разные российские законы, принятый Госдумой 22 апреля нынешнего года, в частности, обязывает работающие в Рунете соцсети, поисковики и форумы не менее полугода хранить информацию, предоставленную пользователями. Закон также вводит странное определение «организатор распространения информации в сети Интернет». Первый зампредседателя Комитета по информационной политике, информационным технологиям и связи Госдумы РФ Леонид Левин пояснил ИТАР-ТАСС, что под это определение попадают «поисковые системы, блоги, соцсети, форумы и ресурсы, которые распространяют информацию, но при этом дают возможность читателям и пользователям оставлять комментарии».

Ну а там, где персональные денные не крадет государство, их воруют хакеры. Во Франции почти 1,3 млн абонентов компании Orange – крупнейшего оператора связи в стране – подверглись атаке хакеров. Злоумышленники смогли получить номера телефонов, адреса электронной почты, паспортные данные. Причем атака на серверы Orange произошла еще 18 апреля, но до сих пор ее масштабы не раскрывались. Позднее абоненты получили уведомления с просьбой проявлять бдительность и не сообщать через Интернет конфиденциальные данные, в частности номера банковских счетов и пароли для учетных записей.

И напоследок – не самая серьезная, хотя все равно невеселая новость. Студент из Нидерландов Шон Баклс на аукционе продал свои персональные данные интернет-ресурсу The Next Web за 350 евро. Речь идет о домашнем адресе Баклса, его электронной почте, содержимому переписки в соцсетях и мессенджерах, а также истории браузера. Студент признался, что не жалеет о своем поступке и таким образом убедился в важности своих персональных данных для других.

По словам Баклса, продав публично свои данные, он попытался привлечь внимание к проблеме конфиденциальности личной информации в Сети. Объявление о продаже было размещено в начале апреля. Потенциальных покупателей оказалось более сорока, включая социологические компании и хакеров.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!