книги хакеры / Искусство_быть_невидимым_Как_сохранить

устройство. Но, что касается конфиденциальности, тут есть свои подводные камни. Во-первых, AIM хранит в архивированном виде все сообщения, когда-либо отправленные через него. И, как и Skype, мессенджер сканирует содержимое этих сообщений. Кроме того, беспокойство вызывает тот факт, что компания AOL хранит сообщения в облаке на случай, если вы когда-либо захотите просмотреть историю переписки с устройства, отличного от того, на котором вы авторизовались в предыдущий раз.71

Поскольку данные из AIM не шифруются и благодаря облачному хранилищу их можно просмотреть на любом устройстве, правоохранительные органы и злоумышленники без труда могут получить к ним доступ. Например, мою учетную запись AOL взломал скрипт-кидди*, называвший себя в Интернете ником «Virus» — в реальной жизни его зовут Майкл Нивз.72 Он, применив методы социальной инженерии (иными словами, набрав телефонный номер и мило пообщавшись), сумел выяснить у сотрудников AOL, как ему получить доступ к их внутренней базе данных под названием Merlin. В результате он сумел сменить мой электронный адрес на какой-то другой. После этого ему удалось сбросить мой пароль и прочитать все мои последние сообщения. В 2007 году Нивзу было предъявлено обвинение в четырех тяжких

*Скрипт-кидди — от англ. Script kiddie, что можно примерно пе-

ревести как «сопляк со скриптами» — принятое у хакеров название для неопытного взломщика, пользующегося готовыми скриптами и программами, не понимая механизма их действия

ине будучи в состоянии написать что-то свое.

уголовных преступлениях и одном проступке*, связанных со взломом «внутренних компьютерных сетей и баз данных компании AOL, включая платежные данные, адреса и данные банковских карт пользователей».

Как справедливо заметили в Фонде электронных рубежей (англ. Electronic Frontier Foundation, EFF), «отсутствие журнальных файлов (логов) — хороший лог». AOL хранит логи.

Разработчики сторонних приложений для обмена текстовыми сообщениями могут заявить, что используют шифрование, но это шифрование может быть недостаточно надежным. На что следует обратить внимание? Если в приложении для обмена текстовыми сообщениями применяется сквозное шифрование, значит, что у третьих лиц нет ключа и он хранится только на устройствах. Также обратите внимание, что если одно из устройств заражено вредоносной программой, то любое шифрование бесполезно.

Существует три основые разновидности приложений для обмена сообщениями.

•Без шифрования — т. е. кто угодно может прочитать ваши сообщения.

•С шифрованием, но не сквозным — т. е. переписку может прочитать третье лицо, например ин- тернет-провайдер, поскольку ему известен ключ.

*В англосаксонской системе права, принятой в США, принято разделять нарушения закона на тяжкие преступления (felony) и проступки (misdemeanor).

•Со сквозным шифрованием — т. е. третьи лица не смогут прочитать сообщения, поскольку ключи хранятся только на устройствах конечных пользователей.

Ксожалению, большинство общеизвестных мессенджеров, таких как AIM, не обеспечивают должный уровень конфиденциальности. Это касается даже приложений Whisper и Secret. Количество пользователей Whisper исчисляется миллионами, и оно позиционируется как анонимное, однако специалисты обнаружили нестыковки. Whisper отслеживает перемещение своих пользователей, а Secret иногда раскрывает личность пользователя.

Еще одно приложение для обмена сообщениями — это Telegram*, в нем используется шифрование, и его считают отличной альтернативой WhatsApp. Он работает на устройствах с Android, iOS и Windows. Однако специалисты выяснили, что серверы Telegram можно скомпрометировать и получить доступ к критическим данным73. Кроме того, им удалось без труда извлечь зашифрованные приложением Telegram сообщения даже после их удаления с устройства.74

Итак, теперь, когда мы отсеяли несколько популярных вариантов, что остается?

Много чего. Когда вы откроете App Store или Google Play, ищите приложения с поддержкой технологии под названием Off the Record (OTR). Это надежный протокол сквозного шифрования текстовых сообщений, который применяется в некоторых приложениях.75

* Мессенджер Telegram запрещен на территории РФ.

Идеальное приложение для обмена текстовыми сообщениями также должно включать в себя технологию Perfect Forward Secrecy (PFS). Напомню, что это означает генерирование произвольного сессионного ключа, который гарантирует надежность системы. Даже если один из ключей скомпрометирован, с его помощью невозможно прочитать сообщения в будущих сессиях.

Существует несколько приложений с поддержкой как OTR, так и PFS.

Одно из них называется ChatSecure, оно совместимо с операционной системой Android и iOS.76 Также в этом приложении реализована технология, известная как закрепление сертификата. Это означает, что приложение применяет цифровой сертификат, который удостоверяет личность пользователя и хранится на устройстве. При каждом контакте с серверами ChatSecure сертификат в приложении на вашем устройстве сравнивается с сертификатом в базе. Если сертификаты не совпадают, сессия прерывается. Еще один приятный момент — приложение ChatSecure также шифрует логи, которые хранятся на устройстве, т. е. неактивные данные.77

Пожалуй, лучшее из подобных приложений с открытым кодом — это Signal компании Open Whisper Systems. Это приложение работает в операционных системах iOS и Android. (см. signal.org/ru/)

Следующее заслуживающее вашего внимания приложение для обмена сообщениями — это CryptoCat. Оно доступно для iPhone и компьютеров под управлением операционной системы Windows, macOS и Linux. Однако у него нет версии для Android.78

И на момент написания данной книги разработчики Tor Project, которые ранее создали Tor Browser, как раз выпустили приложение Tor Messenger. Как и браузер, мессенджер применяет сквозное шифрование и скрывает реальный IP-адрес, чтобы сообщения невозможно было отследить. (Однако обратите внимание, что, как

ипри работе с Tor Browser, выходные узлы могут быть скомпрометированы.) И, как и со всем программным обеспечением Tor, новичку довольно трудно разобраться с этим приложением, но, потратив время и приложив усилия, вы получите полную анонимность переписки.79

Также существуют и коммерческие приложения со сквозным шифрованием. Однако тут необходимо оговорить, что это программное обеспечение проприетарно

ибез независимой экспертизы нельзя быть уверенным

вего надежности и безопасности. Одно из таких приложений, Silent Phone, применяет сквозное шифрование. Хотя Silent Phone все-таки хранит часть информации

влогах, это делается только в целях совершенствования работы. Ключи шифрования хранятся на устройстве. Это означает, что правительство и правоохранительные органы не смогут вынудить компанию Silent Circle выдать ключи им.

Итак, мы обсудили шифрование данных при передаче

ипри хранении, а также поговорили о сквозном шифровании, технологиях PFS и OTR. А что же насчет других сервисов, а не приложений, например веб-почты? Что же насчет паролей?

ВОТ МЕНЯ ВИДНО,

АВОТ — УЖЕ НЕТ

Вапреле 2013 года Хайрулложон Матанов, 24-летний бывший таксист из Куинси, штат Массачусетс, вместе с двумя друзьями (которые приходились друг другу братьями) отправился в закусочную. Помимо прочего, трое мужчин обсуждали происшествие на Бостонском марафоне: в тот день кто-то недалеко от финиша разместил несколько рисоварок, начиненных гвоздями и порохом,

атакже установил таймер. Прогремевший взрыв унес жизни трех человек, более двухсот человек получили ранения. Братьями, с которыми Матанов сидел за столом, были Тамерлан и Джохар Царнаевы, которые позже стали главными подозреваемыми в организации теракта.

Хотя Матанов позже заявлял, что ничего не знал о бомбе, он быстро ушел со встречи с представителями правоохранительных органов и немедленно удалил историю посещений в браузере на своем компьютере. Этот незначительный поступок — удаление истории посещений в браузере — стал основанием для обвинений, выдвинутых против него.80

Удаление истории посещений в браузере было также одним из пунктов обвинения в деле Дэвида Кернелла, студента, взломавшего электронную почту Сары Пэйлин. Примечательно в этой истории то, что в момент, когда Кернелл очистил историю посещений в браузере, запустил программу дефрагментации диска и удалил скачанные фотографии Пэйлин, он еще не находился под следствием. Получается, что в США нельзя ничего удалять со своего компьютера. Следствие хочет видеть всю историю посещений в браузере.

Юридической основой обвинения против Матанова и Кернелла был закон пятнадцатилетней давности «О реформе учета и отчетности в открытых компаниях и защите интересов инвестора» (как он известен в Сенате) и «Об отчетности, ответственности и прозрачности деятельности корпораций и аудиторов» (как он известен в Палате представителей), который более известен как закон Сарбейнса-Оксли 2002 года (англ. Sarbanes-Oxley Act). Закон был разработан в ответ на служебные преступления руководства корпорации Enron, энергетической компании, которая, как позже выяснилось, обманывала инвесторов и правительство США. Сотрудники правоохранительных органов, занимавшиеся расследованием дела Enron, обнаружили, что множество данных было удалено еще на начальных этапах расследования, поэтому им была доступна лишь частичная информация о делах компании. В результате сенатор Пол Сарбейнс (демократическая партия, штат Мэриленд) и Майкл Оксли (республиканская партия, штат Огайо) внесли в закон ряд пунктов, требующих сохранения вещественных доказательств. Один из них расценивает очистку истории

браузера как преступление, если человек оказывается под следствием.

Согласно обвинительному акту большого жюри, Матанов выборочно очистил историю посещений в браузере Google Chrome, удалив данные за несколько дней до той недели, когда произошел теракт (15 апреля 2013).81 Официально его признали виновным по двум пунктам обвинения: 1) уничтожение, изменение и фальсификация записей, документов и материальных объектов в ходе федерального расследования; и 2) дача заведомо ложных показаний в федеральном расследовании международной и внутренней террористической деятельности.82 Его приговорили к тридцати месяцам тюрьмы.

До этих пор положение об очистке истории посещений в браузере закона Сарбейнса-Оксли применялось нечасто — в основном в отношении компаний или частных лиц. И да, дело Матанова незаурядное, это резонансное преступление, касающееся государственной безопасности. Однако в последнее время обвинители стали чаще инкриминировать эту статью, разглядев весь ее потенциал.

Если вы не можете помешать третьим лицам просматривать вашу электронную почту, прослушивать телефонные переговоры и читать сообщения, да еще и по закону не можете очистить историю посещений в браузере, что вам остается? Для начала можно попытаться предотвратить сохранение истории.

Во всех браузерах, таких как Firefox (Mozilla), Chrome (Google), Safari (Apple), Internet Explorer и Edge (Microsoft), предусмотрен режим инкогнито, работающий на любом устройстве, будь то компьютер или телефон. Вы

открываете новое окно браузера в этом режиме, и он не станет сохранять историю поиска или список посещенных страниц за эту сессию. Как только вы закроете это окно, все следы просмотренных сайтов исчезнут с компьютера или мобильного устройства. За конфиденциальность приходится расплачиваться некоторыми неудобствами: если при работе в приватном режиме вы забудете добавить в закладки интересующий вас сайт, в следующий раз вам придется искать его заново, потому что история не сохраняется (по крайней мере, на вашем устройстве).

Может быть, воспользовавшись таким режимом в Firefox или Chrome, вы почувствуете себя неуязвимым, но, как мы наблюдали на примере электронных писем и текстовых сообщений, ваши анонимные запросы страницы того или иного сайта все равно проходят через вашего интернет-провайдера или оператора сотовой связи. И ваш провайдер сможет перехватить любую информацию, которая пересылается в незашифрованном виде. Если вы заходите на сайт, который использует шифрование, тогда ваш провайдер получит метаданные, из которых можно узнать, что вы посетили такой-то сайт та- кого-то числа в такое-то время.

Когда веб-браузер — будь то компьютер или мобильное устройство — устанавливает соединение с веб-сай- том, сначала он выясняет, будет ли использоваться шифрование и, если да, какое именно. Протокол передачи данных называется HTTP. Протокол указывается перед адресом, т. е. типичный URL-адрес может выглядеть следующим образом: http://www.mitnicksecurity.com. В большинстве случаев можно даже обойтись без «www».

Когда вы подключаетесь к сайту по зашифрованному соединению, протокол меняется. Вместо HTTP вы увидите HTTPS. Теперь URL-адрес выглядит как https://www. mitnicksecurity.com. HTTPS-соединение безопаснее — в первую очередь потому, что оно происходит по схеме «точка — точка», иначе говоря, вы подключаетесь к сайту напрямую. Также существует множество сетей доставки

идистрибуции контента (англ. Content Delivery Networks, CDN), которые кэшируют страницы, чтобы сократить время их загрузки, независимо от того, в какой точке мира вы находитесь. Поэтому между вами и сайтом есть еще один посредник.

Кроме того, нельзя забывать, что, если вы авторизовались в своем аккаунте Google, Yahoo! или Microsoft, весь сетевой трафик на вашем компьютере или мобильном устройстве будет фиксироваться непосредственно самим аккаунтом — на словах, это делается, чтобы составить ваш поведенческий профиль для настройки рекламных объявлений. Один из способов этого избежать — всегда по завершении работы выходить из своей учетной записи Google, Yahoo! и Microsoft. При необходимости вы можете в любой момент снова авторизоваться.

Кроме того, в мобильные устройства некоторые браузеры встраиваются по умолчанию. Это плохие браузеры. Это мусор, потому что они представляют собой ми- ни-версии браузеров для настольных ПК и ноутбуков,

ив них отсутствует ряд функций, отвечающих за безопасность и конфиденциальность, которыми оснащены более надежные версии. Например, на iPhone по умолчанию установлен браузер Safari, но лучше пе-

рейти в магазин App Store и скачать мобильную версию