Как отключить слежку и телеметрию в браузере Mozilla Firefox

Мы ценим конфиденциальность и анонимность – таковы новые тренды эры информационных технологий. Сейчас пользователи более внимательно следят за своим поведением в Сети, а также стараются обезопасить собственные браузеры, избавившись от сбора данных в них. Сегодня мы поговорим о том, как отключить телеметрию в Firefox, разберем определение понятия, рассмотрим характерные особенности процедуры.

Кратко о главном

Телеметрия – процедура сбора и обработки обезличенной информации о работе браузера (с какого ПК сидит пользователь в Сети, время подключения, количество лагов и зависаний, быстродействие системы и так далее). Утечка такой информации не приведет к катастрофе, но тенденции тотальной слежки в Сети заставляют задуматься о безопасности персональных данных. К счастью, в браузере Mozilla Firefox есть возможность частично отключить их сбор.

Инструкция

Начнем с деактивации сбора данных. Для этого:

  • Переходим в пользовательские настройки (значок в виде трех горизонтальных линий в правом верхнем углу).
  • Теперь открываем раздел «Приватность и защита».
  • Пролистываем страницу до «Сбор и использование…».
  • Здесь деактивируем любые включенные опции.

Для прекращения работы Telemetry Coverage в браузере Firefox нужно:

  • В адресной строке вводим about:config и нажимаем Enter.
  • Соглашаемся с «принятием риска», когда выскочит сообщение о вероятном лишении лицензии.
  • В открывшемся пользовательском окне формируем поисковый запрос по слову telemetry.
  • Здесь настройте все опции так, как показано на скриншоте.
  • Для изменения значения дважды кликните ЛКМ по нужному пункту.

Дополнение

Настало время избавиться от функции «Firefox Эксперименты». По некоторым данным, этот аддон разработчики добавили в честь выхода сериала «Мистер Робот», но лучше не рисковать.

Следуем инструкции выше до момента создания поискового запроса – теперь нам нужна выборка по фразе «experiments». Изменяем значения параметров на отрицание (false).

Подведем итоги

Для обеспечения дополнительной конфиденциальности и анонимности работы в Сети рекомендуется включить функцию First-Party Isolation. Полезно будет изучить материалы, связанные с телеметрией и отслеживанием активности пользователей.

оригинал статьи на Firefx

Думаете, VPN спасает вас от слежки? Это не так

VPN (Virtual Private Network) повышает уровень конфиденциальности и безопасности при использовании интернета. Однако означает ли это, что ваши действия в сети действительно остаются анонимными? Или полная приватность — всего лишь недостижимый идеал?
Краткий ответ: да, даже при использовании VPN вас всё ещё могут частично отслеживать.

Подробный ответ заключается в следующем: VPN маскирует ваш IP-адрес, направляя трафик через зашифрованный туннель и присваивая вам другой IP-адрес, часто из другого региона. Это усложняет задачу веб-сайтам, провайдерам интернет-услуг (ISP) и другим организациям, стремящимся отследить ваше местоположение и действия в интернете.

Таким образом, VPN затрудняет отслеживание онлайн-активности, но не делает его невозможным. Рассмотрим, почему это происходит и кто заинтересован в вашем отслеживании.

Кто стремится отслеживать вас в интернете?

Для чего кому-то может понадобиться отслеживать вас в интернете? Это ключевой вопрос, на который следует ответить. Понимание мотивации людей и организаций, желающих за вами следить, помогает лучше осознать, от чего именно VPN пытается вас защитить.

1. Провайдеры интернет-услуг (ISP)

Ваш провайдер может отслеживать всю вашу онлайн-активность: он видит, какие сайты вы посещаете, какими сервисами пользуетесь и какой объем данных отправляете и получаете. Однако при использовании зашифрованных сайтов (HTTPS) или таких сервисов, как VPN, провайдеры не могут видеть конкретное содержание ваших коммуникаций.

2. Государственные организации

Некоторые государственные агентства запрашивают журналы активности у провайдеров для борьбы с преступностью. В отдельных случаях правительства собирают данные для наблюдения за населением или цензуры, что особенно актуально в странах с репрессивными режимами.

3. Браузеры

Если вы используете Chrome или Firefox, они, вероятно, знают о вас больше, чем вы предполагаете. Многие браузеры собирают информацию о ваших привычках в интернете, устройствах и местоположении. Chrome активно использует эти данные для персонализации рекламы, тогда как Firefox, хотя и больше ориентирован на конфиденциальность, также собирает определённые данные, если вы не отключили эту функцию.

4. Киберпреступники

Киберпреступники постоянно ищут способы отследить вашу активность с целью кражи личных данных или их продажи на чёрном рынке. Они могут использовать вредоносное ПО, фишинг или перехват куки для проникновения в вашу приватную жизнь.

5. Веб-сайты и рекламодатели

Веб-сайты отслеживают вашу активность для анализа данных, включая информацию о том, как вы попали на сайт и какой контент просматриваете. Эти сведения используются для показа таргетированной рекламы и оптимизации содержимого с целью повышения вовлечённости пользователей.

Как VPN защищает вас от отслеживания?

Каждое устройство, подключённое к интернету, имеет IP-адрес — уникальный идентификатор, указывающий на ваше приблизительное местоположение. Веб-сайты, провайдеры и даже киберпреступники могут использовать IP-адрес для отслеживания вашей онлайн-активности.

VPN шифрует ваши данные и скрывает ваш IP-адрес, выступая посредником. Он перенаправляет ваше соединение через зашифрованный туннель на сервер VPN, который заменяет ваш IP-адрес своим собственным. Это существенно усложняет процесс отслеживания ваших действий в интернете.

Тем не менее, VPN не обеспечивает полной анонимности. Рассмотрим случаи, когда VPN может оказаться неэффективным.

В каких ситуациях VPN не может вас защитить?

Хотя VPN скрывает ваш IP-адрес и повышает конфиденциальность, он не гарантирует полной анонимности. Существует несколько способов, которыми вас всё ещё могут отслеживать:

Вредоносные программы

Даже при использовании VPN вредоносное ПО, такое как шпионские программы, может проникнуть на ваше устройство. Если вы непреднамеренно загрузите его, оно сможет следить за вашими действиями, даже если ваш IP-адрес скрыт.

Куки

При посещении веб-сайтов они могут запрашивать разрешение на использование куки — небольших файлов данных, отслеживающих вашу активность. Куки сохраняются на вашем устройстве и остаются там, даже если вы используете VPN.

Цифровой отпечаток

Веб-сайты применяют технологию браузерного отпечатка для сбора информации о вашем устройстве, такой как операционная система, часовой пояс и разрешение экрана. Эти данные помогают веб-сайтам идентифицировать вас, даже если ваш IP-адрес скрыт.

Обнаружение VPN

Случалось ли вам пытаться получить доступ к мобильному или интернет-банку с VPN и обнаружить, что банк знает о вашем использовании VPN? Это означает, что он смог обнаружить использование VPN. Как именно компании определяют это?

  • Глубокий анализ пакетов: Специализированное ПО, часто используемое правительствами или крупными организациями, анализирует структуру пакетов данных для выявления VPN-трафика.
  • Известные IP-адреса VPN: VPN используют ограниченное количество IP-адресов, часто разделяемых между многими пользователями.
  • Блокировка портов: VPN полагаются на определённые порты для установления соединений. Их можно блокировать, чтобы предотвратить использование VPN.
  • Цифровой отпечаток: Если отпечаток браузера не соответствует изменённому IP-адресу, сайты могут обнаружить использование VPN.

Могут ли VPN-провайдеры отслеживать вас?

Провайдеры VPN обещают зашифрованные соединения и политику «без логов», однако нет возможности полностью проверить эти заявления. В прошлом некоторые VPN-провайдеры были уличены в хранении логов, несмотря на обещания. Например:

  • В 2017 году компания PureVPN передала данные пользователей ФБР, несмотря на декларируемую политику «без логов».
  • В 2020 году было выявлено, что семь VPN-сервисов (включая Free VPN и Flash VPN) хранили пользовательские логи.

Могут ли правоохранительные органы отслеживать VPN?

Правоохранительные органы обычно не могут напрямую отслеживать зашифрованный VPN-трафик, однако они могут определить, что вы используете VPN, если:

  • Идентифицируют известные IP-адреса VPN или порты.
  • Запросят журналы у провайдера VPN.

Децентрализованные VPN (dVPN) как перспективное решение

Децентрализованные VPN (dVPN) приобретают популярность как более надёжная альтернатива. Они функционируют на основе сети, состоящей из независимых узлов, управляемых пользователями по всему миру. В отличие от традиционных VPN, трафик dVPN проходит через сеть этих узлов, что значительно усложняет его отслеживание.

Хотя dVPN решают многие проблемы традиционных VPN, они все еще находятся на стадии развития. Тем не менее, они предлагают многообещающее решение для повышенной конфиденциальности. Давайте рассмотрим ключевые различия между VPN и dVPN:

Ключевой аспект VPN dVPN
Централизация Централизованная. Трафик проходит через серверы одной компании. Децентрализованная. Трафик проходит через независимую пиринговую сеть.
Политика "без логов" Приходится полагаться на слово провайдера, что они не собирают логи после прохождения трафика через централизованный сервер VPN. Распределенная сеть узлов затрудняет перехват вашего трафика. Если один узел выходит из строя, остальные продолжают работать.
Доступ к геоограниченному контенту Сервисам легче определить использование VPN и заблокировать доступ к контенту — ваш трафик исходит от известного IP-адреса VPN. Трафик неотличим от обычного IP-адреса. Компаниям сложнее обнаружить использование VPN.
Цензура Единая централизованная точка контроля, которую государственные органы могут заблокировать. Может быть формально запрошена предоставить логи (если они есть) властям.
Доверие Зависит от честности централизованного провайдера. Бестрастовая среда. Пользователям не нужно полагаться на надежность одной компании.
Точка отказа Единая точка отказа (сервер провайдера VPN), которую злоумышленники могут использовать для компрометации решения VPN. Нет единой точки отказа, которую злоумышленники могли бы атаковать.
Правовые уязвимости Может быть официально запрошена предоставить логи (если они есть) властям. Даже если власти запросят логи, децентрализованная технология делает их предоставление невозможным. Они просто не могут существовать.

Как видно, децентрализованные VPN решают две главные проблемы, связанные с провайдерами VPN:

  • Зависимость от честности решений VPN в отношении сбора логов.
  • Возможность для организаций видеть, что вы используете VPN, и подвергать вас цензуре или блокировке.

В отличие от обычного VPN, dVPN обеспечивает конфиденциальность по умолчанию. Организациям будет сложнее отследить вас, и вам не нужно слепо верить, что провайдер настолько надежен, как он заявляет. Сбор логов с dVPN невозможен по определению.

Заключение

Использование VPN почти всегда предпочтительнее его отсутствия, однако ваша конфиденциальность в конечном итоге зависит от выбранного вами провайдера. Децентрализованные VPN представляют собой многообещающее решение для тех, кто стремится к максимальной анонимности и приватности в сети. Они решают многие проблемы традиционных VPN, обеспечивая более надежную защиту вашей онлайн-активности. Однако, как и с любой новой технологией, важно следить за развитием dVPN и быть в курсе их возможностей и ограничений.

оригинал статьи на SecurityLab

Робот-пылесос следит за тобой

Ещё не так давно Интернет облетели скандальные фотографии, сделанные… роботом-пылесосом. На фотографиях были запечатлены домашние сцены, в том числе довольно интимные, снятые с низких ракурсов.

Все эти изображения были сделаны не скрытой камерой и не человеком, ворвавшимся в чей-то дом. Они принадлежали одной из версий робота-пылесоса iRobot Roomba. Оказалось, что фотографии от пылесоса автоматически отправляются в стартап Scale AI, который нанимает сотрудников из бедных стран для маркировки аудио-, фото- и видеоданных, используемых для обучения искусственного интеллекта. А потом эти сотрудники при желании делятся этими данными друг с другом.

Кто смотрит видео с камеры?

Чаще всего — никто. Но из этого правила могут быть исключения. В частности, скандальный случай с фото хозяйки на унитазе стал возможен потому, что прототип (инженерный образец) пылесоса Roomba J7 отсылал видеопоток производителю, фирме iRobot, для разработки алгоритмов нового робота.

Из других снимков можно узнать, как живут люди во многих домах по всему миру. Мебель, декор и предметы, расположенные высоко на стенах и потолках, часто обведены прямоугольниками и снабжены надписями вроде «телевизор», «растение», «книга» или «светильник».

Чтобы улучшать системы машинного зрения, инженерам требуется не просто видео с камеры пылесоса, а размеченное видео. На нем должны быть распознаны и верно обозначены элементы меблировки. Первичная разметка фото и видео проводится людьми, а когда компьютер уже обучен на этих примерах, люди проверяют качество распознавания и исправляют ошибки. Вот iRobot и передала видео специализированному подрядчику Scale AI, который содержит целый штат низкооплачиваемых сотрудников, часами просматривающих фото или видео, маркируя нужные объекты. Как раз эти суб-субподрядчики из Венесуэлы и допустили утечку особо забавных, на их вкус, фото, в группу Facebook.

Фирма iRobot утверждает, что все прототипы обклеены соответствующими предупреждениями и передаются испытателям только после письменного согласия на съемку — то есть случайно купить такой пылесос в магазине невозможно. То есть, по оценке iRobot, любой, чьи фото или видео появлялись в стримах, соглашался на то, чтобы их роботы-пылесосы их снимали.

Конечно, звучит успокаивающе. Если мы не подпишем такой контракт, наши данные в Сеть утекать не будут! Но на деле потребители регулярно соглашаются на отслеживание своих данных на различных устройствах, от айфонов до стиральных машин. Мало кто разбирается в политиках конфиденциальности и вчитывается во все расплывчатые формулировки (будем честны, я такое последний раз делал лет 10 назад). Достаточно поставить галочку напротив нужной формы. А потом, оказывается, ваше голое тело, фотографии ваших детей и интерьеры вашей квартиры будут обсуждаться на форумах в Венесуэле или на Филиппинах.

Массовый сбор данных

Развитие умной домашней электроники, особенно автономных роботов, невозможно без масштабного сбора информации. Все системы машинного обучения способны чему-либо научиться, только проанализировав миллионы миллионов образцов. Это одна из основных причин, по которой в длинном лицензионном соглашении об использовании продукта почти всегда есть пункт о том, что производитель требует вашего согласия на сбор «диагностических» данных для улучшения продуктов и услуг. При этом далеко не всегда список этих данных детализирован, а «улучшение продуктов и услуг» не детализировано никогда.

Иногда в соглашении явно указано, что данные не будут продаваться или использоваться в коммерческих целях, но «улучшение продукта» часто связано с обработкой собранных материалов субподрядчиками или партнерами. Таким образом, в большинстве случаев невозможно понять, какие данные собираются, куда передаются и где закончат свой путь.

Хорошую попытку исправить эту ситуацию, впрочем, делает некоммерческая организация Mozilla Foundation, выпускающая гид Privacy Not Included. В нем отмечаются приложения и гаджеты, которые особо цинично нарушают права покупателей на защиту информации. Список далеко не полон, но несколько «хороших» и «плохих» роботов-пылесосов там уже есть.

Нецелевое использование

Даже если предположить, что производитель робота-пылесоса максимально этичен, судьба собранных данных не всегда безоблачна. Они подолгу хранятся на серверах производителя, где их защита порой не поддерживается на должном уровне. Поэтому, кроме субподрядчиков, к ним внезапно может появиться доступ у совершенно посторонних людей — от исследователей безопасности до киберкриминала или политически мотивированных хакеров.

Еще одна, хоть и более экзотическая угроза, — взлом самого пылесоса. Под контролем хакера он может выполнять любые нецелевые действия (даже играть музыку из Spotify), включая, конечно, и разные формы шпионажа.

Как минимизировать риски

Несложно устроить свой быт с пылесосом таким образом, чтобы сбор данных был минимизирован и не мог привести к утечке важных данных о вашей частной жизни. Например, в настройках можно отключить передачу карты квартиры или дома на сервер производителя, всегда проводить уборку, когда домочадцев нет дома, а при необходимости — запретить въезд пылесоса в какие-то особо важные места квартиры, будь то спальня или библиотека. Такой запрет иногда доступен в настройках, но еще надежнее использовать для этого «виртуальные стены» от производителя вашего устройства.

Другой реалистичный вариант: подобрать модель пылесоса, работающую вообще без доступа в Интернет. Целый ряд моделей той же iRobot на это вполне способны, хотя запуск по расписанию и просмотр статистики уборки все же нуждаются и в доступе в Сеть, и в установке на телефон соответствующего приложения.

Если без Интернета настроить пылесос невозможно, может сработать комбинированный вариант: провести первоначальную настройку пылесоса при помощи мобильного приложения, установить нужный график уборки, а потом отключить пылесосу доступ в Интернет.

Сделать это можно через настройки роутера: либо при помощи смены пароля точки доступа, либо внесением пылесоса в специальный «черный список».

Более сложный способ: организовать управление пылесосом без связи с интернет-серверами производителя, непосредственно из локальной сети. Пылесос даже можно интегрировать с системой автоматизации «умного дома»! Подобные проекты есть, например, для популярных моделей iRobot и Xiaomi, но они требуют определенных технических навыков.

оригинал статьи на habr.com

Илон Маск считает, что мессенджеру WhatsApp нельзя доверять

Основатель Tesla и владелец Twitter Илон Маск раскритиковал популярный мессенджер WhatsApp*. Согласно снимку экрана, опубликованному одним из пользователей Twitter, WhatsApp* самопроизвольно активировал микрофон его смартфона несколько раз за ночь. «WhatsApp нельзя доверять», — написал Маск.

Со схожей критикой выступил создатель мессенджера Telegram Павел Дуров. Он напомнил об уязвимостях WhatsApp, которые позволяли взламывать смартфоны пользователей.

«Например, в WhatsApp простого принятия звонка или просмотра видеозаписи было достаточно, чтобы злоумышленник получил полный доступ к Вашему телефону. Из-за этой уязвимости WhatsApp становился шпионской программой, которая позволяла хакерам взломать любой смартфон с WhatsApp.»

Как защитить приватность обычному пользователю

В современном мире, когда цифровые технологии стали неотъемлемой частью нашей жизни, вопросы безопасности и конфиденциальности данных приобретают особую важность. Все больше людей задумывается о том, насколько надежно они защищены от вмешательства собственных смартфонов в личную жизнь. Проблемы с приватностью даже у популярных приложений с многомиллионной аудиторией доказывают, что опасения небезосновательны.

Один из немногих способов гарантированной защиты личной конфиденциальности от мобильных гаджетов — физическое отключение смартфонов от беспроводных сетей. Блокировка информационного обмена делает невозможной дистанционную прослушку и отслеживание через телефон, а также удаленную активацию камеры или микрофона.

Защитные чехлы и другие гаджеты со встроенной клеткой Фарадея блокируют все радиосигналы и на физическом уровне отключают смартфоны от сети. Защиту невозможно обойти — пока смартфон находится в чехле, устройство теряет возможность использовать функции беспроводной связи.

У нас вы найдете решения разного типа и форм-факторов. Используйте их тогда, когда вы хотите быть уверены в своей приватности на 100%.

*принадлежат компании Meta, признанной 21.03.2022 г. экстремистской организацией в России.

Какие данные о вас собираются, а какие закрываются?

Государство активно взяло курс на формирование реестра граждан и наполнение его разнородными данными. Про это высказываются самые разные чиновники после главного шага — введения системы «электронных повесток». К этому готовились. Напомним, что именно было сделано в последние два года для сбора максимального объема данных внутри госсистем.

  1. Государство в декабре принудило все коммерческие компании отдать себе биометрические данные 70 миллионов трудоспособных россиян (закон 211535 о «Единой информационной системе»). Всё, что собрали банки, телекомы, интернет-сервисы.
  2. В январе 2023 Путин поручил принять закон «об обезличивании» (992331). Несмотря на название, закон позволит государству принудительно забирать любые другие персональные данные к себе в «единую систему». Официально — чтобы разрабатывать сервисы и развивать ИИ, об этом прямым текстом говорили чиновники. Закон был скандальный и забуксовал осенью, но в январе президент придал ему импульс.
  3. Закон о класифайдах (141597). Принуждает HH, CIAN, Авито и других поставить себе спец.счётчик, собирающий данные с каждого вашего визита. Законом позволяется использовать данные для «иных целей» и — внимание — «развивать системы различного назначения для госорганов (ФЗ 149). А также интегрирует их данные в «Госуслуги».
  4. Закон о госсчётчике (ФЗ 2124) принуждает 79 крупнейших приложений, сервисов и сайтов установить трекер, который собирает каждый факт проигрывания видео, содержание страницы, её URL, первые 256 символов контента.

Вместе эти законы уникальны и такого набора нет ни в одной стране мира. Таким образом, «реестры» будут хранить профиль, в котором будет про вас всё, от внешности и данных с камер, до того, какую статью вы читали на прошлой неделе, какой товар изучали на Авито и какими квартирами интересовались. И там уже хранятся данные из ФНС о каждом вашем чеке и его составе. Можно будет неплохо предсказывать ваше поведение и использовать это для поощрения или наказания, разрешения или ограничения услуг одним кликом. Всё это — за рамками традиционных институтов. Такой вот идеальный мир глазами технократа.

Хроники закрытых данных

У нас не только оперативно создают новые электронные реестры граждан и «передовые системы мобилизационного развёртывания». Но так же оперативно закрывают данные о работе государственных систем. И вот несколько примеров:

  • Закрыт портал открытых данных data.gov.ru. На «пересборку», но характерно, что никаких сроков открытия не заявлено. Текущий сайт не поддерживается и закрыт.
  • Целиком закрыты данные Россотрудничества, Россморечфлота, Росимущества (24 набора данных).
  • Прекращена публикация статистики преступности.
  • Большинство показателей Росстата и системы ЕМИСС исчезнут с сайта или перестанут обновляться (для этого принят новый закон)
  • Закрыты данные об энергопотреблении.
  • Скрыты данные о собственниках в Едином государственном реестре недвижимости.
  • Закрываются даже региональные порталы. Например, портал города Перми (480 наборов данных) заменили на лендинг с телефонным справочником.
  • На 2023 год 23% бюджета страны засекречено. Эта доля в три раза больше, чем в «воинственных США».
  • Прекращена публикация деклараций чиновников.

Всего не менее 14 ведомств скрыли всю или часть статистики. Это целенаправленный тренд, который сложно объяснить безопасностью. Ведь чужим разведкам доступны более глубокие данные, официальные датасеты для них вторичны.

Очень жаль, ведь открытые данные — это возможность работы для независимых аналитиков и дата-журналистов, которые помогают государству и обществу развиваться. А также это «топливо» для data-driven стартапов, в том числе маркетинговых. Теперь полагаться стоит только на те данные, которые ты собираешь сам.

Что в итоге?

Мы видим систему, которая строит железобетонную стену вокруг себя, и при этом проламывает последние преграды на пути к вашему поведению в сети. Делается это успешно и системно.

Кому достанутся ваши аккаунты после смерти

Что произойдет с вашими цифровыми активами после смерти и как при жизни позаботиться о том, чтобы они попали в правильные руки.

То, что человек смертен, — не новость. Однако за последние двадцать лет люди обзавелись новыми видами активов, связанных с цифровой жизнью. И наверняка многие из вас задумывались: а что будет потом со всеми моими аккаунтами в соцсетях и мессенджерах, со всеми облачными архивами почты и фотографий, с доменами и сайтами, счетами в электронных кошельках и на биржах?

Посмертный аккаунт

В 2012 году родители 15-летней девушки из Берлина попытались зайти в ее аккаунт на Facebook* — после того как их дочь упала под поезд и погибла. Родители хотели выяснить, что привело к такому печальному исходу; подозревали, что самоубийство связано с кибербуллингом. Однако аккаунт уже подвергся «мемориализации»: никто не мог получить к нему доступ.

Только через шесть лет судебных разбирательств, в 2018 году, Высший суд Германии постановил, что с точки зрения наследования аккаунты в соцсетях не отличаются от личных писем и дневников, то есть должны передаваться законным наследникам, в данном случае — родителям.

Но почему этот процесс так затянулся? Потому что IT-индустрия не соглашается с подобной трактовкой цифровых активов. Обычно выдвигается два контраргумента. Во-первых, Facebook* и другие сервисы ссылаются на законы о защите персональных данных: эти данные нельзя передавать третьим лицам без разрешения владельца. Правда, владелец в данном случае мертв — но ведь те, с кем он переписывался, еще живы, а они не давали разрешения читать их переписку.

Другой вариант отказа потенциальным наследникам связан с тем, что многие цифровые сервисы предоставляют свои продукты по лицензии, как услугу временного пользования. А законодательство не предусматривает наследования такой «аренды». Например, регистрация доменного имени в России происходит на основании договора оказания услуг, а услуги в наследственную массу не входят.

Правила цифровых кладбищ

Когда законы о наследовании не покрывают цифровой актив, остается надежда на политику компании и шаги наследодателя. Например, доменный регистратор может предложить клиенту заключить дополнительное соглашение о переходе прав администрирования доменного имени в случае смерти администратора. Некоторые регистраторы предусматривают возможность передачи домена ближайшим родственникам при условии предоставления необходимых документов.

Аналогичные возможности постепенно появляются и в других сервисах. Последние версии iOS позволяют вам указать цифрового наследника — лицо, которое получит доступ к вашим данным в облачных сервисах Apple в случае вашей смерти. Правда, наследнику будут доступны не все ваши цифровые активы. В частности, он не получит электронные книги, фильмы, музыку и другие ваши покупки, сделанные в Интернете (вы ведь помните, что цифровая книга — это не книга, а всего лишь услуга временной аренды).

Для аккаунтов Google подобная функция называется «На всякий случай» — указанный вами человек получит доступ к вашим данным в случае, если аккаунт неактивен в течение продолжительного времени (период неактивности вы задаете самостоятельно).

Нечто похожее есть теперь и в правилах установки памятного статуса для аккаунтов Facebook*. Можно заранее сообщить сервису свою последнюю волю относительно аккаунта: либо удалить его полностью после смерти владельца, либо указать контакт «хранителя», который будет присматривать за мемориальным аккаунтом умершего. Именно присматривать: менять старый контент, читать сообщения или удалять друзей умершего нельзя, можно лишь сменить фото в профиле, повесить мемориальный пост, а также дать возможность выбранным френдам опубликовать свои воспоминания о покойном в специальной мемориальной ленте. Кроме того, у хранителя должен быть свой аккаунт в Facebook* (да-да, социальная сеть и здесь не забывает план по окучиванию населения).

Однако правила у всех сервисов разные, и мы еще не раз будем сталкиваться со всякими странностями в этой сфере. Сейчас в соцсетях десятки миллионов аккаунтов мертвых людей. Причем только часть из них превращена в «мемориалы». Ведь для этого, как и для удаления аккаунта, нужно предоставить сервису документы о смерти владельца (подобные правила работают в Instagram*, ВКонтакте и других соцсетях). Но во многих случаях аккаунты продолжают вести родственники, а иногда и совсем посторонние люди, используя популярность умерших для своих целей. А сами сервисы автоматически предлагают нам поздравлять мертвых с днем рождения или присылают пользователям обзоры «лучших дней года», куда попадают самые тяжелые воспоминания. Не исключено, что в виртуальных метавселенных будущего толпы покойников будут бродить по площадям на автопилоте, напоминая худшие фильмы про зомби-апокалипсис.

Что делать, пока жив

Универсальных решений нет, но каждый может самостоятельно позаботиться о том, что будет с его цифровыми активами после смерти. Сделать это можно двумя способами: сложным и простым. Если вы избрали сложный путь, в нем будут следующие шаги:

  • Составьте завещание у нотариуса, указав там свои цифровые активы и людей, которым вы эти активы завещаете. Даже если наследственное право не распространяется на описанные активы, наличие завещания поможет в спорах.
  • Выясните про каждый цифровой сервис, какое именно наследование он поддерживает и что нужно для этого сделать в настройках или договорах. Например, деньги с электронных кошельков могут перейти законным наследникам без дополнительных мер, поскольку на деньги распространяется наследственное право. А вот в случае электронной почты, различных цифровых хранилищ и социальных сетей имеет смысл установить в сервисе контакт хранителя-наследника (legacy contact). Для этого придется найти и изучить соответствующую инструкцию каждого конкретного сервиса.
  • Вашим наследникам придется со своей стороны выяснить, какова процедура получения доступа в каждом из сервисов. Если вы установили контакт наследника (legacy contact), ваш наследник для получения доступа должен будет со своей стороны предъявить определенный документ или электронный код, в зависимости от правил конкретного сервиса.
  • Многие сервисы (включая Twitter, Instagram* и «ВКонтакте») не передают никому доступ к аккаунтам умерших. Однако они могут по просьбе родственников удалить аккаунт или «мемориализовать» его — но даже для этого нужно предоставить сервису соответствующие документы. Возможно, в определенных случаях вам потребуется доказывать свои права через суд.

Но если не хочется так заморачиваться, то есть и более простой путь: вы можете записать все свои аккаунты и пароли в единое хранилище паролей, защитив их главным паролем, и передать доступ к этому хранилищу надежному человеку вместе со своей последней волей — например, «всё удалить».

В этом методе главное — правильно выбрать человека. Помните, что у писателя Владимира Набокова это не получилось: он завещал уничтожить рукопись своего последнего незаконченного романа, но жена этого не сделала, а сын опубликовал отцовские черновики в «Плейбое».

*Facebook и Instagram принадлежат компании Meta, признанной 21.03.2022 г. экстремистской организацией в России.

Кто и как следит за вами в Интернете

Что такое веб-маяки и трекинговые пиксели, чем они неприятны и как их отключить.

Представьте: как только вы заходите в торговый центр, за вами по пятам начинает ходить незнакомый человек. Он тщательно конспектирует, в какие магазины вы заходите. Вам дают в руки рекламную листовку — он заглядывает через плечо и следит, внимательно ли вы ее прочитали. Когда вы в магазине, он с секундомером замеряет, сколько времени вы простояли возле каждой полки. Звучит нелепо и несколько неприятно, правда? К сожалению, примерно это и происходит каждый раз, когда вы посещаете крупные веб-сайты, читаете почтовые рассылки интернет-магазинов и онлайн-сервисов, а также пользуетесь их фирменными мобильными приложениями. «Человек с секундомером» на практике — это системы аналитики, которыми оснащены практически все сайты, приложения и даже почтовые рассылки.

Зачем компаниям эта информация? Ответов несколько, и зачастую данные используются для всех целей одновременно.

  • Чтобы лучше знать ваши предпочтения, предлагать товары и услуги, которые вы купите с наибольшей вероятностью. Сюда же отнесем назойливую рекламу велосипедов, которая будет вас преследовать еще два месяца после посещения сайта с велосипедами.
  • Чтобы лучше подбирать тексты и изображения на сайтах и в письмах. Компания тестирует разные варианты описаний, заголовков и баннеров, а потом выбирает тот, который покупатели чаще и внимательней читают.
  • Чтобы определять, какие разделы мобильного приложения или сайта пользуются наибольшей популярностью и как вы с ними взаимодействуете.
  • Чтобы тестировать новые продукты, услуги, функции.
  • Чтобы просто перепродавать данные о поведении и предпочтениях пользователей другим компаниям.

Как работают веб-маяки и трекинговые пиксели

Слежка, описанная выше, основана на технологии веб-маяков (web beacons), также называемых трекинговыми или шпионскими пикселями. Самый популярный способ отслеживания — вставить в письмо, приложение или на веб-страницу невидимую картинку крошечного размера, например 1х1 или даже 0 пикселей. При отображении информации у вас на экране почтовый клиент или браузер обращается к серверу для загрузки этой картинки, передавая ему массу информации о вас, а сервер записывает, в какое время, с какого устройства, под управлением какой ОС, из какого браузера и с какой страницы эта точка была загружена. Так владелец маяка узнает, что вы открыли его письмо или веб-страницу, и при каких условиях. Часто вместо точки используется короткий программный код внутри веб-страницы (Javascript), который может собирать еще более подробную информацию. В любом случае, трекинг никак не виден в письме, приложении или на сайте — вы его просто не замечаете. Но наличие маяков на каждой странице или на каждом экране приложения позволяет буквально «ходить за вами по пятам», отслеживая все маршруты ваших переходов на сайте и время, потраченное на каждом этапе этого пути.

Преступники и веб-маяки

Кроме легальных маркетинговых и технологических кампаний, веб-маяки используют и киберпреступники. С их помощью удобно проводить предварительную разведку для целенаправленных атак по e-mail. Маяки позволяют злодеям узнать, например, в какое время их жертва обычно читает (или не читает) почту, чтобы выбрать наилучшее время атаки. Когда пользователь в офлайн-режиме, удобнее взламывать его аккаунты или рассылать поддельные письма от его имени.
Бывает, что собранная маркетинговой фирмой информация о пользователях, включая данные о поведении и интересах, «утекает» после хакерской атаки. Даже лидеры рынка — Mailchimp, Klaviyo, ActiveCampaign — порой допускают такие утечки. И эта информация может быть использована для проворачивания различных мошеннических схем. Например, в атаке на Klaviyo мошенники украли списки тех, кто интересуется криптоинвестициями, — для этой аудитории хакерам будет легко разработать специализированный фишинг и выманивать криптовалюту.

Как защититься от слежки

Мы не можем контролировать утечки и взломы, но в наших силах сделать так, чтобы на серверах техногигантов скапливалось меньше информации о нас. Рекомендации ниже применимы как по отдельности, так и все вместе.

  1. Отключите автозагрузку картинок в почте. Настройте почту в телефоне, на компьютере, в установках веб-клиента так, чтобы картинки в письме не отображались. Почти все письма читабельны и без иллюстраций. В большинстве почтовых программ кнопка «Показать изображения» выводится прямо над текстом письма, поэтому при необходимости подгрузить иллюстрации можно в одно касание.
  2. Заблокируйте отслеживания в вебе. Загрузку подавляющего большинства веб-маяков легко предотвратить. В Firefox можно включить и гибко настроить режим «Защита от отслеживания» (Tracking protection). Для Chrome, Firefox и Safari доступны специализированные плагины в официальном каталоге рекомендованных дополнений (находим их по словам privacy или tracking protection).
  3. Дополнительно защищайте интернет-соединение. Защита от трекинга хорошо работает на уровне всей операционной системы или даже в домашнем роутере. Если заблокировать «маяки» на роутере, то они перестанут работать не только в почте и веб-страницах, но и внутри приложений, и даже на вашем Smart TV. Для этого рекомендуем включить Secure DNS в настройках ОС или роутера и указать DNS-сервер, блокирующий слежку. Порой защиту от слежки обеспечивает и VPN-соединение. Если вам удобней всего именно этот вариант, то убедитесь, что ваш провайдер VPN действительно предлагает блокировку трекеров.

Смартфоны на Android можно прослушивать с помощью датчиков движения

Группа ученых из пяти американских университетов разработала side-channel атаку EarSpy, с помощью которой можно прослушивать устройства на Android: распознать пол и личность звонящего, а также частично разобрать содержимое разговора. Прослушку предлагается осуществлять при помощи датчиков движения, которые способны улавливать реверберацию динамиков мобильных устройств.

Атаку EarSpy представили эксперты из Техасского университета A&M, Технологического института Нью-Джерси, Темпльского университета, Дейтонского университета, а также Ратгерского университета. Они рассказали, что ранее подобные side-channel атаки уже изучались, но несколько лет назад динамики смартфонов были признаны слишком слабыми, чтобы генерировать достаточную для подслушивания вибрацию.

В современных смартфонах используются более мощные стереодинамики (по сравнению с моделями прошлых лет), которые обеспечивают лучшее качество звука и более сильные вибрации. Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие нюансы работы динамиков.

Наглядное доказательство этих слов можно увидеть на иллюстрации ниже, где работа динамиков OnePlus 3T 2016 года выпуска едва заметна на спектрограмме и сравнивается со стереодинамики OnePlus 7T 2019 года выпуска, которые очевидно позволяют извлечь значительно больше данных.

Слева направо: OnePlus 3T, OnePlus 7T, OnePlus 7T

В своих экспериментах исследователи использовали устройства OnePlus 7T и OnePlus 9, а также различные наборы предварительно записанных звуков, которые воспроизводились через динамики устройств. Также специалисты использовали в работе стороннее приложение Physics Toolbox Sensor Suite для сбора показаний акселерометра во время имитации вызова, а затем передавали их в MATLAB для анализа.

Алгоритм машинного обучения тренировали с использованием легкодоступных наборов данных для распознавания речи, идентификации вызывающего абонента и определения пола. В итоге данные, полученные в результате тестов, варьировались в зависимости от использованного набора данных и устройства, но в целом эксперименты исследователей дали многообещающие результаты и доказали, что такая прослушка возможна.

Например, точность определения пола звонящего на OnePlus 7T колебалась от 77,7% до 98,7%, классификация идентификатора вызывающего абонента колебалась от 63,0% до 91,2%, а распознавание речи удавалось с точностью от 51,8% до 56,4%.

На устройстве OnePlus 9 точность определения пола превысила 88,7%, зато идентификация вызывающего абонента упала в среднем до 73,6%, а распознавание речи и вовсе показало результат от 33,3% до 41,6%.

Исследователи признают, что значительно снизить эффективность атаки EarSpy может громкость, которую пользователи сами выбирают для динамиков своих устройств. То есть низкая громкость динамика вполне может помешать реализации прослушки в целом.

Кроме того, на реверберации и получаемый результат заметно влияют расположение аппаратных компонентов устройства и плотность сборки, а также точность данных снижают движение пользователя и вибрации, вызванные окружающей средой.

Устройство OnePlus 7T

Авторы EarSpy резюмируют, что производители телефонов должны обеспечивать стабильный уровень звукового давления во время телефонных разговоров, а также размещать датчики в корпусе таким образом, чтобы внутренние вибрации не влияли на них или оказывали минимально возможное воздействие.

Исследователи научились обнаруживать прослушку через микрофон ноутбука

Эксперты из Национального университета Сингапура и Университета Ёнсе разработали устройство TickTock, которое может проверить, не используется ли микрофон ноутбука или смартфона для тайной записи разговоров пользователя. Девайс построен на базе Raspberry Pi 4 Model B, но в будущем его хотят сделать похожим на обычную USB-флешку.

Гаджет и процесс его создания подробно описаны документе, опубликованном на ArXiv. Авторы разработки отмечают, что удаленных «шпионских» атак становится все больше, но если для веб-камер давно разработаны средства защиты (или всегда можно заклеить камеру изолентой, как делает Марк Цукерберг), аналогичных барьеров для предотвращения прослушивания не существует.

Документ гласит, что в последнее время производители ноутбуков стараются сделать активацию микрофона более очевидной для пользователя и невозможной для малвари. Например, у устройств Apple появилось аппаратное отключение микрофона, предназначенное для блокировки микрофона при закрытой крышке.

В 2020 году Dell добавила в Linux драйверы для обеспечения конфиденциальности при работе с микрофоном и камерой. В Windows 10 и macOS 12 присутствуют видимые индикаторы активации микрофона, а Purism и вовсе встроила аппаратный выключатель для микрофона и камеры в свой смартфон Librem 5 USA, ориентированный на конфиденциальность.

Исследователи пишут, что у всех перечисленных подходов есть недостатки:

«Во-первых, эти решения требуют, чтобы пользователи доверяли производителям ноутбуков или операционных систем, которые в прошлом неоднократно подвергались взлому, а порой даже сами производители могут действовать со злым умыслом. Во-вторых, такие решения встроены лишь в небольшую часть устройств, поэтому большинство современных ноутбуков не имеют способа обнаружения/предотвращения прослушки».

Прототип TickTock, собранный учеными, состоит из датчиков ближнего поля, РЧ-усилителя, SDR и Raspberry Pi 4 Model B. При этом эксперты пишут, что окончательная форма устройства скорее будет похожа на USB-флешку, которую можно будет положить рядом с ноутбуком или запретить на нем, чтобы гаджет мог предупредить пользователя о любых изменениях в состояния микрофона устройства.

Принцип работы TickTock весьма прост: он опирается на тот факт, что MEMS-микрофоны на обычных ноутбуках излучают электромагнитные сигналы, когда работают и активны.

«Излучение исходит от кабелей и разъемов, которые передают тактовые сигналы железу микрофона, чтобы в конечном счете оперировать аналого-цифровым преобразователем. TickTock фиксирует такие утечки, чтобы определить состояние включения/выключения микрофона ноутбука», — объясняют эксперты.

Во время создания TickTock исследователи столкнулись с рядом проблем. Во-первых, частота тактового сигнала различается в зависимости от чипа аудиокодека в конкретном ноутбуке. Во-вторых, область ноутбука, из которой будет исходить утечка наиболее сильного ЭМ-сигнала, зависит от модели и конфигурации устройства. В-третьих, не все захваченные ЭМ-сигналы будут свидетельствовать об активности микрофона, они также могут исходить от других цепей, и необходимо отфильтровать это, чтобы предотвратить ложные срабатывания.

По этим причинам TickTock показал себя хорошо примерно с 90% протестированных ноутбуков (включая различные модели Lenovo, Dell, HP и Asus), но он не может обнаружить активность микрофона на трех ноутбуках Apple MacBook. Алюминиевые корпуса и короткие гибкие кабели устройств Apple ослабляют утечку электромагнитных сигналов до такой степени, что TickTock не может ее обнаружить.

Также с помощью TickTock прослушку искали на 40 других устройствах, включая смартфоны, планшеты, умные колонки и USB веб-камеры. Гаджет сумел зафиксировать активность микрофона на 21 устройстве из 40. Вероятно, высокий процент неудач связан с использованием аналоговых, а не цифровых микрофонов в некоторых моделях смартфонов, а также с тем, что малое оборудование чаще полагается на более короткие провода, что снижает электромагнитное излучение.

В будущем специалисты планируют расширить функциональность TickTock, чтобы прибор мог также обнаруживать несанкционированный доступ к камерам и блокам инерциальных датчиков.

Zoom, Discord и другие сервисы подслушивают даже с выключенным микрофоном

Группа учёных из Висконсинского и Чикагского университетов выяснили, что популярные приложения для аудио- и видеоконференций «подслушивают» за пользователями, даже если те нажимают кнопку отключения записи звука. В исследовании участвовали сервисы Zoom, Skype, Google Meet, Discord и другие — всего десять приложений.

Эксперты пришли к выводу, что кнопка отключения звука работает не так, как представляет большинство пользователей — микрофон не только не отключается, но и продолжает собирать аудиоданные. По сути, кнопка Mute в большинстве случаев лишь отключает передачу звука собеседникам.

Проблема с «ложным» отключением микрофона наблюдалась практически у всех сервисов. Большая часть из них собирает данные лишь какое-то время и, в отличие от основного режима работы, не передаёт информацию постоянно. Только одно приложение — Cisco Webex — даже после отключения микрофона собирало данные в том же объёме.

Компания Cisco признала, что непрерывно собирала аудиоданные даже при выключенном микрофоне, но отметила, что не записывала звуки или голоса — лишь информацию вроде громкости, чтобы улучшить пользовательский опыт. В январе 2022 года учёные связались с Cisco по поводу исследования, после чего разработчики отключили функцию.

Даже частичной записи оказалось достаточно, чтобы, например, определить, чем занимается пользователь. Учёные убедились, что при помощи фонового звука, записанного сервисами с «выключенным» микрофоном, и нейросети можно с точностью около 82% распознать один из сценариев — приём пищи, вождение, уборка, просмотр видео и так далее.

Несмотря на то, что большая часть компаний не использовала информацию, собранную во время отключения звука, авторы работы беспокоятся о рисках, связанных с конфиденциальностью. Эксперты предлагают решить проблему созданием программных переключателей, которые будут проще и доступнее, чем меню настроек системы, либо аппаратных выключателей микрофона на устройствах.

Веб-камеру можно выключить или, в конце концов, просто закрыть её рукой — что бы вы ни делали, вас никто не увидит. Не думаю, что такое возможно с микрофоном.

Касем Фаваз
доцент электротехники и вычислительной техники в Университете Висконсина

Подробный доклад об исследовании авторы представят на мероприятии Privacy Enhancing Technologies Symposium, которое состоится в июле 2022 года.