Главная - Брюс Шнайер Crypto-Gram - Crypto-Gram Newsletter от 15 апреля 2013
 



Документы

Crypto-Gram Newsletter от 15 апреля 2013

Как за нами следят в Интернете

Я начну с изложения трех фактов:
1. Военных хакеров из Китая, вовлеченных в организацию атак против американского правительства и корпораций, удалось вычислить благодаря тому, что они заходили в Facebook из той же сети, которую они использовали для своих атак.
2. В прошлом году ФБР смогла найти Гектора Монсегура, одного из лидеров хакерского движения LulzSec. Он допустил ошибку несмотря на то, что его компьютер был хорошо защищен, и он использовал анонимный сервис для защиты идентификации.
3. Пола Броадвел, у которой был роман с директором ЦРУ Дэвидом Петрусом, также принимала усиленные меры предосторожности, чтобы ее нельзя было вычислить. Она никогда не заходила на свой почтовый сервис из домашней сети. Когда ей нужно было отправить письмо Дэвиду, она использовала сеть в отеле или других общественных местах. В ФБР сопоставили данные, которые она использовала для регистрации в нескольких разных отелях, и обнаружили, что ее данные везде совпадают.
В интернете за человеком постоянно следят. За нами все время наблюдают независимо от того, признаем мы это или нет, нравится нам это или не нравится. Компания Google следит за нами как на своих, так и на других страницах, к которым у нее есть доступ. То же самое происходит в Facebook: там отслеживаются даже те пользователи, которые не зарегистрированы в этой социальной сети. Apple может отследить нас через iPhone и iPad. Кто-то даже говорил, что воспользовался утилитой Collusion, чтобы понять, кто за ним следил: за 36 часов 105 компаний узнали о его действиях в интернете.

 Наши действия в Интернете все легче и легче соотнести с другими данными о нас. Разоблачение Броадвел произошло благодаря сопоставлению ее Интернет-активности с посещениями отеля. Мы постоянно пользуемся компьютерами, а они производят данные как естественный побочный продукт. В наше время вся информация сохраняется и сопоставляется, многие компании, работающие с большими объемами данных, зарабатывают деньги на создании профилей частных лиц на основании сведений, полученных из разных источников.
Например, Facebook соотносит Ваше поведение в сети с покупательскими привычками в реальной жизни. Более того, существуют данные о вашем местоположении, полученные через ваш мобильный телефон, а также записи ваших перемещений в системах видеонаблюдения.
Следят за всеми нами, следят все время, и вся эта информация сохраняется навсегда. Современное состояние слежения превосходит все предсказания Джорджа Оруэлла.
Конечно, мы можем принять какие-то меры, чтобы защититься. Вместо того, чтобы искать что-то в Google через iPhone, можно пользоваться web-браузером на компьютере, позволяющем удалить следы пребывания на web-серверах (cookies). Можно использовать вымышленные имена на Facebook, отключать мобильные телефоны и расплачиваться наличными. Однако эффективность таких мер постоянно снижается.
Дело в том, что способов слежения очень много. Интернет, электронная почта, мобильные устройства, web-браузеры, социальные сети и поисковые системы стали предметами первой необходимости. Нереально ожидать, что люди откажутся пользоваться всеми этими средствами только потому, что им не нравится, когда за ними следят, тем более, что масштаб слежения от нас намеренно скрывается, а альтернатив в лице компаний, которые этим не занимаются, слишком мало.
В условиях свободного рынка это нельзя запретить. У нас, потребителей, нет выбора. Все ведущие компании, предоставляющие нам Интернет-услуги, заинтересованы в том, чтобы следить за нами.
Когда вы заходите на какой-нибудь web-сайт, почти наверняка его владельцы смогут узнать, кто вы. Существует много способов идентифицировать человека, даже не используя cookies. Компании по производству мобильных телефонов регулярно нивелируют механизмы обеспечения приватности при web-доступе. Во время одного эксперимента в Карнеги Мелон в режиме реального времени было сделано видео студентов в кампусе, при этом удалось идентифицировать одну треть из них, сравнив их изображения с заданным набором фотографий, которые находятся в публичном доступе на Facebook.
Соблюдение неприкосновенности частной жизни в Интернете практически невозможно. Если вы хотя бы один раз забудете включить настройки безопасности, перейдете по неправильной ссылке или напечатаете что-то не то, ваше имя навсегда останется на этом сервисе, несмотря на его заявленную анонимность. Монсегур ошибся всего один раз, но ФБР поймала его. Если даже директор ЦРУ не может обеспечить свою приватность в интернете, то у нас тем более нет шансов.
В современном мире власти и корпорации заинтересованы в сохранении такого положения вещей. Чтобы шпионить за нами, государство с удовольствием использует данные, предоставленные корпорациями, причем иногда требует, чтобы они собирали информации больше и хранили ее дольше. Корпорации, в свою очередь, рады покупать информацию у государства. Сильные мира сего сообща шпионят за слабыми и не собираются сдавать свои позиции. Мнение простых людей их не интересует.
Чтобы изменить эту ситуацию, нужно сильное желание со стороны властей, но данные о нас им нужны также, как и корпорациям. И хотя начинают раздаваться недовольные голоса, никто не спешит совершенствовать законы о защите персональных данных.
Итак… нас сделали. Добро пожаловать в мир, где Google точно знает, какое порно всем нравится, и может рассказать о ваших интересах больше, чем ваша жена. Добро пожаловать в мир, где ваша мобильная компания всегда точно знает, где вы находитесь. Добро пожаловать в мир, где личное общение больше не существует, так как оно отслеживается по электронной почте, SMS и сайтам социальных сетей.
И, наконец, добро пожаловать в мир, где все, что вы делаете или сделали на компьютере, сохраняется, соотносится, изучается и передается из компании в компанию без вашего ведома и согласия, а власти имеют доступ ко всей информации безо всякого ордера.
Добро пожаловать в Интернет, где нет приватности. И мы оказались в этой ситуации, практически не попытавшись что-то сделать.

Эта статья была опубликована на сайте cnn.com, через который набрала 23 тысячи «лайков» на Facebook и 2,5 тысячи «твитов», оказавшись самой популярной статьей, которую я когда-либо писал:
http://www.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html
Или http://tinyurl.com/cjdkc7k

Как удалось обнаружить хакеров из Китая:
http://security.blogs.cnn.com/2013/02/19/report-chinese-military-engaged-in-extensive-cyber-espionage-campaign/
Или http://tinyurl.com/bhlf6xl
http://www.washingtonpost.com/blogs/worldviews/wp/2013/02/19/chinese-hackers-outed-themselves-by-logging-into-their-personal-facebook-accounts/
Или http://tinyurl.com/bdgs8vg

Как удалось обнаружить Сабу:
http://www.cnn.com/2012/03/06/us/new-york-hacker-arrests/index.html
http://arstechnica.com/tech-policy/2012/03/all-the-latest-on-the-unmasking-of-lulzsec-leader-sabu-arrests/
Или http://tinyurl.com/dxjf28e

Как удалось обнаружить Полу Броадвел:
http://www.cnn.com/2012/11/10/politics/broadwell-profile/index.html
http://www.aclu.org/blog/technology-and-liberty-national-security/surveillance-and-security-lessons-petraeus-scandal
Или http://tinyurl.com/bk6jzv4

Как следят на Facebook:
http://lifehacker.com/5843969/facebook-is-tracking-your-every-move-on-the-web-heres-how-to-stop-it
Или http://tinyurl.com/6ymtkyo
http://www.firstpost.com/tech/facebook-finally-admits-to-tracking-non-users-133684.html
Или http://tinyurl.com/7j5smon

Результаты эксперимента Collusion: http://www.theatlantic.com/technology/archive/2012/02/im-being-followed-how-google-151-and-104-other-companies-151-are-tracking-me-on-the-web/253758/
Или http://tinyurl.com/74u48a3

Агенты по сбору информации создают личные профили: https://www.propublica.org/article/everything-we-know-about-what-data-brokers-know-about-you
Или http://tinyurl.com/byk2uep

Как соотносится поведение онлайн с привычками при покупках оффлайн: http://adage.com/article/digital/facebook-partner-acxiom-epsilon-match-store-purchases-user-profiles/239967
Или http://tinyurl.com/dx7679t

Повсеместная слежка:
http://www.schneier.com/essay-109.html
http://www.washingtonpost.com/wp-dyn/content/article/2007/01/15/AR2007011501304.html
или http://tinyurl.com/y86fyl
http://www.propublica.org/article/how-many-millions-of-cellphone-are-police-watching
Или http://tinyurl.com/7lbrjqz

Охота за данными в социальных сетях:
http://www.propublica.org/article/yes-companies-are-harvesting-and-selling-your-social-media-profiles
Или http://tinyurl.com/bn7ks9b

Слежение в Интернете:
http://queue.acm.org/detail.cfm?id=2390758
http://news.cnet.com/8301-1009_3-20005185-83.html
http://panopticlick.eff.org

Слежение через мобильные телефоны:
http://www.schneier.com/blog/archives/2013/01/man-in-the-midd_6.html

Эксперимент по идентификации в Карнеги Мелон:
http://www.heinz.cmu.edu/~acquisti/face-recognition-study-FAQ

Штраф компании Google в проекте StreetView:
http://www.nytimes.com/2013/03/13/technology/google-pays-fine-over-street-view-privacy-breach.html
Или http://tinyurl.com/b54n6g6

Смерть виртуального общения:
http://www.schneier.com/blog/archives/2008/11/the_future_of_e.html

Бюллетени по вопросам национальной безопасности:
http://epic.org/privacy/nsl/

Ценность частной жизни:
http://www.schneier.com/essay-114.html

Комментарий:
http://www.infoworld.com/t/cringely/internet-privacy-dead-film-11-214737
Или http://tinyurl.com/bvgvdop
http://blog.simplejustice.us/2013/03/17/privacy-sold-for-a-shiny-gadget.aspx
Или http://tinyurl.com/c9mf94g
http://telekommunisten.net/2013/03/27/the-internet-is-not-a-surveillance-state/
Или http://tinyurl.com/bqyckrm


6-й конкурс по написанию сюжета «ужастика»


Мы возвращаемся к этой теме после двухлетнего перерыва. Тема терроризма уже наскучила, сегодня популярны информационные войны. Кибервойна и все, что с этим связано: кибер Перл Харбор, кибер 9 сентября, кибер Армагеддон (или можете придумать что-то свое: кибер черная чума, кибер Рагнарок, кибер комета-которая-приближается-к-земле). Так военные получают деньги и власть. Так людей убеждают отказаться от своей свободы и независимости. Так мы продаём продукты и сервисы для компьютерной безопасности. Кибервойна – это опасно и очень страшно. И тут вы можете помочь!
В этом году для конкурса на написание сюжета «ужастика» я хочу предложить тему информационной войны, то есть кибервойны (для тех, кто не знает «ужастик» – это страшная история, по которой можно было бы снять популярный фильм, но при этом она должна раскрывать тему информационной безопасности). Только не нужно писать про то, как китайцы атакуют линии электропередач или отключают сервисы службы помощи 911, наши законодатели уже в достаточной степени запугали людей такого рода рассказами. Мне хочется чего-то интересного, такого, чего еще не было.
Рассказы должны быть не длиннее 500 слов, публиковать их нужно в комментариях. Через месяц я выберу несколько полуфиналистов, и мы все сможем проголосовать и выбрать победителя.
Всем желаю удачи!

Разместить свой рассказ и прочитать другие вы можете в моем блоге: http://www.schneier.com/blog/archives/2013/04/sixth_movie-plo.html

Комикс про террориста:
http://wondermark.com/220/

Кибер Перл Харбор:
http://www.theworld.org/2013/01/cyber-pearl-harbor/
http://tv.msnbc.com/2013/02/22/is-america-prepared-for-a-cyber-pearl-harbor/
Или http://tinyurl.com/bae3gmf
http://www.politico.com/story/2013/02/the-looming-certainty-of-a-cyber-pearl-harbor-87806.html
Или http://tinyurl.com/coxtz4x

Кибер 9 сентября:
http://www.politico.com/story/2013/02/the-looming-certainty-of-a-cyber-pearl-harbor-87806.html
Или http://tinyurl.com/coxtz4x
http://news.cnet.com/8301-1009_3-57556669-83/former-spy-chief-says-u.s-has-had-its-cyber-9-11-warning/
Или http://tinyurl.com/c6wnafr

Кибер Армаггедон:
http://www.intersecmag.co.uk/article.php?id=87
http://www.itbusinessedge.com/blogs/unfiltered-opinion/mcafee-avoiding-the-911-level-cyber-armageddon.html
Или http://tinyurl.com/c4mgtw4

Сюжет «ужастика»:
http://en.wikipedia.org/wiki/Movie_plot_threat

Правила предыдущих конкурсов, финалисты и полуфиналисты:
http://www.schneier.com/blog/archives/2006/04/announcing_movi.html
http://www.schneier.com/blog/archives/2006/06/movieplot_threa_1.html
http://www.schneier.com/blog/archives/2007/04/announcing_seco.html
http://www.schneier.com/blog/archives/2007/06/second_annual_m.html
http://www.schneier.com/blog/archives/2007/06/second_movieplo.html
http://www.schneier.com/blog/archives/2008/04/third_annual_mo.html
http://www.schneier.com/blog/archives/2008/05/third_annual_mo_2.html
http://www.schneier.com/blog/archives/2008/05/third_annual_mo_1.html
http://www.schneier.com/blog/archives/2009/04/fourth_annual_m.html
http://www.schneier.com/blog/archives/2009/05/fourth_movie-pl.html
http://www.schneier.com/blog/archives/2010/04/fifth_annual_mo.html
http://www.schneier.com/blog/archives/2010/05/fifth_annual_mo_1.html
http://www.schneier.com/blog/archives/2010/06/fifth_annual_mo_2.html
 

Информационные технологии как средство притеснения


С помощью Facebook сирийские власти смогли опознать и впоследствии арестовать диссидентов, Китай ограничил доступ своих граждан к международным новостям с помощью своего «Великого файервола» – авторитарные государства используют Интернет для более эффективного слежения, цензуры, пропаганды и контроля. Они преуспевают в этом деле, и ИТ-индустрия им в этом помогает. Многие бизнес-приложения, даже целые категории приложений власти могут использовать в следующих целях:
1. Цензура, когда контроль исходит от государства, или фильтрация контента, когда речь идет о компаниях. Многие компании хотят помешать своим сотрудникам посещать порносайты или свои странички в Facebook в рабочее время. С другой стороны, DLP-системы (программы для предотвращения потери данных) ограничивают распространение сотрудниками внутренней корпоративной информации и также служат средством цензуры. Власти тоже могут использовать эти программные продукты в своих целях.
2. Пропаганда – это просто другое название маркетинга. Все компании продвигают маркетинговые сервисы в социальных сетях, чтобы различными уловками заставить потребителей поверить в шумиху вокруг какого-то продукта или бренда. Единственное, что отличает их от пропагандистcких кампаний властей – это содержание сообщений.
3. Слежение необходимо для персонализированного маркетинга, который является основным направлением Интернет-бизнеса. Компании создали сложные системы Интернет-слежения для регистрации поведения пользователей во всем Интернете и пристального наблюдения за их привычками. Эти системы отслеживают не только отдельных людей, но и отношения между ними, чтобы узнать их интересы для создания более эффективной рекламы. Это мечта тоталитарного режима.
4. Контроль – это средство, с помощью которого компании защищают свои бизнес-модели, ограничивая действия людей на компьютере. Эти же самые технологии могут быть с легкостью использованы властями, которые хотят, чтобы в пределах страны использовались только определенные компьютерные программы, или чтобы помешать людям узнавать некоторые новости.
Технологии дают властям новые средства. С технической точки зрения не существует различий при использовании технологий государственными органами или корпорациями. Так, коммерческие средства безопасности, разработанные компаниями BlueCoat и Sophos, использовались властями Сирии и других стран для идентификации, слежения и последующего ареста своих граждан. Технология распознавания лиц, которую компания Disney внедрила в своем развлекательном парке Диснейленд, теперь используется для идентификации оппозиционеров в Китае и участников движения «Оккупируй WallStreet» в Нью-Йорке.
Тут не может быть простых технических решений, особенно потому, что эти четыре цели: цензура, пропаганда, слежение и контроль – тесно связаны друг с другом, трудно влиять на одну из них, не оказывая влияния на остальные. Анонимность помогает против слежения, но облегчает пропаганду. Системы, затрудняющие пропаганду, могут способствовать цензуре. Пользователи имеют возможность устанавливать непроверенное программное обеспечение на своих компьютерах, но это упрощает задачу установки шпионских программ властями и злоумышленниками.
Нам нужно лучше изучить «способы обхода» этих технологий, но будет трудно продать результаты заинтересованным корпорациям и государственным структурам. Например, правоохранительные органы США нуждаются в беспилотных летательных аппаратах, которые могут находить людей и следить за ними, но при этом мы осуждаем Китай за использование аналогичной технологии. Более того, эта деятельность часто носит скорее экономический и политический характер, чем технический, т.к. иногда исследование «способов обхода» само по себе является незаконным.
Эти социальные аспекты намного шире. Власти используют Интернет для усиления своей мощи, и мы пока не знаем, как исправить противоречие интересов государства, корпораций и частных лиц в нашем цифровом мире. Виртуальное пространство все еще ждет своего Ганди или Мартина Лютера Кинга, а также более убедительные (convincing) решения для перехода из настоящего в лучшее будущее.

Эта статья ранее была опубликована на IEEE Computers & Society:
http://www.schneier.com/essay-420.html


Новости

Дерзкий побег из тюрьмы средь бела дня:
http://www.cnn.com/2013/03/18/world/americas/canada-prison-escape/index.html
Или http://tinyurl.com/cwndvg8
Сбежавшие впоследствии были пойманы.

Другие побеги из тюрьмы на вертолете:
https://en.wikipedia.org/wiki/List_of_helicopter_prison_escapes

Некоторые «авангардистские» мысли о компьютерах от ЦРУ в 1962:
https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/vol-56-no-4/pdfs/Clotworthy-Imaginative-Use-of-Computers.pdf
Или http://tinyurl.com/crwqjlu
https://www.cia.gov/library/center-for-the-study-of-intelligence/kent-csi/vol6no4/html/v06i4a04p_0001.htm
Или http://tinyurl.com/c3ev946

Хорошая статья о вредоносном программном обеспечении Гаусса, спонсируемом государством:
http://arstechnica.com/security/2013/03/the-worlds-most-mysterious-potentially-destructive-malware-is-not-stuxnet/
Или http://tinyurl.com/cl2r5aq

Двадцать пять стран используют программу слежения FinSpy (также называемое FinFisher), чтобы шпионить за своими гражданами. Она продается британской компанией Gamma Group:
http://bits.blogs.nytimes.com/2013/03/13/researchers-find-25-countries-using-surveillance-software/
Или http://tinyurl.com/d7d8weg
http://en.wikipedia.org/wiki/FinFisher
http://citizenlab.org/2013/03/you-only-click-twice-finfishers-global-proliferation-2/
Или http://tinyurl.com/bfll27q
http://www.nytimes.com/2012/08/31/technology/finspy-software-is-tracking-political-dissidents.html
Или http://tinyurl.com/9rs9et5
http://bits.blogs.nytimes.com/2012/08/31/how-two-amateur-sleuths-looked-for-finspy-software/
Или http://tinyurl.com/8w9l4fx
https://www.virustotal.com/en/file/72a...0537/analysis/
Или http://tinyurl.com/cyobsr8
http://www.virustotal.com/en/file/62b...b196/analysis/
Или http://tinyurl.com/bqanujo
http://www.youtube.com/watch?NR=1&v=Dejw2G83Moo&feature=endscreen

Интересные уроки из программы ФБР, посвящённой угрозам со стороны инсайдеров:
http://www.schneier.com/blog/archives/2013/03/lessons_from_th_3.html

ФБР хочет, чтобы операторы мобильной связи хранили СМС-сообщения в течение долгого времени и предоставляли им возможность обращаться к старым данным. В этом нет ничего нового: законы о хранении данных обсуждаются во многих странах по всему миру, но я не знал, как разнообразны стратегии хранения данных у компаний мобильной связи в настоящий момент:
http://www.schneier.com/blog/archives/2013/03/text_message_re.html

ФБР втайне шпионит за пользователями облачных технологий. В этом признались Google и Microsoft. Предположительно все другие основные провайдеры облачных сервисов также получают эти запросы от органов безопасности (запросы для обеспечения национальной безопасности):
http://www.wired.com/threatlevel/2013/03/google-nsl-range/
http://www.wired.com/threatlevel/2013/03/microsoft-nsl-revelation/

Если вы следите за новостями, то знаете, что Федеральный районный суд США недавно признал запросы от органов безопасности ("Письма по проблемам национальной безопасности") противоречащими конституции. Однако это не означает, что что-то изменилось:
http://www.slate.com/blogs/future_tense/2013/03/15/...rs_unconstitutional.html
Или http://tinyurl.com/czf5vwm

Достаточно просто идентифицировать людей по данным об их местоположении через мобильный телефон:
http://www.bbc.co.uk/news/science-environment-21923360
http://dx.doi.org/10.1038/srep01376

У Фонда Электронных Рубежей (EFF) есть хорошая страница о проблемах приватности местонахождения (location privacy):
https://www.eff.org/issues/location-privacy

Управление национальной безопасности опубликовало рассекреченные версии "Cryptolog". Все выпуски с августа 1974 по лето 1997 находятся в сети, хотя некоторые из них были отредактированы:
http://www.nsa.gov/public_info/declass/cryptologs.shtml

Это ссылка на эти документы на неправительственном сайте на случай, если они исчезнут:
http://www.governmentattic.org/7docs/NSA-Cryptolog_1997-1974.pdf
Эту информацию я пока еще даже не начал просматривать. Если вы найдете там что-нибудь интересное, пожалуйста, напишите об этом в комментариях.

Две загадки в виде акростиха из выпуска "Cryptolog" 1997 года:
http://www.popsci.com/technology/article/2013-03/can-you-crack-nsas-top-secret-crossword-puzzles
Или http://tinyurl.com/bsfhpnx

Это история о физике, которого обманула «подставная» девушка в Интернете, и которого в конце концов арестовали в Аргентине за контрабанду наркотиков. Читатели Crypto-Gram скоро об этом, конечно, узнают, но, тем не менее, почитать первоисточник очень интересно:
http://www.nytimes.com/2013/03/10/magazine/the-professor-the-bikini-model-and-the-suitcase-full-of-trouble.html
Или http://tinyurl.com/ae9x7cj
Я не знаю, понимал ли профессор, что он делал, но очевидно, что репортер верит в его виновность. Что мне показалось интересным – это то, что существует способ контрабанды наркотиков, основанный на том, что наркокурьеров вербуют через Интернет с помощью подставных романтически настроенных девушек. Может ли это быть эффективной стратегией поиска людей?

Здесь еще одна похожая история из Новой Зеландии с подменой полов:
http://tvnz.co.nz/national-news/kiwi-drug-mule-remains-positive-waiting-appeal-5099494
Или http://tinyurl.com/dx6dyjr

Это действительно умно организованная атака на алгоритм шифрования RC4, как, например, используемая в TLS:
http://www.schneier.com/blog/archives/2013/03/new_rc4_attack.html

Интересная статья «Опасности слежения», написанная Нейлом М. Ричардсом для журнала "Harvard Law Review" в 2013:
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2239412
Здесь можно оставить комментарий к этой статье:
http://www.harvardlawreview.org/symposium/papers2012/citron_gray.pdf

Что люди говорили о конфиденциальности «Манхэттенского проекта»: http://nuclearsecrecy.com/blog/2013/03/29/narratives-of-manhattan-project-secrecy/
Или http://tinyurl.com/c9nodbr

На сайте веб-комикса Xkcd проходило соревнование Skein collision (?). Конкурс завершен, в нем победил Университет Карнеги Меллон, создав 384 (из 1024) несочетающихся бита (mismatched bits):
http://xkcd.com/1193/
http://almamater.xkcd.com/
http://stackoverflow.com/questions/15769093/xkcd-externalities
http://blog.picloud.com/2013/04/02/xkcd-hash-breaking/

Интересная статья о восприятии хакеров в популярной культуре и о том, как государство использует страх людей перед ними для усиления своей власти:
http://www.theatlantic.com/technology/archive/12/07/if-hackers-didnt-exist-governments-would-have-to-invent-them/259463/
Или http://tinyurl.com/cgn6jya

Заметьте, что это было написано в прошлом году еще до того, как появилось огромное количество судебные исков:
http://en.wikipedia.org/wiki/Aaron_Swartz
http://www.huffingtonpost.com/2013/03/18/andrew-weev-auernheimer_n_2900387.html
Или http://tinyurl.com/d5yvywk

Раньше я не слышал о понятии «паника элиты», но это интересно:
http://www.schneier.com/blog/archives/2013/04/elite_panic.html

Интересная статья из "New Yorker":
http://www.newyorker.com/online/blogs/elements/2013/04/the-future-of-bitcoin.html
Или http://tinyurl.com/c63s2lf

Меня часто спрашивают, что я думаю о платёжной системе Bitcoin. Я не анализировал эту систему с точки зрения безопасности, но то, что я видел, мне понравилось. Настоящие проблемы лежат в сфере экономики и политики, но у меня нет опыта, чтобы их оценить.
Кстати, вот еще ссылки, где анализируют Bitcoin:
http://market-ticker.org/akcs-www?post=219284
http://www.forbes.com/sites/timothylee/2011/07/14/how-private-are-bitcoin-transactions/
Или http://tinyurl.com/cxk7csw
http://ftalphaville.ft.com/2013/04/08/1452532/a-cybernetic-ledger/
http://www.schneier.com/blog/archives/2012/10/analysis_of_how.html
http://krugman.blogs.nytimes.com/2011/09/07/golden-cyberfetters/

Криптографическая защита (encryption) iMessage компании Apple, возможно, достаточно хороша, Управление по борьбе с наркотиками США жалуется на нее, но возможно, это ничего и не значит:
http://www.schneier.com/blog/archives/2013/04/apples_imessage.html

Хороший пример философии безопасности от восьмиклассницы:
http://blog.tanyakhovanova.com/?p=277

Я писал раньше о философии безопасности, и это отличный тому пример:
http://www.schneier.com/blog/archives/2008/03/the_security_mi_1.html

Контр-адмирал ВМС США Дональд "Мак" Шауэрс, последний криптоаналитик, принимавший участие в битве за Мидуэй,  скончался 19 октября 2012 года. Его погребение состоится на Национальном кладбище в Арлингтоне, Вирджиния, в понедельник 15 апреля в 3 часа. Его семья сделала это мероприятие публичным, чтобы люди могли отдать дань уважения его деятельности и вкладу в криптологическое сообщество:
http://www.navy.mil/midway/showers.html
http://navintpro.net/?p=2949

Эд Фельтен ведет хороший блог о внешних последствиях крайней DDOS атаки на Спамхаус (Spamhaus):
http://freedom-to-tinker.com/blog/felten/security-lessons-from-the-big-ddos-attacks/
Или http://tinyurl.com/c78z4l9

Я пишу о внешних последствиях безопасности несколько лет. Зачастую разобраться с ними намного труднее, чем решить технические проблемы:
https://www.schneier.com/blog/archives/2007/01/information_sec_1.html

Кстати, большая шумиха вокруг этой атаки была манипуляцией средств массовой информации:
http://gizmodo.com/5992652/that-internet-war-apocalypse-is-a-lie

Если полиция может использовать камеры, то это могут делать и взломщики:
http://www.wfaa.com/news/crime/High-tech-burglary-suspect-nabbed-after-secret-camera-found-201167711.html
Или http://tinyurl.com/c7sxuvb

В Интернете достаточно широко обсуждают утверждение Хьюго Тесо в конференции Hack-in-the Box, что он может взломать систему дистанционного управления радиоэлектроникой самолета. Он даже написал приложение для Андроида, чтобы это сделать. Насколько я могу судить, он использует слабые места в системе защиты тренажера, а не настоящего воздушного судна:
http://edition.cnn.com/2013/04/11/tech/mobile/phone-hijack-plane/index.html
Или http://tinyurl.com/cdfku4h
http://m.blogs.computerworld.com/cybercrime-and-hacking/22036/hacker-uses-android-remotely-attack-and-hijack-airplane
Или http://tinyurl.com/cjvz4k7
http://www.businessweek.com/articles/2013-04-12/hacking-an-airplane-with-only-an-android-phone
Или http://tinyurl.com/bqzaxc2
http://news.yahoo.com/hacker-claims-crash-plane-165000127.html
http://rt.com/news/teso-plane-hijack-android-716/
http://www.techspot.com/news/52211-hacker-demonstrates-how-to-hijack-an-airplane-using-an-android-app.html
Или http://tinyurl.com/br2pjbg
http://tech.slashdot.org/story/13/04/10/2033253/hijacking-airplanes-with-an-android-phone
Или http://tinyurl.com/c7ux8qs
http://slashdot.org/topic/cloud/hacking-an-airliner-with-an-android-app/
Или http://tinyurl.com/chw5ruk
http://www.informationweek.com/security/vulnerabilities/airplane-takeover-demonstrated-via-andro/240152760
Или http://tinyurl.com/bqyrmxo

Вот хорошие опровержения:
http://www.forbes.com/sites/andygreenberg/2013/04/10/researcher-says-hes-found-hackable-flaws-in-airplanes-navigation-systems/
Или http://tinyurl.com/cbo6nel
http://www.askthepilot.com/hijacking-via-android/
http://www.pprune.org/tech-log/512304-fms-vulnerabilities-highlighed-net-security-conference.html
Или http://tinyurl.com/c9nrvw9

Google Glass делает возможными новые формы мошенничества:
http://www.schneier.com/blog/archives/2013/04/google_glass_en.html


Когда технологии опережают безопасность


Главным, а не побочным эффектом технологий является то, что они усиливают обе стороны: как атакующую, так и защищающуюся. Одна сторона создает керамическое огнестрельное оружие, ракеты с лазерным наведением и новые виды воровства, а другая сторона создает системы противоракетной обороны, базы данных отпечатков пальцев и системы автоматического распознавания лиц.
Проблема в том, что между ними нет баланса: атакующие обычно извлекают пользу из новых технологий безопасности раньше, чем защищающиеся. У них есть преимущество первопроходцев. Они более ловкие и легче приспосабливаются к новому, чем структуры, обеспечивающие нашу безопасность, например, вооруженные силы. Для них не существует ограничения в виде бюрократии, законов или этики. Они могут развиваться быстрее. Тут действует явление энтропии – легче что-либо разрушать, чем предотвращать, защищать или восстанавливать после разрушения.
Но в большинстве случаев общество все же выигрывает. Плохие парни просто не могут нанести достаточно сильный вред, чтобы уничтожить основу социальной системы. Нам остается вопрос: может ли общество обеспечить свою безопасность в условиях развития технологий? Я думаю, что нет.
Нет, поскольку технологии становятся мощнее, и возможности атакующей стороны увеличиваются. Оружие становится более страшным, взрывы более масштабными, вредоносное ПО более разрушительным, и так далее. Один атакующий или даже небольшая группа может нанести гораздо больше вреда, чем раньше.
Именно поэтому спор по поводу оружия массового поражения после 11 сентября был таким острым: террористы – это страшно, террористы, которые атакуют здания на самолете, еще страшнее, а мысль о террористе с атомной бомбой просто ужасающа.
Поскольку как отдельные личности, так и радикально настроенные группы, могут нанести все больший вред, то и призывы (и одобрение общества) к усилению безопасности тоже звучат все чаще.
Обычно механизмы защиты включаются после того, как что-то уже произошло. Мы обычно не запрещаем или не ограничиваем использование предметов, которые могут нанести вред, вместо этого мы наказываем людей, которые наносят вред с помощью этих предметов. Исключения, конечно, существуют, но они остаются исключениями. Эта система работает до тех пор, пока общество может терпеть разрушительные последствия использования этих предметов (например, разрешать иметь бейсбольные биты и арестовывать людей, когда они используют биты во время беспорядков возможно только если общество может вытерпеть эти беспорядки).
Когда этого недостаточно, люди начинают что-то делать до того, как что-то случится, то есть принимают меры безопасности. Эти меры бывают двух видов: обычное слежение за людьми, чтобы остановить их до того, как они нанесут ущерб, и особые запреты, ограждающие людей от использования этих технологий до того, как они причинят вред.
Однако эти меры эффективны, когда использование опасных технологий нужно запретить новичкам, а не профессионалам.
Но в глобально взаимосвязанном мире, в котором мы живем, эти меры нельзя считать надежными, страх заставляет власти прибегать к запретам. Использование многих технологий уже ограничено: запрещены целые классы лекарств, оружия, взрывчатых и биологических веществ. Существуют ограничения по сроку службы транспортных средств и ограничения на испытания сложных систем, таких, как летательные аппараты. Мы живем в обстановке уже почти тотального слежения, хотя и не осознаем этого или не признаемся себе в этом. По мере развития технологий ситуация только ухудшается: сегодняшние кандидатские диссертации завтра будут соответствовать уровню докладов средней школы.
Появляется все больше и больше запретов на использование технологий. Постоянная повсеместная слежка и превентивные меры безопасности подобные показанным нам в фильме «Особое мнение» (2002) становятся нормой. Мы можем обсуждать эффективность различных мер безопасности в разных обстоятельствах, но проблема заключается не в том, что эти меры не работают, даже если они ограничивают нашу свободу и независимость, а в том, что ни одна мера безопасности не является идеальной.
Потому что рано или поздно любой желающий сможет воспользоваться технологиями, чтобы устроить ядерный взрыв, напечатать смертельный вирус на био-принтере или превратить нашу электронную инфраструктуру в средство крупномасштабного убийства. У нас появятся технологии самоуничтожения, и через какое-то время они станут достаточно дешевыми, а, значит, легкодоступными.
Поскольку одному человеку становится все проще и проще уничтожить целую группу, а размер группы увеличивается, то вероятность того, что кто-то это сделает, становится реальной. Наша глобальная взаимосвязанность привела к тому, что в нашу группу входит все население планеты, и, поскольку власти нас не поддерживают, мы должны сами побеспокоиться о самом неконтролируемом члене самого неконтролируемого государства. Можем ли мы ограничить доступ к технологическому прогрессу для тех, кто может попытаться уничтожить цивилизацию? Нам так страшно, что, думая о ближайшем будущем и отчаянно пытаясь защититься, мы сразу же соглашаемся на введение полицейского государства, но кто-нибудь все равно сможет сбежать и нас уничтожить.
Если в конечном итоге меры безопасности бесполезны, то что можно сделать?
Создание «устойчивых систем», то есть систем, которые могут выдержать неожиданные и опасные нападения, – это лучший ответ, который у нас есть на настоящий момент. Мы должны понять, что крупномасштабные атаки все равно будут происходить, что общество может пережить больше, чем мы думаем, и что мы сможем создать системы защиты от этих атак. Абсурдно называть терроризм реальной угрозой в стране, где каждый день в автомобильных авариях погибает больше людей, чем при событиях 11 сентября.
Если США может пережить разрушение целого города, доказательство этому – Новый Орлеан после урагана Катрина или даже Нью-Йорк после урагана Сенди, – нам нужно начать готовиться к этому. Однако трудно представить себе, что устойчивые системы смогут дать нам что-то, кроме дополнительного времени. Технологии продолжают развиваться, но мы не знаем какой способ защиты, включая устойчивые системы, можно будет адаптировать к ним достаточно быстро.
Нам нужно найти более гибкий и рациональный подход к решению этих проблем и достичь нового уровня надежности в мире, где вся информация связана между собой. Мы должны будем найти этот подход, если хотим спастись, и я даже не знаю, сколько десятилетий мы уже потеряли.

Эта статья была впервые опубликована на Wired.com:
http://www.wired.com/opinion/2013/03/security-when-the-bad-guys-have-technology-too-how-do-we-survive/


Повышение осведомлённости в области безопасности

Стоит ли компаниям тратить деньги на тренинги по вопросам безопасности для своих сотрудников? Это спорная тема, по которой мнения авторитетных экспертов разделились. Лично я считаю, что обучение пользователей мерам безопасности – это пустая трата времени, и деньги можно вложить во что-то более стоящее. Более того, я думаю, что такой перенос внимания на обучение отвлекает внимание от более серьезных проблем в системах безопасности.
Чтобы было легче понять мою точку зрения, нужно рассмотреть сильные и слабые стороны обучения. Одна из областей, где обучение работает плохо, – это забота о здоровье. Людей постоянно учат вести здоровый образ жизни: правильно питаться, заниматься спортом. Но их это не сильно заботит. Первая основная причина – психологическая, нам трудно отказаться от сиюминутного удовольствия ради долгосрочной пользы.
Ведь польза для здоровья – это достаточно абстрактное понятие, а вот сидение перед телевизором с обедом из Макдональдса – это удовольствие, которое человек получает прямо сейчас. Компьютерная безопасность – это тоже абстрактная польза, которая только мешает пользоваться Интернетом. Принятые меры безопасности могут защитить меня от теоретической атаки, которая может произойти когда-то в будущем, но это лишние хлопоты, сейчас есть более интересные вещи, я не хочу об этом думать. Это как на Facebook: люди не заботятся о защите своей приватности. Зачем читать документ о конфиденциальности, когда можно просто нажать «ОК» и начать общаться с друзьями? О безопасности никто серьезно не думает.
Другая причина, по которой просвещение в вопросах здоровья не работает, заключается в том, что трудно установить связь между действиями и пользой, которую они могут принести. Можно обучать кого угодно, даже лабораторных крыс, с помощью простого метода поощрения: нажал кнопку, получил еду. Но что касается здоровья, то здесь связь более абстрактная. Почему вы заболели, в чем причина? Может, вы что-то делали или не делали несколько лет назад или в течение последних месяцев, или же дело в генах, которые вам передались по наследству? В вопросах компьютерной безопасности все очень похоже.
Просвещение обычных людей в области фармакологии тоже не очень эффективно. Мы ожидаем, что человек в аптеке сможет принять правильное медицинское решение, но этого не происходит. Научить профессионально мыслить сложно. Мы не можем ждать от каждой матери, что она будет обладать знаниями врача, фармацевта или медсестры, и, конечно, нельзя ждать, что она примет профессиональное решение: ведь большинство советов она получает из рекламы производителей лекарств. В компьютерной безопасности также большое количество советов поступает от компаний, которые продают продукты и услуги.
Одна из областей здоровья, где обучение можно назвать достаточно успешным, – это профилактика ВИЧ. Это очень сложная болезнь, но предупредить ее очень просто. Везде, кроме стран к югу от Сахары, нам удалось научить людей по-новому отнестись к своему здоровью и существенно изменить свое поведение. Важный момент: большая часть непрофессиональных медицинских знаний – это народные средства. Аналогично существуют народные средства компьютерной безопасности. Они могут быть правильными или ошибочными, но они отражают ход мыслей людей. Это говорит о том, что существует возможность успешного обучения навыкам компьютерной безопасности. Не нужно пытаться научить профессионально мыслить, нужно сформулировать несколько простых правил безопасности и объяснить, как принимать решения, используя эти правила.
С другой стороны, у нас все еще есть проблемы с тем, чтобы научить людей мыть руки, хотя это просто, достаточно эффективно и легко объяснить. Тем не менее, заметьте разницу. Риск заразиться ВИЧ огромен, и здесь последствия ошибки из-за пренебрежения мерами безопасности очевидны. Риск заболеть из-за невымытых рук достаточно низок, и трудно связать заболевание, которое вы подцепили, с тем, что вы не помыли руки. Компьютерная безопасность больше похожа на мытье рук, чем на ВИЧ.
Другая область, где обучение эффективно, – это вождение автомобиля. Мы учились водить либо в автошколе, либо брали персональные уроки вождения, и прошли экзамен, чтобы получить водительское удостоверение. Первая причина успеха заключается в том, что вождение – это краткосрочная, желанная и легкодостижимая цель. Другая причина заключается в том, что автомобильные технологии за последнее столетие изменилась сильно, а «интерфейс» изменился незначительно. Возможно, вы научились водить тридцать лет назад, но это умение все еще применимо сегодня. А вот совет об употреблении пароля (password advice) десятилетней давности уже не актуален. Могу ли я пользоваться услугами банка через браузер? Насколько безопасны файлы PDF? Можно ли доверять незнакомым сетям? JavaScript – это хорошо или плохо? Безопаснее хранить фотографии, используя «облако», или на своем жестком диске? Интерфейс, который мы используем для работы с компьютером и Интернетом, постоянно меняется, наряду с передовыми методами компьютерной безопасности. Это намного усложняет обучение.
Последним моим примером будет безопасность при приготовлении пищи. Есть много простых правил: температура приготовления мяса, срок годности замороженных продуктов, правило «трех секунд» для еды, которую уронили на пол – как правило, мы их придерживаемся, но часто пренебрегаем. Если мы не можем научить людей этим простым вещам, то что говорить о компьютерной безопасности?
У тех, кто считает, что научить пользователей соблюдать меры безопасности – хорошая идея, я хочу спросить: «Вы видели когда-нибудь современных пользователей?». Они не профессионалы, и мы не можем ждать от них, что они ими станут. Угрозы меняются постоянно, вероятность ошибки мала, поэтому довольно трудно заставить людей соотносить свое поведение с возможными результатами. Они предпочитают народные средства, которые просты, хотя и не всегда соотносятся с угрозами
Даже если мы сможем создать эффективную программу для обучения компьютерной безопасности, останется еще одна проблема. Обучение профилактике ВИЧ работает, поскольку это затрагивает интересы среднестатистического человека. Если хотя бы половина населения будет заниматься безопасным сексом, распространение ВИЧ значительно сократится. Но в сфере компьютерной безопасности эта зависимость слабо выражена. Если четыре пятых сотрудников компании научатся выбирать надежные пароли или не переходить по сомнительным ссылкам, одна пятая по-прежнему будет поступать неправильно, и этим смогут воспользоваться «плохие парни». До тех пор, пока мы будет строить системы, уязвимые в «худшем случае», повышение «среднего уровня» не сможет сделать их более безопасными.
Сама идея обучения навыкам безопасности показывает, насколько слаба компьютерная индустрия. Мы должны создавать системы, которые не дадут возможность пользователям выбирать ненадежные пароли, и не думать, по каким ссылкам можно переходить. Мы должны создавать системы, для которых можно будет использовать народные средства безопасности, а не заставлять людей овладевать новыми технологиями. У Microsoft есть отличный принцип системных сообщений, на основании которых пользователи принимают решения. Они должны быть ясными, то есть нужными, объяснимыми, выполнимыми и проверенными. При создании интерфейсов безопасности нужно следовать этому принципу. И деньги нужно вкладывать в обучение вопросам безопасности разработчиков. Этих людей можно научить работать в быстро изменяющемся окружающем мире, а повышение квалификации среднестатистического специалиста может повысить безопасность всей системы.
Если мы, инженеры по безопасности, будем делать нашу работу хорошо, то пользователи смогут приобретать навыки неформальным и органичным образом, просто общаясь со своими коллегами и друзьями. Люди смогут принимать решения, основываясь на проверенных народных средствах безопасности. Возможно, тогда организации смогут тратить час в год, чтобы напоминать своим сотрудникам о безопасности во время работы за компьютером и после его выключения. Тогда в этой деятельности будет намного больше смысла.

Эта статья впервые была опубликована на DarkReading.com:
http://www.darkreading.com/blog/240151108/on-security-awareness-training.html
Или http://tinyurl.com/cjlhk4a

Народные средства компьютерной безопасности:
http://prisms.cs.umass.edu/cs660sp11/papers/rwash-homesec-soups10-final.pdf
Или http://tinyurl.com/cescvwm

Советы по смене пароля:
http://web.cheswick.com/ches/talks/rethink.pdf

Ясные сообщения от Microsoft:
http://blogs.msdn.com/b/sdl/archive/2011/05/04/adding-usable-security-to-the-sdl.aspx
Или http://tinyurl.com/ctlfajd

Тренинги по безопасности для разработчиков:
http://www.cigital.com/justice-league-blog/2013/01/15/does-software-security-training-make-economic-sense/
Или http://tinyurl.com/d4c3kv4

Другие статьи на эту тему:
http://www.csoonline.com/article/711412/why-you-shouldn-t-train-employees-for-security-awareness
Или http://tinyurl.com/7xdp7nm
http://searchsecurity.techtarget.com/news/2240162630/Data-supports-need-for-awareness-training-despite-naysayers
Или http://tinyurl.com/bmwskkz
http://www.darkreading.com/blog/240151657/arguments-against-security-awareness-are-shortsighted.html
Или http://tinyurl.com/coof7ar
https://www.trustedsec.com/march-2013/the-debate-on-security-education-and-awareness/
Или http://tinyurl.com/cextd2y
http://ben0xa.com/security-awareness-education/
http://mobappsectriathlon.blogspot.com/2013/03/schneier-says-user-awareness-tired-dev.html
Или http://tinyurl.com/d3qhtfg
http://it.slashdot.org/story/13/03/20/015241/
http://www.darkreading.com/insider-threat/167801100/security/news/240152288/hacking-the-user-security-awareness-and-training-debate
Или http://tinyurl.com/bp5fhug
http://www.welivesecurity.com/2013/03/27/schneier-winkler-and-the-great-security-awareness-training-debate/
Или http://tinyurl.com/c5jvxlv
http://www.computerworld.com/s/article/9238058/At_RSA_specious_arguments_against_security_awareness
Или http://tinyurl.com/bszdhdj


Над чем я размышляю в последнее время


Я размышляю о своей новой книге, в которой речь будет идти о власти и о безопасности в Интернете. Я постараюсь описать последние тенденции, объяснить, куда нас могут привести эти тенденции и обсудить возможные альтернативы, позволяющие избежать нежелательных последствий. Я уже затрагивал разные аспекты этого вопроса во многих последних статьях и хочу их как-то объединить. Вот некоторые из них:
1. Отношения между Интернетом и властью: как Интернет влияет на государство, и как государство влияет на Интернет. Представители власти все больше и больше используют информационные технологии для увеличения своего влияния. http://www.schneier.com/essay-409.html
2. Феодальная модель отношений, которая дает пользователям мало контроля над своими данными или компьютерами и они вынуждены доверять компаниям, продающим оборудование, программное обеспечение и системы, а последние злоупотребляют этим доверием.
http://www.schneier.com/essay-406.html
3. Подъем национализма в Интернете и гонка информационных вооружений играют на наших страхах, что, в конечном счете, увеличивает вмешательство силовиков в нашу информационную инфраструктуру.
http://www.schneier.com/essay-416.html
http://www.schneier.com/essay-411.html
4. Повсеместная слежка в интересах государства и корпораций, которой способствуют «облачные» технологии, социальные сети и все остальные сервисы, существующие в Интернете, приводит к тому, что в мире перестает существовать частная жизнь.
http://www.schneier.com/essay-418.html
5. Четыре способа подавления в Интернете: слежение, цензура, пропаганда и контроль – работают в интересах государства и корпораций. И они связаны между собой. Зачастую создание механизмов борьбы с одним способствует укреплению другого.
http://www.schneier.com/essay-420.html
6. Государства и корпорации принимают весьма несовершенные законы и нормативные акты и используют их для продвижения своих интересов (защита авторского права), борьбы с преступностью (упрощение доступа полиции к данным) или контроля наших действий в Интернет-пространстве.
7. Утечки информации необходимы как для информаторов, так и для тех, кто поддерживает Закон о свободе информации (FOIA). Большая часть того, что делает государство, покрыто тайной, и утечки – это единственный источник информации для нас, позволяющий понять, что происходит в реальности. Это относится и к корпоративным системам контроля, которые затрагивают большую часть нашей жизни.
http://www.schneier.com/blog/archives/2013/03/the_nsas_ragtim.html
С одной стороны, нам нужны новые модели доверия в информационном веке (об этом я подробно пишу в своей последней книге «Лгуны и секреты» (Liars and Outliers).
http://www.schneier.com/essay-410.html
http://www.schneier.com/essay-412.html
С другой стороны, риски, которые несут в себе развивающиеся технологии, порождают страх перед катастрофической атакой: мы боимся, что не сможем создать такие новые модели доверия.
http://www.schneier.com/essay-417.html
Я считаю, что общество идет по опасному пути, и мы, как члены этого общества, должны сделать трудный выбор и решить, в каком мире мы хотим жить. Если мы продолжим двигаться по заданной траектории, то будущее выглядит тревожно. Непонятно, хотят ли общество или политики вмешаться в переплетение вопросов власти, безопасности и технологий, или хотя бы задуматься о принятии необходимых мер. Лучше всего у меня получается писать на подобные темы, и я надеюсь, что такая книга сможет внести вклад в решение проблемы.
Рабочее название книги «Power.com», хотя, в конце концов, возможно, она будет называться «Power, Inc».
Это пока еще черновики, не представляющие собой единого целого. Для меня процесс написания книги – это раскрытие темы, и форма книги практически всегда изменяется в ходе работы. Мне очень интересно, что думают люди об этих вопросах, особенно по поводу возможных решений. Большая просьба: расскажите об этом тем, кому интересна данная тематика, и оставляйте комментарии в блоге.


Изменения в моем блоге

Я бы хотел рассказать об изменениях в моем блоге Schneier on Security.
Первое – это различные кнопки, дающие возможность перепоста: кнопка Facebook, Retweet и т.д. Эти кнопки сейчас используются в Интернете повсеместно. Мы, авторы статей, любим их потому, что так нашим читателям легче делиться информацией. Мне они особенно нравятся, потому что я могу <зачёркнутый шрифт> страстно ожидая итогов , смотреть, как мои статьи распространяются по Интернету.
Проблема в том, что эти кнопки используют изображения, сценарии и/или плавающие фреймы, размещенные на собственных серверах сайтов социальных сетей. Частично это сделано для удобства веб-мастеров: это делает заимствование таким же простым, как и «копи-пейст» нескольких строк кода. Но также это дает Facebook, Twitter, Google и другим сервисам возможность вычислить вас, даже если Вы не нажали на кнопку. Запомните следующее: если Вы видите кнопки «поделиться», значит, эта страница практически наверняка отслеживается сайтами социальных сетей или такими сервисами как AddThis. Или и теми, и другими.
Вместо этого я пользуюсь SocialSharePrivacy, который был создан авторами немецкого сайта Heise Online и адаптирован Матиасом Панзенбоком. На странице размещена кнопка «поделиться», которая отображается серым цветом. Вы один раз кликаете на нее, чтобы активировать, а второй раз, чтобы поделиться. Если вы не нажимаете на нее, то с сайта социальной сети ничего не загружается, и он не может отследить, что Вы заходили на эту страницу. Если вас не волнует вопрос приватности, Вы можете зайти в «Установки» и отключить на время кнопки «поделиться».
Такое решение не идеально – два клика вместо одного, но это намного лучше для сохранения приватности. (Если вы хотите сделать что-то подобное на своем сайте, то есть еще один вариант – использовать ShareNice. ShareNice можно скопировать на свой веб-сервер, но если есть желание, Вы можете использовать выложенную на сайте версию, с помощью которой достаточно просто установить AddThis. Различие в том, что shareNice не устанавливает cookies и даже не регистрирует IP адрес, хотя Вам придется доверить им во время регистрации. Проблема в том, что он не может отображать общий итог.)
Второе изменение – это функция поиска. Я изменил поиск на сайте с Google на DuckDuckGo, который даже не хранит IP-адрес. Опять же Вам нужно будет доверять им в этом, хотя я к этому уже склонился.
Третье изменение касается ленты обновлений. Прямо сейчас Вы можете нажать на кнопку рассылки новостей в правой колонке моего блога и подписаться на рассылку сайта schneier.com – она заменила Feedburner от сервиса Google. Это также уменьшает количество информации, которую Google может собрать о Вас. Через пару дней я переведу существующих подписчиков с Feedburner, но поскольку некоторые из вас напрямую подписаны на Feedburner URL, я предлагаю подтвердить подписку по новой ссылке. Если вдруг у Вас возникнут проблемы с новой рассылкой, то старая ссылка укажет на Feedburner.
Трудно и, возможно, даже бессмысленно бороться с постоянным сбором данных о нас через Интернет. Но я считаю, что попробовать нужно.

Мой блог: http://www.schneier.com/

AddThis: http://www.addthis.com/

SocialSharePrivacy: https://github.com/panzi/SocialSharePrivacy

Heise Online: http://heise.de/

shareNice: https://sharenice.org/

DuckDuckGo: https://duckduckgo.com/privacy

Новая ссылка RSS: http://www.schneier.com/blog/atom.xml

Устаревшая ссылка RSS: http://feeds.feedburner.com/schneier/fulltext


© ООО «Лайтигард», 2013, перевод.
 

Последнее обновление 20.06.13 12:16