Към Bard.bg
Изкуството да си невидим (Кевин Митник)

Изкуството да си невидим

Кевин Митник
Откъс

Увод

Време е да изчезнем

Почти две години след като контракторът на „Буз Алън Хамилтън“ Едуард Джоузеф Сноудън разкри тайни материали на Агенцията за национална сигурност (АНС), комедиантът на НВО Джон Оливър излезе на Таймс Скуеър в Ню Йорк да анкетира хората за едно свое предаване върху защитата на личните данни и наблюдението. Въпросите му бяха ясни. Кой е Едуард Сноудън? Какво е направил?

В материалите, които пусна Оливър, сякаш никой не знаеше отговорите. Дори когато признаваха, че името им говори нещо, хората не можеха да кажат какво точно е направил Сноудън (или защо). След като стана контрактор на АНС, Едуард Сноудън копира хиляди свръхсекретни документи и по-късно ги предаде на репортери, които ги разгласиха на целия свят. Оливър можеше да завърши предаването си с депресираща бележка – след години медийно покритие сякаш на никой в Америка не му пука, че правителството шпионира собствените си хора, – но той избра друг подход: отлетя за Русия, за да проведе интервю очи в очи със Сноудън, който живее там в изгнание.

Първият въпрос на Оливър към Сноудън в Москва беше: „Какво се надяваше да постигнеш?“. Сноудън отговори, че искал да покаже на света какво прави АНС – как събира сведения за почти всички. Когато Оливър му показа интервютата от Таймс Скуеър, на които хората един след друг признаваха, че не знаят кой е Сноудън, отговорът му беше: „Е, не можеш да очакваш всички да са добре информирани“.

Защо не сме по-информирани, когато става въпрос за проблемите с личното пространство, които показа Сноудън и други като него? Защо сякаш не ни пука, че правителствена агенция следи телефонните ни разговори, имейлите и дори текстовите ни съобщения? Може би защото АНС като цяло не засяга живота на повечето от нас – поне не по осезаем начин, не като вмешателство, което можем да усетим.

Но през онзи ден на Таймс Скуеър Оливър откри също, че на американците много им пука за личното им пространство, когато ги засегне пряко. Освен за Сноудън Оливър задаваше и по-общи въпроси за поверителността. Например, когато питаше хората какво мислят за секретната (и измислена) програма на правителството, която записва снимките на голи хора всеки път, когато бъдат пратени по интернет, реакцията на нюйоркчани отново беше универсална – само че този път всички категорично се обявяваха против тази програма. Един човек дори призна, че неотдавна е изпратил подобна снимка.

Всички интервюирани на Таймс Скуеър бяха на мнение, че хората в Съединените щати трябва да могат да споделят всичко, дори снимки на пенисите си, по интернет, без никой да ги следи. Което и искаше да каже Сноудън.

Оказва се, че измислената правителствена програма, записваща голи снимки, съвсем не е такава фантастика, каквато може би си мислите. В интервюто на Оливър Сноудън обясни, че тъй като компании като Гугъл имат сървъри, физически разположени по целия свят, дори едно съвсем просто съобщение (може би включващо и гола снимка) между съпрузи в рамките на един американски град може да премине първо през сървър в чужбина. Тъй като данните напускат Съединените щати, било то и за наносекунда, АНС би могла благодарение на „Пейтриът акт“ да архивира съобщението или имейла (заедно със снимката), защото то технически е влязло в САЩ отвън. С това обяснение Сноудън иска да каже, че обикновените американци са попаднали в една пост-11/9 мрежа, замислена първоначално да попречи на чуждестранни терористи, но която сега шпионира на практика всеки.

Сигурно си мислите, че предвид постоянните новини за проникване в данните и кампаниите на правителството за наблюдение би трябвало да сме много по-вбесени. Сигурно си мислите, че покрай скоростта, с която се случи всичко – само за няколко години, – би трябвало да сме шокирани и да демонстрираме по улиците. А всъщност става точно обратното. Мнозина от нас, дори много от читателите на тази книга, сега приемат поне до някаква степен факта, че всичко, което правим – телефонните ни обаждания, текстовите съобщения, имейли, общуването ни в социални медии, – може да бъде видяно от други.

И това е разочароващо.

Може би не сте нарушили никакви закони. Може би си мислите, че водите обикновен и спокоен живот, и смятате, че оставате незабелязани в тълпата от други хора в интернет. Повярвайте ми – дори вие не сте невидими. Поне засега.

*

Харесвам фокусите и някои сигурно ще посочат, че ловкостта на ръцете е необходимост за хакерите. Един популярен фокус е да направиш някой предмет невидим. Тайната обаче е, че предметът не изчезва физически и не става невидим. Той винаги си остава на заден план, зад някаква завеса, в ръкава или в джоба, независимо дали можем да го видим, или не.

Същото важи и за многото лични подробности за всеки от нас, които се събират и записват, често без да го забележим. Много хора просто не знаят колко лесно е някой друг да види тези подробности и дори къде точно да гледа. И защото ние не виждаме тази информация, можем да си помислим, че сме невидими за бившите си, за родителите, за училищата, за шефовете си и дори за правителството.

Проблемът е, че ако знаете къде да гледате, цялата информация е достъпна едва ли не за всекиго.

Всеки път, когато говоря пред много хора – независимо колко голяма е залата, – обикновено се намира някой, който възразява срещу този факт. След едно подобно събитие бях атакуван от една много скептична репортерка.

Помня, че седяхме на отделна маса в бара на един хотел в голям град. И репортерката каза, че никога не била ставала жертва на проникване в личните й данни. Поради младостта си имала сравнително малко активи на свое име, съответно и малко записи. Никога не включвала лични данни в материалите си или в социалните медии – винаги се държала професионално. Смяташе се за невидима. Затова я помолих за разрешение да открия номера на социалната й осигуровка и други лични данни онлайн. Тя се съгласи с неохота.

Докато тя седеше до мен, аз влязох в един сайт, запазен за частни детективи. Минавам за такъв покрай работата ми да разследвам хакерски атаки в глобален мащаб. Вече знаех името й, така че я попитах къде живее. Можех да науча адреса й от друг сайт, ако не ми беше казала.

След две-три минути знаех номера на социалната й осигуровка, мястото на раждане и дори моминското име на майка й. Знаех също всички места, които някога е наричала дом, както и телефонните номера, които е използвала. Зяпнала изненадано екрана, тя потвърди, че цялата информация е повече или по-малко вярна.

Сайтът, който използвах, е достъпен единствено за проверени компании и индивиди. Може да се ползва срещу скромна месечна такса плюс допълнителни суми за проследяване на информация, като от време на време ме проверява, за да разбере дали имам основателни причини да пусна дадено търсене.

Но подобна информация за всеки може да се намери срещу дребна сума. И това е напълно законно.

Случвало ли ви се е някога да попълвате онлайн формуляр, да пращате информация в училище или организация, която я публикува, или да сте подавали съдебни заявления по интернет? Ако да, вие доброволно сте дали лична информация на някой, който може да прави с нея каквото си поиска. Има голяма вероятност някои – или всички – тези данни сега да са онлайн и да са достъпни за компании, чийто бизнес е да събират всякаква лична информация в интернет. Нестопанската организация Privacy Rights Clearinghouse публикува имената на над 130 компании, които събират лична информация (независимо дали точна, или не) за вас.

Освен това има данни, които не давате доброволно, но въпреки това са събрани от корпорации и правителства – информация за това с кого си пишем имейли, есемеси или разговаряме по телефона; какво търсим онлайн; какво купуваме, било то в някой магазин за строителни материали или онлайн; и къде пътуваме, било то пеша или с колата си. Обемът данни, събирани за всеки от нас, се увеличава експоненциално всеки ден.

Сигурно си мислите, че не е необходимо да се безпокоите за това. Повярвайте ми, необходимо е. Надявам се в края на тази книга да бъдете по-добре информирани и достатъчно подготвени, за да предприемете нещо.

Факт е, че живеем с илюзия за лично пространство и вероятно положението е такова от десетилетия.

В даден момент може да се почувстваме неудобно от това колко голям достъп до личния ни живот имат правителството, работодателите ни, шефовете, учителите и родителите ни. Но тъй като този достъп е бил получен постепенно, тъй като прегръщаме всяко малко цифрово удобство, без да се съпротивляваме на въздействието му върху личното ни пространство, става все по-трудно да върнем часовника назад. Пък и кой би се отказал от играчките си?

Опасността от живеенето в състояние на цифрово наблюдение не е толкова в това, че се събират данни (едва ли можем да направим нещо по този въпрос), а в това какво се прави със събраната информация.

Представете си какво би могъл да направи някой ревностен прокурор с голямо досие данни за вас, трупани може би в продължение на няколко години. Днешните данни, понякога събирани извън контек­ста, ще останат да съществуват вечно. Дори съдията от Върховния съд Стивън Брейър се съгласява, че е „трудно за всеки да знае предварително кога някои негови изявления могат да се окажат по-късно важни за някое разследване“. Иначе казано, снимката ви от запой, пусната от някого във Фейсбук, може да е най-малката ви грижа.

Може да си мислите, че нямате нищо за криене, но сигурни ли сте в това? В добре обоснованото си мнение в списание „Уайърд“ уважаваният специалист по сигурността Мокси Марлинспайк посочва, че нещо толкова просто като притежаването на малък омар всъщност е федерално престъпление в Съединените щати. „Няма значение дали сте го купили в магазина за хранителни стоки, дали някой ви го е подарил, дали е жив, или мъртъв, дали сте го намерили умрял от естествена смърт, или сте го убили при самозащита. Можете да влезете в затвора заради омар“. В случая Марлинспайк ни посочва, че има множество малки закони, които не се прилагат и които можете да нарушите, без дори да го знаете. Само че сега престъпването им може да се докаже с диря от данни, достъпни за всеки, който ги пожелае.

Личното пространство е сложно. То не е нещо универсално. Всички имаме различни причини да споделяме свободно някаква информация за себе си с непознати и да запазим други аспекти от живота си в тайна. Може би просто не искате някой важен за вас да чете личните ви неща. Може би не искате работодателят ви да знае за личния ви живот. Или може би наистина се страхувате, че някоя правителствена агенция ви шпионира.

Тези сценарии са много различни, така че никоя от препоръките, които давам тук, няма да подхождат за всички. Тъй като имаме сложни и съответно много различни нагласи към личното пространство, ще ви водя през онова, което е важно – какво се случва днес с потайното събиране на данни, – и ще ви оставя сами да решавате кое ви върши работа.

Ако не друго, тази книга ще ви научи как да запазите личното си пространство в цифровия свят и ще ви предложи решения, които можете да изберете да приемете, или не. Тъй като личното пространство е личен избор, степените на невидимост също ще варират според човека.

В тази книга ще издигна тезата, че всеки от нас е наблюдаван в дома си и извън него – докато вървим по улицата, седим в кафенето или шофираме по магистралата. Вашият компютър, телефон, кола, домашна аларма, дори хладилникът ви са потенциална точка за достъп до личния ви живот.

Добрата новина е, че освен да ви уплаша, ще ви покажа и какво можете да направите по въпроса с липсата на лично пространство – ситуация, която днес се е превърнала в норма.

В тази книга ще се научите как да:

криптирате и изпращате сигурни имейли;

защитавате данните си с добро управление на пароли;

да криете IP адреса си от местата, които посещавате;

да не позволявате да проследяват компютъра ви;

да защитавате анонимността си;

и още много други неща.

И тъй, подгответе се да овладеете изкуството да бъдете невидими.

 

1.

Паролата ви може

да бъде разбита!

Преди Деня на труда Дженифър Лорънс имаше тежък уикенд. Носителката на „Оскар“ беше една от няколкото знаменитости, които се събудиха една сутрин през 2014 г. и откриха, че най-личните им снимки – много от които ги показват голи – са плъзнали в целия интернет.

Замислете се за момент за снимките, които пазите в момента в компютъра си, в телефона и в имейлите. Разбира се, много от тях са напълно безобидни. Едва ли бихте имали против целият свят да види залезите, сладките семейни снимки, може би дори някое шеговито селфи. Но дали бихте се съгласили да споделите всяка снимка без изключение? Как бихте се почувствали, ако внезапно всичко се появи онлайн? Може би не всичките ни лични снимки са пикантни, но все пак отразяват моменти от личния ни живот. Ние би трябвало да решаваме дали, кога и как да ги споделяме, но все пак покрай облачните услуги изборът може не винаги да е единствено наш.

Историята с Дженифър Лорънс доминираше в новините от бавно точещите се почивни дни през 2014 г. Тя бе част от събитие, наречено The Fappening, огромно изтичане на голи и почти голи снимки на Риана, Кейт Ъптън, Кейли Куоко, Ейдриън Къри и почти триста други знаменитости, повечето жени, в чиито мобилни телефони е било проникнато дистанционно и съдържанието им е било споделено. Докато някои хора проявиха интерес към снимките, както и можеше да се очаква, за мнозина други инцидентът беше обезпокояващо напомняне, че същото може да се случи и с тях.

Как някой е получил достъп до личните снимки на Дженифър Лорънс и останалите?

Тъй като всички знаменитости са имали айфони, първоначално се заговори за голям пробив в услугата iCloud на Apple за облачно съхраняване на информация. Когато паметта на физическото устройство се запълни, вашите снимки, нови файлове, музика и игри се пазят на сървър на компанията, обикновено срещу скромна месечна сума. Google предлага подобна услуга за операционната си система Android.

От Apple, които почти никога не коментират пред медиите проблеми със сигурността, отрекоха вината да е у тях. Компанията излезе с изявление, в което нарече инцидента „много насочена атака срещу потребителски имена, пароли и въпроси около сигурността“ и добави, че „нито един от случаите, проучени от нас, не показа пробив в някоя от системите на Apple, в това число iCloud и Find my iPhone“.

Отначало снимките се появиха в хакерски форум, добре известен с това, че публикува компрометиращи фотографии. В този форум можете да намерите активни обсъждания на цифрови инструменти за криминалисти, използвани за таен достъп до подобни снимки. Изследователи, детективи и органите за сигурност използват тези инструменти, за да получават достъп до данни от устройства или от облака, обикновено след извършено престъпление. Естествено, инструментите имат и друго приложение.

Един от инструментите, обсъждан открито във форума, е Elcomsoft Phone Password Breaker (Разбивач на пароли на телефон на Елкомсофт), или ЕРРВ, който позволява на органите за сигурност и правителствените агенции да проникват в iCloud акаунти и се продава свободно. Той е само един от многото налични инструменти, но изглежда, е сред най-популярните във форума. ЕРРВ изисква използващият го да разполага с потребителското име и паролата. Но за хората, използващи форума, сдобиването с имената и паролите на ползващите iCloud не е проблем. А през онези почивни дни на 2014 г. някой публикува в едно популярно онлайн хранилище на програмен код (Github) инструмента iBrute, механизъм за разбиване на пароли, специално разработен за сдобиване с iCloud имена и пароли и достъпен буквално за всички.

С помощта на iBrute и ЕРРВ някой може да се представи за жертвата и да свали пълно резервно копие на съхраняваните в облака данни на друго устройство. Тази способност е полезна, когато сменяме телефоните си. Тя е ценна и за хакера, който може да види всичко, което сме правили на мобилното си устройство. А това е много повече информация, отколкото простото влизане в iCloud акаунта на жертвата.

Правният консултант и специалист по сигурност­та Джонатан Здзиарски каза пред „Уайърд“, че проучванията му върху изтеклите снимки на Кейт Ъптън например посочват за използването на iBrute и ЕРРВ. Достъпът до възстановени резервни копия на айфон позволява на хакера да се добере до голямо количество лична информация, която по-късно може да се използва за изнудване.

През октомври 2016 г. трийсет и шест годишният Райън Колинс от Ланкастър, Пенсилвания, беше осъден на осемнайсет месеца затвор за „неоторизиран достъп до защитен компютър с цел придобиване на информация“. Той бе обвинен в незаконен достъп до повече от сто имейл акаунта на Apple и Google.

За да защитите своя iCloud и други онлайн акаунти, трябва да използвате силна парола. Това е очевидно. Но въпреки това в опита ми на пен-тестър (от penetration tester – човек, на когото се плаща, за да хаква компютърни мрежи и да открива уязвими места) откривам, че много хора, дори директори на големи корпорации, са мързеливи, когато става въпрос за пароли. Например главният изпълнителен директор на „Сони Ентъртейнмънт“ Майкъл Линтън използваше „sonyml3“ като парола за акаунта си в домейна. Нищо чудно, че имейлите му бяха хакнати и пуснати в интернет, тъй като хакерите имаха администраторски достъп до почти всичко в компанията.

Освен на работното място има и пароли, които защитават най-личните ви акаунти. Избирането на трудни за налучкване пароли няма да попречи на програми като oclHashcat (инструмент пароли, който използва изчислителната мощ на графичните процесори за бърза работа) да разбият паролата ви, но ще направи процеса достатъчно бавен, за да накара хакера да си избере някоя по-лесна мишена.

Спокойно може да се предположи, че някои от паролите, излезли наяве при хакването на сайта „Ашли Медисън“ през юли 2015 г., със сигурност са били използвани и другаде, включително за банкови сметки и дори за работни компютри. От публикувания списък на 11 милиона пароли на потребители на „Ашли Медисън“ се вижда, че най-често използваните са от вида на „123456“, „12345“, „password“, „DEFAULT“, „123456789“, „qwerty“, „12345678“, „abc123“ и „1234567“. Ако виждате някоя от собствените ви пароли, вие сте уязвими, тъй като тези най-често срещани съчетания са включени в повечето инструменти за разбиване, достъпни в интернет. Винаги можете да проверите в сайта www.haveibeenpwned.com дали някой ваш акаунт е бил компрометиран някога.

През двайсет и първи век можем да се представим и по-добре. И то много по-добре, с по-дълги и сложни комбинации от букви и цифри. Може да ви се струва трудно, но ще ви покажа както автоматичен, така и ръчен начин да го правите.

Най-лесният подход е да зарежете създаването на собствените си пароли и просто да автоматизирате процеса. Има няколко цифрови мениджъри на пароли. Те не само запазват паролите ви в заключени хранилища и ви позволяват моментален достъп до тях при нужда, но и генерират нови и наистина силни, уникални пароли за всеки сайт, когато ви потрябват такива.

Все пак имайте предвид, че при този подход има два проблема. Първият е, че мениджърите на пароли използват една основна парола за достъп. Ако се случи някой да зарази компютъра ви със софтуер, който краде базата данни с паролите ви и основната ви парола с помощта на кейлъгор (програма, записваща всеки клавиш, който натискате), играта приключва. Онзи човек ще има достъп до всичките ви пароли. Като пен-тестър понякога сменям мениджъра на пароли с модифицирана версия, която ни праща основната парола (когато мениджърът е програма с открит код). Това се прави след като получим администраторски достъп до мрежата на клиента. След това се захващаме с всички привилегировани пароли. Иначе казано, използваме мениджъра на пароли като задна вратичка, за да се сдобием с ключовете на царството.

Другият проблем е повече или по-малко очевиден – изгубите ли основната парола, губите и всички останали. В крайна сметка това е добре, тъй като винаги можете да смените паролата си за всеки сайт, но това може да се окаже голяма досада, ако имате много акаунти.

Първо, силните фрази (не думи) за достъп трябва да са дълги – поне двайсет до двайсет и пет символа. Случайните символи – като например ek5iogh#skf&skd – работят най-добре. За съжаление човешкият ум има проблем със запомнянето на случайни поредици. Затова прибегнете до мениджър на пароли. Използването му е много по-прием­ливо, отколкото сами да избирате паролата си. Аз лично предпочитам мениджъри с отворен код като Password Safe и KeePass, които държат информация единствено на компютъра ви.

Друго важно правило за добри пароли е никога да не използвате една и съща за два различни акаунта. Това е трудно. Днес имаме пароли за какво ли не. Затова оставете мениджъра да генерира и запазва силни, уникални пароли вместо вас.

Дори да имате силна парола, технологията пак може да се използва срещу вас. Съществуват програми за налучкване на пароли като John the Ripper, безплатна програма с отворен код, която всеки може да свали и която работи с конфигурирани параметри, зададени от потребителя6. Например потребителят може да посочи колко символа да пробва, дали да се използват специални символи, думи от чужди езици и т.н. John the Ripper и другите подобни програми могат да разместват буквите според набор от правила, които са изключително ефективни за разбиването на пароли. Това просто означава, че програмата изпробва всички възможни комбинации от цифри, букви и символи в рамките на зададените параметри, докато не постигне успех. За щастие повечето от нас не сме изправени срещу държавна машина, разполагаща на практика с безгранично време и ресурси. По-вероятно противникът ни е половинката, роднина или някой, когото здравата сме вбесили и който няма да има времето и ресурсите да разбие една парола, състояща се от двайсет и пет символа.

Да кажем, че искате да действате по старомодния начин и че сте избрали някои наистина силни пароли. Познайте какво! Няма нищо лошо да си ги записвате. Само не пишете „Национална банка: 4the1sttimein4ever*“. Това ще е прекалено очевидно. Вместо това заменете името на банката (например) с нещо неясно като „Буркан“ (защото навремето някои хора са държали парите си в буркани) и след това запишете 4the1st. Обърнете внимание, че не завърших фразата. Не е нужно да го правите. Ще се досетите за останалото. Но някой друг може и да не се досети.

Всеки, който попадне на подобен списък недовършени пароли, ще бъде доста объркан – поне отначало. Ето една интересна история. Бях в дома на един приятел (много добре известен служител на Microsoft) и по време на вечеря обсъждахме сигурността на паролите с жена му и детето му. В един момент жената на приятеля ми стана и отиде до хладилника. Беше записала всичките си пароли на един лист и го бе закрепила за вратата с магнит. Приятелят ми само поклати глава, а аз се ухилих до уши. Записването на пароли може и да не е идеалното решение, но същото се отнася и за забравянето на силни пароли, които използваме рядко.