Дэвид Эвенден. Конфиденциальность в Интернете - это миф


Когда несколько недель назад я был на конференции «Племя хакеров», Маркус Кэри попросил 10 желающих потратить минуту, чтобы ответить на вопрос перед всеми. Первый вопрос: «Как вы думаете, что изменится в кибербезопасности в ближайшие 5 лет?». Я был так сосредоточен на этом вопросе, что даже не помню второй вопрос.

Я призвал Кайли Мартоник ( @ 0xNBE1  ) подняться, потому что она храбрее меня, и была готова поделиться своим ответом. Если бы в то время у меня хватило смелости, я бы сказал вот что. Я также должен отметить, что этот ответ является хорошим ответом на первый вопрос, заданный всем авторам книги «Племя хакеров»: «Есть ли один миф, который вы могли бы развенчать в области кибербезопасности?» .

Хорошо, что я не пошел впереди всех, потому что ответ занял бы больше минуты. Кроме того, я собираюсь походить на сторонника теории заговора… поверьте мне, это не так.

Конфиденциальность в современном мире — это 100% миф.

Ваше общение проходит под открытым небом. Некоторые из них зашифрованы, а некоторые нет. Это происходило очень-очень давно. У правительства США есть правила и тренинги, которые «не позволяют» им собирать, хранить и использовать эти данные без ордера для каких-либо целей. Если, конечно, нет вероятной причины, связанной с конкретными действиями.

Просто потому, что у ФРС есть правила, не означает, что они есть у других. Захват SIGINT (разведка сигналов) — не сложная задача с подходящим оборудованием. Разговоры, которые вы считаете частными, не являются личными. Вы когда-нибудь могли подобрать местный беспроводной телефонный разговор через радиосканер? Это очень похоже на то, но с более дорогой технологией.

Все, что вы говорите где угодно, можно собрать и использовать для отслеживания, преследования, кражи и отслеживания вашей активности.

Ваша электронная почта не является безопасным местом

Сотрудники Google могут и получают доступ к электронной почте пользователей для удаления вирусов или потенциально небезопасных или агрессивных электронных писем. Это место, где вы чувствуете, что можете вести одни из самых личных разговоров в своей жизни. Угадайте, сотрудники Google могут получить к нему доступ без ордера. Все, что им нужно, — это подписать пункт соглашения при создании учетной записи. Я почти гарантирую, что все остальные поставщики электронной почты поступят так же. Они скажут, что не могут, они скажут, что нет… но поверьте мне… они могут и делают.

Ваш GPS отслеживает вас… всегда

Попробуйте это дома. Откройте карты Google, выберите пункт назначения и нажмите «Пуск». Затем, не закрывая это приложение, переведите телефон в режим полета. Затем вернитесь в приложение. Теперь двигайтесь к месту назначения и наблюдайте, как синяя точка продолжает двигаться вместе с вами. # страшно. Связь GPS обычно не отключается, когда вы переводите телефон в режим полета.

Если вы загрузили карты до перехода в режим полета, вы все равно можете использовать приложение в диапазоне загруженных карт. Однако люди, фиксирующие ваше местоположение по GPS, по-прежнему смогут определять ваше местоположение еще долго после того, как вы покинете этот диапазон.

Невозможно очистить историю просмотров

Это страшно.

История просмотров связана с вашей личностью и почти никогда не бывает конфиденциальной, даже если вы перешли в режим инкогнито. Данные, которые можно извлечь из вашего браузера, рисуют ужасно пугающую картину.

Вы можете извлекать данные об установленных приложениях и операционных системах, и если ваше имя привязано к вашему компьютеру или установленным приложениям, он часто может хранить данные о регистранте. Это означает, что порно-сайт может поджать имя и фамилию, имя пользователя, сохраненные куки и т.д. Это часто происходит, когда нацеливание для активных наступательных операций разведки.

Вероятно, вы не подвергаетесь атаке, но сбор вашей личной информации в маркетинговых и демографических целях кажется оскорбительным и агрессивным.

Ваши устройства Интернета вещей обманывают вас

Если последний напугал вас, перестаньте читать.

Недавно я имел удовольствие видеть Лесли Кархарт (@ hack4pancakes) на BsidesKC, которая рассказывала о своем опыте установки устройств IOT в ее квартире. В ее истории нет ничего необычного, но это серьезный вопрос, который сейчас не решается.

Вы когда-нибудь разговаривали по телефону о «чем-то», а потом видели рекламу того же «чего-то» в Facebook или Instagram? Вы когда-нибудь произносили название группы в Google Home или Alexa, а потом слышали, как эта группа появится в Google Play Music? Поверьте, это не совпадение.

Наличие устройств IOT в вашей квартире, которыми управляют другие «люди», обеспечивает доступ третьих лиц к личной информации, например, когда вы спите, когда вас нет, и когда ваши дети могут быть одни дома. Этот тип информации можно собирать, объединять, собирать и использовать для кражи из вашего дома или, в худшем случае, для планирования домашнего вторжения.

В нашем технологическом мире сегодня нет конфиденциальности.

  • При использовании телефона у вас нет конфиденциальности.
  • Когда вы в сети, у вас нет конфиденциальности.
  • Когда вы находитесь рядом с устройствами IOT, у вас нет конфиденциальности.

Сказав все это, вы, скорее всего, ничего не измените в своей жизни.

Это может быть самая страшная часть статьи.

 

Об авторе

Дэвид Эвенден — опытный оператор / аналитик в области безопасности с 10-летним опытом активной работы в разведывательном сообществе (IC). Во время своего пребывания в НК он выучил персидский фарси, работал в Красной команде АНБ и был членом элитной международной команды, действующей вместе с силами коалиции для помощи в продолжающихся усилиях на Ближнем Востоке.

Хотя в настоящее время он работает с интернет-провайдером и DHS, чтобы помочь в усилиях по укреплению двусторонних отношений совместного использования между правительством США и коммерческими организациями, его страстью является обучение сетевых администраторов и инженеров безопасности передовым методам защиты вашей сети.

В настоящее время Дэвид имеет сертификаты Pentest + и CySA.


Статья изначально была опубликована в профиле автора в LinkedIn: www.linkedin.com/pulse/online-privacy-myth-david-evenden/

  • нет
  • avatar
  • .
  • +25

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.