Privacy и security: анонимны ли вы в интернете
Андрей Воронов, технический директор Cezurity, ответил на вопросы издания «Понедельник» о конфиденциальности и безопасности в сети.
Расскажите, что эксперты имеют в виду, когда говорят о безопасности в интернете?
Есть два похожих понятия: privacy и security. К сожалению, в русском языке нет четкого разграничения для этих слов. Есть очень неплохое объяснение разницы между ними, доступное простым людям, не связанным с информационной безопасностью, которую я недавно встретил у западного коллеги. Например, в вашем доме есть окно, и оно выполняет ряд функций для вас: вы можете смотреть на улицу, через него попадает свет в ваш дом, вы можете открыть окно, чтобы получить порцию свежего воздуха; кроме того, в экстренной ситуации вы можете открыть окно и воспользоваться им, чтобы покинуть дом.
Но ведь через окно можно и влезть в ваш дом без вашего разрешения, так?
Да, окно уязвимо: вы можете его использовать как выход, а посторонние люди — как вход. Чтобы защитить свой дом от нежелательных посетителей, вы можете повесить решетку на окно — это позволит сохранить все необходимые функции окна. Это-то и называется — безопасность (security). Продолжая метафору: вы можете смотреть в окно, но и другие могут тоже снаружи заглянуть через него внутрь. Предотвратить это можно, например, занавеской. Это уже конфиденциальность, личная тайна или тайна личного (privacy). Запрет для посторонних проникать взглядом внутрь вашего дома также обеспечивает и определенную безопасность, так как злоумышленники не будут однозначно знать, дома вы или нет и что у вас там есть.
Обычные люди (такие, как я), получается, понимают под безопасностью в интернете именно privacy, то есть конфиденциальность передаваемой информации?
Полагаю, что так.
Если говорить о программах, через которые передается информация, например сообщения, то что можно сказать об их кибербезопасности?
К наиболее безопасным программам можно отнести те, где используется end-to-end-шифрование. То есть, например, мессенджеры, в которых ключи, необходимые для расшифровки передаваемых сообщений, хранятся исключительно у участников переписки, и никто, включая владельцев инфраструктуры и самих мессенджеров, никаким образом не может расшифровать передаваемую информацию или вмешаться в нее. Если говорить о лучшем решении для обмена личными данными, то это будет мессенджер Signal.
Ура! То есть все же можно чувствовать себя защищенным в интернете?
Не совсем. Реальность такова, что если у тебя огромная защищенная банковская дверь, но при этом открытое окно — к тебе обязательно влезут через это окно. Очень большое количество программ используется на мобильных устройствах и ПК с устаревшими версиями ОС, для которых обновления уже не выпускаются и для которых существует огромное число известных уязвимостей. В таком случае злоумышленник, получивший контроль над устройством, получает и полный доступ ко всем приложениям и их данным на этом устройстве, что включает и всю вашу секретную переписку. Безопасность — это всегда комплексный процесс. То есть безопасным должен быть не только мессенджер, но и устройство, на котором этот мессенджер используется.
Сейчас много говорят о том, что скоро отменят анонимность в интернете. Возможно ли, что и с программами для передачи личных данных это случится?
А сейчас такие программы анонимны? Большинство людей используют мессенджеры для обмена сообщениями: WhatsApp, Viber, которые регистрируются на телефонный номер. Это анонимность? Даже Signal и Telegram регистрируются на номер телефона. Анонимность программ для передачи ваших данных сейчас — это миф. Что происходит с интернет-сферой? Все пользуются WhatsApp, Viber и другими программами, регистрируемыми на телефонный номер. Все продолжают давать доступ к адресной книге со всеми контактами, к фотографиям, камере, микрофону. Это кого-то беспокоит? Как реагируют пользователи? Продолжают слать кучу смайликов, фотографий — и прекрасно общаются на том, что дали.
Речь тогда, получается, идет не об анонимности, а о попытках получить доступ к данным: возможно ли кому-то завладеть личной информацией?
В случае end-to-end-шифрования это невозможно принципиально. Только если разработчики/владельцы решений будут сами реализовывать схемы с подменой ключей (но они выявляемы). Либо если разработчики решений конкретным пользователям будут высылать обновления, которые будут сливать личные ключи или иную информацию (но это в любом случае не массовое наблюдение). Других путей нет. Если только полный запрет end-to-end-шифрования. Запрет на уровне блокировки определенных адресов и сервисов обходится легко как со стороны разработчиков (например, путем использования легитимных сервисов Google в качестве внешних адресов, то есть своеобразным «гейтование» через легитимные сервисы крупных провайдеров услуг), так и пользователей (простым использованием VPN).
Так можно ли все-таки запретить анонимность в интернете?
В теории — да. На практике — маловероятно. Но если немного повоображать, то наиболее эффективным (но только для масс) может быть запрет на анонимность путем удаления программы для обмена информацией из официального магазина приложений, но на подобные действия вряд ли кто-то пойдет по очень многим соображениям.