Читаем Искусство быть невидимым полностью

Хорошая новость заключается в том, что в наше время популярные мессенджеры шифруют передаваемые сообщения. Плохая новость в том, что не каждый вид применяемого шифрования достаточно надежен. В 2014 году Пол Джерегуи (Paul Jauregui) из компании Praetorian, занимающейся информационной безопасностью, выяснил, что шифрование в WhatsApp уязвимо к атаке, известной как «человек посередине» (Man-in-the-Middle, MitM), когда злоумышленник перехватывает и читает все сообщения, отправляемые жертвой. «Именно такие вещи любит АНБ», — сказал Джерегуи.⁶⁸ На момент написания данной книги ситуация изменилась — теперь на устройствах Android и iOS приложение применяет сквозное шифрование. Кроме того, компания Facebook, которой принадлежит WhatsApp, стала использовать шифрование в своем приложении Facebook Messenger, количество пользователей которого насчитывает 900 миллионов человек. Это необязательная опция — чтобы воспользоваться ей, надо специально включить режим «Секретная переписка».⁶⁹

Неприятный момент связан с архивируемыми данными. Большинство мобильных приложений для обмена текстовыми сообщениями не шифруют заархивированные данные, независимо от того, где именно они хранятся — на вашем устойстве или на сервере. Такие приложения, как AOL Instant Messenger, Blackberry Messenger и Skype, хранят текстовые сообщения в незашифрованном виде. Это означает, что провайдер услуг может прочитать эти сообщения (если они хранятся в облаке) и, исходя из их содержания, настроить рекламу. Также это означает, что правоохранительные органы — или, наоборот, злоумышленники, — заполучив ваше устройство, также смогут прочитать все сообщения.

Другой спорный вопрос — это хранение данных, о котором мы уже говорили ранее: как долго неактивные данные остаются неактивными? Если вышеупомянутые приложения архивируют сообщения в незашифрованном виде, сколько времени они их хранят? Корпорация Microsoft, которой принадлежит Skype, заявила, что «некоторые из наших продуктов для обмена сообщениями и синхронизации файлов, такие как Outlook и OneDrive, систематически сканируют содержимое для автоматического обнаружения подозрительных несанкционированных рассылок (спама), вирусов, оскорбительных действий или URL-адресов, помеченных как мошеннические, фишинговые или как ссылки на вредоносные программы». Напоминает автоматическую антивирусную проверку в электронной почте. Однако далее идет такой текст: «Наконец мы будем получать доступ, передавать, раскрывать или хранить ваши персональные данные, включая ваше личное содержимое (например, содержимое электронной почты на странице Outlook.com или файлы, которые находятся в личных папках в службе OneDrive), в целях осуществления действий, необходимых для: (1) соблюдения действующего законодательства или предоставления ответов на запросы в рамках судебного процесса, в том числе от правоохранительных органов или иных государственных организаций…»⁷⁰

Звучит как-то не очень. Сколько хранятся такие данные?

Вероятно, практически для каждого из нас первым мессенджером стал AOL Instant Message (AIM). Он был актуален долгое время. Разработанное для обычных настольных компьютеров приложение AIM изначально представляло собой маленькое диалоговое окно, которое появлялось в нижнем правом углу экрана. В наше время этот мессенджер можно установить и на мобильное устройство. Но, что касается конфиденциальности, тут есть свои подводные камни. Во-первых, AIM хранит в архивированном виде все сообщения, когда-либо отправленные через него. И, как и Skype, мессенджер сканирует содержимое этих сообщений. Кроме того, беспокойство вызывает тот факт, что компания AOL хранит сообщения в облаке на случай, если вы когда-либо захотите просмотреть историю переписки с устройства, отличного от того, на котором вы авторизовались в предыдущий раз.⁷¹

Поскольку данные из AIM не шифруются и благодаря облачному хранилищу их можно просмотреть на любом устройстве, правоохранительные органы и злоумышленники без труда могут получить к ним доступ. Например, мою учетную запись AOL взломал скрипт-кидди[8], называвший себя в Интернете ником «Virus» — в реальной жизни его зовут Майкл Нивз.⁷² Он, применив методы социальной инженерии (иными словами, набрав телефонный номер и мило пообщавшись), сумел выяснить у сотрудников AOL, как ему получить доступ к их внутренней базе данных под названием Merlin. В результате он сумел сменить мой электронный адрес на какой-то другой. После этого ему удалось сбросить мой пароль и прочитать все мои последние сообщения. В 2007 году Нивзу было предъявлено обвинение в четырех тяжких уголовных преступлениях и одном проступке[9], связанных со взломом «внутренних компьютерных сетей и баз данных компании AOL, включая платежные данные, адреса и данные банковских карт пользователей».

Как справедливо заметили в Фонде электронных рубежей (англ. Electronic Frontier Foundation, EFF), «отсутствие журнальных файлов (логов) — хороший лог». AOL хранит логи.