📌 Системи масового стеження

Навіть якщо ви не зробите нічого поганого, за вами все одно стежитимуть. Едвард Сноуден

Системи масового стеження – не нове явище для світу, і якщо в минулому головним завданням було перехоплення дзвінків і телеграм, то в цифрову епоху основною інформацією, яку збирають, стало збирання даних про активність і комунікації в мережі Інтернет і стільникових мережах.

Здебільшого системи масового стеження здійснюють легальний збір даних різними каналами зв’язку. Це збір і зберігання дзвінків, координат здійснення цих дзвінків, так званий білінг, і, звісно, збір і зберігання інтернет-трафіку. Користувачі обізнані про збір даних, принаймні існування таких систем не секрет для суспільства.

Зрозуміло, трапляється і незаконний збір даних, наприклад, проект RAMPART-A, про який стало відомо з викриттів Едварда Сноудена. Згідно з опублікованою інформацією АНБ США уклало договір із 33 країнами в Західній і Східній Європі, Азії та Африці й вело збір інформації через оптоволоконні кабелі, що проходять їхніми територіями.

Майже в кожній країні є своя система масового збору інформації: у Канаді, Австралії, Новій Зеландії, США та Великій Британії – ECHELON, Frenchelon у Франції, Золотий щит у Китаї.

Прогрес не стоїть на місці, і ці системи періодично вдосконалюються, з’являються нові рішення, що дають змогу зберігати більше інформації в меншому просторі, витрачати на це менше грошей або ефективніше здійснювати пошук потрібної інформації в зібраних даних.

Наприклад, відносно нове явище – пошук за відбитком голосу. Якщо в уряду є запис вашого голосу, вони завжди зможуть знайти ваші дзвінки, з якого б номера ви їх не здійснювали. Подібні рішення коштують чималих грошей і є в арсеналі спецслужб далеко не кожної країни.

На жаль, у них вистачить місця, щоб зберегти інформацію про кожну людину на планеті за багато років.

Ви напевно вже чули про методи захисту від масового стеження, подібні інструкції активно поширюють у мережі правозахисні організації та активісти. Згідно з ними для захисту від масового стеження достатньо шифрувати свої комунікації, а ще краще використовувати VPN для комплексного шифрування всього інтернет-трафіку.

І адже розумно пишуть: ну як стежити, коли трафік зашифрований?

VPN дійсно шифрує весь інтернет-трафік до VPN-сервера, і система перехоплення даних на рівні вашого інтернет-провайдера отримає тільки зашифрований трафік. Але ось на VPN-сервері трафік буде розшифрований і в кращому разі залишиться зашифроване з’єднання до сайту (HTTPS), яке не є непереборною перешкодою для спецслужб.

Якщо в країні, де розміщений ваш VPN-сервер, немає системи масового збору даних (хоча мені не відомі такі країни), то вона може стояти десь протягом подальшого шляху до сайту. Але якщо і VPN-сервер, і сервер сайту, до якого ви підключаєтеся, розташовані в одному датацентрі і між ними немає системи масового збору даних, то залишаються тільки зашифровані дані, зібрані вашим інтернет-провайдером або іншою стороною в будь-якому іншому місці на шляху до сервера VPN.

Хоча ні, є ще одна умова: VPN має бути налаштований правильно, інакше можливі витоки даних аж до передачі незахищеної інформації в обхід зашифрованого тунелю.

Багато експертів стверджують, що шифрування вирішує проблему тотального стеження. На жаль, це не зовсім так. Дійсно, якщо використовується надійний алгоритм шифрування, а програмне забезпечення не містить закладок, зашифровані дані зараз із високою часткою ймовірності не розшифрують.

Але прогрес не стоїть на місці, і багато алгоритмів шифрування, які 10 років тому вважалися надійними, сьогодні вже такими не є. За прикладами далеко ходити не треба: RSA з довжиною ключа 768 біт активно використовували державні органи, великі компанії і навіть в оборонній сфері, поки 2009 року група вчених не зламала його, і всім було запропоновано перейти на 1024-бітові ключі.

Минув ще час, і 2018 року користувачам рекомендується використовувати вже ключі від 2048 біт. А на горизонті маячить квантовий комп’ютер, який зможе розшифровувати всі зашифровані сьогодні дані.

Вам доведеться змиритися з думкою, що шифрування – це лише тимчасовий захист, але не панацея. Усі ваші листування, дзвінки, інтернет-трафік з часом можна буде розшифрувати, а поки що їх можна просто зібрати і зберегти.

Є чимало випадків, коли правоохоронні органи вилучали зашифровані носії інформації, але не могли їх розшифрувати. Наприклад, Даніель Данташ – заарештований у Ріо-де-Жанейро бразильський банкір, якого бразильська влада підозрювала в шахрайстві. Його диски понад рік намагалися зламати Національний інститут криміналістики Бразилії та ФБР, але не змогли. Можливо, прийде час і вони все-таки подивляться їхній вміст…

А може, шифрування, що використовується, вже ненадійне… Ви ж не розраховуєте, що спецслужби, знайшовши спосіб розшифровувати зашифровані комунікації, виступлять з офіційною заявою і скажуть:

Вельмишановні користувачі, ми знайшли спосіб розшифровувати дані, зашифровані алгоритмом N, будь ласка, перейдіть на більш безпечні рішення?

Сучасні алгоритми добре вивчені, і ймовірність цього невелика, але вона не нульова і зовсім виключати її ми не можемо, тим паче, подібні приклади ще свіжі в пам’яті. Наприклад, компанія RSA Security з 2004 пропонувала клієнтам завідомо ненадійний алгоритм генерації псевдовипадкових чисел Dual EC DRBG, що дає змогу АНБ у будь-який момент отримати доступ до зашифрованих даних. Працювали ці хлопці не за ідею, а за 10 млн доларів, заплачені їм АНБ.

А що фахівці?

Підозри про наявність вразливостей у Dual EC DRBG виникли ще 2007 року, але вони не вийшли за межі вузького кола експертів доти, доки 2013-го Едвард Сноуден не розкрив світові правду. І тільки тоді спільнота забила на сполох, закликаючи відмовлятися від ненадійного алгоритму. Уразливим рішенням багато років користувалися тисячі клієнтів, включно з такими гігантами, як Adobe, Oracle, Sony і Nintendo.

Але я надто захопився, це вступна стаття, її завдання познайомити вас із загрозою і окреслити рішення. Як ви зрозуміли, про вас збирають досить багато даних і, найімовірніше, з розвитком технологій робитимуть це ще активніше, а зберігатимуть дані ще довше.

Хто і як скористається потім цими даними? Чи хочеться вам, щоб хтось міг дізнатися, що ви писали у вісімнадцять років? Які відео ви дивилися? Які сайти відвідували? Чи не стануть помилки молодості компроматом, який зламає вам життя через багато років? Хто дасть гарантію, що дані не витечуть у треті руки або держава не використає їх для тиску на вас?

Усі ці питання роблять масовий збір даних серйозною загрозою нашого століття. Ви думаєте, це утопія? На жаль, ні. У Китаї вже використовується система соціального рейтингу, за якої кожен громадянин має рейтинг, і відповідно до нього певні привілеї та обмеження. Отримати бали, що підвищують соціальний рейтинг, можна за громадську роботу, допомогу батькам, корисну діяльність на благо партії та інші позитивні дії, наприклад своєчасну виплату кредиту.

Наразі система тільки впроваджується, і цей список, наскільки мені відомо, ще в процесі опрацювання. Знижується соціальний рейтинг за критику в інтернеті влади і сформованих порядків, зокрема соціальних мережах, особистих листуваннях, листуванні електронною поштою (у Китаї листування в месенджерах та електронній пошті аналізують системи масового контролю інтернет-трафіку, а за наявності підозрілих слів їх передають на вивчення живим людям), у разі доносів сусідів, порушення ПДР, законів та інших дій, більшість із яких, заради справедливості, завдає шкоди суспільству.

Громадяни з низьким соціальним рейтингом не можуть здійснювати поїздки на транспорті далекого сполучення та авіаперельоти.

За даними Global Times, тільки до квітня 2018 року низький соціальний рейтинг став причиною скасування понад 11 млн авіаперельотів.

Вони будуть позбавлені або частково обмежені в можливості працювати в держустановах, отримувати соціальне забезпечення, брати кредити в банках, відкривати комерційні організації, навчати дітей у дорогих приватних школах, зупинятися в преміальних готелях, виїжджати за кордон – і все це тільки початок, гайки будуть закручувати.

Якщо ти проти влади – ти вигнанець, якщо ти говориш, що думаєш, і це не вважається правильним – ти вигнанець, і шукати таких сміливих вільнодумців будуть системи масового стеження. Водночас законослухняні та лояльні до влади громадяни КНР отримують від держави різноманітні бонуси – перевагу під час влаштування на хорошу роботу, обслуговування в державних установах, можливість використовувати громадянські права вільної людини.

Додати коментар