Как соцсети зарабатывают на ваших личных данных миллионы. Почему методы Apple опасны? Почему нельзя просто перейти на децентрализованную сеть, в которой мы будем полностью контролировать личные данные и извлекать из этого выгоду

Mr. Robot – это правдоподобный сериал о хакерах-антиглаболистах, который хвалят за убедительность и достоверно переданную реальность на экран. Захватывающая история Элиота Андерсона и его помощников, рассказанная сценаристами, основана на реальных консультациях со специалистами в этом деле. Настоящие хакеры консультировали создателей сериала, что привело к появлению этой достоверной картины, которую теперь можно назвать практически учебником по защите от взлома. В сериале очень грамотно показаны все схемы, которые помогают герою разрушить целые компании и мощные корпорации, данные методы используют и простые мошенники, чтобы похитить наши с вами данные для своих корыстных целей. В этой статье вы узнаете несколько методов, применяемых аферистами, чтобы выведать вашу личную информацию, которая, как вам кажется, под надежной защитой.

1. Wi-Fi сеть и ее небезопасность

Яркая сцена о разоблачении владельца кафе, который также создал сайт с незаконным содержимым, открывает сериал. Об этом незаконном контенте главный герой узнал, когда подобрал пароль к публичной сети Wi-fi этого кафе, также он проследил за всеми находящимися там данными и вычислил афериста.
Если вы решаете совершить важные денежные операции по переводу, пополнению счета, оплате банковских реквизитов или другим взаимодействием со средствами, то лучше не стоит этого делать, используя публичные сети. Пересылка личных данных в общедоступной сети - это ненадежный и опрометчивый способ решить свои финансовые дела. Бесплатный доступ в интернет из точек в метро, торговых центрах, кафетериях и других общественных местах – замечательная вещь, но не стоит доверять ей свои личные данные. Лучше повременить с такими действиями.

2. Просто запомнить – просто взломать!

Стандартные пароли типа «Qwerty», «12347», а также дни рождения, значимые даты и праздники или имена ваших любимых питомцев, кумиров, родителей и так далее не смогут полноценно и надежно защитить вас от взлома. Если все-таки вы усложняете свои пароли, прописывая верхний и нижний регистр для символов, сочетания латиницы и кириллицы, то вас можно только похвалить и поздравить!
В фильме Андерсон быстро и непринужденно справился с взломом почты своего психиатра: имя любимого певца и год рождения врача, которые были введены наоборот (Dylan_2791) – это и был пароль. Аккаунт его коллеги также удалось быстро взломать, пароль 123456Seven является слишком очевидным вариантом.

Если мошенник определенно готов взломать ваш аккаунт и затратить необходимое количество времени на ввод различных вариантов то, скорее всего ваши «мудреные» пароли, состоящие из запоминающихся дат и названия вашего любимого блюда, не спасут ваш аккаунт или компьютер. Пароли стоит менять периодически и сохранять их в тайне, а также усложнять, ведь это может защитить вас.

3. Не засекреченные личные данные

Сведущий человек, который разбирается в своем деле достаточно хорошо, может быстро и легко добыть необходимую ему информацию. Когда главному герою понадобилось узнать, куда движется такси с нужным ему человеком, он набрал номер диспетчерской службы и обманул человека, на другом конце провода. Эллиот убедил диспетчера, что обронил ключи в данном автомобиле и ему необходим адрес, куда направляется машина. Диспетчер дал нужные ему сведения, поверив звонившему на слово.
Андерсон также совершал и другие махинации для достижения своих целей. Он представлялся сотрудником банка и узнавал данные для входа в чужие аккаунты, информируя жертву о том, что на ее банковский счет была совершена хакерская атака. Доверчивые клиенты раскрывали свою информацию Эллиоту, опасаясь, что информацию получит злоумышленник, не подозревая, что сами сдают свои данные аферисту.
Невозможно защитить себя на все сто процентов, но раскрывая свои данные кому-либо, стоит спросить этого человека, для чего это необходимо, уточнить, кто он, а также попросить предъявить документы. Это ваша личная информация, вы должны знать, как ее будут использовать. Передавать свои пароли во время разговора по телефону вообще не стоит. Сотрудники банка интересоваться этим точно не станут, они могут уточнить лишь ваш контрольный вопрос. Только аферист будет спрашивать пароль!

4. Бесплатный сыр в мышеловке

Не только публичные сети интернета, но и бесплатные программы или подарочные носители бывают опасны. Эллиот без каких-то проблем подкидывает вирус на компьютер необходимого ему человека, отдав в дар диск с музыкой. Такого типа программы могут отправлять данные о действиях человека, а также могут распознавать сочетания клавиш, пароли и переписки. Также возможно подключиться к камере владельца компьютера или ноутбука и наблюдать за его перемещениями в квартире, такие данные потом используют для шантажа.

Не стоит подключать неизвестные и подозрительные устройства, нельзя качать приложения или файлы с сомнительных сайтов, важно также хранить в общедоступном месте только те данные, которых вы не стыдитесь.

5. Ненадежные госучреждения

Государственные предприятия обязаны держать все ваши данные в секрете, но большинство из них имеют на своих компьютерах старые версии антивирусов, которые практически не обновляют.
Андерсон изменяет результаты своего обследования в медицинской онлайн-карте за пару минут, избавляя себя от необходимости проходить реабилитацию. Реальные виртуальные аферисты могут таким же способом выкрасть данные паспорта необходимого человека, а также выписать себе рецепт на лекарства.

6. Скрытые приложения на вашем смартфоне

Слежка за вашим смартфоном не составит никакого труда, если у вас установлено скрытое приложение. Ваш телефон лучше не доверять сомнительным или малознакомым личностям, ведь именно они могут установить необходимый софт и скрыть его от ваших глаз. Таким методом можно выяснить, когда человек покинул свое жилье и на сколько, оставив свой дом без охраны.

7. Изменение адреса сайта

Главный герой хакерского сериала, решив обмануть охранника и попасть в хранилище, ловко подделывает страницу сайта Wikipedia. Виртуальная энциклопедия может быть отредактирована, и подделку или недостоверную информацию на непопулярных страницах могут обнаружить лишь спустя достаточно продолжительное время. Социальные сети, блоги, интернет-банки и даже виртуальные кошельки могут быть попросту скопированы и подделаны, а невнимательный пользователь, вводя свои пароли или данные карты, сам отдает их в руки мошенников.
Необходимо проверять и внимательно просматривать адрес используемого сайта: вдруг это не Perfectmoney, а Perfectmoniy или у адреса часто посещаемой вами соцсети появилась дополнительная буква в названии.
После того, как вы прочтете данную статью, обязательно проверьте свои пароли, дабы они не оказались слишком простыми и ненадежными. Относитесь серьезно к интернету и к своим личным данным, чтобы никто не смог их использовать против вас! Важно периодически проверять компьютер антивирусом и обновлять защиту, а также стоит посмотреть сериал Mr. Robot. Это кино является очень познавательным и полезным продуктом, который поможет вам по-другому взглянуть на виртуальный мир.
Кстати, а вы заклеили камеру непрозрачным скотчем?

Когда вы первый раз включили свой iPhone, iPad, iPod touch или Mac, что вам предложила система?

Среди вещей, с которыми народ обычно соглашается, была одна любопытная. Скорее всего, вы позволили Apple следить за всем , что делаете на устройстве. А вашу бдительность усыпили обещания, что полученные данные будут обезличены и никому больше не достанутся.

Дескать, ваши данные надёжно защищены с помощью случайного шума, честное слово.

На практике всё оказалось несколько иначе. Рассказываем, как на самом деле работает технология дифференциальной безопасности , применяющаяся во всех продуктах Apple. И почему она дырявая в исполнении ребят из Купертино.

Я пропустил, когда появилась дифференциальная безопасность?

Дифференциальная безопасность была добавлена в iOS 10. В обзоре технологии Apple утверждает , что собирает данные пользователей – но только те, которыми они сами хотят поделится. Информацию использует встроенная система аналитики и другие сервисы, чтобы оптимизировать использование гаджета и софта на нём.

Дифференциальная безопасность применяется для:

  • Разработки улучшений для Emoji и QuickType;
  • Создания подсказок по поиску;
  • Поиска элементов автоматического воспроизведения на сайтах для Safari, чрезмерного расхода энергии этим браузером и ресурсов, которые могут привести к проблемам в его работе (для iOS 11);
  • Анализа использования приложения Health (также в iOS 11).

Все собранные данные хранятся до 18 месяцев. Apple заявила, что не собирает IP-адреса или идентификаторы устройств.

В чём заключается дифференциальная безопасность?

Чтобы отследить шаблоны поведения, информацию от множества пользователей сливают в единую базу данных. Но чтобы защитить конкретного пользователя, к его данным примешивается случайный математический шум. Он позволяет разорвать связь между устройством и конкретным набором данных.

Только эти зашумленные данные отправляются на сервера Apple.

В итоге система аналитики исследует обезличенную информацию . Она понимает, как именно владельцы пользуются устройствами, но не знает, к примеру, любите ли конкретно вы много скроллить или нажимать на кнопки, какой у вас любимый эмодзи. Или как вы себя чувствуете после чтения новостей (привет, фейсбук!).

Какие данные получает Apple от меня? Где посмотреть?

Данные, которые отправляются из iOS , можно посмотреть в меню «Настройки» -«Конфиденциальность» – «Аназиз» – «Данные аналитики» – «Дифференциальная приватность».

В macOS можно запустить приложение «Консоль» и увидеть данные в меню «Системные отчёты» – «Дифференциальная приватность» или в пункте «Данные анализа Mac».

Теперь к проблеме. Эпсилон? Что это такое?

До отправки на сервер данные шифруются с использованием хэш-кода SHA-256 и преобразуются в вектор. Каждую координату вектора могут затем изменить на неверное значением (шум) с вероятностью 1/(1+е Ɛ), где е – экспонента, основание натурального логарифма, приближенно 2,71828, а Ɛ – тот самый эпсилон.

Эпсилон – это параметр, который определяет уровень зашумления ваших данных.

Именно он определяет, как полученная Apple информация смешивается с цифровым шумом. Чем выше переменная эпсилон, тем больше верных персональных данных остаётся.

Какой эпсилон использует Apple и почему это важно?

Компания Apple раскрыла значения переменной Ɛ и частоты отправки данных с выходом iOS 11:

  • Для подсказок в поиске и QuickType применяется добавление шума с эпсилон, равным четырём. Данные отправляются дважды в день.
  • Для эмодзи эпсилон также равен четырём, но отправка данных выполняется один раз в сутки.
  • Информация о приложении Health также отправляется ежедневно, но с эпсилон, равным двум. Причём это скорее не сами данные о здоровье, а то, как пользователи их меняют и насколько часто.
  • Наконец, данные о работе Safari отправляются дважды в день с эпсилон, равным четырём.

Но исходные коды функции зашумления Apple, конечно же, не показала. И кто знает, что там на самом деле происходит.

Что говорят исследования на тему безопасности?

Учёные из университетов Южной Калифорнии, Индианы и Цинхуа покопались в коде macOS и iOS и выяснили , что дифференциальная приватность на практике применяется не так, как описано компанией.

Они отследили, как в личные данные добавляется случайный шум. И нашли расхождения с официальной позицией Apple.

Аналитики хотели проверить реальное значение эпсилон. И пришли к выводу: на сервера Apple уходит гораздо больше незашумленных данных , чем ожидалось.

Код операционных систем специалисты разобрали на части программой Hopper. Оказалось, что в реальности у macOS значение эпсилон равно шести , а у iOS 10 – четырнадцати !

Чем больше эпсилон, тем выше вероятность выследить вас по вашему набору данных. Скажем больше: все значения эпсилон больше единицы рассматриваются как серьёзная угроза безопасности.

К тому же с каждой загрузкой данных вероятность отслеживания повышается. А загрузка 1-2 раза в день – это много.

Конечно, исследователи тестировали macOS 10.12 и iOS 10. Теоретически возможно, что с выходом новых версий Apple уменьшила значения эпсилон.

Но в бета-версии iOS 11 значение эпсилон составляло 43. СОРОК ТРИ! Верите ли вы, что в финальной версии его уменьшили до 2 или 4?…

Почему методы Apple опасны?

Фрэнк МакШерри, один из основателей дифференциальной приватности и бывший сотрудник Microsoft, отметил: Apple будто надела на себя наручники при взаимодействии с вашими данными. Правда, оказывается, что они сделаны из бумаги.

Исследователь привёл следующие расчёты. Если с вашего iPhone ежедневно отправляются данные из приложения Health с эпсилон, равным 14, то компания может вас идентифицировать с вероятностью 50% уже после первой отправки. А через два дня степень уверенности вырастет почти до 100%.

Apple, конечно же, всё отрицает. Дескать, исследователи ошиблись, все типы информации свалили в кучу и т.п. Корреляции между данными для идентификации пользователей разработчики также отвергли.

Но выглядит это неубедительно. Хотя бы потому, что если бы Apple этим не занималась, то однажды кто-то другой провёл бы параллели между данными и опознал конкретных пользователей. Хотя дифференциальная приватность, вообще говоря, не должна такого допускать.

К слову, в Google Chrome также есть система дифференциальной приватности и инструмент для сбора данных RAPPOR. Внутреннее исследование показало, что для одного пакета данных эпсилон не превышает двух. А на длинной дистанции (отправка нескольких наборов данных) значение может расти до 8-9.

Что ж, зато исходный код RAPPOR лежит в свободном доступе , и все могут посмотреть, как работает анализ.

Как запретить Apple собирать мои данные?

Система предлагает пользователю выбрать, разрешать или не разрешать собирать данные, при первой загрузке. Но отменить решение и запретить отправку статистики можно в любой момент.

iOS 11 : сделать это можно в приложении «Настройки» – «Конфиденциальность» – «Анализ» (сделать пункты в меню «Делиться Анализом iPhone, Watch» неактивными) и в настройках Safari «Конфиденциальность и безопасность». Варианты для более старых версий описаны .

Выводы неутешительные. Приватность Apple только на словах

А как насчет идентификации в интернете? Каковы характеристики собственности оцифрованного профиля? Мы приближаемся к эпохе, когда нынешняя Интернет-экономика, основанная на Freemium-сервисах подходит к концу. Эволюция поворачивается лицом к личным данным, к вашей идентификации.

И изменения могут начаться именно с вас.

Весь мир в вашем собственном экране.

«Технология распознавания лиц уже практически неизбежна», говорит Брайан Муллинс, основатель и генеральный директор компании Dagri, которая работает над технологией так называемой дополнительной реальности. Данная технология подразумевает, что в будущем миллионы людей, склонившись над экранами в один прекрасный день получат полноценную 4D окружающую среду посредством цифрового контента. Фактически это будет означать новый вид визуального поиска, который вытеснит нынешнюю модель онлайн-поиска. К примеру сейчас нужно задать слово или фразу для ввода в поисковую систему. В то же время, когда развитие 4Dприобретет массовый характер, вы просто будете смотреть на объект для получения всей связанной с ним информации.

Фактически произойдет смена парадигм. Муллинс отмечает: «С развитием 4D фактически изменится способ взаимодействия с информацией. В будущем обращение к экрану компьютера для поиска информации покажется странным ».

В пользовании появятся устройства подобные Google Glass или особые дополнительные контактные линзы, с помощью которых пользователь сможет просматривать и фильтровать информацию об окружающем мире. «То о чем мы говорим», говорит Муллинс, «наступит в будущем, когда окружающий мир будет помещен в ваш собственный экран».

Google понимает это как никто другой. Компания фактически управляет процессом с помощью технологий типа Street View, которая путем помещения камер в автомобили в разных местах нашей планеты дает возможность всем людям посетить различные места не выходя из собственного дома.

Недавно Google также подала заявку на патент для технологии Pay-Per-Gaze, которая позволит рекламодателям использовать функцию брендирования или выводить визуальные сообщения пользователям устройств типа Google Glass. Это фактически означает, что ваша собственная жизнь становится рекламной площадкой. Система также собирается отталкиваться от ваших чувств и эмоций. Заявка на патент Pay-Per-Emotion подразумевает, что будет реализована возможность взимать плату за аналитические данные о той или иной реакции организма на рекламу . Например расширение зрачков в качестве эмоции будет использоваться Google Glass или подобным устройством в качестве источника информации. А значит к нашему внутреннему миру будет открыт общий доступ и мы не будем иметь возможности влиять на этот процесс.

Проще говоря, мы станем посредниками. Как автомобили, на которых закреплены камеры проекта Street View, люди станут каналом для передачи данных для непрерывной монетизации.

Право на использование данных против Верховенства конфиденциальности.

Если то что мы видим и чувствуем будет использоваться для получения прибыли компаниями, имеем ли мы право на получение дохода за использование данной информации? А как насчет людей, которые попали в кадр, но не пользуются данными технологиями? Когда лицо человека или другие отличительные черты используются кем то в коммерческих целях, особенно важно разграничить право выбора использования данных и верховенство конфиденциальности.

Считается, что конфиденциальность это скучно и не интересно. Но вместо акцентирования внимания на том, что Google обвиняется в незаконной записи данных с помощью проекта Street View или том, что Facebookполучил согласие пользователей на использование личных данных во время последнего обновления политики конфиденциальности, мы обсудим монетизацию личных данных.

Будет ли это проект Facebook Sponsored Stories или Shared Endorsements от Google ясно, что интернет-компании имеют право на получение денег от услуг, предоставляемых пользователям. Однако более неотложным вопросом является вопрос, когда freemium-модель станет не состоятельной? В какой момент человек, использующий услуги, получает право на доходы от использования своей уникальности?

«Каждый человек обладает коммерческой ценностью» , говорит Брайан Вассом, эксперт по праву проекта дополнительной реальности, партнер международной юридической фирмы Honigman Miller Schwartz and Cohn LLP, а также известный блоггер. Вассом часто употребляет в своих статьях термин «право на использование», который подразумевает контроль над коммерческой эксплуатацией личностных данных.

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц - мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис - ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД - физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты - все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

  1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
  2. содержатся в архивных документах;
  3. составляют гостайну;
  4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

  • обезличенные;
  • общие;
  • биометрические;
  • специальные.

Общие персональные данные

Общие персональные данные - это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой

  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными . Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой .

Биометрические ПД

Биометрические данные - это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

  • адресные книжки;
  • справочники;
  • реестры;

Общедоступная информация, которая считается персональными данными, - это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data . Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Все интересующие вопросы можно задать в комментариях к статье



Похожие публикации
© 2024. tdelegia.ru Бесплатная помощь IT-специалиста. Полезные статьи. Все права защищены