Конфиденциальность в интернете для начинающих.

[JOUR]

А зачем она нам?

Наверняка вы слышали что-то подобное:
«Я закон не нарушаю, мне скрывать нечего», или «Зачем скрываться, когда весь мир связан на международном уровне?».

Так много кто рассуждает, это понятно и абсолютно нормально.​

Разумеется, у некоторых компаний полно наших данных (мы сами их обычно и предоставляем). Однако не все знают, что другие компании собирают о нас куда более конфиденциальную информацию — и не факт, что мы сами захотели бы ей делиться.

Хуже того, последние разработки в области искусственного интеллекта позволяют на основе поведения в интернете прослеживать крайне любопытные закономерности и создавать весьма точные физиологические и психологические профили людей. В 2012 году одной компании стало известно о беременности девушки до того, как об этом узнала ее семья. Только представьте, на что стал способен ИИ с тех пор.

Надеюсь, к концу статьи вы пересмотрите свое мнение о конфиденциальности в интернете. А для начала ответьте, каково бы вам было, если бы пришлось сообщить двум сотням незнакомых людей:

• где вы находитесь;
• когда и как долго сидите в интернете;
• на какие сайты заходите;
• какие заболевания гуглите;
• что покупаете онлайн;
• с каких устройств выходите в интернет;
• что вам нравится читать;
• что любите поесть;
• какие у вас политические взгляды.

Список можно продолжить, но хватит и этого. Наверняка что-то вы даже друзьям не стали бы рассказывать, не говоря уже о незнакомцах. Однако сегодня многие невольно и неосознанно сообщают эту информацию «незнакомцам» из числа компаний, которые собирают ее для собственной выгоды.

Ваш «личный анонимный профиль»

Большая часть этих компаний не знает ваше настоящее имя, это для них не самое важное. Им интересны ваши предпочтения и модель поведения. Не будет имени, они присвоят вам уникальный номер у себя в системе.

Некоторым известно и ваше имя, и даже номер страхового полиса, пусть вы и не сообщали его добровольно. Парадокс в том, что мы «делимся» этой информацией, поскольку не понимаем, что можно о себе выдать, сидя в интернете.

Есть масса способов нарушить конфиденциальность. Боюсь, полностью защититься от внимания безнравственных корпораций не получится. Однако риски можно минимизировать. Предлагаю изучить как.

Пирамида конфиденциальности

Аспекты, влияющие на конфиденциальность, и их значимость я бы проиллюстрировал следующим образом:

Далее пойдем в порядке убывания значимости.

1.
Операционная система

Без крепкого фундамента ничего не построишь. Оказывается, угрозу конфиденциальности может представлять даже выбор операционной системы.

Чем вы рискуете?

Если вы пользуетесь Windows 10, у меня плохие новости, потому что:

• ваше устройство по умолчанию помечено уникальным рекламным идентификатором;
• по умолчанию включена синхронизация данных (истории браузера, настроек приложений, названий точек доступа Wi-Fi и паролей от них);
• голосовой помощник Cortana может собрать о вас любую информацию (в буквальном смысле: данные кредитной карты, звук с микрофона и не только);
• Microsoft имеет право собирать о вас любую конфиденциальную информацию;
• все собранные данные могут быть переданы третьим лицам даже без вашего согласия.

Что можно сделать?

Хорошее решение — перейти на другую операционную систему — например, Linux или MacOS. Чтобы пользоваться последней придется купить макбук, а вот дистрибутив Linux можно установить на любой компьютер.

Если вдруг вы наслушались страшилок про Linux, попробуйте сами им попользоваться. Если не знаете, с чего начать, попробуйте Ubuntu.

Все равно не хотите уходить с Windows? Тогда попробуйте W10Privacy. Это приложение отключит часть отслеживающих настроек.


2.
IP-адрес

Теперь, когда появилась хоть какая-то возможность сохранить анонимность, и к вашему компьютеру не прикреплен уникальный идентификатор, можно поговорить о подключении к интернету.

Задумывались когда-нибудь, как интернет работает? Перемещение по нему устроено сложно, но вместе с тем гениально с инженерной точки зрения. Во внутренние процессы его работы я углубляться не буду, остановимся на том, что напрямую связано с конфиденциальностью. Вам наверняка знакомы аббревиатуры IP и VPN.

Чем вы рискуете?

Как и у объектов реального мира, у каждого устройства, подключенного ко Всемирной паутине, есть адрес — IP-адрес. Он виден любому сайту, на который вы заходите. Значит, как бы вы ни скрывали свои данные и предпочтения, вас все равно легко идентифицировать по адресу компьютера.

Вот почему на иностранных сайтах появляется реклама на вашем родном языке. По тому же принципу некоторые сайты ограничивают доступ посетителей из определенных стран.

Что можно сделать?

Можно подключиться к VPN и пройти тест на утечку IP-адреса через WebRTC. Рассмотрим каждый этап по отдельности.

1. 
   VPN

Просто спрятать свой IP-адрес нельзя — не сможете пользоваться интернетом. Зато можно сделать вид, будто у вас другой IP. Тут-то и вступают в игру VPN-сервисы.

VPN (англ. Virtual Private Network ‘виртуальная частная сеть’) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети (определение из Википедии).

Пять, девять и четырнадцать глаз

Так называют межгосударственные союзы, цель которых — массовая слежка. Общими усилиями они собирают, анализируют и передают друг другу данные о гражданах из разных частей мира. Сотрудничество началось после Второй мировой войны, и теперь страны шпионят за гражданами друг друга и обмениваются данными об их интернет-активности, полученных и отправленных электронных письмах, постах в Facebook и многим другим.

«Пять глаз» — это:

• Австралия
• Канада
• Новая Зеландия
• Великобритания
• США

«Девять глаз» — это страны выше плюс:

6. Дания

7. Франция

8. Нидерланды

9. Норвегия

«Четырнадцать глаз» — это страны выше плюс:

10. Бельгия

11. Германия

12. Италия

13. Испания

14. Швеция

Если коротко, VPN-сервис одной из этих стран не гарантирует вам конфиденциальность, потому как некоторые спецслужбы (например, Агентство национальной безопасности), даже из другого союзного государства, могут заставить VPN-провайдеров (как и любой другой интернет-сервис) предоставить им свои данные.

На сайте thatoneprivacysite.net можно найти хороший список из более чем 150 VPN-провайдеров со всеми особенностями и ограничениями.

Почитайте и подумайте, какой из этих сервисов подойдет вам больше. Затем я бы рекомендовал попользоваться им месяц-другой, а затем уже покупать долгосрочную подписку.​

2.
Тест на утечку IP-адреса через WebRTC

Но радоваться рано! Даже с VPN и шифрованным DNS-трафиком вы все равно можете выдать свой IP.

Что ж так сложно-то все, да?​

Технологии постоянно совершенствуются, и в каждой новой разработке находят баги или способ обратить какие-то ее особенности себе на пользу. Так получилось и с новым протоколом передачи данных WebRTC на базе языка JavaScript, которой способен слить ваш фактический IP-адрес даже через VPN. Тест можно сделать на privacytools.io.

3.
Браузер

Поговорим о кораблях, на которых мы бороздим просторы цифровой вселенной. Какой браузер лучше всех?

— Internet Explorer! — не сказал никто;

— Edge — неуверенно прошептал кто-то;

— Opera! — выкрикнули два-три человека;

— Safari! — это из кучки людей, покупающих новинки от Apple в первый день выхода;

— Tor! — заявил откуда-то неизвестно кто;

— Яндекс Браузер! — сказали по-русски;

— Chrome!!! — это из толпы, где Google, наверное, уже все про всех знает;

— Firefox!!! — это из другой, с плакатами в защиту конфиденциальности;

— Brave! — стоп, еще и такой есть?

Браузеров существуют десятки, со списком можно ознакомиться в Википедии, однако поставленный нами вопрос остается открытым.

Чем вы рискуете?

Любой из вышеупомянутых браузеров представляет собой сложную программу для доступа к интернету. Перемещаясь по Всемирной паутине, браузер взаимодействует с другими компьютерами, выдавая информацию о себе любому сайту, на который заходит. Тут-то и начинаются проблемы с безопасностью, поскольку комбинация различных настроек браузера может создать уникальный отпечаток вашего устройства.

Отпечаток? Как у пальцев, что ли?

Цифровой отпечаток устройства — это информация, собранная об удалённом устройстве для дальнейшей идентификации. Отпечатки могут быть использованы полностью или частично для идентификации, даже когда файлы cookie выключены.

Итак, у меня для вас две новости. Плохая:
пока вы смотрите фотографии котиков, вы буквально повсюду оставляете свои отпечатки.

Хорошая:
цифровой отпечаток может перестать быть уникальным, как только вы должным образом отрегулируете настройки конфиденциальности.

Это возможно благодаря тому, что цифровой отпечаток представляет собой не единый блок с информацией, а набор разных параметров:
размер экрана, название и версия браузера, установленные шрифты, расширения и т. д. В совокупности эти параметры позволяют точно идентифицировать ваше устройство.

 

[JOUR]

Помните девушку в красном из фильма «Матрица»? Она выделяется из толпы, потому что ее внешний облик разительно отличается от других людей. Точно так же и с вашим браузером — чем больше у него отличительных особенностей, тем легче его идентифицировать. Надень она белую рубашку и черный костюм — ее уже не так легко было бы заметить.

Ваш браузер предоставляет информацию более чем о десяти параметрах, и ваша задача в том, чтобы сделать эти настройки максимально «стандартными».

Хотите узнать цифровой отпечаток вашего устройства? Смотрите следующие ссылки:

• panopticlick.eff.org
• amiunique.org

На panopticlick вы увидите похожий отчет:

В столбце Browser Characteristic (англ. ‘параметр браузера’) — информация, на основании которой можно идентифицировать ваш браузер. Еще один интересный столбец — one in x browsers have this value (англ. ‘тот же результат у одного браузера из X’). Чем меньше это число, тем лучше, — значит, той же характеристикой обладает больше других браузеров.

Над таблицей видно, насколько уникальны все настройки в целом. На изображении выше — результаты теста моего браузера Chrome, настройки которого не способствуют высокому уровню безопасности в сети.

Изменив некоторые настройки и установив ряд расширений, можно достичь следующего (это результаты для браузера Firefox, которым я пользуюсь ежедневно):

Таким же цифровым отпечатком, как у меня, обладает один браузер на 75 604 (из базы panopticlick). Уже лучше, но не идеально.

Что можно сделать?

В первую очередь определиться с браузером. С точки зрения конфиденциальности лучшими считаются следующие:

1.
Tor

В браузер изначально встроены расширения для обеспечения анонимности, шифрование и современный прокси. Можно пользоваться сразу.

2.
Firefox

Достаточно слегка поменять стандартные настройки и добавить расширения для обеспечения конфиденциальности.

3.
Brave

Автоматически блокирует рекламу и всевозможные трекеры, делая перемещение по сайтам быстрее и безопаснее.

4.
Файлы cookie

Вы наверняка слышали о файлах cookie и о том, что это что-то плохое. Иначе зачем все сайты о них постоянно предупреждают? На самом деле это всего лишь инструмент, и только некоторые его применения сомнительны с точки зрения конфиденциальности.

Давайте разберемся.

Файлы cookie — это небольшие фрагменты текста, которые сайт может хранить у вас в браузере. Они не могут ничего установить и видны только сайту, который их сохранил. То есть, ни один сайт не увидит файлы cookie, сохраненные другими сайтами, на которые вы заходили. Однако отправляются эти файлы с каждым HTTP-запросом, то есть при каждом открытии страницы, что делает их потенциальной угрозой безопасности.

Рассмотрим простой пример:
вы заходите на сайт, где есть темная и светлая темы. По умолчанию стоит светлая, вы выбираете темную. Каждый раз, когда вы возвращаетесь на страницу, даже если в аккаунт вы не входите, сайт включает темную тему.

В этом случае сайт мог сохранить в браузере файл cookie, хранящий данные о теме. Поэтому всякий раз, когда вы на него заходите, файл отправляется на сервер, а он в ответ передает CSS-файл с темной темой.

Тот факт, что вам не приходится заново заходить в аккаунт даже после перезагрузки компьютера, тоже возможен благодаря файлам cookie.

Чем вы рискуете?

Выше был приведен достаточно безобидный пример. Даже непонятно, как можно использовать файлы cookie недобросовестно. Рассмотрим другой случай, на этот раз — пример нарушения конфиденциальности.

1. Пользователь заходит на сайт A.

2. В целях получения заработка сайт A при помощи встроенного кода размещает на своих страницах рекламу с сайта B.

3. Когда на сайт A поступает запрос от пользователя, сайт направляет на его устройство HTML-код запрошенной страницы. Этот код содержит в том числе элемент iframe, который запускает рекламную страницу внутри страницы сайта А.

4. Получив HTML-код, браузер пользователя начинает отрисовывать страницу и посылать дополнительные запросы, чтобы получить все необходимое для корректного отображения. В том числе браузер направляет запрос на получение рекламы с сайта B, однако файлов cookie с этого сайта на компьютере еще нет. Поэтому сайт B самостоятельно направляет в браузер файлы cookie с уникальным идентификатором, одновременно создавая профиль пользователя на своем сервере. В этом профиле будет собрана вся информация о пользователе. Это возможно потому, что вместе с запросом (в заголовке Referer) передается URL сайта A — источника запроса.

5. После сайта A пользователь заходит на сайт C.

6. Сайт C никак не связан с сайтом A, однако на нем тоже реклама с сайта B.

7. Когда браузер пользователя получает HTML-код для отображения сайта C и направляет запрос на сайт B, он уже автоматически направляет cookie с уникальным идентификатором, созданным ранее на сайте B. Эта информация в совокупности с заголовком Referer (в котором на этот раз указан URL сайта C) дает сайту B возможность найти пользователя у себя в базе и обновить информацию о посещенных им сайтах.

Вот так рекламные сайты собирают огромное количество данных об активности пользователей в Сети.

Что можно сделать?

Есть три варианта.

• Полностью отключить прием файлов cookie в настройках браузера. При этом некоторые сайты перестанут работать.
• Предоставить возможность сохранять файлы cookie только тем сайтам, на которых вы находитесь, ограничив эту возможность для всех остальных. При таких настройках не будет отображаться лишь небольшое количество сайтов.
• Рекомендуемый вариант — установить менеджер файлов cookie с индивидуальными настройками для каждого сайта. Требует чуть больше времени, однако самый гибкий и удобный.

В конце статьи есть список расширений, которые я советую установить.

5.
Скрипты

«С большой силой приходит большая ответственность», однако большинство крупных корпораций этого, к сожалению, не понимает.

Непременный структурный элемент многих сайтов — код на языке JavaScript, всё благодаря его широким возможностям. Этот язык позволяет создавать на веб-страницах игры, анимацию, интерактивный интерфейс и много чего еще.

JavaScript получает данные о размере экрана вашего устройства, уровне заряда, установленных в браузере расширениях и других параметрах, по которым вас можно идентифицировать.

Чем вы рискуете?

Дело вот в чем. Владельцы размещают на своих сайтах скрипты рекламных компаний, поэтому после загрузки страницы браузер загружает и сторонние скрипты. Затем эти скрипты извлекают информацию, способную вас идентифицировать, и направляют ее рекламным компаниям вместе с данными о ваших действиях на загруженной странице.

JavaScript может получить о вашем браузере массу информации, но больше всего позволяет получить метод под названием Canvas Fingerprinting — цифровой отпечаток по HTML-элементу canvas (внутри этого элемента код на JavaScript рисует специальное изображение). Идентифицировать пользователя получается, поскольку изображение будет выглядеть по-разному в зависимости от графического процессора, драйверов, операционной системы и браузера.

Вот так, по крупицам, корпорации собирают информацию о вас и вашей активности в сети и создают цифровой профиль, на основе которого пользователю показывают определенные рекламные объявления. Эти данные постоянно дополняются и обновляются по мере вашей дальнейшей активности.

Что можно сделать?

Отключить JavaScript не вариант — вы не сможете зайти на половину сайтов в Сети. Однако можно блокировать загрузку скриптов с определенных сайтов, а также запросы к сайтам рекламщиков, содержащие информацию, по которой вас можно идентифицировать. В шестом разделе описаны несколько расширений, который могут в этом помочь.

 

[JOUR]

6.
Расширения и прочее

Все вышесказанное — основа конфиденциальности в интернете, однако этого, к сожалению, недостаточно. Сайты по-прежнему могут собрать и использовать достаточно информации, чтобы создать ваш цифровой профиль.

В этом разделе вы найдете перечень основных расширений для браузера Firefox Quantum, которые вас обезопасят. Если вы выбрали другой браузер, для него можно поискать аналогичные решения.

Обращаю ваше внимание, что список далеко не полный. К тому же, некоторые функции могут присутствовать сразу в нескольких расширениях. Обычно они между собой не конфликтуют, но имейте в виду, что иногда что-то может не работать. Я бы рекомендовал устанавливать расширения по одному и проверять, всё ли работает как надо, прогрузив пару-тройку страниц.

Итак, приступим:

1. Менеджеры файлов cookie

В этой категории много расширений. Сам я пользуюсь Cookie AutoDelete, — вам может понравиться что-то другое. Активируете его, и файлы cookie будут удаляться при закрытии браузера или по истечении заданного срока.

После этого сайтам и рекламным компаниям будет сложнее отслеживать вас при помощи файлов cookie, поскольку при каждом посещении сайта вы будете выглядеть как новый посетитель. Есть и обратная сторона медали:
входить в аккаунт придется каждый раз при открытии браузера, потому что сеансовые куки тоже будут удаляться. Не очень удобно, но кто сказал, что будет легко?

2. Блокировщики скриптов

Вот несколько популярных расширений для блокировки ненужных отслеживающих скриптов (в произвольном порядке):
uMatrix, NoScript, uBlock Origin, AdBlock.

Первые два более гибкие, однако требуют некоторого изучения и настройки. Они по умолчанию «ломают» множество сайтов, так как блокируют все скрипты подряд. Нужно будет определить, что разрешать, а что блокировать. Сам я пользовался и NoScript, и uMatrix, но остановился на последнем.

AdBlock и uBlock подойдут лучше всего, если не хочется тратить время на изучение принципов их работы и просто начать более защищенно проводить время в интернете. Настраивать ничего не надо, но иногда они не обеспечивают тот же уровень конфиденциальности, что uMatrix или NoScript.

3. Подмена заголовка User-Agent

Много расширений и для замены информации об операционной системе и браузере. Проблема в том, что ОС и версий браузеров так много, что для тех, кто хочет вас идентифицировать, достаточно одной этой информации.

Оранжевым на диаграмме ОС отмечены версии Windows. Как видно, самая популярная — седьмая. Если же посмотреть на версии браузеров, ситуация куда разнообразнее:
производители штампуют новые, как пирожки.

Слева — распределение версий браузера Firefox по базе сайта amiunique.org, справа ― распределение версий браузера Chrome.

Здесь у меня нет особого фаворита. Пока что я пользуюсь User Agent Switcher:
он позволяет установить в заголовок значение на ваш выбор, а может время от времени менять его на случайное.

4. Шифрованное соединение

Замечали, что некоторые адреса сайтов начинаются с http, а некоторые — с https? HTTP — это сокращение от HyperText Transfer Protocol (англ. ‘протокол передачи гипертекста’), он определяет то, как компьютеры обмениваются данными через интернет.

Добавьте в конец слово Secure (англ. ‘защищенный’), и станет понятно, что означает HTTPS. Когда вы заходите на сайт, адрес которого начинается с этой аббревиатуры, содержимое ваших запросов зашифровывается. Даже если кто-то перехватит ваш запрос, ему будет очень сложно понять, какие данные вы передали.

К сожалению, не все сайты реализуют автоматическое перенаправление HTTP-ссылок на HTTPS-ссылки, а значит ваши перемещения в Сети видны всем, кто может перехватить ваш трафик.

К счастью, расширение HTTPS Everywhere решает эту проблему и автоматически перенаправляет на зашифрованные версии сайтов (если они существуют).

5. Борьба с идентификацией по элементу canvas.

Есть два решения. Можно:

• заблокировать любую активность Canvas API;
• менять результат цифрового отпечатка каждый раз, когда к нему обращаются.

В долгосрочной перспективе лучше всего первый вариант:
он не выдает дополнительной информации. Однако, поскольку мало кто об этом знает, отсутствие в браузере цифрового отпечатка по сanvas само по себе идентифицирующая информация.

Другой вариант ― время от времени менять цифровой отпечаток, чтобы казалось, будто это разные люди.

Для этой цели отлично подойдет расширение CanvasBlocker. Оно имеет обе описанные опции. Какую из них выбрать, решать вам.

6. Подмена заголовка Referer

Этот заголовок отправляется с каждым запросом, указывая откуда запрос пришел (на каком сайте размещалась ссылка на запрошенную страницу). Его можно использовать, чтобы отследить ваши перемещения в Сети и понять, с каких сайтов и на какие вы переходите.

Однако заголовок можно изменить, чтобы никто кроме вас (или других пользователей компьютера) не знал о ваших перемещениях.

Вышеупомянутое расширение uMatrix умеет и подменять заголовок Referer. Если вы им не пользуетесь, поищите в расширениях браузера «referer spoof» и выберите какое-нибудь другое.

7. Очистители ссылок

Заголовок Referer ― самый современный способ узнать, откуда пришел человек, но чаще всего активность отслеживают через параметры URL. Параметры указываются после знака вопроса и содержат различные типы данных.

Взгляните на эту ссылку: http://meyerweb.com/eric/thoughts/2..._source=frontendfocus&utm_medium=email&page=2

Здесь три параметра:
_source, utm_medium и page. Когда вы нажимаете на ссылку, значения параметров (указаны после знака равно) отправляются на сервер. Задумывались когда-нибудь, что значат параметры с utm_ в начале? Они связаны с Google Analytics.

Не все параметры запроса нарушают конфиденциальность. Некоторые необходимы для корректной работы сайта (например, параметр page). Удалить большинство параметров, которые используются для отслеживания, поможет расширение Link Cleaner.

Что дальше?

Я попытался раскрыть основные аспекты конфиденциальности в интернете. Они должны заложить прочную основу для дальнейшего изучения этой темы. Однако тема настолько широкая, что трудно охватить все в одной статье.

К тому же, в основном я говорил о безопасном и конфиденциальном посещении веб-страниц, но конфиденциальность важна если вы постоянно пользуетесь электронной почтой, файлообменниками и другими интернет-службами.

И помните:
одно дело сознательно делиться информацией с окружающими и совсем другое, когда ее собирают без нашего ведома и согласия.

Не пренебрегайте конфиденциальностью!


Полезные ссылки
PrivacyTools ― исчерпывающий ресурс о конфиденциальности. Содержит ссылки и рекомендации на различные сервисы.


BrowserLeaks анализирует браузер на возможность утечки IP-адреса, идентификации по элементу canvas, доступ к информации о системе через Flash-плеер и другие проблемы с конфиденциальностью.

Panopticlick проверяет, насколько ваш браузер защищен от отслеживания, и составляет отчет о том, что выдает о вас больше всего информации.

AmIUnique — альтернатива предыдущему сервису. Содержит также некоторую статистику по разным параметрам анализа.

Firefox Hardware Report — еженедельный отчет об аппаратном обеспечении, которым пользуется репрезентативная выборка пользователей интернета.

Screen Resolution tracking — интересное обсуждение о том, как вас могут подвести размер экрана или окна браузера.

 

[morgenstern52]

Это все работает, если тебя друг не сдаст) в основном то залетают по человеческому фактору)

 

[morgenstern52]

Или сам где нибудь похвастался