Тег: приватность

Ваш аккаунт больше не принадлежит вам: что стоит за блокировкой СМС в России

Недавний кейс из России: гос. власти начали массово фильтровать входящие СМС-сообщения с кодами авторизации от популярных мессенджеров вроде Telegram и WhatsApp. Фактически это означает, что если вы хотите зарегистрироваться или даже просто снова зайти в свой аккаунт, СМС с кодом вам не придёт. Почему так?

Это не борьба с мошенниками и спамом, как уверяют чиновники, а вполне осознанная попытка стационарного бандита полностью заблокировать Telegram, не прибегая к грубым методам, которые уже много раз проваливались. Telegram уже много лет технически противостоит попыткам Роскомнадзора его заблокировать, не сотрудничает с властями РФ в вопросах удаления неудобного контента и не раскрывает им данные своих пользователей. Государство, не сумев заблокировать приложение напрямую, решило нанести удар через операторов связи, препятствуя отправке кодов авторизации. Простая и эффективная (на первый взгляд) тактика: нет кода – нет аккаунта. В результате пострадали миллионы обычных пользователей. Власти традиционно использовали аргумент «заботы о гражданах», чтобы скрыть истинную цель – получение полного контроля над коммуникацией населения.

Cтоит в целом задаться вопросом: почему привязка к номеру – это плохо? Для властей номер телефона – как паспорт, только цифровой. Получить симку без паспорта тяжело, а значит, любая ваша активность онлайн сразу привязывается к вам лично. Более того, существует SIM-swapping: мошенники (или вовсе спецслужбы) могут перевыпустить вашу симку и получить доступ ко всем вашим аккаунтам. Даже использование сервисов анонимной аренды номеров для регистрации вроде Onlinesim – это не панацея. Эти виртуальные номера часто помечены системами антифрода и блокируются при регистрации, восстановление доступа к аккаунту невозможно после окончания аренды номера, также существует риск ведения логов и передачи/утечки их в спецслужбы.

Но как же быть со спамом, если не по номеру? Хорошая новость – методов масса, и многие из них лучше:

1) Капчи и тесты на человечность. Да, бывает раздражает выбирать картинки с автобусами, но это лучше, чем отдавать стационарному бандиту свои персональные данные.

2) Proof-of-work. Небольшая техническая хитрость: устройство пользователя незаметно выполняет короткую математическую задачу при регистрации, требующую вычислительных мощностей. Для одного человека это легко, а для массовых ботов – ад, что делает их использование невыгодным для злоумышленника.

3) Ограничение новых аккаунтов. Новые пользователи не могут сразу рассылать тысячи сообщений, например, в течении 24 после регистрации. Спамеры теряют интерес, а обычные люди этого даже не замечают.

4) Система репутации и модерация сообществ. Если на какой-то аккаунт поступает много жалоб за рассылку спама, он блокируется.

5) Технические ограничения (по IP, идентификатору устройств, отпечаткам браузера). Хорошая платформа легко вычислит множественные автоматические регистрации и не допустит их.

6) Платная верификация в криптовалюте без раскрытия личности. Пусть спамеры платят за свои развлечения, а честному человеку не жалко потратить несколько центов на вход, если это гарантирует анонимность.

Так что же делать? К счастью, мир не сошёлся клином на Telegram и WhatsApp. Существуют мессенджеры, созданные людьми, которые понимают ценность приватности.

Session – полная анонимность без централизованного сервера.
Threema – швейцарская конфиденциальность. Приложение платное (порядка $5 разово), но не требует ни номера, ни даже e-mail.
Briar – даже если вам отрубили интернет, он найдёт соседа по Bluetooth, что очень важно для участников протестов.

Почему это важно для всех нас? Свобода коммуникации – это самое базовое условие любой свободы. В мире, где государства пытаются цифровыми наручниками привязать каждого человека к номеру телефона, любая попытка сохранить анонимность уже становится маленькой революцией. И запомните: либо вы контролируете свои данные и свою личность, либо государство сделает это за вас!

Волюнтарист, Битарх

Как государство помогает хакерам красть наши данные

Кому-то может казаться, что регулирование безопасности – необходимое для общества дело. Однако в реальности из-за действий регуляторов всё происходит с точностью до наоборот – бесконечные проверки и отчёты по безопасности, которые вроде должны нас защищать, на самом деле делают ровно обратное. Компании тратят бешеные деньги и кучу времени, чтобы казаться защищёнными перед чиновниками. А на настоящую защиту данных уже не хватает ни сил, ни нервов, ни бюджета. Результат? Очередной взлом, очередная утечка.

Например, вспомним 23andMe. Крутые ребята делают тесты ДНК, чтобы ты узнал, что ты на 3% монгол, на 5% швед, а на 92% – обычный человек, которому просто нечем заняться вечером в пятницу. Казалось бы, должны охранять данные как Форт-Нокс. Только вот в позапрошлом году хакеры вытащили почти половину всех пользовательских данных, и теперь миллионы генетических профилей гуляют по интернету.

Думаете, это исключение? Нет, это скорее правило. Возьмём наш Сбер. Казалось бы, крупный банк, законы жёстче стали, необходимо постоянно отчитываться. А тут – бац, утечка данных 52 миллионов клиентов. И это только из программы лояльности «Спасибо». Видимо, клиенты сказали банку спасибо, но кое-кто решил, что «на здоровье» – это про то, что их данные разлетелись по даркнету.

Но и это не всё. Помните «Яндекс.Еду»? Там вообще был анекдотический случай: доставили пиццу кому-то в секретную квартиру сотрудника ФСБ. Утечка данных из сервиса раскрыла адреса известных людей и сотрудников силовых структур. Так государство ненароком само себе наступило на хвост. Получилось даже смешно, но не тем, чьи адреса стали общедоступны.

Почему так выходит? Потому что регуляторы любят ставить галочки. Они обожают бумажки и отчёты. Условный Вася из отдела безопасности тратит 70% времени на отчётность, и только 30% на борьбу с реальными угрозами. И вот хакеры ломают защиту, которую никто не успел укрепить, пока Вася пытался понять, как заполнить очередную форму в Роскомнадзор. Получается замкнутый круг: взломали → штраф → ещё больше отчётов → снова взломали.

А государство только подбрасывает дровишек. Помните «пакет Яровой»? Телеком-компании вынуждены хранить гигантские объёмы данных, тратя миллиарды рублей. А теперь угадайте, кто слизывает слюнки, глядя на эти огромные массивы данных? Правильно – хакеры. Потому что собрать всё это в одном месте – это как поставить огромный сейф посреди города и повесить записку: «Дорогие воры, тут ценности, мы их не охраняем, потому что деньги ушли на покупку сейфа».

Конечно же, в США картина примерно такая же. Утечки медицинских данных там уже стали народным спортом. За прошлый год слилось столько записей, что их можно подарить каждому американцу по несколько штук на человека. Взлом Equifax, гиганта по кредитным историям – это вообще «классика жанра». 147 миллионов записей уплыли в руки преступников, а компания получила штраф в $700 млн. Представляете, на сколько бы можно было улучшить безопасность, если бы эти деньги заранее пустили в дело, а не в бумаги и штрафы? Мораль тут простая: чем больше стационарный бандит насильно «защищает» наши данные, тем чаще эти данные теряются.

Итак, что же делать? Наверное, меньше заставлять компании тратить силы на бессмысленное заполнение бумажек. Вместо сотен обязательных проверок пусть будет один чёткий стандарт: «Защити данные или плати, но уж не отчётами, а деньгами». И компании сами найдут лучший способ. А то сейчас получается анекдот про слона в посудной лавке: государство топает ногами, посуда разбивается, а виноват, конечно, слон. Поэтому необходимо обходиться лишь простыми и понятными правилами. Регуляторы всё равно приходят и уходят, а наши данные почему-то остаются гулять по сети навсегда!

Волюнтарист, Битарх

Слишком дорогая приватность: как благие намерения чиновников разрушают интернет

Знаете, в чём разница между хорошими намерениями и реальным результатом? Разумеется, в количестве сломанных судеб. Когда ЕС и США запускали постановления GDPR и CCPA для защиты персональных данных, всё звучало красиво: «Мы защитим ваши данные от злобных корпораций!» Россия со своим ФЗ-152 тоже подтянулась с идеей, мол, защитим граждан от цифровых разбойников и западных агентов. Задумка выглядела неплохо, но что получилось в итоге?

Парадокс первый: ваши данные по-прежнему гуляют по сети, как кот по крышам весной. Утечки? Каждый год побивают рекорды! Только представьте, с GDPR в Европе случилось более 160 тысяч утечек за первые полтора года. В России ситуация вообще анекдотичная: данные почти всех взрослых граждан уже слиты в сеть. И о какой защите в данном случае идёт речь?

Парадокс второй: законы вроде бы против гигантов рынка, но именно они оказались в выигрыше. У Google и Facebook после введения GDPR доля рынка рекламы только выросла. Почему? У них просто хватает денег на армию юристов и технарей, что не по карману другим. Да и комплаенс с GDPR или CCPA стал кошмаром для малого бизнеса и стартапов, многие этого попросту не потянули и закрылись.

Парадокс третий: вместо роста доверия мы получили лишь раздражение от бесконечных баннеров про cookies и запросов разрешения на каждый чих. Люди не читают – просто жмут «Согласен». Это как те условия банка, которые никто не читает, а потом удивляется: «Как это я задолжал за обслуживание счёта в 5 тысяч рублей в месяц?».

Ещё один неприятный момент – локализация данных. В России закон требует хранить данные граждан на локальных серверах, якобы для защиты информации от западных спецслужб. Результат? Вместо Google или LinkedIn россияне получили локальные аналоги с сомнительной безопасностью и низким качеством сервиса. Это похоже на то, как если бы вас заставляли покупать хлеб только в одном магазине, мотивируя тем, что это «безопаснее». Но когда выбора нет, качество обычно падает, а цена растёт.

Есть и забавные примеры: многие американские сайты просто заблокировали доступ из ЕС после GDPR, решив, что европейские пользователи «слишком дорогие» в обслуживании. Представьте, вы хотите зайти на любимый ресурс, а он говорит вам: «Извините, вы слишком дорогой клиент, до свидания!» Абсурд? Да, но такова новая реальность защиты данных.

Что же нам делать? Либертарианский подход вместо удушающего госрегулирования предлагает здравый смысл и рыночные механизмы. В первую очередь это добровольные стандарты вместо бюрократии. Пусть бизнес сам выработает эффективные правила защиты данных. А если потребителям что-то не понравится – они уйдут к конкурентам, кто уважает приватность. Ведь если компания косячит – рынок её накажет, клиенты уйдут, а прибыль упадёт. Работает эффективнее любой проверки Роскомнадзора и штрафов.

Но что поможет лучше всего – использование технологических решений вместо бумажной волокиты. Например, сквозное шифрование, при котором доступ к вашим сообщениям и файлам есть только у отправителя и получателя. Даже если данные попадут в чужие руки, взломщик просто увидит бессмысленный набор символов. А ещё один важный подход – минимизация сбора данных. Зачем собирать все данные подряд, если достаточно получить лишь минимально необходимые?! Для большинства сервисов в сети хватит лишь логина и пароля. Чем меньше данных, тем меньше рисков. А ещё – децентрализованное хранение. Вместо одной большой базы данных, которая манит хакеров, можно распределить информацию по многим независимым точкам, усложняя жизнь злоумышленникам в разы. Короче говоря, технологии позволяют защитить приватность гораздо эффективнее, чем государственные законы и бесконечные проверки.

Как видим, хорошее намерение не равно хорошему закону. Чиновники хотели как лучше, но получили, как обычно. Давайте лучше доверять людям и бизнесу, а не бюрократам и навязанным ими инструкциям!

Волюнтарист, Битарх