Обезопасились?

Вот печётесь вы всё о безопасности персональных данных, возмущаетесь тому, что поломали все облачные хранилища какого-то журналиста, взломали почту политика, или опубликовали всю базу пользователей известного сервиса. А на самом деле защищённой не является ни одна система, и ни один секрет не является секретом, если о нём знают больше одного человека.

keyloggers

Человеческий фактор

Если говорить о последнем громком взломе — то слабым звеном оказались именно работники служб технической поддержки сервисов, в которых несчастный Мэтт Хонан хранил свои данные. Причём достаточно было знать только имя и адрес электронной почты — остальную информацию прямо или косвенно злоумышленникам выдали сами сотрудники сервисов. Подробнее об этом инциденте прочитать можно в статье на Хабре.

Операционные системы и программное обеспечение 

Авторы коммерческих операционных систем даже не скрывают, что встраивают бэкдоры специально для ФБР, АНБ и других американских правительственных организаций.

Для Windows, например, существует специальный диск, позволяющий добыть данные с компьютера, не зная реквизитов доступа и игнорируя иерархию прав доступа. Apple тоже не скрывает сотрудничества с правительством в области контроля за деятельностью популяции.

Правительственные структуры требуют встроить бэкдор в Skype, чтобы беспрепятственно прослушивать разговоры и читать переписку. Свободное программное обеспечение с открытым исходным кодом тоже не гарантирует безопасности — недавно ФБР попыталось внедрить модификацию в OpenBSD, чтобы мониторить траффик, проходящий через VPN соединения.

Перри признался в сотрудничестве с ФБР: он был консультантом в ФБР-овском криптографическом проекте GSA Technical Support Center, занимавшимся обратным инжинирингом криптомодулей и внедрением бэкдоров в смарт-карты и другие устройства.

Перри утверждает, что срок его договора о неразглашении с ФБР истёк, так что он может признаться: в 1999-2001 гг его бывший работодатель получал деньги от ФБР и внедрял бэкдоры в код OpenBSD Cryptographic Framework (OCF) с целью мониторинга VPN-соединений.

Хабрахабр

Перехват траффика (снифферы)

Даже непродвинутый пользователь знает, что траффик можно перехватить, особенно в небезопасных сетях в общественных местах. Достаточно много людей ничуть не сомневаясь, авторизуются на сайтах, пересылают сканы паспортов, номера кредитных карт, пароли прямым текстом. Многие сайты принудительно перенаправляют заблудших овец на страницы с зашифрованным соединением, но не все.

Кейлоггеры

Кейлоггер — это специализированная программа, сохраняющая всё, что вводит пользователь на клавиатуре, и пересылающая данные заинтересованным лицам. Рано или поздно введут и пароль от почты, например, или от зашифрованного контейнера с секретной информацией. В предустановке кейлоггеров на новые компьютеры была замечена компания Samsung.

Существуют и аппаратные кейлоггеры, как кустарного производства, так и серийного. Эта штука вставляется как переходник, между портом подключения к компьютеру и клавиатурой, и собирает подробный отчёт о действиях пользователя. Например, их можно купить здесь. А этот обзор написан ещё в 2010 году.

Кейлоггеру не обязательно быть таким заметным. Он может быть выполнен в виде карты расширения для ноутбука, или вообще встроен в материнскую плату. Многие из нас обнаружат присутствие лишней микросхемы?

Счётчики, баннеры

Всем известно, что многие поисковые и рекламные компании, а чаще компании, занимающиеся и тем, и другим, отслеживают путешествия по Интернету, с целью сделать рекламные объявления соответствующими интересам сёрфера. Попробуйте поискать какой-либо распространённый продукт, его описания и отзывы. Потом отключите блокировщик рекламы — и в появившихся рекламных блоках увидите объявления о продаже продукта.

Весьма неожиданно в роли шпионов выступили счётчики посетителей, нерадивыми разработчиками устанавливаемые и в закрытых разделах сайтов. В итоге половина аудитории рунета угорала, читая SMS, отправленные с сайта оператора мобильной связи или изучая списки покупок секс-шопа.

Бэкдоры в чипах

В китайском микрочипе Microsemi/Actel ProASIC3 обнаружились команды, которые позволяли выключить шифрование на микросхеме, получить данные или вывести чип из строя. А сам процессор используется американскими военными, на атомных электростанциях и в других местах, требующих повышенной защиты от радиации у электроники. Выводы делайте сами.

Перехват ван Эйка

Наверное, самый красивый способ перехвата данных. Особенно красиво он описан в культовой программерской книге Нила Стивенсона «Криптономикон».

Суть, вкратце, такова. Любой электрический прибор при работе создаёт электромагнитное поле, в том числе и монитор. При помощи телеантенны поле можно уловить и превратить в изображение. Что японцы и демонстрируют на следующем видео.

Документально перехват подтверждён только для ЭЛТ-мониторов, но, думаю, для ЖК — вопрос только техники и программирования.

Безопасное хранение данных — это вопрос общей ответственности и базовых знаний компьютера. Я помню времена, когда PGP была установлена у всех, люди знали, что такое файрволл и не посещали сомнительные ресурсы. Закончить заметку хочу английской пословицей: «Не говори и не пиши того, чего не можешь сказать полицейскому».