Многие полагают, что устройства шпионят за людьми, используя полученные данные в лучшем случае для продажи товаров и услуг, а в худшем — во вред. Однако принципы сбора информации сегодня устроены гораздо сложнее, отмечают эксперты. И зачастую к слежке приводит беспечность владельцев устройств. Как защитить свою технику от шпионажа — в материале «Известий».
Тотальная слежка
Персонализированная реклама сегодня знает о пользователе очень многое — его интересы и предпочтения, планы и потребности. Сложилось мнение о том, что гаджеты шпионят, собирая всю необходимую информацию с помощью прослушки. На самом деле процесс агрегации данных устроен куда сложнее. О том, как именно устройства следят за пользователями, на Positive Hack Days рассказали эксперты.
— Наверное, было бы проще считать, что нас прослушивают, но телефоны собирают о нас гораздо больше информации, чем просто наши разговоры. Для того чтобы понять, кто мы и чем мы увлекаемся, запись нашей речи не нужна, — обращает внимание независимый эксперт Ольга Свиридова.
Существует несколько способов для слежки за пользователями. В первую очередь данные собираются через мобильные приложения. Информацию удается получить с помощью социальных сетей, различных игр и других сервисов.
— Они знают, какой у человека телефон, сколько на нем процентов заряда, какая операционная система, уровень яркости, подключен ли он к Wi-Fi, какой сотовый оператор. Всё это позволяет собрать идентификатор устройства, на основе которого выстраивается персонализированная реклама, — перечисляет Свиридова.
Эта информация в дальнейшем передается маркетологам, которые составляют профили людей. Огромный пласт данных, определяющий пользователя как конкретного человека, собирает любая, даже самая простая игра.
Кроме того, получать данные можно с помощью cookie-файлов, дополняет эксперт. Они позволяют узнать историю посещения страницы, как долго пользователь скроллил ленту, какие публикации и разделы сайта ему интересны и так далее. Все эти данные также аккумулируются и помогают составить уникальное представление о человеке.
Сегодня, впрочем, большинство браузеров защищают пользователей от отслеживающих cookie. Однако технологии тоже не стоят на месте. Одна из них позволяет сделать слепок (отпечаток) браузера, который может сказать о человеке куда больше, чем cookie.
— Благодаря слепку браузера компании знают, какой у человека компьютер, какие на нем стоят программы, есть ли на нем заряд и так далее, — отмечает Свиридова.
Из совокупности активности в интернете складывается поведенческий портрет. Благодаря собранным данным можно прогнозировать, что понравится человеку, а также соотнести информацию с поведением другого человека, имеющего те же самые приложения и интересы.
Еще одно популярное направление — отслеживание через Wi-Fi, указывает эксперт.
— Если он включен, телефон постоянно посылает во внешний мир сигналы, благодаря которым раскрывается геопозиция. Это позволяет узнать, как человек передвигается по городу. Кроме того, благодаря Wi-Fi можно выяснить, что два человека проводят время вместе. И социальный профиль позволяет понять, что они состоят в каких-либо отношениях, — разъясняет Свиридова.
А через окружение человека его можно отследить с помощью отметок в социальных сетях на фотографиях, пересланных в диалогах ссылках и т.п. Соответственно, реклама, которая может понравиться другу пользователя, отобразится и у него самого.
— Механизм, который помогает определить, что два человека имеют похожие интересы, называется look-alike, и с его помощью маркетологи сегодня и приносят доход компаниям. Собственно, все эти огромные агрегированные данные помогают маркетологам знать о вас намного больше, чем просто разговор возле умной колонки, — подчеркивает эксперт.
Антишпион
Защититься от подобной слежки сегодня все-таки возможно. Для этого на телефонах и компьютерах существуют различные настройки конфиденциальности, указывает Ольга Свиридова.
— Во-первых, в настройках конфиденциальности и отслеживания можно запретить приложениям собирать геолокацию, доступ к фото и другой информации. На iOS, например, в последний год стала популярна функция отключения слежения сторонних библиотек. На Android при выборе соответствующих настроек можно сделать то же самое, — перечисляет она.
Кроме того, в обеих операционных системах можно отключить персонализированную рекламу. Это не значит, что данные о пользователе прекратят агрегироваться. Однако устройство перестанет получать таргетированную рекламу.
— Практически все современные браузеры позволяют автоматически защищать пользователей, блокируя отслеживающий путь. Однако они не помогают обезопасить себя от сбора слепков, которые сегодня более популярны, чем отслеживающие группы, — предупреждает Свиридова.
Можно защититься и от отслеживания с помощью Wi-Fi, дополняет она. Для этого и на Android, и на iOS можно установить частный MAC-адрес.
— С помощью этой функции телефон, каждый раз сканируя Сеть, генерирует новый идентификатор, который посылается на устройство. И тем самым рекламные компании, которые занимаются агрегацией таких данных, не смогут вас определить, — обращает внимание эксперт.
Горе от ума
Однако слежка за устройствами используется не только рекламными компаниями. Применять полученные данные в своих целях могут и хакеры, предупреждает генеральный директор «Инфорус» Андрей Масалович. Это грозит человеку физическим вредом и репутационным ущербом. Но также с помощью захваченных устройств можно атаковать другие, более серьезные. Такие действия становятся полноценным элементом кибервойны.
Примечательно, что разрозненные атаки на устройства IoT (интернета вещей) затрагивают одни и те же вектора уязвимостей. В первую очередь страдают устройства с паролем по умолчанию и логином «админ». Само устройство при этом при работе с Wi-Fi посылает в Сеть открытые учетные данные.
«Сливать» данные могут, например, умные весы. Обычная плита способна читать, писать и рассылать от имени пользователя СМС. А чайник или кофеварка могут раскрыть пароль от Wi-Fi, перечисляет эксперт.
— Те, кто создают такие устройства, не понимают основ кибербезопасности. Это систематическая проблема, потому что разработчикам важно, чтобы устройство включилось и заработало, а что при этом необходимо проверять, они не знают, — подчеркивает Масалович.
По этой причине в топ-5 кибератак прошлых пяти месяцев вошли сразу две атаки, связанные с интернетом вещей. Одну из них так и назвали «умный дом». Ее удалось осуществить с помощью нового трояна, захватившего миллионы устройств управления умными домами. В дальнейшем техника использовалась для шпионажа внутри дома.
— Мы живем на планете, в которой захватить можно практически любое устройство, содержащее батарейку. Как правило, цели у хакеров — сбор данных и кибератаки, направленные на выведение устройств из строя, — указывает Масалович.
Важно понимать, что атаки на интернет вещей — часть более сложного, комплексного процесса, представляющего собой кибервойну, подчеркивает он. Любые предметы могут быть использованы как его часть, поскольку существуют трояны, способные атаковать устройства физического мира.
Интеллектуальная атака
Ситуация лишь усложнится с появлением искусственного интеллекта, предостерегает Андрей Масалович. Нейросети пока не удалось приспособить для освобождения людей от рутинной работы. А вот использовать ИИ во вред получается уже сейчас.
Эксперт прогнозирует несколько видов кибератак с применением искусственного интеллекта, которые станут популярны в будущем. Всего этих направлений пять. И первое — атаки на голосовых помощников и умные устройства.
Можно, в частности, генерировать аудиозапросы, имитирующие голос человека. В том числе с помощью реалистичных дипфейков, которые возможно создать в короткий срок. И такой синтез голоса пройдет любую экспертизу.
— Можно также собрать типовые команды, которые отдавал человек устройству, и использовать их в интересах хакера. При этом уже сегодня создаются аудиосигналы на границе слышимых частот, которые человек не будет воспринимать как голосовое сообщение, а устройство будет. И команда, которую можно таким образом отдать, может быть любой. Например, перевести все деньги со счета хакеру, — отмечает Масалович. Такие векторы атак уже появились и будут развиваться в будущем.
Возможны также атаки через промышленный искусственный интеллект. Речь идет о заражении моделей машинного обучения на заводах путем подмены телеметрии.
Допускает эксперт и атаки через автономные скрипты. Сегодня каждая крупная компания старается создать собственную экосистему, основу которой составляют микросервисы. Каждый из них должен быть защищен, потому что без должной защиты ансамбли таких агентов можно использовать для атаки. И с точки зрения пользователя в этом случае работа сервисов отличаться не будет.
Еще один вариант, по словам Масаловича, — «отравление» данных. Вредоносную информацию можно подготовить заранее на этапе машинного обучения.
— Можно «отравить» данные так, чтобы их не узнавала настроенная нейросеть. Например, зашумить фотографию так, чтобы искусственный интеллект больше не распознавал на ней человека. Хотя для пользователя фотография будет выглядеть так же, как и прежде, — разъясняет эксперт.
Опасным вариантом атак будет создание синтетических идентичностей, дополняет он.
— С помощью дипфейков можно генерировать персонажей, которые будут выглядеть как ваши клиенты, соискатели, партнеры, начальники или родственники. И человек не будет понимать, что общается не с реальной личностью, потому что уже сегодня технически это почти невозможно определить, — убежден Масалович.
С таким мошенничеством, однако, довольно просто бороться. Для этого, по его словам, необходимо отработать несколько кодовых фраз для общения с разными людьми.
— Это необходимо, чтобы в случае звонка сказать эту кодовую фразу и получить ответ. То есть фактически ввести в разговор логин и пароль. Потому что сегодня люди, по сути, запускают в свою жизнь пользователя без аутентификации, начиная разговор с человеком, которого не проверили, — подчеркивает эксперт.
