Битва за приватность уже проиграна: за вами будут следить, а ваши секреты — раскроют
Защищать неприкосновенность частной жизни от корпораций, государственных органов и даже просто частных лиц с каждым годом становится всё труднее. Ситуацию (которая, на самом деле, куда сложнее, чем принято считать) не спасают ни протесты, ни законы, ни предосторожности. И не могут спасти, потому что битва за приватность уже проиграна.
Первое заблуждение: если не болтать, никто ничего не узнает
Разговоры о приватности в интернете часто сводятся к обсуждению социальных сетей, пользователи которых публикуют неразумно много сведений о себе. Можно подумать, что это единственный канал, по которому утекает персональная информация, и если держаться от него подальше, то всё будет хорошо.
Это ошибочное мнение. Социальные сети — очень заметная, но далеко не единственная причина утечек. Если перестать пользоваться социальными сетями и удалить из Сети свои фотографии и посты, ситуация улучшится, но не сильно. Персональная информация продолжит утекать другими способами.
Ни один клик по ссылке в интернете не проходит бесследно. Первым о нём узнаёт провайдер, с помощью которого компьютер подключён к Сети. Именно к провайдерам, как правило, обращаются правоохранительные органы, чтобы выяснить имя анонима.
Следующую порцию информации о пользователе получает сайт, к которому он обратился. В большинстве случаев веб-серверы ведут журнал обращений, сохраняя в нём всю полезную информацию, которую сообщил браузер (а она, как мы скоро выясним, совсем не безвредна). Кроме того, многие сайты помечают браузеры с помощью кук, чтобы узнать их при повторном обращении.
Ситуацию усложняет то, что некоторые компоненты сайта могут располагаться на серверах других компаний. Кнопки Facebook, «Вконтакте» и Twitter, стоящие в конце этой статьи, загружаются не с нашего сервера, а с серверов соответствующих соцсетей. Даже если вы не нажмёте на них, Facebook, «Вконтакте» и Twitter всё равно узнают, что вы посетили эту страницу.
То же самое относится к рекламным баннерам, в том числе текстовым. Обычно они запрашиваются с серверов крупных рекламных сетей, используемых тысячами сайтов. А ещё есть системы анализа посещаемости вроде Google Analytics, которые узнают, какие страницы вы открываете, с помощью невидимых «жучков», встроенных в HTML-код.
Один клик — и очередную крупицу информации о ваших интересах и пристрастиях узнали провайдер, сайт, соцсети, системы анализа посещаемости и баннерные сети. Все они, скорее всего, сохранили её, сверили с данными, которые были накоплены прежде, и при случае попытаются пустить в ход.
Досье, собранное таким способом, крайне ценно, даже если в нём нет имён и фотографий. Если сравнить его содержание с информацией о других пользователях, выяснится, что многие из них похожи друг на друга. Группируя чем-то похожих пользователей и анализируя их особенности, можно сделать очень интересные выводы и узнать такие вещи, о которых они никогда бы не рассказали по собственной воле.
Около года назад газета New York Times описала, как американская сеть магазинов Target анализирует информацию о своих покупателях, чтобы определить, кто из них ждёт ребёнка. Маркетологи Target предположили, что во время беременности покупательские привычки меняются, и есть шанс превратить будущих родителей в постоянных клиентов. Но как определить, когда такой шанс открывается?
Target хранит грандиозную базу данных, содержащую список покупателей и их покупок (она пополняется при оплате кредиткой, использовании дисконтной картой и т.д.). Аналитики компании выделили часть базы со списком покупательниц, о которых известно, что у них уже родился ребёнок, и стали изучать, чем отличаются покупки, которые они делали до беременности, от покупок во время беременности.
Оказалось, что в первые двадцать недель беременности многие покупают минеральные пищевые добавки. Другой признак: они начинают приобретать вату и мыло без запаха в куда больших количествах, чем прежде. Если несколько подобных признаков совпадают, то вероятность того, что покупательница беременна, очень велика. А значит, можно бомбардировать её рекламой и скидочными купонами на товары для новорожденных.
Они не сообщали Target о своей беременности, но это не помешало компании разгадать их секрет и воспользоваться им. Причём это произошло в офлайне, где собирать персональные данные пока что куда сложнее, чем в интернете!
Второе заблуждение: проблемы с приватностью есть только в интернете
История с анализом данных в Target опровергает это заблуждение, но есть и другие примеры. Офлайновые технологии в смысле утечек ничем не лучше интернетных.
Возьмём, к примеру, мобильные телефоны. В отличие от браузера, у каждого мобильника есть уникальный идентификатор — телефонный номер. Браузерные куки при желании можно обнулить, но с телефонным номером такой трюк не пройдёт. При этом он, как правило, привязан к настолько подробной информации о пользователе, какая социальным сетям и не снилась — вплоть до номера паспорта.
Идеолог свободного софта Ричард Столлман называет мобильные телефоны приспособлениями для слежки и отказывается носить их с собой. Столлман, конечно, луддит и параноик, но спорить с ним трудно. Мобильный телефон действительно является приспособлением для слежки. Он не способен работать, не уведомляя оператора связи о каждом шаге своего обладателя.
Мобильные телефоны постоянно ищут в окрестностях базовые станции сотовой связи и пытаются к ним подключиться. Каждое подключение фиксируется оператором. Этих данных достаточно, чтобы определить, где обладатель телефона находится сейчас, и где он был в прошлом. Как и любая крупная телекоммуникационная компания, операторы сотовой связи тесно сотрудничают с правоохранительными органами и спецслужбами, так что это совсем не теоретическая возможность.
Та же самая проблема на другом уровне возникает при использовании встроенных в современные смартфоны алгоритмов геопозиционирования. Определение местоположения по спутникам GPS — довольно долгое занятие, поэтому в смартфонах для позиционирования часто сочетают GPS с триангуляцией координат по списку доступных сотовых вышек и беспроводных сетей. Поскольку ни в одном мобильнике не уместится список всех беспроводных сетей мира, необходимые данные загружаются из интернета по мере надобности. Это выдаёт местоположение пользователя сервису, которые предоставляет такие данные.
Помните странную историю про айфоны, якобы без разрешения собиравшие данные о перемещениях своих владельцев? Причиной небольшого скандала, в который пару лет назад втянули Apple, была именно эта проблема. «Собранные данные» оказались всего лишь списком сотовых и сетей Wi-Fi, необходимым для быстрого вычисления местоположения методом триангуляции. Поскольку он скачивался по мере надобности, в него попадали лишь те места, где бывает владелец телефона. Нарушение приватности? В определённой ситуации — возможно. Но другого решения нет. Список так или иначе нужен, и он слишком велик, чтобы хранить его в телефоне целиком.
Платёжные карты — ещё один канал, по которому утекает ценная информация, причём воспользоваться ей может и та компания, которой адресован платёж (в Target делали именно это), и банк, и даже платёжная система. Количество и важность данных, которые каждый день проходят через Visa или Mastercard, потрясают воображение, и нетрудно представить, что можно выудить в их базах данных, если заняться data mining.
Новейшая страшилка — электронные очки Google Glass. Это устройство даже не продаётся, но уже вызывает паранойю. Дело в том, что Google Glass позволяет записывать видео и немедленно транслировать его в интернет. То же самое можно сказать о любом смартфоне, но есть разница: когда человек достаёт и направляет смартфон, это трудно не заметить. Google Glass — совсем другое дело. Электронные очки всегда на переносице, а для того, чтобы включить запись, достаточно прикоснуться к дужке.
Получается, что любой обладатель Google Glass может скрытно снимать всё, что происходит вокруг. Противники устройства опасаются, что в том случае, если оно станет популярным, будет невозможно выйти из дома и не попасть кому-нибудь в кадр, даже не поняв, что произошло.
Это, кстати, прекрасный пример того, что даже люди, не пользующиеся социальными сетями, не застрахованы от того, что информация о них появится в интернете. Если её не выложили они сами, это не значит, что её не выложат их знакомые или даже посторонние. От такого не застрахуешься.
Третье заблуждение: утечку информации можно остановить
Законодатели многих стран полагают, что проблема решается запретами. В прошлом году Евросоюз жёстко огранил использование кук, которыми сайты метят браузеры своих посетителей. Тем временем обитатели британских городков перегораживали улицы, чтобы остановить машины Google, снимающие панорамы Street View, а немцы запрещали Facebook использовать технологию распознавания лиц. В Соединённых Штатах не отстают: в Далласе всерьёз обсуждают местный законопроект, который не позволяет вести аэрофотосъёмку с помощью беспилотных летательных аппаратов без разрешения владельцев недвижимости, над которыми пролегает их траектория. Всё зря: в еврозаконе о куках нашли лазейку, Street View всё равно сняли, а распознавание лиц продолжает работать везде, кроме Facebook.
Обычным пользователям рекомендуют следовать в интернете правилам, напоминающим кодекс поведения заговорщика: удалить аккаунты в социальных сетях, отключить Javascript с куками и поставить аддоны, ликвидирующие баннеры, кнопки соцсетей и «жучки», с помощью которых Google Analytics и другие счётчики собирают информацию. Не привлекать внимание. Не упоминать своё настоящее имя. Не показывать лица. Одним словом, конспирация.
Такая конспирация способна помешать узнать имя и домашний адрес, но Google и Facebook они интересуют в последнюю очередь. Такое поведение лишь немногим менее наивно, чем беззаботная публикация в соцсетях любых сведений о себе. И то, и другое строится на совершенно неверных представлениях о том, что увеличивает приватность, а что ей вредит. И то, и другое в конечном счёте упрощает идентификацию пользователя.
Эту не совсем очевидную идею легко объяснить с помощью следующего примера (онпозаимствован у исследователя из Стэнфорда Арвинда Нарайанана). Представьте 33 бита. Максимальное число, которое можно записать с их помощью, превышает 8,5 миллиардов. Поскольку на Земле живёт лишь 7 миллиардов человек, 33 битов более чем достаточно для того, чтобы уникально идентифицировать каждого из них.
Если мы не знаем о человеке ничего, то для того, чтобы найти его, необходимо перебрать эти 7 миллиардов одного за другим — практически нереальная задача. Однако каждый факт, на который можно ответить «да» или «нет», сокращает круг поиска вдвое.
Угадали пол? Круг «подозреваемых» ужался с 7 до 3,5 миллиардов. Выяснили, что человек бывает на веб-сервисе, насчитывающем не больше 100 миллионов пользователей? Сразу пять битов долой. Осталось узнать 27 битов. Это совсем не так трудно, как кажется, если учесть, сколько следов оставляет человек в интернете.
Когда браузер отправляет серверу запрос на получение данных, он передаёт ему свой идентификатор, содержащий название браузера, его версию и операционную систему, язык, предпочитаемый пользователем, список поддерживаемых форматов и куки. Если есть Javascript или Flash, в список можно добавить часовой пояс и список плагинов и шрифтов, установленных на компьютере. В Американском Фонде электронного фронтира (EFF) установили, что этих данных, как правило, достаточно для того, чтобы сократить круг поиска ещё на 18 битов, а иногда и сильнее.
Подумайте сами: чтобы затеряться в толпе, нужно быть настолько похожим на других, насколько это возможно. Отключение кук и Javascript ведёт к противоположному результату: оно делает заметнее. Доля пользователей Рунета, у которых отключены и куки, и Javascript, существенно ниже 0,5%. Это не толпа, и затеряться в ней нельзя. Пользователей с такими настройками так мало, что в сочетании с другими данными этого оказывается достаточно для идентификации пользователя.
И учтите, что браузер — лишь один из вариантов. Частота, с которой определённые слова употребляются в постах? Это не вполне уникальный, но ценный фактор, который можно учесть при идентификации. Шум матрицы в фотографиях, публикуемых в интернете? То же самое. С помощью Javascript можно выявить даже персональные особенности набора текста на клавиатуре — это уже почти биометрия.
Так происходит не по чьему-то злому умыслу. Утечка информации — это неизбежный побочный эффект множества современных технологий. Нельзя открыть сайт, не проинформировав веб-сервер о своём существовании. Нельзя позвонить по мобильному телефону, не выдав своего местоположения. Нельзя расплатиться кредиткой, сохранив свою личность в секрете.
Можно, конечно, запретить эти технологии и вернуться в доинтернетные времена, но кто же на такое пойдёт?
Четвёртое заблуждение: информация о вас никому не нужна
Идея, что следят только за важными людьми, — едва ли не главная причина проблем, связанных с утечкой персональной информации в интернете. Раньше это действительно было так, потому что слежка была сложным и дорогостоящим предприятием. Сейчас всё наоборот: слежка — это исходная точка, состояние по умолчанию, а усилия нужно прилагать для того, чтобы её избежать.
Причины, по которым персональную информацию собирают компании вроде Facebook и Google, не имеют отношения к важности персоны — их интересуют все без исключения. Досье на пользователей помогают им подбирать для каждого человека такую рекламу, которая наиболее привлекательна именно для него. По привлекательной рекламе чаще кликают, а эти клики — основной источник дохода Google и Facebook. То же самое верно и для тех компаний, которые пытаются что-то продать, только их волнует не клик по баннеру, а покупка. Методы остаются теми же.
Даже то, что хорошо скрыто, при желании можно обнаружить, а уж если оставить данные на виду… Людей, которые думают, что всё, что они выкладывают в интернет, заметят лишь их знакомые, да и то лишь в том случае, если дать ссылку, ждёт жестокое разочарование. Старая пословица про иголку, которую трудно найти в стоге сена, давно перестала соответствовать действительности. Это её вручную трудно найти, а с помощью поисковика?
Именно поэтому немецкие власти так переполошились, когда узнали о том, что Facebook внедряет технологию распознавания лиц. Сейчас для того, чтобы узнать, кто изображён на фотографии, нужна текстовая подпись. Без подписи поиск не работает. Распознавание лиц позволит это обойти. С его помощью людей можно будет находить в интернете не только по имени, но и по лицу. В результате окажется вскрыт огромный пласт информации, которая лежит на виду, но не может быть найдена автоматически и потому труднодоступна.
Пятое заблуждение: утечка информации — это проблема
Что же получается? Нарушение приватности — это побочный эффект множества полезных технологий, которые мы используем каждый день. Иногда к утечкам данных ведёт их принцип действия (это верно, например, для браузеров). Иногда их основное применение упрощает нарушение приватности (так работают поисковые системы: они помогают найти плохо скрытые секреты).
В будущем таких технологий не станет меньше. Наоборот, дело идёт к тому, что в офлайне данные станут утекать не менее интенсивно, чем в онлайне, а разыскивать и анализировать чужие секреты смогут не только гиганты, обладающие гигантскими ресурсами, но и небольшие компании и даже простые люди. Единственное решение — полный и всеобщий отказ от использования технологий, нарушающих приватность, но на него вряд ли стоит надеяться (скорее, такого запрета следует опасаться).
Пока у корпораций хватает стимулов для того, чтобы заниматься сбором персональной информации, он будет продолжаться. Правда, они, как правило, не делают с полученными данными ничего предосудительного. Ещё никто не пострадал от того, что ему показали более релевантный баннер, и даже довольно сомнительная с моральной точки зрения затея Target ведёт всего лишь к скидочному купону. Кому мешает скидочный купон?
Да, неприятно, что кто-то копается в твоих секретах, но тут вот какое дело: это не «кто-то», а, скорее, «что-то». Массовое нарушение приватности конвейерным методом ведут не люди, а алгоритмы, которые им служат. Обижаться на неразумные программы, особенно делающие что-то полезное — по меньшей мере странно.
Защитники неприкосновенность частной жизни перечисляют сценарии, при которых утечки персональной информации приводит к катастрофическим последствиям. Компрометирующие фотографии, которые не удалось сохранить в секрете, способны привести к потере работы или испорченным отношениям. Утекшая информация о местоположении может привлечь преступников или просто людей, встречи с которыми хотелось бы избежать. «Неправильные» политические взгляды или поведение, которые страло труднее утаить, чем раньше, становятся поводом для преследования со стороны властей или консервативных соседей.
Почти все подобные сценарии обладают одним общим свойством: секреты используются для того, чтобы не решать реальную проблему. Когда с работы могут выгнать за компрометирующие фотографии, дело не в фотографиях, а в трудовом законодательстве, которое допускает увольнения за пустяки, не имеющие отношения к делу. Если политические взгляды приходится скрывать, анонимность — слабое утешение.
Всё это — трудности переходного периода. Ещё не все приспособились к тому, что к секретам нужно относиться иначе. Ещё никто не придумал, как решать проблемы, от которых спасала приватность. Ещё не выработалась привычка к тому, что наши секреты могут интересовать не только людей, но и машины, и если первого хочется избежать, то второе зачастую полезно. Ничего: приспособимся, придумаем, привыкнем. Другого выхода всё равно нет.
Автор: Олег Парамонов, КОМПЬЮТЕРРА
Tweet