По секрету всему свету. Почему поисковики разбалтывают все, что знают о нас
Недавно поисковые системы проявили необычайное «служебное рвение»: что только ни обнаруживали любознательные пользователи в строчках поисковых выдач — и тексты SMS, отправленных с сайтов мобильных операторов (кстати, не только «Мегафона», но и всей «большой тройки»), и сведения о покупках и покупателях товаров в интернет-магазинах, и даже документы государственных ведомств, которые должны быть скрыты от посторонних глаз. Общественность взволновалась не на шутку: чьи это происки? Попробуем разобраться, что же произошло.
Начать стоит с классики: «Смешались в кучу кони, люди…» — персональные данные с секретными документами, а также правда с домыслами. Скажем, верите ли вы, что на сайтах наших министерств лежат файлы с текстами под грифом «Совсекретно»? Я — не очень. Да и эксперты подтверждают: ничего секретного там не нашлось. «Гриф «Для служебного пользования» уже давно не имеет никакой силы, — говорит Николай Федотов, главный аналитик Infowatch. — Нет тайны такого типа. Де-юре документ с грифом «ДСП» — это открытый документ».
В истории с эсэмэсками тоже есть некорректные суждения, например, причисление таких инцидентов к утечкам персональных данных. «Согласно Закону «О связи» я вообще могу зарегистрировать номер по псевдониму, — поясняет Сергей Вихорев, заместитель генерального директора по развитию «ЭЛВИС-ПЛЮС». — Идентифицировать человека только по номеру телефона, не владея дополнительной информацией о нем, практически нельзя». Речь может идти о нарушении тайны связи или неприкосновенности частной жизни. И все же все эти разношерстные инциденты объединяет одно — адреса вроде бы закрытых веб-страниц оказались проиндексированы поисковыми машинами.
С чьей-то легкой руки вдруг необычайно прославился файл robots.txt, хотя его роль в жизни веб-сайта достаточно скромна. «Если вы корректно описали, что именно не надо индексировать, поисковики будут придерживаться этих правил», — поясняет Владимир Габриель, руководитель экспертной группы Microsoft в России.
«Но важно, чтобы информация, содержащая личные сведения или другую непубличную информацию, была недоступна без авторизации, — добавляет представитель Google Алла Забровская. — А владельцы сайтов размещали личную информацию своих покупателей открыто».
Оказывается, это обычное дело. Рассказывает Николай Федотов: «Когда-то давно придумали такой метод защиты конфиденциальности: формируется длинный псевдослучайный и неподбираемый адрес веб-страницы. Он известен одному человеку, а любой другой, чтобы попасть на эту страницу, должен получить от него этот уникальный код». Метод предельно прост: не нужно логинов-паролей, никакой регистрации или криптографии.
Вся изюминка в том, что на эту страницу не ведут никакие внешние ссылки, а значит, и поисковые роботы ее не видят. Этот прием сокрытия данных стал весьма популярен. И неплохо служил владельцам сайтов до тех пор, пока поисковые роботы искали адреса веб-страниц только по «живым» ссылкам. Сегодня же профессиональные технологии анализа содержимого Интернета ушли далеко вперед — они используют широчайший арсенал средств для получения новых адресов страниц.
В первую очередь специалисты называют фирменные плагины и браузеры. В частности, под подозрением сразу оказался плагин для браузера «Яндекс-бар». Предполагалось, что именно он слил адреса поисковику, который сохранил их в кэше и проиндексировал. Чуть позже специалисты «Яндекса» нашли настоящего виновного — им оказался плагин «Яндекс Метрика», проще говоря, популярный счетчик посещений веб-страниц (в «Яндексе» говорят, что уже приняли меры и подобных сливов через «Метрику» больше не будет).
Правда, для специалистов это не является исчерпывающим объяснением. Скажем, непонятно, с какой целью веб-мастер мог поставить «Метрику» на страницу с текстами SMS, для которой количество посещений извне вообще не имеет никакого значения, да и хранится эта информация там не бесконечно, а всего-то несколько часов. Профессионалы спорили до хрипоты: то ли «Яндекс» что-то недоговаривает, то ли операторские сайты кривоваты? Точный ответ может дать только специальное расследование, результаты которого широкая общественность вряд ли узнает. Но самое интересное даже не в этом.
Браузерам «ябедничают» системы статистики из поля referer, электронная почта и другие коммуникационные сервисы. И занимаются этим все поисковые машины. Например, как указывают специалисты Positive Technologies, Google сохраняет в кэше ссылки на удаленные и скрытые фото пользователей соцсети «ВКонтакте». Уже с начала этого века на Западе широко используется термин Google Hack — он обозначает техники поиска конфиденциальной информации с помощью поисковых машин. В начале 2000-х монография Джонни Лонга Google Hacking стала настольной книгой для любителей этого вида интернет-серфинга.
Более того, есть специальное направление деятельности интернет-специалистов, которое называется конкурентной разведкой в Интернете. Не путать с компьютерным шпионажем! Хотя используемый инструментарий во многом совпадает, разведка в отличие от шпионажа использует лишь легальные, то есть открытые пути поиска скрываемых данных.
Облеченная в форму цивилизованного бизнеса, интернет-разведка использует стандартные методы продвижения своих «товаров и услуг»: учебные курсы, рекламу в Интернете. Человек с техническим складом ума при желании вполне может это осилить факультативно. «Думаю, широкая огласка инцидентов с утечками привела к популяризации хорошо известных техник конкурентной разведки и взлома через поисковые системы, возраст которых измеряется десятилетиями», — считает Сергей Гордейчик, технический директор Positive Technologies.
Образно говоря, профессиональные технологии разведки пошли в массы. И уже не так важно, кто именно под ником HitMan_ru 18 июля в 13.06 первым опубликовал в Twitter-посте ссылку на SMS «Мегафона» (первоисточник вычислили в компании «Крибрум»). Главное, что в охоту за скрытыми данными включились толпы невоспитанных неофитов-разведчиков.
Дело в том, что профи относятся к предмету своих исследований очень бережно. «У меня самого хранится несколько десятков подобных утечек. Только я их не публиковал, — говорит Николай Федотов. — Хакерская этика требует: если нашел уязвимость или утечку, надо в первую очередь сообщить о ней оператору дырявой системы. Дождаться устранения бреши и лишь потом публиковать информацию. В данном случае поступили неэтично».
Но вот вопрос: чем в это время занимаются разработчики сайтов, которых должны беспокоить технологии защиты вверенных им ресурсов? Ведь, как подчеркивает Олег Глебов, специалист департамента маркетинга компании «Информзащита», если страница скрыта, то без инсайдерской информации выйти на нее чрезвычайно сложно. «Инциденты, получившие огласку, — это яркий пример безалаберности разработчиков, — уверен Сергей Рыжиков, генеральный директор «1С-Битрикс». — К сожалению, тема безопасности сайта почти всегда оказывается за пределами бюджета разработки сайта».
По статистике Positive Technologies, уязвимости, приводящие к утечке информации, содержатся более чем в половине (!) всех сайтов. Специалисты указывают, например, на новомодные ресурсы с электронной записью на прием к врачам: на некоторых можно легко узнать не только расписание приема больных, но и конкретные имена пациентов. И это в ситуации, когда медицинские сведения, согласно закону, относятся к особо конфиденциальным! Основная причина такой нелицеприятной ситуации заключается в том, считает Олег Глебов, что владельцы сайтов просто не рассматривают себя как операторов персональных данных.
На таком фоне интересную окраску приобрела борьба вокруг недавно принятого Закона «О внесении изменений в Федеральный закон «О персональных данных»: ряд экспертов просили президента РФ устранить контроль за защитой данных, хранящихся на сайтах, со стороны государства. Сомнительно, что такой подход мог бы работать на благо граждан. Скорее россиянам пришлось бы выучить свой вариант американского «правила Миранды»: все, что вы рассказали о себе на любом ресурсе, будет храниться в Интернете вечно, всегда может и будет использовано против вас. *
Автор: Елена Покатаева, ИТОГИ
* * * * * * *
В какие прорехи утекает информация в Интернете?
Метод длинных псевдослучайных секретных адресов перестал быть безопасным. Он просто устарел. Технический прогресс часто проделывает такие трюки с секретностью: вспомните топографические карты, чьи секреты испарились с появлением общедоступных спутниковых карт типа Google Maps. Но многие его еще применяют, и основанных на этом методе защиты систем функционирует немало — тысячи веб-страниц, которые ныне оказались незащищенными. Но переделать все — адова работа. *
Николай Федотов главный аналитик Infowatch
Очевидно, что сами данные, если они попадают на сайт, должны храниться на сервере компаний. Но они не могут там храниться в явном виде и предоставляться в удаленное пользование без дополнительных средств защиты, например шифрования канала передачи. Поисковая система не сможет добраться до закрытых от общего доступа данных, если системы обеспечения сетевой безопасности правильно настроены, а соответствующие регламенты строго соблюдаются. *
Олег Глебов специалист департамента маркетинга, «Информзащита»
Дело не в умышленном или неправильном использовании персональных данных. И файл robots.txt, и поисковики также ни при чем. Причина кроется в уязвимости самих сайтов, и эта недоработка была изначально допущена веб-разработчиками. В целом мы оцениваем как очень низкий уровень безопасности интернет-проектов, выполненных частными веб-строителями. С тиражируемыми продуктами дело обстоит чуть лучше, но все же далеко не идеально, как мы и увидели в этой истории. *
Сергей Рыжиков генеральный директор «1С-Битрикс»
Протечки
На новенького
«Практически сразу после создания новой веб-страницы о ее существовании узнает множество других «роботных» частей Интернета», — говорит Владимир Иванов, заместитель руководителя департамента эксплуатации компании «Яндекс». Например, браузер открывает страницу и начинает загружать объекты: картинки, анимацию, скрипты, рекламу, коды счетчиков и систем статистики и т. д. Если в браузере установлен антифишинговый или антивирусный плагин (собственный есть почти во всех браузерах и почти везде включен, а некоторые антивирусные компании еще добавляют и свой), он отправляет адрес посещенной страницы на проверку. Бывает так, что трафик пользователей в публичных местах пропускается через прокси-сервер — для защиты от атак, экономии IP-адресов или ускорения загрузки страниц. В этом случае все указанные взаимодействия пройдут через прокси-сервер, и он тоже узнает о странице.
Если на страничке есть картинки или flash-объекты с других ресурсов, то о странице будут знать все эти ресурсы. При наличии на странице iframe о ней станет известно системе показа рекламы или сервисам других систем, загруженных через iframe. Если веб-мастер использовал скрипты из внешней библиотеки, счетчики и системы сбора статистики, то о новой страничке будут знать все эти сервисы и их провайдеры.
Дискуссии
Я к вам пишу
По давней российской привычке наши граждане подают челобитные то царю-батюшке, то в партком, то президенту РФ. Правда, в нынешние технологичные времена в виде открытых писем, размещенных в Интернете. Например, на тему Закона «О персональных данных». Главная претензия к нему: здесь не прописаны механизмы возмещения ущерба от утечки персональных данных (ПД), и потому гражданин не защищен, следовательно, закон нужно отменить. Но помилуйте, он полностью соответствует европейской Конвенции о защите физических лиц при автоматизированной обработке персональных данных! Более того, государства старушки Европы не говорят в своих законах, как именно возмещать ущерб, а дают отсылку к нормам, установленным другими законами. Как и у нас. Тогда зачем закон отменять? Или дело в другом? Волнует не забота об ущербе, понесенном гражданами, а сам закон? Точнее, те его части, которые предписывают правила создания систем защиты ПД? Возможно, поскольку определенной части поставщиков продуктов безопасности, например иностранных, он менее выгоден, чем российским.
А если разум возмущенный все же кипит по поводу граждан и их ПД, то тогда не с тем боретесь, товарищи. Не на ветряные мельницы надо направлять свой борцовский запал, а на развитие судебной практики. Были бы обращения в суды, были бы и решения, накапливалась судебная практика. Глядишь, и Верховный суд обобщил бы ее. Плох не закон, а то, что обращений в суды от субъектов нет. Не верят нашим судам? Значит, надо укреплять доверие к судебной системе, разъяснять людям их права, оказывать содействие в решении вопросов компенсации ущерба (примерно так, как это делает Общество защиты прав потребителей). Вот это будет действенная помощь субъектам ПД. Но сам закон здесь ни при чем, он выполнил свою миссию — ввел в правовое поле возможность компенсации ущерба и морального вреда, дальше дело субъектов ПД, прокуроров и судов. Ругайте суды, а не закон о ПД, это будет честнее и пользы для дела больше
Сергей Вихорев, заместитель генерального директора по развитию
Источник: ИТОГИ
Tweet