Откуда ЦРУ знает ваш адрес: любопытные факты. Часть 2
В первой части настоящей статьи мы показали, что, принимая решение об открытии счета в иностранном банке, заполняя слишком подробную анкету, вообще, каким-либо образом передавая свою персональную информацию в чужие руки, не имеющие перед вами государственных обязательств, вы рискуете оказаться объектом изучения и манипулирования, если не сказать – агрессии. Причем впоследствии эта агрессия может принять любой вид — от агрессивного маркетинга, до жесткого вмешательства зарубежных спецслужб в вашу спокойную жизнь, и даже преступлений против вашей личности со стороны криминала.
Интересно, что мнения по поводу приведенной нами информации разделились на две категории — тех, кто осознает потенциальную угрозу и выражает протест, и тех, кто призывает не обращать внимания на настойчивые попытки неуполномоченных законами РФ организаций извне фактически собрать досье на каждого из нас.
Давайте же рассмотрим, как осуществляются покушения на частную информацию, и как общество в России и за рубежом реагирует на эту современную тенденцию.
Например, наша читательница Ella пишет: «Я живу в США. Каждый день получаю гору писем из разных всемирно известных банков с предложением открыть кредитную карту. Могу получить тысячи долларов в долг… Да, они просят личную информацию. Вряд ли все эти банки собирают информацию для спецслужб. Это МАРКЕТИНГ! Здесь, в Америке, они сумеют продать снег пингвинам! Они знают все обо всех!.. Что поделаешь. Новый век. Маркетизация, глобализация, цивилизация…»
На первый взгляд, наша читательница права — являясь благонадежной американкой, живущей в стиле консюмеризма, можно ни о чем не думая начинать жить в долг, хотя и тут придется «быть осторожным и соблюдать свои лимиты». Но это — только на первый взгляд: для гражданина иностранного государства, имеющего активную политическую позицию, и влияющего на положение своей страны, дело оборачивается совсем по-другому. В истории операций спецслужб слишком много таких примеров.
Также стоит отметить, что «маркетизация, глобализация и цивилизация» в аспекте «игр» с личной информацией — как раз та вещь, которая сегодня вызывает сильнейшие протесты и у самих граждан США. В рамках дискуссии вокруг законопроектов об «информационном прайвеси» (Information Privacy) телекомпания Fox провела специальное исследование, убедительно показавшее, что большинство американцев опасаются и не желают вмешательства подобного рода в их личную жизнь.
Оказывается, 90% жителей США боятся, что номер их карточки социального обеспечения (знание которого позволяет получить доступ к банковскому счету) может быть найден в Интернете, 85% опасаются того же в отношении номеров их кредитных карт (это позволяет злоумышленникам совершать покупки по чужой кредитке). 83% беспокоит утрата личной финансовой информации, 72% — разглашение домашнего адреса и персональной медицинской информации, 70% — разглашение их номера телефона, как сообщает агентство Washington ProFile.
Эти опасения не являются «страхами домохозяйки» или другой формой психоза, а имеют многочисленные фактические обоснования. Достаточно вспомнить пример, приведенный Джеффри Розеном, автором книги «Нежелательный Взгляд. Разрушение прайвеси в Америке» о том, что используемая ФБР система поиска в Интернете — Carnivore — просматривает информацию, принадлежащую отнюдь не только подозреваемым, но и простым пользователям Сети. А другая разведывательная система — сверхсекретная Echelon (считается, что ее использует ЦРУ) — перехватывает не только интернет-сообщения, но и миллионы телефонных переговоров и факс-посланий.
При этом, хотя в США закон запрещает государственным и муниципальным структурам продавать или передавать посторонним накопленную ими информацию о жителях страны, запрет не распространяется на частные компании. Кроме того, хорошо известно, что вторжения на частную территорию традиционно является практикой американских спецслужб, и эта практика лишь усиливается.
Чарльз Сайкс, автор книги с красноречивым названием «Конец Прайвеси», считает, что технологическая революция фактически лишила человека права на неприкосновенность, и с каждым днем ситуация будет только усугубляться. Рег Витэкер, автор одноименной книги «End of Privacy: How Total Surveillance Is Becoming a Reality», винит во всем методы тотального контроля, которые устанавливают некоторые государства, в том числе, системы идентификации, биометрии, наблюдения, ограничения доступа и др.
Граждане США крайне недовольны создавшейся ситуацией. Еще бы — ведь по данным издания, в то время как в 2002 году лишь 27% американцев, опрошенных журналом Business Week, заявили, что в последние годы их прайвеси было нарушено, в 2004 году аналогичный опрос, проведенный компанией Opinion Dynamics, показал, что вторжение в свое личное пространство пережили уже 74% жителей США.
Опрос, проведенный агентством Harris Interactive, показал, что 63% американцев — выступают за то, чтобы человек получил больше прав на защиту своей персональной информации (29% хотят, чтобы этим занималось государство).
Поэтому не стоит говорить о «стереотипе мышления, взращенном на почве 70-летней шпиономании», как некоторые наши оппоненты, декларирующие: «маркетинг — дитя цивилизации… Не нравится — поезжайте в тайгу… ведите натуральное хозяйство».
Ведь мы отнюдь не призываем отказаться от современных платежных средств. Напротив, не стоит останавливать прогресс — нужно сделать так, чтобы эти механизмы социума стали более безопасными и не могли более служить для шпионажа и злоупотреблений.
Другой же стереотип мышления — пассивная позиция типа «пусть все идет так, как идет» — как раз служит благоприятной почвой для того, чтобы вами и вашими данными манипулировали в своих интересах те, кто ведет «более активный образ жизни», возможно выполняя при этом четкие приказы руководства.
В России нет столь широких протестов против нарушения «прайвеси» — вероятно, из-за того, что наша страна не обладает ни идеологией администрации США, ни техническими средствами для ее реализации. К тому же у нас есть четкие законы, которые достаточно жестко препятствуют как разглашению государственной тайны, так и сбору и использованию персональной информации граждан РФ.
Очевидно, что основной интерес для спецслужб иностранных государств представляют российские военные и чиновники различных уровней, представители законодательной и судебной властей, по долгу службы обладающие информацией, составляющей государственную тайну или важную для национальной безопасности.
С другой стороны, обычные граждане, не несущие повышенной ответственности за страну на государственных постах, все же имеют возможность когда-нибудь занять таковые, или повлиять на госслужащих или членов представительных органов страны, будучи, например, их родственниками или знакомыми. Поэтому простые россияне также могут представлять интерес для иностранных спецслужб, особенно сейчас, когда методы сбора информации стали существенно дешевле в связи с глобальной информатизацией мира.
Поэтому, не рассматривая здесь специфические для разведок методы сбора данных, отметим лишь те, которые могут быть задействованы иностранными корпорациями, сочувствующими своим национальным разведслужбам в рамках того самого «агрессивного маркетинга», то есть путем тщательного сбора частичной информации о клиентах под видом разнообразных «анкет», «опросов» и тому подобных средств.
То есть, покажем, как подготовленные специалисты могут получить важную информацию, прямой доступ к которой закрыт, абсолютно «бытовым» неприметным образом, используя открытые каналы. Используем для этого авторитетный зарубежный опыт Кевина Митника — известного хакера, осужденного правосудием США за проникновение во многие правительственные и корпоративные секреты, которому противостояли лучшие эксперты по защите информации из ФБР.
Отметим, что Кевин не обладал ни значительной технической базой, ни очень большими познаниями в программировании, но лишь талантом в использовании телефонного «фрикинга» (искусства общения по телефону в целях получения нужной информации или действий от собеседника) и того, что сейчас называется «социальной инженерией».
«Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил другого школьника, также увлечённого хобби под названием телефонный фрикинг. Я затачивал свои таланты в искусстве под названием социальная инженерия (заставляя людей делать вещи, которые они не стали бы обычно делать для незнакомца) и получал за это зарплату», — пишет Митник в своей книге «Искусство обмана».
Вскоре Кевин обнаружил, что мог виртуально достать любую информацию, которую хотел и начал использовать свой талант, чтобы узнавать секреты людей и корпораций, опираясь на обман, знание терминологии и растущие навыки в манипуляции людьми.
Эти навыки, тогда только входившие в обиход маргиналов — фриков и хакеров, сейчас, несомненно, взяты на вооружение так называемым «маркетингом» и социальной инженерией. Но от этого они не стали более этичными или менее опасными, скорее приобрели другой масштаб и широко используются для сбора информации и оказания влияния всеми, кому не лень — от «агентов на телефоне» и маркетинговых отделов банков — до специализированных исследовательских служб.
При этом основная специфика подобных методик — их «незаметность» и маскировка под обычные коммуникации между членами социума. Это достигается тем, что, получая там и здесь лишь частичную информацию, саму по себе не являющуюся секретной, сборщик восстанавливает картину целиком, картина = тайна, охраняемая личностью, фирмой или государственной организацией.
Вот как поясняет это Кевин Митник: «Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза — скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно — это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин, почему им следовало бы её защищать и ограничивать к ней доступ».
Таким путем социальные инженеры получают множество «фрагментов», каждый из которых используется в качестве ступеньки для наращивания осведомленности о следующем этапе «проникновения».
Например, типичная операция этого рода выглядит приблизительно так: сборщик информации звонит по телефону в одно (не слишком значительное) подразделение компании, называясь, к примеру, поставщиком компьютеров, запамятовавшим имя начальника подразделения. Ему сообщают это имя — скажем Джон Коллинз. Он делает следующий звонок в другое, более важное подразделение, например финансовый отдел и уже от лица Джона Коллинза просит напомнить номер счета, который его интересует, и сказать, с кем он говорит. Затем он может позвонить в банк и, представившись добытым именем бухгалтера, узнать, сколько денег находится на таком-то счету. И так далее.
Так, складывая кусочки мозаики, социальные инженеры могут получить абсолютно засекреченную информацию. «Для того чтобы обойти средства безопасности, социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ… Во всём мире не найдется таких технологий, которые могли бы защитить… Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла… Социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь», — пишет Митник.
Именно о таких вот технологиях социальной инженерии, только более грубых и топорно «впариваемых», могут напомнить и перегруженные личными вопросами «анкеты», и неожиданные «опросы» общественного мнения, и, как ни странно, повадки криминального мира, в частности, известных «наводчиков».
Интересно, что люди интуитивно чувствуют подобные «крючки» и вопросы, вызывающие у них лишь неприятие и единственное желание ответить: «Какое вам дело?» Например, один из наших читателей просто ужаснулся, когда, изъявив желание открыть кредитную карту в уже упоминавшемся «Ситибанке», прочел в очень детализированной анкете вопрос: «Есть ли у вас среди родственников высокопоставленные чиновники и военные?» После этого, сделав напрашивающиеся выводы, этот человек отказался от заполнения анкеты.
Зададимся вопросом, как же противостоять сбору вашей персональной информации не уполномоченными на то организациями? Что делать?
Вообще, защита от подобных попыток получения информации состоит из двух частей: первая — необходимо знать, что такие попытки могут быть предприняты. Вторая — необходимо знать, как поступить в этом случае.
По словам Митника, манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать, это:
— авторитетность: людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если собеседник уверен, что спрашивающий имеет власть или право задавать этот вопрос. Например, не зная своих прав на защиту и нераскрытие персональной информации, люди соглашаются указывать в анкетах некоторых организаций даже цвет автомобиля своей жены.
— умение расположить к себе: люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Например, размеры вашего дохода намного легче сообщить по телефону толковому и вежливому интервьюеру с красивым женским голосом, нежели требовательному субъекту с неприятным мужским;
— взаимность: мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность и информацию, — преподнести неявно обязывающий подарок — например, тот же купон на праздник;
— ответственность: люди имеют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность. Не обещайте в спешке, не подумав;
— социальная принадлежность: людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так». Без комментариев. По-русски этот принцип называется «стадо баранов».
— ограниченное количество «бесплатного сыра»: просьба сообщить часть информации в обмен на доступ к ограниченному числу призов и т.п.
Общие же рекомендации по защите личной информации, в приложении к нашей теме перефразируя Митника, могут быть следующими:
1. Прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной информации может угрожать персонально каждому из нас, нашей безопасности, работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно тому, чтобы не заботиться о своем PIN-коде или номере кредитной карты.
2. В своей основе все атаки социнженеров опираются на обман. «Жертва» руководствуется верой в то, что атакующий имеет право на получение вашей информации. Почти все эти атаки срываются, если вы четко выясняете 2 вещи:
— надежно идентифицируете личность делающего запрос;
— устанавливаете, имеет ли этот человек право знать вашу персональную информацию.
Итак, всегда думайте, кому и зачем вы даете личную информацию, и помните старую поговорку «молчание — золото». Не в том смысле, что не нужно никому говорить ни слова, а в том смысле, что следует помолчать и подумать, какие последствия может вызвать ваша открытость, прежде исписать анкету биографиями родственников и финансовыми отчетами.
Особенно об этом стоит напомнить людям, занимающим государственные посты, ведь их небрежность в предоставлении персональной информации может вызвать последствия, которые подпадают под положения закона РФ «О государственной тайне», а также статей 275 УК РФ «Государственная измена», и 276 УК РФ «Шпионаж».
С другой стороны, неправительственные организации недаром делают на своих материалах пометки о добровольности предоставления вами своей персональной информации, так как в противном случае они рискуют, как минимум, обвинениями по статьям 137 УК РФ «Нарушение неприкосновенности частной жизни», 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» и т.п…
Итак, мы видим, что проблема манипулирования персональной информацией граждан существует во всем мире, что ею могут заинтересоваться не только спецслужбы, но, по их заказу, и неправительственные организации, и знаем теперь некоторые методы нападения и защиты в этой области.
Поэтому представителям власти в РФ хочется напомнить старые, но верные слова: «Будьте бдительны», и пожелать всегда поступать в соответствии с совестью и законами Российской Федерации, а простым гражданам — быть внимательными и взвешивать все «за» и «против», взаимодействуя с иностранными кредитно-финансовыми структурами.
Помните, что «социальные инженеры» разного рода используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят, однако это может нанести ущерб не только вам, но и вашим близким, и даже вашей стране.
Кроме того, вышеизложенное — еще один аргумент в пользу патриотизма и ограничения доступа иностранного влияния на российский рынок, особенно такого, которое в силу специфики, может собирать информацию у значительного количества россиян — например, американские банки или маркетинговые структуры. На своем уровне вы ответственны за свою личную конфиденциальную информацию. Ваши индивидуальные особенности, увлечения и слабые точки — только ваше личное дело, а ваш психологический портрет не должен попасть в руки дяди Сэма.
В противном случае последствия могут зайти очень далеко — вплоть до смены политического курса страны. Вспомним, например, как США «сопровождали» выборы на Украине в конце позапрошлого года. Зная конфиденциальную информацию, они явно смогли повлиять на итоги выборов, угрожая санкциями не только украинским властям, но и отдельным лицам.
Так, 22 ноября официальный представитель Госдепартамента США заявил, что Соединенные Штаты будут вынуждены пересмотреть отношения с Украиной и принять меры против отдельных лиц, если будут доказаны факты «нарушений» на президентских выборах. Пресс-секретарь американского МИДа Адам Эрли заявил: «Соединенные Штаты глубоко обеспокоены выборами на Украине. Мы призываем украинские власти не допустить новых нарушений и мошенничества (в ходе подсчета голосов), сохранять приверженность демократии и правам человека, а также принять меры, чтобы исход выборов отражал волю украинского народа».
Заранее зная «волю» украинского народа, представитель Госдепа США, по сообщению Reuters, пояснил, что, если подтасовка итогов голосования будет доказана, США готовы в том числе заморозить счета лиц, «причастных к подтасовкам», и лишить их права на въезд в США. По мнению наблюдателей, удар, несомненно, достиг цели — на сторону Ющенко встали МИД, Ассоциация банков Украины и другие организации. Конечно, такое воздействие на внутреннюю политику иностранного государства со стороны США не было бы возможным без скрупулезного знания состояния финансов, да и вообще, подробного досье нужных «объектов влияния».
Александр Туманов, КМ
Tweet