Упс, я нашёл файлы Эпштейна: неделя цифрового хаоса и провалов ФБР

Неделя, когда интернет сошёл с ума

Если вы считаете, что у вас выдалась не самая удачная неделя, потому что забыли карточку Tesco Clubcard или промокли под дождём, ожидая автобус, то подумайте об ИТ-отделе ФБР. Оказывается, самое известное следственное агентство мира в цифровом плане держит входную дверь нараспашку, словно подпёртую недоеденным сосисочным рулетиком из Greggs. В событии, больше напоминающем сценарий дешёвого ситкома, нежели захватывающего триллера, исследователь безопасности случайно наткнулся на одни из самых секретных файлов в современной истории: материалы по делу Джеффри Эпштейна.

Мы живём в эпоху, когда нам постоянно говорят использовать сложные пароли, включать двухфакторную аутентификацию и остерегаться подозрительных писем от давно забытых принцев. Однако организации, призванные обеспечивать порядок, похоже, не справляются с азами. Эта неделя стала наглядным пособием по тому, как не нужно подходить к кибербезопасности: государственные промахи, приложения, предающие самые сокровенные тайны пользователей. Давайте разберём весь этот хаос по порядку.

Политика открытых дверей ФБР

Главным номером этого цифрового цирка стал исследователь безопасности по имени Ласси. Ковыряясь в Law Enforcement Enterprise Portal (LEEP) - который звучит куда внушительнее, чем есть на самом деле, - Ласси обнаружил, что может получить доступ к огромному массиву информации без какого-либо мастер-ключа. Это был не взлом в стиле «Миссия невыполнима» с лазерными сетками и прыжками с потолка. Скорее это напоминало простое нажатие нужных ссылок и осознание того, что в виртуальном заборе зияет огромная дыра размером с человека.

Среди цифрового мусора оказались файлы, связанные с Джеффри Эпштейном. Для тех, кто всё это время жил под камнем: Эпштейн - покойный финансист, чей список знакомых читается как перечень людей, которые ни за что не хотели бы в нём оказаться. Тот факт, что эти файлы фактически лежали в незапертом ящике в виртуальном коридоре, просто ошеломляет. ФБР с тех пор закрыло лазейку, однако урон репутации ведомства в области технической компетентности, скорее всего, уже непоправим. Это поднимает серьёзный вопрос: если ФБР не может защитить свои самые резонансные улики, что же остаётся остальным из нас?

С британской точки зрения это особенно обидно. Мы нередко смотрим на американские ведомства как на золотой стандарт разведки и безопасности. Если даже они столь беспечны, поневоле задумываешься о состоянии наших собственных отечественных баз данных. Кризис стоимости жизни и без того выжимает каждый пенни из британцев, и мы просто не можем позволить себе последствий масштабных утечек данных, ведущих к краже личности и финансовому мошенничеству. Нам нужно, чтобы те, кто несёт за это ответственность, работали лучше.

Приложение, которое знало слишком много

Если провал ФБР стал источником национального позора, то следующая история - это история куда более личного предательства. Есть приложение Victory, разработанное для того, чтобы помочь людям отказаться от просмотра порнографии. Оно входит в набор инструментов, включающий партнёров по подотчётности и отслеживание прогресса. Это именно тот вид приложений, которым пользуются в самый уязвимый момент жизни, стремясь к позитивным переменам. К сожалению, безопасность приложения оказалась не крепче мокрого бумажного пакета.

Исследователи обнаружили, что приложение сливало крайне конфиденциальные данные о привычках сотен тысяч пользователей. Речь идёт об информации, которую можно использовать для шантажа или жестокого социального позора. Ирония достаточно густая, чтобы намазывать её на тост: приложение, призванное создать безопасное пространство для самосовершенствования, в итоге обнажило своих пользователей перед тем самым, от чего они пытались убежать. Это жёсткое напоминание: когда вы доверяете приложению свои самые личные данные, вы делаете огромный прыжок веры.

Истинная цена бесплатного (и не очень) программного обеспечения

В Великобритании действуют строгие правила GDPR, призванные защитить нас от подобных безобразий. Однако приложения, разработанные за рубежом, нередко живут по другим правилам, а то и вовсе без всяких правил. Утечка Victory напоминает нам, что конфиденциальность - это не просто функция, а фундаментальное право. Когда компания не может его защитить, она терпит неудачу не только как бизнес: она терпит неудачу как элементарно порядочная структура. Всем, кто пользуется приложениями для саморазвития, совет однозначен: проверяйте разрешения, читайте политику конфиденциальности, и если что-то выглядит подозрительно, скорее всего, так оно и есть.

Signal под угрозой: российский след

Переходя от личных привычек к международному шпионажу: поступили новости о том, что российские хакеры атакуют аккаунты Signal. Signal давно стал любимцем мира конфиденциальности - его рекомендуют все, от Эдварда Сноудена до вашего технически подкованного кузена, живущего в клетке Фарадея. Мессенджер использует сквозное шифрование, а значит, даже сама компания не может читать ваши сообщения. Но хакеры нашли обходной путь: они бьют не по шифрованию, а по самим пользователям.

Группировка Sandworm (или APT44 по классификации экспертов) с помощью искусной социальной инженерии обманывает пользователей, вынуждая их привязать свои аккаунты Signal к десктопной версии, контролируемой хакерами. Получив эту связку, они могут видеть каждое отправленное и полученное сообщение в режиме реального времени. Это блестящий, пусть и пугающий, обходной манёвр. Они не взламывают замок - они обманом заставляют вас отдать запасной ключ.

Для нас в Великобритании это своевременное напоминание: главная слабость любой системы безопасности - как правило, тот, кто ею пользуется. Можно располагать каким угодно шифрованием, но если нас легко обмануть искусно составленным сообщением или поддельным экраном входа, всё это теряет смысл. Россияне ведут длинную игру, и у них это хорошо получается. Нам нужно быть столь же осторожными.

Вердикт: полный бардак

Что мы вынесли из этой цифровой катастрофы недели? Во-первых, ФБР стоит нанять более компетентных веб-разработчиков. Во-вторых, ваши «приватные» приложения могут быть чем угодно, только не приватными. В-третьих, даже самые защищённые платформы уязвимы перед умелой манипуляцией. Всё это удручает, особенно на фоне вялой экономики и мира, который кажется всё более нестабильным.

Плюсы современных технологий: У нас под рукой вся информация мира, и мы можем мгновенно общаться с кем угодно и где угодно.

Минусы современных технологий: В эту информацию могут входить файлы ФБР по делу Эпштейна, а ваше общение, возможно, читает скучающий агент в Москве, пока приложение для «завязки» рассказывает всему миру о ваших привычках вечера вторника.

Есть ли светлая сторона? Пожалуй. Эти инциденты служат тревожным звонком. Они напоминают нам быть скептиками, быть осторожными и никогда не считать, что слово «защищённый» означает «безопасный». Если вы пользуетесь Signal, проверьте привязанные устройства. Если вы пользуетесь приложениями для саморазвития, возможно, стоит завести бумажный дневник. А если вы из ФБР, попробуйте выключить портал и снова включить его - или просто поставьте нормальный пароль.

Соотношение цены и качества в мире технологий сейчас на историческом минимуме, если учесть стоимость вашей конфиденциальности. Мы платим за устройства и сервисы, которые нередко обращаются с нашими данными как с товаром для торговли или помехой, которую можно игнорировать. Пора требовать большего. А пока - берегите себя, делайте пароли длиннее и, ради всего святого, перестаньте нажимать на ссылки, которых вы не узнаёте.

Читайте оригинальную статью на источнике.