Упс, я знайшов файли Епштейна: тиждень цифрового хаосу та провалів ФБР

Тиждень, коли інтернет збожеволів

Якщо ви вважали, що ваш тиждень видався невдалим через забуту картку лояльності або пропущений автобус у зливу, подумайте про ІТ-відділ ФБР. З'ясувалося, що найвідоміше слідче агентство світу має цифровий еквівалент вхідних дверей, підпертих недогризеним сосиском у тісті. У повороті подій, що більше нагадує сценарій дешевого серіалу, ніж гостросюжетного трилера, дослідник з кібербезпеки випадково натрапив на одні з найсекретніших файлів сучасної історії: матеріали Джеффрі Епштейна.

Ми живемо в епоху, коли нам постійно кажуть використовувати складні паролі, вмикати двофакторну автентифікацію та остерігатися підозрілих листів від "давно загублених принців". Проте саме організації, покликані забезпечувати порядок, схоже, не справляються з базовими речами. Цей тиждень став справжнім майстер-класом з того, як не варто підходити до кібербезпеки: від урядових прорахунків до застосунків, що зраджують ваші найінтимніші таємниці. Поринаємо у хаос?

Політика відчинених дверей ФБР

Головним героєм цього цифрового цирку став дослідник з кібербезпеки на ім'я Ласі. Копаючись у Law Enforcement Enterprise Portal (LEEP) - який звучить набагато переконливіше, ніж є насправді, - Ласі виявив, що може отримати доступ до великої кількості інформації без жодного майстер-ключа. Це був не злам у стилі "Місія нездійсненна" з лазерними гратами та звисанням зі стелі. Скоріше, він просто натискав правильні посилання і зрозумів, що у віртуальному паркані зяє величезна діра, у яку пройде будь-хто.

Серед цифрового безладу виявилися файли, пов'язані з Джеффрі Епштейном. Для тих, хто не в курсі: Епштейн - це покійний фінансист, список знайомих якого нагадує довідник людей, які дуже хотіли б там не фігурувати. Те, що ці файли фактично лежали у незачиненій шафі посеред віртуального коридору, просто приголомшує. ФБР вже закрило лазівку, але шкода для їхньої репутації у сфері технічної компетентності, мабуть, незворотна. Це ставить серйозне питання: якщо ФБР не може захистити свої найгучніші докази, яка надія у решти з нас?

З британської точки зору, це особливо прикро. Ми часто дивимося на американські агентства як на золотий стандарт розвідки та безпеки. Якщо вони настільки безтурботні, мимоволі замислюєшся про стан наших власних вітчизняних баз даних. На тлі кризи вартості життя, що видавлює кожен пенні з британської публіки, ми просто не можемо дозволити собі наслідки масштабних витоків даних, що ведуть до крадіжки особистих даних і фінансового шахрайства. Нам потрібно, щоб відповідальні люди були кращими за це.

Застосунок, який знав забагато

Якщо прорахунок ФБР - це питання національного сорому, то наступна історія є глибоко особистою зрадою. Є застосунок під назвою Victory, призначений допомагати людям відмовитися від перегляду порнографії. Він є частиною набору інструментів, що включає партнерів з підзвітності та відстеження прогресу. Це той тип застосунку, до якого звертаєшся у найвразливіший момент, прагнучи позитивних змін у житті. На жаль, безпека застосунку виявилася не міцнішою за мокрий паперовий пакет.

Дослідники виявили, що застосунок зливав надзвичайно чутливі дані про звички сотень тисяч користувачів. Йдеться про дані, які можна використати для шантажу або жорстокого соціального приниження. Іронія настільки густа, що її можна намазувати на хліб: застосунок, покликаний стати безпечним простором для самовдосконалення, зрештою наразив своїх користувачів саме на те, чого вони намагалися уникнути. Це чітке нагадування: передаючи застосунку найприватніші дані, ви робите величезний стрибок віри.

Справжня ціна безкоштовного (і не дуже) програмного забезпечення

У Великій Британії діють суворі правила GDPR, які мають захищати нас від подібного. Проте застосунки, розроблені за кордоном, часто грають за іншими правилами або взагалі без них. Витік Victory нагадує: конфіденційність - це не просто функція, це фундаментальне право. Коли компанія не може його захистити, вона зазнає невдачі не лише як бізнес, а й у базовій людській порядності. Для всіх, хто користується застосунками для "саморозвитку", порада очевидна: перевіряйте дозволи, читайте політику конфіденційності, і якщо щось виглядає підозріло - так, мабуть, і є.

Signal під облогою: російський слід

Переходячи від особистих звичок до міжнародного шпигунства, дізнаємося, що російські хакери атакують акаунти Signal. Signal давно є улюбленцем у світі конфіденційності, рекомендованим усіма - від Едварда Сноудена до вашого технічно підкованого кузена, що живе у клітці Фарадея. Він використовує наскрізне шифрування, тобто навіть сама компанія не може читати ваші повідомлення. Але хакери знайшли спосіб обійти шифрування, атакуючи натомість самих користувачів.

Група, відома як Sandworm (або APT44 серед фахівців), використовує вишукану соціальну інженерію, щоб змусити людей прив'язати свої акаунти Signal до десктопної версії, контрольованої хакерами. Отримавши цей зв'язок, вони можуть бачити кожне повідомлення, яке ви надсилаєте та отримуєте, у реальному часі. Це блискучий, хоча й жахливий, спосіб обійти захист. Вони не зламують замок - вони змушують вас самих передати запасний ключ.

Для нас у Великій Британії це своєчасне нагадування: найбільша вразливість будь-якої системи безпеки - зазвичай сама людина, яка нею користується. У нас може бути найкраще шифрування у світі, але якщо нас легко обдурити добре складеним повідомленням або фальшивим екраном входу, всі зусилля марні. Росіяни грають у довгу гру і роблять це дуже добре. Нам потрібно бути настільки ж кмітливими.

Вердикт: ганебний стан справ

Чого ми навчилися з цього тижня цифрового хаосу? По-перше, ФБР варто найняти кращих веб-розробників. По-друге, ваші "приватні" застосунки можуть бути геть не такими. І по-третє, навіть найзахищеніші платформи вразливі до вправного трюку. Це гнітюча картина, особливо коли ми вже маємо справу з кволою економікою та світом, що здається дедалі нестабільнішим.

Переваги сучасних технологій: Ми маємо світову інформацію на кінчиках пальців і можемо миттєво спілкуватися з будь-ким і будь-де.

Недоліки сучасних технологій: Ця інформація може включати файли ФБР про Епштейна, а ваше спілкування може читати нудьгуючий агент у Москві, поки ваш застосунок "відмови" розповідає світу про ваші звички у вівторок ввечері.

Чи є у цьому хоч якась користь? Можливо. Ці інциденти слугують дзвінком-будильником. Вони нагадують нам бути скептичними, обережними і ніколи не вважати, що "захищений" насправді означає "безпечний". Якщо ви користуєтеся Signal, перевірте підключені пристрої. Якщо ви використовуєте застосунки для саморозвитку, можливо, варто замінити їх паперовим щоденником. А якщо ви - ФБР, спробуйте вимкнути та знову увімкнути портал або просто поставте на нього нормальний пароль.

Співвідношення ціни та якості у світі технологій зараз знаходиться на рекордно низькому рівні, якщо врахувати вартість вашої конфіденційності. Ми платимо за пристрої та сервіси, які часто ставляться до наших даних як до товару для торгівлі або незручності, яку слід ігнорувати. Час вимагати кращого. А до того часу залишайтеся в безпеці, робіть паролі довшими і, заради всього святого, припиніть натискати на посилання, яких ви не знаєте.

Прочитайте оригінальну статтю за посиланням.