Оригинал: www.computerra.ru/228986/esli-privatnosti-net-o-nej-ne-trevozhtes/
7.05.2018

Если приватности нет — о ней не тревожьтесь!

Сетовать на возможную утечку данных с цифровых устройств — к злодеям ли хакерам, спецслужбам или перепродавцам — в околоайтишных дискуссиях давно стало привычным делом и даже хорошим тоном (загляните в комментарии к «Кто пустил ИИ в дом»!). Мол, за нами следят, приватность пора заносить в Красную книгу, каждая новая железка — ещё один «глазок» в и без того уже изрядно дырявой стене, и так далее и тому подобное.

На самом-то деле «умные» вещи обычно защищены крепче, чем думает обыватель, но не стану сейчас переубеждать тех, кто считает возможную утечку несомненной. Напротив, сегодня хочется поговорить о том, что сигнал тревоги звучит недостаточно часто! А именно, проблема вот в чём: обращая внимание лишь на один канал утечки «приватных» сведений, мы ограничиваем свой кругозор и понимание последствий.

Давайте попробуем оценить угрозу для приватности комплексно, собрав и проанализировав инциденты из казалось бы совершенно не связанных областей. Во врезках — три свежие истории, на первый взгляд друг с другом не пересекающиеся, но, как станет видно, всё-таки являющиеся частью одной большой картины. Картины вроде бы печальной, но... Не будем торопиться с выводом.

[ВРЕЗКА 1]

На днях в США, после сорока лет розысков, арестован печально знаменитый Убийца из Золотого Штата (Golden State Killer), на счету которого десятки изнасилований, дюжина человеческих жизней и больше сотни ограбленных домов. Им оказался 72-летний Джозеф ДиАнжело, так долго избегавший поимки в том числе и благодаря тому, что одно время сам служил полицейским. А поставить точку в старом деле удалось благодаря ДНК-тесту. При этом сам ДиАнжело генетических анализов никогда не делал, но его всё-таки вычислили — по open source-базе сервиса GEDmatch.

Сервис этот позволяет всем желающим загрузить в общедоступную базу собственный геном и анализировать его, в том числе сравнивая с геномами других пользователей. Таким образом, в частности, возможно отыскать дальних родственников (надёжно до троюродных сестёр и братьев).

Пусть сорок лет спустя, но пойман!

Следователь же решил задачу от обратного. Он предположил, что кто-то из родственников преступника мог пользоваться GEDmatch и таким образом «засветить» семейный геном. Имея образцы ДНК с места преступления и пользуясь тем, что закон позволяет обращаться с такой информацией не спрашивая разрешения у преступника (было бы странно его требовать, согласитесь!), он действительно выявил ряд совпадений с геномами пользователей в базе GEDmatch и построил вероятное семейное дерево примерно из тысячи человек.

Далее, перебором всех кандидатов с учётом дополнительных фактов — известно, что преступник мужчина, известны его предполагаемые районы проживания, имя вероятного родственника, неосторожно названное и запомненное пострадавшим, и т.п. — круг поиска сузили до нескольких человек. В конце концов образцы ДНК самого ДиАнжело взяли с оставленных им в общественных местах предметов — и они полностью совпали с ДНК с мест преступлений.

[ВРЕЗКА 1]

Прежде всего: целью атаки чаще всего становятся не конкретные устройства, а внешние сервисы, которые к этим устройствам привязаны. Так было (вспомните, например, «Голышню в Айклауде»), так есть и так, вероятно, будет. Планшетки, смартфоны, «умные» вещи вообще защищены от прямого взлома лучше, чем это обычно предполагается: спасибо их операционным системам, основанным на принципах UNIX (Android это всё ещё Linux, а iOS — из семейства BSD). Фотографии, видео, личные документы и прочее обычно крадут из внешних сервисов, внешних баз данных, эксплуатируя либо неосторожную невнимательность пользователей, либо технические и правовые недоработки самих сервисов.

Следователь, поймавший матёрого насильника, по сути пользовался любопытством людей, грузивших свои ДНК в GEDmatch, плюс лазейками в законах, позволяющими изучать генный материал подозреваемого без его уведомления. Но так же и Cambridge Analytica (см. далее) воспользовалась невнимательностью рядовых юзеров, давших слишком большие права новому приложению, и расхлябанностью фейсбуковского API, позволившего извлекать накопленные соцсетью данные.

Отсюда неизбежный следующий пункт: вы, как рядовой пользователь, скорее всего не в силах предотвратить или модулировать утечку данных о себе. Иначе говоря, ваши данные — про вас, но они уже не ваши! Вы предоставили их социальным сетям, то есть таким ресурсам, где возможно обнаружение взаимосвязей между вами и другими пользователями. И/или позволили такие данные о вас собирать.

В этом смысл и привлекательность социальных ресурсов: открывается возможность находить собеседников по общим интересам, родственников по схожим местам в ДНК, и т.п. Но платим мы за это предоставлением права на автоматическую обработку наших данных внешним сервисам, плюс правом на хотя бы некоторый доступ к ним третьих лиц. А значит, теперь приватные данные могут работать без нашего участия и, вероятно, спросу.

[ВРЕЗКА 2]

В апреле на большом концерте в Китае был арестован некто Ао, подозреваемый в совершении ряда экономических преступлений. Из толпы в 50 тысяч человек мужчину выделила автоматическая система распознавания лиц, обрабатывающая видеопоток с камер наблюдения. Это уже не первый случай успешного применения централизованной системы распознавания лиц в Китае, но по факту самый громкий на сегодняшний день: газеты на все лады расписывали шок задержанного, который никак не ожидал, что его возможно хотя бы заметить в такой давке!

Это, вообще говоря, значительное техническое достижение. Лицо — не самый надёжный биометрический идентификатор, так что легко построить систему распознавания в небольшой группе, но трудно узнавать лица в масштабах страны (вспомните «Как и для чего рекламный щит научили видеть»). Но — факт: затеряться среди большого количества людей больше не удастся. Китай доказал это практически и сейчас активно развивает национальную систему наблюдения, планируя вывести число камер в стране за полмиллиарда в ближайшие годы.

[ВРЕЗКА 2]

Что выводит нас на следующий печальный момент: вы не можете знать, используются ли ваши данные в текущий момент, но разумно предполагать, что используются. Раз уж информация накоплена, она пускается в дело. И тут нет разницы, идёт ли речь о социальной сети, бизнес которой построен на эксплуатации пользовательских данных, государственном проекте общественной безопасности или построенном учёными open source-инструменте.

Для того данные и собирают, чтобы их использовать! А нежелание обывателя признавать этот факт делает ему же самому больней: шок — общее для всех трёх историй. Тот пойманный гражданин Поднебесной может быть и предполагал, что данные (его фотография) используются, но не ожидал, что в текущий момент и так эффективно. Но совершенно то же можно сказать и о насильнике, и о миллионах пользователей Facebook, заставивших в конце концов Цукерберга прилюдно извиняться.

Как видите, ситуация даже более удручающая, чем представляется многим: чтобы стать объектом наблюдения, сегодня уже не требуется ждать, пока пресловутый злобный хакер взломает ваш смартфон и включит без вашего ведома камеру. Но можно ли что-то сделать, что-то этому противопоставить?

Возвести технический барьер? Лучше признать, что пытались и не смогли. Если что и изменилось за последние двадцать лет в цифровом мире, так это то, что данные стали растекаться ещё легче — всех форматов, по любым каналам! Лёгкость репликации, в том числе приватной информации, как будто противоречит нашему желанию оградить личное пространство, но по факту скорее свидетельствует, что мы ценим результат обработки данных выше их самих. Такой своего рода многосторонний социальный контракт, заключённый в том числе с совестью и страхами.

Наверное можно поучаствовать в возведении барьера правового, но и тут стоит признать, что мы терпим поражение. Несмотря на активные дебаты в Сети, судах и среди законодателей, приватные данные продолжают утекать и с каждым годом их ещё активней используют бизнес, государство, злоумышленники. Кроме того, правовой барьер — это в любом случае задача, требующая лет, если не десятилетий. Если вы не правозащитник, которого такая деятельность кормит, признайтесь хотя бы самому себе: оно вам надо, тратить свою жизнь на достижение блага, которое обществу может быть окажется не нужно?

[ВРЕЗКА 3]

В апреле же достиг пика скандал с утечкой данных (профили, «лайки», адреса и местоположения, иногда личные сообщения, ленты новостей и т.п.) десятков миллионов пользователей Facebook. Главный фигурант этой истории — британская консалтинговая контора Cambridge Analytica, похваляющаяся тем, что имеет автоматически составленные психографические досье на огромное множество сетян, в том числе, например, почти на каждого гражданина США.

Каждая персона в таком досье характеризуется несколькими тысячами параметров, которые (теоретически) можно эффективно использовать для направленного на неё, персону, информационного воздействия. Как такие данные собирают? Да вот хотя бы так, как в скандале с «Фейсбуком».

Некоторое время назад от имени CA пользователям Facebook было предложено якобы научное приложение-опросник. Формально собранные им данные, характеризующие жизнь респондента в Сети, должны были использоваться только в академических целях. Фактически же их использовали для избирательных кампаний: CA помогала политикам (которые, естественно, за это платили) «подбирать ключики» к сердцам потенциальных избирателей.

Но нецелевое использование данных ещё полбеды. Приложение CA установили всего 300 тысяч человек. Но как выяснилось, благодаря тому, что многие из них не обращают внимания, что разрешено их приложениям, а программный интерфейс Facebook самостоятельно потенциально опасные пересечения не контролирует, Cambridge Analytica получила доступ к сведениям и о их друзьях и встречных, в общей сложности о 87 миллионах человек.

[ВРЕЗКА 3]

Безвыходных ситуаций, как известно, не бывает, бывают непростые решения. Так и катастрофическая ситуация с приватностью привела к рождению идеи добровольной изоляции, а именно ухода из социальных сетей. Мол, достаточно отписаться от фейсбуков и вконтактов, твиттеров и инстаграмов, и сразу почувствуете облегчение.

Что ж, технически это действительно возможно — и начавшийся местами отток пользователей из оскандалившейся Facebook тому подтверждение. Однако стоит помнить, что данные социальными сетями и ресурсами давно уже собираются не только о своих пользователях, но и о тех, кто так или иначе с ними связан.

Та же «Фейсбук», как теперь установлено, копит сведения вообще на всех сетян, замеченных на контролируемых ею интернет-площадках. Так же, например, и генетические базы данных, путём сравнения родственников, позволяют составить неполный портрет людей, которые никогда своих геномов в базы не закачивали. А «биометрия» официальными органами и вовсе собирается в добровольно-принудительном порядке, при оформлении документов, правонарушениях и прочих обычных ситуациях. Иначе говоря вы, конечно, можете уйти из соцсетей, но тем, скорее, усложните жизнь себе и близким, нежели защитите себя от внимания посторонних.

Что остаётся? Старый весёлый рецепт: расслабиться и получать удовольствие. Наслаждаться жизнью с новыми технологиями и не слишком переживать от мысли, что окружающие о вас будут знать чуть больше, чем знали год, пять или десять лет назад. Всё равно исправить это уже нельзя.

Возможно в один прекрасный день, когда покушение социума на приватность хлестнёт через край, ситуация качнётся в обратную сторону. Но до тех пор — не берите в голову. Оглянитесь: смотрите, как вокруг интересно!


приватность,биометрия,GEDmatch,ДНК,распознавание_лиц,социальная_сеть,Cambridge_Analytica




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены