Сноуден наконец отправил Пойтрас зашифрованное письмо, в котором подписался как «Гражданин четыре» (Citizen Four). Этот псевдоним стал названием снятого Лорой Пойтрас оскароносного документального фильма о борьбе Сноудена за право на конфиденциальность.

Возможно, кто-то подумает, что на этом все и закончилось — теперь они могли спокойно общаться с помощью зашифрованных писем, но это не так. Это было всего лишь начало.

На волне террористических актов в Париже в 2015 году правительства нескольких стран обсуждали инструменты обхода подобных систем защиты или другие методы, с помощью которых чиновники могли бы расшифровывать закодированные электронные письма, текстовые сообщения или SMS — якобы защищаясь от иностранных террористов. Конечно, это противоречит самой сути и предназначению шифрования. Однако, как вы увидите далее, правительствам на самом деле не нужно видеть содержимое ваших писем, чтобы знать, с кем и как часто вы общаетесь.

Как я уже говорил ранее, зашифровать — значит закодировать сообщение так, чтобы раскодировать его мог только человек, который знает ключ. То, насколько легко человек без ключа сможет взломать ваш код, зависит и от сложности математической операции, и от длины самого ключа шифрования.

Распространенные сегодня алгоритмы шифрования общедоступны. Это хорошо.28 Бойтесь закрытых, не общедоступных алгоритмов шифрования. Общедоступные алгоритмы прошли проверку на слабые места — в том смысле, что люди намеренно пытались взломать их.

Когда в одном из общедоступных алгоритмов появляются уязвимости или его взламывают, он остается в прошлом и вместо него появляются новые, более надежные алгоритмы. Устаревшие алгоритмы никуда не исчезают, но пользоваться ими настоятельно не рекомендуется.

Ключи (в той или иной степени) являются зоной вашего контроля, поэтому, как вы могли догадаться, очень важно следить за ними. Если вы генерируете ключ шифрования, вы — и только вы — будете хранить этот ключ на своем устройстве. Если вы поручите шифрование какой-нибудь компании, например, через облачный сервис, то она сможет сохранить у себя ваш ключ. Главная причина для беспокойства заключается в том, что по закону эта компания может быть обязана передавать ваш ключ органам правопорядка или спецслужбам, при этом вас могут не поставить в известность о происходящем. Вам нужно читать политику конфиденциальности каждого сервиса, которым вы пользуетесь для шифрования, чтобы понимать, у кого будут ваши ключи.

Когда вы зашифровываете сообщение — электронное письмо, текстовое сообщение или телефонные переговоры, — предпочтительно сквозное (оконечное) шифрование. При этом ваше сообщение невозможно будет прочитать до тех пор, пока оно не дойдет до своего адресата. При сквозном шифровании только у вас и у получателя будут ключи, с помощью которых расшифровывается послание. Никто, кроме вас, не сможет этого сделать — ни телекоммуникационная компания, ни владелец веб-сайта, ни разработчик приложения — т. е. никто из тех, к кому обращаются органы правопорядка или спецслужбы, чтобы получить информацию о вас. Как узнать, использует ли выбранный вами сервис сквозное шифрование? Введите в поисковой строке Google запрос «почтовая служба со сквозным шифрованием». Выбрав сервис, проверьте, чтобы генерируемые ключи сохранялись только на вашем устройстве и на устройстве получателя и больше нигде. Если на сайте об этом не говорится, ищите другой.

Если все это кажется вам сложным, то только потому, что так оно и есть. Но существуют специальные PGP-плагины для браузеров Chrome и Firefox, которые значительно упрощают процесс шифрования. Один из них, под названием Mailvelope, отлично справляется с созданием и хранением открытых и закрытых ключей шифрования PGP. Просто напечатайте кодовую фразу, на основе которой генерируются открытый и закрытый ключи. Затем, когда в следующий раз вы будете писать письмо, пользуясь веб-почтой, выберите получателя, и, зная его открытый ключ, вы сможете отправить ему зашифрованное письмо.29

Даже если вы шифруете свои электронные письма с помощью PGP, небольшую, но очень информативную часть вашей почты все равно может прочитать кто угодно. Пытаясь защититься от разоблачительных заявлений Сноудена, правительство США снова и снова твердило, что не занимается перехватом фактического содержимого электронной почты, которое при PGP-шифровании прочитать невозможно. Вместо этого правительство заявляло о том, что оно собирает только метаданные.

Что собой представляют метаданные электронной почты? Это значения полей «кому», «от кого» и адреса всех серверов, через которые проходило письмо по пути от отправителя к получателю. Также сюда входит строка с темой письма, которая иногда может очень многое сказать о его зашифрованном содержимом. Метаданные, пережиток ранних этапов развития Интернета, до сих пор являются частью каждого электронного письма, но в современных почтовых сервисах эта информация скрыта.30

Какой бы плагин PGP вы ни выбрали, программа не шифрует метаданные — информацию в полях «кому» и «от кого», а также дату отправления. Все это останется в виде открытого текста, независимо от того, видите вы эти данные или нет. Посторонние лица смогут прочитать метаданные зашифрованного послания, и они узнают, что такого-то числа вы отправили письмо такому-то получателю, а через два дня — снова, и так далее.

Может быть, в этом нет ничего страшного, поскольку эти посторонние люди не смогут прочитать, что именно вы написали, и вам, вероятно, не представляются важными технические детали пересылки письма, через какие серверы и в какое время оно проходило, но вы удивитесь, как много можно узнать только на основании маршрута писем и частоты их отправления.

Еще в 90-е, до того как я пустился в бега от ФБР, я занимался так называемым «анализом метаданных» распечаток телефонных соединений. Сначала я взломал сервер PacTel Cellular, оператора сотовой связи в Лос-Анджелесе, и получил полную детализацию соединений всех, кто разговаривал по телефону с информатором, от которого ФБР получало сведения обо мне и моих действиях.

Детализация соединений очень напоминает метаданные, о которых мы говорили ранее. Там отмечено время соединения, набранный номер, длительность соединения, а также сколько раз звонили с того или иного номера, все это очень важно.

Просмотрев все вызовы, совершенные с помощью оператора PacTel Cellular на городской номер информатора, я сумел составить список мобильных номеров всех людей, которые ему звонили. Проанализировав биллинговую информацию звонивших, я смог определить, что они были сотрудниками ФБР и совершали вызовы из офиса Бюро в Лос-Анджелесе. Вполне очевидно, что некоторые из набранных этими людьми номеров принадлежали офису ФБР в Лос-Анджелесе, прокуратуре США и другим государственным структурам. Некоторые вызовы были очень длительными. На некоторые номера звонили очень часто.

Когда информатора переселяли в новое безопасное место, я узнавал его городской номер телефона, поскольку агенты звонили туда, если им не удавалось связаться с информатором по пейджеру. Получив номер телефона информатора, я посредством социальной инженерии легко определял адрес дома — я притворялся сотрудником телекоммуникационной компании Pacific Bell, обслуживавшей этот район.

Социальная инженерия — это метод несанкционированного доступа к информации путем психологического воздействия, манипулирования и управления действиями человека с целью заставить его выполнить желаемое. Часто из человека обманным путем выуживают конфиденциальную информацию. В данном случае мне были известны служебные номера телефонной компании, и я, представившись техническим специалистом на выезде, оперировал соответствующей ситуации терминологией и профессиональной лексикой, чтобы получить от компании конфиденциальные сведения.

Поэтому хотя отслеживание и хранение метаданных электронной почты — это не то же самое, что перехват фактического содержимого писем, но это все равно можно рассматривать как вторжение в частную жизнь.

Если вы посмотрите на метаданные одного из недавно полученных писем, вы увидите IP-адреса тех серверов, которые служили передаточными пунктами для вашего письма по всему миру, пока оно шло к адресату. У каждого сервера — как и у каждого человека, пользующегося Интернетом — есть уникальный IP-адрес, числовая величина, которая зависит от страны вашего пребывания и от интернет-провайдера. За каждой страной закреплен свой блок IP-адресов. Разным частям мира присвоены целые блоки IP-адресов, и за каждым провайдером зарезервирован собственный подблок, который в свою очередь делится на подблоки в зависимости от типа предоставляемых услуг: коммутируемый доступ, выделенная линия или мобильный Интернет. Если вы приобрели статический IP-адрес, он будет привязан к вашей учетной записи и к домашнему адресу, в противном случае ваш внешний IP-адрес будет генерироваться из пула адресов, принадлежащих вашему интернет-провайдеру. Так, например, обладатель IP-адреса 27.126.148.104 находится в Виктории, Австралия.

Или, например, IP-адрес 175.45.176.0 принадлежит Северной Корее. Письмо от отправителя с таким IP-адресом, вероятно, будет помечено для дальнейшего изучения. Кто-нибудь из правительства США, возможно, пожелает узнать, почему вы переписываетесь с человеком из Северной Кореи, даже если в теме письма будет написано «С днем рождения».

Возможно, сам по себе адрес сервера не так уж интересен. Но частота взаимодействия с ним может многое рассказать. Кроме того, если вы определите каждый элемент, отправителя, получателя и их местонахождение, вы начнете понимать, что происходит на самом деле. Например, метаданные телефонных соединений, текстовых сообщений и электронных писем — их частота, время суток и пр. — могут многое рассказать о душевном здоровье человека.

Звонок в 22 часа на горячую линию для жертв домашнего насилия длительностью 10 минут или вызов в полночь с Бруклинского моста на горячую линию по предотвращению самоубийств длительностью 20 минут говорят о многом. В Дартмутском колледже разработали приложение, которое распознает в пользовательских данных шаблоны поведения, характерные для людей, испытывающих стресс, депрессию и одиночество. Также изучается взаимосвязь между подобным поведением и академической успеваемостью студента.31

Все еще не видите ничего страшного в том, чтобы метаданные ваших электронных писем находились в открытом доступе? В Массачусетском технологическом институте был разработан проект под названием Immersion (Погружение). Это программа, которая позволяет на основе одних лишь метаданных создать наглядную схему взаимоотношений между отправителями и получателями всех писем, хранящихся в вашем аккаунте Gmail. Инструмент наглядно демонстрирует, кто из адресатов для вас наиболее важен. Программа даже выводит шкалу времени, чтобы было видно, как знакомые вам люди с течением времени обретали или теряли значимость в вашей жизни. Хотя, вероятно, вам кажется, что тут все и так понятно, но визуальное отображение этих взаимосвязей может на многое открыть вам глаза. Вполне возможно, что вы и не представляли себе, как часто отправляете электронные письма практически незнакомому человеку и как редко человеку, которого очень хорошо знаете. Как бы то ни было, инструмент Immersion дает вам возможность самостоятельно решать, загружать ли в него данные, а также удалить информацию после составления графика.32

Если верить Сноудену, АНБ и другие агентства хранят метаданные наших электронных писем, текстовых сообщений и телефонных соединений. Но не может же правительство хранить метаданные абсолютно каждого человека. Или может? Технически — нет. Однако, начиная с 2001 года, в «законном» сборе информации произошли существенные изменения.

В соответствии с принятым в США в 1978 году Актом о негласном наблюдении в целях внешней разведки (англ. Foreign Intelligence Surveillance Act, FISA), все запросы на выдачу разрешения на наблюдение за иностранными гражданами на территории США рассматривает Суд по наблюдению в целях разведки (англ. Foreign Intelligence Surveillance Court). Казалось бы, вполне логично, что между человеком и правоохранительными органами должен стоять судебный ордер. В действительности все происходит несколько иначе. Только в 2012 году из поступивших в суд 1856 запросов на слежку было одобрено 1856, из чего напрашивается вывод, что выдача ордеров для правительства США превратилась по большому счету в простую формальность.33 После того как Суд по наблюдению в целях разведки одобряет запрос, правоохранительные органы могут потребовать от частных корпораций выдать все имеющиеся у них данные о вас — если они, конечно, не сделали этого ранее.

Чтобы стать по-настоящему невидимым в цифровом мире, недостаточно просто шифровать сообщения. Также нужно:

Скрывать свой настоящий IP-адрес — то есть точку выхода в Интернет, ваш след. Он может выдать ваше местоположение (вплоть до конкретного адреса) и вашего интернет-провайдера.

Стирать данные о своем программном и аппаратном обеспечении — когда вы выходите в Интернет, на сайт отправляется отчет об используемом вами программном обеспечении и аппаратных средствах. Определить, какое именно программное обеспечение установлено, можно с помощью различных технологий, таких как Adobe Flash. Браузер передает сайту сведения о том, какая версия операционной системы у вас установлена, а иногда также о том, каким еще программным обеспечением вы пользуетесь на своем компьютере.

Оберегать свою анонимность — идентифицировать личность в Интернете очень трудно. Доказать, что именно вы были за компьютером, когда что-то случилось, довольно сложно. Однако если вы прошлись перед камерой прежде, чем выйти в Интернет из кофейни Starbucks, или если вы просто купили там латте, расплатившись своей картой, все это может указать на то, что вы вышли в Интернет через несколько минут после вышеописанных событий.

Как мы уже выяснили, при каждом подключении к Интернету вам приписывается определенный адрес.34 Это проблема, если вы хотите быть невидимым в Интернете: вы можете изменить имя (или вообще его не указывать), но IP-адрес все равно выдаст ваше местонахождение на нашей планете, вашего интернет-провайдера и человека, который платит за доступ в Интернет (это можете быть вы или кто-то другой). Все эти фрагменты информации присутствуют в метаданных электронного письма, и впоследствии с их помощью вас можно будет идентифицировать. Любое общение, будь то электронная переписка или что-то другое, может способствовать идентификации вашей личности через IP-адрес, который приписан к тому маршрутизатору, которым вы пользуетесь дома, на работе или у друзей.

IP-адреса в электронных письмах, безусловно, можно подделать. Некоторые пользуются прокси-серверами — заменяют свой реальный IP-адрес чьим-то другим, — поэтому кажется, что их электронные письма отправлены из какого-то другого места. Прокси-сервер — это как переводчик с иностранного языка: вы говорите с переводчиком, а тот говорит с иностранцем, только в случае с прокси-сервером сообщение передается в абсолютно неизменном виде. Суть в том, что с помощью прокси-сервера можно скрыть, что в действительности письмо отправлено не из Китая или Германии, а из Северной Кореи.

Вместо создания и администрирования собственного прокси-сервера можно пользоваться таким типом сервисов, как анонимные ремейлеры — они скроют реальный IP-адрес, с которого вы отправляете электронные письма. Анонимный ремейлер просто меняет адрес электронной почты отправителя перед отправкой письма. Получатель может ответить также с помощью ремейлера. Это самый простой вариант.

Существуют и другие схемы. С помощью некоторых ремейлеров первого и второго типа нельзя отвечать на письма, можно только отправлять. Ремейлеры третьего типа, или Mixminion, позволяют и отвечать, и пересылать, и шифровать письма. Если вы собираетесь пользоваться этим методом анонимной переписки, нужно выяснить, какими возможностями располагает ваш ремейлер.

Один из способов маскировки IP-адреса заключается в использовании луковой маршрутизации (Tor), именно этот способ и выбрали Сноуден с Пойтрас.

Это программное обеспечение с открытым исходным кодом было разработано Военно-морской академией США в 2004 году, чтобы военнослужащие могли проводить свои исследования, не раскрывая своего местонахождения, и позже было доработано. Tor предназначается для людей, живущих в странах с авторитарным режимом и стремящихся обойти цензуру в общедоступных СМИ и сервисах, а также скрыть свои поисковые запросы. Tor — это бесплатное программное обеспечение, которым может пользоваться кто угодно и где угодно, в том числе вы.

Как же работает Tor? Система принципиально поменяла модель доступа к сайту.

Обычно, когда вы выходите в Интернет, вы запускаете веб-браузер и вводите адрес нужного сайта. На сайт отправляется запрос, и через миллисекунду ваш браузер получает ответ и запрошенную страницу. Веб-сайт узнает — с помощью IP-адреса, — кто ваш интернет-провайдер, а иногда даже из какой точки мира вы выходите в Интернет (опираясь на то, где физически расположен ваш интернет-провайдер, или по количеству и частоте передачи пакетов с вашего устройства на сайт). Например, если ваше устройство заявляет, что находится в США, но время и скорость передачи данных свидетельствуют о том, что вы находитесь в какой-то другой точке мира, некоторые сайты — в частности игровые — расценят это как попытку мошенничества.

При использовании Tor непосредственное соединение между вами и целевым веб-сайтом скрывается за счет использования дополнительных узлов и каждые 30 секунд цепочка узлов, связывающая вас с тем сайтом, который вы просматриваете, меняется, не причиняя вам никаких неудобств. Множество узлов, соединяющих вас с сайтом — это слои, как в луковице. Иначе говоря, если бы кто-нибудь попытался отследить вас через просматриваемый веб-сайт, ему бы это не удалось, поскольку маршрут постоянно меняется. Если между вашей точкой входа и точкой выхода не будет каким-либо образом обнаружена связь, ваше соединение можно считать анонимным.

Когда вы выходите в Cеть через Tor, ваш запрос на загрузку страницы, например mitnicksecurity.com, отправляется не напрямую на соответствующий сервер, а на другой узел Tor. И, чтобы еще больше все запутать, этот узел передает запрос следующему узлу, который уже направляет его на mitnicksecurity.com. Таким образом, у нас есть входной узел, узел посередине и выходной узел. Если бы мне нужно было посмотреть, кто заходил на сайт моей компании, я бы смог увидеть только IP-адрес выходного узла, последнего в этой цепочке, а не первого, вашего входного узла. Можно настроить Tor Browser таким образом, чтобы он пользовался выходными узлами в определенной стране, например в Испании, или даже каким-то конкретным выходным узлом, например в Гонолулу.

Чтобы пользоваться Tor, необходим специально доработанный браузер Firefox, который можно скачать с сайта Tor (torproject.org). Всегда устанавливайте специализированный Tor Browser для своей операционной системы с официального сайта Tor Project. Не выходите в Cеть через браузеры сторонних разработчиков. Для операционной системы Android можно скачать из Google Play бесплатное официальное приложение для выхода в Tor — Orbot, которое как шифрует ваш трафик, так и скрывает IP-адрес.35 Для устройств под управлением операционной системы iOS (iPad, iPhone) существует Onion Browser, официальное приложение, доступное в iTunes App Store.

Возможно, вы подумали, почему бы просто не создать сервер электронной почты непосредственно в сети Tor? Он был создан — почтовый сервис Tor Mail с хостингом на сайте, доступ к которому был возможен только через Tor Browser. Однако ФБР, расследуя совершенно не связанное с анонимностью дело, получило ордер на доступ к хранящимся на нем данным и, следовательно, ко всем зашифрованным письмам на сервере Tor Mail. Эта поучительная история демонстрирует, что, даже если вы уверены в безопасности своей информации, вы можете ошибаться.36

Хотя у Tor есть собственная сеть, технология позволяет выходить и в обычный Интернет, единственное, при этом страницы будут загружаться гораздо медленнее. Помимо доступа в обычный Интернет, Tor дает возможность погрузиться в мир сайтов, которые не найти через общедоступный поиск в Интернете. Этот мир называется Даркнет (или «скрытая сеть»). Это сайты, имена которых не соответствуют общепринятым шаблонам (например, Google.com), а оканчиваются — .onion. Через некоторые из этих скрытых сайтов предлагают, продают или предоставляют незаконные товары и услуги. Некоторыми из этих сайтов пользуются люди из стран с жестким цензурным режимом.

Однако необходимо отметить, что у технологии Tor есть ряд уязвимостей:

• У вас отсутствует контроль над выходными узлами, любой из которых может оказаться в руках правительства или правоохранительных органов.37

• За вами по-прежнему можно следить и даже установить вашу личность.38

Tor работает очень медленно.

Если вы все-таки решите пользоваться Tor, не нужно запускать его на том же устройстве, с помощью которого вы обычно выходите в Интернет. Другими словами, пусть у вас будет ноутбук, с которого вы выходите в Интернет, и отдельное устройство только для Tor (например, мини-компьютер Raspberry Pi, на котором запускается программное обеспечение Tor). Суть в том, что, если кто-нибудь сможет получить доступ к вашему компьютеру, у него все равно не получится просмотреть ваш Tor-трафик, потому что для Tor у вас предназначено совершенно иное устройство.39

В случае со Сноуденом и Пойтрас, как я уже говорил, недостаточно было просто связаться друг с другом по зашифрованной электронной почте. После того как Пойтрас создала новый открытый ключ для своего анонимного адреса электронной почты, она смогла бы отправить его на старый электронный ящик Сноудена, но если бы кто-то следил за этим ящиком, то ее новые данные были бы раскрыты. Главное правило тут заключается в том, что необходимо изолировать анонимные аккаунты от всего, что может хоть как-то раскрыть вашу личность.

Чтобы быть невидимым, с каждым новым человеком общение нужно начинать с чистого листа, если необходимо исключить вероятность утечки. Обычный электронный ящик может быть связан с различными аспектами вашей реальной жизни — друзьями, увлечениями, работой. Для конфиденциального общения необходимо создать новый электронный почтовый ящик через Tor, чтобы IP-адрес, с которого создается ящик, никак нельзя было привязать к вашей реальной личности.

Создание анонимного электронного ящика — сложная, но выполнимая задача.

Существуют службы приватной электронной почты. Если вы будете платить за них, вы оставите свой след, поэтому предпочтительнее выбирать бесплатный веб-сервис. Небольшая оговорка: в настоящее время Gmail, Microsoft, Yahoo! и другие сервисы требуют указать номер телефона для подтверждения своей личности. Совершенно очевидно, что пользоваться своим реальным номером нельзя, поскольку он может вывести на ваше настоящее имя и адрес. Возможно, вам удастся привязать аккаунт к телефонному номеру Skype, поскольку теперь Gmail поддерживает голосовую верификацию вместо верификации по SMS-сообщению. Однако чтобы создать телефонный номер Skype, вам все равно будет нужен действующий адрес электронной почты и ваучер Skype.40 Если вы считаете, что ситуацию можно исправить с помощью предоплаченного мобильного телефона, вы ошибаетесь. Если вы когда-либо звонили с этого предоплаченного телефона по своим личным делам, вычислить вас проще, чем отобрать конфету у ребенка.

Вместо этого лучше пользоваться одноразовыми телефонами. Некоторые люди считают, что использование таких телефонов — это прерогатива террористов, сутенеров и наркодилеров, но существует множество ситуаций, когда они могут пригодиться законопослушным гражданам. В качестве примера можно привести журналистку, вынужденную перейти на одноразовые телефоны, когда нанятые компанией Hewlett Packard частные детективы стали тщательно изучать содержимое ее мусорного бака — таким образом корпорация пыталась найти источник утечки важнейшей информации о совете директоров. После того случая она общалась со своим источником только по одноразовому телефону.41

Другой пример. Женщина, которая избегает общения с назойливым бывшим, может получить свой глоток свободы, переключившись на телефон, для общения по которому не нужно заключать договор, а следовательно, указывать учетную запись Google или Apple. Одноразовые телефоны обычно практически не позволяют пользоваться Интернетом. Как правило, с них можно звонить, писать и пользоваться электронной почтой, и большинству людей этого достаточно. Однако вы также сможете получать данные, поскольку вы сможете подключить этот одноразовый телефон к своему ноутбуку и с его помощью выходить в Интернет. (Я расскажу вам, как менять MAC-адрес вашего ноутбука, чтобы при каждом подключении одноразовый телефон считался новым устройством.)

Однако купить одноразовый телефон, сохраняя свою анонимность, довольно трудно. Вашу личность помогут установить действия, совершенные в реальном мире. Конечно, я могу зайти в гипермаркет, заплатить за одноразовый телефон наличными и оплатить (опять же наличными) сто минут общения. Кто узнает? Что ж, много кто узнает.

Во-первых, как я попаду в гипермаркет? Поеду на машине Uber? Возьму такси? Все эти данные могут приобщить к делу.

Я могу поехать на своей машине, но опять же правоохранительные органы смогут вычислить меня благодаря установленным на общественных парковках автоматическим считывателям номерных знаков для выявления автомобилей, находящихся в розыске. Данные с автоматических считывателей могут быть приобщены к делу.

Даже если я отправлюсь в гипермаркет пешком, мое лицо попадет в объектив нескольких камер наблюдения уже в самом магазине, и это видео также может быть приобщено к делу.

Ладно, допустим, я отправлю за телефоном кого-то другого — незнакомого мне человека, например, заплачу бездомному прямо на месте. Он войдет и купит за наличные телефон и несколько пополняемых карт. Это самый безопасный способ. Вы можете встретиться с этим человеком позже за много километров от магазина. Так вы сможете физически дистанцироваться от места совершения покупки. В этой ситуации самое слабое звено — это сам человек, с которым вы договорились — насколько можно ему доверять? Если заплатить ему больше стоимости самого телефона, то, скорее всего, он выполнит свою часть уговора и передаст вам телефон.

Активировать одноразовый телефон можно, или позвонив в службу поддержки оператора сотовой связи, или через сайт. Если вы не хотите, чтобы разговор записывался «в целях контроля качества обслуживания», лучше активировать телефон через Интернет. Выходить в сеть через Tor, подключаясь к общедоступной беспроводной сети, сменив перед этим MAC-адрес — это минимальные меры предосторожности. Все сведения, которые вы указываете о себе на сайте, должны быть выдуманными. Вместо своего адреса укажите адрес какого-нибудь крупного отеля, который можно найти в Интернете. Придумайте дату рождения и PIN-код и запомните эти данные на случай, если вам придется в будущем обращаться в службу поддержки.

Некоторые сервисы электронной почты вообще не требуют прохождения каких-либо проверок, и, если вы не опасаетесь преследования со стороны властей, телефонные номера Skype отлично подойдут для регистрации аккаунта Google и прочих подобных вещей. Но в качестве наглядного примера того, как можно применить на практике все то, о чем шла речь выше, представим себе, что, скрыв свой IP-адрес с помощью Tor и создав новый анонимный аккаунт Gmail, вы купили новый одноразовый мобильный телефон, на который вам пришел код подтверждения от Google или поступил голосовой вызов. Теперь у вас появился аккаунт Gmail, который практически невозможно отследить. Итак, у нас есть анонимный почтовый ящик, созданный на основе знакомых и привычных сервисов. Мы можем отправлять с него достаточно защищенные электронные письма, IP-адрес которых благодаря Tor будет скрыт (хотя у вас и нет контроля над выходными узлами), а содержимое которых благодаря PGP-шифрованию никто, кроме адресата, не сумеет прочитать.

Обратите внимание, что, если вы хотите сохранить анонимность нового ящика, вы должны заходить в него только через Tor, чтобы ваш настоящий IP-адрес невозможно было связать с этой почтой. Более того, нельзя пользоваться интернет-поиском, пока вы не вышли из этого анонимного аккаунта Gmail, иначе вы можете случайно ввести поисковый запрос, который тем или иным образом укажет на вас в реальной жизни. Даже поиск прогноза погоды может выдать ваше местонахождение.42

Как вы видите, чтобы стать невидимым и оставаться невидимым, необходима незаурядная самодисциплина и неусыпная бдительность. Но это разумная плата за невидимость.

Самый важный итог этой главы заключается в следующем: во-первых, следует знать обо всех способах, как заинтересованное лицо сможет вычислить вас, даже если вы приняли некоторые (но не все возможные) меры предосторожности, описанные мной. И если вы все же примете все эти меры предосторожности, знайте, что, когда пользуетесь анонимным аккаунтом, всегда необходимо сохранять бдительность. Без исключений.

Также не лишним будет напомнить, что огромную роль играет сквозное шифрование, благодаря которому, в отличие от обычного шифрования, сообщение невозможно прочитать, пока оно не будет получено адресатом. Сквозное шифрование пригодится и в других случаях — при шифровании телефонных разговоров и мгновенных сообщений, — о чем мы поговорим в следующих двух главах.

Глава 3

ОСНОВЫ ПРОСЛУШКИ

Каждый день вы тратите немыслимое количество часов, уставившись в экран смартфона: общаясь, отвечая на сообщения, сидя в Интернете. Но знаете ли вы, как на самом деле работает ваш сотовый телефон?

Сотовая связь, благодаря которой функционируют мобильные телефоны, беспроводная и обеспечивается вышками сотовой связи — базовыми станциями. Чтобы оставаться на связи, сотовые телефоны постоянно отправляют слабые маячковые сигналы на ближайшую к ним станцию или станции. Базовые станции передают ответный сигнал, уровень которого выражается в количестве «столбиков» на экране мобильного телефона — отсутствие «столбиков» означает отсутствие сигнала.

Чтобы хоть как-то сохранить конфиденциальность пользователя, в сигналах с сотового телефона используется так называемый международный идентификатор мобильного абонента (IMSI), последовательность цифр и букв, присвоенная SIM-карте. Это пережиток тех времен, когда операторы сотовой связи отслеживали ближайшие к вам базовые станции, чтобы знать, пользовались ли вы станцией своего оператора или находились в роуминге (пользовались станцией другого оператора). Первый фрагмент кода IMSI содержит информацию о вашем мобильном операторе, а остальная его часть — это уникальный идентификатор вашего мобильного телефона в этой сотовой сети.

Правоохранительные органы создали устройства, которые выдают себя за базовые станции сотовой связи. Они разработаны для перехвата разговоров и текстовых сообщений. В США правоохранительные органы также пользуются устройствами, с помощью которых можно определить IMSI мобильного телефона. Он перехватывается менее чем за секунду и без каких-либо уведомлений. Как правило, устройства перехвата IMSI применяются на крупных митингах, чтобы правоохранительные органы впоследствии могли выяснить, кто на них присутствовал, особенно если эти люди активно призывали других к ним присоединиться.

Кроме того, подобное устройство позволяет специальным приложениям создавать отчеты о пробках на дорогах. При этом сам номер телефона или IMSI не имеет значения, важно лишь, с какой скоростью ваш сотовый телефон перемещается от одной базовой станции к другой, из одной географической зоны в другую. В зависимости от того, за какой промежуток времени телефон оказывается у следующей базовой станции, соответствующий участок дороги отмечается красным, желтым или зеленым цветом.43

Ваше мобильное устройство, когда оно включено, находится на связи сразу с несколькими базовыми станциями. При этом обработкой телефонных соединений, текстовых сообщений и интернет-сессий передачи данных занимается ближайшая из них. По мере ваших перемещений телефон подсоединяется к ближайшей базовой станции, и в случае необходимости обработка вызова передается от станции к станции, а вы получаете бесперебойную связь. Остальные ближайшие станции находятся в режиме ожидания, поэтому, если вы перемещаетесь из пункта А в пункт Б и одна из станций может обеспечить более высокий уровень сигнала, смена станции происходит довольно гладко, благодаря чему соединение обычно не прерывается.

Достаточно сказать, что ваше мобильное устройство передает уникальный код, который получает и фиксирует определенное число базовых станций. Поэтому любой, кто просмотрит файлы данных той или иной базовой станции, увидит временный идентификатор мобильной станции (Temporary Mobile Subscriber Identity, TMSI) каждого абонента, оказавшегося в данной зоне в тот или иной момент времени, независимо от того, звонил он кому-нибудь или нет. Правоохранительные органы могут запросить (и запрашивают) у мобильного оператора все эти данные, включая информацию о личности каждого конкретного абонента.

Как правило, если просмотреть файлы данных только с одной базовой станции, можно выяснить лишь, что кто-то проходил мимо и мобильный телефон этого человека передал сигнал данной станции, находясь в режиме ожидания. Если был совершен звонок или пересылались какие-либо данные, в файлах будет также запись об этом вызове и его длительности.

Однако с помощью файлов данных с нескольких базовых станций можно отследить местонахождение абонента. Большинство мобильных устройств отправляют сигнал сразу трем или более базовым станциям. Опираясь на файлы данных с этих станций и сравнив уровень полученных ими сигналов, можно с довольно высокой степенью точности вычислить (методом триангуляции) местонахождение телефона. Таким образом, телефон, ваш ежедневный спутник — это фактически устройство слежения.

Как можно избежать отслеживания?

Чтобы подключиться к оператору сотовой связи, необходимо заключить договор и указать свое имя, адрес и номер паспорта. Кроме того, если вы покупаете телефон в рассрочку, банк проверит вашу кредитную историю, чтобы убедиться в вашей платежеспособности. Это неизбежно.

Разумная альтернатива — одноразовый телефон[7]. Предоплаченные сотовые телефоны, если их часто менять (например, раз в неделю или раз в месяц), позволяют оставаться инкогнито. Ваш TMSI появится в файлах данных базовых станций, а затем снова исчезнет, и, если вы соблюдали секретность при покупке телефона, по нему невозможно будет отследить личность владельца. Предоплаченные мобильники до сих пор привязаны к учетной записи пользователя, поэтому и IMSI будет приписан к этой же учетной записи. Следовательно, анонимность абонента зависит от того, как человек приобрел этот одноразовый телефон.

Для наглядности представим себе, что при покупке одноразового телефона вам удалось не оставить зацепок, которые могли бы вывести на вас. Вы выполнили все рекомендации из предыдущей главы и попросили не связанного с вами человека купить вам телефон за наличные.

Действительно ли такой телефон нельзя отследить? Если ответить коротко, то нет.

Поучительная история: однажды в 2007 году из порта в Мельбурне пропал контейнер с экстази стоимостью 500 млн долл. Владелец контейнера, Пэт Барбаро, известный наркоторговец, засунул руку в карман, достал один из двенадцати сотовых телефонов и набрал номер местного репортера, Ника Маккензи, который знал его под именем «Стэн». Затем Барбаро отправил Маккензи текстовое сообщение с другого одноразового телефона, пытаясь «анонимно» разузнать о ходе журналистского расследования пропажи контейнера. Как мы увидим, этот номер не прошел.

Одноразовые телефоны, что бы ни думало большинство людей, на самом деле не совсем анонимные. В соответствии с американским законом о содействии провайдеров телекоммуникационных услуг правоохранительным органам (закон CALEA, Communications Assistance for Law Enforcement Act) сведения об идентификаторах IMSI, связанных с одноразовыми телефонами, передаются правоохранительным органам точно так же, как IMSI обычных абонентов. Другими словами, сотрудник правоохранительных органов может идентифицировать одноразовый телефон так же просто, как и обычный мобильный телефон. Конечно, невозможно вычислить владельца такого телефона просто на основании IMSI, но владелец может выдать себя сам.

В Австралии, где закон CALEA не действует, правоохранительным органам удалось отследить множество телефонов Барбаро привычными методами. Например, детективы могли обратить внимание на то, что через несколько секунд после звонка с его личного телефона эта же базовая станция зафиксировала еще один телефонный вызов или текстовое сообщение с некого одноразового телефона. Если по данным базовых станций одни и те же IMSI часто оказываются на одной и той же территории одновременно, это может свидетельствовать о том, что эти телефоны принадлежат одному и тому же человеку.

Проблема Барбаро, у которого в распоряжении было несколько сотовых телефонов, заключалась в том, что, какой бы из них он ни взял, личный или одноразовый, сигнал передавался через одну и ту же базовую станцию. В файлах данных этой станции записи о звонках с одноразовых телефонов отображались рядом с записями о вызовах с его личного телефона. По телефону с SIM-картой, зарегистрированной на имя абонента, органы правопорядка могут легко отследить владельца и установить его личность. На этих фактах можно было построить пригодное для суда дело против Барбаро, особенно если бы аналогичная ситуация повторилась в другом месте. Так австралийские власти сумели предъявить Барбаро обвинение в организации транспортировки одной из крупнейших партий экстази в австралийской истории.

Подводя итог, Маккензи сказал: «С того дня, когда в моем кармане зазвонил сотовый и в мою жизнь ненадолго ворвался “Стэн”, меня особенно стал интересовать вопрос о том, что люди, какие бы меры предосторожности они ни предпринимали, общаясь, оставляют за собой след».44

Конечно, можно пользоваться только одноразовым телефоном. В таком случае вам время от времени придется анонимно докупать дополнительное время с помощью карт оплаты или биткойнов. Это можно сделать, подключившись к общедоступной Wi-Fi-сети, изменив MAC-адрес сетевой карты (см. далее в этой книге) и не попадая в поле зрения камер наблюдения. Или можно, как уже описывалось в предыдущей главе, заплатить незнакомцу, чтобы тот за наличные приобрел вам дополнительное время в каком-нибудь отдаленном магазине.45 Так будет дороже и, вероятно, возникнут определенные неудобства, но у вас будет анонимный телефон.

Несмотря на кажущуюся новизну, сотовая связь существует уже более сорока лет и, как и проводная телефония, частично опирается на устаревшие технологии, что делает ее уязвимой с точки зрения конфиденциальности.

С каждым следующим поколением сотовая связь приобретала новые возможности, в основном связанные с более эффективной и быстрой передачей данных. Мобильные телефоны первого поколения, или 1G, стали доступны в 1980-х годах. Эти первые Ю-сети и телефонные аппараты использовали аналоговую связь и опирались на несколько разных стандартов. В 1991 году появилась сотовая связь второго поколения (2G). 2G-связь объединяла в себе два стандарта: Global System for Mobile (GSM) и Code Division Multiple Access (CDMA). Также она включала в себя систему обмена короткими текстовыми сообщениями (SMS), сервис USSD и ряд других протоколов быстрого обмена данными, которые существуют и по сей день. Сейчас мы пользуемя 4G/LTE-связью, и скоро появится 5G.

Независимо от того, какое поколение связи (2G, 3G, 4G или 4G/LTE) поддерживает определенный оператор сотовой связи, он в обязательном порядке опирается на международный набор сигнальных протоколов, известный как Система сигнализации, или ОКС (общий канал сигнализации). Система сигнализации (сейчас актуальна 7-я версия), помимо прочего, обеспечивает непрерывность мобильной связи, когда вы едете по трассе и перемещаетесь от одной базовой станции к другой. Она также может быть одним из инструментов слежения. ОКС-7 прекрасно справляется со всеми задачами, связанными с маршрутизацией вызова, в частности:

• Установление нового соединения для вызова.

• Прерывание этого соединения, когда вызов завершен.

• Выставление счета той стороне, которая совершает вызов.

• Управление дополнительными возможностями, такими как переадресация вызова, отображение имени и номера телефона вызывающей стороны, трехсторонняя связь и другие услуги интеллектуальной сети связи.

• Бесплатные вызовы на номера с кодом 800 и 888 и платные на номера 900.

• Услуги беспроводной связи, включая идентификацию пользователя, передачу данных и мобильный роуминг.

Выступая с речью на Всемирном конгрессе хакеров (Chaos Communication Congress), ежегодной хакерской конференции в Берлине, Тобиас Энгель, основатель компании Sternraute, и Карстен Нол, ведущий научный сотрудник организации Security Research Labs, рассказали, что, пользуясь уязвимостью ОКС-7, они могут не только определить местоположение абонента сотовой сети в любой точке мира, но и прослушивать телефонные разговоры. А если не удалось прослушать соединение в режиме реального времени, можно записать разговор и переданные текстовые сообщения в зашифрованном виде, а позже расшифровать их.