Сотовые телефоны также не застрахованы от шпионажа со стороны крупных корпораций. Летом 2015 года наблюдательный специалист обнаружил, что операторы AT&T и Verizon добавляют дополнительный код к каждому запросу веб-страницы, исходящему от мобильного браузера. Это не идентификатор IMSI (международный идентификатор мобильного абонента), о котором мы говорили в главе 3, а уникальный идентификатор, который отправляется при каждом запросе веб-страницы. Этот код называется UIDH (от англ. Unique Identifier Header — заголовок уникального идентификатора) и представляет собой временный серийный номер, с помощью которого рекламодатели могут пометить вас в Интернете.

Специалист обнаружил этот идентификатор благодаря тому, что настроил анализатор трафика таким образом, чтобы тот сохранял все заголовки (что делают немногие). Затем он обратил внимание на то, что об абонентах Verizon собирается больше данных, чем о других посетителях. А позже понял, что это относится и к абонентам AT&T.95

Проблема в том, что пользователи не знали об этом коде. Например, даже если человек скачал на устройство мобильную версию браузера Firefox и установил специальные расширения для информационной безопасности, но при этом он является абонентом AT&T или Verizon, его действия в Интернете все равно будут отслеживаться посредством UIDH.

С помощью идентификаторов UIDH операторам Verizon и AT&T удавалось отслеживать трафик, связанный с запросами пользователей, и либо создавать их поведенческие профили (чтобы впоследствии правильно настроить рекламу), либо просто перепродавать полученные данные.

Оператор AT&T отказался от этой практики — пока.96 Verizon предоставил своим пользователям право управлять UIDH в настройках.97 Обратите внимание: если вы не отключили эту настройку, считается, что вы дали Verizon свое согласие на применение UIDH.

Даже если вы отключите JavaScript, просматриваемый сайт может отправить вашему браузеру текстовый файл под названием «куки» (cookie). Этот куки будет храниться долго. Название «куки» — это сокращенный вариант от magic cookie (англ. волшебное печенье), небольшой фрагмент данных, передаваемый браузеру и хранимый на компьютере пользователя для отслеживания таких вещей, как содержимое корзины покупок или даже авторизация пользователя. Изначально куки применялись браузером Netscape и служили для создания электронных корзин и других инструментов интернет-магазинов. Куки обычно сохраняются в браузере компьютера и удаляются через определенное время, хотя этот срок может измеряться десятилетиями.

Опасны ли куки? Сами по себе нет. Тем не менее они передают третьим лицам информацию о вашей учетной записи и настройках для определенного сайта, например, избранные города на сайте с прогнозом погоды или предпочтительные авиакомпании на туристическом сайте. В следующий раз, когда браузер установит соединение с сайтом, для которого у вас уже сохранен куки, тот вспомнит вас и, вероятно, скажет: «Привет, друг». Если же это интернет-магазин, он также вспомнит несколько ваших последних покупок.

Куки на самом деле не хранят эту информацию на компьютере или мобильном устройстве. Как и мобильные телефоны, для которых идентификаторы IMSI выступают в качестве ссылки, в куки содержится лишь ссылка на данные, находящиеся на сервере. Когда браузер загружает страницу, для которой у него сохранен куки, сайт отправляет в ответ дополнительную информацию, связанную с настройками и предпочтениями пользователя.

В куки хранятся не только персональные настройки, но и ценные для сайта статистические данные. Например, если вы потенциальный клиент компании и, чтобы получить доступ к информационным буклетам, уже оставляли на сайте свой адрес электронной почты или другие сведения о себе, велика вероятность, что в вашем браузере присутствует куки, с помощью которого компания может связать ваш профиль с данными из своей CRM-системы (CRM), скажем, SalesForce или HubSpot. Теперь при каждом посещении сайта компании вы будете идентифицированы с помощью куки, хранящегося в вашем браузере, и это посещение также будет отмечено в CRM-системе.

Куки сегментированы, т. е. сайт А обычно не видит содержимое куки сайта Б. Встречаются исключения, но, как правило, данные разделены из соображений безопасности. И все же, если посмотреть на куки с точки зрения интересующей нас темы, они мешают вам стать невидимыми.

Можно получить доступ только к куки с одного домена, группы ресурсов, приписанных определенному кругу людей. Рекламные сети обходят это ограничение, устанавливая один общий куки, который будет соотноситься с вашей деятельностью на всех сайтах сети. Однако в большинстве случаев куки не могут получать доступ к куки других сайтов. Современные браузеры позволяют пользователям соглашаться или отказываться от приема куки, Например, если вы выходите в Интернет в режиме инкогнито или через приватное окно браузера, браузер не сохранит историю ваших действий в эту сессию, а также у вас не появится новых куки (но если у вас уже есть подходящий куки, установленный ранее, он будет использоваться даже в режиме инкогнито). С другой стороны, если вы пользуетесь браузером в обычном режиме, можно время от времени вручную удалять все или некоторые куки, накопившиеся за несколько лет.

Необходимо отметить, что не следует удалять все куки. Выборочно удалив куки, установленные теми сайтами, которые вы посещали лишь однажды и которые вам более не интересны, вы устраните следы своего интернет-серфинга. Например, повторно посещаемые вами сайты не смогут вас идентифицировать. Но что касается других сайтов, например с прогнозом погоды, будет довольно утомительно каждый раз указывать свой город или индекс, в то время как простой cookie-файл сможет избавить вас от этой необходимости.

Чтобы удалить куки, нужно использовать расширение или открыть настройки браузера и найти там команду, предлагающую удалить один или более (даже все) куки. Вы также можете решать, что делать с каждым cookie-файлом по отдельности.

Некоторые рекламодатели с помощью куки также определяют, сколько времени вы провели на сайте, где размещена их реклама. Некоторые даже отслеживают, с какого сайта вы перешли или на каких сайтах вы были ранее. Такие куки нужно удалять сразу же. Вы узнаете их благодаря тому, что их имя не будет совпадать с именем посещенного сайта. Например, вместо CNN такой файл будет значиться как Ad321. Возможно, вам будет удобнее прибегнуть к специальной программе для очистки куки, например piriform.com/ccleaner, чтобы быстро и без труда избавиться от ненужных куки-данных.

Однако существуют куки, на которые не действуют ваши настройки в браузере, которые называются «супер-куки», поскольку они хранятся на компьютере вне браузера. Суперкуки видят ваши персональные настройки (и статистику) для данного сайта вне зависимости от того, каким браузером вы пользуетесь (сегодня Chrome, завтра Firefox). И если вы вдруг удалите такой куки из своего браузера, компьютер попытается его восстановить, когда вы в следующий раз откроете соответствующий сайт.

Два вида таких суперкуки можно удалить в первую очередь — Flash компании Adobe и Silverlight корпорации Microsoft. Эти суперкуки не имеют срока действия и сами никогда не удалятся. Как правило, можно без последствий удалить их все.98

Несколько слов о самом сложном для удаления куки: Сэми Камкар, получивший известность за создание быстро распространяющегося червя MySpace под названием «Сэми», разработал так называемый «evercookie» — очень, очень устойчивый куки99. Камкар достиг этой устойчивости благодаря тому, что данные куки стали записываться в максимально большое количество систем хранения браузеров в операционной системе Windows. Если хотя бы в одном из хранилищ файл сохранился, evercookie предпримет попытку восстановить эти куки-данные везде.100 Таким образом, просто удалить evercookie из кэш-памяти одного браузера недостаточно. По принципу детской игры «Ударь крота», файлы evercookie продолжат появляться то тут, то там. Чтобы выиграть, нужно удалить их абсолютно отовсюду.

Если вы пытаетесь прикинуть, сколько куки уже установлено в вашем браузере, умножьте свое число на потенциальное количество хранилищ данных на вашем компьютере. Увидите, что работы вам хватит на целый день до вечера.

За вашими действиями в Интернете следят не только сайты и операторы сотовой связи. Например, ресурс Facebook давно перестал быть просто социальной сетью и стал универсальной платформой. Можно зарегистрироваться на сайте Facebook, а затем регистрироваться во множестве различных приложений с помощью данных своей учетной записи Facebook.

Насколько часто так поступают? Как минимум один маркетинговый отчет показал, что 88 процентов американских пользователей зашли на сайт или в мобильное приложение с помощью ранее созданного аккаунта в социальной сети, например, Facebook, Twitter и Google+[14].101

Это удобно, но здесь есть как преимущества, так и недостатки. Уязвимость в протоколе авторизации OAuth позволяет получить доступ к другому сайту, не передавая этому сайту логин и пароль от своего аккаунта. С одной стороны, можно быстро зарегистрироваться на новом сайте с помощью существующей учетной записи в социальной сети. С другой стороны, это позволяет социальным сетям получить информацию о вас, которую могут применять в маркетинговых целях. В то же время теперь ресурс будет знать не только то, что вы заходили на этот сайт, но и все остальные сайты, которые вы посетили с помощью тех же регистрационных данных. При использовании протокола OAuth мы жертвуем слишком большим количеством персональной информации ради удобства.

Facebook, вероятно, можно назвать самой «навязчивой» социальной платформой. Выход из аккаунта Facebook может привести к автоматическому выходу из всех остальных приложений. Кроме того, Facebook подключает трекеры для отслеживания действий пользователя, которые функционируют даже после того, как вы вышли из учетной записи, запрашивая такие данные, как ваше географическое местонахождение, посещенные вами сайты, элементы, по которым вы щелкнули на этих сайтах, и ваше имя на сайте Facebook. Специалисты по информационной безопасности выразили беспокойство относительно того, что сайт Facebook намеревается собирать статистику некоторых из посещаемых его пользователями ресурсов и приложений, чтобы повысить релевантность рекламы.

Суть в том, что Facebook, как и Google, хочет получить сведения о вас. Они не могут просто прийти и задать вопрос, им приходится искать другие пути. Если вы привяжете аккаунт Facebook к другим сервисам, у Facebook будет информация о вас и о всех тех сервисах или приложениях. Возможно, с помощью регистрационных данных Facebook вы получаете доступ к своему банковскому счету, в этом случае у социальной сети есть сведения о том, какую финансовую организацию вы выбрали.

Авторизация через Facebook может привести к тому, что, если кто-то проникнет в ваш аккаунт в этой социальной сети, он получит доступ ко всем связанным с ним сайтам, даже к банковскому счету. С точки зрения безопасности, наличие так называемой единой точки отказа никогда не доводит до добра. Пусть на это уйдет на пару секунд дольше, лучше авторизоваться на сайте Facebook только тогда, когда вам нужен именно он, а в каждом приложении регистрироваться по отдельности.

Кроме того, Facebook открыто признает, что не поддерживает функцию Do Not Track (англ. «Не отслеживать») браузера Internet Explorer на том основании, что на ее счет «в отрасли нет единого мнения».102 В качестве инструмента сбора статистики Facebook применяет классические средства: куки, JavaScript, однопиксельные изображения и плавающие фреймы. Благодаря всему этому рекламодатели могут просматривать и анализировать куки и трекеры конкретного браузера, чтобы предлагать свои товары и услуги на сайте Facebook и за его пределами.

К счастью, для браузеров существуют расширения, которые блокируют службы Facebook на сторонних сайтах, например, Facebook Disconnect для браузера Chrome103 или список Facebook Privacy List расширения Adblock Plus (как для браузера Firefox, так и для Chrome).104 Конечная цель всех этих средств одна — позволить вам самостоятельно контролировать, какие данные будет получать Facebook и любая другая социальная сеть, вместо того чтобы отойти в сторону и оставить решение этого вопроса в руках самого сервиса.

Учитывая то, какими сведениями Facebook располагает о 2,13 млрд своих подписчиков, компания до сих пор проявляла исключительное великодушие.105 В ее распоряжении тонны данных, но она, подобно компании Google, предпочитает ничего с ними не делать. Но это не значит, что не станет в будущем.

Не менее беспардонно, но более открыто (по сравнению с куки) действуют панели инструментов. Дополнительные панели инструментов, которые вы видите в верхней части браузера на своем компьютере, могут называться Yahoo! McAfee, Яндекс или Ask.com. Или как угодно еще. Вполне вероятно, что вы даже не вспомните, как эта панель инструментов сюда попала. Вам она не нужна, но как ее убрать, вы не знаете.

Такие панели инструментов отвлекают внимание от панели инструментов самого браузера, с помощью которой можно выбрать поисковую систему по умолчанию. «Паразитическая» панель станет навязывать вам свою систему, и результаты поиска могут быть переполнены проплаченным контентом. В такой ситуации оказался житель Западного Голливуда Гэри Мур, который обнаружил у себя панель инструментов Ask.com и не мог понять, как от нее избавиться. «Это как незваный гость, — сказал Мур. — Он не уйдет».106

Если у вас появилась вторая или третья панель инструментов, возможно, дело в том, что вы скачали новое программное обеспечение или обновили ранее установленное. Например, если на компьютере установлена среда разработки или исполнения языка Java, компания Oracle, разработчик Java, автоматически встраивает в браузер панель инструментов, если вы не сбросили соответствующий флажок при загрузке. Щелкая по кнопкам загрузки или обновления, вы, вероятно, не заметили крошечный флажок, по умолчанию подтверждающий ваше согласие на установку панели типа Ask.com. Тут нет ничего противозаконного, вы разрешили это действие, даже если разрешением считается то, что вы не отказались от автоматической установки данного элемента. Однако такая панель позволяет некой компании отслеживать ваши действия в Интернете, и, вероятно, по умолчанию у вас теперь выбрана соответствующая поисковая система.

Лучший способ удалить панель инструментов — деинсталлировать ее так же, как деинсталлируется любая другая программа на компьютере. Однако для удаления некоторых наиболее устойчивых и настырных панелей, может понадобиться специальная программа, и нередко после деинсталляции остается достаточно данных для того, чтобы рекламодатели могли установить свою панель заново.

Устанавливая новое программное обеспечение или обновляя старое, обращайте внимание на каждый флажок. Можно избежать большого объема лишней работы, отказавшись от установки панелей инструментов с самого начала.

Если вы пользуетесь анонимным режимом браузера, расширениями NoScript и HTTPS Everywhere, время от времени удаляете куки и лишние панели инструментов, у вас все должно быть в порядке, верно? Отнюдь. Ваши действия в Интернете все равно будут отслеживаться.

Веб-сайты создаются с помощью так называемого языка разметки гипертекста, или HTML. Его актуальная версия, HTML5, предоставляет множество новых возможностей. Некоторые возможности способствовали вытеснению технологий Silverlight и Flash — что хорошо. Однако, вероятно, случайно язык HTML5 привел к появлению новых технологий сбора статистики.

Например, Canvas fingerprinting — инструмент сбора данных в Интернете, гениальный, но гениальность такого рода внушает страх. Canvas fingerprinting использует элемент canvas HTML5 для того, чтобы нарисовать простое изображение. И все. Изображение создается внутри самого браузера, а вы этого не видите. Процесс занимает всего долю секунды, но его результат доступен запрашивающему сайту.

Смысл в том, что программное обеспечение и аппаратные средства, выступая в качестве ресурсов для работы браузера, создадут совершенно уникальное изображение. Затем получившееся изображение (это может быть последовательность различных разноцветных фигур) преобразуется в уникальное число, примерно как в случае с паролями. Далее проводится анализ, какие еще сайты получили то же самое число, используя эту технологию. И на основании полученных данных можно понять, какие сайты вы посещаете. Благодаря полученному числу или «отпечатку» запросивший его сайт может узнавать браузер пользователя, который уже бывал на нем ранее, даже если пользователь удалил все куки или запретил установку новых cookie-файлов, поскольку он использует элемент самого HTML5.107

Canvas fingerprinting работает в фоновом режиме, вам не надо ни на что нажимать, достаточно просто открыть страницу. К счастью, существуют расширения для браузера, которые могут заблокировать это действие. Для браузера Firefox расширение называется CanvasBlocker.108 Для Google Chrome — CanvasFingerprintBlock.109 Даже в Tor Browser разработчики добавили технологию блокировки Canvas.110

Так что же, благодаря этим расширениям и предыдущим рекомендациям, вы наконец можете считать, что в Интернете за вами никто не следит? Как бы не так!

Такие компании, как Drawbridge, Tapad и Oracle Crosswise, поднялись на новую ступень в интернет-слежке. Они заявляют, что обладают технологиями, способными отслеживать ваши действия на нескольких устройствах, включая данные, какие сайты вы посещаете исключительно со смартфонов и планшетов.

Частично такая слежка — результат машинного обучения и нечеткой логики. Например, если мобильное устройство и обычный компьютер обращаются к сайту с одного IP-адреса, очень вероятно, что они принадлежат одному человеку. Например, вы произвели поиск какого-то предмета одежды на своем смартфоне, а позже, оказавшись дома и добравшись до обычного компьютера, видите, что этот же предмет одежды отображается на сайте магазина в разделе «недавно просмотренного». Или того лучше, вы покупаете этот предмет одежды, используя компьютер. Чем больше будет совпадений между двумя отдельными устройствами, тем больше вероятность, что ими обоими пользуется один и тот же человек. По заявлению компании Drawbridge, только ей одной удалось связать 1,2 млрд пользователей с 3,6 млрд устройств в 2015 году.111

Разумеется, тем же самым занимаются Google, Apple и Microsoft. Смартфоны под управлением операционной системы Android требуют наличия аккаунта Google. Для работы на устройствах Apple необходима учетная запись Apple ID. Не играет роли, смартфон у вас или ноутбук — исходящий трафик каждого будет привязан к конкретному пользователю. А Microsoft в своих последних операционных системах требует создания учетной записи Microsoft, позволяющей скачивать приложения или хранить фотографии и текстовые документы в «облаке» компании.

Огромное различие заключается в том, что в учетных записях Google, Apple и Microsoft можно отключить сбор некоторых или всех данных либо же впоследствии удалить все ранее собранные данные. Компании Drawbridge, Crosswise и Tapad усложняют процесс отключения и удаления. Иногда сделать это просто невозможно.

Хотя с помощью прокси или Tor Browser можно вполне успешно скрывать свое реальное местонахождение при выходе в Интернет, эти манипуляции могут привести к необычным проблемам и трудностям для вас, поскольку иногда сбор интернет-статистики оправдан — например, когда компания, принимающая к оплате банковские карты, пытается выявить подлог. Например, всего за несколько дней до того, как Эдвард Сноуден прославился, он задумал создать сайт по защите прав интернет-пользователей. Но он не сумел расплатиться с хостинговой компанией за регистрацию домена своей банковской картой.

В то время он еще пользовался своим настоящим именем, настоящим адресом электронной почты и личной банковской картой — дело происходило незадолго до того, как Сноуден превратился в разоблачителя. Также у него был Tor Browser, что иногда заставляет компанию-получателя платежа насторожиться и заподозрить мошенническую операцию. Это происходит, когда компания пытается проверить личность человека, но находит противоречия между предоставленными им сведениями и данными, уже имеющимися у них. Например, если карта была выпущена в Нью-Йорке, почему выходной узел Tor указывает, что вы в Германии? Подобные географические несоответствия часто становятся сигналом о вероятной мошеннической операции, что приводит к дополнительным проверкам.

Компании, проводящие транзакции по картам, безусловно, следят за нами в Cети. Им известны наши покупки. Они знают, на каких сайтах мы подписаны на платный контент. Они знают, когда мы выезжаем за пределы страны. И они знают, что мы совершаем покупку в Интернете с нового устройства.

Как утверждает Мика Ли из Фонда электронных рубежей, в какой-то момент Сноуден, находившийся в своем гостиничном номере в Гонконге и обсуждавший государственные тайны с Лорой Пойтрас и Гленном Гринвальдом, репортером издания Guardian, связался со службой поддержки компании DreamHost, хостинг-провайдера из Лос-Анджелеса. Очевидно, Сноуден объяснил компании DreamHost, что находится за границей и не доверяет местным провайдерам Интернета, поэтому выходит в Интернет через Tor. В результате компания DreamHost приняла платеж по банковской карте через Tor.112

Один из способов избежать всех этих трудностей с Tor — отредактировать файл geoip/geoip6 так, чтобы этот браузер использовал выходные узлы, расположенные в вашей родной стране. Это должно успокоить компании, принимающие платежи по картам. С другой стороны, один и тот же выходной узел может в итоге способствовать раскрытию вашей личности. Есть основания полагать, что спецслужбы, возможно, контролируют некоторые выходные узлы, поэтому лучше пользоваться разными.

Еще один способ заплатить, не оставляя следов, — оплата биткойнами, виртуальной валютой. Как и большинство валют, она подвержена колебаниям курса, в зависимости от степени доверия к ней.

Биткойн — это алгоритм, с помощью которого пользователь может создавать — или, выражаясь принятыми в этой среде терминами, «майнить» — собственную валюту под названием «биткойн». Однако если бы это было просто, этим бы занимался каждый. Но это не так. Процесс требует высокой вычислительной мощности, на майнинг одного биткойна уходит огромное количество времени. Количество биткойнов ограничено, и это наряду с доверием потребителей влияет на цену одного биткойна.

У каждого биткойна есть криптографическая подпись, удостоверяющая его подлинность и уникальность. Можно отследить все звенья транзакции, осуществляемой с помощью этой криптографической подписи, вплоть до биткойна, однако метод получения этого биткойна можно скрыть — например, создав анонимный электронный ящик, на который вы можете зарегистрировать электронный кошелек для биткойнов, используя сеть Tor.

Вы можете купить биткойны лично или анонимно, оплатив их в Интернете с помощью карты предоплаты. Можно найти банкомат с биткойнами, рядом с которым не установлена камера. В зависимости от того, какие детали могут впоследствии выдать вашу личность, нужно оценить все риски и лишь потом выбирать способ покупки. Далее можно отправить свои биткойны в так называемый миксер. Биткойн-миксер берет несколько биткойнов от меня, несколько биткойнов от вас, несколько — от различных случайных людей и перемешивает их. Вы получаете обратно столько же биткойнов за вычетом платы за услугу, но с другими криптографическими подписями. Благодаря этому достигается некоторая анонимность.

Получив биткойны, как их хранить? Поскольку для биткойнов нет специальных банков, а также поскольку они существуют лишь в виртуальной реальности, вам потребуется анонимно зарегистрированный биткойн-кошелек (подробные инструкции о том, как это сделать, вы найдете далее в этой книге).

Теперь, когда у вас есть биткойны и есть где их хранить, как ими распорядиться? На специальных сайтах-обменниках можно покупать биткойны и менять их на другие валюты, например доллары США, или приобретать на них товары с сайтов типа Amazon. Предположим, что у вас есть один биткойн, стоимость которого на данный момент равна примерно 9 тысячам долларов США. Если вы собираетесь купить что-то, что стоит всего 80 долларов, то после транзакции у вас останется определенная доля от первоначального биткойна (ее величина зависит от текущего курса).

Транзакции верифицируются с помощью открытой базы данных, известной как блокчейн, и идентифицируются посредством IP-адреса. Однако как мы уже видели, IP-адрес можно изменить или подделать. И хотя продавцы начали принимать к оплате биткойны, сервисные сборы, обычно оплачиваемые продавцами, были возложены на плечи покупателей. Кроме того, в отличие от операций по банковским картам, при оплате биткойнами не бывает возвратов или возмещения средств.

Можно купить столько биткойнов, сколько вы бы купили устойчивой валюты. Но несмотря на свою успешность (братья Уинклвосс, известные судебными тяжбами с Марком Цукербергом из-за социальной сети Facebook, стали главными инвесторами в валюту биткойн), система пережила несколько крупных спадов. В 2004 году токийская биржа криптовалют Mt. Gox объявила себя банкротом, заявив о пропаже всех биткойнов в результате хищения. Были и другие случаи хищения валюты у биткойн-обменников, которые, в отличие от большинства американских банковских счетов, не застрахованы.

Хотя раньше уже предпринимались попытки создать виртуальную валюту, именно биткойн занял место анонимного платежного средства в Интернете. Да, валюта еще развивается, но если вы стремитесь сохранить анонимность, следует рассмотреть этот вариант оплаты.

Возможно, сейчас вы кажетесь себе невидимыми: вы скрыли IP-адрес с помощью Tor, зашифровали электронные письма и текстовые сообщения с помощью программ PGP и Signal. Однако я уделил очень мало внимания аппаратным средствам, с помощью которых можно как найти, так и спрятать вас в Интернете.

Глава 7

ЗАПЛАТИ, А ТО ТЕБЕ НЕ ПОЗДОРОВИТСЯ!

Кошмар начался в Интернете, а завершился вторжением федеральных агентов в один из домов в пригороде Блейна, штат Миннесота. У агентов был только IP-адрес, с которого скачивали детскую порнографию и даже угрожали убийством вице-президенту Джо Байдену. Связавшись с интернет-провайдером, федеральные агенты узнали реальный адрес пользователя. В те дни, когда подключение к Интернету еще было проводным (через модем или маршрутизатор), можно было легко вычислить пользователя таким способом. Тогда по IP-адресу можно было установить точное местонахождение компьютера.

Однако в наше время у большинства людей беспроводное подключение к Интернету. Беспроводное соединение позволяет каждому перемещаться по дому с мобильными устройствами и сохранять подключение. А если вы недостаточно осторожны, то к вашей точке доступа могут подключиться и соседи. В данном случае федеральные агенты ворвались не в тот дом в Миннесоте. На самом деле им нужен был дом по соседству.

В 2010 году Барри Винсент Ардольф был признан виновным в хакерстве, хищении персональной информации, хранении детской порнографии и даже угрозах вице-президенту Джо Байдену. Согласно протоколу судебного заседания, конфликт начался с того, что сосед Ардольфа, который ко всему прочему был еще и юристом (его имя не называется), написал заявление в полицию, обвинив Ардольфа в том, что тот, предположительно, «неподобающим образом трогал и поцеловал» соседского ребенка в губы.113

Далее Ардольф подключился к беспроводному домашнему роутеру соседа и зарегистрировал от его имени аккаунты Yahoo! и MySpace. Именно с этих аккаунтов Ардольф запустил кампанию, целью которой было скомпрометировать юриста и вызвать у него проблемы с законом.

Многие интернет-провайдеры теперь по умолчанию встраивают в свои домашние маршрутизаторы возможность беспроводного доступа.114 Некоторые интернет-провайдеры, например американский Comcast, создают второй, бесплатный Wi-Fi-сервис, которым вы можете управлять лишь отчасти. Например, вы можете изменить некоторые настройки и даже отключить его. Вы должны помнить об этом. В минивэне, припаркованном напротив вашего дома, кто-то бесплатно может пользоваться вашим беспроводным Интернетом. Хотя вам не приходится за это платить дополнительно, скорость соединения может снизиться, если кто-то активно эксплуатирует второй канал. Можно отключить точку доступа (в случае с провайдером Comcast — функцию Xfinity Home Hotspot), если вы считаете, что вам никогда не понадобится раздать Интернет своим гостям.115

Хотя встроенная возможность беспроводного подключения — это очень удобно, нередко такие маршрутизаторы настроены не лучшим образом и при отсутствии определенного уровня защиты могут стать источником проблем. Начнем с того, что незащищенный беспроводной доступ может превратиться в цифровую дверь в ваш дом, как и получилось с Ардольфом. Хотя незваных гостей, возможно, не интересуют ваши цифровые документы, они тем не менее могут стремиться навлечь на вас неприятности.

Ардольф не был компьютерным гением. Он признался в суде, что не знает разницы между шифрованием WEP (Wired Equivalent Privacy), которое использовалось роутером соседа, и шифрованием WPA (Wi-Fi Protected Access), которое является гораздо более надежным. Он был просто зол. Именно поэтому необходимо серьезно проанализировать, насколько защищена ваша домашняя беспроводная сеть. Никогда не знаешь, в какой момент обозленный сосед попытается отомстить вам с помощью вашей же домашней сети.

Если кто-то все же пытается навредить вам через ваш домашний маршрутизатор, существуют способы защитить себя. По данным Фонда электронных рубежей (EFF), федеральные судьи отклонили несколько исков правообладателей к пользователям пиринговых сетей, поскольку ответчикам удалось убедить суд в том, что через их точку доступа к Интернету фильмы качал кто-то другой.116 Фонд электронных рубежей утверждает, что IP-адрес — это не человек, имея в виду, что пользователи беспроводного Интернета не могут отвечать за действия остальных людей, подключившихся к их сети.117

Хотя компьютерно-техническая экспертиза установит невиновность домовладельца, чей Wi-Fi стал инструментом в руках преступника — как было в случае с юристом из Миннесоты, — но зачем подвергать себя этому испытанию?

Даже если вы подключаетесь к Интернету через телефонную линию или кабельный маршрутизатор (например, Cisco или Belkin), вы все равно не застрахованы от проблем с программным обеспечением и настройками.

Первое и основное, что необходимо сделать, — скачать новейшую прошивку (программное обеспечение для постоянного запоминающего устройства). Для этого необходимо открыть страницу настроек маршрутизатора (см. ниже) или зайти на сайт производителя и поискать обновления для вашей модели. Чем чаще вы будете это делать, тем лучше. Самый простой способ обновлять прошивку маршрутизатора — каждый год покупать новое устройство. Возможно, это накладно, но так у вас точно будет новейшая и лучшая прошивка. Во-вторых, нужно обновлять настройки маршрутизатора. Не следует довольствоваться настройками по умолчанию.

Не следует довольствоваться настройками по умолчанию.

Но сначала разберемся с именем сети: что в нем содержится? Больше, чем может показаться. Маршрутизатор, предоставленный интернет-провайдером, и маршрутизатор, купленный в магазине бытовой электроники, объединяет подход к присвоению имен. Все беспроводные маршрутизаторы по умолчанию транслируют идентификатор SSID (англ. Server Side Identity — «серверный идентификатор»).118 Обычно SSID включает в себя название и модель маршрутизатора и выглядит, например, следующим образом «Linksys WRT54GL». Если вы посмотрите, как называются беспроводные точки доступа к Интернету в вашем районе, вы поймете, о чем я говорю.

Транслируя предустановленный идентификатор SSID, можно скрыть, из какого именно дома исходит Wi-Fi-сигнал, но при этом любой прохожий будет знать, какая у вас марка и модель маршрутизатора. Что в этом плохого? Этот человек может также быть в курсе, какие уязвимости характерны для данной конкретной модели роутера, и сможет ими воспользоваться.

Так как же изменить название маршрутизатора и обновить прошивку?

Получить доступ к настройкам маршрутизатора просто, это делается через веб-браузер. Если данная информация отсутствует в инструкции к вашему роутеру, в Интернете можно найти сайты, на которых рассказывается, что нужно напечатать в адресной строке браузера, чтобы подключиться напрямую к роутеру.119 Набрав локальный URL-адрес (помните, что речь идет только о связи с маршрутизатором, а не с Интернетом в целом), вы увидите экран авторизации. Какой логин (имя пользователя) и пароль нужно указать для входа?

Оказывается, в Интернете есть список логинов и паролей, установленных по умолчанию.120 В данном примере и логином, и паролем для роутера Linksys будет «admin». Стоит ли говорить, что, оказавшись в настройках маршрутизатора, нужно тут же сменить установленный по умолчанию пароль, следуя моим ранее описанным указаниям по созданию уникального и надежного пароля или с помощью менеджера паролей.

Обязательно сохраните новый пароль в своем менеджере паролей или запишите его, поскольку вы вряд ли будете заходить в настройки роутера слишком часто. Если вы вдруг забудете свой пароль (действительно, насколько часто вы собираетесь открывать экран настройки конфигурации маршрутизатора?), не переживайте. На самом устройстве присутствует кнопка сброса, которая позволяет восстановить настройки по умолчанию. Однако после нажатия этой кнопки вам придется заново изменить все параметры, о которых мы будем говорить далее. Поэтому записывайте или распечатывайте снимки экрана со всеми настройками маршрутизатора, которые вы изменили. Эти снимки экрана очень пригодятся, когда вам нужно будет настроить маршрутизатор заново.

Перейдем к настройкам беспроводной сети.

Я предлагаю вам сменить имя SSID «Linksys WRT54GL» на что-то безобидное, например «HP Inkjet», и незнакомец не поймет, из какого дома исходит Wi-Fi-сигнал. Я часто выбираю какое-нибудь непримечательное название, например, название моего жилого комплекса или даже имя соседа.

Также можно вообще скрыть свой SSID. В результате другие не смогут увидеть ваш сигнал в списке беспроводных сетевых соединений.

Пока мы разбираемся с базовыми настройками маршрутизатора, нужно рассмотреть несколько типов защиты беспроводной сети. Обычно настройки защиты по умолчанию отключены. Кроме того, не все виды защиты в равной степени эффективны и не все они поддерживаются каждым устройством.

Самая базовая форма защиты, протокол шифрования данных в беспроводных сетях WEP (Wireless Encryption

Protocol), бесполезна. Если вы увидите этот пункт в настройках, проигнорируйте его. WEP успешно взламывают уже много лет, поэтому этот протокол рекомендуется не использовать вообще. Данную устаревшую технологию предлагают в качестве защитной меры только старые маршрутизаторы и устройства. Лучше выбрать один из более новых и надежных стандартов шифрования, например WPA (Wi-Fi Protected Access). Протокол WPA2 является еще более надежным.

Когда в настройках маршрутизатора включено шифрование, остальные устройства, подключающиеся к маршрутизатору, должны поддерживать его. Большинство новых устройств автоматически определяют действующий тип шифрования, однако для более старых моделей до сих пор необходимо указывать его вручную. Всегда выбирайте максимально высокий уровень. Вы защищены ровно настолько, насколько защищено ваше самое слабое соединение, поэтому в том, что касается шифрования, из старых устройств выжимайте максимум.

Установите для доступа к своей сети пароль, состоящий не менее чем из 15 символов (цифр и как минимум одной буквы). Или создайте сложный пароль с помощью менеджера паролей.

Настроив WPA2 на маршрутизаторе, вы должны будете настроить его на ноутбуке или мобильном устройстве, хотя некоторые новые операционные системы определяют тип шифрования автоматически. Современная операционная система на смартфоне или ноутбуке определит, что рядом с вами есть точка доступа Wi-Fi. В списке доступных подключений должен будет появиться ваш идентификатор SSID (например, «HP Inkjet»), он будет на самом верху или почти на самом верху. Значки в виде замочка[15] рядом с доступными Wi-Fi-сетями (обычно отображаются над информацией об уровне каждого сигнала) указывают, какие точки доступа Wi-Fi защищены паролем (около вашей точки теперь тоже должен быть замочек).

Из списка доступных сетей выберите SSID своей беспроводной сети. После этого необходимо будет ввести пароль, состоящий как минимум из 15 символов, установленный ранее. Чтобы подключиться к защищенному паролем Wi-Fi-соединению, нужно ввести свой пароль на каждом устройстве хотя бы один раз, поэтому менеджер паролей в некоторых случаях не подходит, в частности если вам нужно запоминать сложный пароль, чтобы позже вводить его самостоятельно. На каждом устройстве, которое вы захотите подключить к своей сети, включая «умный» холодильник и цифровой телевизор, нужно ввести пароль и выбрать тот тип шифрования, который установлен в настройках маршрутизатора. Это необходимо сделать при первом подключении каждого отдельного устройства к домашней или рабочей сети Wi-Fi, но далее вы будете избавлены от этой необходимости, пока не смените пароль или не купите новое устройство.

Можно пойти дальше и ограничить количество возможных подключений к своей точке доступа Wi-Fi, определив разрешенные устройства. Это так называемый белый список, или фильтрация по MAC-адресам. Вы разрешаете доступ определенным устройствам (белый список) и запрещаете всем остальным (черный список). Для этого необходимо добавить в белый список MAC-адрес своего устройства (от англ. Media Access Control — «управление доступом к среде»). При этом, когда вы купите очередной смартфон, вам также необходимо будет внести его MAC-адрес в белый список своего маршрутизатора, чтобы он смог подключиться к сети.121 Этот адрес уникален для каждого устройства. В сущности, первые восемь цифр адреса — это код производителя, а последние четыре уникальны для каждого устройства. Маршрутизатор отклонит любое устройство, MAC-адрес которого не был добавлен в список фильтрации.

Важно отметить, что хакерский инструмент под названием aircrack-ng позволяет узнать авторизованный MAC-адрес подключенного к сети устройства, а затем хакер может сфальсифицировать этот MAC-адрес, чтобы подключиться к данному маршрутизатору. Фильтрация MAC-адресов не стопроцентная гарантия от несанкционированных подключений к вашей сети, как и сокрытие идентификатора SSID.

Узнать MAC-адрес своего устройства довольно просто: в операционной системе Windows нажмите кнопку Пуск (Start), напечатайте cmd, выберите пункт Командная строка (Command promt) и в открывшемся окне оболочки командной строки введите команду getmac /v /fo list. Нажмите клавишу Enter. Вы увидите длинный список данных, но среди них должен быть MAC-адрес (указан в строке Физический адрес (Physical Address) в сводке по вашему сетевому адаптеру). Он состоит из двенадцати символов (букв и цифр), через каждые два символа стоит двоеточие. Если у вас устройство Apple, то все еще проще: раскройте меню , выберите пункт Системные настройки (System preferences) и щелкните мышью по значку Сеть (Network). Затем выберите свой сетевой адаптер в левой части окна и нажмите кнопку Дополнительно (Advanced), и на вкладке аппаратных средств вы увидите MAC-адрес. На более старых компьютерах Mac процесс аналогичен, только в разделе Сеть (Network) окна Системные настройки (System preferences) нужно выбрать пункт Встроенный Ethernet (Built-in Ethernet).

Чтобы определить MAC-адрес смартфона, на устройстве iPhone/iPad коснитесь значка Настройки (Settings) и выберите пункт Основные —> Об этом устройстве (General — > About), и взгляните на значение в строке Адрес Wi-Fi (Wi-Fi Address).

На устойстве Android также коснитесь значка Настройки (Settings) и выберите пункт О телефоне —> Общая информация (About Phone —> Status), и взгляните на значение в строке MAC-адрес Wi-Fi (Wi-Fi MAC address). Доступ к нужной информации может быть иным в зависимости от типа и модели устройства.

Зная двенадцатизначные MAC-адреса, можно настроить маршрутизатор так, чтобы он предоставлял доступ к сети только этим устройствам и блокировал все другие. Тут есть несколько слабых моментов. Если к вам придет гость и захочет подключиться к домашней сети, вам придется выбирать, дать ли этому человеку одно из своих устройств и пароль от него или просто открыть настройки конфигурации маршрутизатора и отключить фильтрацию по MAC-адресам. Иногда MAC-адрес устройства приходится изменить, и, если потом не вернуть его обратно, вы не сможете подключиться к своей домашней или рабочей сети Wi-Fi с настроенной фильтрацией по MAC-адресам. К счастью, в большинстве случаев, чтобы вернуть исходный MAC-адрес, достаточно просто перезагрузить устройство.

Чтобы можно было без труда подключать любое новое устройство к домашнему маршрутизатору, альянс совместимости беспроводного оборудования (Wi-Fi Alliance), занимающийся распространением Wi-Fi-технологий, разработал протокол WPS (от англ. Wireless Protected Setup — «защищенная настройка беспроводного соединения»). WPS позиционировался как протокол, с помощью которого любой человек — действительно кто угодно — сможет быстро и безопасно подключить свои мобильные устройства к домашней или рабочей сети. Но в реальности уровень безопасности оказался не таким уж высоким.