Во-первых, отключите Wi-Fi. Серьезно. Многие люди не выключают Wi-Fi на компьютере, даже когда Интернет им не нужен. Согласно документам, обнародованным Эдвардом Сноуденом, канадский Центр безопасности коммуникаций (CSEC) может идентифицировать путешественников, перемещающихся через канадские аэропорты, просто перехватывая их MAC-адреса. Эти адреса видны каждому компьютеру, ищущему пробные запросы на подключение, отправляемые беспроводными устройствами. Даже если вы не подключитесь к сети, MAC-адрес устройства будет зафиксирован. Поэтому если вам не нужен Интернет, отключайте Wi-Fi.137 Как мы видели, ради безопасности и конфиденциальности часто приходится жертвовать удобством.

Уже очень долго мы ходим вокруг да около важного вопроса — вашего MAC-адреса. Он уникален для каждого устройства. И он не фиксирован, его можно изменить.

Давайте я приведу пример.

Во второй главе я рассказывал о том, как скрыть свою электронную переписку с помощью PGP-шифрования. Ну а если вы не хотите разбираться со всеми этими сложностями или у получателя нет публичного ключа PGP? Тогда можно прибегнуть к другому способу ведения тайной электронной переписки: с помощью папки с черновиками в общем электронном ящике.

Именно таким образом бывший директор ЦРУ генерал Дэвид Петреус обменивался письмами со своей любовницей, Полой Бродуэлл, которая также была его биографом. Скандал разразился после того, как Петреус порвал эту связь и заметил, что кто-то шлет одному из его друзей электронные письма с угрозами. Когда ФБР занялось расследованием, агенты обнаружили не только то, что угрозы исходили от Бродуэлл, но и что она также отправляла романтические послания Петреусу.138

Интересно то, что Бродуэлл и Петреус не пересылали письма по сети, а оставляли их в папке с черновиками в «анонимном» электронном ящике. В такой ситуации электронное письмо не проходит через чужие серверы, стремясь достичь адресата. Здесь меньше возможностей для перехвата. А если кому-то удастся влезть в ваш ящик, он не найдет там ничего интересного, если вы удаляете черновики и очищаете корзину.

Бродуэлл также заходила в свои «анонимные» электронные ящики с предназначенного специально для этого компьютера. Она не проверяла почту со своего домашнего IP-адреса. Это было бы слишком очевидно. Вместо этого она вела переписку из разных отелей.

Хотя Бродуэлл приложила много усилий, чтобы сохранить секретность, она все равно не стала невидимой. Как написали в газете New York Times, «поскольку аккаунт отправителя был зарегистрирован анонимно, следователям пришлось прибегнуть к компьютерно-технической экспертизе — включая проверку всех остальных аккаунтов электронной почты, в которые заходили с того же IP-адреса, — чтобы определить, кто был автором этих писем».139

Сервисы электронной почты, такие как Google, Yahoo! и Microsoft, хранят данные о входе в аккаунт более года, и эти данные включают в себя информацию об IP-адресе, с которого осуществлялся вход. Например, если вы проверяли почту через общественную Wi-Fi-сеть в кофейне Starbucks, по IP-адресу можно определить географическое местонахождение этого места. Американское законодательство в настоящее время позволяет правоохранительным органам запрашивать подобные сведения у сервиса электронной почты обычной повесткой — участие судьи не требуется.

Следовательно, агенты ФБР выяснили физическое местонахождение каждого IP-адреса, с которого заходили в этот почтовый аккаунт, и сумели вычислить MAC-адрес устройства Бродуэлл, сопоставив данные из журналов маршрутизаторов, установленных в этих местах.140

Поскольку расследованием занималось ФБР (это дело имело большое значение, так как Петреус на тот момент был действующим директором ЦРУ), агенты сумели просмотреть журналы маршрутизаторов во всех отелях и узнали, в какое время в каждом из отелей фиксировался MAC-адрес Бродуэлл. Более того, им также удалось обнаружить, что в интересующие их даты Бродуэлл снимала номера в соответствующих отелях. Следователи обратили внимание, что Бродуэлл входила в свою почту, но ни разу не отправила электронное письмо с этих ящиков.

Когда вы подключаетесь к беспроводной сети, MAC-адрес вашего компьютера автоматически фиксируется сетевым оборудованием. Ваш MAC-адрес связан с серийным номером сетевой карты. Чтобы быть невидимым, прежде чем подключаться к какой-либо беспроводной сети, необходимо изменить свой MAC-адрес.

Чтобы оставаться невидимым, нужно менять MAC-адрес перед каждым подключением к беспроводной сети, чтобы ваши интернет-сессии было трудно связать с вами. Также важно в это время не заходить ни в какие личные аккаунты, поскольку иначе вы лишите себя анонимности.

Чтобы изменить MAC-адрес, нужно следовать инструкциям для вашей конкретной операционной системы — Windows, macOS, Linux, Android или iOS.141 Не забывайте менять MAC-адрес при каждом подключении к общественной (или частной) сети. После перезагрузки возвращается исходный MAC-адрес.

Представим себе, что у вас нет собственного ноутбука и вы вынуждены воспользоваться общественным терминалом. Это может быть в кафе, в библиотеке, даже в бизнес-центре хорошего отеля. Как можно себя защитить?

Когда я отправляюсь в поход с палаткой, я следую принципу «не оставлять следов своего присутствия» — иначе говоря, место, где я разбивал палатку, после моего ухода должно выглядеть точно так же, как когда я пришел. Тот же самый принцип применим и к общественным интернет-терминалам. Когда вы уйдете, никто не должен догадываться, что вы вообще тут были.

Особенно это касается отраслевых выставок. Как-то я побывал на Международной выставке потребительской электроники (Consumer Electronics Show, CES) и увидел там группу публичных интернет-терминалов, предназначенных для того, чтобы посетители выставки, прогуливаясь по залу, могли проверить электронную почту. Я встречал подобное даже на посвященной информационной безопасности ежегодной Коференции RSA в Сан-Франциско. Устанавливать в общественном месте группу публичных терминалов — это плохая идея по ряду причин.

Во-первых, это арендованные компьютеры, которые переходят от мероприятия к мероприятию. Возможно, их почистили, переустановили операционную систему, но возможно, и нет.

Во-вторых, обычно на них запущена система с правами администратора, а это значит, что кто угодно может установить на них любую программу. Например, это может быть вредоносная программа, какой-нибудь клавиатурный шпион, который будет сохранять логины и пароли пользователей. В информационной безопасности существует принцип «минимальных полномочий», согласно которому человек должен получать лишь тот минимум полномочий, которого ему будет достаточно для выполнения своей задачи. Когда вы работаете на общественном терминале с правами системного администратора (а это установка по умолчанию на большинстве подобных терминалов), это нарушает принцип «минимальных полномочий» и повышает риск того, что кто-то до вас успел заразить его вредоносным ПО. Единственный выход — это каким-нибудь образом убедиться, что вы пользуетесь гостевым доступом с ограниченными правами, но большинство людей не знают, как это сделать.

В целом, я советую никогда не доверять общественным интернет-терминалам. Исходите из предположения, что предыдущий пользователь установил на терминал вредоносную программу — умышленно или случайно. Если вы войдете в свою почту Gmail с общественного терминала, на котором стоит клавиатурный шпион, кто-то посторонний получит ваш логин и пароль. Если вы зайдете в интернет-банк — попрощайтесь со своими деньгами. Не забывайте, что необходимо настраивать двухфакторную аутентификацию на каждом сайте, который посещаете, чтобы хакер, у которого есть ваш логин и пароль, не смог войти в вашу учетную запись. Двухфакторная аутентификация во много раз снижает вероятность взлома аккаунта, даже если хакер узнает ваш логин и пароль.

Что всегда меня удивляет, так это количество людей, пользующихся общественными терминалами на компьютерных конференциях, таких как CES и RSA. Я просто теряю дар речи. В конце концов, если вы на выставке, решайте личные вопросы через канал передачи данных, предоставляемый вашим мобильным оператором, на смартфоне или планшете, обзаведитесь личной точки доступа или просто отложите дела до тех пор, пока не вернетесь домой.

Если вы вынуждены выйти в Интернет вне дома или офиса, возьмите смартфон. Если вам совершенно необходимо воспользоваться публичным терминалом, ни в коем случае не авторизуйтесь в своих личных учетных записях, даже в веб-почте. Если вам, например, необходимо найти какой-то ресторан, заходите только на те сайты, которые не требуют авторизации, например, сервис Yelp или подобные. Если вам приходится прибегать к услугам публичных терминалов регулярно, создайте почтовый ящик специально для них и при необходимости пересылайте с него или на него письма из основных своих ящиков, пока вы в дороге, а оказавшись дома, перестаньте это делать. Так вы сократите объем информации, которая хранится в этом почтовом аккаунте.

Затем убедитесь, что в URL сайтов, которые вы посещаете с помощью общедоступного терминала, присутствует значение https. Если вы его не видите (или видите, но подозреваете, что кто-то изменил адрес, чтобы у вас возникло ложное чувство безопасности), то, вероятно, вам стоит еще раз подумать, прежде чем работать с конфиденциальной информацией через подобный терминал.

Допустим, вы увидели протокол HTTPS в URL. Если это страница авторизации, найдите флажок типа «запомнить меня». Сбросьте его. Понятно почему: это не ваш личный компьютер. На нем будут работать другие люди.

Если система вас запомнит (т. е. вы не сбросите этот флажок), вы создадите на этом устройстве куки. Вы же не хотите, чтобы следующий пользователь терминала увидел вашу почту или получил возможность отправлять письма с вашего ящика, правда?

Как уже упоминалось, не заходите с таких терминалов на сайты финансовых организаций и медицинских учреждений. Если вы авторизовались на некотором сайте (Gmail или другом), обязательно выйдите из аккаунта, когда будете покидать терминал. И рассмотрите возможность позднее в целях безопасности сменить пароль, используя для этого собственный компьютер или мобильное устройство. Может быть, вы не всегда выходите из своих учетных записей дома, но на чужом компьютере это надо делать обязательно.

Когда вы отправили письмо (или сделали что-то другое, не важно), выйдите из аккаунта и очистите историю посещений в браузере, чтобы следующий человек не знал, какие сайты вы посещали. Также сотрите все куки (если есть такая возможность). И убедитесь, что не загрузили на общественный компьютер какой-нибудь свой личный документ. Если загрузили, удалите этот файл (файлы) с рабочего стола или из папки Загрузки (Downloads).

К сожалению, просто удалить файл недостаточно. После этого нужно очистить корзину. Это, конечно, не уничтожит файл окончательно — я смогу восстановить его после вашего ухода, если захочу. Но к счастью, большинство людей не я и в большинстве случаев достаточно удалить документ и очистить корзину.

Чтобы быть невидимым, при работе с публичным терминалом необходимо соблюдать все эти меры.

Глава 9

НЕТ ПРИВАТНОСТИ? СМИРИСЬ!

В какой-то момент, скрываясь от властей Белиза, бывший разработчик антивирусного программного обеспечения, Джон Макафи начал вести блог. Как по мне, если вы пытаетесь избежать решетки и хотите полностью раствориться, не нужно начинать вести блог. Хотя бы потому, что вы точно где-то ошибетесь.

Макафи — умный человек. Он заработал свое состояние, став одним из первых разработчиков антивирусного программного обеспечения в те дни, когда Силиконовая долина только начинала развиваться. Затем он продал свою компанию и все свое имущество в США и на протяжении четырех лет, с 2008-го по 2012-й, жил в Белизе, в частном особняке на побережье. И вдруг правительство Белиза взяло его под практически постоянное наблюдение, стало проводить обыски в его доме и выдвинуло обвинение в создании частной армии и контрабанде наркотиков.

Макафи все отрицал. Он заявил, что, наоборот, борется с наркодельцами на острове. Например, он сказал, что предложил мелкому торговцу марихуаной телевизор с плоским экраном в обмен на обещание завязать с наркотиками. Также на слуху случаи, когда он прижимал к обочине машины, в которых, по его подозрениям, находились наркодилеры.142

У Макафи действительно была лаборатория, но не факт, что он производил там наркотики. Он утверждает, что занимался разработкой лекарств нового поколения. Поэтому он подозревал, что машины с белыми парнями, проезжавшие мимо его дома, принадлежат шпионам фармацевтических компаний, таких как GlaxoSmithKline. Далее он заявил, что полицейские облавы были спровоцированы фармацевтическими компаниями.

Его собственность охраняли несколько вооруженных человек и одиннадцать собак. Сосед, проживавший двумя домами южнее, Грег Фолл регулярно жаловался местным властям на то, что собаки лают по ночам. Затем одной ноябрьской ночью 2012 года одну из собак Макафи отравили. А чуть позже на той же неделе Фола застрелили. Когда его нашли, он лежал лицом вниз, в луже крови в своем доме.

Власти Белиза, естественно, заинтересовались Макафи, который попал под подозрение. Как Макафи написал в своем блоге, когда он услышал от горничной, что с ним хочет побеседовать полиция, он ударился в бега. Он стал скрываться от правосудия.

Но не блог привел полицию к Макафи. А фотография. И даже не его фотография.

Специалист по безопасности Марк Лавлес (Marc Loveless, он же Simple Nomad) заметил Макафи на фотографии в Twitter, опубликованной журналом Vice в начале декабря 2012 года. На этой фотографии редактор журнала Vice стоял рядом с Макафи в какой-то тропической местности — может быть, в Белизе, а может, где-то еще.

Лавлес знал, что цифровые фотографии содержат много информации о времени, месте и условиях съемки, и хотел посмотреть, что за информацию содержит этот снимок. Цифровые фотографии хранят так называемые EXIF-данные (англ. Exchangeable Image File Format). Это метаданные фотоснимка, там приводятся рутинные подробности, такие как сведения о насыщенности цвета, благодаря которым фотография без искажений отображается на экране или выводится на печать. Также, если позволяет камера, EXIF-данные могут включать в себя точную широту и долготу места съемки.

Стало ясно, что эту фотографию Макафи рядом с редактором журнала Vice сняли с помощью смартфона iPhone 4S. В некоторые смартфоны встроена функция автоматического определения географического местоположения. Лавлесу повезло: выложенный в Интернет файл изображения содержал точное местонахождение Джона Макафи, который, как оказалось, был в соседней Гватемале.

В своем блоге Макафи заявил, что подделал эти данные, но это маловероятно. Позже он сказал, что хотел, чтобы все узнали его местонахождение. Но скорее всего, он просто поленился.

Короче говоря, полиция Гватемалы задержала Макафи и не выпускала из страны. Затем у него начались проблемы со здоровьем, его госпитализировали, и, в конце концов, ему разрешили вернуться в США.

Убийство Грега Фолла так и осталось нераскрытым. Макафи теперь живет в Теннеси, а в 2015 году решил баллотироваться в президенты, чтобы продвигать в правительстве США вопросы киберполитики. Сейчас он редко пишет в блог.

Представим себе, что вы молодой амбициозный джихадист и гордитесь тем, что находитесь на одной из военных баз ИГИЛ[16]. Что вы сделаете прежде всего? Вы достанете свой смартфон и снимете селфи. Или еще хуже, вы не только сфотографируете себя и свое новое место обитания, но и напишете пару слов о сложных командноштабных машинах в данном пункте дислокации.

На другом краю света военные из авиационного крыла специальных операций в Херлберт-Филд, Флорида, проводят анализ социальных сетей и видят вашу фотографию. «Попался!» — говорит один из них. Через пару часов на новенькое военное сооружение сбрасываются три высокоточные авиационные бомбы.143 И все это из-за селфи.144

Мы не всегда задумываемся о том, что еще оказалось на только что созданном нами снимке. В кино или театре это называется «мизансцена», в переводе с французского — «то, что на сцене». На фотографии может быть силуэт большого города, включая вид на Башню свободы из вашего окна. Даже фотография вас в сельском антураже — например, на фоне раскинувшейся до горизонта степи — дает мне представление о том, где вы живете. Эти визуальные подсказки могут стать хорошей зацепкой для тех, кто пытается вас отыскать.

В случае молодого джихадиста в кадр попала военная база.

В метаданных фотографии содержались точные координаты (широта и долгота), или геолокационные данные, того места, где была сделана фотография. Генерал Герберт «Ястреб» Карлайл, глава Боевого авиационного командования ВВС США, подсчитал, что от того момента, когда селфи оказалось в социальных сетях, до того момента, когда военная база была полностью уничтожена, прошло не больше 24 часов.

Безусловно, по метаданным файла изображения можно вас найти. Среди данных EXIF цифрового изображения содержится время и дата съемки, марка и модель фотокамеры и, если на устройстве, с которого сделан снимок, включена геолокация, широта и долгота того места, где была снята фотография. Именно с помощью этой информации американские военные нашли в пустыне военную базу ИГИЛ, подобно тому как Марк Лавлес использовал ее для нахождения Джона Макафи. Любой, кто умеет работать со специальной программой с открытым исходным кодом — это стандартный инструмент под названием Инспектор (Inspector) в macOS и доступные для скачивания приложения, такие как FOCA (Windows) или Metagoofil (Linux), — сможет получить доступ к метаданным фотографий и документов.

Иногда местонахождение выдает не фотография, а приложение. Летом 2015 года наркобарон Хоакин Гусман по прозвищу «Эль Чапо» (исп. El Chapo — «коротышка») сбежал из мексиканской тюрьмы и тут же испарился. Или нет?

Через два месяца после побега Эль Чапо из мексиканской тюрьмы строгого режима Альтиплано его 29-летний сын, Хесус Альфредо Гусман Салазар, выложил в Twitter фотографию. Хотя лица двоих мужчин, сидевших за одним столом с Салазаром, были скрыты смайликами, по комплекции мужчина слева был очень похож на Эль Чапо. Более того, Салазар подписал фотографию следующим образом: «Здесь круто, и вы уже поняли, с кем я». К этому посту также были прикреплены сведения о местонахождении — Коста-Рика, — на основании чего можно было сделать вывод, что сын Эль Чапо забыл отключить функцию автоматического указания координат в приложении Twitter на своем смартфоне.145

Даже если вам не приходится прятать беглого преступника в своей семье, вы должны знать, что цифровая и визуальная информация, стоящая (иногда на самом виду) за вашими фотографиями, может очень многое рассказать тому, кто вами интересуется.

Фотографии в Интернете могут не только выдать, где вы находитесь. При использовании определенного программного обеспечения они могут стать источником утечки ваших персональных данных.

В 2011 году Алессандро Аквисти, ученый из Университета Карнеги-Меллон, задался следующим вопросом: «Возможно ли с помощью уличного снимка человека определить его номер социального страхования?» И он выяснил, что да.146 Он взял фотографию случайного студента-волонтера, снятую на простую веб-камеру, и вместе со своей исследовательской группой извлек из нее достаточно сведений, чтобы получить доступ к персональным данным этого человека в Интернете.

Только задумайтесь об этом. Можно взять фотографию случайного человека с улицы и с помощью программы для распознавания лиц попытаться идентифицировать его личность. Без подтверждения от самого человека можно ошибиться и даже не узнать об этом. Но велика вероятность, что большинство попаданий будут точными.

«Онлайновый и оффлайновый миры смешиваются друг с другом, а ваше лицо — это проводник, связующее звено между двумя мирами», — рассказал Аквисти изданию Threatpost. «Я думаю, что мы получили суровый урок. Нам придется принять тот факт, что само понятие неприкосновености частной жизни постепенно стирается. Вы лишились своей приватности на улице или в толпе. Засилье технологий меняет наше биологически заложенное ожидание приватности».

В ходе исследования Аквисти и остальные члены группы останавливали студентов на территории кампуса Университета Карнеги-Меллон и просили их пройти онлайн-опрос. Пока они этим занимались, веб-камера ноутбука фотографировала студента и этот снимок тут же передавался программе распознавания лиц. Когда студент заканчивал проходить опрос, на мониторе появлялось несколько его фотографий из сети. Почти 42 процента фотографий были определены верно и взяты из тех профилей Facebook, которые действительно принадлежали людям, заполнявшим анкету.

Если у вас есть аккаунт Facebook, вы, вероятно, уже знаете, что эта социальная сеть применяет технологию распознавания лиц. Загрузите на сайт фотографию, и Facebook попытается отметить на ней людей из списка ваших друзей, ваших знакомых. Вы можете до определенной степени контролировать этот процесс. Зайдя в настройки аккаунта Facebook, можно установить такой режим, чтобы сервис уведомлял вас о том, что собирается отметить людей на снимке, и чтобы вы сами решали, отмечать ли вас. Также можно настроить сервис так, чтобы он спрашивал вас, хотите ли вы поделиться фотографией, например на стене или в ленте, или нет.

Чтобы фотографии, на которых вы отмечены на Facebook, были никому не видны, откройте настройки аккаунта, перейдите на вкладку Конфиденциальность (Privacy Settings). Там множество настроек, например, можно установить, чтобы фотографии были видны только вам. Что касается всего остального, то Facebook пока не предоставляет возможности запретить другим пользователям отмечать вас на фотографиях без вашего разрешения.

Такие компании, как Google и Apple, также встраивают технологию распознавания лиц в некоторые из своих приложений, например Google Фото и Apple Фото. Возможно, имеет смысл изучить настройки конфиденциальности таких приложений и сервисов, чтобы ограничить возможности технологии распознавания лиц в каждом конкретном случае. Компания Google до сих пор воздерживалась от включения технологии распознавания лиц в свой сервис «Google Картинки» (маленький значок фотоаппарата в правой части поисковой строки Google). Можно загрузить какое-нибудь изображение, и Google найдет похожие изображения, но не станет искать другие фотографии с тем же человеком, что и на загруженном снимке. Представители Google многократно подчеркивали, что, предоставив людям возможность идентифицировать незнакомцев по фотографии, мы «перейдем черту».147

И все-таки правительства некоторых тоталитарных государств это проделывали. Они фотографировали протестующих на массовых антиправительственных митингах, а затем выкладывали фотографии в Интернет.

Им помогало не столько программное обеспечение для распознавания лиц, сколько краудсорсинг. Также в некоторых штатах Америки подозреваемых в преступных деяниях искали через базу фотографий регистрационно-экзаменационного отдела автоинспекции. Но это сложная процедура с участием ресурсов, которыми располагает штат. Что мог сделать одинокий ученый?

Аквисти и его коллеги хотели посмотреть, сколько данных о человеке с фотографии можно найти в Интернете. Чтобы это выяснить, они применяли технологию распознавания лиц от компании Pittsburgh Pattern Recognition (или PittPatt), которую позже приобрела корпорация Google. Алгоритмы, реализованные в технологии PittPatt, были лицензированы государственными учреждениями и компаниями, работающими в сфере безопасности. Вскоре после покупки технологии компания Google снова озвучила свои намерения: «Как мы уже говорили на протяжении года, мы не станем добавлять распознавание лиц в поиск Google, если не сможем придумать надежную модель защиты конфиденциальности. Пока нам это не удалось».148 Будем надеяться, что компания сдержит свое слово.

Проводя свое исследование, Аквисти мог пользоваться технологией PittPatt в сочетании с информативными профилями на Facebook, т. е. теми, где волонтеры из числа студентов Университета Карнеги-Меллон разместили свои фотографии наряду с дополнительными сведениями о себе. Затем ученые сравнили фотографии с изображениями в «анонимных» профилях на популярных сайтах знакомств. В таких профилях исследователи сумели идентифицировать 15 процентов якобы «анонимных» виртуальных сердцеедов.

Однако самой дерзкой целью эксперимента было установить номер социального страхования человека, имея только его фотографию. Для этого Аквисти и его группа искали профили на Facebook, в которых была указана дата и город рождения человека. В предыдущем эксперименте в 2009 году те же ученые показали, что одной этой информации было достаточно для получения номера социального страхования (номера социального страхования присваиваются по формуле, которая зависит от конкретного штата, а с 1989 года номера социального страхования стали присваиваться в день рождения или в очень близкую к нему дату, благодаря чему угадать последние четыре цифры номера теперь еще проще).149

Произведя первоначальные подсчеты, ученые отправляли каждому студенту дополнительный опросный лист, целью которого было выяснить, в каких случаях полученные с помощью их алгоритма первые пять цифр номера социального страхования были верными. И они оказывались верными в большинстве случаев.150

Могу поспорить, что у вас есть фотографии, которые вы не хотите видеть в Интернете. Вполне возможно, вы не сможете убрать их оттуда, даже если удалите их из своего аккаунта в социальной сети. Отчасти это обусловлено тем, что, выложив что-нибудь в социальную сеть, вы теряете контроль над этим контентом и он оказывается в руках социальной сети. И вы согласились на это, когда приняли условия пользовательского соглашения.

Если вы пользуетесь популярным приложением Google Фото, даже удалив фотографию, не стоит рассчитывать, что с ней покончено. Пользователи обнаружили, что фотографии никуда не исчезают, даже после удаления приложения с мобильного устройства. Почему? Потому что когда изображение попадает в «облако», оно утрачивает зависимость от приложения, в том смысле, что другие приложения тоже получают к нему доступ и могут по-прежнему показывать изображение даже после того, как вы его удалили у себя.151

Это оказывает определенное влияние на реальный мир. Допустим, вы добавили дурацкую подпись к фотографии человека, который теперь работает в той компании, куда вы хотите устроиться. Или вы выложили свою фотографию с неким человеком, а теперь не хотите, чтобы ваш теперешний супруг (или супруга) узнал о нем. Пусть это и ваш личный профиль, но контент попадает в распоряжение социальной сети.

Вероятно, вы никогда не утруждали себя чтением пользовательского соглашения ни на одном из сайтов, куда выкладываете свои личные данные, где делитесь каждодневными событиями, мыслями, чувствами, историями, жалобами, недовольством и так далее или где вы совершаете покупки, играете, учитесь, общаетесь, возможно, ежедневно или даже ежечасно. Для регистрации в большинстве социальных сетей необходимо принять их условия пользовательского соглашения. Не известно, насколько это законно, но в этих пользовательских соглашениях часто присутствуют пункты, в соответствии с которыми сайт может хранить данные пользователей и даже делиться ими с третьими лицами.

Уже много лет у людей возникает целый ряд вопросов к Facebook и его политике в отношении хранения данных. Например, их смущает то, что пользователям сложно удалить свой аккаунт. И в этом отношении сеть Facebook не одинока.

Множество веб-сайтов прописывают в своем пользовательском соглашении приблизительно такие же условия, которые, скорее всего, отпугнули бы вас от сайта, если бы вы их прочитали, прежде чем согласиться. Вот пример с сайта Facebook от 19 марта 2018 года:

Вам принадлежит весь контент и информация, которые вы публикуете на Facebook, и вы можете контролировать их передачу с помощью настроек конфиденциальности и приложений. Кроме того:

1. Вы прямо предоставляете нам следующее разрешение с учетом ваших настроек конфиденциальности и приложений в отношении использования всего контента, на который распространяются права на интеллектуальную собственность, такого как фото и видео (далее — «контент ИС»): вы предоставляете нам неисключительную, не требующую лицензионных выплат, действующую по всему миру лицензию с правом передачи и выдачи сублицензий на использование любого контента ИС, который вы публикуете на Facebook или в связи с ним (далее — «Лицензия на ИС»). Настоящая Лицензия на ИС прекращает действие, когда вы удаляете опубликованный вами контент ИС или свой аккаунт, за исключением случаев, когда другие лица делятся вашим контентом и не удаляют его.152

Другими словами, социальная сеть имеет право поступать по своему усмотрению со всем, что вы выкладываете на сайт. Она даже может продавать ваши фотографии, ваши мнения, ваши тексты и вообще все, что вы публикуете, зарабатывая деньги на ваших материалах, не отдавая вам ни копейки. Администрация соцсети может использовать любой ваш комментарий, критическое замечание, мнение, жалобу или сплетню (если вы такое практикуете) и даже самые личные сведения о вас, вашей жизни, ваших детях, вашем начальнике или о вашем любовнике. И этот контент не обязательно будет использоваться анонимно: если вы указали свое настоящее имя, социальная сеть может сделать то же самое.

Все вышесказанное означает, что среди прочего изображения, выложенные на Facebook, могут перекочевать на другие сайты. Если у вас есть какие-то особенно позорные фотографии и вы хотите выяснить, не разлетелись ли они по всему миру, можно произвести так называемый обратный поиск изображения в Google. Для этого щелкните по маленькому значку в виде фотоаппарата в поисковой строке Google и загрузите любую фотографию с жесткого диска. Через несколько минут вы увидите все сайты, на которых размещено это изображение. Теоретически, если на фотографии изображены вы, то вам следует знать обо всех сайтах, указанных в списке результатов. Однако если вы выясните, что кто-то выложил фотографию на сайт, который вам не нравится, вы мало что сможете сделать.

Обратный поиск изображения ограничивается уже опубликованными изображениями. Другими словами, если изображение немного отличается, система Google его не найдет. Она найдет обрезанные версии изображения, но при условии, что центральная или просто довольно большая его часть останется без изменений.

Однажды на мой день рождения кто-то попытался сделать печать с моей фотографией. У компании, куда этот человек обратился, Stamps.com, очень строгие правила в отношении использования фотографий осужденных преступников. Мою фотографию забраковали. Вероятно, сотрудники выполнили в Интернете поиск по изображению.

Моя фотография находилась в одной базе данных, где было указано мое имя (Кевин Митник) и что я осужден по такому-то делу.

Через год моя подруга попробовала прислать этой компании более раннюю мою фотографию с другим именем, которая была сделана еще до того, как я получил известность. Она посчитала, что этой фотографии могло вовсе не быть в Интернете. И угадайте, что произошло? Это сработало. Вторую фотографию с молодым мной одобрили. Это яркий пример несовершенства поиска по изображению.

Иными словами, если вы найдете свои фотографии, которые не хотели бы выкладывать, у вас есть несколько вариантов.

Во-первых, свяжитесь с сайтом. У большинства сайтов есть электронные адреса в духе zhaloba@nazvaniesaita.com. Можно также обратиться к администратору с помощью адреса электронной почты admin@nazvaniesaita.com. Объясните, что вы владелец изображения и не давали разрешения на его публикацию. Большинство администраторов уберут фотографию без лишних проблем. Однако при необходимости можно выслать официальный DMCA-запрос (англ. Digital Millennium Copyright Act — закон об авторском праве в цифровую эпоху) на адрес электронной почты DMCA@nazvaniesaita.com.

Будьте осторожны. Ложный DMCA-запрос может навлечь на вас неприятности с законом, поэтому, если вы вынуждены прибегнуть к этой мере, сначала проконсультируйтесь с юристом. Если фотографию все равно не удаляют, попробуйте пойти дальше и обратиться к хостинговой компании, обслуживающей сайт (Comcast, GoDaddy или другой компании). Большинство из них с большим вниманием относятся к DMCA-запросам, если они соответствуют закону.

Что еще есть в вашем профиле, кроме фотографий? Вы бы не стали рассказывать все подробности своей жизни человеку, который просто сел рядом с вами в метро. Точно так же не следует раскрывать слишком много сведений о себе на обезличенном сайте. Никогда не знаешь, кто просматривает твой профиль. Выложив информацию, вы уже не сможете вернуть все обратно. Хорошо подумайте, чем именно вы наполняете свой профиль — вовсе не обязательно заполнять все предложенные поля, например, давать информацию об университете (и о том, когда вы его окончили). По сути, нужно заполнять как можно меньше полей.

Аналогичным образом следует поступать в отношении «социальных сетей». Нет необходимости обманывать, можно просто намеренно напускать туман. Например, если вы выросли в Атланте, пишите «Юго-восток США» или просто «Я с юга».

Чтобы еще больше скрыть свою личность, можно указать «безопасную дату рождения», которая на самом деле не является реальной. Обязательно запоминайте свои безопасные даты рождения, поскольку иногда дату рождения нужно назвать сотруднику службы поддержки или указать для входа на сайт после блокировки.

После создания или внесения изменений в свой профиль в социальной сети, потратьте пару минут на то, чтобы проверить настройки конфиденциальности аккаунта. Например, на сайте Facebook нужно настроить проверку публикаций, на которых вы отмечены. В настройке «Кто может видеть публикации, в которых вы отмечены, в вашей хронике?» выберите значение «Только я». Предлагать такие рекомендации друзьям — это плохая идея, верно же? Запретите друзьям отмечать вас в каких-либо посещенных местах.

При регистрации аккаунта на Facebook, вероятно, больше всех стараются дети. Они стремятся заполнить каждое пустое поле, даже дать информацию о том, состоят ли они в отношениях с кем-нибудь. Или бездумно указывают номер школы, в которой учатся, имена учителей и номера автобусов, которыми они ездят каждое утро. Хотя эти сведения не включают в себя точный адрес проживания, но могут на него указать. Родители должны добавляться в друзья к своим детям и следить за их постами, а в идеале заранее обсудить с ними, что можно выкладывать, а что нельзя.

Невидимость вовсе не означает, что вы из соображений безопасности не должны публиковать вообще никакой информации о своей жизни. Рассказывать о себе можно, но необходимо руководствоваться здравым смыслом и периодически заглядывать в настройки безопасности своего аккаунта — поскольку политика конфиденциальности нередко меняется, иногда не в лучшую сторону. Не разглашайте свою дату рождения, даже выдуманную, или хотя бы скройте ее от тех «друзей» на Facebook, с которыми вы лично не знакомы.

Представим себе, что кто-то выложил пост о том, что миссис Санчес — отличная учительница. Следующий пост рассказывает о ярмарке ремесел в начальной школе Аламо. Через поиск Google можно найти информацию о том, что миссис Санчес — учительница пятых классов в начальной школе Аламо, из чего можно сделать вывод о том, что владелец аккаунта — десятилетний школьник.

Несмотря на многократные предупреждения Союза потребителей и других подобных организаций, люди продолжают выкладывать всю информацию о себе в Интернет. Не забывайте, что третьи лица имеют законное право пользоваться этими данными, раз вы выложили их в общественный доступ.153

Также не забывайте, что никто не заставляет вас рассказывать о себе. Вы можете выкладывать столько личных сведений, сколько считаете нужным. В некоторых случаях требуется указать какие-то конкретные данные. Делиться ли чем-то сверх этого необходимого минимума, решать вам. Вы должны сами понять, какой уровень конфиденциальности для вас приемлем, а также осознать, что любая выложенная в Интернет информация подобна воробью из пословицы — если один раз вылетела, уже не поймаешь.

Чтобы помочь вам определиться, в мае 2015 года сайт Facebook запустил новый инструмент проверки настроек конфиденциальности.154 Несмотря на наличие подобных средств проверки, почти 13 миллионов пользователей Facebook никогда не применяли их или вообще не слышали об их существовании (по результатам опроса издания Consumer Reports в 2012 году). А 28 % пользователей предоставляли доступ ко всем или почти всем своим постам на стене не только своим друзьям, но и более широкой аудитории (по результатам того же опроса). И все же 25 % опрошенных заявили, что указали ложную информацию в своих профилях, чтобы скрыть свою личность, и эта цифра выросла в два с половиной раза по сравнению с 2010 годом.155 По крайней мере, мы хоть чему-то научились.

Хотя вы имеете право выкладывать не совсем точную информацию о себе, имейте в виду, что, например, в Калифорнии незаконно писать в Интернете под чужим именем. Нельзя, скажем, притворяться каким-то другим, действительно существующим человеком. А по правилам Facebook, вы не можете создать аккаунт под именем, отличным от настоящего.

Это правило коснулось и меня лично. Мой аккаунт на Facebook был заблокирован, потому что администрация сайта решила, что я выдаю себя за Кевина Митника, им не являясь. В тот момент на Facebook было двенадцать Кевинов Митников. Исправить ситуацию удалось только после того, как на сайте CNET опубликовали историю о том, что на Facebook заблокировали настоящего Кевина Митника.156

Однако существует множество причин, по которым человеку может понадобиться выйти в Интернет под чужим именем. Если у вас возникла такая необходимость, найдите социальную сеть, где можно общаться анонимно или под псевдонимом. Однако такие сайты далеко не соответствуют Facebook по величине аудитории и масштабу.

Обращайте особое внимание на то, кого вы добавляете в друзья. Если вы знаете человека в реальной жизни, отлично. Или если это друг человека, которого вы знаете в реальной жизни, то допустимо. Но если в друзья просится незнакомец, подумайте как следует. Конечно, можно удалить человека из друзей в любой момент, но у него все равно появится шанс изучить ваш профиль — злоумышленнику нужна всего пара секунд, чтобы влезть в вашу жизнь.