Интернет

Лучшие (и худшие) защитники информации этого года

admin
Всего просмотров: 72

Среднее время на прочтение: 4 минуты, 34 секунды

Победитель никогда не может одновременно быть проигравшим. Но уж точно не в случае с прошлогодним «соревнованием» по защите личных данных.

Победителем в нём в 2014 году стал ты, пользователь. Всё потому что появился целый ряд новых продуктов и услуг для защиты твоей связи и твоих данных.

security-winners-losers-crop

Но ты, пользователь, и в самом сильном проигрыше. Откровения о том, как следит за тобой АНБ, дали ясно понять, что они со своими партнёрами по всему миру не успокоятся, пока не захватят и не расшифруют каждый бит твоих данных.
В соревнованиях есть лучшие и худшие, они же были и здесь: лучшими стали те, кто внёс вклад в компьютерную безопасность, а худшими — те, кто не смог должным образом ответить на угрозы. Итак, те, у кого информация защищена, и те, кто о ней не так печётся.

Защитники

Apple

За что и стоит поблагодарить АНБ, так это за создание конкурентной гонки в сфере защиты личных данных. Apple взяла инициативу на себя, сообщив, что в новой iOS8 по умолчанию шифроваться будет почти всё, в том числе сообщения, фотографии и контакты, и что сама Apple ничего не сможет расшифровать без пользовательского пароля (в предыдущих версиях операционной системы Apple могла разблокировать устройство с помощью ключа, который хранился в самой компании). Этот шаг для защиты данных от злоумышленников, в частности, не позволит разблокировать устройство пользователя даже по требованию спецслужб.
Google, в свою очередь, объявил о намерении последовать примеру Apple в следующей версии Android. Реакция на подобный шаг последовала немедленно. Потребители были крайне довольны тем, что обеспечение защиты их данных стало приоритетным направлением развития для производителей, в то время как генеральный прокурор США Эрик Холдер и директор ФБР Джеймс Коми сошлись во мнении, что это помешает получить данные даже при наличии ордера (что не совсем так: данные, скопированные в iCloud и метаданные по-прежнему доступны при наличии ордера). В Apple последовал ответ, что целью было не препятствование правоохранительным органам, а улучшение системы защиты данных в целом.

WhatsApp 

Программа для быстрого обмена сообщениями превзошла даже собственные системы защиты Apple. WhatsApp объявил, что приложение использует межабонентское шифрование для защиты своих сотен миллионов пользователей. Сейчас данные в приложении шифруются с помощью ключа, который хранится на устройстве пользователя. Это означает, что даже сама компания не может прочесть переписку своих пользователей даже по требованию правоохранительных органов. Межабонентское шифрование появилось и в iMessage от Apple, но всё же с некоторыми уязвимостями, которые отсутствуют в WhatsApp.

Верховный суд Флориды 

В одном из своих решений суд постановил, что для получения данных с вышек сотовой связи полицейским нужен ордер. Согласно решению суда, отслеживание местонахождения или перемещения человека в реальном времени регулируется Четвёртой поправкой и, следовательно, требует наличия ордера. Решение также охватывает использование так называемых «скатов» — устройств, которые «имитируют» вышку связи. Оказавшиеся в непосредственной близости телефоны подключаются к «скату», что позволяет отследить человека без помощи телекоммуникационных компаний.

Верховный суд США 

Согласно одному из решений Верховного суда, досмотр мобильных телефонов арестованных теперь невозможен без наличия ордера. Как утверждали американские прокуроры, телефоны подозреваемых были «существенно неотличимы» от иных устройств хранения, например, бумажника или сумки. В решении суда было отмечено, что «современные сотовые телефоны, как категория, связаны с неприкосновенностью частной жизни более тесно, нежели пачка сигарет или кошелёк».

Yahoo 

В прошлом году, когда появились новости о программе PRISM, многие компании были упомянуты как её участники и стали подозреваться в том, что они передали данные своих клиентов без всякого сопротивления. Но вскоре выяснилось, что компания Yahoo, после получения запроса, передала дело в суд. Компания, основываясь на Четвёртой поправке, утверждала, что, во-первых, должен быть предоставлен ордер, а во-вторых, что такой слишком широкий и беспричинный запрос нарушает Конституцию. Всё закончилось в 2008, когда аргументы интернет-гиганта признали беспочвенными, а самой компании пригрозили ежедневными штрафами в 250000 долларов в случае отказа передать сведения. И хоть действия компании не увенчались успехом, стоит отметить роль Yahoo за выдающееся сопротивление.

Google Project Zero 

Выплаты за отлов ошибок в программах существуют уже в течение 10 лет, и с каждым годом суммы неуклонно растут. В этом году Google перевернула эту традицию своим заявлением о создании внутренней команды хакеров, которая будут заниматься поиском слабых мест как у себя, так и среди других компаний. Project Zero стремится сделать интернет более безопасным для всех, сосредоточив своё внимание на таких уязвимостях, как Heartbleed и Shellshock.

Отступники и те, кто не справился

Sony 

За последние несколько лет многие компании подвергались хакерским атакам, но утечка данных в Sony может стать взломом десятилетия — не только из-за содержимого данных, но и из-за «порционного» характера их появления в сети. Некоторые сведения касались лишь чего-то бытового, например, псевдонимов знаменитостей для регистрации в отелях. Были и довольно неловкие, к примеру, найденные в переписке между сопредседателем Sony Эми Паскаль и продюсером Скоттом Рудиным расистские выражения в адрес Барака Обамы. А иные наносили прямой урон деятельности компании, к примеру, медицинские записи сотрудников или секретные сведения касательно деловых переговоров и сделок.

Президент Обама 

В этом году правительство США признало, что оно умалчивает о найденных уязвимостях в системах безопасности для использования их в своих целях. Белый дом заявил, что решение о раскрытии сведений об уязвимостях принимает Совет национальной безопасности (председателем в котором является президент США). Более того, СНБ должен раскрывать данные о любых найденных слабых местах, за исключением случаев, когда их использование может быть выгодным для спецслужб. И так как внешний надзорный орган попросту отсутствует, общественности остаётся только верить такому непрозрачному процессу.

Судебные приставы США 

Американский союз защиты гражданских свобод (ACLU) подал заявку на получение публичных записей об использовании «скатов» из полицейского управления Сарасоты, Флорида. Также был назначен визит в центр, где хранились требуемые документы. Но прежде чем представители союза смогли попасть в центр, приставы успели перевести документы, заявив, что они не принадлежат полицейскому управлению. Местная полиция также приняла выдающиеся меры, чтобы скрыть данные об использовании устройств. Штатный юрист ACLU Натан Фрид Уэсслер, в свою очередь, назвал этот инцидент «грубейшим нарушением прозрачности».

Verizon

Компания Verizon Wireless столкнулась с проблемами, когда технолог из Electronic Frontier Foundation заметил, что за пользователями беспроводной сети велась слежка. Данные об активности пользователя передавались через «permacookie», строку длинной в 50 символов, по которой передавалась информация между пользователями и сайтами, которые они посещали. Cookie получал каждый пользователь, так как Verizon попросту не предоставило никакой возможности для отключения этой опции.

Gamma International 

Англо-немецкий производитель шпионских программ FinFisher в течение многих лет заявляло, что не продаёт своё ПО странам с репрессивными режимами, где нарушаются права человека. Но в этом году хакер, внедрившийся в сеть компании, украл около 40 Гб данных, после чего выложил их в открытый доступ. Внутренние документы компании просочились в WikiLeaks, к примеру, переписка между техподдержкой фирмы и властями Бахрейна. В письмах говорилось о проблемах с ПО, в частности, о «ежедневных потерях целей». Целями были 13 компьютеров в Великобритании, список с IP-адресами которых также прилагался в сообщениях. Группа по защите прав человека в Бахрейне проанализировала данные и пришла к выводу, что 3 компьютера принадлежали активистам, которые за свои демократические убеждения были подвергнуты тюрьме и пыткам в Бахрейне. Было возбуждено уголовное дело по факту соучастия с правительством Бахрейна в перехвате данных. Однако правительство так и не ответило на требования группы о проведении официального расследования.

Оригинал: http://www.wired.com/2014/12/biggest-privacy-security-winners-losers-2014/