Privacy

Apple обяви в разгара на лятото (август 2021 г.), че планира да въведе нова и уникална система за наблюдение, базирана на криптография. Това би засегнало над 1 млрд. продадени iPhone. Очакваше се програмата да стартира с пускането на iOS 15 (вероятно в средата на септември⁠) и първоначално да обхване потребителите в САЩ.

Нововъведението беше представено като технология, която обогатява живота ви, като същевременно ви помага да останете в безопасност. Програмата акцентира върху защита от недоброжелатели онлайн и ограничаване разпространението на материали за сексуална злоупотреба с деца (CSAM).

Възникнаха притеснения обаче, че каквито и да са ползите от новата система на Apple, тя със сигурност ще предефинира кое принадлежи на вас и кое – на компанията.

Кой е новият момент

Задачата на новата система за наблюдение на Apple е да предотврати използването на облачните платформи на компанията за съхраняване на „дигитална контрабанда“.

Към момента, откриването на незаконни изображения, качени в облака, може да се осъществи чрез традиционно търсене сред данните, които вече сте предоставили за съхранение. Няма да се спираме на проблема, че става думи за „ровене“ сред личните файлове на милиарди хора – все пак засега облакът вижда само файловете, които сами сте качили в него.

Новият дизайн предвижда вашият телефон да извършва проверка от името на Apple, преди снимките ви дори да са достигнали до iCloud сървърите. Ако бъде открито „забранено съдържание“, органите на реда ще бъдат уведомени.

С други думи, ще се изтрие границата, която определя кои устройства работят за вас и кои – за Apple.

Създава се прецедент: Компания, която особено много държи на поверителността произвежда продукти, които „изневеряват“ на своите потребители и собственици. Възниква въпросът дали Apple ще може да контролира начина на прилагане на този прецедент. Ако тя може да реши дали произведените от нея телефони ще следят за нарушенията на собствениците им, то кой ще определя кое представлява нарушение … и как да се справи с него?

Пораждат се притеснения, че нововъведението може да бъде използвано за политически и користни цели.

Очакваме да видим дали ще бъде прекрачена тънката граница между наблюдение с цел предотвратяване на престъпления и цензура.

Доза оптимизъм?

Въз основа на обратна връзка от клиенти, застъпнически групи, изследователи и т.н., Apple реши да отдели допълнително време през следващите месеци, за да “събере информация и да направи подобрения”. Текущите намерения на компанията са да пусне „критично важните функции за безопасност на децата“ под формата на ъпдейти на iOS 15 по-късно през 2021 г.

Все пак, съществува вероятност Apple да прави текущите промени като прелюдия за преминаване към криптиране „от край до край“ на всичко, което съхранявате в iCloud.

Това би било много хубаво, но след пускането на новата система за наблюдение вече няма да има значение дали Apple някога ще активира end-to-end криптиране, защото вашият iPhone ще докладва съдържанието си, преди криптиращите ключове да бъдат използвани.

Сигурно на всички ви се е случвало да изпратите e-mail до грешен адресат или да получите поща от непознат. В зависимост от съдържанието на кореспонденцията, може да сте изпадали в доста конфузна ситуация.

Много по-безопасно и лесно би било ако можете да защитите съобщенията си, така че само правилният получател да ги вижда. Или да имате възможност да изтриете вече изпратено писмо или прикачен файл, ако сте объркали нещо.

Всъщност, ако използвате Gmail имате тази опция – Confidential Mode.

Как работи Confidential Mode

При създаване на ново съобщение, след като попълните всички полета (получател, тема и съдържание), е нужно да кликнете върху иконата в долния десен ъгъл, приличаща на катинар – по този начин заключвате писмото, което изпращате. Така само оторизираният получател (този, за когото реално е предназначено) може да го види.

След като изпратите писмото, друг имейл уведомява получателя, че има конфиденциална поща. За да я прочете, той трябва да въведе секретен код, предоставен му чрез SMS или съобщение в електронната поща.

Всъщност, изпратеното писмо реално не  достига до получателя, а се съхранява на сървър на Google. Като допълнителен слой на защита може да зададете и срок, в който имейла да бъде пазен.

Включително, можете да прекратите достъпа до изпратения имейл, когато решите:

Докато писмото е достъпен за получателя му, той не може да го препрати към друг, нито да го копира или свали.

Какво още е добре да знаете

Ако сте избрали известяването за конфиденциална поща да стане чрез допълнителен имейл, при евентуален пробив в акаунта на получателя, атакуващият ще има достъп до секретния код и до съдържанието на писмото ви.

Също не забравяйте, че Google не криптира съдържанието на вашия Inbox – т.е. служители на Google или всеки с достъп до акаунта ви също може да прочете наличното в пощенската ви кутия.

Все пак, използването на още един слой защита на информацията и споделяните данни е винаги за предпочитане. При всички положения намалявате шанса кореспонденцията ви да попадне в грешните ръце.

Екипи на Mozilla и университета Принстън са създали платформата Mozilla Rally – разработена, за да гарантира неприкосновеност на личния живот, прозрачност и контрол на потребителите над собствените им данни и достъпа до тях.

Присъединявайки се към Rally, имате възможност да участвате в проекти за краудсорсинг на данни (комбиниране на усилията на множество хора, като всеки има своя собствен принос в крайния резултат).

Целта е да се постигне разбиране и да се намерят решения на социални проблеми, причинени от икономиката на данни. Платформата ще дава просто обяснение на целта на изследването, данните, които то събира, как те ще бъдат използвани и кой ще има достъп до тях.

Всички ваши данни се съхраняват в изолирани сървъри на Mozilla и достъпът до средата за анализ е строго контролиран.

Google Chrome използва FLoC (Federated Learning of Cohorts) за анализиране на потребителската активност във всеки уебсайт. Наскоро стана известно, че компанията тества експерименталната функция сред 0,5% от потребителите на Chrome в избрани региони, без тяхно съгласие.

Конкурентната търсачката DuckDuckGo обаче е намерила начин да блокира това проследяване – чрез специално създадено разширение за Google Chrome. То автоматично блокира активността на FLoC на всеки уебсайт, за да защити поверителността на потребителите.

Имате възможност напълно да избегнете наблюдението на FLoC, като използвате търсачката или разширението на DuckDuckGo.

Пандемията създаде нови интернет тенденции, сред които и селфитата на работещите отдалечено хора: Много служители правят снимки на настройките на домашния си офис или на сесии от видеоконферентни срещи и ги публикуват в профилите си в социалните мрежи.

Компанията за киберсигурност, Sophos, предупреждава, че недоброжелатели могат да се възползват от този нов „жанр“, за да откраднат ваши лични данни, с цел измама и финансова печалба.

Как е възможно това

• Етикети върху пратки, попаднали във фона на снимките, могат да разкрият домашния ви адрес
• Плакати на стената показват хобитата ви и насочват към отговори на тайните въпроси, свързани със сигурността на ваши акаунти
• Виртуални партита за рождени дни разкриват датата ви на раждане и имената на членове на семейството и близки приятели и т.н.

Освен лична информация, селфито в домашна работна среда може да доведе до изтичането на чувствителни корпоративни данни.

Препоръки

За да сте сигурни, че публикациите ви в социалните медии не излагат никакви чувствителни или лични данни, е важно:

• Да внимавате какво се вижда на заден план на вашите снимки
• Да използвате виртуален или размазан фон по време на видео разговори
• Да бъдете пестеливи и внимателни при използването на хаштагове, свързани с отдалечената работа

Yandex – една от най-големите европейски интернет компании – съобщи за изтичане на данни, което е компрометирало близо 5 хил. имейл акаунта на потребители.

Yandex е най-използваната търсачка в Русия и петата най-популярна търсачка в света. Услугите на компанията включват електронна поща, онлайн реклама, анализ на приложения и др.

Установено е, че става дума за вътрешна заплаха: Системен администратор на Yandex е предоставял неоторизиран достъп до пощенските кутии на потребители „за лична изгода“.

По данни от проучването 2020 Insider Threat Report около 68% от организациите се чувстват уязвими към изтичане на данни, причинено от вътрешни заплахи.

Прочетете как да предпазите бизнеса си ТУК

Накратко:

• Не трябва да пренебрегвате политиката за поверителност при избор на чат приложение
• Свързаните с Facebook платформи за кратки съобщения събират най-много информация за вас
• След скандалa със споделянето на данни от страна WhatsApp, много потребители се насочиха към Signal и Telegram
• End-to-end криптирането и синхронизацията между устройствата са решени по различен начин при Signal и Telegram
• Информацията ви в iMessage е защитена
• Viber е сигурна платформа за провеждане на разговори, но приложението споделя информация за вашите навици с партньори

В случай, че до момента не сте се замисляли, добре е да имате едно на ум, когато комуникирате през платформите за чат.  Всичко, което споделяте с приятели – информация за вашето здраве, проблеми, политически възгледи и т.н. – се записва и може да се използва за различни цели. Ето защо е важно да сте наясно със защитите и политиките на чат платформата, която използвате. Ще ви помогнем, като разгледаме поверителността на най-популярните приложения за кратки съобщения:

Facebook компаниите

Едва ли сте пропуснали суматохата, която се създаде около WhatsApp, по повод намерението им официално да споделят данните на потребителите си със своя собственик – Facebook.

Много от хората, научили за скандала с Whatsapp, спряха да използват платформата, но продължават да чатят през Facebook приложение – Facebook Messenger. Когато става дума за събиране, свързване и използване на вашата информация обаче, това със сигурност не е по-добрата алтернатива, дори обратното:

WhatsApp vs Signal

Най-богатият човек в света Илон Мъск, призова своите последователи да се прехвърлят към Signal. Същото направи и Edward Snowden, като написа в своя Twitter акаунт, че той използва Signal всеки ден.

I use Signal every day. #notesforFBI (Spoiler: they already know) https://t.co/KNy0xppsN0

— Edward Snowden (@Snowden) November 2, 2015

Големият интерес на милионите нови потребители, в рамките на един ден, претовариха сървърите на Signal.

Общото между WhatsApp и Signal е, че и двете платформи използват криптиране от край до край. Основната разлика е, че Signal е приложение с отворен код (оpen source) – това означава, че всеки може да има достъп до кода на приложението и да го изследва за уязвимости, съответно – да се възползва от тях

Има и други разлики, които имат отношение към вашата поверителност: WhatsApp криптира информацията, която изпращате, но не и архивите на чата ви в облака т.е. историята на чатовете ви остава незащитена. От съображения за сигурност, Signal пък не предлага синхронизиране на историята в облака. WhatsApp споделя вашата информация със собственика си Facebook. Signal от друга страна не е обвързан с големи технологични компании – единственият приход на приложението е от дарения от потребители.

WhatsApp vs Telegram

Ситуацията с Telegram е съвсем различна. Иронията е в това, че потребителите заменят „несигурния“ WhatsApp с Telegram, без да са запознати, че по подразбиране Telegram не предлага криптиране от край до край (end–to–end). Има опция „secret chat“, която позволява да изпратите съобщение на друг, като използвате протокола за криптиране от край до край между двете устройства, но тази функция не може да се приложи за групов чат.

Signal vs Telegram

За потребителите, фокусирани върху поверителността си, голямата разлика е, че всичко в Signal винаги е шифровано от край до край, докато Telegram предлага end-to-end криптиране като незадължителна функция. Signal пази историята само и единствено на вашето устройство по подразбиране, докато Telegram използва сървъри за съхранение, което позволява синхронизиране между различни ваши устройства. Signal е изцяло оpen source проект – кодът и на клиента и на сървъра може да се намери в GitHub. Кодът на клиента на Telegram също е видим, но не и този на сървърите.

iMessage

За феновете на Apple, изборът може и да е по-лесен: iMessage събира само вашия имейл, телефонен номер и име на устройството. Чат/видео и чат/видео конференция използват Apple IMessage protocol, който криптира информацията и тя остава защитена.

Да не забравяме Viber

Това е една от най-разпространените чат платформи в България. Но колко от вас са обърнали внимание с какво се съгласяват при използването й:

Viber споделя доста голяма част от вашата информация и навици с трети страни (партньори):

• Линкове, които отваряте и къде ви насочват те
• Вашето местоположение
• Интернет данни, които не е задължително да идват от Viber. Те също се използват за анализиране, за да ви се предложат по-добри и персонализирани реклами

Вашата информация, която Viber споделя обаче, няма общо с написаното в чата. Съобщенията, идващи от вашето устройство, са криптирани. Те могат да бъдат прочетени чак когато достигнат приемащото устройство.

По отношение на настройките за поверителност на приложението (Privacy Settings), бихте могли сами да зададете някои ограничения:

• Вашия статус да бъде видим (Online/Offline)
• Изпращача да вижда дали сте прочели неговото съобщение
• Потребители, които не са във вашия списък с абонати да могат да видят профилната ви снимка
• Peer-to-peer разговори, в които вашето IP става видимо за човека срещу вас
• Hidden chat (наличен и при Telegram) – той може да бъде заключен с допълнителен PIN код и съобщенията в него да останат „скрити“ дори ако загубите телефона си

Разбира се, всички разгледани приложения се променят с течение на времето и добавят нови функции. Струва си да направите собствено проучване и да се запознаете с тях по-обстойно, и да изберете тази платформа, която най-добре отговаря на вашите нужди.

Най-голямото технологично събитие на годината – международното изложение за потребителска електроника CES (Consumer Electronics Show), провело се в периода 10-14 януари 2021 г., представи иновативни мрежови рутери, използващи Mesh WiFi 6E система. Устройствата може да са отговорът на проблемите ви с безжичния сигнал, но не пренебрегвайте темата „поверителност и сигурност“.

Какво представлява Mesh WiFi 6E

Πpи Mesh WiFi 6E мрежите свързаността се разпростира между множество малки безжични устройства, ĸoитo ĸoмyниĸиpaт помежду cи, зa дa пoĸpият по-гoлямa плoщ. Металните врати, които блокират сигнала и отдалечените помещения, в които връзката се губи, вече няма да затрудняват комуникацията ви. Ако сигналът срещне препятствие по пътя на разпространението си, той ще се „раздроби“ на още по-малки части и дори ще ви „заобиколи“ (все пак вие също пречите на сигнала, когато се придвижвате от помещение в помещение) т.е. ще знае къде се намирате (или не се намирате) в момента. Технологията може да се приложи и като ъпгрейд на съществуващите ви рутери ако те поддържат WiFi 6E (очаква се масово разпространение на рутери от това поколение през 2021 г.).

А какво да кажем за сигурността

Много системи имат облачен компонент, което им позволява да се управляват дистанционно. Това обаче ги нарежда в горната част на списъка на най-уязвимите точки за атака. Поставянето на дистанционно управление във всяка стая в дома ви, освен улеснение за вас, предоставя обаче нови възможности за хакерите.

С все по-широкото навлизане на МЕЅН-мpeжитe в домашната ви среда, неизбежно ще се стигне до събирането на лична информация (personally identifiable information – PII). Това би било в противоречие с действащото в ЕС законодателство за защита на личните данни (GDPR). Ще очакваме да видим как законодателите ще интерпретират технологията през следващите години.

Последен ъпдейт на 16 януари 2021 в 03:55 ч.

Новата Политика за поверителност на WhatsApp ще влезе в сила на 8 февруари 2021 г., за което голяма част от потребителите вече бяха уведомени.

Как реално промените ще засегнат вашата поверителност

Даването на съгласие за споделяне на личните данни, като задължително условие да продължат да ползват WhatsApp акауните си, се отнася за всички извън Европейския съюз (сред които вече попадат и живеещите на територията на Великобритания).

Личните данни на европейските граждани обаче няма да бъдат споделяни със социалната мрежа – това е така, поради ограниченията, налагани от Общия регламент за защита на личните данни (GDPR).

3/5 There are no changes to WhatsApp’s data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.

— Niamh Sweeney (@NiamhSweeneyNYC) January 7, 2021

В действителност, за никого не е тайна, че WhatsApp споделя данните на потребителите си с Facebook още от 2014 г. – заложените промени в новата Политика за поверителност просто ще официализират действията.

Важно е да отбележим, че новите условия всъщност не променят крайната енкрипция на съобщенията, снимките и останалата информация, която изпращате чрез приложението.

Най-същественото, което трябва да знаете като потребители е, че WhatsApp и Facebook няма как да проследят вашата комуникация. Информацията, която ще бъде споделена между компаниите включва телефонния ви номер, логове за това колко, къде и кога използвате приложението, устройството на което го използвате и т.н.

По-важно е вниманието ви да бъде насочено към това, че личната ви информация изобщо се събира. Да, Facebook и WhatsApp си обменят данни за вас, но по-притеснителен е фактът, че същото прави всяка друга безплатна услуга.

Как WhatsApp промени поведението си през изминалите години

Добре известно е, че за “безплатното” понякога трябва да платим доста скъпо. Често цената е личната ни информация (privacy) и повечето от потребители на социалните мрежи и приложенията за комуникация са наясно с това. Тогава защо промяната в условията за ползване на WhatsApp е обект на такова внимание?

Потребителите на чат приложението имат основателна причина да бъдат ядосани: През 2014 г. WhatsApp обяви, че лични данни от акаунтите няма да бъдат предоставяни на току-що придобилия дялове социален гигант – Facebook.

Две години по-късно обаче (през 2016 г.), след като компанията на Mark Zuckerberg увеличи присъствието си в WhatsApp, приложението „реши“ да започне да споделя информация от акаунтите на потребителите си със социалната мрежа, „за да подобри рекламите и продуктовото позициониране“. Тогава обаче на потребителите беше дадена еднократна възможност да не се съгласят с тази промяна и да отхвърлят възможността личните им данни да бъдат споделяни.

Точно това право на избор липсва в последната версия на Политиката за поверителност на WhatsApp, отнасяща се за потребителите извън територията на ЕС.

Препоръка

Съветът ни към вас е обичайният: Ако желаете да използвате безплатна услуга като Facebook, Viber, WhatsApp, Gmail и т.н, първо се запознайте с условията за ползване. Ясно е, че няма безплатен обяд, но е важно да знаете по какъв начин сте заплатили и дали той е приемлив за вас.

Последен ъпдейт на 9 юли 2018 в 05:08 ч.

Втора част от материала – как да настроите браузъра си – вижте тук. 

Огромната част от интернет съществува само, защото потребителите са така добри да споделят личните си данни.

Може и да е крайно, но горното твърдение е излюстрация на начина, по който се монетизира присъствието ни онлайн. Навиците ни на сърфиране, интересите, за които споделяме – това е информация, която е превръщана в приходи от различни платформи, които я събират и препродават на рекламодатели.

Добрата новина, е че събирането на подобна информация е ясно регламентирано от новия регламент за защита на личните данни в ЕС (познат още като GDPR). А още по-добрата, че можем да вземем нещата в свои ръце – и да контролираме какво, с кой и кога споделяме онлайн благодарение на усилията на знайни множество различни добавки за браузъри. Ето няколко от тях, които можем да препоръчаме:

Преди всичко, застъпниците на онлайн поверителността силно клонят към Mozilla Firefox като най-разумен избор за браузър в момента, но това е избор, който оставяме на вас.

Privacy Badger – язовецът, който лови тракери

Privacy Badger е добавка за най-популярните браузъри, която е разработена и се поддържа от EFF (Electronic Frontier Foundation). Добавката ви пази като следи за елементи по страницата, които вграждат домейни от трети страни – с други думи, сайтове, които ви следят.

Предимството му е, че може да различава съдържание, което е ключово за функционалността на страницата от това, което само следи активността ви. Респективно, едното бива забранено, а другото – не.

Добавката също затруднява browser fingerprinting – техника, която цели да ви идентифицира чрез особеностите при настройките на браузъра ви, шрифтовете, които използва, инсталирани добавки и т.н.

Научете повече/инсталирайте | Проверете доколко браузърът ви подлежи на fingerprinting

Кажете „не“ на стотиците реклами с uBlock Origin (ако вече не сте)

Темата за онлайн рекламите и добавките, които ги блокират, е доста пипкава, особено след като беше разкрито, че понякога и двете страни следят и продават данните ви.

uBlock е проект, който претърпя много промени в последните години, сред които и разделяне на две части. uBlock Origin е версията, която се поддържа от оригиналните създатели. Според много тя е най-бързата и най-силно ориентирана към конфиденциалност добавка от този тип.

Инсталирането ѝ ще ви спести всички възможни реклами по уебсайтовете (а с тях и половината заплахи, на които попадате).

Това, за жалост ощетяващо за уебсайтовете, които използвате ежедневно, тъй като не могат да печелят от показването на реклами. Затова, помислете, преди да забраните рекламите на сайтовете, които наистина заслужават.

Chrome | Firefox

Cookie AutoDelete ви спестява ненужни бисквитки

Добавката ви позволява да се отървете от оставащи бисквитки, които би трябвало да са неактивни вече. Това ви пази не само от следене, но и от session hijacking атаки.

Всички сесии, бисквитки и допълнителна информация, която може да служи за следенето и ще бъде унищожавана след като спрете да използвате уебсайта, от който идва.

Chrome | Firefox

HTTPS Everywhere криптира трафика ви с множество сайтове

Тази добавка също е проект на EFF, в партньорство с The Tor Project.  Тя ви помага, като принуждава сайтовете, които поддържат криптирана връзка, да я използват за всички заявки, без значение какви линкове има в съдържанието им.

Научете повече / инсталирайте

Decentraleyes ви пази от мрежи за предоставяне на съдържание

Все повече и повече уебсайтове разчитат на външни хранилища за своето съдържание – видео, снимки, текст. Това, което печелят те е по-евтино лесно за управление съдържание, което може лесно да бъде споделяно. Това, което тези мрежи (content delivery networks) печелят е, че знаят до какво съдържание се докосвате в ежедневието си.

Decentraleyes спира това като емулира предоставянето на това съдържание за браузъра, но локално – без да бъде идентифициран вашия браузър.

Chrome | Firefox

С IP Address and Domain Information може да проверите дали пазарувате от реален електронен магазин (и не само)

В контекста на фишинг атаките, които се случват буквално всеки ден, е хубаво да може да проверите идентичността на сайта, който стои зареден пред вас. Същото важи и, ако ще пазарувате онлайн и искате да сте сигурни в легитимността на избрания магазин.

Това може да стане лесно с IP Address and Domain Information – безплатна добавка, с която може да видите детайлна информация за всеки IP адрес, домейн или доставчик на услуга. Така шансът да бъдете измамени от фалшиво копие на уебсайт намалява драстично.

Chrome | Firefox

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.