Ссылки для упрощенного доступа

logo-print

Хищение персональной информации в Интернете


Специально для сайта

Владимир Губайловский

Как показало исследование компании ChoiceStream, чем больше сайт заботится о посетителе – то есть выстраивает персональную среду, ориентируясь на его интересы, тем чаще пользователь на заходит на сайт. Чтобы оптимизировать доступ для конкретного посетителя необходимо знать о нем персональную информацию. Но при этом пользователи обеспокоены возможностью хищения частной информации, которую они сообщают сайту. Персонализированный контент, который формируется специально для пользователя и учитывает его интересы и вкусы, хотели бы видеть 80% опрошенных компанией ChoiceStream. В 2004 году таких пользователей было 81%. Спрос на персональный доступ стабилен и высок. Но при этом 63% выразили озабоченность по поводу сохранности личных данных, которые придется оставить на сайте, чтобы обеспечить необходимый уровень персонализации. Информацию демографического характера – пол, возраст, дату рождения – готовы оставить — всего 46%, что на 11% меньше, чем в 2004 году.

Тенденция очевидна – пользователи все меньше склонны говорить о себе, поскольку уверенности в том, что сообщенные сведения не будут использованы против них мошенниками, становится все меньше. Это напрямую связано с криминализацией киберпространства. Самая безобидная приватная информация может быть использована, например, фишерами – мошенниками, которые выманивают пароли и номера кредитных карт. Фишерские спам-рассылки, содержащие реальную информацию о пользователях – имена, названия Интернет-магазинов и банков, которыми действительно пользуется адресат, становятся все более частыми. У такого рода писем гораздо выше вероятность ответа, в том числе и такого, в котором пользователь, введенный в заблуждение осведомленностью мошенника, может действительно сообщить критические сведения. Кроме того, такого рода письма очень похожи на нормальную деловую переписку, и не все системы распознавания спама могут их отфильтровать.

Выход нового продукта компании Google – Google Desktop 2 заставил вернуться к обсуждению этой вечной сетевой проблемы, как настроить для себя онлайновые ресурсы и при этом сообщить о себе по возможности меньше? Google Desktop 2 предложил пользователям новый сервис – Web Clips, который отслеживает предпочтениями пользователя – то какие ресурсы он посещает и какие новостные темы его интересует, и на основе технологии RSS подбирает ему те новости, которые пользователю действительно интересны. При этом онлайновые предпочтения, безусловно, известны компании Google. От этих сервисов, естественно, можно отказаться, тогда Google ничего не узнает о ваших предпочтениях, но и не сможет вам помочь.

Радио «Свобода» обратилась к старшему вирусному аналитику компании "Лаборатория Касперского" Александру Гостеву с просьбой прокомментировать, насколько большую опасность таит в себе сообщение конфиденциальной информации поисковым, почтовым и платежным системам.

Защита от внешнего взлома.

Владимир Губайловский: Насколько хорошо, с Вашей точки зрения, защищена персональная информация, предоставленная пользователями публичным поисковым и почтовым системам? Известны ли Вам случаи взлома подобных систем?

Александр Гостев: Возьмем для примера портал Yahoo и его почтовую службу YahooMail. Для регистрации почтового ящика там требуется указание номера своей кредитной карточки и всей сопутствующей информации - ваши реальные имя и фамилия, адрес, номер телефона. При этом - сама регистрация бесплатна, и Yahoo гарантирует, что эта информация им нужна исключительно для защиты от регистрации спамерами тысяч ящиков, а также проверки вашего юридического статуса (совершеннолетний или нет и т.д.). Yahoo оставляет за собой право, в случае обнаружения несоответствия действительности указанной вами информации - прекратить оказание вам услуг, удалить ящик и заблокировать все дополнительные сервисы, которые вы могли там использовать - Yahoo Wallet или Yahoo Domains, например.

Стоит, однако, признать, что полученная информация весьма тщательно защищена. Даже от самого пользователя Yahoo. На собственном примере могу рассказать, что когда мне вдруг понадобилось вспомнить номер своей кредитной карты - я попытался найти его в своих персональных данных на Yahoo и истории платежей за различные услуги через Yahoo. Номера карточки я там так и не нашел. Это дает гарантию, что, в том случае если мои данные на доступ к Yahoo-аккаунту будут украдены (логин и пароль от ящика, например) - мои банковские реквизиты все равно останутся в сохранности.

Что касается случаев взлома извне - нет, мне не известны такие случаи, когда бы взламывались крупные системы, вроде Yahoo, Google, MSN или Hotmail. Информация хранится на внутренних серверах, с многоуровневыми системами доступа, и все отчетливо себе представляют, что и как необходимо защищать в данном случае. Другое дело, что возможны и неоднократно происходили и происходят случаи кражи данных на стороне клиента. Но это уже совсем другая история.

Справка. Согласно аналитическому обзору, опубликованному "Лабораторией Касперского", в 2005 году число точечных атак, направленных на конкретные сайты, будет увеличиваться. Будет расти число целевых рассылок вредоносных программ, направленных на совершение преступлений против конкретной четко избранной жертвы. Это уменьшает возможность своевременного оказания помощи со стороны антивирусных компаний, поскольку могут использоваться конкретные уязвимости системы защиты данного сайта и при этом использоваться ровно один раз – такого рода взлом может больше не повториться. Самой большой "победой" мошенников при точечной атаке, стал взлом систем безопасности компании CardSystems Solutions, при котором было похищено более 40 миллионов номеров кредитных карт компанией Master Card, Visa и American Express.

Защита от внутренних угроз

Владимир Губайловский: Как устроена защита от инсайдерской угрозы в таких системах?

Александр Гостев: А вот тут все гораздо сложней, чем при внешнем взломе. Мы не обладаем достоверной информацией о системах подобной защиты в крупных организациях, но известно несколько случаев, когда пользовательские данные "утекали" наружу именно при "помощи" инсайдера внутри самой организации. Несомненно - от подобных угроз защититься гораздо сложней, чем от взлома извне.

Справка. 25-летний бывший сотрудник компании America-On-Line (AOL) Джейсон Смазерс (Jason Smathers) был приговорен к 15 месяцам тюремного заключения за продажу базы данных абонентов компании AOL. В базе хранилась информация о 92 миллионах клиентов (адреса и имена). На продаже базы данных Смазерс заработал 28 тысяч долларов. По приговору суда он обязан вернуть эти деньги и выплатить 84 тысячи долларов в виде компенсации компании AOL за причиненный технический и моральный ущерб. Компания Korn/Ferry International, самая крупная в мире среди тех, кто занимается поиском сотрудников самого высокого ранга (включая главных, исполнительных и финансовых директоров) обвинила своего бывшего служащего, Дэвида Носала (David Nosal) в краже 32,5 тыс. конфиденциальных записей о клиентах компании и потенциальных кандидатах на вакантные должности.

Защита информации от ее разглашения поисковыми системами

Владимир Губайловский: Какую ответственность несет поисковая система за несанкционированное использование или разглашение персональной информации?

Александр Гостев: Максимум чего можно добиться от поисковой системы - это убрать из поисковых индексов ту информацию, которую они собрали и которую вы считаете непубличной. Однако не стоит забывать, что для сбора ее поисковые системы не использовали никаких методик взлома сайта или "хакерских" инструментов. Они просто находят в автоматическом режиме то, что мог найти любой. Было несколько скандалов, когда поисковые системы находили на сайтах некоторых СМИ недоступные по ссылкам веб-страницы, которые, однако, были доступны при знании прямой ссылки. Например, был громкий скандал, когда таким образом был найден заготовленный некролог еще живого Рональда Рейгана. Собственно, в данной ситуации основные проблемы возникают именно у той стороны, чья информация была найдена и опубликована, а не у поисковой системы, которая просто делала свою работу.

Справка. "Компьюлента" сообщила 23 апреля 2003 года: "21 апреля 2003 поисковая система Google проиндексировала документ, оказавшийся некрологом бывшему президенту США Рональду Рейгану. Некролог подготовило информационное агентство Scripps Howard News Service. Большая часть материалов на сайте www.shns.com защищена паролем. Однако для того, чтобы прочитать некролог Рейгану, надо просто знать точный адрес. А Рональд Рейган умер 6 июня 2004. В январе 2005 года The Register сообщил, что поисковая система Google проиндексировала множество ссылок на веб-камеры, многие из которых вовсе не были предназначены для всеобщего обозрения, но их хозяева не позаботились их защитить от публичного доступа.

XS
SM
MD
LG