Как защититься от утечки метаданных

Изображение: Shutterstock

В интервью с «Журналистами без границ» (RSF) эксперт по технологиям Бенджамин Финн предупреждает об угрозе, которую представляют собой метаданные, и рассказывает о доступных для журналистов инструментах, помогающих защитить себя и свои источники.

RSF: Что такое метаданные?

Бенджамин Финн: строго говоря, метаданные — это данные, описывающие данные. Разные платформы в работе используют разные виды метаданных, в том числе сведения о дате, времени, имени файлов, расположении, электронной почте, заголовке письма, получателе, именах серверов, программном обеспечении и так далее. Также в них может входить ссылка, по которой перешёл пользователь, информация о том, сколько времени он провёл на странице, что пользователь купил, и всё прочее, что можно о пользователе отследить. Метаданные есть обо всём, что пользователь делает на компьютере, в том числе с файлами, документами, в социальных сетях и во всех поисках в Интернете. Их можно комбинировать с разных платформ с помощью профилей и трекеров, так называемых cookies: они позволяют достаточно глубоко понять личность человека и даже предсказать его поведение в Интернете.

RSF: как метаданные могут использоваться для слежки?

БФ: Органы власти не всегда могут получить доступ к содержимому зашифрованной беседы, но посредством метаданных они могут установить личности тех, кто общается. Например, благодаря интернет-провайдеру органы власти могут получить доступ к информации о том, с кем контактирует журналист, каково географическое расположение контактных лиц и как они перемещаются, какой тип приложения используется, какой размер отсылаемого файла, а также зашифрован он или нет. Хотя содержимое самого сообщения им недоступно, метаданные показывают жизненно важную информацию, которую можно использовать как против отправителя, так и против получателя.

Такие компании как Google или Facebook платят за метаданные заоблачные суммы денег и активно стимулируют приложения и провайдеров собирать их с пользователей. Компании не интересуются тем, что отдельный пользователь хочет сказать или сделать, но возможность собрать конкретную статистическую информацию с миллионов пользователей об их привычках, графике и интересах — это очень полезно для программной разработки, для продаж и маркетинга.

RSF: Используются ли метаданные в китайской системе массовой слежки?

Изображение: Screenshot

БФ: Государственная система массовой слежки в Китае, которую ещё называют Skynet, отслеживает всех граждан через Интернет, камеры наблюдения и другие цифровые технологии. Её внутренние системы были разработаны с использованием данных, — в том числе, конечно, метаданных — собранных через WeChat, многоцелевое приложение для обмена сообщениями, социальной сети и мобильных платежей, которым пользуются граждане Китая и китайская диаспора. Этот элемент технологии позволяет правительству КНР отслеживать пользователей разными путями, иногда даже после того, как они покинут страну. Также добавлены функции искусственного интеллекта, в основном использующие метаданные по активности в социальных сетях и истории просмотра страниц, что позволяет властям «предсказывать» действия тех, кого они считают проблемными.

RSF: Могут ли метаданные быть зашифрованными? 

БФ: Нет. В целом говоря, метаданные нельзя зашифровать, поскольку они часто нужны для работы приложения или веб-сайта. Шифрование метаданных — ещё только развивающаяся технология, которую многие приложения не предлагают. Виртуальные частные сети (VPN) могут заблокировать некоторые метаданные от приложения, например Ip-адрес (идентификатор, позволяющий определить устройство).  Но кроме этого почти нет примеров коммерчески доступного шифрования метаданных.

RSF: Есть ли законы, защищающие пользователей технологий от злоупотребления метаданными? 

БФ: Нет. Сложно определить, какие законы регулируют метаданные пользователя, поскольку пользователи не контролируют место их хранения. Те немногие законы о защите метаданных, которые существуют, можно легко обойти, или они вообще особо не действуют. В 2016 году Австралия приняла закон о хранении метаданных, который требует от интернет-провайдеров хранить метаданные пользователей до двух лет и предоставлять их разным правоохранительным органам даже без судебного ордера. Такой подход оказался опасен: его использовали, чтобы отслеживать журналистские источники без их ведома. Подобный закон про метаданные был отвергнут Европейским Союзом, поскольку решили, что он нарушает Европейскую хартию прав человека.

RSF: Как журналисты могут защитить себя и свои источники?

БФ: Поскольку у интернет-провайдеров по умолчанию есть доступ к большому количеству сведений, борьба с вторжением в частную жизнь — задача непростая. Не существует способа полностью устранить риск отслеживания путём метаданных, но всё же следующие приёмы могут повысить вашу конфиденциальность в Интернете.

1. Всегда используйте VPN – хороший VPN может замаскировать некоторые метаданные, например IP-адреса.
2. Устанавливайте приложения вроде Privacy Badger, которое сокращает применение трекеров социальными сетями. Выделите отдельное устройство для социальных сетей и никогда не используйте его для защищённых обсуждений.
3. Используйте браузер, ориентированный на безопасность, например Brave или Tor. По возможности используйте всю систему Tor, а не только браузер.
4. Используйте защищённые приложения для коммуникации, например Signal.
5. Используйте защищённые службы электронной почты, например ProtonMail, и рекомендуйте своим источникам делать так же, поскольку эта служба электронной почты предлагает сильную защиту только при использовании с другой учётной записью ProtonMail.
6. Используйте кнопочный телефон с анонимным стартовым пакетом, а когда не пользуетесь им, держите выключенным с отсоединенной батареей. Используйте в нём сим-карту не того оператора сотовой связи, которым пользуетесь для личных целей.
7. Крупными файлами обменивайтесь на физических носителях, напрямую не встречаясь с источником, например, через абонентский ящик.  Если встречаться с источником всё же нужно, не берите с собой никаких устройств.

Эта статья исходно была опубликована на веб-сайте учебных курсов «Репортёров без границ». Опубликовано с разрешения правообладателя.

Бенджамин Финн десять лет занимается информационными технологиями, преимущественно внедрением инструментов внутренней безопасности на крупных предприятиях. Последние два года он работал в Мьянме, занимался изучением вопросов безопасности в условиях тоталитарного государства. Также он обучил многие группы на Тайване мерам цифровой безопасности.