Москва
+7 (495) 223-07-86
Санкт-Петербург
+7 (812) 703-15-47

Что о нас знает подземка? Андрей Гайко о безопасности персональных данных при использовании Wi-Fi в метро.

Мы стали меньше читать книги в метро. Все наше внимание занимают гаджеты с доступом в Интернет. Ни один современный городской человек не может без свежей информации. Современное пристрастие — кнопка «обновить». Хотя, с другой стороны, Интернет придает мобильности работе. Вместо чтения книги можно отправить e-mail. Благо в московском метро функционирует бесплатный Wi-Fi. Но есть одна особенность. Ничего не бывает бесплатно. Вот и за Wi-Fi приходится расплачиваться. Провайдер, предоставляющий услугу Wi-Fi, отбивает свои затраты путем размещения рекламы на странице подключения в сети. И в этом есть тонкий момент. Для того чтобы реклама «работала», она должна быть подобрана специально для вас. Для этого провайдеру необходимо собрать о вас как можно больше персональной информации и сформировать ваш профиль. Итоговая цена бесплатного Wi-Fi — наши персональные данные.

Мало кто задумывается, что десятки раз в течение дня мы рассказываем неустановленным лицам о своем возрасте, поле, интересах, любимых местах, месте жительства и работы, о финансовом достатке, даем свой телефон и электронную почту. . Часть из этих сведений собирается автоматически, часть — вычисляется алгоритмами. Нам нет необходимости заполнять анкеты. Наши мобильные устройства сделают все за нас и без нашего ведома. А программисты напишут сайты, которые заберут себе наши персональные данные у наших гаджетов.

В конкретном случае с бесплатным Wi-Fi в метро при подключении наше мобильное устройство сообщает системе наш примерный возраст, семейное положение, пол, достаток, посещенные станции метро и техническую информацию о самом мобильном устройстве (IP-адрес, MAC-адрес, версию ОС и браузера). Исходя из этих данных один человек видит рекламу жилья бизнес-класса, а второй — картофельных чипсов. До недавнего времени указанные данные передавались в открытом виде и любой человек, знающий, как подменить МАС-адрес устройства, с которого осуществляется подключение к Wi-Fi в метро, мог «притвориться» другим человеком и узнать о нем информацию. Эту «особенность» системы обнаружил 5 марта 2018 года программист Владимир Серов. После чего обратился в mos.ru, чтобы они сообщили провайдеру «МаксимаТелеком». Только спустя месяц провайдер устранил эту «уязвимость».

Достаточно продолжительное время любой мог собирать данные о пассажирах в метро. Стоит ли рассматривать этот недочет системы как уязвимость, посредством которой можно было скомпрометировать какие-никакие, но данные пользователей? Однозначного ответа нет. Согласно отечественному законодательству, те данные, которые разглашались системой, не являются персональными. Мы не можем однозначно установить их владельца. Хотя если проявить немного смекалки и технических знаний, то конкретного человека вычислить можно. Однако придется применить дополнительные методы.

В 2013 году на российской конференции ZeroNight, посвященной техническим вопросам информационной безопасности, выступал исследователь Глен Уилкинсон. Суть выступления сводилась к следующему. Особенность технологии Wi-Fi такова, что когда вы включаете беспроводной модуль в своем мобильном телефоне, модуль начинает рассылать в эфир сообщения. В них содержится МАС-адрес этого модуля, МАС-адрес и название беспроводных точек, к которым когда-либо этот модуль успешно подключался. Образно говоря, это похоже на то, как если бы человек стоял посередине площади и выкрикивал фамилию, имя и номер паспорта всех своих знакомых начиная с буквы А и заканчивая буквой Я. С надеждой в сердце, что кто-то откликнется. В итоге приятель может откликнуться, но имеющие уши смогут собрать сведения о друзьях оратора.

Перехватывая такие сообщения, можно составить таблицу, в которой будет содержаться МАС-адрес и названия точек доступа, к которым подключался мобильный телефон. Далее в открытом доступе в Интернете можно найти информацию об известных беспроводных точках доступа с привязкой к их географическому местоположению. Автоматизируя процесс анализа составленной таблицы и данных об известных беспроводных точках, можно с точностью до пары метров определить географию перемещения человека. Именно это и продемонстрировал Глен Уилкинсон. В качестве «жертв» были выбраны посетители конференции. На конференции работал бесплатный Wi-Fi.

Возникает вопрос: как заставить мобильное устройство пассажира в метро посылать такие «приветственные» сообщения, если он только что подключился к Wi-Fi? Ответ прост. Существуют методы, которые позволяют злоумышленнику отправлять в эфир технические сообщения Wi-Fi-сети по принудительному отключению от Wi-Fi-сети. После того как клиент будет «выбит» из сети, беспроводной модуль гаджета начнет искать известные ему сети. Именно в этот момент злоумышленник может начать сбор данных. Ну а после можно будет анализировать собранные данные и составлять свой профиль по выбранному человеку.

Если говорить о публичном Wi-Fi, то стоит упомянуть и о подделке точек доступа. За 50 долларов можно собрать устройство, которое будет притворяться любой точкой доступа. Это опять-таки становится возможным благодаря особенностям самой технологии Wi-Fi. Далее путем нехитрых манипуляций злоумышленник может выполнить атаку «человек посередине» и перехватывать весь входящий и исходящий трафик клиента в открытом виде. Причем даже зашифрованный. Но эта атака ставит под сомнение использование общественного Wi-Fi в принципе. Если такие атаки будут встречаться, то к кому будут претензии? К провайдеру? Или к разработчику технологии Wi-Fi?

Теоретически, собрав данные от сети MT_FREE описанным Владимиром Серовым методом и применив инвазивное воздействие на конкретного пассажира, можно составить расширенный профиль и использовать его в злонамеренных и не очень целях, овладеть его аккаунтом в социальных сетях, перехватить логины/пароли от веб-сайтов и много чего еще.

Но вернемся к мета-данным. К сожалению, в отечественном законодательстве нет однозначного ответа, что причислять к персональным данным. В классическом понимании это паспортные данные, СНИЛС или некий иной набор данных, с помощью которых однозначно можно «выйти» на человека. В новом европейском законодательстве — директиве GDPR — понятие персональных данных более широкое. Например, в Европе персональными данными считаются мета-данные, которые собираются системами мониторинга поведения пользователей на веб-сайтах, в мобильных приложениях. Такими системами являются в том числе системы фрод-мониторинга, которые позволяют выявлять мошеннические финансовые операции в Интернете.

В случае с «МаксимаТелекомом» те данные о пользователях, которые передавались с мобильного устройства в систему, попадают под определение персональных данных, установленное в ЕС, но не попадают под это понятие на территории РФ.

Если бы ситуация, подобная той, что произошла с провайдером в московском метрополитене, случилась на территории одного из государств Евросоюза и эта утечка повлекла за собой какие-либо негативные последствия для граждан ЕС, то штраф для оператора персональных данных (в нашем случае «МаксимаТелекома») мог бы составить до 20 млн евро или 4% от общего годового оборота (доходов) в зависимости от того, какая из этих сумм больше. Но у нас в стране таких стимулов для владельцев бизнеса к обеспечению защиты клиентских персональных данных нет. Требуемая законом защита персональных данных и используемые в компаниях средства не являются эффективными и нацеленными на результат. Поэтому случай с «МаксимаТелекомом» можно рассматривать как рядовой и он пройдет без последствий для оператора.

Современному человеку надо четко понимать, что понятие «приватность» ушло ровно в тот момент, когда вы купили себе смартфон. Любая операция, совершенная с его помощью, будет записана. У каждого такого устройства есть множество уникальных идентификаторов, которые используются в разных целях. Но неизменно одно — каждый этот идентификатор почти однозначно идентифицирует именно вас. Речь идет не о самой последовательности цифр/букв идентификатора. Речь идет о мета-данных, которые идут «прицепом» за ним. Зная мета-данные и идентификатор устройства, каждого из нас можно вычислить в толпе. Причем для этого не нужно иметь «погоны». С каждым днем методы и средства становятся все более простыми, дешевыми и доступными для непрофессионалов. Любой сведущий IT-специалист или увлеченный студент может сделать это.

Какие риски несет для каждого из нас ежедневное неконтролируемое разглашение наших персональных данных? Пусть для начала каждый ответит себе сам.

Оригинал статьи: http://www.banki.ru/news/columnists/?id=10391908