понедельник, 7 апреля 2014 г.

Персональные данные vs метаданные: не телефонный разговор

Последние полгода, на фоне непрекращающегося скандала "АНБ-Сноуден-крупнейшие провайдеры-телефонные компании", за коим занятно наблюдать само по себе, всячески муссируется тот факт, что, по большей части, из всей массы персональных данных АНБ (и многие другие вместе с ними, если уж на то пошло) основной упор делают на метаданные телефонных и иных контактов и на содержимое адресных книг почтовых сервисов.

Публика в недоумении - "ну и что?" Дескать, это же не содержимое переписки, не записи телефонных разговоров, подумаешь.

Строго между нами - даже не каждый специалист по информбезопасности понимает, чем чреват доступ именно к метаданным и спискам контактов.


Голос здравого смысла: В АНБ работают не дятлы. Между нами говоря - они там никогда и не работали. Если они гоняются именно за такой информацией -  может быть, именно она-то и является по-настоящему ценной?

Я думаю, стоит немного поразбираться в сути вопроса. Дабы лучше себе представлять, что и как на самом деле следует защищать.

Итак, что дает ваша адресная книга, скажем, на GMail/Yahoo/MSN? 

А дает она списки ваших контактов в виде визитных карточек. Зачастую с полными именами, фамилиями, датами рождения, телефонами, адресами, местами работы итд. итп.

Говоря простым языком - радостно выкинув бумажную записную книжку в урну два десятилетия назад, вы, своими собственными руками, любовно предоставили всем, КОМУ НАДО, список своих визави. И возможность пройти по цепочке - раскрутив, в свою очередь ваших знакомых, их знакомых, знакомых знакомых и так далее.

Это раз.

Два - метаданные ваших телефонных звонков. Номер абонента, время звонка, продолжительность звонка.

Голос простого сермяги - "Ну и фуле? Они же не записи разговоров ведут, подумаешь!"

Объясняю. Взяв вашу трехмесячную распечатку со звонками и смс, при помощи нехитрой математики, или даже совсем без оной, можно легко выбрать номера, с которыми вы особо активны. Получаем данные - совсем немного - фамилии, пол, возраст, адрес - из все той же базы данных телефонной компании - ваших абонентов. Еще немного анализа - и можно определить, кто все эти люди. Это занимает совсем немного времени - через полсуток примерно все ваши контакты и с высокой вероятностью их характер - известны (никакой магии - распределение звонков/смс по времени суток и по дням недели).

Что, все еще не прониклись?

Проведите опыт. Возьмите у своего сотового оператора полугодовую или хотя бы квартальную распечатку своих звонков. Да-да, это те самые пресловутые метаданные. И отдайте ее своей жене.

Что, не страшно? Реально отдадите? Готовы объяснять, что это за смс в три часа ночи по выходным? А дать свой телефон для аудита телефонной книги с распечаткой своей жене не слабо?

Для справки - действительно не дурная жена выпишет некоторые номера, пробьет их по 09 и, в случае веских причин, пойдет по найденным адресам с выяснениями и, хорошо, если не с разборками.

Если обычная домохозяйка способна провернуть такое - догадываетесь, на что способны приличные разведуправления с действительно хорошим доступам к другим источникам информации и продвинутой способностью к анализу этих данных?

Говоря простым языком - записи ваших разговоров и текст смс, по существу, не важны. Почти все интересное можно вычислить и узнать, НЕ НАРУШАЯ в явном виде тайну связи.

Наши дремучие предки, родом из СССР, хорошо помнят фразу - "Это не телефонный разговор". Среди обывателей бродил устойчивый миф, что таким образом можно было скрыть действительно важные переговоры, проходящие в оффлайне, от ТЕХ, КОМУ НАДО.

Строго говоря, это и тогда было не так - а сейчас и подавно.

Фраза была ОЧЕНЬ распространенной. Настроить оборудование на вылавливание этой фразы и активацию - секундное дело. Сфокусировать внимание на абонентах - еще минутка. Узнать, чем они дышат и о чем этот самый не телефонный разговор - было нетрудно даже в те времена.

Надо ли объяснять, насколько проще все это проделать сейчас?

Ну и, на закуску, напоминаю, что Ассандж был совершенно прав, называя социальные сети машиной для шпионажа.

Никому - на самом деле - не интересно, что вы там пишете на стене.

Ценность социальных сетей с точки зрения разведданных - в том, что там представлены СВЯЗИ И КОНТАКТЫ людей. Читай - те же самые метаданные. Причем - вычисляются не только те, кто там есть - а и те, кого там нет. Отсутствие чего-либо может быть столь же красноречивым, как и присутствие. При помощи немудреного анализа выявляются все, кто по параноидным соображениям никогда не регистрировался в социалочках - ваши непомерно общительные друзья об этом позаботились.