Just because you’re paranoid
Don’t mean they’re not after you
© Kurt Donald Cobain

Пользуясь сетью Internet и мобильным телефоном человек оставляет о себе огромное количество информации. Если бы старик Оруэлл жил в наше время, он бы с ума сошел от паранойи.
Эту информацию условно можно разделить на две категории: то, что пользователь оставляет сам – инфо в сосательных сетях (ФКонтакте, Фейсбук, Быдлоклассники), Твиттер, Жижа и прочие Меилсру и то, что о нём по-тихому собирает-передаёт софт.

И если добавить к этому, что данные оставленные самим пользователем никуда не денутся из кэша поисковых систем и интернет-архивов, а все сообщения/посты, написанные сейчас, можно будет прочитать лет через 5-10-20 (при этом Ваше Я может получить состояние конфуза высшей степени от нелепого высказывания), то становится весело. Притом прочитать смогут не абстрактные сотрудники Кровавой Гэбни™, а все желающие.
Относительно информации относящейся ко второй категории и поговорим.

Мобильные телефоны следят за Вами.

Для простого обывателя с мобильным телефоном позиционирование и прослушка — не самое страшное. Ибо вероятность, что по звонку на Ваш GSM/спутниковый телефон попутно пожалует в гости самонаводящаяся ракета, чрезвычайно мала. Позиционирование – приблизительное определение местоположения включенного сотового телефона, а следовательно и пользующегося им человека. Используются две базовые методики: с помощью позиционирования относительно базовых станций и с помощью встроенного в телефон GPS (если он есть, а он есть в подавляющем числе смартфонов). Возможность позиционирования в сетях GSM и 3G является побочным эффектом технологии разделения полосы пропускания по времени.  Позиция телефона определяется как расстояние от базовой станции и направление секторной антенны, с которой он работает в данный момент. Что дает возможное положение абонента в виде урезанного сектора со стороной в сотню-другую метров. ОПСОСы (операторы сотовой связи) с целью получения дополнительного профита невозбранно пользуют данную фичу, например услуга от МТС «ребенок под присмотром» работает на этом принципе. Погрешность в этом случае составляет около 80-100 метров (по расстоянию от вышки), а с учетом непредсказуемой городской застройки — больше.
Второй метод — GPS дает точность от 5 до 50 метров, что уже довольно неплохо. Всегда можно проверить, насколько ваше размещение соответствует действительности, зайдя со смартфона на Google Maps. Более подробно о мобильном позиционировании можно почитать тут.

Прослушка.  В соответствии с Приказом Госкомсвязи РФ от 20.04.1999 N 70 «О технических требованиях к системе технических средств для обеспечения функций оперативно-розыскных мероприятий на сетях электросвязи Российской Федерации» ребята из ФСБ могут прослушать любой номер. И оператор телефонной связи просто обязан за свой счёт обеспечить техническую возможность проведения данного мероприятия, в противном случае неполучение/отзыв лицензии.
А вот если Вы опасаетесь фриков с самопальными устройствами для перехвата и расшифровки на лету сигнала в GSM-сети, то можно расслабить булки, полноценно-работающего прототипа нет.
Для «проверки на вшивость» в GSM есть три кода — A3 (код опознавания), A8 (код, используемый для генерации ключа шифрования) и специальный код Ki. Опсос вшивает эти три кода в SIM-карту. Все эти данные, конечно же, дублируются и в базе данных оператора. Без SIM-карты телефон — пустая болванка, с которой никуда не позвонишь (ну разве что только по экстренному телефону 112). Как это работает: система вызывает Ваш телефон сигналом RAND. SIM-карта из этого сигнала с помощью кодов A3 и A8 генерит два кода: SRES (ответ длиной 32 бита) и Kc (ключ шифрования — 64 бита, которым она и шифрует все сигналы). После того как SIM сгенерит коды, он закидывает код SRES обратно на соту. Дальше система генерит точно такие же коды (Ваш SIM у нее в базе) и сравнивает код SRES, полученный от мобильника, с кодом SRES, сгенеренным ею самой. Если коды совпали, значит на связи — Вы. Вот на этих-то кодах и основана вся защита в GSM. Ключ Kc, сгенерированный твоим SIM’ом (с помощью кода A8), используется для шифрования всего потока данных. Когда система уверена, что на связи ты и код SRES совпал, то это значит, что и ключ Kc у тебя и у системы такой же. И именно этим ключом шифруется весь трафик. Сам ключ шифрования никогда не передается по радиоканалу, поэтому перехватить его невозможно. В GSM каждый пакет данных имеет длину 114 бита. Кодом Kc генерируется 114-битная шифропоследовательность (A5), которая добавляется к каждому передаваемому пакету и таким способом шифрует его.

В сетях 3G всё гораздо серьёзнее, причаститься можно тут,  осторожно матан.

В конце 2010 года появлялась инфо  о прослушивании GSM-переговоров с помощью бюджетного оборудования собранного из говна и палок. Правда с той поры вестей от деятелей не поступало, что как бы намекает.

Появление Андроидофонов, Айфонов и прочих иже с ними кардинально поменяло правила игры. Чем умнее телефон, чем больше в нем «свистелок-перделок», тем больше данных он отправляет о владельце фирме-производителю. И не только о владельце — задача умных телефонов индексировать и отправлять на сервера максимально возможное количество данных об окружающем мире.

Skyhook — база данных включающая в себя информацию о более чем 250 миллионов wi-fi точек (по состоянию на 1 февраля 2013) по всему миру с их географическими координатами. С точностью до 10-20 метров. А пополняется она следующим образом — если Вы желаете зайти с телефона по wi-fi на Google Maps, то Ваш телефон проводит сканирование, узнает ssid и mac-адрес не только той точки, к которой вы подключаетесь, но и всех близлежащих и отправляет их Skyhook — партнеру Google. Зачем? Разгадка проста: имея базу данных 70% wi-fi точек в США,  Канаде, Западной Европе и ряде стран Азии, а так же точек во всех крупнейших городах мира, рекламодателям (Гуглу) удобнее Вас отслеживать и давать адресную рекламу исходя из вашего местоположения. По крайней мере пока только для этого.

Google Map – У сервиса есть интересная возможность указания положения гаджета с точностью до дома, при фактическом отсутствии GPS в телефоне!!! Это, если хотите, триангуляция со стороны телефона (а не базовой сети опсоса). Телефон берет ID базовых станций из neighbor list-а текущей базовой и отправляет их в Google Geolocation API. Оттуда приезжают его координаты, рассчитанные и усредненные на основании координат этих базовых. А откуда же у этого сервиса берутся координаты базовых? –  спросите Вы. От пользователей, у которых есть смартфоны с GPS и выходом в интернет — они (при условии использования google maps/latitude) выполняют для Google работу по сбору и определению координат базовых станций.

Project Glass Гугл очки   — слепящий вин тысячелетия, технология поиска по фотографии, очки так называемой дополненной реальности, разрабатываемые компанией Google. Можно сфотографировать достопримечательность через телефон и тут же узнать всю информацию о ней из Гугла. А можно погуглить информацию о торговой марке, сфотографировав её логотип. Да ещё уйму чего можно сделать! Только надо понять, что если до этого у компании Google были только «уши», через которые он читал набиваемые тобой ему запросы, то сейчас появились и «глаза». А учитывая вездесущую привязку GPS, то Гугл знает где Вы, на что смотрите и что хотите об этом узнать. Дальше начинается самое весёлое.

Учетная запись Гугл — синхронизация Android, которая, впрочем, настраивается пользователем, происходит весьма любопытнейшим образом — все Ваши данные из телефона синхронизируются с аккаунтом Гугла и хранятся на сервере. Таким образом, Гугл знает Ваш календарь, Ваши контакты, звонки, список Ваших дел, номер мобильного… да всё, что Вы делали с телефоном. Ну и конечно, благодаря возможности покупать приложения для телефона, знает номер Вашей кредитной карточки. Вот так легко, непринужденно и ненавязчиво происходит глубокая интеграция со всеми сервисами Гугла.

HTTP referer — так называется в протоколе HTTP один из заголовков запроса клиента, позволяющий серверу определить, с какой страницы пользователь перешел на данный сайт. IRL это выглядит так: допустим, пользователь просмотрел блог с вставленным видео с YouTube, потом глянул профили друзей на MySpace и в конце заказал книгу на Amazon. При этом он ни разу не заходил на сайт Google, но Гугл уже знает, что за видео он смотрел и в каком блоге, какие друзья его интересовали и что за книги ему привезут. Помните, что Гугл смотрит за всеми. Всегда. Цимес  в том, что на всех этих сайтах присутствуют разные компоненты Гугл: в блоге — ссылка на YouTube, принадлежащий Гугл, в MySpace — аналитика посещаемости Google Analytics, а на Amazon прописалась рекламная компания Гугл DoubleClick. И все переходы протоколируются и сопоставляются самыми передовыми статистическими алгоритмами, чтобы однозначно связать данные именно с Вами.

Естественно, что Google не единственная компания, кто занимается подобными вещами, она живет от адресной рекламы и хочет знать Ваши интересы. Но Гугл являясь законодателем моды, делает это в планетарных масштабах, в отличии от того же Yahoo!, Bing или Yandex.
И Google с Apple отлично понимают, тот, кто будет контролировать рынок мобильных, будет контролировать будущее.

Браузеры следят за Вами.

IP-адрес — внешний ip-адрес есть у каждого компьютера в интернете, что очевидно. И казалось бы идентификация с его помощью конкретного пользователя, в случае использования динамического IP выдаваемого провайдером пользователю из некого диапазона адресов случайным образом при каждом новом подключении, сложна. Но сложности с идентификацией существуют только на первый взгляд. По динамическому айпишнику можно определить страну и провайдера пользователя, а это уже сужает круг поиска для заинтересованных людей в погонах.
Чтобы не отсвечивать своим IP (статическим или динамическим) пользуйте Tor или вливайтесь в ряды I2P. Так же для Лисички существует дополнение,   заставляющее поверить сервер, что ваш истинный внешний айпишник — всего лишь прокси, за которым скрывается «настоящий» IP (из диапазона, задаваемого в настройках).

Cookies (HTTP cookies) — пожалуй, самый известный общественности метод идентификации в интернете. Он работает следующим образом. Когда пользователь совершает свой первый http-запрос к сайту, он получает от сайта куки — фрагменты данных, которые браузер сохраняет в виде файла. Эти данные являются своего рода удостоверением личности пользователя на данном сайте и действуют до даты истечения. Как только срок хранения вышел — полученные печеньки удаляются. Если дата не прописана — куки живут до конца сессии (например, закрытия браузера). Ну и, конечно, их можно удалить из браузера вручную. Самым интересным в плане печенек примером является, конечно же Google. Империя Бобра выдает куки сразу до 2020 года и искренне надеется с их помощью отслеживать запросы и переходы пользователя с сайта на сайт. Уж очень рекламщики хотят знать какой лубрикант предпочитает пользователь фапая на прон и CP в интернетах.
Для борьбы и грамотным управлением печеньками в браузере Opera предусмотрен отличный инструментарий в стоке. Для Лисы можно порекомендовать вот это дополнение .

LSO (Local Shared Objects) — куки на основе flash. Менее известный метод идентификации, от того более опасный, устанавливаются скрытно, удалить стандартными средствами браузера невозможно и о них мало знает большинство пользователей. Бороться с ними в Лисе можно установив дополнение BetterPrivacy . Дополнительно следует зайти на сайте Adobe на страницу диспетчера параметров  и на вкладке «Глобальные параметры хранения» сократить до минимума разрешённый объём пространства на диске для хранения информации и запретить стороннему flash содержимому сохранять данные на компьютер. Без этой манипуляции защита будет неполной, увы.

Web bug (tracking bug, pixel tag, 1×1 gif) — объект, внедряемый в веб-страницу или e-mail, невидимый для пользователя, но позволяющий определить, просмотрел или нет пользователь данную страницу/мыло. Первоначально веб баги представляли из себя пиксели 1х1, которые подгружались в страничку или почту со стороннего сайта. Сегодня одними пикселами дело не ограничивается — под веб-багами подразумевается целый спектр разнообразных фич, позволяющих следить за пользователем (подробности в пруфе на Вики).
В Лисе с ними борется addon Ghostery .

Кэш браузера — использовать кэш браузера можно различными способами. Самый простой — с помощью HTTP заголовка ETag. При обращении к странице сервер выдает ETag, который браузер использует для кэширования содержимого. При последующих запросах он отправляет этот ETag на сервер, который таким образом узнает, кто к нему пришёл, и даже при перезагрузке страницы ETag не меняет значения и сервер будет Вас всё так же узнавать.
Лечение производить с помощью NoScript  и AdBlock , которые латают массу дыр в Лисе. С помощью NoScript появляется возможность филигранно управлять JavaScript, Java, Silverlight, Flash, а AdBlock – инструмент из категории «mast have» в бескомпромиссной борьбе с баннерами.
За подробностями сюда.

TCP — протокол TCP с радостью предоставит информацию о Вашей операционной системе. Дело в том, что в различных OS по-разному настроен TCP-стек. А роутер не меняет пакет, а просто передаёт его дальше. Характеристики TCP-пакетов формируют свой уникальный фрагмент цифровой подписи.

Цифровой отпечаток браузера — весьма любопытная технология, позволяющая идентифицировать  Ваш браузер без всяких кук. Просто с помощью информации, передаваемой серверу — HTTP заголовков, наличия/отсутствия кук, java, javascript, flash, silverlight, по плагинам браузера и т. д. Pantoptclick — паблик проект, созданный для защиты пользователей. И он использует лишь малую часть приёмов и при этом — весьма эффективен. Реальный коммерческий алгоритм может быть в разы сложнее и гораздо эффективнее. И есть мнение, что его-то как раз будут применять отнюдь не рекламщики, чтобы втюхать Вам свои анальные щекотунчики…
С помощью дополнения для Лисы User Agent Switcher  можно попытаться замаскироваться под что-то ширпотребное, но главное не переусердствовать, т.к. помним что протокол TCP с радостью докладывает о типе операционки.

Поиск в Google, Yahoo!, Bing или Yandex — заглянув в html-код страницы результатов поиска Гугла, можно убедиться, что все найденные результаты являются не просто ссылками. Каждая ссылка результатов поиска содержит метод onmousedown, который заставляет браузер выполнить особые действия по щелчку на ссылке. В данном случае переход на нужную страницу происходит через редирект на адрес-посредник. То есть сначала браузер идёт на сервер Гугла, и только после захода туда происходит переход на нужную страницу. Переход осуществляется достаточно быстро, что незаметно на широком канале. А между тем, в Гугл попадает статистика с информацией, что Вы искали и куда, в результате, пошли. Это делают многие популярные поисковые системы. Противостоять этому можно, используя в браузере user-скрипты, которые приводят ссылки в правильный формат. Для Лисы каноничным является дополнение Greasemonkey .
Для любого браузера так же следует добавить скрипты зачистки ссылок для Гугла   и Яндекса.

На фоне описанного, паника которая прошла по рядам тру-адептов операционной системы Windows, после того как Nadim Kobeissi  запилил в свой болжег  инфу о том, что фильтр SmartScreen собирает информацию об устанавливаемых приложениях и отсылает эти данные в «малоизвестную артель» Microsoft, покажется не более чем милой шалостью.

Резюмируя:
Никогда, ни при каких обстоятельствах не используйте панели от Гугла, Яндекса и прочих. Оно того не стоит — в эту дыру уходит всё, что только возможно, как об истории поиска, так и о компьютере в целом.
Используйте только браузеры Opera и Firefox, потому что в этих православных браузерах у разумных людей всё говно режется скриптами и дополнениями, и держитесь в стороне от Осла и Хрома.
Не забывайте что те данные, которые собираются сейчас, не денутся никогда и никуда. И рано или поздно, а вполне вероятно уже в обозримом будущем, при появлении сложнейших алгоритмов и совершенствовании математического аппарата будут обработаны, что позволит составить досье на каждого пользователя сети и установить за всеми мягкую, но неотступную слежку.
И не забывайте о том, что когда затраты на систему защиты превышают стоимость возможного ущерба – это маразм и паранойя в чистом виде. Ведь когда профит от взлома явно меньше, чем геморрой с осуществлением этого самого взлома – Вы нахуй никому не сдались.