Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я узнал, как она попала в EFF и занялась анализом вредоносных программ. «Я пришла в EFF в 2007 году. В итоге занималась исследованиями кибербезопасности, потому что никто другой в EFF этого не делал. Анализировать вредоносные программы я начала в 2011–2012 годах в Сирии. Тогда [президент Сирии Башар Хафез аль-]Асад был любимцем Запада. Он позиционировал себя как отца сирийского Интернета и открыл доступ к Facebook[9], который прежде был заблокирован. Все считали его великим. Западный народ думал, что разблокировка Facebook[10] стала признаком растущей открытости Асада к свободе слова. Как же сильно они заблуждались… Я работала над исследованием Интернета в Сирии, изучала вопросы свободы слова и цензуры, когда кто-то обнаружил вредоносное ПО, созданное проасадовскими хакерами, которое было нацелено на сторонников оппозиции. Это был Rat [Remote Access Trojan], установленный на их машинах для эксфильтрации данных, включая пароли и скриншоты, на сирийский IP-адрес. Вместе мы проанализировали его. В течение следующих двух лет я помогла написать около дюжины отчетов о двух проасадовских группах, пишущих такого рода вредоносные программы».

Я спросил Гальперин, что она считает самой большой проблемой в сфере ИБ. Она ответила: «Самая большая проблема в сфере ИБ – это не безопасность, а личное пространство. Многие компании отдают приоритет информационной безопасности, но не защищают конфиденциальность своих пользователей. Они монетизируют пользовательские данные, что стимулирует собирать как можно больше таких данных. Немало компаний имеют большое количество детализированных данных пользователей, а раз они есть, данные подлежат публикации. Даже если компания защищает свои данные от хакеров, им сложнее защитить их от правоохранительных органов и правительства. Часто они даже не думают о правительствах и правоохранительных органах как об атакующих. Я хочу прояснить, что не выступаю за то, чтобы компании не собирали информацию, но пользователи должны иметь власть над своими данными. Пользователь должен знать, когда они собираются, используются, как долго хранятся, как защищены и т. д. Выбор пользователя чрезвычайно важен».

Я поинтересовался, на сколько по десятибалльной шкале Соединенные Штаты по сравнению с другими странами защищают частную информацию своих граждан. Она сказала: «США, возможно, получит 4 или 5 баллов по защите конфиденциальности. Самые сильные цифровые защиты находятся в Европейском союзе. С другой стороны, США имеют гораздо более сильную защиту свободы слова, в то время как в ЕС она намного слабее».

Я спросил Еву, что она думает по поводу приватности и свободы слова в будущем: станет ли она лучше или хуже. Она ответила: «Было бы легко сказать, что все станет хуже. Многие так и делают, тем самым выставляя себя гениями, когда оказываются правы. Но я собираюсь использовать другую тактику. Я думаю, есть шанс, что со временем ситуация улучшится, но до тех пор, пока информация пользователя считается продуктом, а свободное ПО или услуга – это то, на что они его меняют, это будет очень трудно. Мы знаем, что пользователи ценят конфиденциальность и часто готовы платить за нее, если вы дадите им выбор. Но нужно предоставить им эту возможность, и я не уверена, что получится, поскольку крупные игроки становятся более мощными, и это несовместимо с текущей бизнес-моделью».

Наконец, я попросил Еву поделиться историей о том, как она увлеклась воздушной акробатикой: «Я занималась гимнастикой в средней школе. При школе был цирковой кружок, так что я занималась акробатикой, а не привычным спортом. После выпуска я занялась воздушной акробатикой. Это отличный вид спорта! К тому же когда вы на высоте 30 футов качаетесь в воздухе, то не думаете об Интернете».

Не знаю, как вы, но мне нравится, что одна из крупнейших защитниц конфиденциальности не боится рисковать ни на работе, ни в свободное время.

Более подробную информацию о Еве Гальперин смотрите на следующих ресурсах:

• Ева Гальперин в Twitter: https://twitter.com/evacide;

• профиль Евы Гальперин на Electronic Frontier Foundation (EFF): https://www.eff.org/about/staff/eva-galperi.

Каждый день миллионы веб-сайтов и электронных писем содержат ссылки на вредоносные программы, известные как «наборы эксплойтов». Злонамеренные программисты (или команды программистов) создают их, а затем используют или продают. Набор эксплойтов обычно содержит все, что может понадобиться хакеру в цикле эксплойтов, включая круглосуточную техническую поддержку и автоматическое обновление, чтобы не быть пойманным антивирусным сканером. Хороший набор эксплойтов даже найдет и злонамеренно изменит совершенно сторонний веб-сайт, чтобы убедиться, что он выполняется всякий раз, когда посетители просматривают зараженный сайт. Все, что злоумышленник должен сделать, это купить комплект, запустить его и отправить на поиск жертв.